Maîtriser l'analyse des risques du système d'information
Cybersécurité et continuité d'activité
-
TARIFS
INTER : à partir de 1590.00 € HT
INTRA : Nous consulter
-
DURÉE
14 heures sur 2jours
-
GROUPE
10 personnes maximum
-
FICHE PROGRAMME
Prochaines sessions
Si aucune session n'est programmée ou si vous désirez une formation en INTRA, vous pouvez nous faire part de votre besoin en cliquant sur le bouton ci-dessous.
DEMANDE DE DEVISOBJECTIFS
A l'issue de cette formation, le stagiaire aura les compétences pour :
- Appréhender les concepts fondamentaux de l'analyse de risques SSI
- Savoir identifier les enjeux
- Disposer d'une démarche complète pour mener à bien un projet d'analyse de risques
- Découvrir les méthodes d'analyse et les solutions logicielles disponibles pour maîtriser les risques du SI
PROGRAMME
1. Les concepts généraux de la gestion des risques
- Définition du risque et des typologies de menaces
- Modèle général de gestion des risques
2. Les acteurs impliqués dans la cartographie des risques
- La gouvernance à prévoir, les acteurs, leurs rôles et responsabilités
- La voie hiérarchique et les voies fonctionnelles
- Identification des risques juridiques
- Métiers
- Civile
- Pénal
- Réglementaire
- Contractuel
- Identification des risques accidentels
- Identification des risques d’erreurs
- Identification des risques liés à la malveillance (cybercriminelle, concurrentielle, ludique, idéologique et stratégique)
- Les caractéristiques de compétence, temps, moyen, connaissance au préalable sur la cible, …
3. Présentation de la norme ISO 31000
- Objectifs de la norme
4. Présentation de la norme ISO 27005
- Objectifs de la norme
- Présentation du contenu de la norme
- Démarche générale de l’analyse des risques
- Démarche d’appréciation et d’analyse des risques
- Classification
- Les pièges à éviter
- Présentation des référentiels d’analyse des menaces, des enjeux et des contraintes
- La granularité et les domaines d’analyse
- Présentation des référentiels de vulnérabilité proposés par la norme
- Présentation des métriques d’appréciation des risques
- Les approches possibles
- La stratégie de traitement des risques, les objectifs et l’acceptation des risques selon la norme
- Les processus de communication et de surveillance des risques
5. La norme ISO 29134
- Objectifs de la norme
- Présentation du contenu de la norme
- Démarche générale de l’analyse des risques
- Démarche d’appréciation et d’analyse des risques
- Les validations AIPD
6. Les homologations RGS, PSSI
- Objectifs
- Présentation du RGS
- Démarche d’homologation…
7. Etudes de cas
8. La prise en compte native des risques SSI dans les projets- L’approche en V
- L’approche Agile
- EBIOS
- EBIOS RM
- MEHARI
- Adaptée
- La déclinaison Privacy by design du RGPD
9. Etudes de cas
10. La définition et la mise en œuvre du Plan de Prévention des Risques (PPR)
- Notions principales et objectifs du PPR
- Le processus d’élaboration du PPR
- La définition des objectifs et des priorités de mise en œuvre
- Introduction aux normes ISO 27002
- Le cas du Cloud ISO 27018
- Les relations avec les PCA et la norme 22301
- Les relations avec la gestion de crise
11. Les conseils de mise en œuvre d’une gestion structurée des risques
- La gouvernance
- La mise en œuvre du système de management de gestion des risques
- Le maintien en condition opérationnelle
12. La prise en compte du facteur humain dans la gestion du risque SI
- Direction générale
- Encadrement
- Acteurs DSI
- Représentant de la MOA
- Les utilisateurs
- Les solutions
- Etudes de cas
13. Les principes généraux relatifs aux systèmes de management de la sécurité
- Le système de management ISO 31000
- Présentation générale du modèle PDCA ISO 27001
MOYENS PÉDAGOGIQUES ET TECHNIQUES
- Accessible en présentiel et distanciel
- Cours théorique
- Exemples concrets
- Evaluation des compétences par un quizz en cours et en fin de formation
- Support de cours remis au stagiaire en fin de formation au format électronique uniquement
- Outils distanciel : teams
MODALITES D'ÉVALUATIONS DES ACQUIS
Validation des connaissances et compétences par un quizz à la fin de chaque chapitre.
PUBLIC CONCERNÉ ET PRÉREQUIS
Directeurs des systèmes d’information, responsables des risques opérationnels, risk-manager, auditeurs ou professionnels du contrôle interne, Chefs de projet.
Aucun prérequis n’est nécessaire.
NATURE DE LA FORMATION
Actions de formation
QUALIFICATIONS DES INTERVENANTS
Le formateur a reçu la certification : PECB Certified ISO/IEC 27001 Lead Auditor.
SPECIALITÉ
Informatique, traitement de l'information, réseaux de transmission des données
DELAI D'ACCES
La durée estimée entre la demande du stagiaire et le début de la formation est de 7 jours (peut être raccourci pour le mode distanciel).
ACCESSIBILITÉ
- Accessible à distance
- Accessible en présentiel