Formation gestion des risques avec ISO 27005:2022
- Financement CPF possible
- Durée : 3 jours
- Prix : 2100 Euros HT (certification ESD-ISO27005+ 549 € HT)
- Disponible en ligne

Public : consultant en sécurité de l’information, risk manager.
Prérequis : connaissances générales en sécurité des systèmes d’information.
Description :
Objectifs pédagogiques :
Un mot sur les auteurs du support

Paul VARELA
Expert en cybersécurité et gestion des risques de sécurité dans le domaine du spatial :
- coordinateur de la task force AFNOR ISO 27005 pour la délégation française à l’ISO JTC1/SC27 ;
- administrateur au Club EBIOS et animateur de l’activité normalisation ;
- conférencier et formateur ;
- certifié ISO 27xxx et EBIOS Risk Manager, GIAC, ISACA et CISSP.

Jérôme THEMEE
Passionné par la cybersécurité depuis 1998, Jérôme a évolué au sein de la formation en informatique et plus particulièrement de la sécurité de l’information.
Aujourd’hui, il est :
- fondateur de l’ESD Cybersecurity Academy ;
- réserviste opérationnel cyberdéfense au COMCYBER ;
- animateur du Cercle des formateurs pour le Club EBIOS.
Programme de la formation
Jour 1 matin (ISO/IEC 27005:2022)
Section 1 – Fondamentaux de la gestion des risques
- Définition du risque (dictionnaire, ISO/IEC 27005:2022, EBIOS Risk Manager)
- Composantes d’un risque (actif, vulnérabilité, menace, scénario, calcul du risque)
- Interaction entre les composantes d’un risque
- Exercice 1 : composer un risque
- Étude des risques – méthodes et normes
- Norme vs méthodologie
- Rappel d’une norme ISO/IEC
- Lien entre l’ISO 27001 et 27005
- Gouvernance, risque, ISO/IEC 27005:2022, lien avec l’ISO/IEC 27001
- Développer un programme de gestion des risques
Section 2 – Présentation de la norme ISO/IEC 27005:2022
- Présentation de l’ISO/IEC 27005:2022 (clauses)
- Structure de la norme ISO/IEC 27005:2022
- Cycle de la norme
- PDCA (roue de Deming)
- Approche processus
- Évolution ISO/IEC 27005:2011 vs 2022
Section 3 – La phase de contexte par ISO/IEC 27005:2022
- Définition d’une organisation, appétit du risque
- Identification des exigences de base des parties prenantes
- Exercice 2 : établir le contexte d’une organisation
- Identifier les objectifs, cycle d’itération
- Considérer la gestion des risques dans une organisation
- Critères d’acceptation des risques
- Critère d’évaluation des risques
- Critères pour la conséquence
- Critères pour la probabilité
- Critères de détermination du niveau de risque
- Exercice 3 : établir les critères d’une organisation
Jour 1 après-midi (ISO/IEC 27005:2022)
Section 4 – Cycle d’analyse
- Définition du cycle d’analyse
- Approche par événements / par actif
Section 5 – Phase d’identification des risques
- Identification des actifs
- Identification des vulnérabilités
- Identification des menaces
- Identification des conséquences
- Exercice 4 : identifier les actifs, les événements et les porteurs de risque
- Identifier les sources de risques et les objectifs visés
- Exercice 5 : identifier les sources de risques et les objectifs visés
- Identification des parties prenantes
- Exercice 6 : identifier les parties prenantes et les chemins d’attaque
- Valeur et liens entre les actifs
- Exercice 7 : identifier les actifs supports
- Identifier les scénarios opérationnels
- Exercice 8 : identifier les scénarios opérationnels
Jour 2 matin (ISO/IEC 27005:2022)
Section 6 – Phase d’estimation et d’évaluation des risques
- Approche qualitative vs quantitative
- Les différentes méthodes de calcul des risques
- Estimer le niveau de sévérité de la conséquence
- Exercice 9 : estimer la sévérité de la conséquence
- Estimer la probabilité d’occurrence
- Exercice 10 : estimer la probabilité d’occurrence
- Déterminer le niveau de risque
- Exercice 11 : déterminer le niveau de risque
- Comparer le résultat de l’estimation des risques avec les critères de risque
- Prioriser les risques
- Exercice 12 : prioriser les risques
- Établir un plan de traitement des risques
Jour 2 après-midi (ISO/IEC 27005:2022)
Section 7 – Phase de traitement et d’acceptation des risques
- Les différentes options de traitement du risque
- Déterminer les contrôles nécessaires à la mise en œuvre des options de traitement
- Comparer les contrôles avec ceux de l’annexe A ISO/IEC 27001
- Exercice 13 : comparer les contrôles avec l’annexe A de l’ISO/IEC 27001
- Produire une déclaration d’applicabilité (DDA)
- Mettre en place un plan de traitement des risques
- Exercice 14 : mettre en place un plan de traitement des risques
- Notions de risques bruts, nets, résiduels
- Évaluer le risque résiduel
- Approuver par les porteurs de risques
Jour 3 matin (ISO/IEC 27005:2022)
Section 8 – Communication et surveillance
- Établir un plan de communication
- Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA
Jour 3 après-midi (ISO/IEC 27005:2022)
Section 9 – Alignement au SMSI
- Contexte de l’organisation
- Leadership et engagement
- Phase de communication
- Créer une matrice de communication
- Exercice 15 : créer une matrice de communication
- Communiquer les risques résiduels au PCA et la réponse à incident
- Phase de documentation
- Informations documentées sur les processus
- Informations documentées sur les résultats
- Surveillance et révision des facteurs influençant les risques
- Exemple du SFDT (source-function-destination-trigger)
- Exercice 16 : créer un scénario de surveillance
- Action corrective
- Amélioration continue
La formation comprend
Support .pdf
Cahier d'exercices
Étude de cas
Vous êtes manager du risque ?
Valoriser vos compétences avec la certification ESD-ISO27005.