Description du projet

Formation Prise en compte native de la SSI dans les projets

Avis de l’expert

Aujourd’hui, la SSI dans les projets nécessite une implication et une adhésion forte de tous et plus particulièrement des directions métiers.

Seule l’intégration native de la SSI dans les projets pourra permettre une sécurité conforme aux obligations légales et adaptées aux besoins et aux risques des directions métiers.

L’intégration native de la SSI dans les projets est devenue obligatoire.

Cette formation a pour objectif de donner les éléments méthodologiques et techniques nécessaires pour améliorer la qualité du dialogue entre les maîtrises d’ouvrage, les directions ou comités d’homologations, les RSSI et les maîtrises d’œuvre en charge du projet.

Objectifs de la formation sur la SSI dans les projets

  • Comprendre comment améliorer la qualité du dialogue sécurité entre la maîtrise d’ouvrage et le chef de projet informatique en charge du projet
  • Être en mesure de concevoir des architectures de systèmes d’information en adéquation avec les exigences réglementaires et les besoins métiers
  • Savoir identifier les risques, concevoir et mettre en œuvre les dispositifs de sécurité afin de les réduire
  • Pouvoir constituer un dossier d’homologation/validation du projet.

Public concerné

Chefs de projet Informatique, Chefs de projet métier, Représentants de la maîtrise d’ouvrage, Responsables sécurité des systèmes d’information, Directeur des systèmes d’information, Responsable des risques opérationnels, Maîtres d’œuvre.

Pré-requis

Aucun.

Les plus de cette formation

  • Accessible en présentiel et en distanciel.
  • Une approche méthodologique participative permet des échanges entre les participants et le formateur sur des retours d’expériences concrets : le formateur pressenti accompagne des chefs de projets informatiques depuis plusieurs années dans l’accomplissement de leurs missions.
  • Le support de formation est utilisé pour présenter les éléments théoriques et les applications pratiques.
  • Le support est adapté au contexte actuel et aux obligations réglementaires en vigueur.
  • Cette formation ne fait pas l’objet d’une évaluation des acquis.
  • Support de cours remis sur clé USB ou lien de téléchargement.

Formation uniquement proposée en INTRA (dans vos locaux) sur demande.

Accessible en présentiel et en distanciel.

Tarif Intra : sur devis
Renseignements et inscriptions
au +33 (0)3 87 62 06 00 ou par courriel via le formulaire de contact.

Programme

Durée : 2 jours (14 Heures)

    1. L’identification des acteurs SSI dans les projets

  • Responsable des traitements
  • Directions métiers
  • Maîtrises d’ouvrage
  • Maîtres d’œuvre
  • Le gestionnaire de risques ou le RSSI
  • Le DPO
  • Les sous-traitants

     2. Rappel rapide sur les obligations légales par la Maîtrise d’ouvrage

  • Les exigences liées au RGPD
  • … au RGS
  • … aux différents codes (santé, sécurité sociale, protection des mineurs, …)
  • … au SOX, Solvency II, Bâle, …
  • … au LPM

    3. L’approche normative et méthodologique

  • ISO 31000, 27005, 29134, 22301

    4. L’approche méthodologique de la gestion des risques

  • MEHARI
  • EBIOS
  • EBIOS RM
  • “Adaptée”

     5. L’intégration dans la gestion de projets

  • En V
  • En mode Agile

    6. La formalisation des besoins de sécurité DICP

  • Les liens entre informations, processus et ressources
  • La formalisation des besoins DICP par les impacts
  • Les pièges à éviter
  • La consolidation dans les processus puis dans les ressources
  • Le cas de la classification intrinsèque de la ressource
  • Les cas particuliers de la confidentialité et les profils d’habilitation
  • Cas particuliers de la disponibilité et les paramètres RTO / RPO
  • Cas particuliers des besoins d’authentification (réciprocité, forces et non rejeu, …)
  • La gestion des habilitations (le moindre privilège et la séparation des pouvoirs)
  • Etudes de cas

     7. L’identification des menaces et la gestion des risques

  • Modélisation des risques, menaces, et vulnérabilités
  • Cartographie et identification des niveaux de risques
  • Les méthodes de traitement
  • La réduction des risques par l’application des politiques institutionnelles, déclinées de l’ISO 27002 (PSSI E, PSSI MCAS, PGSSI- S, les règles d’hygiène ANSSI, …)
  • L’évitement
  • Le transfert
  • L’acceptation
  • L’identification des risques résiduels
  • Comment monter son dossier de validation/homologation ?
  • Le cas des AIPD pour la « security by design »
  • Etudes de cas

     8. La gestion de l’externalisation

  • Les PAS
  • Etudes de cas

     9. Conclusion

   10. Confidentialité des études et développements

    11. La sécurité de la mise en production des SI

    12. La sécurité de la maintenance des SI

    13. La documentation sécurisée des SI

  • Etudes de cas

    14. Conclusion