Formation ISO 27005:2018 Risk Manager, préparation à la certification analyse de risques


Formation ISO 27005:2018 Risk Manager, préparation à la certification analyse de risques

Catalogue : Cybersécurité



Introduction
• Terminologie ISO 27000.
• Définitions de la Menace. Vulnérabilité. Risques.
• Les exigences Disponibilité Intégrité et Confidentialité : la prise en compte de la traçabilité/preuve.
• Rappel des contraintes réglementaires et normatives (RGPD, LPM/NIS, PCI DSS...).
• Le rôle du RSSI versus le Risk Manager.
• La norme 31000, de l’intérêt de la norme “chapeau” en référentiel universel.
Le concept "risque"
• Identification et classification des risques.
• Risques opérationnels, physiques et logiques.
• Les conséquences du risque (financier, juridique, humain...).
• La gestion du risque (prévention, protection, évitement de risque, transfert).
• Assurabilité d'un risque, calcul financier du transfert à l'assurance.
Le management de risques selon l’ISO
• L’appréciation initiale en phase Plan de la section 6 : Planification.
• La norme 27005:2018 : Information Security Risk Management.
• La mise en œuvre d’un processus PDCA de management des risques.
• Le contexte, l’appréciation, le traitement, l’acceptation et la revue des risques.
• Les étapes de l’analyse de risques (identification, analyse et évaluation).
• La préparation de la déclaration d’applicabilité (SoA) et du plan d’actions.
• Le partage des risques avec des tiers (cloud, assurance, …); Le domaine 15 de ISO 27002.
• La méthode de la norme 27001:2013 et son processus « Gestion des Risques ».
Les méthodes d'analyse de risques
• Approche par conformité vs approche par scénarios de risques.
• La prise en compte des menaces intentionnelles sophistiquées de type APT.
• Les objectifs de EBIOS RM (Identifier le socle de sécurité, Être en conformité, Identifier et analyser, etc).
• Les activités de la méthode.
• CRAMM, OCTAVE... Historique et reste du monde.
• Les méthodes MEHARI (2010, PRO et Manager).
Conclusion et choix d’une méthode
• La convergence vers l’ISO, la nécessaire mise à jour.
• Etre ou ne pas être “ISO spirit” : les contraintes du modèle PDCA.
• Une méthode globale ou une méthode par projet.
• Le vrai coût d’une analyse de risques.
• Comment choisir la meilleure méthode ?
• Les bases de connaissances (menaces, risques...).

Fiche de la formation



 Cible :

RSSI ou correspondants Sécurité, architectes de sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité.


 Prérequis :

Connaissances de base dans le domaine de la sécurité informatique.


 Durée : 3 jours

 Type : Séminaire


 Contactez-nous