Gestion des risques SI avec ISO 27005 & EBIOS

Fiche formation
image du badge Gestion des risques SI avec ISO 27005 & EBIOS

Objectifs pédagogiques : avoir les acquis nécessaires pour établir une analyse des risques avec les méthodes EBIOS 2010 et EBIOS RM

Pré-requis : connaissances générales en sécurité des systèmes d’information

Durée : 5 jours

Public : consultant en sécurité de l’information, Risk manager

Jour 1 matin

  • Section 1 - fondamentaux de la gestion des risques

    • le système d’information et la gestion des risques

    • fondamentaux de la gestion des risques (probabilité, impact, calcul, vision des risques)

    • la gouvernance, risque, ISO 27005

    • exercice 1 : avantages de la gestion des risques

    • développer une programme de  gestion des risques

    • les bonnes pratiques pour commencer

    • exercice 2 : ressources nécessaires

Jour 1 après-midi

  • Section 2 - la phase de contexte par ISO 27005

    • présentation de l’ISO 27005 (comités, normes)

    • terminologie ISO 27005

    • PDCA

    • contexte interne/externe

    • objectifs, valeurs, missions, stratégie

    • établir un SWOT

    • comprendre l’environnement interne

    • identification des exigences

    • Identifier les objectifs

    • Critères de bases, d’acceptation, d’évaluation, d’impact et de probabilité de la gestion des risques

    • exercice 3 : sur une étude de cas, établir le contexte

Jour 2 matin

  • Section 3 - phase d’identification des risques

    • description de la phase d'appréciation des risques avec l’identification, l’estimation et l’évaluation)

    • collecter des informations

    • types d’actifs 

    • exercice 4 : sur une étude de cas, identifier les actifs

    • identifier les actifs, menaces, vulnérabilités, impacts

    • identifier les vulnérabilités et impact

    • valeur et liens entre les actifs 

    • les bases de connaissance pour une gestion des risques

    • exercice 5 : sur une étude de cas, identifier les menaces

  • Section 4 - phase d’estimation et d’ évaluation des risques

    • approche qualitative vs quantitative

    • les différentes méthodes de calcul des risques 

    • calcul du risques   

    • exercice 6 : sur une étude de cas, faire une analyse de risque quantitative

Jour 2 après-midi

  • Section 5 -phase de traitement et d’acceptation des risques

    • établir un plan de traitement des risques 

    • exercice 7 : sur une étude de cas, établir un plan de traitement des risques

    • évaluer le risque résiduel

    • acceptation du plan de traitement

    • envoyer les risques résiduels au PCA et la réponse à incident

    • Section 6  -communication et surveillance 

      • établir un plan de communication

      • mettre en place les indicateurs pour une surveillance optimal dans un modèle PDCA

Jour 3  matin

  • Section 6  -la méthode EBIOS 2010 et la phase contexte

      • historique d’EBIOS (Expression des besoins et identification des objectifs de sécurité)

      • alignement d’EBIOS 2010 et l’ISO 27005

      • définir le cadre de la gestion des risques

      • préparer les métriques

      • Identifier les biens

      • éléments dimensionnants d'une étude

      • exemples et application

  • Section 7  -les évènements redoutés 

    • apprécier les évènements redoutés

  • Section 8  -les scénarios de menaces

    • mécanique de sélection des menaces

    • les différents scénarios de menaces

  • Section 9  -étude des risques

    • apprécier les risques

    • choix de traitement du risque

  • Section 10  -mesures de sécurité

    • formaliser les mesures de sécurité à mettre en oeuvre

    • mettre en oeuvre les mesures de sécurité

Jour 3  après-midi

  • TP  -mise en place d’une étude de cas 

Jour 4  matin

  • Section 11  -introduction à la méthode EBIOS Risk Manager

    • les fondamentaux de la gestion des risques

    • présentation d’EBIOS 

    • zoom sur la Cybersécurité (menaces prioritaires)

    • principales définitions EBIOS RM

    • exercice 1 : Compréhension de la terminologie

    • Concept phare et atelier de la méthode EBIOS RM

    • Récapitulatif 

  • Section 12  -atelier 1 “Cadrage et socle de sécurité”

    • présentation de l’atelier

    • définition du cadre de l’étude et du projet

    • identification du périmètre métier et technique

    • identification des évènements redoutés et évaluation de leurs niveaux de gravité

    • déterminer le socle de sécurité

    • exercice 2 : Identifier les évènements redoutés

    • récapitulatif de l’atelier

Jour 4  après-midi

  • Section 13  -atelier 2 “Sources de risques”

    • présentation de l’atelier

    • identifier les sources de risques (SR) et leurs Objectifs visés (OV) 

    • évaluer la pertinence des couples

    • évaluer les couples SR/OV et sélectionner ceux jugés prioritaire pour l’analyse

    • évaluer la gravité des scénarios stratégiques

    • exercice 3 : évaluer les couples SR/OV

    • récapitulatif de l’atelier

Jour 5 matin

  • Section 14  -atelier 3 “Scénarios stratégiques”

    • présentation de l’atelier

    • évaluer le niveau de menace associé aux parties prenantes 

    • construction d’une cartographie de menace numérique de l’écosystème et les parties prenantes critiques

exercice 4 : évaluer le niveau de menace associé au parties prenantes

    • élaboration des scénarios stratégiques

    • exercice 5 : élaboration de scénarios stratégiques

    • définition des mesures de sécurité sur l’écosystème

    • récapitulatif de l’atelier

  • Section 15  -atelier 4 “Scénarios opérationnels”

    • présentation de l’atelier

    • élaboration des scénarios opérationnels

    • évaluation des vraisemblances

    • pour aller plus loin (Threat modeling, ATT&CK, CAPEC)

    • exercice 6 : scénario opérationnel

    • récapitulatif de l’atelier

  • Section 16  -atelier 5 “Traitement du risque”

    • présentation de l’atelier

    • réalisation d’une synthèse des scénarios de risque

    • définition de la stratégie de traitement

    • définir les mesures de sécurité dans un plan d’amélioration continue de la sécurité (PACS)

    • évaluation et documentation des risques résiduels

    • mise en place du cadre de suivi des risques

    • exercice 7 :  PACS (Plan d’amélioration continue de la sécurité)

    • conclusion

Jour 5 matin

  • Examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)


Certification ou badge : badge

Durée de l'examen : 2 heures

Type d'examen : QCM

Cette formation permet de valider 1 point de compétence pour le Mastère ESD academy.

Pour obtenir le diplôme "Mastère ESD academy", il est nécessaire de valider 12 points de compétence ainsi que le passage devant un jury.

Livret stagiaire : livret_stagiaire_gestiondesrisquesiso27005EBIOS.pdf

Cahier d'exercice : cahier_exercice_gestiondesrisquesiso27005EBIOS.pdf

Aide-mémoire : pas encore disponible

Contactez-nous pour une inscription ou tout renseignement concernant la formation.