Project Description

Maîtriser l’analyse des risques SI

Avis de l’expert

L’évolution de la réglementation et de la gouvernance des entreprises met aujourd’hui en avant la notion de maîtrise des risques.

L’exigence ambitieuse qui nous est donnée est désormais à la fois d’assurer la robustesse de l’entreprise face à l’imprévu, mais aussi d’optimiser l’efficacité économique de son dispositif de maîtrise des risques.

Cette formation approfondit les outils de la gestion des risques liés aux informations, et donne au RSSI ou au risk-manager les clés pour connaître ces risques, élaborer un plan d’action orienté vers les métiers de l’entreprise et piloter sa mise en œuvre.

Objectifs de la formation

  • Appréhender les concepts fondamentaux de l’analyse de risques SSI
  • Savoir identifier les enjeux
  • Disposer d’une démarche complète pour mener à bien un projet d’analyse de risques
  • Découvrir les méthodes d’analyse et les solutions logicielles disponibles pour maîtriser les risques du SI

Public concerné

Directeurs des systèmes d’information, responsables des risques opérationnels, risk-manager, auditeurs ou professionnels du contrôle interne, Chefs de projet.

Les plus de cette formation

Un tour d’horizon exhaustif des différents aspects de la mission de RSSI.

L’approche méthodologique participative permet des échanges entre les participants et le formateur sur des retours d’expériences concrets : le formateur accompagne des RSSI depuis plusieurs années dans l’accomplissement de leurs missions.

Le support de formation est utilisé pour présenter les éléments théoriques et les applications pratiques dans le domaine de la sécurité des systèmes d’information. Il est adapté au contexte actuel et aux obligations réglementaires en vigueur.

Des documents annexes illustrent les cas concrets abordés durant la formation.

Cette formation ne fait pas l’objet d’une évaluation des acquis.

Support de cours remis sur clé USB ou lien de téléchargement.

Pré-requis

Aucun

Ville Dates
Paris 21-22 fév. 2019
Paris 6-7 juin 2019
Paris 17-18 oct. 2019
Tarif Inter : 1 530 € H.T.
Renseignements et inscriptions
au +33 (0)3 87 62 06 00 ou par courriel via le formulaire de contact.

Programme

Durée : 2 jours (14 Heures)

Télécharger le programme

    1. Les concepts généraux de la gestion des risques

  • Définition du risque et des typologies de menaces
  • Modèle général de gestion des risques

    2. Les acteurs impliqués dans la cartographie des risques

  • La gouvernance à prévoir, les acteurs, leurs rôles et responsabilités
  • La voie hiérarchique et les voies fonctionnelles
  • Identification des risques juridiques
    • Métiers
    • Civil
    • Pénal
    • Réglementaire
    • Contractuel
  • Identification des risques accidentels
  • Identification des risques d’erreurs
  • Identification des risques liés à la malveillance (cybercriminelle, concurrentielle, ludique, idéologique et stratégique)
    • Les caractéristiques de compétence, temps, moyen, connaissance au préalable sur la cible, …

    3. Présentation de la norme ISO 31000

  • Objectifs de la norme

    4. Présentation de la norme ISO 27005

  • Objectifs de la norme
  • Présentation du contenu de la norme
  • Démarche générale de l’analyse des risques
  • Démarche d’appréciation et d’analyse des risques
  • Classification
  • Les pièges à éviter
  • Présentation des référentiels d’analyse des menaces, des enjeux et des contraintes
    • La granularité et les domaines d’analyse
  • Présentation des référentiels de vulnérabilité proposés par la norme
  • Présentation des métriques d’appréciation des risques
    • Les approches possibles
  • La stratégie de traitement des risques, les objectifs et l’acceptation des risques selon la norme
  • Les processus de communication et de surveillance des risques

    5. La norme ISO 29134

  • Objectifs de la norme
  • Présentation du contenu de la norme
  • Démarche générale de l’analyse des risques
  • Démarche d’appréciation et d’analyse des risques
  • Les validations AIPD

    6. Les homologations RGS, PSSI

  • Objectifs
  • Présentation du RGS
  • Démarche d’homologation…

    7. Etudes de cas

    8. La prise en compte native des risques SSI dans les projets

  • L’approche en V
  • L’approche Agile
  • EBIOS
  • EBIOS RM
  • MEHARI
  • Adaptée
  • La déclinaison Privacy by design du RGPD

    9. Etudes de cas

    10. La définition et la mise en œuvre du Plan de Prévention des Risques (PPR)

  • Notions principales et objectifs du PPR
  • Le processus d’élaboration du PPR
  • La définition des objectifs et des priorités de mise en œuvre
  • Introduction aux normes ISO 27002
  • Le cas du Cloud ISO 27018
  • Les relations avec les PCA et la norme 22301
  • Les relations avec la gestion de crise

   11. Les conseils de mise en œuvre d’une gestion structurée des risques

  • La gouvernance
  • La mise en œuvre du système de management de gestion des risques
  • Le maintien en condition opérationnelle

    12. La prise en compte du facteur humain dans la gestion du risque SI

  • Direction générale
  • Encadrement
  • Acteurs DSI
  • Représentant de la MOA
  • Les utilisateurs
  • Les solutions
  • Etudes de cas

    13. Les principes généraux relatifs aux systèmes de management de la sécurité

  • Le système de management ISO 31000
  • Présentation générale du modèle PDCA ISO 27001