ISO/CEI 27005 Security Risk Manager

Cette formation vous donnera les clefs pour appliquer les différentes étapes de l’analyse des risques et mesurer le rôle clef du facteur humain dans le management des risques grâce à des études de cas.

1299€ HT

Modalités de la formation ISO/CEI 27005 Security risk manager

DIGITAL LEARNING
Durée

34 heures

Tarifs

1299 € HT/pers, certification incluse
Tarif Intra sur demande.

Public visé
  • Professionnels et/ou Auditeurs de la Sécurité de l’Information
  • Consultants désirant certifier leur capacité à maîtriser les principes et le processus d’une analyse de risque;
  • Toute personne, quelle que soit son poste dans l’entreprise, en relation avec le Système de Management de la Sécurité de l’Information (SMSI).
Prérequis​
  • Pour suivre la formation, une bonne connaissance des systèmes d’information est nécessaire.
  • Le cours est en français. Le wording, les quizzs, les slides et examens sont en anglais. Niveau intermédiaire B1 requis.
Objectifs pédagogiques​​
  • Maîtriser le contenu de la norme ISO/CEI 27005 et la resituer dans le cadre général des normes ISO 27000,
  • Comprendre la démarche et les enjeux de l’analyse de risque d’un système d’information en prenant en compte son environnement spécifique
  • Appliquer les différentes étapes de l’analyse des risques en s’appuyant sur la méthodologie RM Ebios
  • Comprendre le rôle d’un Security Risk Manager et ses responsabilités,
  • Repérer et mesurer le rôle clef du facteur humain dans le management des risques
Méthodes pédagogiques

Formation en digital-learning, 100% en ligne, formée de vidéos, de quiz, de lectures et contenus complémentaires, d’un forum et selon les cas, de webinaires.

Modalités d’évaluation
  • Test d’entrée et de sortie pour valider les compétences acquises.
  • Passage de la certification à l’issue de la formation.
Délais d’accès

Démarrage sous 24h

Compétences

A l’issue de cette formation, vous serez capable de réaliser en autonomie les activités suivantes :

  • Examiner les systèmes d’information actuels et proposés pour s’assurer du respect des obligations de l’organisation
  • Contribuer à l’élaboration de politiques, de normes et de procédures
  • Développer et communiquer la politique, les normes et les directives en matière de sécurité des informations d’entreprise.
  • Superviser les individus et les équipes.
  • Comprendre les implications des informations, internes et externes, pouvant être extraites des systèmes d’entreprise ou ailleurs.
  • Examiner les nouvelles propositions de changement et fournir des conseils spécialisés sur la gestion des informations et des enregistrements.
  • Créer et maintenir un inventaire des actifs informationnels, qui sont soumis à la législation applicable.
  • Préparer et examiner la notification périodique des détails de l’enregistrement et les soumettre aux autorités de réglementation compétentes.
  • Identifier et surveiller les tendances environnementales
  • Diriger la fourniture d’avis et d’orientations faisant autorité sur les exigences relatives aux contrôles de sécurité.
  • Fournir des conseils, des orientations et une expertise pour promouvoir l’adoption de méthodes et d’outils et le respect des politiques et des normes.
  • Examiner les systèmes d’information actuels et proposés pour s’assurer du respect des obligations de l’organisation
  • Comprendre les implications des informations, internes et externes, pouvant être extraites des systèmes d’entreprise ou ailleurs.
  • Examiner les nouvelles propositions de changement et fournir des conseils spécialisés sur la gestion des informations et des enregistrements.
  • Créer et maintenir un inventaire des actifs informationnels, qui sont soumis à la législation applicable.
  • Préparer et examiner la notification périodique des détails de l’enregistrement et les soumettre aux autorités de réglementation compétentes.
  • S’assurer que les demandes d’accès à l’information formelles et les plaintes sont traitées conformément aux procédures approuvées.
  • Contribuer au développement de stratégies organisationnelles qui répondent aux exigences de contrôle des informations.
  • Identifier et surveiller les tendances environnementales
  • Diriger la fourniture d’avis et d’orientations faisant autorité sur les exigences relatives aux contrôles de sécurité.
  • Planifier et gérer la mise en œuvre de procédures, d’outils et de techniques à l’échelle de l’organisation.
  • Fournir des conseils, des orientations et une expertise
  • Assumer la responsabilité de la définition, de la documentation et de la réussite des projets complexes.
  • Développer une connaissance détaillée des approches et techniques d’amélioration des capacités
  • Diriger les évaluations jusqu’à la norme CEI 61508 d’intégrité de la sécurité de niveau 4 (ou une norme équivalente)
Accessibilité

Formation accessible aux personnes en situation de handicap.

Programme de la formation ISO/CEI 27005 Security risk manager

I/ Cas pratiques : analyses d’accident

  • Exemples : un accident impliquant un SCADA, une cyber attaque
  • Analyse des causes des accidents : contexte, environnement, organisation, équipements, Système d’Informations
  • Conclusion sur les risques pris
  • Réflexion sur les leçons à tirer de ces événements

II/ Présentation de l’ISO 27005

  • Place de l’ISO 27005 dans la famille des ISO 27000 et parallèle avec l’ISO 31000
  • Définitions utilisées (ISO 27000)Logique d’exploitation de l’ISO 27005 (Contexte, domaine d’étude, implication de la direction)
  • L’établissement des échelles d’évaluation
  • Introduction de la méthode EBIOS RM pour renforcer l’analyse de risques
  • Utilisation de cas pratiques pour appuyer les éléments traités ci-dessus

III/  L’appréciation des risques

  • Identifier, analyser, évaluer les risques
  • S’appuyer sur les annexes de l’ISO 27005Traiter les risques
  • S’appuyer sur des outils d’analyse de type AMDEC, Bow Tie Analysis
  • Utilisation de cas pratiques pour appuyer les thématiques vues ci-dessus

IV/ Le traitement des risques

  • Introduction au facteur humain et aux organisations : aspects de vulnérabilité et aspects de rattrapage d’erreurs
  • Réflexions sur les possibilités que cela offre en matière de traitement des risques
  • Utilisation de l’ISO 27002 pour rechercher des solutions
  • Contrôler le risque en assurant un suivi de l’efficacité des mesures – Utilisation de l’ISO 27004 pour définir des métriques

V/ Etude de cas

  • Récapitulatif autour d’un cas pratique : effectuer une analyse de risques dirigée, rechercher des moyens de traitement, les justifier
  • Organiser le recueil des incidents et les traiter
  • Organiser le retour d’expérience et l’exploiter dans l’analyse de risques, le traitement des risques et la démarche d’amélioration continue
  • Repérer les « signaux faibles » pour renforcer la démarche d’amélioration continue et anticiper les risques
  • Réflexions sur la culture de sécurité dans les SI
Demande d'information
Demande d'information