Consult our trainings :
> formation Technologies numériques > formation Cybersécurité > formation Synthèses et référentiels ISO, CISSP... > formation ISO 27005:2018 Risk Manager, préparation à la certification [analyse de risques]
ISO 27005:2018 Risk Manager, préparation à la certification [analyse de risques] Training
analyse de risques
Séminaire
Best
Best
- Program
- Cycles certifiants
- Participants / Prerequisite
- Intra/Tailored
Program
Ce séminaire, basé en partie sur la norme ISO/CEI 27005:2018, permet aux participants d'acquérir les bases théoriques et pratiques de la gestion des risques liés à la sécurité de l'information. Elle prépare efficacement les candidats à la certification ISO 27005 Risk Manager à partir d'études de cas.
Objectifs pédagogiques
- Comprendre le concept de risque lié à la sécurité de l'information
- Utiliser ISO 27005:2018 pour l'analyse de risque
- Connaître d'autres méthodes (EBIOS RM, MEHARI)
- Faire un choix rationnel de méthode d'analyse de risque
PROGRAMME
DE FORMATION
Introduction
- Terminologie ISO 27000.
- Définitions de la Menace. Vulnérabilité. Risques.
- Les exigences Disponibilité Intégrité et Confidentialité : la prise en compte de la traçabilité/preuve.
- Rappel des contraintes réglementaires et normatives (RGPD, LPM/NIS, PCI DSS...).
- Le rôle du RSSI versus le Risk Manager.
- La norme 31000, de l’intérêt de la norme “chapeau” en référentiel universel.
Le concept "risque"
- Identification et classification des risques.
- Risques opérationnels, physiques et logiques.
- Les conséquences du risque (financier, juridique, humain...).
- La gestion du risque (prévention, protection, évitement de risque, transfert).
- Assurabilité d'un risque, calcul financier du transfert à l'assurance.
Le management de risques selon l’ISO
- L’appréciation initiale en phase Plan de la section 6 : Planification.
- La norme 27005:2018 : Information Security Risk Management.
- La mise en œuvre d’un processus PDCA de management des risques.
- Le contexte, l’appréciation, le traitement, l’acceptation et la revue des risques.
- Les étapes de l’analyse de risques (identification, analyse et évaluation).
- La préparation de la déclaration d’applicabilité (SoA) et du plan d’actions.
- Le partage des risques avec des tiers (cloud, assurance, …); Le domaine 15 de ISO 27002.
- La méthode de la norme 27001:2013 et son processus « Gestion des Risques ».
Les méthodes d'analyse de risques
- Approche par conformité vs approche par scénarios de risques.
- La prise en compte des menaces intentionnelles sophistiquées de type APT.
- Les objectifs de EBIOS RM (Identifier le socle de sécurité, Être en conformité, Identifier et analyser, etc).
- Les activités de la méthode.
- CRAMM, OCTAVE... Historique et reste du monde.
- Les méthodes MEHARI (2010, PRO et Manager).
Conclusion et choix d’une méthode
- La convergence vers l’ISO, la nécessaire mise à jour.
- Etre ou ne pas être “ISO spirit” : les contraintes du modèle PDCA.
- Une méthode globale ou une méthode par projet.
- Le vrai coût d’une analyse de risques.
- Comment choisir la meilleure méthode ?
- Les bases de connaissances (menaces, risques...).
Participants / Prerequisite
» Participants
RSSI ou correspondants Sécurité, architectes de sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité.
» Prerequisite
Connaissances de base dans le domaine de la sécurité informatique.
Intra/Tailored
Book your place
Click on a session for reserving.
Time schedule
Generally, courses take place from 9:00 to 12:30 and from 14:00 to 17:30.
However, on the first day attendees are welcomed from 8:45, and there is a presentation of the session between 9:15 and 9:30.
The course itself begins at 9:30. For the 4- or 5-day hands-on courses, the sessions finish at 15:30 on the last day
