Analyse de risques / Système de management de la sécurité de l’information

OBJECTIFS

À l’issue de la formation, vous aurez les connaissances nécessaires pour :

  • comprendre les besoins de mise en place d’un système de management de la sécurité de l’information basé sur la série de normes internationales Iso/IEC 2700x ;
  • analyser les menaces pesant sur un système d’information ;
  • évaluer les risques liés à ces menaces sur une organisation ;
  • utiliser une base de connaissances et une méthode d’analyse des risques portant sur la sécurité d’un système d’information compatible avec les normes Iso/IEC 27001 et 27005 telles que Méhari ou Ebios ;
  • proposer des actions visant à réduire ces risques.

PUBLIC

Deux types de public peuvent être intéressés par cette formation :

  • les informaticiens généralistes désirant évoluer vers les métiers de la sécurité d’un système d’information, (ex. responsables de la sécurité d’un système d’information – RSSI) ;
  • les managers se préoccupant de la gestion de la sécurité de l’information.

PRÉ-REQUIS

Des compétences de base en informatique ou en systèmes d’information (niveau L 3) sont nécessaires.

CONTENUS

  • Sensibilisation à l’analyse de risques par le biais de la modélisation des menaces et de la présentation des menaces advanced persistant threats (APT)
  • Présentation de la série de normes Iso/IEC 2700x, leurs buts et leurs principes (démarche qualité : planification, mise en oeuvre, vérification, correction)
  • Initiation à l’utilisation d’une méthode d’analyse des risques compatible avec les normes Iso/IEC 27001 et 27005 à deux niveaux : celui d’un projet et celui d’une organisation

MODALITÉS PÉDAGOGIQUES

La formation se déroule principalement par la réalisation d’un cas d’étude pratique allant d’une sensibilisation à l’analyse de risques d’une entreprise fictive jusqu’à la mise en oeuvre de la méthode Mehari. Ce cas d’étude est complété par des apports théoriques sur la problématique de l’analyse de risques, sur la série de normes Iso/IEC 2700x et sur les menaces pesant sur l’information dans les organisations, y compris les menaces advanced persistant threats (APT).

MATÉRIELS UTILISÉS

L’utilisation de Méhari nécessite un ordinateur avec un tableur, LibreOffice ou équivalent. Le reste des activités proposées sont déconnectées.