Formation Sécurité SI, mise en œuvre pratique d'une analyse de risques


Formation Sécurité SI, mise en œuvre pratique d'une analyse de risques

Catalogue : Cybersécurité



La notion de risque en sécurité des informations
• Les probabilités et la vraisemblance.
• Les impacts sur le SI et sur les métiers.
• La quantification du niveau de gravité.
• Les types de risques.
• La gestion par les risques. Principes. Avantages.
Travaux pratiques
Questionnaire sur les risques SI et leur gestion.
L'identification des biens informationnels
• Faire l'inventaire des biens : les informations et leurs supports (primaires, secondaires).
• L'organisation en place, le périmètre à couvrir.
• La classification DICT.
• Les intérêts et la méthode.
Etude de cas
Réalisation d'un inventaire et d'une classification des informations et de leurs supports.
L'analyse de risque
• Identification des menaces et des vulnérabilités.
• Evaluation des risques encourus.
• Priorisation : la matrice des risques, la notion de scénario.
Travaux pratiques
Identifier les risques et les prioriser grâce à l'utilisation de la matrice.
Les méthodes utiles
• Les méthodes françaises : EBIOS, MEHARI.
• Les méthodes internationales : OCTAVE.
• Les apports, les avantages et les inconvénients de chaque méthode.
• Le choix approprié d'une méthode et la personnalisation.
Travaux pratiques
Réflexion de groupe sur les critères de choix et les avantages et inconvénients des différentes méthodes.
Les normes
• Les différentes normes utiles pour les analyses de risques.
• La démarche d'analyse de risques dans le cadre 27001.
• L'approche PDCA (Plan - Do - Check - Act).
• Les apports de l'ISO 27002, de BS25999 et de l'ISO 31000.
Travaux pratiques
Exemples d'application d'une norme.
Construction du plan de traitement des risques
• La palette des actions : prévention, protection, report de risque, externalisation, assurances.
• Construire un plan de traitement des risques à partir de la matrice des risques et des autres sources (audits...).
• Que contient le plan : les objectifs et les mesures, les indicateurs d'avancement et de qualité.
• Les risques résiduels.
• La gestion et les usages du plan de traitement des risques.
Etude de cas
Réalisation d'un plan de traitement des risques.

Fiche de la formation



 Cible :

DSI ou responsable du service informatique. Responsable sécurité du système d'information (RSSI). Chef de projet informatique en charge du projet sécurisation.


 Prérequis :

Connaissances de base dans le domaine de la sécurité des systèmes d'information.


 Durée : 2 jours

 Type : Stage pratique


 Contactez-nous