L’examen CRISC™ 7th Edition valide votre expertise dans 4 domaines

  • 26%

    Gouvernance

  • 20%

    Évaluation des risques informatiques

  • 32%

    Réponse au risque et reporting

  • 22%

    Technologies et sécurité de l’information

La pratique professionnelle du CRISC™ consiste en un ensemble d’énoncés de tâches et de connaissances, organisés en 4 domaines. L’examen CRISC™ comporte 150 questions et couvre les quatre domaines de gestion des risques de l’information.

Les domaines de pratique du CRISC™ reflètent les responsabilités vitales et évolutives des professionnels des risques informatiques et du contrôle des SI. Une pratique professionnelle sert de base à l’examen et aux exigences pour obtenir la certification et se compose d’énoncés de tâches et de connaissances représentant le travail effectué dans la gouvernance, l’évaluation des risques IT, la réponse au risque et le reporting ainsi que les technologies de l'information et la sécuité. Ces déclarations et domaines sont le résultat de recherches approfondies, de commentaires et de validations de la part d’experts en matière de risque et de contrôle informatique et d’éminents leaders du secteur du monde entier.


Les énoncés de tâches décrivent les activités que les CRISC™ peuvent être amenés à effectuer dans une organisation, tandis que les énoncés de connaissances sont les critères utilisés pour mesurer, évaluer et gérer les risques. Chaque domaine a son propre ensemble d’énoncés de tâches et de connaissances et nous en présentons un résumé.

Dans les énoncés suivants, les termes «entreprise» et «organisation» ou «organisationnel(le)» sont considérés comme synonymes.

Les 4 domaines du CRISC

Crédit © ISACA 2021



Dans ce domaine, les candidats au CRISC devront démontrer leur connaissance de la relation entre les résultats d’une gouvernance efficace des risques et les responsabilités du management. Ils devront également examiner le modèle business em atière de risques informationnels et comprendre les interrelations entre la conception et la stratégie de l’organisation, les personnes, les processus et les éléments technologiques. Les candidats doivent bien comprendre les interconnexions entre gouvernance, culture, facilitation et soutien, émergence, facteurs humains et architecture.

Parmi les concepts considérés comme importants pour les candidats au CRISC, citons le mesurage de la sécurité, qui implique une description de la manière dont une évaluation quantitative périodique des risques doit étre mesurée.

1. A. Objectifs

  • Décrire comment les concepts clés du risque ont un impact sur l’entreprise..
  • Distinguer les fonctions de gouvernance et de management.
  • Décrire la relation entre le risque d’entreprise et le risque informatique.
  • Définir les rôles et les responsabilités au sein de la structure organisationnelle et expliquer comment ils se rapportent à la gestion des risques.
  • Décrire l’impact de la culture organisationnelle sur la gestion des risques.
  • Identifier les actifs organisationnels et comment ils sont évalués.
  • Expliquer comment les politiques et les normes orientent l’entreprise.
  • Décrire comment les revues de processus métier contribuent à améliorer l’efficacité de l’entreprise.
  • Décrire les concepts de la gestion des risques d’entreprise.
  • Évaluer les cadres de risques et leur rôle dans la gestion des risques d’entreprise.
  • Expliquer le rôle du praticien du risque dans les trois lignes de défense.
  • Définir les types de profils de risque.
  • Décrire la relation entre l’appétit du risque et la tolérance au risque.
  • Décrire l’impact des obligations légales, réglementaires et contractuelles concernant la gestion des risques.
  • Expliquer l’importance de l’éthique professionnelle dans la gestion des risques.

1. B. Points-clés

  • 1.1. Concepts, normes et cadres d’évaluation des risques
  • 1.2. Stratégie organisationnelle, buts et objectifs
  • 1.3. Structure organisationnelle, rôles et responsabilités
  • 1.4. Culture organisationnelle et actifs
  • 1.5. Politiques, normes et processus business
  • 1.6. Gestion des risques d’entreprise, cadres de gestion des risques et les trois lignes de défense
  • 1.7. Profil de risque, appétit du risque et tolérance au risque
  • 1.8. Direction en matière d’éthique professionnelle de la gestion des risques et des exigences des lois, règlements et contrôles

Les candidats au CRISC™ doivent analyser et évaluer les risques informatiques pour déterminer la probabilité et l’impact sur les objectifs business afin de permettre une prise de décision basée sur les risques.

Cela se traduit par 11 objectifs de connaissances qu’un CRISC™ doit avoir acquis pour réussir l’examen.

2. A. Objectifs

  • Définir les types d’évènements à risque et de menaces auxquels une entreprise peut être confrontée.
  • Expliquer le processus d’identification des risques.
  • Identifier les techniques de modélisation des menaces.
  • Compiler un profil de menace à l’aide de techniques de modélisation des menaces.
  • Décrire le processus et les avantages de l’élaboration de scénarios de risque.
  • Expliquer le processus d’évaluation des risques.
  • Définir des normes et des cadres communs d’évaluation des risques.
  • Décrire la valeur du registre des risques pour l’entreprise.
  • Expliquer les méthodologies d’analyse des risques et comment elles sont utilisées.
  • Illustrer la relation entre l’analyse d’impact sur l’entreprise et l’évaluation des risques.
  • Décrire l’effet du risque inhérent et résiduel sur l’entreprise.

2. B. Points-clés

  • 2.1. Évènements à risque, modélisation des menaces et paysage des menaces
  • 2.2. Analyse de la vulnérabilité et des déficiences en matière de contrôle
  • 2.3. Développement de scénarios de risque
  • 2.4. Registre des risques
  • 2.5. Méthodologies d’analyse des risques
  • 2.6. Analyse d’impact business (BIA)
  • 2.7. Risque inhérent, résiduel et actuel

Les candidats doivent être en mesure de déterminer les options de réponse aux risques et évaluer leur efficience et leur efficacité pour gérer les risques conformément aux objectifs business.

Cela se traduit par 17 objectifs d’apprentissage pour le candidat au CRISC afin de réussir l’examen.

3. A. Objectifs

  • Déterminez les rôles "accountables" des risques et la propriété des contrôles..
  • Aligner les options de traitement des risques et de réponse avec l’appétit et la tolérance au risque de l’entreprise.
  • Traiter les risques provenant de l’extérieur de l’entreprise (ou de tiers).
  • Appliquer des procédures aux processus et fonctions présentant des niveaux élevés de variabilité.
  • Évaluer les technologies émergentes et les changements de l’environnement pour les menaces, les vulnérabilités et les opportunités.
  • Catégoriser les contrôles en fonction du type de réponse au risque requise.
  • Tirer parti des normes et cadres communs dans la conception et la mise en œuvre des contrôles.
  • Identifier l’état actuel des contrôles existants et évaluer leur efficacité pour l’atténuation des risques informatiques.
  • Évaluer les écarts entre les états actuels et souhaités de l’environnement de risque informatique.
  • Collaborer avec les propriétaires de contrôles sur la sélection, la conception et la mise en œuvre des contrôles.
  • Effectuer l’agrégation, l’analyse et la validation des données de risque et de contrôle.
  • Valider que les réponses aux risques ont été exécutées conformément aux plans de traitement des risques.
  • Décrire les types de données sur les risques disponibles pour surveiller et signaler les risques.
  • Identifier les types d’évaluations des contrôles.
  • Expliquer le processus de compilation et de rapport sur l’état des contrôles.
  • Appliquer les étapes du processus de surveillance des contrôles.
  • Établir un processus pour définir, surveiller et analyser les mesures pertinentes au risque d’entreprise.

3. B. Points-clés

  • 3.1. Options de traitement des risques/réponses aux risques
  • 3.2. Propriété des risques et des contrôles
  • 3.3. Gestion des risques liés aux processus, aux tiers et aux sources émergentes
  • 3.4. Types de contrôles, normes et cadres
  • 3.5. Conception, sélection et analyse des contrôles
  • 3.6. Mise en œuvre, test et efficacité des contrôles
  • 3.7. Plans de traitement des risques
  • 3.8. Collecte, agrégation, analyse et validation des données
  • 3.9. Techniques de surveillance et de reporting des risques et des contrôles
  • 3.10. Indicateurs de performance, de risque et de contrôle

Cela se traduit par 11 objectifs d’acquisition de connaissance à atteindre par un canditat pour réussir l’examen du CRISC..

4. A. Objectifs

  • Expliquer les composants clés de l’architecture d’entreprise et les cadres utilisés pour les mettre en œuvre.
  • Identifier les composants informatiques et leurs domaines de préoccupation concernant le risque d’entreprise.
  • Décrire le risque des projets et comment il est pris en compte dans le processus de gestion de projet.
  • Décrire les étapes et les exigences nécessaires pour maintenir la résilience de l’entreprise.
  • Évaluer les zones de risque tout au long du cycle de vie des données.
  • Articuler les tâches clés de sécurité et d’assistance à effectuer pendant le cycle de vie du développement des systèmes.
  • Évaluer les technologies émergentes et les changements de l’environnement pour les menaces, les vulnérabilités et les opportunités.
  • Identifier les facteurs qui peuvent avoir un impact sur la sécurité et les risques dans l’entreprise.
  • Tirer parti des cadres et des normes de sécurité de l’information pour gérer les systèmes d’information et les données.
  • Examiner la portée des programmes de formation et de sensibilisation à la sécurité de l’information par rapport aux menaces identifiées auxquelles l’entreprise est confrontée.
  • Appliquer les principes de confidentialité et de protection des données aux activités d’évaluation des risques.

4. B. Points-clés

  • 4.1. Architecture d’entreprise
  • 4.2. Gestion des opérations informatiques
  • 4.3. Gestion de projet
  • 4.4. Gestion de la reprise après sinistre
  • 4.5. Gestion du cycle de vie des données
  • 4.6. Cycle de vie du développement de système (SDLC)
  • 4.7. Technologies émergentes
  • 4.8. Concepts, cadres, normes et sensibilisation à la sécurité de l’information
  • 4.9. Gestion de la continuité des activités
  • 4.10. Principes de protection des données personnelles et de protection des données

Nous vous invitons à tester vos connaissances grâce à notre quiz gratuit CRISC™ composé de 10 questions en ligne.

Ces formations peuvent vous intéresser...

Cours et Certification CISA
Cours et Certification CRISC
Cours et Certification CGEIT

Ces formations, en liaison avec les 4 domaines du CRISC™, vous rapportent des crédits CPE utilisables pour maintenir votre certification CRISC™.