Moyenne: 5.00 sur 1 votes

Organisme: Skills4All
Mode de formation: Digital-learning
Durée effective: 34 heure(s) (soit 38.21 €/h) décomposées en 30h vidéos et QUIZZ, 4h de travail personnel
Vous disposez de 25 jours pour effectuer votre formation et 50 jours pour passer votre certification.
  


Contenu de la formation


Pitch

Cette formation permet de comprendre le rôle d’un Security Risk Manager en maitrisant les différentes étapes, principes et processus de l’analyse de risques des DSI. (Voir aussi ISO/CEI 27001 LEAD AUDITOR & IMPLEMENTER dédié à l'audit et la mise en place de systèmes de gestion de la sécurité (SMSI))

Résumé

Cette formation vous permettra d’acquérir une expertise reconnue des différentes étapes de l'analyse des risques en vous appuyant sur une connaissance précise de la norme NF EN ISO/IEC 27005 : 2018. Plus que la simple maîtrise de connaissances ou de techniques, cette formation vous donnera les clefs pour appliquer les différentes étapes de l’analyse des risques, mesurer le rôle clef du facteur humain dans le management des risques grâce à des études de cas.

Timing de la formation

Durée effective:34 heure(s) décomposée(s) en 30h vidéos et QUIZZ, 4h de travail personnel
Vous disposez de 50 jours pour passer votre certification

Difficulté de la formation

Fondamental

Mode

Digital-learning

Objectifs

L’objectif principal de cette formation est de valider les compétences des professionnels capables d’identifier, évaluer et traiter les risques auxquels est soumis le système d’information de façon à préserver les activités essentielles de l’entreprise en s’appuyant sur l’ISO 27005.

A l’issue de la formation, l’apprenant sera capable de :

  • Maîtriser le contenu de la norme ISO/CEI 27005 et la resituer dans le cadre général des normes ISO 27000,

  • Comprendre la démarche et les enjeux de l’analyse de risque d’un système d’information en prenant en compte son environnement spécifique

  • Appliquer les différentes étapes de l’analyse des risques en s’appuyant sur la méthodologie RM Ebios

  • Comprendre le rôle d’un Security Risk Manager et ses responsabilités,

  • Repérer et mesurer le rôle clef du facteur humain dans le management des risques

Public

  • Professionnels et/ou Auditeurs de la Sécurité de l’Information souhaitant certifier qu’ils sont capables de préparer, réaliser des analyses de risques menées en conformité avec la norme NF EN ISO/IEC 27005 : 2018, en particulier dans le cadre d’un SMSI conforme à la norme ISO/CEI 27001;

  • Consultants désirant certifier qu’ils sont capables de maîtriser les principes et le processus d’une analyse de risque;

  • Toute personne, quelle que soit son poste dans l’entreprise en relation avec le Système de Management de la Sécurité de l’Information (SMSI), désireuses de prouver qu’elles sont capables d’avoir des responsabilités dans la maîtrise des risques d’un système d’informations (Responsable de la Sécurité des Systèmes d’Information et Responsable de la Conformité)

Programme détaillé

Chapitre 1 - Cas pratiques : analyses d’accident

  • Exemples : un accident impliquant un SCADA, une cyber attaque

  • Analyse des causes des accidents : contexte, environnement, organisation, équipements, Système d’Informations

  • Conclusion sur les risques pris

  • Réflexion sur les leçons à tirer de ces événements

Chapitre 2 : Présentation de l’ISO 27005

  • Place de l’ISO 27005 dans la famille des ISO 27000 et parallèle avec l’ISO 31000

  • Définitions utilisées (ISO 27000)Logique d’exploitation de l’ISO 27005 (Contexte, domaine d’étude, implication de la direction)

  • L’établissement des échelles d’évaluation

  • Introduction de la méthode EBIOS RM pour renforcer l’analyse de risques

  • Utilisation de cas pratiques pour appuyer les éléments traités ci-dessus

Chapitre 3 : L’appréciation des risques

  • Identifier, analyser, évaluer les risques

  • S’appuyer sur les annexes de l’ISO 27005Traiter les risques

  • S’appuyer sur des outils d’analyse de type AMDEC, Bow Tie Analysis

  • Utilisation de cas pratiques pour appuyer les thématiques vues ci-dessus

Chapitre 4: Le traitement des risques

  • Introduction au facteur humain et aux organisations : aspects de vulnérabilité et aspects de rattrapage d’erreurs

  • Réflexions sur les possibilités que cela offre en matière de traitement des risques

  • Utilisation de l’ISO 27002 pour rechercher des solutions

  • Contrôler le risque en assurant un suivi de l’efficacité des mesures - Utilisation de l’ISO 27004 pour définir des métriques -

Chapitre 5 : Etude de cas

Récapitulatif autour d’un cas pratique : effectuer une analyse de risques dirigée, rechercher des moyens de traitement, les justifier

  • Organiser le recueil des incidents et les traiter

  • Organiser le retour d’expérience et l’exploiter dans l’analyse de risques, le traitement des risques et la démarche d’amélioration continue

  • Repérer les « signaux faibles » pour renforcer la démarche d’amélioration continue et anticiper les risques

  • Réflexions sur la culture de sécurité dans les SI

Pré-requis

Pour suivre la formation, une bonne connaissance des systèmes d’information est nécessaire.

Prix public

Prix HT:1299.00 €
Taxes:0.00 €
Prix TTC:1299.00 €

Compétences apportées

Description Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 5 Niveau 6 Niveau 7
SFIA7>Strategie et architecture>Strategie de l'information
    [SCTY] Sécurité de l'information      
SFIA7>Changement et transformation>Mise en oeuvre du changement
    [PRMG] Gestion de projet      
SFIA7>Changement et transformation>Gestion du changement
    [REQM] Gestion des exigences      
SFIA7>Developpement et mise en oeuvre>Developpement de systemes
    [SFEN] Ingénierie sécurité      
SFIA7>Competences et qualite>Qualite et conformite
    [SFAS] évaluation de la sécurité      
 

Description détaillée des compétences apportées

[0] Sécurité de l'information

La sélection, la conception, la justification, la mise en œuvre et le fonctionnement de contrôles et de stratégies de gestion visant à maintenir la sécurité, la confidentialité, l’intégrité, la disponibilité, la responsabilité et la conformité des systèmes d’information à la législation, à la réglementation et aux normes applicables.
Niveau apporté: 5 Fournit des conseils et des orientations sur les stratégies de sécurité permettant de gérer les risques identifiés et de garantir l'adoption et le respect des normes. Obtenir et agir sur les informations de vulnérabilité et mener des évaluations des risques de sécurité, des analyses d’impact sur les entreprises et des accréditations de systèmes d’information complexes. Enquêter sur les violations majeures de la sécurité et recommander les améliorations de contrôle appropriées. Contribue à l'élaboration de politiques, de normes et de directives relatives à la sécurité de l'information.
 

[0] Gestion de projet

Gestion de projets, généralement (mais pas exclusivement) impliquant le développement et la mise en œuvre de processus métiers pour répondre aux besoins métiers identifiés, en acquérant et en utilisant les ressources et les compétences nécessaires, dans le respect de paramètres convenus de coût, de délais et de qualité. L'adoption et l'adaptation de méthodologies de gestion de projet basées sur le contexte du projet et la sélection appropriée d'approches prédictives (pilotées par un plan) ou adaptatives (itératives / agiles).
Niveau apporté: 6 Assume l'entière responsabilité de la définition, de la documentation et de la réussite des projets complexes (ayant généralement un impact significatif sur les affaires, la politique ou la notoriété, et des dépendances à haut risque). Adopte et adapte les méthodes et les outils de gestion de projet, en choisissant de manière appropriée parmi les approches prédictives ou basées sur un plan, ou les approches plus adaptatives (itératives et agiles). Veille à ce que des processus efficaces de contrôle de projet, de contrôle des modifications, de gestion des risques et de test soient maintenus. Surveille et contrôle les ressources, les revenus et les coûts en capital par rapport au budget du projet et gère les attentes de tous les intervenants du projet.
 

[0] Gestion des exigences

L'élicitation, l'analyse, la spécification et la validation des exigences et des contraintes à un niveau permettant le développement et l'exploitation efficaces de logiciels, systèmes, processus, produits et services nouveaux ou modifiés. La gestion des exigences tout au long du cycle de vie de la livraison et de l'exploitation du logiciel, du système, des processus, des produits ou des services. La négociation de compromis acceptables pour les principales parties prenantes et dans les limites des contraintes budgétaires, techniques, réglementaires et autres. L’adoption et l’adaptation de modèles de cycle de vie de la gestion des exigences basées sur le contexte du travail et la sélection appropriée d’approches prédictives ou basées sur un plan, ou d’approches plus adaptatives (itératives et agiles).
Niveau apporté: 5 Planifie et dirige les activités de définition de la portée et de définition des priorités et de définition des priorités pour les grandes initiatives complexes. Choisit, adopte et adapte la définition des exigences appropriée ainsi que les méthodes, outils et techniques de gestion, en sélectionnant de manière appropriée les approches prédictives (pilotées par un plan) ou adaptatives (itératives / agiles). Obtenir l'avis et l'accord formel des exigences d'un large éventail de parties prenantes. Négocier avec les parties prenantes pour gérer les priorités et les conflits concurrents. Établit les lignes de base des exigences. S'assure que les modifications apportées aux exigences sont examinées et gérées. Contribue à l'élaboration de méthodes et de normes organisationnelles.
 

[0] Ingénierie sécurité

L'application de méthodes appropriées pour assurer la sécurité pendant toutes les phases du cycle de vie des développements de systèmes liés à la sécurité, y compris la maintenance et la réutilisation. Celles-ci incluent l'analyse des dangers et des risques pour la sécurité, la spécification des exigences de sécurité, la conception architecturale des systèmes liés à la sécurité, la conception de méthodes formelles, la validation et la vérification de la sécurité et la préparation des dossiers de sécurité.
Niveau apporté: 5 Identifie et analyse les dangers et contribue à l'identification et à l'évaluation des mesures de réduction des risques, en veillant à ce qu'elles soient correctement documentées. Spécifie les architectures de systèmes liées à la sécurité jusqu'aux niveaux d'intégrité de sécurité les plus élevés. Développe et maintient les plans d'assurance de sécurité du projet, surveille la conformité et s'assure que les preuves d'assurance de sécurité sont rassemblées pour la préparation des dossiers de sécurité
 

[0] évaluation de la sécurité

L'évaluation des systèmes logiciels liés à la sécurité pour déterminer la conformité aux normes et aux niveaux requis d'intégrité de la sécurité. Cela implique de porter un jugement professionnel sur les approches en matière de génie logiciel, y compris sur l'adéquation des méthodes de conception, de test, de validation et de vérification, ainsi que sur l'identification et l'évaluation des risques et des moyens de les réduire. L'établissement, le maintien et la gestion d'un cadre et de pratiques d'évaluation.
Niveau apporté: 6 Dirige les évaluations jusqu'à la norme CEI 61508 d'intégrité de la sécurité de niveau 4 (ou une norme équivalente) ou participe à tout niveau d'évaluation. Détermine les méthodes, techniques et outils d'évaluation à utiliser en fonction des niveaux d'intégrité des évaluations entreprises.
 

MAGNE, Jean



Moyenne: 5 sur 1 votes


Date Stagiaire Note Commentaire concernant le formateur Formation
25/03/2022 Ne souhaite pas être identifié(e) Intéressant et utilise de nombreux exemples