Formation expert en systèmes d'information et sécurité

• Passage de la certification du Bloc de compétences BC. -Analyser les besoins du client. -Analyser les besoins du projet. -Modéliser les flux d'information de l'entreprise. -Déterminer les objectifs, moyens, coûts et délais d'un projet.

Les fondamentaux de la sécurité du système d’information

• La définition des actifs processus/information et actifs en support (informatique).
• La classification DICT/P : Disponibilité, Intégrité, Confidentialité et Traçabilité/Preuve.
• La définition du risque SSI et ses propriétés spécifiques (vulnérabilités, menaces).
• Les différents types de risques : accident, erreur, malveillance.
• L’émergence du cyber risque, les APT, se préparer à une cyber crise.
• Les sources d’information externes incontournables (ANSSI, CLUSIF, ENISA, etc.).

La task force SSI : de multiples profils métiers

• Le rôle et les responsabilités du RSSI / CISO, la relation avec la DSI.
• Vers une organisation structurée et décrite de la sécurité, identifier les compétences.
• Le rôle des “Assets Owners” et l’implication nécessaire de la direction.
• Les profils d’architectes, intégrateur, auditeurs, pen-testeurs, superviseurs, risk manager, etc.
• Constituer un équipe compétente, formée et réactive aux évolutions du cyber espace.

Les cadres normatifs et réglementaires

• Intégrer les exigences métiers, légales et contractuelles. L'approche par la conformité.
• Un exemple de réglementation métier : PCI DSS pour protéger ses données sensibles.
• Les mesures de sécurité pour atteindre un objectif de confidentialité, intégrité des données.
• Un exemple de réglementation juridique : directive NIS/ Loi Programmation Militaire.
• Les 4 axes de la sécurité vue par l’Europe et l’ANSSI : Gouvernance, Protection, Défense et Résilience.
• Les mesures de sécurité pour atteindre un objectif de disponibilité, intégrité des processus.
• La norme ISO 27001 dans une démarche système de management (roue de Deming/PDCA).
• Les bonnes pratiques universelles de la norme ISO 27002, la connaissance minimale indispensable.
• Les domaines de la sécurité : de la politique à la conformité en passant par la sécurité informatique.
• Elaborer un Plan d’Assurance Sécurité dans sa relation client/fournisseur.

Le processus d'analyse des risques

• Intégration de l’Analyse des risques au processus de gouvernance de la sécurité.
• Identification et classification des risques, risques accidentels et cyber risques.
• Les normes ISO 31000 et 27005 et la relation du processus risque au SMSI ISO 27001.
• De l’appréciation des risques au plan de traitement des risques : les bonnes activités du processus.
• Connaitre des méthodes pré définies : approche FR/EBIOS RM, approche US/NIST, etc.

Les audits de sécurité et la sensibilisation des utilisateurs

• Les catégories d’audits, de l’audit organisationnel au test d’intrusion.
• Les bonnes pratiques de la norme 19011 appliquées à la sécurité.
• Comment qualifier ses auditeurs ? – exemple avec les PASSI en France.
• Sensibilisation à la sécurité : Qui ? Quoi ? Comment ?
• De la nécessité d’une sensibilisation programmée et budgétisée.
• Les différents formats de sensibilisation, présentiel ou virtuelle ?
• La charte de sécurité, son existence légale, son contenu, les sanctions.
• Les quiz et serious game , exemple avec le MOOC de l’ANSSI.

Le coût de la sécurité et les plans de secours

• Les budgets sécurité, les statistiques disponibles.
• La définition du Return On Security Investment (ROSI).
• Les techniques d’évaluation des coûts, les différentes méthodes de calcul, le calcul du TCO.
• La couverture des risques et la stratégie de continuité.
• Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO.
• Développer un plan de continuité, l’insérer dans une démarche sécurité.

Concevoir des solutions techniques optimales

• Structurer sa protection logique et physique. Savoir élaborer une défense en profondeur.
• Les trois grands axes de la sécurité informatique (réseaux, données, logiciels).
• Cloisonner ses réseaux sensibles, les technologies firewall réseaux et applicatif.
• Rendre ses données illisibles pendant le stockage et le transport, les techniques cryptographiques.
• Sécuriser ses logiciels par le durcissement et une conception secure.
• Gestion des vulnérabilités logicielles, savoir utiliser CVE/CVSS.

Supervision de la sécurité

• Indicateurs opérationnels de gouvernance et de sécurité.
• Le pilotage cyber : tableau de bord ISO compliant.
• Préparer sa défense (IDS, détection incidents, etc.).
• Traitement des alertes et cyber forensics, le rôle des CERT.

Les atteintes juridiques au Système de Traitement Automatique des Données

• Rappel, définition du Système de Traitement Automatique des Données (STAD).
• Types d’atteintes, contexte européen, la loi LCEN. Le règlement RGPD.
• Quels risques juridiques pour l’entreprise, ses dirigeants, le RSSI ?

Recommandations pour une sécurisation "légale" du SI

• La protection des données à caractère personnel, sanctions prévues en cas de non-respect.
• De l’usage de la biométrie en France.
• La cybersurveillance des salariés : limites et contraintes légales.
• Le droit des salariés et les sanctions encourues par l’employeur.

Toute personne désireuse de réussir la certification Élaborer et mettre en oeuvre une démarche de cybersécurité

• Le délai d'accès moyent pour cette formation est de 2 Semaines
• Merci d’utiliser le formulaire de contact ou nous joindre par téléphone ou mail pour l’organisation de votre formation.

• Accueil des apprenants dans une salle dédiée à la formation.
• Documents supports de formation projetés.
• Exposés théoriques
• Etude de cas concrets
• Quiz en salle
• Mise à disposition en ligne de documents supports à la suite de la formation.

• Feuilles de présence.
• Questions orales ou écrites (QCM).
• Mises en situation.
• Formulaires d'évaluation de la formation.
• Certificat de réalisation de l’action de formation.

Pour suivre cette formation à distance vous aurez besoin

• D'un Mac ou d'un PC
• Une Connexion internet stable
• Un Navigateur Web récent
• De Teams ou de Zoom
• Du logiciel enseigné ou à utiliser installé
  
  

Dans nos locaux nous mettrons à votre disposition tout le nécessaire.

Dans vos locaux nous conviendrons du nécessaire à mettre en place pour le bon déroulé de cette formation.

Suivi et accompagnement pédagogique :

Notre équipe pédagogique sera à vos côtés tout au long de votre parcours pour assurer le suivi de l'exécution et l'évaluation de la formation.

Entretien préalable :

Avant le début de la formation, notre conseiller en formation organise un entretien avec vous afin de cerner précisément vos attentes et vos objectifs.

Horaires et rythme :

Les horaires et le rythme de la formation sont adaptables à vos disponibilités, ou peuvent être fixés en accord avec notre équipe pédagogique.

Exercices pratiques et mises en situation :

Si nécessaire, la formation inclut des exercices pratiques et/ou des mises en situation pour renforcer l'apprentissage.

Supports et attestation de formation :

À l'issue de la formation, vous aurez accès en ligne à des documents et supports pédagogiques. Un certificat de réalisation de la formation vous sera également remis.

Évaluation et satisfaction :

Nous vous inviterons à remplir un questionnaire de satisfaction à chaud, en fin de formation, et un autre à froid, trois mois après la formation. Pour certaines formations, vous recevrez également un questionnaire d'auto-évaluation en fin de formation et, le cas échéant, pourrez passer une certification (en conditions d'examen ou en télésurveillance post-formation).

Accès à la plateforme de certification :

Pour les formations certifiantes, un accès à la plateforme de certification sera mis à votre disposition.