Formation gestion des risques
avec ISO 27005:2022
Certification associée : ESD-ISO27005
Le programme de cette formation est axé essentiellement sur la norme ISO /IEC 27005:2022 pour aborder les bases de la gestion des risques.
- Financement CPF possible
- Durée : 3 jours
- Prix : 2100 Euros HT (certification ESD-ISO27005 + 549 € HT)
- Disponible en ligne
Public : consultant en sécurité de l’information, risk manager.
Prérequis : connaissances générales en sécurité des systèmes d’information.
Un mot sur les auteurs du support
Paul VARELA
Expert en cybersécurité et gestion des risques de sécurité dans le domaine du spatial :
- coordinateur de la task force AFNOR ISO 27005 pour la délégation française à l’ISO JTC1/SC27 ;
- administrateur au Club EBIOS et animateur de l’activité normalisation ;
- conférencier et formateur ;
- certifié ISO 27xxx et EBIOS Risk Manager, GIAC, ISACA et CISSP.
Jérôme THEMEE
Passionné par la cybersécurité depuis 1998, Jérôme a évolué au sein de la formation en informatique et plus particulièrement de la sécurité de l’information.
Aujourd’hui, il est :
- fondateur de l’ESD Cybersecurity Academy ;
- réserviste opérationnel cyberdéfense au COMCYBER ;
- animateur du Cercle des formateurs pour le Club EBIOS.
Programme de la formation
Jour 1 matin (ISO/IEC 27005:2022)
Section 1 – fondamentaux de la gestion des risques
Définition du risque (dictionnaire, ISO/IEC 27005:2022, EBIOS Risk Manager)
Composante d’un risque (actif, vulnérabilité, menaces, scénario, calcul du risque)
Interaction entre les composantes d’un risque
Exercice 1 : composer un risque
Étude des risques ? Méthodes et normes
Norme vs méthodologie
Rappel d’une norme ISO/IEC
Lien entre l’ISO 27001 & 27005
La gouvernance, risque, ISO/IEC 27005:2022, lien avec l’ISO/IEC 27001
Développer un programme de gestion des risques
Section 2 – présentation de la norme ISO/IEC 27005:2022
Présentation de l’ISO/IEC 27005:2022 (clauses)
structure de la norme ISO/IEC 27005:2022
Cycle de la norme
PDCA (roue de Deming)
Approche processus
Évolution ISO/IEC 27005:2022 vs 2022
Section 3 – la phase de contexte par ISO/IEC 27005:2022
Définition d’une organisation, appétit du risque
Identification des exigences de base des parties prenantes
Exercice 2 : établir le contexte d’une organisation
Identifier les objectifs, cycle d’itération
Considéré la gestion des risques dans une organisation
Critères d’acceptation des risques
Critère d’évaluation des risques
Critères pour la conséquence
Critères pour la probabilité
Critères de détermination du niveau de risque.
Exercice 3 : établir les critères d’une organisation
Jour 1 après-midi (ISO/IEC 27005:2022)
Section 4 – Cycle d’analyse
Définition du cycle d’analyse
Approche par événements / par asset
Section 5 – Phase d’identification des risques
Identification des actifs
Identification des vulnérabilités
Identification des conséquences
Exercice 4 : identifier les actifs, les événements et les porteur du risque
Identifier les sources de risques et objectifs visés
Exercice 5 : identifier sources de risques et les objectifs visés
Identifications des parties prenantes
Exercice 6 : identifier les parties prenantes et des chemins d’attaque
Valeur et liens entre les actifs
Exercice 7 : identifier les actifs supports
Identifier les scénarios opérationnels
Exercice 8 : identifier les scénarios opérationnels
Jour 2 matin (ISO/IEC 27005:2022)
Section 6 – phase d’estimation et d’évaluation des risques
Approche qualitative vs quantitative
Les différentes méthodes de calcul des risques
Estimer le niveau de sévérité de la conséquence
Exercice 9 : estimer la sévérité de la conséquence
Estimer la probabilité d’occurrence
Exercice 10 : estimer la probabilité d’occurrence
Déterminer le niveau de risque
Exercice 11 : déterminer le niveau de risque
Comparer le résultat de l’estimation des risques avec les critères de risque
Prioriser les risques
Exercice 12 : prioriser les risques
Établir un plan de traitement des risques
Jour 2 après-midi (ISO/IEC 27005:2022)
Section 7 – phase de traitement et d’acceptation des risques
Les différentes options de traitement du risque
Déterminer les contrôles nécessaires à la mise en œuvre des options de traitement
Comparaison les contrôles avec ceux de l’annexe a iso/iec 27001
Exercice 13 : comparer les contrôles avec l’annexe a de l’ISO/IEC 27001
Produire une déclaration d’applicabilité (dda)
Mettre en place un plan de traitement des risques
Exercice 14 : mettre en place un plan de traitement des risques
Notions de risques bruts, nets, résiduels
Évaluer le risque résiduel
Approuver par les porteurs des risques
Jour 3 matin (ISO/IEC 27005:2022)
Section 8 – communication et surveillance
Établir un plan de communication
Mettre en place les indicateurs pour une surveillance optimal dans un modèle PDCA
Jour 3 après-midi (ISO/IEC 27005:2022)
Section 9 – alignement au SMSI
Contexte de l’organisation
Leadership et engagement
Phase de communication
Créer une matrice de communication
Exercice 15 : créer une matrice de communication
Communiquer les risques résiduels au PCA et la réponse à incident
Phase de documentation
Informations documentées sur les processus
Informations documentées sur les résultats
Surveillance et révision des facteurs influençant les risques
Exemple du sfdt (source-function-destination-trigger)
Exercice 16 : créer un scénario de surveillance
Action corrective
Amélioration continue
La formation comprend
Support .pdf
Cahier d'exercices
Étude de cas
Vous êtes manager du risque ?
Valoriser vos compétences avec la certification ESD-ISO27005.