ISO/CEI 27005 Security Risk Manager + EBIOS : évaluer et traiter les risques de sécurité de l’information

Oo2 Formations

Finançable CPF

Salarié en poste / Entreprise

En ligne

Voir des formations similaires

Public admis

Salarié en poste

Demandeur d'emploi

Entreprise

Etudiant

Prix

2490 €

Prise en charge CPF

Durée

Nous contacter

Niveau visé

Niveau BAC + 5

Taux de réussite

90%

Pré-requis

Suivre cette formation nécessite le prérequis suivant :

avoir une bonne connaissance des systèmes d’information des organisations ainsi que des méthodes d'évaluation des risques liées à la sécurité de l'information

Certifications

Datadock Qualiopi

Localité

En ligne

Vous pouvez suivre cette formation depuis chez vous ou depuis n’importe quel endroit à distance.

Objectifs

Objectifs pédagogiques :

Identifier les processus métiers sensibles et stratégiques et leur système d’information associé en s’appuyant sur une analyse SWOT.
Délimiter le domaine d’application (périmètre d’action) sur lequel s’exerce l’analyse de risque.
Construire et hiérarchiser par criticité des scenarii de dysfonctionnement ou d’agression.
Elaborer les plans de traitement des risques.
Accompagner l’entreprise dans la mise en œuvre du plan de traitement.
Favoriser une culture de la gestion du risque lié au système d’information.
Assimiler les principes et les fondamentaux de la méthode EBIOS.
Développer les compétences nécessaires pour mener une étude EBIOS complète, en apprenant à analyser, rapporter, et communiquer les résultats de manière efficace.

Programme

> Tour de table :

Introduction individuelle des participants.
Exploration des attentes et des objectifs de chaque participant.
Introduction au cadre de la formation.
Alignement avec les objectifs et enjeux spécifiques de la formation ISO 27005.
Identification des attentes et des perspectives individuelles des participants.

> Partie 1: introduction à la gestion des risques et à la norme ISO 27005

Comprendre et définir le risque :
- définitions fondamentales du risque, distinction entre risque, menace, et vulnérabilité.
Comprendre la norme ISO/CEI 27005:2022 :
- exploration des spécificités de la dernière version de la norme, et son rôle dans la gestion des risques de sécurité de l'information.
Identifier les processus métiers sensibles :
- techniques pour identifier les processus stratégiques et leur système d’information associé, utilisant une analyse SWOT pour aligner les décisions de traitement des risques avec la stratégie de l'entreprise.
Mettre en place un programme de gestion des risques : les étapes pour développer un programme de gestion des risques conforme à ISO 27005, incluant la définition des responsabilités et le processus de décision.

> Partie 2: mise en œuvre d'un processus de gestion des risques selon la norme ISO 27005

Délimiter le domaine d'application :
- méthodes pour synthétiser les informations issues de groupes de travail collaboratifs et de la documentation pour définir clairement le périmètre de l'analyse de risque.
Construire et hiérarchiser des scénarios de risque :
- création de scénarios de dysfonctionnement ou d'agression basés sur leur criticité, en collaboration avec des experts pour évaluer leur probabilité et impacts.
Analyser et évaluer les risques :
- techniques pour l'analyse qualitative et quantitative des risques.
Elaboration des plans de traitement des risques : développement de plans de gestion des risques, en intégrant l'analyse des scénarios pour proposer des solutions alignées avec les objectifs stratégiques de l'entreprise.

> Partie 3 : suivi et culture de la gestion du risque

Mise en œuvre du plan de traitement :
- stratégies pour l'application effective des plans de traitement des risques, incluant l'établissement d'indicateurs de suivi et la collecte de retours d'expérience pour évaluer l'efficacité des actions dans le temps.
Favoriser une culture de la gestion du risque :
- techniques pour encourager la remontée et l'analyse des incidents de sécurité de l'information, renforçant ainsi la culture de la gestion des risques au sein de l'organisation.

> Partie 4 : analyse des risques avec la méthode EBIOS

Introduction.
Présentation de la notion de risques.
Les 5 étapes de la méthode EBIOS.
Application pratique de la méthode en petits groupes (2 à 3 personnes) sur un cas prédéfini :
Les éléments essentiels.

> Partie 5 : application de la méthode EBIOS

L'exploitation des résultats de la méthode vers:
- SOA (Déclaration d'applicabilité).
- La politique de sécurité (Exigences ISO 27001).
- Le plan d'action sécurité (SMSI).
La conduite d'une analyse des risques.
Les expressions des besoins.
Les vulnérabilités.

> Partie 6 : conclusion d'une analyse de risques avec EBIOS

Application pratique de la méthode en petits groupes (2 à 3 personnes) sur un cas prédéfini ;
L'analyse des risques.
Les objectifs de sécurité.
Les couvertures des risques.

> Partie 7 : autres méthodologies et préparation à la certification

Présentation des méthodes d'appréciation des risques : exploration des méthodes OCTAVE, MEHARI et EMR, et discussion sur leur intégration dans la stratégie de gestion des risques de l'entreprise.
Préparation à l'examen de certification ISO 27005 Security Risk Manager :
- révision des principaux concepts abordés, pratiques d'examen, et stratégies pour réussir la certification.

Cette formation est temporairement suspendue.

Voici des formations similaires :