Description du projet

Formation Sensibilisation à la sécurité pour les décideurs

Avis de l’expert

« Des acteurs non sensibilisés aux risques liés à l’usage des technologies de l’information et de la communication et non formés aux bonnes pratiques représentent une source majeure de vulnérabilité des Systèmes d’Information ».
Cette célèbre citation du Député Pierre Labordes, issue de la première recommandation de son rapport sur : « La Sécurité des Systèmes d’Information, un enjeu majeur pour la France », rappelée dans le rapport d’information n° 449 (2007-2008) de M. Roger Romani, fait au nom de la commission des affaires étrangères, déposé le 8 juillet 2008, reste toujours d’actualité en 2016.

Les premiers axes de recommandation sont bien de sensibiliser, informer, responsabiliser, former les acteurs du patrimoine informationnel, utilisateurs du Système d’Information.

L’objectif de cette sensibilisation est de faire prendre conscience que la sécurité repose sur le bon sens et la cohérence, mais elle nécessite avant tout un engagement de responsabilité de tous dans le respect d’une organisation, des procédures, règles, directives et lois.

Objectifs de la formation sécurité pour les décideurs

  • Connaître les obligations et responsabilités « disciplinaires » ou contractuelles, liées aux règlements et/ou statuts, les responsabilités civiles et pénales
  • Maîtriser les niveaux de classification des enjeux de disponibilité, intégrité, confidentialité et preuve
  • Savoir qui doit classer, quoi, pour qui, comment, pour quelle durée ?
  • Savoir qui est capable de concevoir le PCA (plan de continuité)
  • Pouvoir définir les responsabilités respectives pour la protection de l’information et la Sécurité des Systèmes d’Information

Public concerné

Directeur général, DSI, RSSI, Chief Information Security Officer (CISO), DPO, Directeur des ressources humaines

Pré-requis

Aucun.

Les plus de cette formation sécurité pour les décideurs

L’approche méthodologique participative permet des échanges entre les participants et le formateur sur des retours d’expériences concrets.

Le formateur intervient auprès des comités de direction, des DSI, RSSI, Directions techniques opérationnelles, Chefs de projet, administrateurs et utilisateurs de plusieurs administrations françaises et groupes internationaux privés de première importance.

Cette formation ne fait pas l’objet d’une évaluation des acquis.

Support de cours remis sur clé USB ou lien de téléchargement.

Formation uniquement proposée en INTRA sur demande.

Tarif Intra : sur devis
Renseignements et inscriptions
au +33 (0)3 87 62 06 00 ou par courriel via le formulaire de contact.

Programme

Durée : 2 à 3 heures 30 )

Télécharger le programme

    1. Introduction

  • Objectifs de la présentation : Modéliser et structurer
  • Trois messages essentiels
  • Exemples de risques : erreurs, accidents, malveillance
  • Les risques opérationnels
  • Les risques juridiques
  • Modélisation de la malveillance

    2. Maturités Sécurité Système d’Information d’entreprise

  • La maturité naissante et la sécurité informatique
  • La maturité moyenne et la Sécurité Système d’Information
  • Maturité et protection de l’information
  • Maturité contrôlée et les systèmes de management
  • Les étapes pour les organisations à mettre en place
  • L’organisation hiérarchique et fonctionnelle
  • Les étapes pour le système d’information

    3. Prise en compte de la réglementation

  • Responsabilités métier, civiles (exemples), pénales (exemples), disciplinaires ou contractuelles
  • La délégation de responsabilité

    4. Les risques opérationnels

  • Les menaces, les vulnérabilités, les risques
  • Acteurs concernés
  • Approches possibles

    5. L’évaluation des besoins

  • La classification des processus, données, documents et ressources
  • Classification héritée et classification intrinsèque
  • Cas particuliers de la disponibilité et de la confidentialité
  • Pièges
  • Responsabilités
  • La gestion de la sous-traitance

    6. Le cas de la Continuité d’Activité

  • Objectifs et périmètres
  • Normalisation ISO 22301
  • Les étapes
  • Les acteurs
  • Plans PCA et PCO, PGC, PSI, PCOM, PHEB
  • Élaboration et classification

    7. Les règles pratiques à faire respecter sur l’utilisation des informations

  • Conception
  • Diffusion et Échange
  • Archivage et stockage
  • Fin de vie

     8. Les règles pratiques à faire respecter sur l’utilisation des outils

  • Installation, nomadisme et maintenance
  • Authentification et habilitations
  • Communications et chiffrement
  • Archivage, stockage, chiffrement, sauvegardes
  • Recyclage, Fin de vie

    9. Conclusion