ESD-27005 : Gestion des risques avec la norme ISO/IEC 27005
Obtenez une certification d’État reconnue par France compétence.
Les points forts de la formation :
- Prépare le bloc de certification RNCP 36399BC04.
- Reconnaissance académique : Prépare à l'obtention d'un bloc du mastère ESD.
- Durée : 22 heures en e-learning ou 3 jours en distanciel.
- Accessible aux personnes en situation de handicap
Prix :
- 2100 Euros TTC en classe virtuelle (3 jours)
- 990 Euros TTC en e-learning (9 heures)
Modes d'apprentissage :
- Formation disponible en e-learning avec mentorat pour un suivi personnalisé.
- Classe virtuelle pour une interaction en temps réel avec les formateurs et les autres participants.
Qu'est-ce que la formation certifiante ISO 27005
Description
La formation ISO/IEC 27005:2022 proposée par l’ESD Academy est destinée aux professionnels souhaitant se former à la gestion des risques en sécurité de l’information. Elle est basée sur la norme ISO/IEC 27005 qui est la norme de référence en gestion des risques cyber.
La formation se déroule sur une durée de 3 jours et permettra aux participants de maîtriser les concepts, les méthodes et les outils nécessaires pour mener à bien une évaluation des risques de sécurité de l’information.
Au cours de la formation, les participants apprendront à identifier les actifs et les menaces, à évaluer les risques, à déterminer les mesures de sécurité et à élaborer un plan de traitement des risques.
La formation est conçue pour les professionnels ayant une expérience en sécurité de l’information et ayant déjà travaillé avec la norme ISO/IEC 27001. Les participants apprendront à utiliser la norme ISO/IEC 27005 comme un outil pour la gestion des risques de sécurité de l’information et à appliquer les méthodes EBIOS dans leur travail quotidien.
À la fin de la formation, les participants pourront passer l’examen de certification ISO/IEC 27005. La réussite de cet examen permettra aux participants de prouver leur compétence en matière de gestion des risques en sécurité de l’information et de renforcer leur CV.
Objectif
- Comprendre les concepts de base de la sécurité de l’information, les normes ISO/IEC 27001 et ISO/IEC 27005.
- Savoir identifier les actifs et les menaces liés à la sécurité de l’information et évaluer les risques associés.
- Connaître les différentes méthodes de gestion des risques et savoir les appliquer dans la pratique.
- Savoir établir un plan de traitement des risques de sécurité de l’information, y compris la détermination des mesures de sécurité appropriées.
- Acquérir les compétences pour mener une évaluation des risques de sécurité de l’information de manière efficace et efficiente.
- Savoir communiquer les résultats de l’évaluation des risques aux parties prenantes concernées.
- Être capable de passer l’examen de certification ISO/IEC 27005 avec succès.
- Appliquer les connaissances et les compétences acquises dans leur travail quotidien pour renforcer la sécurité de l’information au sein de leur organisation.
Les candidats doivent être titulaires d’un bac+4 ou d’une certification professionnelle de niveau 6, avec des connaissances en gestion des risques et en sécurité de l’information. Une expérience pratique dans ces domaines est recommandée.
Processus d’inscription
- Remplir le formulaire d’inscription en ligne.
- Payer les frais d’inscription via le portail sécurisé ou valider votre devis CPF.
- Un email de confirmation sera envoyé une fois l’inscription validée.
Les inscriptions sont traitées sous 5 jours ouvrables et doivent être finalisées au moins 10 jours avant le début de la formation.
Prérequis matériels
Les candidats doivent disposer d’un ordinateur avec un processeur multi-cœurs, 16Go de RAM, et 100Go d’espace de stockage. Une connexion Internet fiable est nécessaire. Les participants doivent être administrateurs de leur ordinateur pour installer les outils requis.
Modalités d’évaluation
- Évaluation continue à travers des travaux pratiques et certification.
- Apprendre à mettre en œuvre une gestion des risques conforme à la norme ISO 27005.
- Maîtriser la méthodologie EBIOS pour l’évaluation et le traitement des risques.
- Comprendre les processus pour identifier, analyser, et traiter les risques de sécurité de l’information.
Le responsable de la gestion des risques selon la norme ISO/IEC 27005:2022 : un acteur clé dans la stratégie de cybersécurité
Le responsable de la gestion des risques selon la norme ISO/IEC 27005:2022 joue un rôle essentiel dans la stratégie de cybersécurité d’une organisation. Ce professionnel est chargé d’identifier, d’évaluer et de gérer les risques liés à la sécurité de l’information, en veillant à ce que les mesures appropriées soient mises en place pour protéger les actifs numériques contre les cybermenaces et assurer la conformité aux réglementations en vigueur.
Doté d’une vision stratégique et d’une compréhension approfondie des risques liés à la sécurité de l’information, ce professionnel développe des programmes de gestion des risques robustes, coordonne les efforts de sécurité à travers différents départements, et s’assure que les pratiques de gestion des risques sont intégrées dans l’ensemble de l’organisation. Sa capacité à communiquer efficacement avec les parties prenantes à tous les niveaux est cruciale pour promouvoir une culture de sécurité et pour prendre des décisions éclairées face aux incidents de sécurité.
Perspectives Salariales pour les Responsables de la Gestion des Risques ISO/IEC 27005:2022 en 2024 en France
La position stratégique et l’importance cruciale du responsable de la gestion des risques selon la norme ISO/IEC 27005:2022 dans les entreprises modernes se reflètent dans leur rémunération, qui est parmi les plus élevées dans le domaine de la cybersécurité. Les salaires varient largement en fonction de la taille de l’entreprise, de l’industrie, de l’expérience et de la localisation géographique.
- Débutants : Bien que le poste de responsable de la gestion des risques exige généralement une certaine expérience, les professionnels accédant à ce niveau de responsabilité dans des petites ou moyennes entreprises peuvent s’attendre à des salaires initiaux autour de 50 000 à 60 000 euros bruts par an.
- Confirmés : Avec une expérience solide et une capacité prouvée à gérer des projets complexes ainsi qu’à diriger des stratégies de sécurité efficaces, les responsables de la gestion des risques peuvent prétendre à des salaires allant de 70 000 à 90 000 euros bruts annuels.
- Experts : Dans les grandes entreprises ou celles opérant dans des secteurs hautement réglementés ou à haut risque, les responsables de la gestion des risques avec une expertise de pointe et une expérience significative peuvent voir leur rémunération dépasser les 100 000 euros bruts par an, voire plus pour les positions au sein de multinationales ou d’entreprises de haute technologie.
Le rôle du responsable de la gestion des risques selon la norme ISO/IEC 27005:2022 est essentiel non seulement pour protéger les entreprises contre les menaces de cybersécurité, mais aussi pour assurer une gouvernance efficace des informations et des technologies. Leur leadership permet de naviguer dans le paysage complexe de la sécurité de l’information, de minimiser les risques et de maximiser la résilience, jouant ainsi un rôle clé dans le succès et la durabilité des organisations à l’ère numérique.
Nous proposons un modèle hybride de certification ESD offrant une approche flexible et complète. Cela permet aux candidats de valider leurs connaissances théoriques et pratiques tout en répondant aux besoins de chaque type de candidat, qu’ils visent un titre RNCP, une certification spécifique ou simplement une formation continue.
Étape 1 : Formation Initiale
- ESD-27005 : Gestion des Risques avec la Norme ISO/IEC 27005:2022
- ESD-27001 : Implémentation de la Norme ISO/IEC 27001:2022
Étape 2 : Examens Techniques
L’examen technique de 120 minutes couvre les thèmes suivants :
- Domaine 1 : Compréhension de l’ISO/IEC 27005:2022 et gestion des risques
- Domaine 2 : Mise en œuvre de l’ISO/IEC 27005:2022
- Domaine 3 : Audit et amélioration continue de la gestion des risques
Après avoir suivi les formations, les candidats passent des examens techniques sous forme de QCM, étude de cas, et scénarios réalistes.
Étape 3 : Certification ESD
Après avoir réussi les examens techniques, les candidats obtiennent la certification ESD. Cette certification valide leurs compétences techniques et leur permet de se positionner comme des experts reconnus en gestion des risques et sécurité de l’information.
Étape 4 : Titre RNCP
Pour aller au-delà de la certification ESD et obtenir le titre RNCP d’Information Security Expert, les candidats certifiés ESD peuvent choisir de compléter les étapes suivantes :
- Réaliser un travail personnel à domicile et soumettre un rapport détaillé.
- Passer une évaluation finale comprenant 20 minutes de présentation devant un jury d’experts suivies de 10 minutes de questions-réponses sur le projet rendu et les connaissances générales du candidat.
Programme
- Définition du risque (dictionnaire, ISO/IEC 27005:2022, EBIOS Risk Manager)
- Composantes d’un risque (actif, vulnérabilité, menace, scénario, calcul du risque)
- Interaction entre les composantes d’un risque
- Exercice 1 : Composer un risque
- Étude des risques – méthodes et normes
- Norme vs méthodologie
- Rappel d’une norme ISO/IEC
- Lien entre l’ISO 27001 et 27005
- Gouvernance, risque, ISO/IEC 27005:2022, lien avec l’ISO/IEC 27001
- Développer un programme de gestion des risques
- Présentation de l’ISO/IEC 27005:2022 (clauses)
- Structure de la norme ISO/IEC 27005:2022
- Cycle de la norme
- PDCA (roue de Deming)
- Approche processus
- Évolution ISO/IEC 27005:2011 vs 2022
- Définition d’une organisation, appétit du risque
- Identification des exigences de base des parties prenantes
- Exercice 2 : Établir le contexte d’une organisation
- Identifier les objectifs, cycle d’itération
- Considérer la gestion des risques dans une organisation
- Critères d’acceptation des risques
- Critère d’évaluation des risques
- Critères pour la conséquence
- Critères pour la probabilité
- Critères de détermination du niveau de risque
- Exercice 3 : Établir les critères d’une organisation
- Définition du cycle d’analyse
- Approche par événements / par actif
- Identification des actifs
- Identification des vulnérabilités
- Identification des menaces
- Identification des conséquences
- Exercice 4 : Identifier les actifs, les événements et les porteurs de risque
- Identifier les sources de risques et les objectifs visés
- Exercice 5 : Identifier les sources de risques et les objectifs visés
- Identification des parties prenantes
- Exercice 6 : Identifier les parties prenantes et les chemins d’attaque
- Valeur et liens entre les actifs
- Exercice 7 : Identifier les actifs supports
- Identifier les scénarios opérationnels
- Exercice 8 : Identifier les scénarios opérationnels
- Approche qualitative vs quantitative
- Les différentes méthodes de calcul des risques
- Estimer le niveau de sévérité de la conséquence
- Exercice 9 : Estimer la sévérité de la conséquence
- Estimer la probabilité d’occurrence
- Exercice 10 : Estimer la probabilité d’occurrence
- Déterminer le niveau de risque
- Exercice 11 : Déterminer le niveau de risque
- Comparer le résultat de l’estimation des risques avec les critères de risque
- Prioriser les risques
- Exercice 12 : Prioriser les risques
- Établir un plan de traitement des risques
- Les différentes options de traitement du risque
- Déterminer les contrôles nécessaires à la mise en œuvre des options de traitement
- Comparer les contrôles avec ceux de l’annexe A ISO/IEC 27001
- Exercice 13 : Comparer les contrôles avec l’annexe A de l’ISO/IEC 27001
- Produire une déclaration d’applicabilité (DDA)
- Mettre en place un plan de traitement des risques
- Exercice 14 : Mettre en place un plan de traitement des risques
- Notions de risques bruts, nets, résiduels
- Évaluer le risque résiduel
- Approuver par les porteurs de risques
- Établir un plan de communication
- Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA
- Contexte de l’organisation
- Leadership et engagement
- Phase de communication
- Créer une matrice de communication
- Exercice 15 : Créer une matrice de communication
- Communiquer les risques résiduels au PCA et la réponse à incident
- Phase de documentation
- Informations documentées sur les processus
- Informations documentées sur les résultats
- Surveillance et révision des facteurs influençant les risques
- Exemple du SFDT (source-function-destination-trigger)
- Exercice 16 : Créer un scénario de surveillance
- Action corrective
- Amélioration continue