Formation Les fondamentaux de la sécurité des SI


Formation Les fondamentaux de la sécurité des SI

Catalogue : Cybersécurité



La gestion des risques et les objectifs de sécurité
• La définition du risque et ses caractéristiques : potentialité, impact, gravité.
• Les différents types de risques : accident, erreur, malveillance.
• La classification DIC : Disponibilité, Intégrité et Confidentialité d’une information.
• Les contre-mesures en gestion des risques : prévention, protection, report de risque, externalisation.
Le métier du RSSI
• Quels sont le rôle et les responsabilités du Responsable Sécurité SI ?
• Vers une organisation de la sécurité, le rôle des “Assets Owners”.
• Comment mettre en place une gestion optimale des moyens et des ressources alloués.
• Le Risk Manager dans l’entreprise, son rôle par rapport au Responsable Sécurité SI.
Les normes et les réglementations
• Les réglementations SOX, COSO, COBIT. Pour qui ? Pour quoi ?
• Vers la gouvernance du Système d’Information. Les liens avec ITIL et CMMI.
• La norme ISO 27001 dans une démarche système de management de la sécurité de l’information.
• Les liens avec ISO 15408 : critères communs, ITSEC, TCSEC.
• Les atouts de la certification ISO 27001 pour les organisations.
L’analyse des risques informatiques
• Comment mettre en place une démarche d'identification et de classification des risques.
• Risques opérationnels, physiques, logiques.
• Comment constituer sa propre base de connaissances des menaces et vulnérabilités ?
• Méthodes et référentiels : EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)/FEROS, MEHARI.
• La démarche d’analyse de risques dans le cadre de l’ISO 27001, l’approche PDCA (Plan, Do, Check, Act).
• Quels sont les apports du standard ISO 27005 et les évolutions des méthodes françaises.
• De l’appréciation des risques au plan de traitement des risques : les bonnes pratiques.
Le processus d’un audit de sécurité
• Processus continu et complet.
• Les catégories d’audits, de l’audit organisationnel au test d’intrusion.
• Les bonnes pratiques de la norme 19011 appliquées à la sécurité.
• Comment créer son programme d’audit interne ? Comment qualifier ses auditeurs ?
• Apports comparés, démarche récursive, les implications humaines.
• Sensibilisation à la sécurité : qui ? Quoi ? Comment ?
• Définitions de Morale/Déontologie/Ethique.
• La charte de sécurité, son existence légale, son contenu, sa validation.
Le plan de secours et le coût de la sécurité
• La couverture des risques et la stratégie de continuité.
• L'importance des plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO.
• Développer un plan de continuité, l’insérer dans une démarche qualité.
• Comment définir les budgets sécurité.
• La définition du Return On Security Investment (ROSI).
• Quelles sont les techniques d’évaluation des coûts, les différentes méthodes de calcul, le Total Cost of Ownership (TCO).
• La notion anglo-saxonne du “Payback Period”.
Les solutions et les architectures de sécurité
• Démarche de sélection des solutions de sécurisation adaptées pour chaque action.
• Définition d’une architecture cible.
• La norme ISO 15408 comme critère de choix.
• Choisir entre IDS et IPS, le contrôle de contenu comme nécessité.
• Comment déployer un projet PKI ? Les pièges à éviter.
• Les techniques d’authentification, vers des projets SSO, fédération d’identité.
• La démarche sécurité dans les projets SI, le cycle PDCA idéal.
La supervision de la sécurité
• Comment mettre en place une démarche de gestion des risques : constats, certitudes...
• Quels sont les indicateurs et les tableaux de bord clés. Aller vers une démarche ISO et PDCA.
• Externalisation : quels sont les intérêts et quelles sont les limites ?
Les aspects juridiques
• Rappel, définition du Système de Traitement Automatique des Données (STAD).
• Les types d’atteintes, le contexte européen, la loi LCEN.
• Quels risques juridiques pour l’entreprise, ses dirigeants, le RSSI ?
Les bonnes pratiques
• La protection des données à caractère personnel, sanctions prévues en cas de non-respect.
• De l’usage de la biométrie en France.
• La cybersurveillance des salariés : limites et contraintes légales.
• Le droit des salariés et les sanctions encourues par l’employeur.

Fiche de la formation



 Cible :

Toutes les personnes souhaitant apprendre les fondamentaux de la sécurité des SI.


 Prérequis :

Avoir suivi la formation "Introduction à la sécurité informatique".


 Durée : 3 jours

 Type : Séminaire


 Contactez-nous