Formation gestion des risques
avec ISO 27005:2022

Certification associée : ESD-ISO27005 

Le programme de cette formation est axé essentiellement sur la norme ISO /IEC 27005:2022 pour aborder les bases de la gestion des risques. 

Public : consultant en sécurité de l’information, risk manager.

Prérequis : connaissances générales en sécurité des systèmes d’information.

Un mot sur les auteurs du support

Paul Varela

Paul VARELA

Expert en cybersécurité et gestion des risques de sécurité dans le domaine du spatial :

  • coordinateur de la task force AFNOR ISO 27005 pour la délégation française à l’ISO JTC1/SC27 ;
  • administrateur au Club EBIOS  et animateur de l’activité normalisation ;
  • conférencier et formateur ;
  • certifié ISO 27xxx et EBIOS Risk Manager, GIAC, ISACA et CISSP.
Photo Jérôme THÉMÉE

Jérôme THEMEE

Passionné par la cybersécurité depuis 1998, Jérôme a évolué au sein de la formation en informatique et plus particulièrement de la sécurité de l’information.

Aujourd’hui, il est :

  • fondateur de l’ESD Cybersecurity Academy ;
  • réserviste opérationnel cyberdéfense au COMCYBER ;
  • animateur du Cercle des formateurs pour le Club EBIOS.

Programme de la formation

Jour 1 matin (ISO/IEC 27005:2022)

  • Section 1 – fondamentaux de la gestion des risques

    • Définition du risque (dictionnaire, ISO/IEC 27005:2022, EBIOS Risk Manager)

    • Composante d’un risque (actif, vulnérabilité, menaces, scénario, calcul du risque)

    • Interaction entre les composantes d’un risque

    • Exercice 1 : composer un risque

  • Étude des risques ? Méthodes et normes

  • Norme vs méthodologie

  • Rappel d’une norme ISO/IEC

  • Lien entre l’ISO 27001 & 27005

  • La gouvernance, risque, ISO/IEC 27005:2022, lien avec l’ISO/IEC 27001

  • Développer un programme de gestion des risques

  • Section 2 – présentation de la norme ISO/IEC 27005:2022

    • Présentation de l’ISO/IEC 27005:2022 (clauses)

    • structure de la norme ISO/IEC 27005:2022

    • Cycle de la norme

    • PDCA (roue de Deming)

    • Approche processus

    • Évolution ISO/IEC 27005:2022 vs 2022

  • Section 3 – la phase de contexte par ISO/IEC 27005:2022

    • Définition d’une organisation, appétit du risque

    • Identification des exigences de base des parties prenantes

    • Exercice 2 : établir le contexte d’une organisation

    • Identifier les objectifs, cycle d’itération

    • Considéré la gestion des risques dans une organisation

    • Critères d’acceptation des risques 

    • Critère d’évaluation des risques

    • Critères pour la conséquence

    • Critères pour la probabilité

    • Critères de détermination du niveau de risque.

    • Exercice 3 : établir les critères d’une organisation

Jour 1 après-midi (ISO/IEC 27005:2022)

  • Section 4 – Cycle d’analyse

    • Définition du cycle d’analyse

    • Approche par événements / par asset

  • Section 5 – Phase d’identification des risques

    • Identification des actifs 

    • Identification des vulnérabilités 

    • Identification des conséquences

    • Exercice 4 : identifier les actifs, les événements  et les porteur du risque

    • Identifier les sources de risques et objectifs visés

    • Exercice 5 : identifier sources de risques et les objectifs visés 

    • Identifications des parties prenantes

    • Exercice 6 : identifier les parties prenantes et des chemins d’attaque

    • Valeur et liens entre les actifs 

    • Exercice 7 : identifier les actifs supports

    • Identifier les scénarios opérationnels

    • Exercice 8 : identifier les scénarios opérationnels

Jour 2 matin (ISO/IEC 27005:2022)

  • Section 6 – phase d’estimation et d’évaluation des risques

    • Approche qualitative vs quantitative

    • Les différentes méthodes de calcul des risques 

    • Estimer le niveau de sévérité de la conséquence

    • Exercice 9 : estimer la sévérité de la conséquence

    • Estimer la probabilité d’occurrence

    • Exercice 10 : estimer la probabilité d’occurrence

    • Déterminer le niveau de risque

    • Exercice 11 : déterminer le niveau de risque

    • Comparer le résultat de l’estimation des risques avec les critères de risque

    • Prioriser les risques

    • Exercice 12 : prioriser les risques

    • Établir un plan de traitement des risques 

  • Jour 2 après-midi (ISO/IEC 27005:2022)

  • Section 7 – phase de traitement et d’acceptation des risques

    • Les différentes options de traitement du risque

    • Déterminer les contrôles nécessaires à la mise en œuvre des options de traitement

    • Comparaison les contrôles avec ceux de l’annexe a iso/iec 27001

    • Exercice 13 : comparer les contrôles avec l’annexe a de l’ISO/IEC 27001

    • Produire une déclaration d’applicabilité (dda)

    • Mettre en place un plan de traitement des risques

    • Exercice 14 : mettre en place un plan de traitement des risques

    • Notions de risques bruts, nets, résiduels

    • Évaluer le risque résiduel 

    • Approuver par les porteurs  des risques

  • Jour 3 matin (ISO/IEC 27005:2022)

  • Section 8  – communication et surveillance 

    •  Établir un plan de communication

    • Mettre en place les indicateurs pour une surveillance optimal dans un modèle PDCA

Jour 3 après-midi (ISO/IEC 27005:2022)

  • Section 9 alignement au SMSI

    • Contexte de l’organisation

    • Leadership et engagement

    • Phase de communication

    • Créer une matrice de communication

    • Exercice 15 : créer une matrice de communication

    • Communiquer les risques résiduels au PCA et la réponse à incident

    • Phase de documentation

    • Informations documentées sur les processus

    • Informations documentées sur les résultats

    • Surveillance et révision des facteurs influençant les risques

    • Exemple du sfdt (source-function-destination-trigger)

    • Exercice 16 : créer un scénario de surveillance

    • Action corrective

    • Amélioration continue

La formation comprend

Support .pdf
Cahier d'exercices
Étude de cas

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Jérôme THÉMÉE
Jérôme THÉMÉE
Photo Alexandre JAWOR
Alexandre JAWOR
Paul Varela
Paul VARELA

Vous êtes manager du risque ?

Valoriser vos compétences avec la certification ESD-ISO27005.