Management des SI > Sécurité (RSSI)

Sécurité des SI
  • LI-SEC-082 EBIOS RM, gestion des cyber risques
    EBIOS RM, gestion des cyber risques
    IVH / LI-SEC-082

    OBJECTIFS PEDAGOGIQUES

    La méthode EBIOS permet d’apprécier et de traiter les risques relatifs à la sécurité des SI en se fondant sur une expérience éprouvée en matière de conseil SI et d’assistance MOA. Ce séminaire vous apportera toutes les connaissances nécessaires à sa mise en œuvre en situation réelle.
    A la fin du cours, le stagiaire sera capable de :
    Comprendre les enjeux sur les risques cyber : la cyber défense par le risque
    Évaluer en quoi le nouvel EBIOS s’adapte (ou pas) aux enjeux actuels de sécurité
    Comprendre l’approche de la gestion de risque proposée
    Appréhender le vocabulaire et les concepts développés par l’ANSSI
    Réaliser une étude complète via l’ensemble des ateliers proposés

    PUBLIC

    PRE–REQUIS

    RSSI ou correspondants sécurité, architectes sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité. Connaissances de base en management de risques et en cybersécurité, ou connaissances équivalentes à celles apportées par les stages BYR et ASE ou BYR et AIR.
    -

    CONTENU

    La cybermenace en 2019
    - Les cyber vols et le cyber espionnage de données sensibles.
    - Vers une nouvelle guerre froide Est-Ouest, USA-Chine.
    - Les dénis de services d’envergure mondiale.
    - Les groupes de hackers organisés, le rôle des agences de renseignements.
    - Phishing/ingénierie sociale, Spear phishing : des scénarios bien rodés.
    - Les Advanced Persistent Threats : la menace ultime.
    - Vol de données sensibles, intrusions réseaux, malwares, bots/botnets et ransomwares.
      
    Identification et analyse de la cyber menace
    - L’approche des militaires appliquée au monde cyber.
    - L’approche US avec le Find, Fix, Track, Target, Engage, Assess.
    - La cyber kill chain comme base de description. Exemple type : Lockheed Martin.
    - Les phases Reconnaissance, Weaponization, Delivery, Exploit, Installation, Control (C2). Actions on Objectives.
    - Le portrait robot d’une attaque ciblée selon l’ANSSI.
    - Les phases du processus (Connaître, Rentrer, Trouver, Exploiter).
    - L’identification des chemins d’attaque directs et indirects.
      
    La méthode EBIOS
    - Rôle de l’ANSSI et du club EBIOS.
    - EBIOS face aux enjeux de la LPM.
    - Apport de la nouvelle méthode EBIOS et EBIOS 2010.
    - EBIOS et le reste du monde : comparatif EBIOS/MEHARI.
    - La compatibilité EBIOS RM/ISO 31000-27005.
    Les fondamentaux de la méthode
    - Valeur métier, bien supporté, écosystème, partie prenante.
    - Approche par conformité versus approche par scénarios de risques.
    - Prise en compte des menaces intentionnelles sophistiquées de type APT.
    - Appréciation de son écosystème et des parties prenantes critiques de rang 1, 2, 3.
    - EBIOS RM au processus d’homologation de la LPM et de la directive NIS.
    - Règles de sécurité de l’approche par conformité (guide d’hygiène, mesures LPM/NIS…).
    - Processus Gestion de Risques comme mesure de la gouvernance SSI.
      
    Les objectifs de EBIOS RM
    - Identifier le socle de sécurité adapté à l’objet de l’étude.
    - Être en conformité avec les règlements de sécurité (métier/juridique/contractuel).
    - Identifier et analyser les scénarios de haut niveau en intégrant l’écosystème et les parties prenantes.
    - Identifier et impliquer les mesures de sécurité pour les parties prenantes critiques.
    - Réaliser une étude préliminaire de risque pour identifier les axes prioritaires d’amélioration.
    - Les axes prioritaires d’amélioration : la sécurité et les points faibles exploitables des attaquants.
    - Conduire une étude de risque détaillée visant, par exemple, l’homologation type ANSSI.
      
    Les activités de la méthode (1 et 2)
    - Atelier – Cadrage et socle de sécurité :
    - Quelles valeurs métiers, bien, supports faut-il cartographier ?
    - Quels événements à redouter, vus de l’activité métier ?
    - Quel socle de sécurité intégrer : ANSSI, PSSI interne… ?
    - Quels référentiels de réglementation identifier comme obligatoires ?
    - Atelier – Sources de risque et objectifs visés :
    - Quelle attractivité des valeurs métiers, cyber attaquants ?
    - Quelle implication des métiers dans la connaissance des sources de risques ?
    - Quels critères pour évaluer les couples SR-OV : l’évaluation des ressources et motivation des groupes attaquants.
    Etude de cas
    Présentation des ateliers 1 et 2.

     Les activités de la méthode (3, 4 et 5)
    -  Atelier – Scénarios stratégiques et opérationnels :
    - Quelles sont les parties prenantes de l’écosystème ?
    - Quels scénarios vus des métiers puis vus de la technique ?
    - Quels chemins d’attaques directs et indirects décrire ?
    - Comment calculer les vraisemblances des scénarios : de la méthode expresse à la méthode avancée.
    - Atelier – Traitement du risque :
    - Quels risques considérer comme inacceptables dans le contexte ?
    - Quels livrables pour une étude EBIOS RM ?
    - Déclaration d’applicabilité type ISO 27001, rapport d’appréciation des risques LPM/NIS, fiches FEROS, etc.
    Etude de cas
    Présentation des ateliers 3, 4 et 5.

    EBIOS, étude de cas
    - Le contexte de l’étude : implication des métiers dans l’identification des valeurs métiers et des impacts ressentis.
    - Détermination des sources de risques et des objectifs d’attaques potentiels.
    - Détermination des obligations réglementaires, juridiques et l’identification des parties prenantes critiques de rang 1.
    - La construction de la cartographie de menace numérique de l’écosystème dans le contexte.
    - Les activités des ateliers nécessaires à la construction des scénarios stratégiques puis opérationnels.
    - L’évaluation des risques en termes de gravité et de vraisemblance.
    - Élaboration d’une méthode de calcul de la maturité cyber et dépendance par rapport aux parties prenantes.
    - Élaboration du plan de traitement des risques.
    - L’élaboration d’un plan d’actions.
    - Les mesures de sécurité techniques (protection, défense) et organisationnelles (gouvernance, résilience).
    - Le choix des mesures parmi les règles de sécurité des référentiels LPM/NIS.
    - Le choix d’un logiciel certifié ANSSI (en cours de certification : ARIMES, EGERIE, AGILE RM, FENCE, IBM OpenPages, …).
    - La construction provisoire de son « logiciel » sur base tableur.

    SESSIONS PROGRAMMEES

    Accès au calendrier

     

    VALIDATION

    Evaluation de fin de session

    PEDAGOGIE

    Alternance d’exposés et de travaux pratiques

    INTERVENANTS

    Spécialiste Management des risques

    MODALITES PRATIQUES

    Durée : 2 jours soit 14 heures avec 7 heures par jour
    Prix stagiaire : 1.729 € TTC
    Horaires : 9h – 17h30

    ( )
  • LI-SEC-080-AM Cybersécurité, sensibilisation des utilisateurs
    Cybersécurité, sensibilisation des utilisateurs
    LI-SEC-080-AM

    OBJECTIFS PEDAGOGIQUES

    A la fin du cours, le stagiaire sera capable de :-       Faire connaître les risques et les menaces portant atteinte à la sécurité du système d’information.

    -       Expliquer et justifier la nécessité de mettre en place une PSSI et de la décliner.

    -       Comprendre les principales parades mises en place dans l’entreprise.

    -       Comprendre les offres de services du département Sécurité de la DDSI.

    PUBLIC

    PRE–REQUIS

    Tous les utilisateurs contribuant à la fabrication du Système d’Information. Aucune connaissance particulière.

    CONTENU

    Introduction- Cadre général : qu’entend-on par sécurité informatique (menaces, risques, protection) ?- Les grands principes de la sécurité : sécurité en profondeur, roue de Deming, le compromis ergonomie/fonctionnalités/sécurité- Comment une négligence peut créer une catastrophe.

    - Quelques exemples.

    Le cadre réglementaire : comprendre les enjeux de la SSI

    - Qu’est-ce qu’une donnée personnelle et qu’est-ce qu’une donnée de santé ?

    - Loi Informatique et Liberté, le rôle de la CNIL

    - RGPD : les nouvelles règles liées à la protection des données personnelles

    - Homologation RGS : pourquoi ?

    - L’organisation de la sécurité : le rôle du RSSI, de la DDSI, le SMSI et la PSSI

    - Présentation de la PSSI MCAS

    - Les obligations du personnel informatique et la charte informatique

    La sécurité informatique : comprendre les menaces et les risques

    - Comprendre une cyber-attaque

    - Sociologie des pirates. Motivations.

    - Les composantes d’un SI et leurs vulnérabilités.

    - Qu’est-ce que le social Engineering ?

    - Les risques sur les réseaux d’entreprise (locaux, site à site, accès par Internet, réseaux sans fil…).

    - Les dangers des périphériques USB

    - Les attaques applicatives et web (injections, buffer overflow …)

    - Comprendre ce qu’est un code malveillant.

     La protection de l’information et les bonnes pratiques

    - Vocabulaire. Confidentialité, signature et intégrité. Les certificats.

    - L’hygiène numérique et la protection des postes, ordiphones et tablettes

    - Pourquoi l’authentification est-elle primordiale ? La gestion des mots de passe et des accréditations

    - Comprendre les règles liées au chiffrement.

    - Le rôle des différents équipements réseau de sécurité : firewall, proxy, IDS, DMZ (bastions)

    - Accès distant via Internet : comprendre les VPN.

    - Rappel du fonctionnement de TLS et de l’utilité de SSH

    - L’importance des log : que dit la loi ?

    Les bonnes pratiques pour des développements sécurisés

    - Le concept de « Security by Design »

    - La sécurité dans le cycle de développement.

    - Qu’est-ce que l’Owasp ?

    - Les règles de développement à respecter

    - L’utilisation de V.D.S. (Vulnerability Detection System), un exemple avec l’utilisation de SonarQube

    - Reverse proxy et firewall applicatif, détails des fonctionnalités.

    - Différences entre audit, test des fonctions de sécurité

    - La gestion des tickets de supports et l’importance de l’anonymisation des données. La création de jeux de test.

    Les offres de services du département DDSI

    - Intégration de la sécurité dans les projets

    - Intégration de la sécurité dans les contrats de sous-traitance

    - Offre opérationnelle

    - Les process : comment faire appel aux offres de ce département

    SESSIONS PROGRAMMEES

    Uniquement proposé en intra. Contactez l’Institut 4.10

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés et de travaux pratiques

    INTERVENANTS

    Spécialiste Sécurité SI

    MODALITES PRATIQUES

    Durée : 1 jours soit 7 heures avec 7 heures par jour

    Prix : Contactez l’institut 4.10

    Horaires : 9h – 17h30

    ( )
  • LI-SEC-008 Plan de secours et de continuité, se préparer et faire face à la crise
    Plan de secours et de continuité, se préparer et faire face à la crise
    PDS / LI-SEC-008

    OBJECTIFS PEDAGOGIQUES

    Ce séminaire vous propose les démarches et les meilleures pratiques pour mener à bien un projet de secours et de continuité d’activité informatique en accord avec les normes ISO 7001/27002, BS25999, ITIL V3…). De l’analyse des risques et de la conception des plans jusqu’aux tests et à la cellule de crise.

    PUBLIC

    PRE-REQUIS

    Responsables Continuité, Risk Managers ou RSSI. Directeurs ou responsables informatiques, correspondants Sécurité, chefs de projets MOA et MOE, auditeurs internes ou externes, consultants. Bonnes connaissances des architectures SI.

    CONTENU

    Pourquoi gérer la continuité

     

    - L’évolution des entreprises et de leur stratégie.
    - L’importance stratégique de l’information.
    - Les enjeux pour l’entreprise d’une stratégie de continuité : lois et réglementations, normes et standards.

    Définitions et concepts

    - Définir la stratégie de continuité.
    - Les différences entre plan de continuité d’activité (BCP), plan de secours informatique (DRP), plan de reprise.
    - Rappels de sécurité : critères DICP et les 11 thèmes ISO.
    - La feuille de route de la continuité.Le projet et sa gestion
    - Rappels sur la conduite de projet.
    - Les phases d’un projet plan de continuité.
    - Les particularités du projet plan de continuité.Analyse des risques
    - Les composantes du risque.
    - Les principes des différentes méthodes.
    - Les autres standards (COBIT, ISO…).
    - La notion de matrice d’incertitude.
    - L’analyse des risques pour le plan de continuité.L’identification des activités critiques
    - Déterminer les activités critiques (BIA) d’une entreprise.
    - Les paramètres fondamentaux de l’analyse d’impact.
    - La notion de Service Delivery Objectives.Les moyens pour la conception des dispositifs
    - Les éléments et le budget pour élaborer les scénarios.
    - Les différents sites de repli (hot, warm, cold sites, reciprocal agreement…) en interne ou externalisés.
    - Les critères de décision.

    Plans de continuité

    - La construction des procédures.
    - Les équipes de secours : constitution, rôles…
    - Un exemple de canevas d’un plan de secours.

    Procédures d’escalade et cellule de crise

    - La gestion de l’escalade en phase avec le RTO.
    - La constitution de la cellule de crise.
    - Les principes de déclenchement du plan de secours.
    - La continuité d’activité en tant que processus ITIL.
    - L’importance du maintien en condition opérationnelle du plan au quotidien : le cycle de vie PDCA.
    - Le processus continuité et autres processus.

    SESSIONS PROGRAMMEES

    Accès au calendrier

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés, de démonstrations et d’études de cas

    INTERVENANTS

    Spécialiste plan de secours

    MODALITES  PRATIQUES

    Durée : 2 jours soit 14 heures avec 7 heures par jour
    Prix stagiaire : 1 685,00 € TTC
    Horaires : 9h – 17h30

    ( )
  • LI-SEC-004 Audit, indicateurs et contrôle de la sécurité
    Audit, indicateurs et contrôle de la sécurité
    UDI / LI-SEC-004

    OBJECTIFS PEDAGOGIQUES

    Contrôler sa sécurité est devenu indispensable afin de garantir que les investissements dans ce domaine sont à la mesure des enjeux. Ce séminaire vous présente les meilleures méthodes d’audit et de construction d’indicateurs, de tableaux de bord de sécurité pour une mise en œuvre efficace dans votre SI.

    PUBLIC

    PRE-REQUIS

    RSSI ou correspondants sécurité, architectes de sécurité, responsables informatiques, ingénieurs ou techniciens devant intégrer des exigences de sécurité. Connaissances de base en sécurité informatique.

    CONTENU

    Introduction : le contrôle de la sécurité

    - Rappels. Terminologie ISO 27000.
    - Mise en œuvre du contrôle de la sécurité.
    - Evaluation de la sécurité court-moyen-long terme.
    - Le pilotage de la sécurité : la vue “ manager ”.
    - Les revues de sécurité et les éléments d’entrée.
    - La lisibilité de sa sécurité par rapport aux éditeurs.
    - Rappel des contraintes réglementaires et normatives.

    Les audits de sécurité

    - Le métier de l’auditeur sécurité.
    - Identifier le contexte de la mission.
    - La préparation de la mission, l’analyse du référentiel.
    - La classification des écarts, déterminer les critères de risques retenus.
    - Revue documentaire.
    - La préparation des interviews.
    - Les tests techniques.
    - L’audit sur site : ce qu’il faut faire (et ne pas faire).
    - La rédaction des pistes d’amélioration, actions correctives.Les indicateurs et instruments de mesures
    - La présentation des indicateurs et tableaux de bord, exemples de formats.
    - Une typologie d’indicateurs. A quoi sert mon indicateur ?
    - Le nombre et le choix des indicateurs en fonction du domaine d’application choisi.
    - L’inscription dans une démarche ISO 27001. Les revues et réexamen de SMSI.
    - La norme 27004 “ Information Security Management Measurements “ : l’essentiel.
    - Les exemples de la norme sur des contrôles 27001 et mesures Annexe A.Les tableaux de bord et le pilotage de la sécurité
    - Le suivi de la PSSI, la base de calcul de retour sur investissement.
    - Les tableaux de bord : pour qui, pour quoi ? Suivi des actions et de la conformité PSSI pour le RSSI.
    - Suivi des niveaux de risques acceptables pour les directions opérationnelles.
    - Le référentiel “ Domaines – Bonnes pratiques ” comme instrument de suivi.
    - Le référentiel “ Type de pratiques/maturité ” comme cible à atteindre.
    - Exemples de tableaux de bord standard.Conclusion
    - Le choix des indicateurs.
    - La construction de mon premier tableau de bord.
    - Mise en situation audit.

    Etude de cas
    Exercices sur projets types “ Sécurité logique ”, “ Protection des biens et des personnes ”, Sécurité des communications ”, “ Sécurité Application ”.

    SESSIONS PROGRAMMEES

    Accès au calendrier

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés, de démonstrations et d’études de cas

    INTERVENANTS

    Spécialiste audit sécurité

    MODALITES  PRATIQUES

    Durée : 2 jours soit 14 heures avec 7 heures par jour
    Prix stagiaire : 1 561,00 € TTC
    Horaires : 9h – 17h30

    ( )
  • LI-DSI-183 CISM, Certified IS Manager, préparation à la certification
    CISM, Certified IS Manager, préparation à la certification
    ISM / LI-DSI-183
    OBJECTIFS PEDAGOGIQUES
    Ce cours permet de préparer l’examen CISM®, Certified Information Security Manager, couvrant la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en sécurité défini par l’ISACA®, Information Systems Audit and Control Association. La certification CISM est reconnue dans le monde entier.

    PUBLIC
    Directeurs des SI, auditeurs, responsables de la continuité d’activité ou de la sécurité ou ceux pour lesquels la maîtrise des SI constitue un élément fondamental dans l’atteinte de leurs objectifs.
    PRE-REQUIS
    Connaissances de base dans le fonctionnement des systèmes d’information. La compréhension de l’anglais est nécessaire car la documentation fournie est en anglais (la formation est donnée en français).

    CONTENU

    Domaine 1 : gouvernance de la sécurité de l’information
    - Alignement de la stratégie de sécurité de l’information sur la stratégie d’entreprise et de la direction.
    - Développement de la politique de sécurité de l’information.
    - Engagement de la haute direction et soutien à la sécurité informatique dans toute l’entreprise.
    - Définition des rôles et responsabilités dans la gouvernance de la sécurité de l’information.

    Domaine 2 : gestion des risques de l’information et conformité
    - Développement d’une approche systématique et analytique, ainsi que du processus continu de gestion des risques.
    - Identification, analyse et évaluation des risques.
    - Définition des stratégies de traitement des risques.
    - Communication de la gestion des risques.

    Domaine 3 : implémentation, gestion de programme sécurité de l’information
    - L’architecture en sécurité de l’information.
    - Méthodes pour définir les mesures de sécurité requises.
    - Gestion des contrats et des prérequis de sécurité de l’information.
    - Métriques et évaluation de la performance en sécurité de l’information.

    Domaine 4 : gestion des incidents de sécurité de l’information
    - Composantes d’un plan de gestion des incidents de sécurité.
    - Concepts et pratiques en gestion des incidents de sécurité.
    - Méthode de classification.
    - Processus de notification et d’escalade.
    - Techniques de détection et d’analyse des incidents.

    Examen blanc et procédure de certification
    - Simulation partielle de l’examen (examen blanc) effectuée en fin de formation.
    - Inscription à faire sur le site www.isaca.org, la clôture des inscriptions est faite 2 mois avant la date de l’examen.
    - Déroulement de l’examen : 4 heures de QCM avec 200 questions (examen disponible uniquement en anglais).

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste CISM

    MODALITES PRATIQUES
    Durée : 3 jours soit 21 heures avec 7 heures par jour
    Prix stagiaire : 2 637,00 € TTC
    Horaires : 09h00 – 17h30

    ( )
  • LI-DSI-182 CISA, Certified IS Auditor, préparation à la certification
    CISA, Certified IS Auditor, préparation à la certification
    ISB / LI-DSI-182
    OBJECTIFS PEDAGOGIQUES
    Ce cours permet de préparer l’examen CISA®, Certified Information Systems Auditor, en couvrant la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en sécurité défini par l’ISACA®, Information Systems Audit and Control Association. La certification CISA est reconnue dans le monde entier.

    PUBLIC
    Directeurs des SI, auditeurs, responsables de la continuité d’activité ou de la sécurité, ou ceux pour lesquels la maîtrise des SI constitue un élément fondamental dans l’atteinte de leurs objectifs.
    PRE-REQUIS
    Connaissances de base dans le fonctionnement des systèmes d’information.

    CONTENU

    Domaine 1 : processus d’audit des systèmes d’information
    - Les standards d’audit.
    - L’analyse des risques d’audit et le contrôle interne.
    - L’auto-évaluation des contrôles.
    - La pratique d’un audit SI.

    Domaine 2 : gouvernance et gestion des systèmes d’information
    - La gouvernance des SI.
    - La stratégie de la gouvernance du SI.
    - Les procédures et le Risk management.
    - La pratique de la gouvernance des SI.
    - L’audit d’une structure de gouvernance.
    - Les pratiques des plans de continuité et des plans de secours.
    - L’audit des systèmes de continuité et de secours.

    Domaine 3 : acquisition, conception, implantation des SI
    - La gestion du cycle de vie des systèmes et de l’infrastructure.
    - La gestion de projet : pratique et audit.
    - Les pratiques de développement.
    - L’audit de la maintenance applicative et des systèmes.
    - Les contrôles applicatifs.

    Domaine 4 : exploitation, entretien et soutien des systèmes d’information
    - L’audit de l’exploitation des SI.
    - L’audit des aspects matériels du SI.
    - L’audit des architectures SI et réseaux.

    Domaine 5 : protection des actifs informationnels
    - La gestion de la sécurité : politique et gouvernance. L’audit et la sécurité logique et physique.
    - L’audit de la sécurité des réseaux. L’audit des dispositifs nomades.

    Se préparer à l’examen de certification
    - Examen blanc. Simulation partielle de l’examen effectuée en fin de formation.
    - Inscription à faire sur le site www.isaca.org, la clôture des inscriptions est faite 2 mois avant la date de l’examen.
    - Présentation du déroulé : 4 heures de QCM avec 200 questions à choisir préalablement en français ou en anglais.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste CISA

    MODALITES PRATIQUES
    Durée : 5 jours soit 35 heures avec 7 heures par jour
    Prix stagiaire : 4 101,00 € TTC
    Horaires : 09h00 – 17h30

    ( )
  • LI-DSI-181 Data Protection Officer (DPO), certification
    Data Protection Officer (DPO), certification
    OFP / LI-DSI-181
    OBJECTIFS PEDAGOGIQUES
    Pour répondre aux besoins des secteurs privé et public en ce qui concerne le règlement général sur la protection des données (RGPD, GDPR), le rôle du DPO devient primordial. Ce cours vous prépare à diriger tous les processus nécessaires pour adopter et répondre à toutes les exigences du GDPR au sein d’une organisation.

    PUBLIC
    Data Protection Officer (DPO), Délégué à la Protection des Données (DPD), toute personne dont la mission est d’assurer le respect de la protection des données personnelles au sein de son organisation.
    PRE-REQUIS
    Aucune connaissance particulière.

    CONTENU

    Les fondamentaux de la vie privée
    - Introduction à la protection des données.
    - Le GDPR (Règlement Général sur la Protection des données).
    - Le DPO (Délégué à la protection des données).

    Introduction au GDPR et principes de confidentialité
    - Cadre réglementaire.
    - Principes fondamentaux de la protection des renseignements personnels.
    - Règlement général sur la protection des données.
    - Organismes de l’UE : groupe de travail international sur la protection des données dans les télécommunications (IWGDPT).
    - Autorités de surveillance, Groupe de l’article 29, etc.
    - Législation : cadre juridique, consentement, catégories spéciales des données personnelles.

    Délégué à la protection des données (DPO)
    - Nomination, fonction, responsabilités, missions.
    - Gouvernance de l’Internet, cyberdroits et transferts internationaux de données.
    - Législation et systèmes dans le monde.
    - Transversalité du DPO au sein de l’entreprise : collaboration avec les équipes juridiques, marketing, IT, achats…

    Gestion des risques et sécurité de l’information
    - Gestion des risques : concepts, analyse de risques, méthodologies et standards, surveillance.
    - Systèmes d’information et sécurité : fonctions et responsabilités, formation et sensibilisation, classification.
    - Accès, exposition, cryptographie et signatures numériques.
    - Sécurité mobile et la Big Data (concept, NoSQL et applications).
    - Internet des objets : concepts, modèles et principes, applications, menaces.
    - Nouvelles technologies, nouvelles menaces.

    Incidents et protection
    - Gestion des incidents : incident de sécurité de l’information, évènement.
    - Continuité des activités : récupération, temps, stratégie.
    - Évaluation de l’impact sur la protection des données.
    - Cycle de vie des données personnelles.

    Examen de certification
    - Examen papier composé de 12 questions ouvertes, à traiter en 3h.
    - Déroulement à « livre ouvert » (autorisé avec support et notes personnelles prises durant la session).

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste Sécurité informatique

    MODALITES PRATIQUES
    Durée : 5 jours soit 35 heures avec 7 heures par jour
    Prix stagiaire : 3 352,00 € TTC
    Horaires : 9h – 17h30

    ( )
  • LI-DSI-180 EBIOS 2010 Risk Manager, certification
    EBIOS 2010 Risk Manager, certification
    RIC / LI-DSI-180
    OBJECTIFS PEDAGOGIQUES
    Cette formation d’une journée est un complément au stage pratique “EBIOS 2010, mise en œuvre de la gestion des risques” (réf. EBI) pour les candidats à l’examen “Risk Manager EBIOS 2010”. Une révision complète des concepts d’EBIOS 2010 et de nombreux exercices et études de cas vous prépareront à l’examen.

    PUBLIC
    Risk Managers SSI, architectes sécurité, RSSI, maîtres d’ouvrage.
    PRE-REQUIS
    Avoir suivi le stage “EBIOS 2010, mise en œuvre de la gestion des risques” (réf. EBI).

    CONTENU

    Objectifs de connaissance sur la méthode EBIOS
    - Connaître les grands principes de la méthode EBIOS et les étapes de la gestion du risque.
    - Connaître le vocabulaire spécifique au domaine et sa définition.
    - Connaître la structure de la méthode et savoir s’y référencer rapidement.
    - Comprendre le contexte de l’étude et savoir identifier les biens essentiels et les biens supports.
    - Savoir exprimer les besoins en sécurité par des critères de sécurité et estimer les niveaux de gravité.

    Rappels sur la démarche modules/activités d’EBIOS 2010
    - Savoir identifier les sources de menaces.
    - Déterminer pour un événement redouté, les scénarios probables de menaces.
    - Savoir quantifier le niveau de vraisemblance d’un scénario de menace et déterminer les impacts potentiels.
    - Savoir quantifier le niveau de risque associé à un événement redouté et à des scénarios de menaces.

    Préparation de l’examen EBIOS
    - Préparation corrigée en vue du passage de l’examen officiel respectant le règlement de certification officiel EBIOS.
    - Nombreux exercices écrits et oraux de mise en situations, tests de connaissance de type QCM.
    - Etudes de cas, inventaire d’actifs, analyse des menaces et vulnérabilités, création du plan de traitement des risques.
    - Correction collective des exercices et études de cas. Feedback et explication des erreurs.
    - Conseils, trucs, astuces et pièges à éviter pour l’examen “Risk Manager EBIOS 2010”.

    Examen écrit et oral “Risk manager EBIOS 2010”
    - L’examen écrit dure 2 heures 30.
    - L’examen comporte deux parties : un questionnaire type QCM et une étude de cas.
    - Le candidat doit obtenir un minimum de 65/100 pour être certifié.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste Management des Risques

    MODALITES PRATIQUES
    Durée : 1 jour soit 7 heures avec 7 heures par jour
    Prix stagiaire : 1 826,00 € TTC
    Horaires : 9h – 17h30

    ( )
  • LI-DSI-171 M_o_R®, Risk Management, Practitioner, certification
    M_o_R®, Risk Management, Practitioner, certification
    MPR / LI-DSI-171
    OBJECTIFS PEDAGOGIQUES
    Les pratiques M_o_R® abordent les risques auxquels fait face une organisation au niveau stratégique, programme, projet et opérationnel. Ce stage vous permettra de consolider vos connaissances sur ce référentiel et vous prépare également à la certification M_o_R niveau Practitioner d’APMG.

    PUBLIC
    Risk manager, manager de programmes, manager de projets, manager des opérations, consultant en management des risques au sein des organisations.
    PRE-REQUIS
    Avoir obtenu la certification M_o_R® Foundation.

    CONTENU

    Introduction à M_o_R® Practitioner
    - Rappels des objectifs de M_o_R®. Objectifs spécifiques de M_o_R Practitioner.
    - L’examen de certification de M_o_R® Practitioner. Conseils de préparation.
    - Présentation du manuel officiel de M_o_R®.
    - L’approche M_o_R® pour le management des risques. Identifier les bénéfices apportés par M_o_R®.

    Les principes de M_o_R®
    - Détails des huit principes de M_o_R®.
    - Les bénéfices associés à l’application de ces principes.
    - Les mécanismes qui supportent ces principes : KPI, EWI, seuil de tolérance, parties prenantes, modèle de maturité…
    - L’adaptation des principes à la pratique de gestion des risques dans un contexte organisationnel spécifique.
    - Le rôle de la communication et des parties prenantes dans un processus de gestion des risques selon M_o_R®.

    L’approche M_o_R®, le contenu des documents de référence
    - La politique de management des risques.
    - Le guide de processus.
    - La stratégie de management des risques.
    - Le registre des risques et le registre des problèmes.
    - Le plan d’amélioration de la gestion des risques.
    - Le plan de communication.
    - Le plan de réponse au risque.
    - Les facteurs organisationnels à prendre en compte lors de la création des documents de référence M_o_R®.

    Les perspectives de M_o_R®
    - L’approche intégrée de gestion des risques à travers les perspectives (stratégique, programme, projet, opération).
    - La performance du processus de mesure de la valeur ajoutée de la gestion des risques.
    - Adapter le modèle M_o_R® aux spécificités de l’organisation pour les quatre perspectives.
    - Identifier les actions, techniques, rôles et responsabilités appropriés pour la mise en œuvre du modèle M_o_R®.
    - Les techniques utiles : Delphi, analyse par hypothèse, analyse par contrainte…

    SESSIONS PROGRAMMEESAccès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste Risk Management

    MODALITES PRATIQUES
    Durée : 2 jours soit 14 heures avec 7 heures par jour
    Prix stagiaire : 2090€ TTC
    Horaires : 9h – 17h30

    ( )
  • LI-DSI-170 CRISC®, gestion des risques SI, préparation à la certification, Certified in Risk and Information Systems Control RSC
    CRISC®, gestion des risques SI, préparation à la certification, Certified in Risk and Information Systems Control
    RSC / LI-DSI-170
    OBJECTIFS PEDAGOGIQUES
    Ce cours est conçu pour les professionnels qui souhaitent réussir l’examen CRISC. Le programme couvre les cinq domaines clés traités dans l’examen : identification, analyse et évaluation du risque, réponses au risque, surveillance du risque, contrôles du SI, cycle de vie des contrôles du SI.

    PUBLIC
    Candidats à l’examen CRISC et toute personne soucieuse d’améliorer ses connaissances dans le domaine de la gestion des risques et le contrôle du SI.
    PRE-REQUIS
    Les participants doivent posséder une connaissance de base des domaines qui seront abordés. Le cours consiste en une préparation intense à l’examen de certification. Anglais requis.

    CONTENU

    Introduction au Certified in Risk and Information Systems Control
    - Présentation générale du CRISC.
    - Présentation du modèle d’examen et du processus de certification.

    Domaine 1 : identification, analyse et évaluation du risque
    - Normes en gestion des risques : ISO 31000, ISO 27005…
    - Référentiels de gestion des risques : RISK IT, COSO ERM, COBIT…
    - Composants, principes et concepts de gestion des risques en entreprise.
    - Les risques aux différents niveaux de l’entreprise.
    - Méthodes d’identification des risques.
    - Méthodes d’analyse et d’évaluation des risques.
    - Analyses quantitative et qualitative des risques.

    Domaine 2 : réponses au risque
    - Modes de traitement des risques.
    - Mitigation des risques et contrôle du Système d’Information.
    - Réduction du risque.
    - Transfert du risque.
    - Acceptation des risques résiduels.
    - Plans de traitement des risques.

    Domaine 3 : surveillance du risque
    - Cycle de vie du traitement des risques.
    - Surveillance des risques traités.
    - Surveillance des risques résiduels.
    - Evaluation de performance de la gestion des risques et reporting des risques.
    - Indicateurs clés des risques (KRI).
    - Gestion de risque & résilience métier.

    Domaine 4 : contrôles du système d’information
    - Définition des contrôles du SI.
    - Implémentation des contrôles du SI.
    - Mesure des processus et services liés aux contrôles du SI.

    Domaine 5 : cycle de vie des contrôles du SI
    - Planification stratégique de la gestion du cycle de vie des contrôles du SI.
    - Périmètre, objectifs et bénéfices des programmes de gestion du cycle de vie des contrôles du SI.
    - Surveillance permanente des contrôles du SI.
    - Maintenance des contrôles du SI.
    - Amélioration continue de la gestion des risques et des contrôles du SI.
    - Reporting périodique de l’efficacité des contrôles du SI.

    Préparation à l’examen
    - Discussions et échanges. Bonnes pratiques pour réussir l’examen.
    - Simulation d’examen et correction collective.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste Management des Risques

    MODALITES PRATIQUES
    Durée : 3 jours soit 21 heures avec 7 heures par jour
    Prix stagiaire : 1 949,00 € TTC
    Horaires : 9h – 17h30

    ( )
  • LI-DSI-150 Usages et impacts de la signature électronique
    Usages et impacts de la signature électronique
    SIG / LI-DSI-150
    OBJECTIFS PEDAGOGIQUES
    La signature électronique est un mécanisme très encadré qui permet d’obtenir facilement des gains de productivité élevés. Ce stage, très opérationnel, vous permettra de connaître le cadre juridique régissant son usage ainsi que les moyens et outils à mettre en oeuvre pour optimiser son utilisation.

    PUBLIC
    Chefs de projet métiers, DSI, RSSI, MOA, responsables des études informatiques, responsables dématérialisation.
    PRE-REQUIS
    Expérience de gestion de projets informatiques et/ou de mise en place de processus métier.

    CONTENU

    La signature électronique : définition et usages
    Les concepts et principes de la signature électronique.
    Les enjeux et gains liés à son usage.

    Le cadre juridique
    Les lois, décrets et arrêtés.
    Les différents niveaux de mise en oeuvre.
    Les recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
    Le Référentiel Général de Sécurité V2 (RGS) et le Règlement européen.
    Le RGS : une obligation pour les autorités administratives et une bonne pratique pour les entreprises.
     
    Les usages actuels
    Les usages métiers, internes et externes.
    L’adaptation des moyens aux enjeux.
    Le choix du niveau de sécurité.

    Travaux pratiques
    Déterminer le niveau optimal de qualité d’un certificat numérique.
     
    Les impacts de l’usage de la signature électronique
    Les impacts sur le système d’information et sur les applications.
    Les conséquences sur l’organisation.

    Travaux pratiques
    Identifier les impacts de la mise en place de la signature électronique sur une application métier.

    Les outils
    L’état de l’art.
    Les logiciels et services du marché.
    Le choix sur l’internalisation ou l’externalisation.

    Travaux pratiques
    Identifier les impacts de la mise en place de la signature numérique sur une application métier.

    Les normes et standards
    Les normes et formats : P7, Xades, PDF Signature et Pades.
    Les éléments de constitution et de conservation de la preuve électronique.

    Travaux pratiques
    Produire, visualiser, horodater et valider des signatures électroniques dans différents formats.

    Le RGS et les référentiels documentaires
    Les différents documents à produire : politique de signature, de validation et de gestion des preuves.
    Les recommandations du RGS : analyse de risques et évaluation des menaces.

    Travaux pratiques
    Définir le contenu d’une politique de signature numérique.

    L’optimisation d’un projet de signature électronique
    Les budgets et les délais.
    Les points-clés de la conduite du changement.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation de fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste réseau et sécurité

    MODALITES PRATIQUES
    Durée : 2 jours soit 14 heures avec 7 heures par jour
    Prix stagiaire : 1 252,00 € TTC
    Horaires : 9h – 17h30

    ( )
  • LI-DSI-089 Sécurité SI, mise en oeuvre pratique d’une analyse de risques
    Sécurité SI, mise en œuvre pratique d’une analyse de risques
    CUR / LI-DSI-089
    OBJECTIFS PEDAGOGIQUES
    Ce stage vous apprendra à identifier et analyser les menaces et les risques qui pèsent sur votre système d’information, ainsi que leurs impacts potentiels sur votre activité. Vous travaillerez sur une étude de cas “fil rouge” qui vous apprendra à maîtriser les principales étapes d’une analyse de risques.

    PUBLIC
    DSI ou responsable du service informatique. Responsable sécurité du système d’information (RSSI). Chef de projet informatique en charge du projet sécurisation.
    PRE-REQUIS
    Connaissances de base dans le domaine de la sécurité des systèmes d’information.

    CONTENU

    La notion de risque en sécurité des informations
    - Les probabilités et la vraisemblance.
    - Les impacts sur le SI et sur les métiers.
    - La quantification du niveau de gravité.
    - Les types de risques.
    - La gestion par les risques. Principes. Avantages.

    L’identification des biens informationnels
    - Faire l’inventaire des biens : les informations et leurs supports (primaires, secondaires).
    - L’organisation en place, le périmètre à couvrir.
    - La classification DICT.
    - Les intérêts et la méthode.

    L’analyse de risque
    - Identification des menaces et des vulnérabilités.
    - Evaluation des risques encourus.
    - Priorisation : la matrice des risques, la notion de scénario.

    Les méthodes utiles
    - Les méthodes françaises : EBIOS, MEHARI.
    - Les méthodes internationales : OCTAVE.
    - Les apports, les avantages et les inconvénients de chaque méthode.
    - Le choix approprié d’une méthode et la personnalisation.

    Les normes
    - Les différentes normes utiles pour les analyses de risques.
    - La démarche d’analyse de risques dans le cadre 27001.
    - L’approche PDCA (Plan – Do – Check – Act).
    - Les apports de l’ISO 27002, de BS25999 et de l’ISO 31000.

    Construction du plan de traitement des risques
    - La palette des actions : prévention, protection, report de risque, externalisation, assurances.
    - Construire un plan de traitement des risques à partir de la matrice des risques et des autres sources (audits…).
    - Que contient le plan : les objectifs et les mesures, les indicateurs d’avancement et de qualité.
    - Les risques résiduels.
    - La gestion et les usages du plan de traitement des risques.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste Sécurité informatique

    MODALITES PRATIQUES
    Durée : 2 jours soit 14 heures avec 7 heures par jour
    Prix stagiaire : 1 297,00 € TTC
    Horaires : 09h00 – 17h30

    ( )

  • Référentiels ISO
  • LI-SEC-063 ISO 27001:2013 Bridge, passer de la version 2005 à la version 2013
    ISO 27001:2013 Bridge, passer de la version 2005 à la version 2013
    NIM/LI-SEC-063

    OBJECTIFS PEDAGOGIQUES

    Ce stage s’adresse à toute personne connaissant les versions 2005 des normes ISO 27001/27002 et souhaitant faire rapidement une actualisation de ses connaissances. Il présente les nouveautés de la version 2013 d’ISO 27001/27002 traitant du système de management de la sécurité SI.

    PUBLIC

    PRE-REQUIS

    Toute personne connaissant les versions 2005 des normes ISO 27001 et 27002 / 17799 et souhaitant faire rapidement une actualisation de ces connaissances techniques et organisationnelles. Avoir suivi les formations ISO 27001 version 2005.

    CONTENU

    Introduction
    - Rappels – Terminologie et concepts ISO 27000.
    - La prise en compte des évolutions réglementaires BALE 3, PCIDSS 3.0, …
    Les nouvelles normes ISO 2700x « post 2005 »
    - Rappel historique sur les normes de sécurité vues par l’ISO.
    - La nouvelle version de la norme 27000:2013.
    - Les évolutions de la norme 27005:2011.
    - Le processus de révision de la norme 27003:2010.
    - Vers une meilleure intégration avec les normes qualité 9001.
    La norme ISO 27001:2013
    - Objectifs à atteindre par votre SMSI : principales évolutions 2005 -> 2013.
    - Les 7 sections incontournables.
    - L’alignement des processus “ SMSI 2005 “ et “ SMSI 2013 “ : liens entre sections.
    - Le choix d’un référentiel de bonnes pratiques ? La nouvelle Annexe A.
    - Les évolutions attendues de la démarche d’audit interne et de la pratique de la revue de direction.
    Le référentiel de bonnes pratiques ISO 27002:2013
    - La nouvelle structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et mesures (niveau 3).
    - Les 14 domaines de la norme.
    - Les principales modifications ? Les nouvelles mesures ? Les mesures supprimées.
    - L’évolution du domaine 10 de la version 2005, les nouveaux domaines (Cryptographie, exploitation et communications).
    - L’alignement des versions 2005 / 2013.
    - Mappage des domaines (11 vers 14), des sous domaines (39 vers 35), des bonnes pratiques (133 vers 113).
    La mise en œuvre de la sécurité dans un projet de sécurité 2014
    - Des spécifications sécurité à l’étude du contexte.
    - Vers une gestion du risque basée sur la norme 27005:2011.
    - La gestion de la sécurité avec les tiers : les nouvelles bonnes pratiques du domaine 15.
    - Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
    - Ce qui change dans le processus de certification 2013 : les nouvelles règles d’auditabilité.
    - La mise à niveau d’un SMSI certifié 2005 vers une certification 2013.

    SESSIONS PROGRAMMEES

     Accès au calendrier

    VALIDATION

    Evaluation de fin de stage

    PEDAGOGIE

    Alternance d’exposés, de démonstrations et d’études de cas

    INTERVENANTS

    Spécialiste

    MODALITES  PRATIQUES

    Durée : 1 jours soit 7 heures avec 7 heures par jour
    Horaires : 9h – 17h30
    Prix stagiaire : 933 € TTC

    ( )
  • LI-SEC-003 ISO 27005:2011 Risk Manager, préparation à la certification, analyse de risques
    ISO 27005:2011 Risk Manager, préparation à la certification, analyse de risques
    AIR / LI-SEC-003
    OBJECTIFS PEDAGOGIQUES
    Ce séminaire, basé en partie sur la norme ISO/CEI 27005:2011, permet aux participants d’acquérir les bases théoriques et pratiques de la gestion des risques liés à la sécurité de l’information. Elle prépare efficacement les candidats à la certification ISO 27005 Risk Manager à partir d’études de cas.

    PUBLIC
    RSSI ou correspondants Sécurité, architectes de sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité.
    PRE-REQUIS
    Connaissances de base dans le domaine de la sécurité informatique.

    CONTENU

    Introduction
    - Terminologie ISO 27000 et ISO Guide 73.
    - Définitions de la Menace. Vulnérabilité. Risques.
    - Principe général de la sécurité ISO 13335.
    - La classification CAID.
    - Rappel des contraintes réglementaires et normatives (SOX, COBIT, ISO 27001…).
    - Le rôle du RSSI versus le Risk Manager.
    - La future norme 31000, de l’intérêt de la norme “chapeau”.

    Le concept “risque”
    - Identification et classification des risques.
    - Risques opérationnels, physiques et logiques.
    - Les conséquences du risque (financier, juridique, humain …).
    - La gestion du risque (prévention, protection, évitement de risque, transfert).
    - Assurabilité d’un risque, calcul financier du transfert à l’assurance.
    - Les rôles complémentaires du RSSI et du Risk Manager/DAF.

    L’analyse de risques selon l’ISO
    - La méthode de la norme 27001:2013.
    - L’intégration au processus PDCA.
    - La création en phase Plan de la section 4.
    - La norme 27005:2011 : Information Security Risk Management.
    - La mise en œuvre d’un processus PDCA de management des risques.
    - Les étapes de l’analyse de risques.
    - La préparation de la déclaration d’applicabilité (SoA).

    Les méthodes d’analyse de risques
    - Les méthodes françaises. EBIOS 2010.
    - Etude du contexte, des scénarios de menaces, des événements redoutés, des risques, des mesures de sécurité.
    - EBIOS dans une démarche ISO PDCA de type SMSI 27001.
    - MEHARI 2010. L’approche proposée par le CLUSIF.
    - Elaboration d’un plan d’actions basé les services de sécurité. Alignement MEHARI 27005 et référentiel ISO 27002.
    - CRAMM, OCTAVE… Historique, développement, présence dans le monde. Comparaisons techniques.

    Choix d’une méthode
    - Comment choisir la meilleure méthode ?
    - Les bases de connaissances (menaces, risques…).
    - La convergence vers l’ISO, la nécessaire mise à jour.
    - Etre ou ne pas être “ISO spirit” : les contraintes du modèle PDCA.

    Conclusion
    - Une méthode globale ou une méthode par projet.
    - Le vrai coût d’une analyse de risques.

    SESSIONS PROGRAMMEES 

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés, de démonstrations et d’études de cas
    INTERVENANTS
    Spécialiste ISO 27000

    MODALITES PRATIQUES
    Durée : 3 jours soit 21 heures avec 7 heures par jour
    Prix stagiaire : 2 302,00 € TTC
    Horaires : 09h00 – 17h30

    ( )
  • LI-SEC-002 Implémenter et gérer un projet ISO 27001:2013, préparation aux certifications
    Implémenter et gérer un projet ISO 27001:2013, préparation aux certifications
    ASE / LI-SEC-002
    OBJECTIFS PEDAGOGIQUES
    La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l’information décrit, sous forme d’exigences, les bonnes pratiques à mettre en place pour qu’une organisation puisse maîtriser efficacement les risques liés à l’information. Ce séminaire vous présentera dans un premier temps l’ensemble des normes ISO traitant de la sécurité du système d’information puis vous apportera les éléments nécessaires pour mettre en place un système de management (SMSI) du risque de la sécurité de l’information.

    PUBLIC
    RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs “audités”.
    PRE-REQUIS
    Connaissances de base de la sécurité informatique.

    CONTENU

    Introduction
    - Rappels. Terminologie ISO 27000 et ISO Guide 73.
    - Définitions : menace, vulnérabilité, protection.
    - La notion de risque (potentialité, impact, gravité).
    - La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
    - La gestion du risque (prévention, protection, report, externalisation).
    - Analyse de la sinistralité. Tendances. Enjeux.
    - Les réglementations SOX, PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
    - Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
    - L’apport de l’ISO pour les cadres réglementaires.
    - L’alignement COBIT, ITIL® et ISO 27002.

    Les normes ISO 2700x
    - Historique des normes de sécurité vues par l’ISO.
    - Les standards BS 7799, leurs apports à l’ISO.
    - Les normes actuelles (ISO 27001, 27002).
    - Les normes complémentaires (ISO 27005, 27004, 27003…).
    - La convergence avec les normes qualité 9001 et environnement 14001.
    - L’apport des qualiticiens dans la sécurité.

    La norme ISO 27001:2013
    - Définition d’un Système de Gestion de la Sécurité des Systèmes (ISMS).
    - Objectifs à atteindre par votre SMSI.
    - L’approche “amélioration continue” comme principe fondateur, le modèle PDCA (roue de Deming).
    - La norme ISO 27001 intégrée à une démarche qualité type SMQ.
    - Détails des phases Plan-Do-Check-Act.
    - De la spécification du périmètre SMSI au SoA (Statement of Applicability).
    - Les recommandations de l’ISO 27001 pour le management des risques.
    - De l’importance de l’appréciation des risques. Choix d’une méthode type ISO 27005:2011.
    - L’apport des méthodes EBIOS, MEHARI dans sa démarche d’appréciation.
    - L’adoption de mesures de sécurité techniques et organisationnelles efficientes.
    - Les audits internes obligatoires du SMSI. Construction d’un programme.
    - L’amélioration SMSI. La mise en œuvre d’actions correctives et préventives.
    - Les mesures et contre-mesures des actions correctives et préventives.
    - L’annexe A en lien avec la norme 27002.

    Les bonnes pratiques, référentiel ISO 27002:2013
    - Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
    - Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
    - Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
    - La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
    - Exemples d’application du référentiel à son entreprise : les mesures de sécurité clés indispensables.

    La mise en œuvre de la sécurité dans un projet SMSI
    - Des spécifications sécurité à la recette sécurité.
    - Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
    - De l’analyse de risques à la construction de la déclaration d’applicabilité.
    - Les normes ISO 27003, 15408 comme aide à la mise en œuvre.
    - Intégration de mesures de sécurité au sein des développements spécifiques.
    - Les règles à respecter pour l’externalisation.
    - Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
    - Les rendez-vous “Sécurité” avant la recette.
    - Intégrer le cycle PDCA dans le cycle de vie du projet.
    - La recette du projet ; comment la réaliser : test d’intrusion et/ou audit technique ?
    - Préparer les indicateurs. L’amélioration continue.
    - Mettre en place un tableau de bord. Exemples.
    - L’apport de la norme 27004.
    - La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management…

    Les audits de sécurité ISO 19011:2011
    - Processus continu et complet. Etapes, priorités.
    - Les catégories d’audits, organisationnel, technique…
    - L’audit interne, externe, tierce partie, choisir son auditeur.
    - Le déroulement type ISO de l’audit, les étapes clés.
    - Les objectifs d’audit, la qualité d’un audit.
    - La démarche d’amélioration pour l’audit.
    - Les qualités des auditeurs, leur évaluation.
    - L’audit organisationnel : démarche, méthodes.
    - Apports comparés, les implications humaines.

    Les bonnes pratiques juridiques
    - La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
    - La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions. La loi LCEN.
    - Conformité ISO et conformité juridique : le nouveau domaine 18 de la norme ISO 27002:2013.

    La certification ISO de la sécurité du SI – La relation auditeur-audité
    - Intérêt de cette démarche, la recherche du “label”.
    - Les critères de choix du périmètre. Domaine d’application. Implication des parties prenantes.
    - L’ISO : complément indispensable des cadres réglementaires et standard (SOX, ITIL®…).
    - Les enjeux économiques escomptés.
    - Organismes certificateurs, choix en France et en Europe.
    - Démarche d’audit, étapes et charges de travail.
    - Norme ISO 27006, obligations pour les certificateurs.
    - Coûts récurrents et non récurrents de la certification.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés, de démonstrations et d’études de cas
    INTERVENANTS
    Spécialiste ISO 27000

    MODALITES PRATIQUES
    Durée : 3 jours soit 21 heures avec 7 heures par jour
    Prix stagiaire : 2 302,00 € TTC
    Horaires : 09h00 – 17h30

    ( )
  • LI-DSI-145 ISO 27001:2013 Lead Implementer, mise en pratique, certification
    ISO 27001:2013 Lead Implementer, mise en pratique, certification
    LED / LI-DSI-145
    OBJECTIFS PEDAGOGIQUES
    Ce stage est un complément au séminaire “Implémenter et gérer un projet ISO 27001:2013” pour les candidats à l’examen “Lead Implementer 27001:2013”. Il a pour objectif de réviser les connaissances nécessaires à la certification et vous préparer au passage de l’examen. Il se termine par l’examen proprement dit.

    PUBLIC
    Risk Managers, RSSI, responsables informatiques, tout acteur SI qui doit intégrer des contraintes de sécurité.
    PRE-REQUIS
    Bonnes connaissances de la sécurité des SI et des normes 2700x. Avoir obligatoirement suivi le stage “Implémenter et gérer un projet ISO 27001:2013” (réf. ASE). Expérience souhaitable.

    CONTENU

    Exercices – Travaux pratiques
    - Ce stage vous propose à titre de préparation de nombreux exercices, études de cas et travaux pratiques.
    - Focus sur une préparation optimale pour le passage de l’examen. Respect du règlement de certification officielle ISO.
    - Des projets types de sécurité vous seront proposés afin d’expérimenter par la pratique.
    - La mise en oeuvre d’une démarche PDCA et de bonnes pratiques ISO 27001 et ISO 27002.
    - Vous construirez une déclaration d’applicabilité à partir d’une analyse de risques de type ISO 27001 ou 27005.
    - Vous apprendrez à déterminer les indicateurs clés d’une PSSI et d’un projet de sécurité.
    - Une démarche pédagogique interactive vous sera proposée.
    - Exercices écrits et oraux de mise en situations, tests de connaissance de type QCM.

    Corrections collectives
    - Les résultats des exercices et travaux pratiques vous sont restitués sous forme de corrections collectives.
    - Durant ces corrections, les erreurs éventuelles sont analysées et commentées.

    Révision finale
    - Pour clore la préparation, révision finale.
    - Trucs, astuces et pièges à éviter pour mieux vous préparer au passage de la certification.

    Examen
    - L’examen écrit dure 3 heures 30.
    - Le déroulement de l’examen écrit est présenté par le formateur lors de la première journée de formation.
    - Contenu de l’examen, règles à respecter. Normes ou autres documents mis à la disposition des candidats.
    - Modalités mises en oeuvre pour respecter la confidentialité des copies.
    - Points minimaux requis pour l’obtention de l’examen écrit.
    - L’examen comporte un questionnaire à choix multiples relatif à la norme ISO/IEC 27001.
    - L’examen comporte également des exercices pratiques et une étude de cas.
    - Les résultats de l’examen vous parviendront par courrier 4-6 semaines plus tard.

    SESSIONS PROGRAMMEES

     

    Accès au calendrier

    VALIDATION

    Evaluation en fin de session

    PEDAGOGIE
    Alternance d’exposés et de travaux pratiques
    INTERVENANTS
    Spécialiste ISO 27000

    MODALITES PRATIQUES
    Durée : 2 jours soit 14 heures avec 7 heures par jour
    Prix stagiaire : 1 297,00 € TTC
    Horaires : 9h – 17h30

    ( )