Cybersécurité, sensibilisation des utilisateurs

LI-SEC-080-AM

OBJECTIFS PEDAGOGIQUES

-       Expliquer et justifier la nécessité de mettre en place une PSSI et de la décliner.

-       Comprendre les principales parades mises en place dans l’entreprise.

-       Comprendre les offres de services du département Sécurité de la DDSI.

PUBLIC

PRE–REQUIS

CONTENU

- Quelques exemples.

Le cadre réglementaire : comprendre les enjeux de la SSI

- Qu’est-ce qu’une donnée personnelle et qu’est-ce qu’une donnée de santé ?

- Loi Informatique et Liberté, le rôle de la CNIL

- RGPD : les nouvelles règles liées à la protection des données personnelles

- Homologation RGS : pourquoi ?

- L’organisation de la sécurité : le rôle du RSSI, de la DDSI, le SMSI et la PSSI

- Présentation de la PSSI MCAS

- Les obligations du personnel informatique et la charte informatique

La sécurité informatique : comprendre les menaces et les risques

- Comprendre une cyber-attaque

- Sociologie des pirates. Motivations.

- Les composantes d’un SI et leurs vulnérabilités.

- Qu’est-ce que le social Engineering ?

- Les risques sur les réseaux d’entreprise (locaux, site à site, accès par Internet, réseaux sans fil…).

- Les dangers des périphériques USB

- Les attaques applicatives et web (injections, buffer overflow …)

- Comprendre ce qu’est un code malveillant.

 La protection de l’information et les bonnes pratiques

- Vocabulaire. Confidentialité, signature et intégrité. Les certificats.

- L’hygiène numérique et la protection des postes, ordiphones et tablettes

- Pourquoi l’authentification est-elle primordiale ? La gestion des mots de passe et des accréditations

- Comprendre les règles liées au chiffrement.

- Le rôle des différents équipements réseau de sécurité : firewall, proxy, IDS, DMZ (bastions)

- Accès distant via Internet : comprendre les VPN.

- Rappel du fonctionnement de TLS et de l’utilité de SSH

- L’importance des log : que dit la loi ?

Les bonnes pratiques pour des développements sécurisés

- Le concept de « Security by Design »

- La sécurité dans le cycle de développement.

- Qu’est-ce que l’Owasp ?

- Les règles de développement à respecter

- L’utilisation de V.D.S. (Vulnerability Detection System), un exemple avec l’utilisation de SonarQube

- Reverse proxy et firewall applicatif, détails des fonctionnalités.

- Différences entre audit, test des fonctions de sécurité

- La gestion des tickets de supports et l’importance de l’anonymisation des données. La création de jeux de test.

Les offres de services du département DDSI

- Intégration de la sécurité dans les projets

- Intégration de la sécurité dans les contrats de sous-traitance

- Offre opérationnelle

- Les process : comment faire appel aux offres de ce département

SESSIONS PROGRAMMEES

Uniquement proposé en intra. Contactez l’Institut 4.10

VALIDATION

Evaluation de fin de stage

PEDAGOGIE

Alternance d’exposés et de travaux pratiques

INTERVENANTS

Spécialiste Sécurité SI

MODALITES PRATIQUES

Durée : 1 jours soit 7 heures avec 7 heures par jour

Prix : Contactez l’institut 4.10

Horaires : 9h – 17h30

EBIOS 2010, mise en oeuvre de la gestion des risques

EBI / LI-SEC-045

CONTENU

Introduction – Rappel
- Objectifs d’EBIOS 2010. Evolution EBIOS v2. Compatibilités normatives 27001 et 27005.
- Présentation de la démarche méthodologique. Historique, rôle de l’ANSSI et du club EBIOS.
- Domaine d’application de la démarche : cible secteur public ou privé, tailles et secteurs d’activité visés.
- Application de la méthode sur systèmes de sécurité existants ou en cours de d’élaboration.
- Diffusion de la méthode EBIOS.

Etude du contexte
- Caractéristiques du contexte, identification du domaine d’application.
- Biens essentiels (actifs primaires), biens supports.
- Les menaces principales.

Etude des événements redoutés
- Appréciation des événements de sécurité redoutés.
- Identification, analyse et évaluation de chaque événement.

Etude des scénarios de menaces
- Appréciation des scénarios de menaces. Identification.
- Analyse et évaluation de chaque scénario de menace.

Etude des risques
- Analyse et évaluation des risques.
- Identification des objectifs de sécurité.
- Traitement des risques : choix des options.

Etude des mesures de sécurité
- Identifier les mesures de sécurité à mettre en oeuvre.
- Evaluer le risque résiduel (après application des mesures).
- Appréciation des risques résiduels. Rédaction de la déclaration d’applicabilité.
- Mise en oeuvre des mesures de sécurité et élaboration d’un plan d’action.
- Suivi de l’efficacité des mesures. Acceptation (homologation) des risques résiduels.

Conclusion
- Synthèse sur la méthode EBIOS.
- Comment personnaliser son analyse de risques.
- Revue de l’analyse : vers une démarche PDCA.
- Intégration de la démarche dans un SMSI.

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 2 jours soit 14 heures avec 7 heures par jour
Prix stagiaire : 1 297,00 € TTC
Horaires : 09h00 – 17h30

Plan de secours et de continuité, se préparer et faire face à la crise

PDS / LI-SEC-008

OBJECTIFS PEDAGOGIQUES

PUBLIC

PRE-REQUIS

CONTENU

- L’évolution des entreprises et de leur stratégie.
- L’importance stratégique de l’information.
- Les enjeux pour l’entreprise d’une stratégie de continuité : lois et réglementations, normes et standards.

Définitions et concepts

- Définir la stratégie de continuité.
- Les différences entre plan de continuité d’activité (BCP), plan de secours informatique (DRP), plan de reprise.
- Rappels de sécurité : critères DICP et les 11 thèmes ISO.
- La feuille de route de la continuité.Le projet et sa gestion
- Rappels sur la conduite de projet.
- Les phases d’un projet plan de continuité.
- Les particularités du projet plan de continuité.Analyse des risques
- Les composantes du risque.
- Les principes des différentes méthodes.
- Les autres standards (COBIT, ISO…).
- La notion de matrice d’incertitude.
- L’analyse des risques pour le plan de continuité.L’identification des activités critiques
- Déterminer les activités critiques (BIA) d’une entreprise.
- Les paramètres fondamentaux de l’analyse d’impact.
- La notion de Service Delivery Objectives.Les moyens pour la conception des dispositifs
- Les éléments et le budget pour élaborer les scénarios.
- Les différents sites de repli (hot, warm, cold sites, reciprocal agreement…) en interne ou externalisés.
- Les critères de décision.

Plans de continuité

- La construction des procédures.
- Les équipes de secours : constitution, rôles…
- Un exemple de canevas d’un plan de secours.

Procédures d’escalade et cellule de crise

- La gestion de l’escalade en phase avec le RTO.
- La constitution de la cellule de crise.
- Les principes de déclenchement du plan de secours.
- La continuité d’activité en tant que processus ITIL.
- L’importance du maintien en condition opérationnelle du plan au quotidien : le cycle de vie PDCA.
- Le processus continuité et autres processus.

SESSIONS PROGRAMMEES

Accès au calendrier

VALIDATION

Evaluation de fin de stage

PEDAGOGIE

Alternance d’exposés, de démonstrations et d’études de cas

INTERVENANTS

Spécialiste plan de secours

MODALITES  PRATIQUES

Durée : 2 jours soit 14 heures avec 7 heures par jour
Prix stagiaire : 1 685,00 € TTC
Horaires : 9h – 17h30

Audit, indicateurs et contrôle de la sécurité

UDI / LI-SEC-004

OBJECTIFS PEDAGOGIQUES

PUBLIC

PRE-REQUIS

CONTENU

- Rappels. Terminologie ISO 27000.
- Mise en œuvre du contrôle de la sécurité.
- Evaluation de la sécurité court-moyen-long terme.
- Le pilotage de la sécurité : la vue “ manager ”.
- Les revues de sécurité et les éléments d’entrée.
- La lisibilité de sa sécurité par rapport aux éditeurs.
- Rappel des contraintes réglementaires et normatives.

Les audits de sécurité

- Le métier de l’auditeur sécurité.
- Identifier le contexte de la mission.
- La préparation de la mission, l’analyse du référentiel.
- La classification des écarts, déterminer les critères de risques retenus.
- Revue documentaire.
- La préparation des interviews.
- Les tests techniques.
- L’audit sur site : ce qu’il faut faire (et ne pas faire).
- La rédaction des pistes d’amélioration, actions correctives.Les indicateurs et instruments de mesures
- La présentation des indicateurs et tableaux de bord, exemples de formats.
- Une typologie d’indicateurs. A quoi sert mon indicateur ?
- Le nombre et le choix des indicateurs en fonction du domaine d’application choisi.
- L’inscription dans une démarche ISO 27001. Les revues et réexamen de SMSI.
- La norme 27004 “ Information Security Management Measurements “ : l’essentiel.
- Les exemples de la norme sur des contrôles 27001 et mesures Annexe A.Les tableaux de bord et le pilotage de la sécurité
- Le suivi de la PSSI, la base de calcul de retour sur investissement.
- Les tableaux de bord : pour qui, pour quoi ? Suivi des actions et de la conformité PSSI pour le RSSI.
- Suivi des niveaux de risques acceptables pour les directions opérationnelles.
- Le référentiel “ Domaines – Bonnes pratiques ” comme instrument de suivi.
- Le référentiel “ Type de pratiques/maturité ” comme cible à atteindre.
- Exemples de tableaux de bord standard.Conclusion
- Le choix des indicateurs.
- La construction de mon premier tableau de bord.
- Mise en situation audit.

Etude de cas
Exercices sur projets types “ Sécurité logique ”, “ Protection des biens et des personnes ”, Sécurité des communications ”, “ Sécurité Application ”.

SESSIONS PROGRAMMEES

Accès au calendrier

VALIDATION

Evaluation de fin de stage

PEDAGOGIE

Alternance d’exposés, de démonstrations et d’études de cas

INTERVENANTS

Spécialiste audit sécurité

MODALITES  PRATIQUES

Durée : 2 jours soit 14 heures avec 7 heures par jour
Prix stagiaire : 1 561,00 € TTC
Horaires : 9h – 17h30

CISM, Certified IS Manager, préparation à la certification

ISM / LI-DSI-183

CONTENU

Domaine 1 : gouvernance de la sécurité de l’information
- Alignement de la stratégie de sécurité de l’information sur la stratégie d’entreprise et de la direction.
- Développement de la politique de sécurité de l’information.
- Engagement de la haute direction et soutien à la sécurité informatique dans toute l’entreprise.
- Définition des rôles et responsabilités dans la gouvernance de la sécurité de l’information.

Domaine 2 : gestion des risques de l’information et conformité
- Développement d’une approche systématique et analytique, ainsi que du processus continu de gestion des risques.
- Identification, analyse et évaluation des risques.
- Définition des stratégies de traitement des risques.
- Communication de la gestion des risques.

Domaine 3 : implémentation, gestion de programme sécurité de l’information
- L’architecture en sécurité de l’information.
- Méthodes pour définir les mesures de sécurité requises.
- Gestion des contrats et des prérequis de sécurité de l’information.
- Métriques et évaluation de la performance en sécurité de l’information.

Domaine 4 : gestion des incidents de sécurité de l’information
- Composantes d’un plan de gestion des incidents de sécurité.
- Concepts et pratiques en gestion des incidents de sécurité.
- Méthode de classification.
- Processus de notification et d’escalade.
- Techniques de détection et d’analyse des incidents.

Examen blanc et procédure de certification
- Simulation partielle de l’examen (examen blanc) effectuée en fin de formation.
- Inscription à faire sur le site www.isaca.org, la clôture des inscriptions est faite 2 mois avant la date de l’examen.
- Déroulement de l’examen : 4 heures de QCM avec 200 questions (examen disponible uniquement en anglais).

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 3 jours soit 21 heures avec 7 heures par jour
Prix stagiaire : 2 637,00 € TTC
Horaires : 09h00 – 17h30

CISA, Certified IS Auditor, préparation à la certification

ISB / LI-DSI-182

CONTENU

Domaine 1 : processus d’audit des systèmes d’information
- Les standards d’audit.
- L’analyse des risques d’audit et le contrôle interne.
- L’auto-évaluation des contrôles.
- La pratique d’un audit SI.

Domaine 2 : gouvernance et gestion des systèmes d’information
- La gouvernance des SI.
- La stratégie de la gouvernance du SI.
- Les procédures et le Risk management.
- La pratique de la gouvernance des SI.
- L’audit d’une structure de gouvernance.
- Les pratiques des plans de continuité et des plans de secours.
- L’audit des systèmes de continuité et de secours.

Domaine 3 : acquisition, conception, implantation des SI
- La gestion du cycle de vie des systèmes et de l’infrastructure.
- La gestion de projet : pratique et audit.
- Les pratiques de développement.
- L’audit de la maintenance applicative et des systèmes.
- Les contrôles applicatifs.

Domaine 4 : exploitation, entretien et soutien des systèmes d’information
- L’audit de l’exploitation des SI.
- L’audit des aspects matériels du SI.
- L’audit des architectures SI et réseaux.

Domaine 5 : protection des actifs informationnels
- La gestion de la sécurité : politique et gouvernance. L’audit et la sécurité logique et physique.
- L’audit de la sécurité des réseaux. L’audit des dispositifs nomades.

Se préparer à l’examen de certification
- Examen blanc. Simulation partielle de l’examen effectuée en fin de formation.
- Inscription à faire sur le site www.isaca.org, la clôture des inscriptions est faite 2 mois avant la date de l’examen.
- Présentation du déroulé : 4 heures de QCM avec 200 questions à choisir préalablement en français ou en anglais.

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 5 jours soit 35 heures avec 7 heures par jour
Prix stagiaire : 4 101,00 € TTC
Horaires : 09h00 – 17h30

Data Protection Officer (DPO), certification

OFP / LI-DSI-181

CONTENU

Les fondamentaux de la vie privée
- Introduction à la protection des données.
- Le GDPR (Règlement Général sur la Protection des données).
- Le DPO (Délégué à la protection des données).

Introduction au GDPR et principes de confidentialité
- Cadre réglementaire.
- Principes fondamentaux de la protection des renseignements personnels.
- Règlement général sur la protection des données.
- Organismes de l’UE : groupe de travail international sur la protection des données dans les télécommunications (IWGDPT).
- Autorités de surveillance, Groupe de l’article 29, etc.
- Législation : cadre juridique, consentement, catégories spéciales des données personnelles.

Délégué à la protection des données (DPO)
- Nomination, fonction, responsabilités, missions.
- Gouvernance de l’Internet, cyberdroits et transferts internationaux de données.
- Législation et systèmes dans le monde.
- Transversalité du DPO au sein de l’entreprise : collaboration avec les équipes juridiques, marketing, IT, achats…

Gestion des risques et sécurité de l’information
- Gestion des risques : concepts, analyse de risques, méthodologies et standards, surveillance.
- Systèmes d’information et sécurité : fonctions et responsabilités, formation et sensibilisation, classification.
- Accès, exposition, cryptographie et signatures numériques.
- Sécurité mobile et la Big Data (concept, NoSQL et applications).
- Internet des objets : concepts, modèles et principes, applications, menaces.
- Nouvelles technologies, nouvelles menaces.

Incidents et protection
- Gestion des incidents : incident de sécurité de l’information, évènement.
- Continuité des activités : récupération, temps, stratégie.
- Évaluation de l’impact sur la protection des données.
- Cycle de vie des données personnelles.

Examen de certification
- Examen papier composé de 12 questions ouvertes, à traiter en 3h.
- Déroulement à « livre ouvert » (autorisé avec support et notes personnelles prises durant la session).

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 5 jours soit 35 heures avec 7 heures par jour
Prix stagiaire : 3 352,00 € TTC
Horaires : 9h – 17h30

EBIOS 2010 Risk Manager, certification

RIC / LI-DSI-180

CONTENU

Objectifs de connaissance sur la méthode EBIOS
- Connaître les grands principes de la méthode EBIOS et les étapes de la gestion du risque.
- Connaître le vocabulaire spécifique au domaine et sa définition.
- Connaître la structure de la méthode et savoir s’y référencer rapidement.
- Comprendre le contexte de l’étude et savoir identifier les biens essentiels et les biens supports.
- Savoir exprimer les besoins en sécurité par des critères de sécurité et estimer les niveaux de gravité.

Rappels sur la démarche modules/activités d’EBIOS 2010
- Savoir identifier les sources de menaces.
- Déterminer pour un événement redouté, les scénarios probables de menaces.
- Savoir quantifier le niveau de vraisemblance d’un scénario de menace et déterminer les impacts potentiels.
- Savoir quantifier le niveau de risque associé à un événement redouté et à des scénarios de menaces.

Préparation de l’examen EBIOS
- Préparation corrigée en vue du passage de l’examen officiel respectant le règlement de certification officiel EBIOS.
- Nombreux exercices écrits et oraux de mise en situations, tests de connaissance de type QCM.
- Etudes de cas, inventaire d’actifs, analyse des menaces et vulnérabilités, création du plan de traitement des risques.
- Correction collective des exercices et études de cas. Feedback et explication des erreurs.
- Conseils, trucs, astuces et pièges à éviter pour l’examen “Risk Manager EBIOS 2010”.

Examen écrit et oral “Risk manager EBIOS 2010”
- L’examen écrit dure 2 heures 30.
- L’examen comporte deux parties : un questionnaire type QCM et une étude de cas.
- Le candidat doit obtenir un minimum de 65/100 pour être certifié.

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 1 jour soit 7 heures avec 7 heures par jour
Prix stagiaire : 1 826,00 € TTC
Horaires : 9h – 17h30

M_o_R®, Risk Management, Practitioner, certification

MPR / LI-DSI-171

CONTENU

Introduction à M_o_R® Practitioner
- Rappels des objectifs de M_o_R®. Objectifs spécifiques de M_o_R Practitioner.
- L’examen de certification de M_o_R® Practitioner. Conseils de préparation.
- Présentation du manuel officiel de M_o_R®.
- L’approche M_o_R® pour le management des risques. Identifier les bénéfices apportés par M_o_R®.

Les principes de M_o_R®
- Détails des huit principes de M_o_R®.
- Les bénéfices associés à l’application de ces principes.
- Les mécanismes qui supportent ces principes : KPI, EWI, seuil de tolérance, parties prenantes, modèle de maturité…
- L’adaptation des principes à la pratique de gestion des risques dans un contexte organisationnel spécifique.
- Le rôle de la communication et des parties prenantes dans un processus de gestion des risques selon M_o_R®.

L’approche M_o_R®, le contenu des documents de référence
- La politique de management des risques.
- Le guide de processus.
- La stratégie de management des risques.
- Le registre des risques et le registre des problèmes.
- Le plan d’amélioration de la gestion des risques.
- Le plan de communication.
- Le plan de réponse au risque.
- Les facteurs organisationnels à prendre en compte lors de la création des documents de référence M_o_R®.

Les perspectives de M_o_R®
- L’approche intégrée de gestion des risques à travers les perspectives (stratégique, programme, projet, opération).
- La performance du processus de mesure de la valeur ajoutée de la gestion des risques.
- Adapter le modèle M_o_R® aux spécificités de l’organisation pour les quatre perspectives.
- Identifier les actions, techniques, rôles et responsabilités appropriés pour la mise en œuvre du modèle M_o_R®.
- Les techniques utiles : Delphi, analyse par hypothèse, analyse par contrainte…

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 2 jours soit 14 heures avec 7 heures par jour
Prix stagiaire : 2090€ TTC
Horaires : 9h – 17h30

CRISC®, gestion des risques SI, préparation à la certification, Certified in Risk and Information Systems Control

RSC / LI-DSI-170

CONTENU

Introduction au Certified in Risk and Information Systems Control
- Présentation générale du CRISC.
- Présentation du modèle d’examen et du processus de certification.

Domaine 1 : identification, analyse et évaluation du risque
- Normes en gestion des risques : ISO 31000, ISO 27005…
- Référentiels de gestion des risques : RISK IT, COSO ERM, COBIT…
- Composants, principes et concepts de gestion des risques en entreprise.
- Les risques aux différents niveaux de l’entreprise.
- Méthodes d’identification des risques.
- Méthodes d’analyse et d’évaluation des risques.
- Analyses quantitative et qualitative des risques.

Domaine 2 : réponses au risque
- Modes de traitement des risques.
- Mitigation des risques et contrôle du Système d’Information.
- Réduction du risque.
- Transfert du risque.
- Acceptation des risques résiduels.
- Plans de traitement des risques.

Domaine 3 : surveillance du risque
- Cycle de vie du traitement des risques.
- Surveillance des risques traités.
- Surveillance des risques résiduels.
- Evaluation de performance de la gestion des risques et reporting des risques.
- Indicateurs clés des risques (KRI).
- Gestion de risque & résilience métier.

Domaine 4 : contrôles du système d’information
- Définition des contrôles du SI.
- Implémentation des contrôles du SI.
- Mesure des processus et services liés aux contrôles du SI.

Domaine 5 : cycle de vie des contrôles du SI
- Planification stratégique de la gestion du cycle de vie des contrôles du SI.
- Périmètre, objectifs et bénéfices des programmes de gestion du cycle de vie des contrôles du SI.
- Surveillance permanente des contrôles du SI.
- Maintenance des contrôles du SI.
- Amélioration continue de la gestion des risques et des contrôles du SI.
- Reporting périodique de l’efficacité des contrôles du SI.

Préparation à l’examen
- Discussions et échanges. Bonnes pratiques pour réussir l’examen.
- Simulation d’examen et correction collective.

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 3 jours soit 21 heures avec 7 heures par jour
Prix stagiaire : 1 949,00 € TTC
Horaires : 9h – 17h30

Usages et impacts de la signature électronique

SIG / LI-DSI-150

CONTENU

La signature électronique : définition et usages
Les concepts et principes de la signature électronique.
Les enjeux et gains liés à son usage.

Le cadre juridique
Les lois, décrets et arrêtés.
Les différents niveaux de mise en oeuvre.
Les recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Le Référentiel Général de Sécurité V2 (RGS) et le Règlement européen.
Le RGS : une obligation pour les autorités administratives et une bonne pratique pour les entreprises.
 
Les usages actuels
Les usages métiers, internes et externes.
L’adaptation des moyens aux enjeux.
Le choix du niveau de sécurité.

Travaux pratiques
Déterminer le niveau optimal de qualité d’un certificat numérique.
 
Les impacts de l’usage de la signature électronique
Les impacts sur le système d’information et sur les applications.
Les conséquences sur l’organisation.

Travaux pratiques
Identifier les impacts de la mise en place de la signature électronique sur une application métier.

Les outils
L’état de l’art.
Les logiciels et services du marché.
Le choix sur l’internalisation ou l’externalisation.

Travaux pratiques
Identifier les impacts de la mise en place de la signature numérique sur une application métier.

Les normes et standards
Les normes et formats : P7, Xades, PDF Signature et Pades.
Les éléments de constitution et de conservation de la preuve électronique.

Travaux pratiques
Produire, visualiser, horodater et valider des signatures électroniques dans différents formats.

Le RGS et les référentiels documentaires
Les différents documents à produire : politique de signature, de validation et de gestion des preuves.
Les recommandations du RGS : analyse de risques et évaluation des menaces.

Travaux pratiques
Définir le contenu d’une politique de signature numérique.

L’optimisation d’un projet de signature électronique
Les budgets et les délais.
Les points-clés de la conduite du changement.

Accès au calendrier

VALIDATION

Evaluation de fin de session

MODALITES PRATIQUES
Durée : 2 jours soit 14 heures avec 7 heures par jour
Prix stagiaire : 1 252,00 € TTC
Horaires : 9h – 17h30

Sécurité SI, mise en œuvre pratique d’une analyse de risques

CUR / LI-DSI-089

CONTENU

La notion de risque en sécurité des informations
- Les probabilités et la vraisemblance.
- Les impacts sur le SI et sur les métiers.
- La quantification du niveau de gravité.
- Les types de risques.
- La gestion par les risques. Principes. Avantages.

L’identification des biens informationnels
- Faire l’inventaire des biens : les informations et leurs supports (primaires, secondaires).
- L’organisation en place, le périmètre à couvrir.
- La classification DICT.
- Les intérêts et la méthode.

L’analyse de risque
- Identification des menaces et des vulnérabilités.
- Evaluation des risques encourus.
- Priorisation : la matrice des risques, la notion de scénario.

Les méthodes utiles
- Les méthodes françaises : EBIOS, MEHARI.
- Les méthodes internationales : OCTAVE.
- Les apports, les avantages et les inconvénients de chaque méthode.
- Le choix approprié d’une méthode et la personnalisation.

Les normes
- Les différentes normes utiles pour les analyses de risques.
- La démarche d’analyse de risques dans le cadre 27001.
- L’approche PDCA (Plan – Do – Check – Act).
- Les apports de l’ISO 27002, de BS25999 et de l’ISO 31000.

Construction du plan de traitement des risques
- La palette des actions : prévention, protection, report de risque, externalisation, assurances.
- Construire un plan de traitement des risques à partir de la matrice des risques et des autres sources (audits…).
- Que contient le plan : les objectifs et les mesures, les indicateurs d’avancement et de qualité.
- Les risques résiduels.
- La gestion et les usages du plan de traitement des risques.

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 2 jours soit 14 heures avec 7 heures par jour
Prix stagiaire : 1 297,00 € TTC
Horaires : 09h00 – 17h30

ISO 27001:2013 Bridge, passer de la version 2005 à la version 2013

NIM/LI-SEC-063

OBJECTIFS PEDAGOGIQUES

PUBLIC

PRE-REQUIS

CONTENU

SESSIONS PROGRAMMEES

 Accès au calendrier

VALIDATION

Evaluation de fin de stage

PEDAGOGIE

Alternance d’exposés, de démonstrations et d’études de cas

INTERVENANTS

Spécialiste

MODALITES  PRATIQUES

Durée : 1 jours soit 7 heures avec 7 heures par jour
Horaires : 9h – 17h30
Prix stagiaire : 933 € TTC

ISO 27005:2011 Risk Manager, préparation à la certification, analyse de risques

AIR / LI-SEC-003

CONTENU

Introduction
- Terminologie ISO 27000 et ISO Guide 73.
- Définitions de la Menace. Vulnérabilité. Risques.
- Principe général de la sécurité ISO 13335.
- La classification CAID.
- Rappel des contraintes réglementaires et normatives (SOX, COBIT, ISO 27001…).
- Le rôle du RSSI versus le Risk Manager.
- La future norme 31000, de l’intérêt de la norme “chapeau”.

Le concept “risque”
- Identification et classification des risques.
- Risques opérationnels, physiques et logiques.
- Les conséquences du risque (financier, juridique, humain …).
- La gestion du risque (prévention, protection, évitement de risque, transfert).
- Assurabilité d’un risque, calcul financier du transfert à l’assurance.
- Les rôles complémentaires du RSSI et du Risk Manager/DAF.

L’analyse de risques selon l’ISO
- La méthode de la norme 27001:2013.
- L’intégration au processus PDCA.
- La création en phase Plan de la section 4.
- La norme 27005:2011 : Information Security Risk Management.
- La mise en œuvre d’un processus PDCA de management des risques.
- Les étapes de l’analyse de risques.
- La préparation de la déclaration d’applicabilité (SoA).

Les méthodes d’analyse de risques
- Les méthodes françaises. EBIOS 2010.
- Etude du contexte, des scénarios de menaces, des événements redoutés, des risques, des mesures de sécurité.
- EBIOS dans une démarche ISO PDCA de type SMSI 27001.
- MEHARI 2010. L’approche proposée par le CLUSIF.
- Elaboration d’un plan d’actions basé les services de sécurité. Alignement MEHARI 27005 et référentiel ISO 27002.
- CRAMM, OCTAVE… Historique, développement, présence dans le monde. Comparaisons techniques.

Choix d’une méthode
- Comment choisir la meilleure méthode ?
- Les bases de connaissances (menaces, risques…).
- La convergence vers l’ISO, la nécessaire mise à jour.
- Etre ou ne pas être “ISO spirit” : les contraintes du modèle PDCA.

Conclusion
- Une méthode globale ou une méthode par projet.
- Le vrai coût d’une analyse de risques.

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 3 jours soit 21 heures avec 7 heures par jour
Prix stagiaire : 2 302,00 € TTC
Horaires : 09h00 – 17h30

Implémenter et gérer un projet ISO 27001:2013, préparation aux certifications

ASE / LI-SEC-002

CONTENU

Introduction
- Rappels. Terminologie ISO 27000 et ISO Guide 73.
- Définitions : menace, vulnérabilité, protection.
- La notion de risque (potentialité, impact, gravité).
- La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
- La gestion du risque (prévention, protection, report, externalisation).
- Analyse de la sinistralité. Tendances. Enjeux.
- Les réglementations SOX, PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
- Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
- L’apport de l’ISO pour les cadres réglementaires.
- L’alignement COBIT, ITIL® et ISO 27002.

Les normes ISO 2700x
- Historique des normes de sécurité vues par l’ISO.
- Les standards BS 7799, leurs apports à l’ISO.
- Les normes actuelles (ISO 27001, 27002).
- Les normes complémentaires (ISO 27005, 27004, 27003…).
- La convergence avec les normes qualité 9001 et environnement 14001.
- L’apport des qualiticiens dans la sécurité.

La norme ISO 27001:2013
- Définition d’un Système de Gestion de la Sécurité des Systèmes (ISMS).
- Objectifs à atteindre par votre SMSI.
- L’approche “amélioration continue” comme principe fondateur, le modèle PDCA (roue de Deming).
- La norme ISO 27001 intégrée à une démarche qualité type SMQ.
- Détails des phases Plan-Do-Check-Act.
- De la spécification du périmètre SMSI au SoA (Statement of Applicability).
- Les recommandations de l’ISO 27001 pour le management des risques.
- De l’importance de l’appréciation des risques. Choix d’une méthode type ISO 27005:2011.
- L’apport des méthodes EBIOS, MEHARI dans sa démarche d’appréciation.
- L’adoption de mesures de sécurité techniques et organisationnelles efficientes.
- Les audits internes obligatoires du SMSI. Construction d’un programme.
- L’amélioration SMSI. La mise en œuvre d’actions correctives et préventives.
- Les mesures et contre-mesures des actions correctives et préventives.
- L’annexe A en lien avec la norme 27002.

Les bonnes pratiques, référentiel ISO 27002:2013
- Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
- Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
- Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
- La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
- Exemples d’application du référentiel à son entreprise : les mesures de sécurité clés indispensables.

La mise en œuvre de la sécurité dans un projet SMSI
- Des spécifications sécurité à la recette sécurité.
- Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
- De l’analyse de risques à la construction de la déclaration d’applicabilité.
- Les normes ISO 27003, 15408 comme aide à la mise en œuvre.
- Intégration de mesures de sécurité au sein des développements spécifiques.
- Les règles à respecter pour l’externalisation.
- Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
- Les rendez-vous “Sécurité” avant la recette.
- Intégrer le cycle PDCA dans le cycle de vie du projet.
- La recette du projet ; comment la réaliser : test d’intrusion et/ou audit technique ?
- Préparer les indicateurs. L’amélioration continue.
- Mettre en place un tableau de bord. Exemples.
- L’apport de la norme 27004.
- La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management…

Les audits de sécurité ISO 19011:2011
- Processus continu et complet. Etapes, priorités.
- Les catégories d’audits, organisationnel, technique…
- L’audit interne, externe, tierce partie, choisir son auditeur.
- Le déroulement type ISO de l’audit, les étapes clés.
- Les objectifs d’audit, la qualité d’un audit.
- La démarche d’amélioration pour l’audit.
- Les qualités des auditeurs, leur évaluation.
- L’audit organisationnel : démarche, méthodes.
- Apports comparés, les implications humaines.

Les bonnes pratiques juridiques
- La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
- La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions. La loi LCEN.
- Conformité ISO et conformité juridique : le nouveau domaine 18 de la norme ISO 27002:2013.

La certification ISO de la sécurité du SI – La relation auditeur-audité
- Intérêt de cette démarche, la recherche du “label”.
- Les critères de choix du périmètre. Domaine d’application. Implication des parties prenantes.
- L’ISO : complément indispensable des cadres réglementaires et standard (SOX, ITIL®…).
- Les enjeux économiques escomptés.
- Organismes certificateurs, choix en France et en Europe.
- Démarche d’audit, étapes et charges de travail.
- Norme ISO 27006, obligations pour les certificateurs.
- Coûts récurrents et non récurrents de la certification.

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 3 jours soit 21 heures avec 7 heures par jour
Prix stagiaire : 2 302,00 € TTC
Horaires : 09h00 – 17h30

ISO 27001:2013 Lead Implementer, mise en pratique, certification

LED / LI-DSI-145

CONTENU

Exercices – Travaux pratiques
- Ce stage vous propose à titre de préparation de nombreux exercices, études de cas et travaux pratiques.
- Focus sur une préparation optimale pour le passage de l’examen. Respect du règlement de certification officielle ISO.
- Des projets types de sécurité vous seront proposés afin d’expérimenter par la pratique.
- La mise en oeuvre d’une démarche PDCA et de bonnes pratiques ISO 27001 et ISO 27002.
- Vous construirez une déclaration d’applicabilité à partir d’une analyse de risques de type ISO 27001 ou 27005.
- Vous apprendrez à déterminer les indicateurs clés d’une PSSI et d’un projet de sécurité.
- Une démarche pédagogique interactive vous sera proposée.
- Exercices écrits et oraux de mise en situations, tests de connaissance de type QCM.

Corrections collectives
- Les résultats des exercices et travaux pratiques vous sont restitués sous forme de corrections collectives.
- Durant ces corrections, les erreurs éventuelles sont analysées et commentées.

Révision finale
- Pour clore la préparation, révision finale.
- Trucs, astuces et pièges à éviter pour mieux vous préparer au passage de la certification.

Examen
- L’examen écrit dure 3 heures 30.
- Le déroulement de l’examen écrit est présenté par le formateur lors de la première journée de formation.
- Contenu de l’examen, règles à respecter. Normes ou autres documents mis à la disposition des candidats.
- Modalités mises en oeuvre pour respecter la confidentialité des copies.
- Points minimaux requis pour l’obtention de l’examen écrit.
- L’examen comporte un questionnaire à choix multiples relatif à la norme ISO/IEC 27001.
- L’examen comporte également des exercices pratiques et une étude de cas.
- Les résultats de l’examen vous parviendront par courrier 4-6 semaines plus tard.

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 2 jours soit 14 heures avec 7 heures par jour
Prix stagiaire : 1 297,00 € TTC
Horaires : 9h – 17h30

ISO 27034, sécurité des applications, Lead Implementer, certification

LAI / LI-DSI-133

CONTENU

Introduction aux concepts de la Sécurité Applicative
- Introduction à la Sécurité Applicative et à la vision globale amenée par ISO/CEI 27034.
- Revue des principes fondamentaux en sécurité de l’information.
- Concepts, principes, définitions, périmètres, composants, processus et acteurs impliqués en Sécurité Applicative.
- Concepts implicites, intégrés.
- Présentation de la série 27034 : organisation, projets, validation/vérification/certification, structure, schémas XML.

Implémentation de la Sécurité Applicative basée sur ISO/CEI 27034
- Buts de la Sécurité Applicative au niveau d’une organisation.
- Le Cadre Normatif de l’Organisation (CNO).
- Le comité du CNO.
- Le processus de gestion du CNO.
- L’intégration des éléments d’ISO/CEI 27034 dans les processus existants de l’organisation.
- Design, validation, implémentation, vérification, opération et évolution des CSA.
- Bibliothèque et matrice de traçabilité de CSA.
- Ébaucher le processus de certification.

Implémentation de la sécurité applicative basée sur ISO/CEI 27034 (suite)
- Le processus de gestion de la sécurité d’une application.
- Fournir et opérer une application.
- Maintenir le niveau de confiance actuel au niveau de confiance cible.
- Développement de la validation de la SA.

Validation de la sécurité applicative
- Audits interne de la sécurité applicative.
- Minimiser le coût d’un audit. S’assurer que toutes les preuves sont disponibles.
- Validation et certification de la sécurité applicative selon ISO 27034 : organisation et projet.

Protocoles et structures de données des CSA
- Un langage formel gratuit pour communiquer : les CSA.
- Schémas XML proposés par ISO 27034 (structure de données, descriptions, représentation graphique).

Guides pour organisations et applications spécifiques
- 27034 pour aider à résoudre la mise en place de CSA répondant aux exigences de lois conflictuelles dans une application.
- Développer des CSA.
- Acquérir des CSA.

Examen de certification

Accès au calendrier

VALIDATION

Evaluation en fin de session

MODALITES PRATIQUES
Durée : 5 jours soit 35 heures avec 7 heures par jour
Prix stagiaire : 3 005,00 € TTC
Horaires : 9h – 17h30

ISO 27034, sécurité des applications, Lead Auditor, certification

LAD / LI-DSI-132

CONTENU

Introduction aux concepts de la sécurité applicative
- Revue des principes fondamentaux en sécurité de l’information.
- Vision globale de la norme ISO 27034.
- Concepts, principes, définitions, portée, composants, processus et acteurs impliqués en sécurité applicative.
- Concepts implicites intégrés à la norme.
- Avantages et limites de ISO 27034.
- Différences et complémentarité avec les critères communs et le CMMI.
- Le Cadre Normatif de l’Organisation (CNO) et le processus de certification ISO/CEI 27034.
- Présentation détaillée des sections 6 à 8 d’ISO/IEC 27034-1:2011.

Introduction à l’audit de la sécurité applicative
- Concepts d’audit fondamentaux et principes selon ISO 19011.
- La communication durant un audit.
- Procédures d’audit.
- L’audit documentaire.
- Audit sur site et formulation des constats d’audit, documenter les non-conformités.
- Revue de qualité de l’audit.
- Évaluation des plans d’actions correctives.

L’audit de sécurité applicative selon ISO 27034
- Approche basée sur la priorisation des risques de sécurité inacceptables et sur la production de preuves.
- Audit de surveillance ISO/CEI 27034.
- Programme de gestion d’audit interne ISO/CEI 27034.
- Préparation d’un audit de certification ISO 27034.
- Entente sur le périmètre de l’audit de sécurité applicative.
- Détermination des applications dans le périmètre.
- Détermination des éléments de sécurité applicative dans le périmètre pour chaque application.

Audit au niveau de l’organisation
- Entente sur le périmètre de l’audit de SA pour l’organisation.
- Le Cadre Normatif de l’Organisation (CNO).
- La gestion du CNO.
- Les objectifs de sécurité applicative de l’organisation.

Audit au niveau des applications
- Entente sur le périmètre de l’audit de sécurité applicative pour l’application.
- Le cadre normatif de l’application (CNA).
- Le processus de gestion de la sécurité applicative au niveau du CNA.
- Niveau de confiance et CSA.
- ISO 27034 – Révision finale.
- Questions-réponses.

Examen de certification

Uniquement en intra : contactez votre site Institut 4.10

VALIDATION
Evaluation en fin de session

MODALITES PRATIQUES
Durée : 5 jours soit 35 heures avec 7 heures par jour
Prix intra : contactez votre site Institut 4.10
Horaires : 9h – 17h30