Management des SI > Sécurité (RSSI)
Sécurité des SI
EBIOS RM, gestion des cyber risques
|
||
OBJECTIFS PEDAGOGIQUES |
||
La méthode EBIOS permet d’apprécier et de traiter les risques relatifs à la sécurité des SI en se fondant sur une expérience éprouvée en matière de conseil SI et d’assistance MOA. Ce séminaire vous apportera toutes les connaissances nécessaires à sa mise en œuvre en situation réelle. A la fin du cours, le stagiaire sera capable de : Comprendre les enjeux sur les risques cyber : la cyber défense par le risque Évaluer en quoi le nouvel EBIOS s’adapte (ou pas) aux enjeux actuels de sécurité Comprendre l’approche de la gestion de risque proposée Appréhender le vocabulaire et les concepts développés par l’ANSSI Réaliser une étude complète via l’ensemble des ateliers proposés |
||
PUBLIC |
PRE–REQUIS |
|
RSSI ou correspondants sécurité, architectes sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité. | Connaissances de base en management de risques et en cybersécurité, ou connaissances équivalentes à celles apportées par les stages BYR et ASE ou BYR et AIR. - |
|
CONTENU |
||
La cybermenace en 2019 - Les cyber vols et le cyber espionnage de données sensibles. - Vers une nouvelle guerre froide Est-Ouest, USA-Chine. - Les dénis de services d’envergure mondiale. - Les groupes de hackers organisés, le rôle des agences de renseignements. - Phishing/ingénierie sociale, Spear phishing : des scénarios bien rodés. - Les Advanced Persistent Threats : la menace ultime. - Vol de données sensibles, intrusions réseaux, malwares, bots/botnets et ransomwares. Identification et analyse de la cyber menace - L’approche des militaires appliquée au monde cyber. - L’approche US avec le Find, Fix, Track, Target, Engage, Assess. - La cyber kill chain comme base de description. Exemple type : Lockheed Martin. - Les phases Reconnaissance, Weaponization, Delivery, Exploit, Installation, Control (C2). Actions on Objectives. - Le portrait robot d’une attaque ciblée selon l’ANSSI. - Les phases du processus (Connaître, Rentrer, Trouver, Exploiter). - L’identification des chemins d’attaque directs et indirects. La méthode EBIOS - Rôle de l’ANSSI et du club EBIOS. - EBIOS face aux enjeux de la LPM. - Apport de la nouvelle méthode EBIOS et EBIOS 2010. - EBIOS et le reste du monde : comparatif EBIOS/MEHARI. - La compatibilité EBIOS RM/ISO 31000-27005. Les fondamentaux de la méthode - Valeur métier, bien supporté, écosystème, partie prenante. - Approche par conformité versus approche par scénarios de risques. - Prise en compte des menaces intentionnelles sophistiquées de type APT. - Appréciation de son écosystème et des parties prenantes critiques de rang 1, 2, 3. - EBIOS RM au processus d’homologation de la LPM et de la directive NIS. - Règles de sécurité de l’approche par conformité (guide d’hygiène, mesures LPM/NIS…). - Processus Gestion de Risques comme mesure de la gouvernance SSI. Les objectifs de EBIOS RM - Identifier le socle de sécurité adapté à l’objet de l’étude. - Être en conformité avec les règlements de sécurité (métier/juridique/contractuel). - Identifier et analyser les scénarios de haut niveau en intégrant l’écosystème et les parties prenantes. - Identifier et impliquer les mesures de sécurité pour les parties prenantes critiques. - Réaliser une étude préliminaire de risque pour identifier les axes prioritaires d’amélioration. - Les axes prioritaires d’amélioration : la sécurité et les points faibles exploitables des attaquants. - Conduire une étude de risque détaillée visant, par exemple, l’homologation type ANSSI. Les activités de la méthode (1 et 2) - Atelier – Cadrage et socle de sécurité : - Quelles valeurs métiers, bien, supports faut-il cartographier ? - Quels événements à redouter, vus de l’activité métier ? - Quel socle de sécurité intégrer : ANSSI, PSSI interne… ? - Quels référentiels de réglementation identifier comme obligatoires ? - Atelier – Sources de risque et objectifs visés : - Quelle attractivité des valeurs métiers, cyber attaquants ? - Quelle implication des métiers dans la connaissance des sources de risques ? - Quels critères pour évaluer les couples SR-OV : l’évaluation des ressources et motivation des groupes attaquants. Etude de cas Présentation des ateliers 1 et 2. Les activités de la méthode (3, 4 et 5) - Atelier – Scénarios stratégiques et opérationnels : - Quelles sont les parties prenantes de l’écosystème ? - Quels scénarios vus des métiers puis vus de la technique ? - Quels chemins d’attaques directs et indirects décrire ? - Comment calculer les vraisemblances des scénarios : de la méthode expresse à la méthode avancée. - Atelier – Traitement du risque : - Quels risques considérer comme inacceptables dans le contexte ? - Quels livrables pour une étude EBIOS RM ? - Déclaration d’applicabilité type ISO 27001, rapport d’appréciation des risques LPM/NIS, fiches FEROS, etc. Etude de cas Présentation des ateliers 3, 4 et 5. EBIOS, étude de cas - Le contexte de l’étude : implication des métiers dans l’identification des valeurs métiers et des impacts ressentis. - Détermination des sources de risques et des objectifs d’attaques potentiels. - Détermination des obligations réglementaires, juridiques et l’identification des parties prenantes critiques de rang 1. - La construction de la cartographie de menace numérique de l’écosystème dans le contexte. - Les activités des ateliers nécessaires à la construction des scénarios stratégiques puis opérationnels. - L’évaluation des risques en termes de gravité et de vraisemblance. - Élaboration d’une méthode de calcul de la maturité cyber et dépendance par rapport aux parties prenantes. - Élaboration du plan de traitement des risques. - L’élaboration d’un plan d’actions. - Les mesures de sécurité techniques (protection, défense) et organisationnelles (gouvernance, résilience). - Le choix des mesures parmi les règles de sécurité des référentiels LPM/NIS. - Le choix d’un logiciel certifié ANSSI (en cours de certification : ARIMES, EGERIE, AGILE RM, FENCE, IBM OpenPages, …). - La construction provisoire de son « logiciel » sur base tableur. |
||
SESSIONS PROGRAMMEES
|
||
VALIDATIONEvaluation de fin de session |
||
PEDAGOGIEAlternance d’exposés et de travaux pratiques |
INTERVENANTSSpécialiste Management des risques |
|
MODALITES PRATIQUESDurée : 2 jours soit 14 heures avec 7 heures par jour |
Cybersécurité, sensibilisation des utilisateursLI-SEC-080-AM |
||
OBJECTIFS PEDAGOGIQUES |
||
A la fin du cours, le stagiaire sera capable de :- Faire connaître les risques et les menaces portant atteinte à la sécurité du système d’information.
- Expliquer et justifier la nécessité de mettre en place une PSSI et de la décliner. - Comprendre les principales parades mises en place dans l’entreprise. - Comprendre les offres de services du département Sécurité de la DDSI. |
||
PUBLIC |
PRE–REQUIS |
|
Tous les utilisateurs contribuant à la fabrication du Système d’Information. | Aucune connaissance particulière. | |
CONTENU |
||
Introduction- Cadre général : qu’entend-on par sécurité informatique (menaces, risques, protection) ?- Les grands principes de la sécurité : sécurité en profondeur, roue de Deming, le compromis ergonomie/fonctionnalités/sécurité- Comment une négligence peut créer une catastrophe.
- Quelques exemples. Le cadre réglementaire : comprendre les enjeux de la SSI - Qu’est-ce qu’une donnée personnelle et qu’est-ce qu’une donnée de santé ? - Loi Informatique et Liberté, le rôle de la CNIL - RGPD : les nouvelles règles liées à la protection des données personnelles - Homologation RGS : pourquoi ? - L’organisation de la sécurité : le rôle du RSSI, de la DDSI, le SMSI et la PSSI - Présentation de la PSSI MCAS - Les obligations du personnel informatique et la charte informatique La sécurité informatique : comprendre les menaces et les risques - Comprendre une cyber-attaque - Sociologie des pirates. Motivations. - Les composantes d’un SI et leurs vulnérabilités. - Qu’est-ce que le social Engineering ? - Les risques sur les réseaux d’entreprise (locaux, site à site, accès par Internet, réseaux sans fil…). - Les dangers des périphériques USB - Les attaques applicatives et web (injections, buffer overflow …) - Comprendre ce qu’est un code malveillant. La protection de l’information et les bonnes pratiques - Vocabulaire. Confidentialité, signature et intégrité. Les certificats. - L’hygiène numérique et la protection des postes, ordiphones et tablettes - Pourquoi l’authentification est-elle primordiale ? La gestion des mots de passe et des accréditations - Comprendre les règles liées au chiffrement. - Le rôle des différents équipements réseau de sécurité : firewall, proxy, IDS, DMZ (bastions) - Accès distant via Internet : comprendre les VPN. - Rappel du fonctionnement de TLS et de l’utilité de SSH - L’importance des log : que dit la loi ? Les bonnes pratiques pour des développements sécurisés - Le concept de « Security by Design » - La sécurité dans le cycle de développement. - Qu’est-ce que l’Owasp ? - Les règles de développement à respecter - L’utilisation de V.D.S. (Vulnerability Detection System), un exemple avec l’utilisation de SonarQube - Reverse proxy et firewall applicatif, détails des fonctionnalités. - Différences entre audit, test des fonctions de sécurité - La gestion des tickets de supports et l’importance de l’anonymisation des données. La création de jeux de test. Les offres de services du département DDSI - Intégration de la sécurité dans les projets - Intégration de la sécurité dans les contrats de sous-traitance - Offre opérationnelle - Les process : comment faire appel aux offres de ce département |
||
SESSIONS PROGRAMMEESUniquement proposé en intra. Contactez l’Institut 4.10 |
||
VALIDATIONEvaluation de fin de stage |
||
PEDAGOGIEAlternance d’exposés et de travaux pratiques |
INTERVENANTSSpécialiste Sécurité SI |
|
MODALITES PRATIQUESDurée : 1 jours soit 7 heures avec 7 heures par jour Prix : Contactez l’institut 4.10 Horaires : 9h – 17h30 |
EBIOS 2010, mise en oeuvre de la gestion des risquesEBI / LI-SEC-045 |
||
OBJECTIFS PEDAGOGIQUES La méthode EBIOS permet d’apprécier et de traiter les risques relatifs à la sécurité des SI en se fondant sur une expérience éprouvée en matière de conseil SI et d’assistance MOA. Ce stage vous apportera toutes les connaissances nécessaires à sa mise en œuvre en situation réelle.
CONTENU Introduction – Rappel Etude du contexte Etude des événements redoutés Etude des scénarios de menaces Etude des risques Etude des mesures de sécurité Conclusion |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
Plan de secours et de continuité, se préparer et faire face à la crisePDS / LI-SEC-008 |
|
OBJECTIFS PEDAGOGIQUES |
|
Ce séminaire vous propose les démarches et les meilleures pratiques pour mener à bien un projet de secours et de continuité d’activité informatique en accord avec les normes ISO 7001/27002, BS25999, ITIL V3…). De l’analyse des risques et de la conception des plans jusqu’aux tests et à la cellule de crise. | |
PUBLIC |
PRE-REQUIS |
Responsables Continuité, Risk Managers ou RSSI. Directeurs ou responsables informatiques, correspondants Sécurité, chefs de projets MOA et MOE, auditeurs internes ou externes, consultants. | Bonnes connaissances des architectures SI. |
CONTENU |
|
Pourquoi gérer la continuité
- L’évolution des entreprises et de leur stratégie. Définitions et concepts - Définir la stratégie de continuité. Plans de continuité - La construction des procédures. Procédures d’escalade et cellule de crise - La gestion de l’escalade en phase avec le RTO. |
|
SESSIONS PROGRAMMEES |
|
VALIDATIONEvaluation de fin de stage |
|
PEDAGOGIEAlternance d’exposés, de démonstrations et d’études de cas |
INTERVENANTSSpécialiste plan de secours |
MODALITES PRATIQUESDurée : 2 jours soit 14 heures avec 7 heures par jour |
Audit, indicateurs et contrôle de la sécuritéUDI / LI-SEC-004 |
|
OBJECTIFS PEDAGOGIQUES |
|
Contrôler sa sécurité est devenu indispensable afin de garantir que les investissements dans ce domaine sont à la mesure des enjeux. Ce séminaire vous présente les meilleures méthodes d’audit et de construction d’indicateurs, de tableaux de bord de sécurité pour une mise en œuvre efficace dans votre SI. | |
PUBLIC |
PRE-REQUIS |
RSSI ou correspondants sécurité, architectes de sécurité, responsables informatiques, ingénieurs ou techniciens devant intégrer des exigences de sécurité. | Connaissances de base en sécurité informatique. |
CONTENU |
|
Introduction : le contrôle de la sécurité
- Rappels. Terminologie ISO 27000. Les audits de sécurité - Le métier de l’auditeur sécurité. Etude de cas |
|
SESSIONS PROGRAMMEES |
|
VALIDATIONEvaluation de fin de stage |
|
PEDAGOGIEAlternance d’exposés, de démonstrations et d’études de cas |
INTERVENANTSSpécialiste audit sécurité |
MODALITES PRATIQUESDurée : 2 jours soit 14 heures avec 7 heures par jour |
EBIOS RM, examen de certificationEBX / LI-MOA-057 |
||
OBJECTIFS PEDAGOGIQUES Cette formation d’une journée est un complément au cours pratique “EBIOS RM, préparation à la certification” (réf. EBU) pour les candidats à l’examen “Risk manager EBIOS”. Une révision complète des concepts d’EBIOS RM et de nombreux exercices et études de cas vous prépareront à l’examen.
CONTENU Objectifs de connaissance sur la méthode EBIOS risk manager Rappels sur la démarche modules/activités d’EBIOS risk manager Révision et préparation à l’examen EBIOS risk manager Certification EBIOS risk manager |
||
SESSIONS PROGRAMMEES Accès au calendrier VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
Investigation numérique, synthèseIVN / LI-DSI-188 |
||
OBJECTIFS PEDAGOGIQUES Ce cours aborde les éléments essentiels d’une investigation numérique (définition, moteurs de la fraude, raisons de l’utiliser et avantages de cette technique). Sur une étude de cas authentique, en suivant les étapes réelles d’une investigation, les participants apprendront comment identifier et rapporter les preuves.
CONTENU Science forensique et aspects juridiques de la médecine digitale Méthodologie de la forensique numérique Etude de cas : les images Etude de cas : vol dans une entreprise |
||
SESSIONS PROGRAMMEES Accès au calendrier VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
CISM, Certified IS Manager, préparation à la certificationISM / LI-DSI-183 |
||
OBJECTIFS PEDAGOGIQUES Ce cours permet de préparer l’examen CISM®, Certified Information Security Manager, couvrant la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en sécurité défini par l’ISACA®, Information Systems Audit and Control Association. La certification CISM est reconnue dans le monde entier.
CONTENU Domaine 1 : gouvernance de la sécurité de l’information Domaine 2 : gestion des risques de l’information et conformité Domaine 3 : implémentation, gestion de programme sécurité de l’information Domaine 4 : gestion des incidents de sécurité de l’information Examen blanc et procédure de certification |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
CISA, Certified IS Auditor, préparation à la certificationISB / LI-DSI-182 |
||
OBJECTIFS PEDAGOGIQUES Ce cours permet de préparer l’examen CISA®, Certified Information Systems Auditor, en couvrant la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en sécurité défini par l’ISACA®, Information Systems Audit and Control Association. La certification CISA est reconnue dans le monde entier.
CONTENU Domaine 1 : processus d’audit des systèmes d’information Domaine 2 : gouvernance et gestion des systèmes d’information Domaine 3 : acquisition, conception, implantation des SI Domaine 4 : exploitation, entretien et soutien des systèmes d’information Domaine 5 : protection des actifs informationnels Se préparer à l’examen de certification |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
Data Protection Officer (DPO), certificationOFP / LI-DSI-181 |
||
OBJECTIFS PEDAGOGIQUES Pour répondre aux besoins des secteurs privé et public en ce qui concerne le règlement général sur la protection des données (RGPD, GDPR), le rôle du DPO devient primordial. Ce cours vous prépare à diriger tous les processus nécessaires pour adopter et répondre à toutes les exigences du GDPR au sein d’une organisation.
CONTENU Les fondamentaux de la vie privée Introduction au GDPR et principes de confidentialité Délégué à la protection des données (DPO) Gestion des risques et sécurité de l’information Incidents et protection Examen de certification |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
EBIOS 2010 Risk Manager, certificationRIC / LI-DSI-180 |
||
OBJECTIFS PEDAGOGIQUES Cette formation d’une journée est un complément au stage pratique “EBIOS 2010, mise en œuvre de la gestion des risques” (réf. EBI) pour les candidats à l’examen “Risk Manager EBIOS 2010”. Une révision complète des concepts d’EBIOS 2010 et de nombreux exercices et études de cas vous prépareront à l’examen.
CONTENU Objectifs de connaissance sur la méthode EBIOS Rappels sur la démarche modules/activités d’EBIOS 2010 Préparation de l’examen EBIOS Examen écrit et oral “Risk manager EBIOS 2010” |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
M_o_R®, Risk Management, Practitioner, certificationMPR / LI-DSI-171 |
||
OBJECTIFS PEDAGOGIQUES Les pratiques M_o_R® abordent les risques auxquels fait face une organisation au niveau stratégique, programme, projet et opérationnel. Ce stage vous permettra de consolider vos connaissances sur ce référentiel et vous prépare également à la certification M_o_R niveau Practitioner d’APMG.
CONTENU Introduction à M_o_R® Practitioner Les principes de M_o_R® L’approche M_o_R®, le contenu des documents de référence Les perspectives de M_o_R® |
||
SESSIONS PROGRAMMEESAccès au calendrier
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
CRISC®, gestion des risques SI, préparation à la certification, Certified in Risk and Information Systems ControlRSC / LI-DSI-170 |
||
OBJECTIFS PEDAGOGIQUES Ce cours est conçu pour les professionnels qui souhaitent réussir l’examen CRISC. Le programme couvre les cinq domaines clés traités dans l’examen : identification, analyse et évaluation du risque, réponses au risque, surveillance du risque, contrôles du SI, cycle de vie des contrôles du SI.
CONTENU Introduction au Certified in Risk and Information Systems Control Domaine 1 : identification, analyse et évaluation du risque Domaine 2 : réponses au risque Domaine 3 : surveillance du risque Domaine 4 : contrôles du système d’information Domaine 5 : cycle de vie des contrôles du SI Préparation à l’examen |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
Usages et impacts de la signature électroniqueSIG / LI-DSI-150 |
||
OBJECTIFS PEDAGOGIQUES La signature électronique est un mécanisme très encadré qui permet d’obtenir facilement des gains de productivité élevés. Ce stage, très opérationnel, vous permettra de connaître le cadre juridique régissant son usage ainsi que les moyens et outils à mettre en oeuvre pour optimiser son utilisation.
CONTENU La signature électronique : définition et usages Le cadre juridique Travaux pratiques Travaux pratiques Les outils Travaux pratiques Les normes et standards Travaux pratiques Le RGS et les référentiels documentaires Travaux pratiques L’optimisation d’un projet de signature électronique |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation de fin de session
MODALITES PRATIQUES |
Sécurité SI, mise en œuvre pratique d’une analyse de risquesCUR / LI-DSI-089 |
||
OBJECTIFS PEDAGOGIQUES Ce stage vous apprendra à identifier et analyser les menaces et les risques qui pèsent sur votre système d’information, ainsi que leurs impacts potentiels sur votre activité. Vous travaillerez sur une étude de cas “fil rouge” qui vous apprendra à maîtriser les principales étapes d’une analyse de risques.
CONTENU La notion de risque en sécurité des informations L’identification des biens informationnels L’analyse de risque Les méthodes utiles Les normes Construction du plan de traitement des risques |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
Référentiels ISO
ISO 27001:2013 Bridge, passer de la version 2005 à la version 2013NIM/LI-SEC-063 |
|
OBJECTIFS PEDAGOGIQUES |
|
Ce stage s’adresse à toute personne connaissant les versions 2005 des normes ISO 27001/27002 et souhaitant faire rapidement une actualisation de ses connaissances. Il présente les nouveautés de la version 2013 d’ISO 27001/27002 traitant du système de management de la sécurité SI. | |
PUBLIC |
PRE-REQUIS |
Toute personne connaissant les versions 2005 des normes ISO 27001 et 27002 / 17799 et souhaitant faire rapidement une actualisation de ces connaissances techniques et organisationnelles. | Avoir suivi les formations ISO 27001 version 2005. |
CONTENU |
|
Introduction - Rappels – Terminologie et concepts ISO 27000. - La prise en compte des évolutions réglementaires BALE 3, PCIDSS 3.0, … Les nouvelles normes ISO 2700x « post 2005 » - Rappel historique sur les normes de sécurité vues par l’ISO. - La nouvelle version de la norme 27000:2013. - Les évolutions de la norme 27005:2011. - Le processus de révision de la norme 27003:2010. - Vers une meilleure intégration avec les normes qualité 9001. La norme ISO 27001:2013 - Objectifs à atteindre par votre SMSI : principales évolutions 2005 -> 2013. - Les 7 sections incontournables. - L’alignement des processus “ SMSI 2005 “ et “ SMSI 2013 “ : liens entre sections. - Le choix d’un référentiel de bonnes pratiques ? La nouvelle Annexe A. - Les évolutions attendues de la démarche d’audit interne et de la pratique de la revue de direction. Le référentiel de bonnes pratiques ISO 27002:2013 - La nouvelle structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et mesures (niveau 3). - Les 14 domaines de la norme. - Les principales modifications ? Les nouvelles mesures ? Les mesures supprimées. - L’évolution du domaine 10 de la version 2005, les nouveaux domaines (Cryptographie, exploitation et communications). - L’alignement des versions 2005 / 2013. - Mappage des domaines (11 vers 14), des sous domaines (39 vers 35), des bonnes pratiques (133 vers 113). La mise en œuvre de la sécurité dans un projet de sécurité 2014 - Des spécifications sécurité à l’étude du contexte. - Vers une gestion du risque basée sur la norme 27005:2011. - La gestion de la sécurité avec les tiers : les nouvelles bonnes pratiques du domaine 15. - Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation. - Ce qui change dans le processus de certification 2013 : les nouvelles règles d’auditabilité. - La mise à niveau d’un SMSI certifié 2005 vers une certification 2013. |
|
SESSIONS PROGRAMMEES |
|
VALIDATIONEvaluation de fin de stage |
|
PEDAGOGIEAlternance d’exposés, de démonstrations et d’études de cas |
INTERVENANTSSpécialiste |
MODALITES PRATIQUESDurée : 1 jours soit 7 heures avec 7 heures par jour |
ISO 27005:2011 Risk Manager, préparation à la certification, analyse de risquesAIR / LI-SEC-003 |
||
OBJECTIFS PEDAGOGIQUES Ce séminaire, basé en partie sur la norme ISO/CEI 27005:2011, permet aux participants d’acquérir les bases théoriques et pratiques de la gestion des risques liés à la sécurité de l’information. Elle prépare efficacement les candidats à la certification ISO 27005 Risk Manager à partir d’études de cas.
CONTENU Introduction Le concept “risque” L’analyse de risques selon l’ISO Les méthodes d’analyse de risques Choix d’une méthode Conclusion |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
Implémenter et gérer un projet ISO 27001:2013, préparation aux certificationsASE / LI-SEC-002 |
||
OBJECTIFS PEDAGOGIQUES La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l’information décrit, sous forme d’exigences, les bonnes pratiques à mettre en place pour qu’une organisation puisse maîtriser efficacement les risques liés à l’information. Ce séminaire vous présentera dans un premier temps l’ensemble des normes ISO traitant de la sécurité du système d’information puis vous apportera les éléments nécessaires pour mettre en place un système de management (SMSI) du risque de la sécurité de l’information.
CONTENU Introduction Les normes ISO 2700x La norme ISO 27001:2013 Les bonnes pratiques, référentiel ISO 27002:2013 La mise en œuvre de la sécurité dans un projet SMSI Les audits de sécurité ISO 19011:2011 Les bonnes pratiques juridiques La certification ISO de la sécurité du SI – La relation auditeur-audité |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
Formation ISO 27005:2018 Risk Manager, préparation et certification
|
||
OBJECTIFS PEDAGOGIQUES |
||
Cette formation, basée en partie sur la norme ISO/CEI 27005:2018, permet aux participants d’acquérir les bases théoriques et pratiques de la gestion des risques liés à la sécurité de l’information. Elle prépare efficacement les candidats à la certification ISO 27005 Risk Manager à partir d’études de cas. Vous verrez également comment mettre en place la méthode EBIOS afin de pouvoir apprécier et traiter les risques relatifs à la sécurité des SI. | ||
PUBLIC |
PRE–REQUIS |
|
RSSI ou correspondants Sécurité, architectes de sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité. | Connaissances de base dans le domaine de la sécurité informatique. | |
CONTENU |
||
Introduction
Le concept « risque » L’analyse de risques selon l’ISO Les méthodes d’analyse de risques La méthode EBIOS RM Corrections collectives Révision finale et durée de l’examen |
||
SESSIONS PROGRAMMEES |
||
VALIDATION
|
||
PEDAGOGIEAlternance d’exposés et de travaux pratiques |
INTERVENANTSSpécialiste ISO 27005 |
|
MODALITES PRATIQUESDurée : 5 jours soit 35 heures avec 7 heures par jour |
||
ISO 27001, Lead Implementer, certification PECBISZ / LI-DSI-196 |
||
OBJECTIFS PEDAGOGIQUES Cette formation a pour objectif de revoir les connaissances nécessaires à la certification et de préparer au passage de l’examen. Elle se termine par l’examen proprement dit.
CONTENU Norme ISO/CEI 27001 et initialisation d’un SMSI Planification de la mise en oeuvre d’un SMSI Mise en oeuvre d’un SMSI Surveillance, mesure et amélioration continue Préparation de l’audit de certification du SMSI Certification |
||
SESSIONS PROGRAMMEES Accès au calendrier VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
ISO 27001, Lead auditor, certification PECBISD / LI-DSI-195 |
||
OBJECTIFS PEDAGOGIQUES Ce cours présente les normes ISO (19011, 27001, etc.) de la sécurité du système d’information puis les éléments pour auditer un système de management (SMSI) du risque de la sécurité de l’information.
CONTENU Système de management de la sécurité de l’information (SMSI) Principes, préparation et déclenchement de l’audit Activités d’audit sur site Clôture de l’audit Certification - Un certificat de participation de 31 crédits DPC (développement professionnel continu) est délivré. |
||
SESSIONS PROGRAMMEES Accès au calendrier VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |
ISO 27001:2013 Lead Implementer, mise en pratique, certificationLED / LI-DSI-145 |
||
OBJECTIFS PEDAGOGIQUES Ce stage est un complément au séminaire “Implémenter et gérer un projet ISO 27001:2013” pour les candidats à l’examen “Lead Implementer 27001:2013”. Il a pour objectif de réviser les connaissances nécessaires à la certification et vous préparer au passage de l’examen. Il se termine par l’examen proprement dit.
CONTENU Exercices – Travaux pratiques Corrections collectives Révision finale Examen |
||
SESSIONS PROGRAMMEES
VALIDATION Evaluation en fin de session
MODALITES PRATIQUES |