Organisme de Formation aux technologies et métiers de L'informatique

Formation Identifier et maîtriser les risques liés aux systèmes d'information

Préparer efficacement les RSSIs à la gestion des risques

Informations générales

MGR803
2 jours (14h)
1 640 €HT

Objectifs

Après ce cours, vous serez capable de :

  • Maîtriser les concepts fondamentaux de l'analyse de risques SSI et les enjeux qui lui sont associés
  • Disposer d'une démarche complète pour mener à bien un projet d'analyse de risques
  • Connaître les méthodes d'analyse et les solutions disponibles pour maîtriser les risques du SI

Public

Ce cours s'adresse avant tout aux personnes suivantes :

  • Directeurs des systèmes d’information
  • Responsables des risques opérationnels
  • Risk managers
  • Auditeurs ou professionnels du contrôle interne
  • Chefs de projet

Prérequis

  • Aucun

Programme de la formation

L’évolution de la réglementation et de la gouvernance des entreprises met aujourd’hui en avant la notion de maîtrise des risques. L’exigence ambitieuse qui nous est donnée est désormais à la fois d’assurer la robustesse de l’entreprise face à l’imprévu, mais aussi d’optimiser l’efficacité économique de son dispositif de maîtrise des risques. Cette formation approfondit les outils de la gestion des risques liés aux informations, et donne au RSSI ou au risk-manager les clés pour connaître ces risques, élaborer un plan d’action orienté vers les métiers de l’entreprise et piloter sa mise en oeuvre.

Les concepts généraux de la gestion des risques

  • Définition du risque et des typologies de menaces
  • Évaluer la maturité SI de son entreprise

Les acteurs impliqués dans la cartographie des risques

  • Les risques juridiques et les obligations légales
  • Identifier son cadre réglementaire (PSSI, RGS, LPM...)
  • Gérer les Instances Représentatives dans le cadre de la SSI

Présentation de la norme ISO 31000

  • Objectifs de la norme

Présentation de la norme ISO 27005

  • Présentation de la norme ISO 27005
  • Présentation du contenu de la norme
  • Démarche générale de l'analyse des risques
  • Démarche d'appréciation et d'analyse des risques
  • Classification
  • Les pièges à éviter
  • Présentation des référentiels d'analyse des menaces, des enjeux et des contraintes - La granularité et les domaines d'analyse
  • Présentation des référentiels de vulnérabilité proposés par la norme
  • Présentation des métriques d'appréciation des risques - Les approches possibles
  • La stratégie de traitement des risques, les objectifs et l'acceptation des risques selon la norme
  • Les processus de communication et de surveillance des risques

La norme ISO 29134

  • Objectifs de la norme
  • Présentation du contenu de la norme
  • Démarche générale de l'analyse des risques
  • Démarche d'appréciation et d'analyse des risques
  • Les validations AIPD

Les homologations RGS, PSSI

  • Objectifs
  • Présentation du RGS
  • Démarche d'homologation

La prise en compte native des risques SSI dans les projets

  • L'approche en V
  • L'approche Agile
  • Détail de la méthode EBIOS RM et étude de cas
  • Aperçu de la méthode mehari

La définition et la mise en oeuvre du Plan de Prévention des Risques (PPR)

  • Notions principales et objectifs du PPR
  • Le processus d'élaboration du PPR
  • Le référentiel SSI
  • Le PCA et la norme 22301

Les conseils de mise en oeuvre d'une gestion structurée des risques

  • La gouvernance
  • La mise en oeuvre du système de management de gestion des risques
  • Le maintien en condition opérationnelle

La prise en compte du facteur humain dans la gestion du risque SI

  • Direction générale
  • Encadrement
  • Acteurs DSI
  • Représentant de la MOA
  • Les utilisateurs
  • Les solutions
  • Études de cas

Les principes généraux relatifs aux systèmes de management de la sécurité

  • Le système de management ISO 31000
  • Présentation générale du modèle PDCA ISO 27001
plus d'infos

Méthode pédagogique

Chaque participant travaille sur un poste informatique qui lui est dédié. Un support de cours lui est remis soit en début soit en fin de cours. La théorie est complétée par des cas pratiques ou exercices corrigés et discutés avec le formateur. Le formateur projette une présentation pour animer la formation et reste disponible pour répondre à toutes les questions.

Méthode d'évaluation

Tout au long de la formation, les exercices et mises en situation permettent de valider et contrôler les acquis du stagiaire. En fin de formation, le stagiaire complète un QCM d'auto-évaluation.

Suivre cette formation à distance

  • Un ordinateur avec webcam, micro, haut-parleur et un navigateur (de préférence Chrome ou Firefox). Un casque n'est pas nécessaire suivant l'environnement.
  • Une connexion Internet de type ADSL ou supérieure. Attention, une connexion Internet ne permettant pas, par exemple, de recevoir la télévision par Internet, ne sera pas suffisante, cela engendrera des déconnexions intempestives du stagiaire et dérangera toute la classe.
  • Privilégier une connexion filaire plutôt que le Wifi.
  • Avoir accès au poste depuis lequel vous suivrez le cours à distance au moins 2 jours avant la formation pour effectuer les tests de connexion préalables.
  • Votre numéro de téléphone portable (pour l'envoi du mot de passe d'accès aux supports de cours et pour une messagerie instantanée autre que celle intégrée à la classe virtuelle).
  • Selon la formation, une configuration spécifique de votre machine peut être attendue, merci de nous contacter.
  • Pour les formations incluant le passage d'une certification la dernière journée, un voucher vous est fourni pour passer l'examen en ligne.
  • Pour les formations logiciel (Adobe, Microsoft Office...), il est nécessaire d'avoir le logiciel installé sur votre machine, nous ne fournissons pas de licence ou de version test.
  • Horaires identiques au présentiel.

Mis à jour le 08/11/2023