Badge ISO 27005/EBIOS

Gestion des risques avec ISO 27005 & EBIOS

g670.png.png

Informations générales : 

Un mot sur l’auteur du badge

Photo Jérôme THÉMÉE

Jérôme THÉMÉE

Passionné de cybersécurité depuis 1998, Jérôme à évolué dans le domaine technique de la discipline jusqu’à la gouvernance. Particulièrement investi dans la méthode française EBIOS Risk Manager, il est responsable du Cercle des formateurs du Club EBIOS et travail avec l’ANSSI sur ce sujet.

Profil

Programme du badge

1 – Fondamentaux de la gestion des risques
1.2 Le système d’information et la gestion des risques
1.3 Fondamentaux de la gestion des risques (probabilité, impact, calcul, vision des risques)
1.4 La gouvernance, risque, ISO 27005
1.5 Développer une programme de gestion des risques
1.6 Les bonnes pratiques pour commencer

2 – La phase de contexte par ISO 27005
2.1 Présentation de l’ISO 27005 (comités, normes)
2.1 Terminologie ISO 27005
2.1 PDCA
2.1 Contexte interne/externe
2.1 Objectifs, valeurs, missions, stratégie
2.1 Établir un SWOT
2.1 Comprendre l’environnement interne
2.1 Identification des exigences
2.1 Identifier les objectifs
2.1 Critères de bases, d’acceptation, d’évaluation, d’impact et de probabilité de la gestion des risques

3 – Phase d’identification des risques
3.1 Description de la phase d’appréciation des risques avec l’identification, l’estimation et l’évaluation)
3.2 Collecter des informations
3.3 Types d’actifs
3.4 Identifier les actifs, menaces, vulnérabilités, impacts
3.5 Identifier les vulnérabilités et impact
3.6 Valeur et liens entre les actifs
3.7 Les bases de connaissance pour une gestion des risques

4 – Phase d’estimation et d’évaluation des risques
4.1 Approche qualitative vs quantitative
4.2 Les différentes méthodes de calcul des risques
4.3 Calcul du risques

5 – phase de traitement et d’acceptation des risques
5.1 Établir un plan de traitement des risques
5.2 Évaluer le risque résiduel
5.3 Acceptation du plan de traitement
5.4 Envoyer les risques résiduels au PCA et la réponse à incident

6 – Communication et surveillance
6.1 Établir un plan de communication
6.2 Mettre en place les indicateurs pour une surveillance optimal dans un modèle PDCA

7 – La méthode EBIOS 2010 et la phase contexte
7.1 Historique d’EBIOS (Expression des besoins et identification des objectifs de sécurité)
7.2 Alignement d’EBIOS 2010 et l’ISO 27005
7.3 Définir le cadre de la gestion des risques
7.4 Préparer les métriques
7.5 Identifier les biens
7.6 Éléments dimensionnants d’une étude
7.7 Exemples et application

8 – Les évènements redoutés
8.1 Apprécier les évènements redoutés

9 – Les scénarios de menaces
9.1 Mécanique de sélection des menaces
9.2 Les différents scénarios de menaces

10 – Étude des risques

10.1 Apprécier les risques
10.2 Choix de traitement du risque

11 – Mesures de sécurité
11.1 Formaliser les mesures de sécurité à mettre en oeuvre
11.2 Mettre en oeuvre les mesures de sécurité

12 – Introduction à la méthode EBIOS Risk Manager
12.1 Les fondamentaux de la gestion des risques
12.2 Présentation d’EBIOS
12.3 Zoom sur la Cybersécurité (menaces prioritaires)
12.4 Principales définitions EBIOS RM
12.5 Concept phare et atelier de la méthode EBIOS RM
12.6 Récapitulatif

13 – Atelier 1 “Cadrage et socle de sécurité”
13.1 Présentation de l’atelier
13.2 Définition du cadre de l’étude et du projet
13.3 Identification du périmètre métier et technique
13.4 Identification des évènements redoutés et évaluation de leurs niveaux de gravité
13.5 Déterminer le socle de sécurité
13.6 Récapitulatif de l’atelier

14 – Atelier 2 “Sources de risques”
4.1 Présentation de l’atelier
4.2 Identifier les sources de risques (SR) et leurs Objectifs visés (OV)
4.3 Évaluer la pertinence des couples
4.4 Évaluer les couples SR/OV et sélectionner ceux jugés prioritaire pour l’analyse
4.5 Évaluer la gravité des scénarios stratégiques
4.6 Récapitulatif de l’atelier

15 – Atelier 3 “Scénarios stratégiques”
15.1 Présentation de l’atelier
15.2 Évaluer le niveau de menace associé aux parties prenantes
15.3 Construction d’une cartographie de menace numérique de l’écosystème et les parties prenantes critiques
15.4 Élaboration des scénarios stratégiques
15.5 Définition des mesures de sécurité sur l’écosystème
15.6 Récapitulatif de l’atelier

16 – Atelier 4 “Scénarios opérationnels”
16.1 Présentation de l’atelier
16.2 Élaboration des scénarios opérationnels
16.3 Évaluation des vraisemblances
16.4 Pour aller plus loin (Threat modeling, ATT&CK, CAPEC)
16.5 Récapitulatif de l’atelier

17 – Atelier 5 “Traitement du risque”
17.1 Présentation de l’atelier
17.2 Réalisation d’une synthèse des scénarios de risque
17.3 Définition de la stratégie de traitement
17.4 Définir les mesures de sécurité dans un plan d’amélioration continue de la sécurité (PACS)
17.5 Évaluation et documentation des risques résiduels
17.6 Mise en place du cadre de suivi des risques
17.7 Conclusion

Informations

5 étapes pour le badge compétences

Marche ESD

Déroulement de l'examen

L'examen
  • Une étude de cas pour établir le contexte de l'analyse
  • Un rapport d'analyse vierge à remplir

Les connaissances attendues pour l'examen

Concepts fondamentaux de la gestion des risques

Savoir établir le contexte d’une organisation

Maitrise des scénarios de risques et de menaces

Savoir évaluer des risques

Maitriser la phase de traitement des risques dans un contexte donné

Comprendre les phases de communication et surveillance des risques

FAQ

Un badge ESD a pour objectif de certifier une compétence comme par exemple la maitrise d’une méthode, d’une technique ou bien une expertise bien précise.La certification ESD permet de mettre en avant la multitude de compétence que demande un métier. Par exemple, la certification ESD-PENTESTER de à ce que le candidat à la certification puisse prouver ses compétences sur les techniques e ‘hacking mais également sur la rédaction d’un rapport.

Nous attachons de l’importance à la qualité de nos processus. Pour ce faire, nous utilisons comme référentiel la norme ISO/IEC 17024: 2012 dont l’objectif est d’assurer la qualité des organismes certificateurs dans leur système de management.

Il est difficile pour nous de juger votre niveau pour passer la certification. Pour autant, votre expérience professionnelle et le kit d’entraînement permettent de jauger votre capacité à passer l’examen.

De délai de réponse à l’obtention d’un examen ou non est de 30 jours.

Après les 3 ans, l’ESD vous proposera un repassage d’examen afin de garder votre certification. Le prix du repassage est de 299 Euros.

L’ESD vous propose un repassage d’examen dans les 6 mois qui suivent le premier passage. Le coût d’un repassage est de 199 Euros pour un badge et 249 Euros pour une certification.

L’ESD permet à tout employeur, personnes de vérifier l’obtention d’une certification ou d’un badge via notre mûr des lauréats (https://certifications.esdacademy.eu) ou par email (exam@esdacademy.eu).

Vous trouverez à la fin du kit d’entraînement un module de planification. Il vous suffira simplement de suivre les instructions pour planifier votre examen.

Vous n’avez pas la réponse à votre question, n’hésitez pas à consulter notre page FAQ ou bien nous contacter par email à contact[a]esdacademy.eu.

Vous voulez être manager du risque SSI & Cyber ?

Consulter nos formations gouvernances sur notre page formations.