Formation
Gestion des risques
avec ISO 27005 & EBIOS
Certification : ESD-RISKMANAGER (bientôt disponible)
Le programme de cette formation est axé essentiellement sur la norme ISO 27005 pour aborder les bases de la gestion des risques.
Ultérieurement les méthodes EBIOS 2010 et EBIOS Risk Manager sont étudiées en détails pour une mise en pratique à la suite de la formation.
- Financement CPF possible
- Durée : 5 jours
- Prix : 4049 Euros HT (formation + certification)
- Disponible en ligne
Public : consultant en sécurité de l’information, risk manager.
Prérequis : connaissances générales en sécurité des systèmes d’information.
Programme de la formation
Jour 1 matin
Section 1 – fondamentaux de la gestion des risques
Le système d’information et la gestion des risques
Fondamentaux de la gestion des risques (probabilité, impact, calcul, vision des risques)
La gouvernance, risque, ISO 27005
Exercice 1 : avantages de la gestion des risques
Développer une programme de gestion des risques
Les bonnes pratiques pour commencer
Exercice 2 : ressources nécessaires
Jour 1 après-midi
Section 2 – la phase de contexte par ISO 27005
Présentation de l’ISO 27005 (comités, normes)
Terminologie ISO 27005
PDCA
Contexte interne/externe
Objectifs, valeurs, missions, stratégie
Établir un SWOT
Comprendre l’environnement interne
Identification des exigences
Identifier les objectifs
Critères de bases, d’acceptation, d’évaluation, d’impact et de probabilité de la gestion des risques
Exercice 3 : sur une étude de cas, établir le contexte
Jour 2 matin
Section 3 – phase d’identification des risques
Description de la phase d’appréciation des risques avec l’identification, l’estimation et l’évaluation
Collecter des informations
Types d’actifs
Exercice 4 : sur une étude de cas, identifier les actifs
Identifier les actifs, menaces, vulnérabilités, impacts
Identifier les vulnérabilités et impact
valeur et liens entre les actifs
Les bases de connaissance pour une gestion des risques
Exercice 5 : sur une étude de cas, identifier les menaces
Section 4 – phase d’estimation et d’évaluation des risques
Approche qualitative vs quantitative
Les différentes méthodes de calcul des risques
Calcul du risque
Exercice 6 : sur une étude de cas, faire une analyse de risque quantitative
Jour 2 après-midi
Section 5 -phase de traitement et d’acceptation des risques
Établir un plan de traitement des risques
Exercice 7 : sur une étude de cas, établir un plan de traitement des risques
Évaluer le risque résiduel
Acceptation du plan de traitement
Envoyer les risques résiduels au PCA et la réponse à incident
Section 6 -communication et surveillance
Établir un plan de communication
Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA
Jour 3 matin
Section 7 -la méthode EBIOS 2010 et la phase contexte
Historique d’EBIOS (Expression des besoins et identification des objectifs de sécurité)
Alignement d’EBIOS 2010 et l’ISO 27005
Définir le cadre de la gestion des risques
Préparer les métriques
Identifier les biens
Éléments dimensionnants d’une étude
Exemples et application
Section 8 -les évènements redoutés
Apprécier les évènements redoutés
Section 9 -les scénarios de menaces
Mécanique de sélection des menaces
Les différents scénarios de menaces
Section 10 -étude des risques
Apprécier les risques
Choix de traitement du risque
Section 11 -mesures de sécurité
Formaliser les mesures de sécurité à mettre en oeuvre
Mettre en oeuvre les mesures de sécurité
Jour 3 après-midi
TP -mise en place d’une étude de cas
Jour 4 matin
Section 12 -introduction à la méthode EBIOS Risk Manager
Les fondamentaux de la gestion des risques
Présentation d’EBIOS
Zoom sur la Cybersécurité (menaces prioritaires)
Principales définitions EBIOS RM
Exercice 1 : Compréhension de la terminologie
Concept phare et atelier de la méthode EBIOS RM
Récapitulatif
Section 13 -atelier 1 “Cadrage et socle de sécurité”
Présentation de l’atelier
Définition du cadre de l’étude et du projet
Identification du périmètre métier et technique
Identification des évènements redoutés et évaluation de leur niveau de gravité
Déterminer le socle de sécurité
Exercice 2 : Identifier les évènements redoutés
Récapitulatif de l’atelier
Jour 4 après-midi
Section 14 -atelier 2 “Sources de risques”
Présentation de l’atelier
Identifier les sources de risques (SR) et leurs Objectifs visés (OV)
Évaluer la pertinence des couples
Évaluer les couples SR/OV et sélectionner ceux jugés prioritaires pour l’analyse
Évaluer la gravité des scénarios stratégiques
Exercice 3 : évaluer les couples SR/OV
Récapitulatif de l’atelier
Jour 5 matin
Section 15 -atelier 3 “Scénarios stratégiques”
Présentation de l’atelier
Évaluer le niveau de menace associé aux parties prenantes
Construction d’une cartographie de menace numérique de l’écosystème et les parties prenantes critiques
Exercice 4 : évaluer le niveau de menace associé au parties prenantes
Élaboration des scénarios stratégiques
Exercice 5 : élaboration de scénarios stratégiques
Définition des mesures de sécurité sur l’écosystème
Récapitulatif de l’atelier
Jour 5 après-midi
Section 16 -atelier 4 “Scénarios opérationnels”
Présentation de l’atelier
Élaboration des scénarios opérationnels
Évaluation des vraisemblances
Pour aller plus loin (Threat modeling, ATT&CK, CAPEC)
Exercice 6 : scénario opérationnel
Récapitulatif de l’atelier
Section 17 -atelier 5 “Traitement du risque”
Présentation de l’atelier
Réalisation d’une synthèse des scénarios de risques
Définition de la stratégie de traitement
Définir les mesures de sécurité dans un plan d’amélioration continue de la sécurité (PACS)
Évaluation et documentation des risques résiduels
Mise en place du cadre de suivi des risques
Exercice 7 : PACS (Plan d’amélioration continue de la sécurité)
Conclusion