Pitch |
Cette formation permet de comprendre le rôle d’un Security Risk Manager en maitrisant les différentes étapes, principes et processus de l’analyse de risques des DSI. (Voir aussi ISO/CEI 27001 LEAD AUDITOR & IMPLEMENTER dédié à l'audit et la mise en place de systèmes de gestion de la sécurité (SMSI)) |
Résumé |
Cette formation vous permettra d’acquérir une expertise reconnue des différentes étapes de l'analyse des risques en vous appuyant sur une connaissance précise de la norme NF EN ISO/IEC 27005 : 2018. Plus que la simple maîtrise de connaissances ou de techniques, cette formation vous donnera les clefs pour appliquer les différentes étapes de l’analyse des risques, mesurer le rôle clef du facteur humain dans le management des risques grâce à des études de cas. |
Timing de la formation |
Durée effective:34 heure(s) décomposée(s) en 30h vidéos et QUIZZ, 4h de travail personnel Vous disposez de 50 jours pour passer votre certification |
Difficulté de la formation |
Fondamental |
Mode |
Digital-learning |
Objectifs |
L’objectif principal de cette formation est de valider les compétences des professionnels capables d’identifier, évaluer et traiter les risques auxquels est soumis le système d’information de façon à préserver les activités essentielles de l’entreprise en s’appuyant sur l’ISO 27005. A l’issue de la formation, l’apprenant sera capable de :
|
Public |
|
Chapitre 1 - Cas pratiques : analyses d’accident
Exemples : un accident impliquant un SCADA, une cyber attaque
Analyse des causes des accidents : contexte, environnement, organisation, équipements, Système d’Informations
Conclusion sur les risques pris
Réflexion sur les leçons à tirer de ces événements
Chapitre 2 : Présentation de l’ISO 27005
Place de l’ISO 27005 dans la famille des ISO 27000 et parallèle avec l’ISO 31000
Définitions utilisées (ISO 27000)Logique d’exploitation de l’ISO 27005 (Contexte, domaine d’étude, implication de la direction)
L’établissement des échelles d’évaluation
Introduction de la méthode EBIOS RM pour renforcer l’analyse de risques
Utilisation de cas pratiques pour appuyer les éléments traités ci-dessus
Chapitre 3 : L’appréciation des risques
Identifier, analyser, évaluer les risques
S’appuyer sur les annexes de l’ISO 27005Traiter les risques
S’appuyer sur des outils d’analyse de type AMDEC, Bow Tie Analysis
Utilisation de cas pratiques pour appuyer les thématiques vues ci-dessus
Chapitre 4: Le traitement des risques
Introduction au facteur humain et aux organisations : aspects de vulnérabilité et aspects de rattrapage d’erreurs
Réflexions sur les possibilités que cela offre en matière de traitement des risques
Utilisation de l’ISO 27002 pour rechercher des solutions
Contrôler le risque en assurant un suivi de l’efficacité des mesures - Utilisation de l’ISO 27004 pour définir des métriques -
Chapitre 5 : Etude de cas
Récapitulatif autour d’un cas pratique : effectuer une analyse de risques dirigée, rechercher des moyens de traitement, les justifier
Organiser le recueil des incidents et les traiter
Organiser le retour d’expérience et l’exploiter dans l’analyse de risques, le traitement des risques et la démarche d’amélioration continue
Repérer les « signaux faibles » pour renforcer la démarche d’amélioration continue et anticiper les risques
Réflexions sur la culture de sécurité dans les SI
Pré-requis |
Pour suivre la formation, une bonne connaissance des systèmes d’information est nécessaire. |
||||||
Prix public |
|
| Description | Niveau 1 | Niveau 2 | Niveau 3 | Niveau 4 | Niveau 5 | Niveau 6 | Niveau 7 |
| SFIA7>Strategie et architecture>Strategie de l'information | |||||||
| [SCTY] Sécurité de l'information | |||||||
| SFIA7>Changement et transformation>Mise en oeuvre du changement | |||||||
| [PRMG] Gestion de projet | |||||||
| SFIA7>Changement et transformation>Gestion du changement | |||||||
| [REQM] Gestion des exigences | |||||||
| SFIA7>Developpement et mise en oeuvre>Developpement de systemes | |||||||
| [SFEN] Ingénierie sécurité | |||||||
| SFIA7>Competences et qualite>Qualite et conformite | |||||||
| [SFAS] évaluation de la sécurité | |||||||
[0] Sécurité de l'informationLa sélection, la conception, la justification, la mise en œuvre et le fonctionnement de contrôles et de stratégies de gestion visant à maintenir la sécurité, la confidentialité, l’intégrité, la disponibilité, la responsabilité et la conformité des systèmes d’information à la législation, à la réglementation et aux normes applicables. |
|
| Niveau apporté: 5 | Fournit des conseils et des orientations sur les stratégies de sécurité permettant de gérer les risques identifiés et de garantir l'adoption et le respect des normes. Obtenir et agir sur les informations de vulnérabilité et mener des évaluations des risques de sécurité, des analyses d’impact sur les entreprises et des accréditations de systèmes d’information complexes. Enquêter sur les violations majeures de la sécurité et recommander les améliorations de contrôle appropriées. Contribue à l'élaboration de politiques, de normes et de directives relatives à la sécurité de l'information. |
[0] Gestion de projetGestion de projets, généralement (mais pas exclusivement) impliquant le développement et la mise en œuvre de processus métiers pour répondre aux besoins métiers identifiés, en acquérant et en utilisant les ressources et les compétences nécessaires, dans le respect de paramètres convenus de coût, de délais et de qualité. L'adoption et l'adaptation de méthodologies de gestion de projet basées sur le contexte du projet et la sélection appropriée d'approches prédictives (pilotées par un plan) ou adaptatives (itératives / agiles). |
|
| Niveau apporté: 6 | Assume l'entière responsabilité de la définition, de la documentation et de la réussite des projets complexes (ayant généralement un impact significatif sur les affaires, la politique ou la notoriété, et des dépendances à haut risque). Adopte et adapte les méthodes et les outils de gestion de projet, en choisissant de manière appropriée parmi les approches prédictives ou basées sur un plan, ou les approches plus adaptatives (itératives et agiles). Veille à ce que des processus efficaces de contrôle de projet, de contrôle des modifications, de gestion des risques et de test soient maintenus. Surveille et contrôle les ressources, les revenus et les coûts en capital par rapport au budget du projet et gère les attentes de tous les intervenants du projet. |
[0] Gestion des exigencesL'élicitation, l'analyse, la spécification et la validation des exigences et des contraintes à un niveau permettant le développement et l'exploitation efficaces de logiciels, systèmes, processus, produits et services nouveaux ou modifiés. La gestion des exigences tout au long du cycle de vie de la livraison et de l'exploitation du logiciel, du système, des processus, des produits ou des services. La négociation de compromis acceptables pour les principales parties prenantes et dans les limites des contraintes budgétaires, techniques, réglementaires et autres. L’adoption et l’adaptation de modèles de cycle de vie de la gestion des exigences basées sur le contexte du travail et la sélection appropriée d’approches prédictives ou basées sur un plan, ou d’approches plus adaptatives (itératives et agiles). |
|
| Niveau apporté: 5 | Planifie et dirige les activités de définition de la portée et de définition des priorités et de définition des priorités pour les grandes initiatives complexes. Choisit, adopte et adapte la définition des exigences appropriée ainsi que les méthodes, outils et techniques de gestion, en sélectionnant de manière appropriée les approches prédictives (pilotées par un plan) ou adaptatives (itératives / agiles). Obtenir l'avis et l'accord formel des exigences d'un large éventail de parties prenantes. Négocier avec les parties prenantes pour gérer les priorités et les conflits concurrents. Établit les lignes de base des exigences. S'assure que les modifications apportées aux exigences sont examinées et gérées. Contribue à l'élaboration de méthodes et de normes organisationnelles. |
[0] Ingénierie sécuritéL'application de méthodes appropriées pour assurer la sécurité pendant toutes les phases du cycle de vie des développements de systèmes liés à la sécurité, y compris la maintenance et la réutilisation. Celles-ci incluent l'analyse des dangers et des risques pour la sécurité, la spécification des exigences de sécurité, la conception architecturale des systèmes liés à la sécurité, la conception de méthodes formelles, la validation et la vérification de la sécurité et la préparation des dossiers de sécurité. |
|
| Niveau apporté: 5 | Identifie et analyse les dangers et contribue à l'identification et à l'évaluation des mesures de réduction des risques, en veillant à ce qu'elles soient correctement documentées. Spécifie les architectures de systèmes liées à la sécurité jusqu'aux niveaux d'intégrité de sécurité les plus élevés. Développe et maintient les plans d'assurance de sécurité du projet, surveille la conformité et s'assure que les preuves d'assurance de sécurité sont rassemblées pour la préparation des dossiers de sécurité |
[0] évaluation de la sécuritéL'évaluation des systèmes logiciels liés à la sécurité pour déterminer la conformité aux normes et aux niveaux requis d'intégrité de la sécurité. Cela implique de porter un jugement professionnel sur les approches en matière de génie logiciel, y compris sur l'adéquation des méthodes de conception, de test, de validation et de vérification, ainsi que sur l'identification et l'évaluation des risques et des moyens de les réduire. L'établissement, le maintien et la gestion d'un cadre et de pratiques d'évaluation. |
|
| Niveau apporté: 6 | Dirige les évaluations jusqu'à la norme CEI 61508 d'intégrité de la sécurité de niveau 4 (ou une norme équivalente) ou participe à tout niveau d'évaluation. Détermine les méthodes, techniques et outils d'évaluation à utiliser en fonction des niveaux d'intégrité des évaluations entreprises. |
| Date | Stagiaire | Note | Commentaire concernant le formateur | Formation |
| 25/03/2022 | Ne souhaite pas être identifié(e) | |
Intéressant et utilise de nombreux exemples |
