Formation ISO27005 Risk Manager et EBIOS Risk Manager

Cette formation porte sur le standard ISO27005 et la méthode EBIOS Risk Manager. Cette formation inclus le passage de la certification ISO27005. L’implication des stagiaires dans la formation leur ouvre la voie à être certifié. Une préparation conséquente à la certification sera ainsi assurée. Cette formation inclus un nombre d’étude de cas suffisant pour vous permettre de mener des analyses de risque conforme au standard ISO27005. La méthode EBIOS sera présenté pour permettre aux stagiaires d’être suffisamment outillés pour mener des analyses de risque.

  • Comprendre la relation entre la gestion des risques de la sécurité de l’information et les mesures de sécurité 
  • Comprendre les concepts, approches, méthodes et techniques permettant un processus de gestion des risques efficace conforme à la norme ISO/CEI 27005
  • Savoir interpréter les exigences de la norme ISO/CEI 27001 dans le cadre du management du risque de la sécurité de l’information
  • Acquérir les compétences pour conseiller efficacement les organisations sur les meilleures pratiques en matière de gestion des risques liés à la sécurité de l’information.
  • Comprendre les concepts et les principes fondamentaux relatifs à la gestion du risque selon la méthode EBIOS
  • Comprendre les étapes de la méthode EBIOS afin de poursuivre l’achèvement des études (pilote, contrôle, reframe) en tant que maître de travail
  • Comprendre et expliquer les résultats d’une étude EBIOS et ses objectifs clés
  • Acquérir les compétences nécessaires afin de mener une étude EBIOS
  • Acquérir les compétences nécessaires pour gérer les risques de sécurité des systèmes d’information appartenant à un organisme
  • Développer les compétences nécessaires pour analyser et communiquer les résultats d’une étude EBIOS

PROFIL DES STAGIAIRES

Pour qui :

  • Consultant ou ingénieur IT
  • Professionnels IT
  • Agents de la sécurité de l’information
  • Agents de la protection des données personnelles
  • Responsables de la sécurité d’information
  • Membres d’une équipe de sécurité de l’information
  • Tout individu responsable de la sécurité d’information, de la conformité et du risque dans une organisation
  • Tout individu mettant en œuvre ISO/CEI 27001, désirant se conformer à la norme ISO/CEI 27001 ou impliqué dans un programme de gestion des risques.
  • Personnes souhaitant apprendre les concepts fondamentaux du management des risques
  • Responsables désirant comprendre les techniques d’appréciation des risques basées sur la méthode EBIOS

 Prérequis :

  • Une implication et expérience en informatique et réseaux. Des compétences en systèmes d’information seront très bien appréciées.

Déroulé de votre formation

Jour 1: Introduction au programme de gestion des risques conforme à la norme ISO/CEI 27005

  • Objectifs et structure de la formation
  • Concepts et définitions du risque
  • Cadres normatifs et règlementaires
  • Mise en œuvre d’un programme de gestion des risques
  • Compréhension de l’organisation et de son contexte

Jour 2 : Mise en œuvre d’un processus de gestion des risques conforme à la norme ISO/CEI 27005

  • Identification des risques
  • Analyse et évaluation des risques
  • Appréciation du risque avec une méthode quantitative
  • Traitement des risques
  • Acceptation des risques et gestion des risques résiduels
  • Communication et concertation relatives aux risques en sécurité de l’information
  • Surveillance et revenue du risque

Jour 3: Méthodes d’appréciation des risques liés et méthode EBIOS

Introduction à la méthode EBIOS

  • Etat de l’art des méthodes d’analyse de risque (Octave, Mehari, ,…)
  • Présentation générale d’EBIOS
  • Principales définition
  • Les 5 phases d’EBIOS : étude du contexte, des évènements redoutés, des scénarios de menaces, des risques et des mesures de sécurité
  • L’ISO 27005 appliquée dans EBIOS
  • Les grands principes d’EBIOS : implication, sensibilisation, adhésion et responsabilisation

 Définir le cadre de la gestion des risques

  • Cadrage de l’étude des risques
  • Description du contexte général
  • Limites du périmètre de l’étude
  • Identification des paramètres à prendre en compte
  • Identification des sources de menace

Préparer les métriques

  • Définition des critères de sécurité
  • Élaboration des échelles de besoin
  • Élaboration d’une échelle de niveaux de gravité
  • Élaboration d’une échelle de niveaux de vraisemblance
  • Définition des critères de gestion des risques

Jour 4: Conduire et réalisé une analyse de risque en RM EBIOS

Identifier les biens

  • Identification des biens essentiels, leurs relations et leurs dépositaires
  • Identifier les biens supports, leurs relations et leurs dépositaires
  • Détermination des liens entre les biens essentiels et les biens supports
  • Identification des mesures de sécurité existantes

Apprécier les événements redoutés

  • Analyse d’événements redoutés
  • Évaluation de chaque événement redouté

Apprécier les scénarios de menaces

  • Analyse de tous les scenarios de menaces
  • Évaluation de chaque scenario de menace

Apprécier les risques

  • Analyse des risques
  • Évaluation de chaque risque

Identifier les objectifs de sécurité

  • Choix des options de traitement des risques
  • Analyse des risques résiduels

Formaliser les mesures de sécurité à mettre en œuvre

  • Détermination des mesures de sécurité
  • Analyse des risques résiduels
  • Établissement d’une déclaration d’applicabilité

Mettre en œuvre les scénarios de sécurité

  • Élaboration d’un plan d’actions
  • Suivi de la réalisation des mesures de sécurité
  • Analyse des risques résiduels
  • L’homologation de sécurité

Jour 5 : Préparation de l’examen à travers une étude de cas

  • Passage en revue de tous les thèmes abordés

Passage de l’examen

Passage de la certification ISO27005 : 

  • L’examen (en français) a lieu le dernier jour, à l’issue de la formation et s’effectue en ligne ou sur papier, pour une durée moyenne de 2h00
  • Examen composé de questions ouvertes pour un total de 50 points
  • Un score minimum de 70% est requis pour réussir l’examen
  • Déroulement à « livre ouvert » (autorisé avec support et notes personnelles prises durant la session)

Dans le cadre du CPF, passage de la certification RS5332 Elaborer et mettre en oeuvre une démarche de cybersécurité : plus d’informations

Faîtes le premier pas, nous nous occupons du reste

Modalités des formations

La formation peut être suivie :

  • En inter-entreprises : 3 à 10 personnes. Dates planifiées à la demande.
  • En intra-entreprise : 1 à 8 personnes
  • Individuellement

Horaires et rythmes :

  • En présentiel ou à distance : 9h à 17h
  • Sur site client
  • A distance
  • 36 Avenue Pierre Brossolette, 92240 Malakoff
  • 89 Rue de la Villette, 69003 Lyon
  • Cette formation est basée à la fois sur la théorie et sur les meilleures pratiques utilisées dans la gestion des risques liés à la sécurité de l’information
  • Les cours sont illustrés par des exercices pratiques et des exemples basés sur des études de cas réels.
  • Les tests pratiques sont similaires à l’examen de certification

Notre formation est animée par un expert reconnu dans son domaine possédant une expérience sur le terrain significative et des compétences pédagogiques reconnues.

  • Entretien permettant l’analyse des besoins des participants et/ou questionnaire de positionnement
  • L’évaluation des compétences est réalisée :
    • Par des exercices pratiques et/ou mises en situation, tout au long de la formation
    • Par un exercice de synthèse et/ou un questionnaire d’auto-évaluation et/ou une certification, en fin de formation
  • Questionnaire de satisfaction à chaud en fin de formation, et à froid à 3 mois
  • Feuille de présence émargée par demi-journée par les stagiaires et le formateur
  • En présentiel : ordinateurs Mac ou PC, connexion internet, tableau blanc/paperboard, vidéoprojecteur, partage de documents
  • A distance : logiciel de visio-conférence, partage d’écran formateur et stagiaire, partage de documents

Les inscriptions doivent être réalisées une semaine avant le début de la formation.

Nos CGV sont accessibles sur simple demande au 01 53 90 15 20 ou esic@esic-online.com ou en suivant ce lien.

Les personnes atteintes de handicap souhaitant suivre cette formation sont invitées à nous contacter directement, afin d’étudier ensemble les possibilités de suivre la formation.

  • Certificat de réalisation.
  • Attestation de présence.

Il est nécessaire que le stagiaire possède :

  • Un PC ou un Mac
  • Une connexion internet stable d’au moins 8Mo/s
  • Un navigateur Web récent
  • Un logiciel de WebConférence (Zoom ou Teams)

Centre de formation ESIC

36 Avenue Pierre Brossolette 92240 Malakoff – Tel. 01 53 90 15 20 – SIRET : 45303523000094