Formation
Implémentation d'un SMSI
avec ISO 27001

Certification : ESD-ISO27001

Le SMSI (système de management de la sécurité de l’information) est l’appareil, le logiciel de toute organisation pour manager de manière globale la sécurité de l’information d’une organisation. 

Notre formation s’aligne sur la norme ISO 27001/2, des outils ESD et le retour d’expérience de nos formateurs pour que le candidat identifie comment il pourrait procéder pour sa propre organisation.

Public : consultant en sécurité de l’information, risk manager.

Prérequis : connaissances générales en sécurité des systèmes d’information.

Un mot sur les auteurs du support

Paul Varela

Paul VARELA

Expert en cybersécurité et gestion des risques de sécurité dans le domaine du spatial :

  • coordinateur de la task force AFNOR ISO 27005 pour la délégation française à l’ISO JTC1/SC27 ;
  • administrateur au Club EBIOS  et animateur de l’activité normalisation ;
  • conférencier et formateur ;
  • certifié ISO 27xxx et EBIOS Risk Manager, GIAC, ISACA et CISSP.
Photo Alexandre JAWOR

Alexandre JAWOR

Passionné par la cybersécurité depuis les années 2000, Alexandre a évolué au sein du conseil dans l’implémentation de SMSI et de la recherche en intrusion.

Aujourd’hui, il est :

  • fondateur de l’ESD Cybersecurity Academy ;
  • fondateur de la société SAFEIT  Consulting ;
  • membre du Club EBIOS.
  • auteur de la certification EBIOS RM (PECB)

Programme de la formation

Jour 1 matin

  • Section 1 – Introduction à l’ISO/IEC 27011:2022

    • Normes : Qu’est ce que l’ISO?

    • Qu’est ce que la norme “ISO/IEC 27001:2022”

    • Définition d’un système de management de la sécurité de l’information

    • Compréhension des principes de système de management intégré

    • L’amélioration continue et l’application d’un modèle PDCA

    • Présentation de la structure de la norme 

    • Les bénéfices de la norme ISO/IEC 27001:2022

  • SMSI et stratégie d’entreprise

 

  • Section 2 – Champ gravitationnel de la norme ISO/IEC  27001:2022

  • Vision normative vs méthode

  • Norme vs réglementation

  • ISO 27002 Code de bonne pratique pour le management de la sécurité de l’information

  • ISO 27003 Implémentation d’un SMSI

  • ISO 27004 Indicateurs du SMSI

  • ISO 27005 Appréciation des risques

  • ISO 27006 Organismes assurant l’audit et la certification d’un système de management de la sécurité de l’information

  • ISO 27007 Audit du SMSI

  • ISO 27035 Gestion des incidents de sécurité

  • ISO 27037 Preuves numériques

  • Exercice 1 : Système de management intégré

Jour 1 après-midi

  • Section 3 – Préparation et séquençage du projet “ISO/IEC  27001”

    • Logique l’implémentation 

    • Orchestration d’un système de management de la sécurité de l’information

    • Les erreurs courantes

 

  • Section 4 – Initialisation du projet

Jour 2 matin

  • Contexte

  • Exigences applicables

  • Recensement des parties intéressées ainsi que leurs attentes

  • Exercice 2 : Contexte, Exigences applicables, Parties intéressées leurs attentes/ besoins

  • Etat des lieux (Gap analysis)

  • Etude des options disponibles (validation du domaine d’application)

  • Définition des objectifs de sécurité de l’information

  • Exercice 3 : Etude des écarts “Gap analysis” et domaine d’application

      • Section 5 – Conception de la structure du SMSI

        • Structure de gouvernance du SMSI

        • Le leadership de la direction

        • Création de la structure documentaire

      • Encadrer la communication

      • Définition d’une méthode d’évaluation des risques

      • Identification des actifs critiques

      • Politique de sécurité

      • Exercice 4 : PSI – Partie haute

      • Processus de gestion des incidents de sécurité

      • Processus de formation et sensibilisation

      • Indicateurs de performances du SMSI 

      • Exercice 5 : Indicateurs de performances du SMSI

      • Section 6 – La gestion des risques SI

Jour 2 après-midi > Jour 3 après-midi

      • Identification, analyse et évaluation des risques

      • Rédaction du plan de traitement des risques

      • Exercice 6 : Gestion des risques

Jour 4 matin 

      • Ajustement des mesures de sécurité et formalisation de la déclaration d’applicabilité

      • Exercice 7 : Rédaction d’un Dda

Jour 4 après-midi

      • Section 7 – Les audits internes et suivi des actions

        • Les exigences de la norme 

        • Les objectifs des audits internes

        • Planification des audits internes

        • Suivi des actions

        • Exercice 8 : Audits internes

Jour 5 matin et après-midi

    • Section 8 – Le processus de certification de la norme ISO/IEC 27001:2022

      • Les organismes de certification

      • Les non-conformités

      • Les catégories d’audits (initiales,complémentaires, surveillances, renouvellement)

      • Préparation à l’audit de certification

      • Après la certification

      • Exercice 9 : Éléments clés à mettre en avant pour et pendant la certification

La formation comprend

Support .pdf
Cahier d'exercices
Étude de cas

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Jérôme THÉMÉE
Jérôme THÉMÉE
Photo Alexandre JAWOR
Alexandre JAWOR
Gaël Répillez
Paul Varela
Paul VARELA

Vous implémentez la norme ISO/IEC 27001 ?

Valoriser vos compétences avec la certification ESD-ISO27001.