ANALYSE DE RISQUE : ISO/CEI 27005 ET EBIOS RM

Cette formation est structurée en deux parties complémentaires. La première partie porte sur le standard « ISO/CEI 27005 Risk Manager ». La seconde partie porte sur la méthode d’analyse de risque EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité et Rism Manager) conforme au standard ISO27005. La première partie vous permettra de développer les compétences pour maîtriser les processus d’analyse de risque liés à tous les actifs pertinents pour la sécurité de l’information, la norme ISO/CEI 27005 est cadre de référence. Cette première partie s’inscrit parfaitement dans le processus de mise en œuvre du SMSI selon la norme ISO/CEI 27001. EBIOS RM va vous permettre de conduire et de réaliser concrètement une analyse de risque en conformité avec le standard ISO27005. Les compétences ainsi acquises au travers d’exercices pratiques vous donneront l’ensemble des éléments nécessaires pour mener à bien une analyse de risque IT.

Objectifs

  • Comprendre la relation entre la gestion des risques de la sécurité de l’information et les mesures de sécurité.
  • Comprendre les concepts, approches, méthodes et techniques permettant un processus de gestion des risques efficace conforme à la norme ISO/CEI 27005.
  • Savoir interpréter les exigences de la norme ISO/CEI 27001 dans le cadre du management du risque de la sécurité de l’information.
  • Acquérir les compétences pour conseiller efficacement les organisations sur les meilleures pratiques en matière de gestion des risques liés à la sécurité de l’information.
  • Comprendre les concepts et les principes fondamentaux relatifs à la gestion du risque selon la méthode EBIOS RM.
  • Comprendre les étapes de la méthode EBIOS RM afin de poursuivre l’achèvement des études (pilote, contrôle, reframe) en tant que maître de travail.
  • Comprendre et expliquer les résultats d’une étude EBIOS et ses objectifs clés.
  • Acquérir les compétences nécessaires afin de mener une étude EBIOS.
  • Acquérir les compétences nécessaires pour gérer les risques de sécurité des systèmes d’information appartenant à un organisme

Pour qui

  • Informaticien avec une culture de base en sécurité.
  • Responsable (ou aspirant à l’être) de la sécurité d’information.
  • Membres d’une équipe de sécurité de l’information.
  • Tout individu responsable de la sécurité d’information, de la conformité et du risque dans une organisation.
  • Tout individu mettant en œuvre ISO/CEI 27001, désirant se conformer à la norme ISO/CEI 27001 ou impliqué dans un programme de gestion des risques.
  • Consultants des TI.
  • Professionnels des TI.
  • Agents de la sécurité de l’information.
  • Agents de la protection des données personnelles.

Pré-requis

  • Bonne culture Informatique.
  • Culture de base en sécurité

Contenu de la formation

ANALYSE DE RISQUE : ISO/CEI 27005 ET EBIOS RM

  • Jour 1 : Introduction au programme de gestion des risques conforme à la norme ISO/CEI 27005
    • Objectifs et structure de la formation
    • Concepts et définitions du risque
    • Cadres normatifs et règlementaires
    • Mise en œuvre d’un programme de gestion des risques
    • Compréhension de l’organisation et de son contexte
  • Jour 2 : Mise en œuvre d’un processus de gestion des risques conforme à la norme ISO/CEI 27005
    • Identification des risques
    • Analyse et évaluation des risques
    • Appréciation du risque avec une méthode quantitative
    • Traitement des risques
    • Acceptation des risques et gestion des risques résiduels
    • Communication et concertation relatives aux risques en sécurité de l’information
    • Surveillance et revenue du risque
  • Jour 3 : Méthode EBIOS RM : cadrage et définitions des process
    • Introduction à la méthode EBIOS · Présentation générale d’EBIOS · Principales définition · Les 5 phases d’EBIOS : étude du contexte, des évènements redoutés, des scénarios de menaces, des risques et des mesures de sécurité · L’ISO 27005 appliquée dans EBIOS · Les grands principes d’EBIOS : implication, sensibilisation, adhésion et responsabilisation
    • Définition du cadre de la gestion des risques · Cadrage de l’étude des risques · Description du contexte général · Limites du périmètre de l’étude · Identification des paramètres à prendre en compte · Identification des sources de menace
    • Préparer les métriques · Définition des critères de sécurité · Élaboration des échelles de besoin · Élaboration d’une échelle de niveaux de gravité · Élaboration d’une échelle de niveaux de vraisemblance · Définition des critères de gestion des risques
    • Identifier les biens · Identification des biens essentiels, leurs relations et leurs dépositaires · Identifier les biens supports, leurs relations et leurs dépositaires · Détermination des liens entre les biens essentiels et les biens supports · Identification des mesures de sécurité existantes
  • Jour 4 : Méthode EBIOS : réalisation concrète
    • Apprécier les événements redoutés · Analyse d’événements redoutés · Évaluation de chaque événement redouté
    • Apprécier les scénarios de menaces · Analyse de tous les scenarios de menaces · Évaluation de chaque scenario de menace
    • Apprécier les risques · Analyse des risques · Évaluation de chaque risque
    • Identifier les objectifs de sécurité · Choix des options de traitement des risques · Analyse des risques résiduels
    • Formaliser les mesures de sécurité à mettre en œuvre · Détermination des mesures de sécurité · Analyse des risques résiduels · Établissement d’une déclaration d’applicabilité
    • Mettre en œuvre les scénarios de sécurité · Élaboration d’un plan d’actions · Suivi de la réalisation des mesures de sécurité · Analyse des risques résiduels
  • Jour 5 : Etude de cas et préparation à l’examen

Nos prochaines sessions

  • 26/09/2022 - 30/09/2022  

  • 26/12/2022 - 30/12/2022  

  • 06/03/2023 - 10/03/2023