Formation
Gestion des risques
avec ISO 27005 & EBIOS

Jour 1 matin

• Section 1 – fondamentaux de la gestion des risques

  • Le système d’information et la gestion des risques

  • Fondamentaux de la gestion des risques (probabilité, impact, calcul, vision des risques)

  • La gouvernance, risque, ISO 27005

  • Exercice 1 : avantages de la gestion des risques

  • Développer une programme de  gestion des risques

  • Les bonnes pratiques pour commencer

  • Exercice 2 : ressources nécessaires

Jour 1 après-midi

• Section 2 – la phase de contexte par ISO 27005

  • Présentation de l’ISO 27005 (comités, normes)

  • Terminologie ISO 27005

  • PDCA

  • Contexte interne/externe

  • Objectifs, valeurs, missions, stratégie

  • Établir un SWOT

  • Comprendre l’environnement interne

  • Identification des exigences

  • Identifier les objectifs

  • Critères de bases, d’acceptation, d’évaluation, d’impact et de probabilité de la gestion des risques

  • Exercice 3 : sur une étude de cas, établir le contexte

Jour 2 matin

• Section 3 – phase d’identification des risques

  • Description de la phase d’appréciation des risques avec l’identification, l’estimation et l’évaluation

  • Collecter des informations

  • Types d’actifs 

  • Exercice 4 : sur une étude de cas, identifier les actifs

  • Identifier les actifs, menaces, vulnérabilités, impacts

  • Identifier les vulnérabilités et impact

  • valeur et liens entre les actifs 

  • Les bases de connaissance pour une gestion des risques

  • Exercice 5 : sur une étude de cas, identifier les menaces

• Section 4 – phase d’estimation et d’évaluation des risques

  • Approche qualitative vs quantitative

  • Les différentes méthodes de calcul des risques 

  • Calcul du risque  

  • Exercice 6 : sur une étude de cas, faire une analyse de risque quantitative

Jour 2 après-midi

• Section 5 -phase de traitement et d’acceptation des risques

  • Établir un plan de traitement des risques 

  • Exercice 7 : sur une étude de cas, établir un plan de traitement des risques

• Évaluer le risque résiduel

• Acceptation du plan de traitement

• Envoyer les risques résiduels au PCA et la réponse à incident

• Section 6  -communication et surveillance 

  • Établir un plan de communication

  • Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA

Jour 3  matin

• Section 7  -la méthode EBIOS 2010 et la phase contexte

  • Historique d’EBIOS (Expression des besoins et identification des objectifs de sécurité)

  • Alignement d’EBIOS 2010 et l’ISO 27005

  • Définir le cadre de la gestion des risques

  • Préparer les métriques

  • Identifier les biens

  • Éléments dimensionnants d’une étude

  • Exemples et application

• Section 8  -les évènements redoutés 

  • Apprécier les évènements redoutés

• Section 9  -les scénarios de menaces

  • Mécanique de sélection des menaces

  • Les différents scénarios de menaces

• Section 10  -étude des risques

  • Apprécier les risques

  • Choix de traitement du risque

• Section 11  -mesures de sécurité

  • Formaliser les mesures de sécurité à mettre en oeuvre

  • Mettre en oeuvre les mesures de sécurité

Jour 3  après-midi

• TP  -mise en place d’une étude de cas 

Jour 4  matin

• Section 12  -introduction à la méthode EBIOS Risk Manager

  • Les fondamentaux de la gestion des risques

  • Présentation d’EBIOS 

  • Zoom sur la Cybersécurité (menaces prioritaires)

  • Principales définitions EBIOS RM

  • Exercice 1 : Compréhension de la terminologie

  • Concept phare et atelier de la méthode EBIOS RM

  • Récapitulatif 

• Section 13  -atelier 1 “Cadrage et socle de sécurité”

  • Présentation de l’atelier

  • Définition du cadre de l’étude et du projet

  • Identification du périmètre métier et technique

  • Identification des évènements redoutés et évaluation de leur niveau de gravité

  • Déterminer le socle de sécurité

  • Exercice 2 : Identifier les évènements redoutés

  • Récapitulatif de l’atelier

Jour 4  après-midi

• Section 14  -atelier 2 “Sources de risques”

  • Présentation de l’atelier

  • Identifier les sources de risques (SR) et leurs Objectifs visés (OV) 

  • Évaluer la pertinence des couples

  • Évaluer les couples SR/OV et sélectionner ceux jugés prioritaires pour l’analyse

  • Évaluer la gravité des scénarios stratégiques

  • Exercice 3 : évaluer les couples SR/OV

  • Récapitulatif de l’atelier

Jour 5 matin

• Section 15  -atelier 3 “Scénarios stratégiques”

  • Présentation de l’atelier

  • Évaluer le niveau de menace associé aux parties prenantes 

  • Construction d’une cartographie de menace numérique de l’écosystème et les parties prenantes critiques

Exercice 4 : évaluer le niveau de menace associé au parties prenantes

• Élaboration des scénarios stratégiques

• Exercice 5 : élaboration de scénarios stratégiques

• Définition des mesures de sécurité sur l’écosystème

• Récapitulatif de l’atelier

Jour 5 après-midi

• Section 16  -atelier 4 “Scénarios opérationnels”

  • Présentation de l’atelier

  • Élaboration des scénarios opérationnels

  • Évaluation des vraisemblances

  • Pour aller plus loin (Threat modeling, ATT&CK, CAPEC)

  • Exercice 6 : scénario opérationnel

  • Récapitulatif de l’atelier

• Section 17  -atelier 5 “Traitement du risque”

  • Présentation de l’atelier

  • Réalisation d’une synthèse des scénarios de risques

  • Définition de la stratégie de traitement

  • Définir les mesures de sécurité dans un plan d’amélioration continue de la sécurité (PACS)

  • Évaluation et documentation des risques résiduels

  • Mise en place du cadre de suivi des risques

  • Exercice 7 :  PACS (Plan d’amélioration continue de la sécurité)

  • Conclusion