Ce cours permet aux participants de développer les compétences pour la maîtrise des éléments de base de la gestion des risques de sécurité de l´information en utilisant la norme ISO/IEC 27005 comme cadre de référence. A partir d’exercices pratiques et d’études de cas, les participants pourront acquérir les aptitudes et compétences nécessaires pour réaliser une évaluation optimale du risque de la sécurité de l’information et de gérer le risque dans le temps en étant familier à leur cycle de vie. Cette formation s’inscrit parfaitement dans le cadre d’un processus de mise en œuvre de la norme ISO/IEC 27001.

Si vous souhaitez suivre cette formation à distance, cliquez sur le bouton « Distanciel » pour découvrir le programme.

Objectifs

  • Comprendre les concepts, approches, méthodes et techniques permettant une gestion efficace du risque selon l’ISO 27005
  • Interpréter les exigences d’ISO 27001 concernant la gestion du risque afin de comprendre la relation entre un système de management de la sécurité de l’information, des mesures de sécurité, et la conformité aux exigences des différentes parties prenantes d’une organisation
  • Acquérir les compétences pour mettre en œuvre, maintenir et gérer un programme continu de gestion du risque dans la sécurité de l´information
  • Acquérir les compétences pour conseiller efficacement une organisation sur les meilleures pratiques en gestion du risque dans la sécurité de l´information

Programme

Jour 1

Introduction, programme de gestion du risque, identification et analyse du risque selon ISO 27005

  • Concepts et définitions liés à la gestion du risque
  • Normes, cadres de référence et méthodologies en gestion du risque
  • Mise en œuvre d’un programme de gestion du risque dans la sécurité de l´information
  • Analyse du risque (Identification et estimation)

Jour 2

Évaluation
du risque, traitement,
acceptation
selon ISO 27005

  • Évaluation du risque
  • Traitement du risque
  • Acceptation du risque dans la sécurité de l’information et gestion du risque résiduel

Jour 3

Les fonctions
transverses de la gestion
des risques et
autres méthodologies

  • Communication du risque dans la sécurité de l’information
  • Surveillance et contrôle du risque dans la sécurité de l’information
  • Panorama des méthodologies existantes (dont Ebios)
  • Bilan et examen

Evaluation
des acquis

L’examen « PECB Certified ISO/IEC 27005 Risk Manager » se tient le 3ème jour de formation et dure 2 heures. L’examen couvre les domaines suivants :

    • Domaine 1 : Principes et concepts fondamentaux, méthodes et techniques de la gestion du risque
    • Domaine 2 : Mise en œuvre d´un programme de gestion des risques
    • Domaine 3 : Analyse du risque dans la sécurité de l´information selon ISO 27005

Les +

Cette formation est basée sur l’alternance de temps théoriques et de pratiques :

  • Cours magistral illustré avec des exemples issus de cas réels
  • Exercices en classe pour aider à la préparation de l’examen
  • Tests pratiques analogues à l’examen de certification

Afin de préserver la bonne réalisation des exercices pratiques, le nombre de participants à la formation est limité.

Public

  • Gestionnaires de risques
  • Personnes responsables de la sécurité de l’information ou de la conformité au sein d’une organisation
  • Membre d’une équipe de sécurité de l’information
  • Consultants en technologie de l’information
  • Personnel de la mise en œuvre de la norme ISO 27001 ou cherchant à s’y conformer ou participant à un programme de gestion du risque

Prérequis

  • Connaissances générales des systèmes d’information​
  • Connaissances générales en sécurité des systèmes d’information​
  • Connaissances générales en gestion des risques

Modalités et
délai d’accès

Le stagiaire est considéré inscrit lorsque :

  • Les prérequis et besoins sont identifiés et validés
  • La convention de formation signée

Les demandes d’inscription peuvent être envoyées jusqu’à 10 jours ouvrés avant le début de la formation.

Accessibilité

Que vous soyez reconnu en situation de handicap ou pas, rendre notre formation accessible à toutes et à tous fait partie de notre engagement.  Si vous avez besoin d’une compensation ou adaptation pour le contenu, les supports, le « lieu », le matériel utilisé, les horaires, le rythme, nous sommes à votre écoute.

Durée

3 jours (21 heures)

Tarif

2000€ HT

Repas

Matin & midi compris

+ Prise en charge OPCO

Objectifs

  • Comprendre les concepts, approches, méthodes et techniques permettant une gestion efficace du risque selon l’ISO 27005
  • Interpréter les exigences d’ISO27001 concernant la gestion du risque afin de comprendre la relation entre un système de management de la sécurité de l’information, des mesures de sécurité, et la conformité aux exigences des différentes parties prenantes d’une organisation
  • Acquérir les compétences pour mettre en œuvre, maintenir et gérer un programme continu de gestion du risque dans la sécurité de l´information
  • Acquérir les compétences pour conseiller efficacement une organisation sur les meilleures pratiques en gestion du risque dans la sécurité de l´information

Programme

Session 1 

Section 1 : Objectifs et structure de la formation

    • Objectifs de la formation
    • Examen et certification

Section 2 : Cadres normatifs et réglementaires

      • Le modèle ISO
      • Le cadre normatif
      • Cadre de gestion des risques ISO 27005
      • D’autres normes liées à la sécurité de l’information
      • ISO 31000 et IEC 31010
      • Exercice 1 : Mythes et réalités – Gestion des risques
      • Se préparer

Session 2

Section 3 : Concepts et définitions du risque

    • Concepts et définitions du risque
    • Sécurité de l’information
    • Risques en sécurité de l’information
    • Principes et avantages de management du risque
    • Exercice 2 : Gestion des risques

Session 3

Section 4 : Programme de gestion des risques

    • Leadership et l’engagement
    • Responsabilités en matière de gestion des risques
    • Mesures d’imputabilité
    • Politiques et processus de gestion des risques
    • Méthodologie en matière d’appréciation des risques
    • Planification des activités d’appréciation des risques
    • Mise à disposition des ressources.
    • Exercice 3 : Ressources

Session 4

Section 5 : Établissement du contexte

    • Compréhension de l’organisme et à son contexte
    • Etablissement du contexte interne et externe
    • Identification et analyse des parties prenantes
    • Détermination des objectifs
    • Détermination des critères de base
    • Détermination du domaine d’application et des limites
    • Exercice 4 : Établir le contexte

Session 5

Section 6 : Identification des risques

    • Techniques de collecte de l’information
    • Identification des actifs primordiaux et actifs en support
    • Exercice 5 : Identification des actifs
    • Identification des menaces
    • Identification des mesures de sécurité existantes
    • Identification des vulnérabilités et des conséquences
    • Les menaces, les vulnérabilités et les mesures de sécurité
    • Les conséquences
    • Exercice 6 : Identification des menaces, vulnérabilités et impact

Session 6 

Section 7 : Analyse des risques

    • Méthodologie d’analyse des risques
    • Appréciation des conséquences
    • Appréciation de la vraisemblance d’un incident
    • Estimation du niveau de risque
    • Exercice 7 : Feuille de travail sur le risque lié aux actifs informationnels

Session 7

Section 8 : Évaluation des risques

    • Evaluation des niveaux de risques en fonction des critères d’évaluation
    • Exemple d’une appréciation de risque

Section 9 : Appréciation des risques à l’aide d’une méthode quantitative

    • Concept de ROSI
    • Le calcul de l’estimation de perte annuelle (EPA)
    • Le calcul de la valeur d’une mesure de sécurité
    • Exercice 8 : Appréciation quantitative des risques

Session 8

Section 10 : Traitement des risques

    • Processus de traitement des risques
    • Options de traitement des risques
    • Plan de traitement des risques
    • Evaluation des risques résiduels

Section 11 : Acceptation des risques en sécurité de l’information

    • Acceptation du plan de traitement des risques
    • Acceptation du risque résiduel
    • Exercice 9 : Options de traitement des risques

Session 9

Section 12 : Communication et concertation relatives aux risques en sécurité de l’information

    • Objectifs de communication des risques
    • Plan de communication de risques
    • La communication interne et externe
    • Enregistrement des décisions et la communication
    • Exercice 10 : Communication des risques

Session 10

  • Section 13 : Surveillance et réexamen des risques en sécurité de l’information
  • Section 14 : Méthode OCTAVE
  • Section 15 : Méthode MEHARI
  • Section 16 : Méthode EBIOS
  • Section 17 : Méthode harmonisée d’évaluation des menaces et des risques (EMR)
  • Section 18 : Processus de certification et clôture de la formation
  • Révisions​

Planning de principe

  • 21h de cours avec le formateur réparties en 10 sessions de 2H à 2H30
Lundi Mardi Mercredi jeudi Vendredi
Semaine 1 Session 1 Session 2 Session 3 Session 4 Session 5
Semaine 2 Session 6 Session 7 Session 8 Session 9 Session 10

Evaluation
des acquis

Examen à distance de 2H

L’examen couvre les domaines de compétence suivants :

    • Domaine 1 : Principes et concepts fondamentaux de la gestion des risques liés à la sécurité de l’information
    •     Domaine 2 : Mise en œuvre d’un programme de gestion des risques liés à la sécurité de l’information
    •     Domaine 3 : Cadre et processus de gestion des risques liés à la sécurité de l’information basés sur la norme ISO/CEI 27005
    •     Domaine 4 : Autres méthodes d’évaluation des risques liés à la sécurité de l’information

Les +

  • Une formation dispensée par un expert en cybersécurité
  • Une plateforme intuitive et facile d’utilisation
  • Des moments d’échange sur des concepts clés et partages d’expérience adaptés au contexte des apprenants
  • Une pédagogie de formation adaptée à tous les profils d’apprentissage
  • La structure des questionnaires est semblable à celle de l’examen de certification

Public

  • Gestionnaires de risques
  • Personnes responsables de la sécurité de l’information ou de la conformité au sein d’une organisation
  • Membre d’une équipe de sécurité de l’information
  • Consultants en technologie de l’information
  • Personnel de la mise en œuvre de la norme ISO 27001 ou cherchant à s’y conformer ou participant à un programme de gestion du risque

Prérequis

  • Connaissances générales des systèmes d’information​
  • Connaissances générales en sécurité des systèmes d’information​
  • Connaissances générales en gestion des risques

Modalités et
délai d’accès

Le stagiaire est considéré inscrit lorsque :

  • Les prérequis et besoins sont identifiés et validés
  • La convention de formation signée

Les demandes d’inscription peuvent être envoyées jusqu’à 10 jours ouvrés avant le début de la formation.

Accessibilité

Que vous soyez reconnu en situation de handicap ou pas, rendre notre formation accessible à toutes et à tous fait partie de notre engagement.

Si vous avez besoin d’une compensation ou adaptation pour le contenu, les supports, le « lieu », le matériel utilisé, les horaires, le rythme, nous sommes à votre écoute.

Durée

21 heures

Tarif

2000€ HT

+ Prise en charge OPCO

Téléchargez la fiche pédagogique au format PDF

Vous souhaitez plus d'informations ?

contactez-nous en remplissant ce formulaire

    Almond s’engage à ce que la collecte et le traitement de vos données, effectués à partir du site https://almond.consulting/ soient conformes au règlement général sur la protection des données (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée, relative à la protection des données à caractère personnel.
    Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Almond, afin de répondre aux demandes d’informations.
    Vous pouvez accéder aux données vous concernant, demander leur rectification ou leur effacement. Vous disposez également d'un droit d’opposition, et d’un droit à la limitation du traitement de vos données (cf. cnil.fr pour plus d’informations sur vos droits).
    Vous pouvez exercer vos droits en contactant le Référent Données à caractère personnel d'Almond à l’adresse suivante : dpo@almond.consulting.
    Vos données seront conservées au sein de l’Union européenne, conformément à la réglementation en vigueur.