Formation
Gestion des risques
avec ISO 27005 & EBIOS

Maitriser la gestion des risques SI

Le programme de cette formation est axé essentiellement sur la norme ISO 27005 pour les appréhender les base de la gestion des risques. 

Ultérieurement les méthodes EBIOS 2010 et EBIOS Risk Manager sont étudiées en détails pour une mise en pratique à la suite de la formation.

Public : consultant en sécurité de l’information, risk manager.

Prérequis : connaissances générales en sécurité des systèmes d’information.

Programme de la formation

Jour 1 matin

  • Section 1 – fondamentaux de la gestion des risques

    • le système d’information et la gestion des risques

    • fondamentaux de la gestion des risques (probabilité, impact, calcul, vision des risques)

    • la gouvernance, risque, ISO 27005

    • exercice 1 : avantages de la gestion des risques

    • développer une programme de  gestion des risques

    • les bonnes pratiques pour commencer

    • exercice 2 : ressources nécessaires

Jour 1 après-midi

  • Section 2 – la phase de contexte par ISO 27005

    • présentation de l’ISO 27005 (comités, normes)

    • terminologie ISO 27005

    • PDCA

    • contexte interne/externe

    • objectifs, valeurs, missions, stratégie

    • établir un SWOT

    • comprendre l’environnement interne

    • identification des exigences

    • Identifier les objectifs

    • Critères de bases, d’acceptation, d’évaluation, d’impact et de probabilité de la gestion des risques

    • exercice 3 : sur une étude de cas, établir le contexte

Jour 2 matin

  • Section 3 – phase d’identification des risques

    • description de la phase d’appréciation des risques avec l’identification, l’estimation et l’évaluation)

    • collecter des informations

    • types d’actifs 

    • exercice 4 : sur une étude de cas, identifier les actifs

    • identifier les actifs, menaces, vulnérabilités, impacts

    • identifier les vulnérabilités et impact

    • valeur et liens entre les actifs 

    • les bases de connaissance pour une gestion des risques

    • exercice 5 : sur une étude de cas, identifier les menaces

  • Section 4 – phase d’estimation et d’évaluation des risques

    • approche qualitative vs quantitative

    • les différentes méthodes de calcul des risques 

    • calcul du risques   

    • exercice 6 : sur une étude de cas, faire une analyse de risque quantitative

Jour 2 après-midi

  • Section 5 -phase de traitement et d’acceptation des risques

    • établir un plan de traitement des risques 

    • exercice 7 : sur une étude de cas, établir un plan de traitement des risques


  • évaluer le risque résiduel

  • acceptation du plan de traitement

  • envoyer les risques résiduels au PCA et la réponse à incident

  • Section 6  -communication et surveillance 

    • établir un plan de communication

    • mettre en place les indicateurs pour une surveillance optimal dans un modèle PDCA

Jour 3  matin

  • Section 7  -la méthode EBIOS 2010 et la phase contexte

    • historique d’EBIOS (Expression des besoins et identification des objectifs de sécurité)

    • alignement d’EBIOS 2010 et l’ISO 27005

    • définir le cadre de la gestion des risques

    • préparer les métriques

    • Identifier les biens

    • éléments dimensionnants d’une étude

    • exemples et application

  • Section 8  -les évènements redoutés 

    • apprécier les évènements redoutés

  • Section 9  -les scénarios de menaces

    • mécanique de sélection des menaces

    • les différents scénarios de menaces

  • Section 10  -étude des risques

    • apprécier les risques

    • choix de traitement du risque

  • Section 11  -mesures de sécurité

    • formaliser les mesures de sécurité à mettre en oeuvre

    • mettre en oeuvre les mesures de sécurité

Jour 3  après-midi

  • TP  -mise en place d’une étude de cas 

Jour 4  matin

  • Section 12  -introduction à la méthode EBIOS Risk Manager

    • les fondamentaux de la gestion des risques

    • présentation d’EBIOS 

    • zoom sur la Cybersécurité (menaces prioritaires)

    • principales définitions EBIOS RM

    • exercice 1 : Compréhension de la terminologie

    • Concept phare et atelier de la méthode EBIOS RM

    • Récapitulatif 

  • Section 13  -atelier 1 “Cadrage et socle de sécurité”

    • présentation de l’atelier

    • définition du cadre de l’étude et du projet

    • identification du périmètre métier et technique

    • identification des évènements redoutés et évaluation de leurs niveaux de gravité

    • déterminer le socle de sécurité

    • exercice 2 : Identifier les évènements redoutés

    • récapitulatif de l’atelier

Jour 4  après-midi

  • Section 14  -atelier 2 “Sources de risques”

    • présentation de l’atelier

    • identifier les sources de risques (SR) et leurs Objectifs visés (OV) 

    • évaluer la pertinence des couples

    • évaluer les couples SR/OV et sélectionner ceux jugés prioritaire pour l’analyse

    • évaluer la gravité des scénarios stratégiques

    • exercice 3 : évaluer les couples SR/OV

    • récapitulatif de l’atelier

Jour 5 matin

  • Section 15  -atelier 3 “Scénarios stratégiques”

    • présentation de l’atelier

    • évaluer le niveau de menace associé aux parties prenantes 

    • construction d’une cartographie de menace numérique de l’écosystème et les parties prenantes critiques

exercice 4 : évaluer le niveau de menace associé au parties prenantes

  • élaboration des scénarios stratégiques

  • exercice 5 : élaboration de scénarios stratégiques

  • définition des mesures de sécurité sur l’écosystème

  • récapitulatif de l’atelier

Jour 5 après-midi

  • Section 16  -atelier 4 “Scénarios opérationnels”

    • présentation de l’atelier

    • élaboration des scénarios opérationnels

    • évaluation des vraisemblances

    • pour aller plus loin (Threat modeling, ATT&CK, CAPEC)

    • exercice 6 : scénario opérationnel

    • récapitulatif de l’atelier

  • Section 17  -atelier 5 “Traitement du risque”

    • présentation de l’atelier

    • réalisation d’une synthèse des scénarios de risque

    • définition de la stratégie de traitement

    • définir les mesures de sécurité dans un plan d’amélioration continue de la sécurité (PACS)

    • évaluation et documentation des risques résiduels

    • mise en place du cadre de suivi des risques

    • exercice 7 :  PACS (Plan d’amélioration continue de la sécurité)

    • conclusion

La formation comprend

Support .pdf
Cahier d'exercice
Étude de cas

Formateurs officiels ESD

Liste des formateurs certifiés par l’ESD pour cette formation.

Photo Jérôme THÉMÉE
Jérôme THÉMÉE
Photo Alexandre JAWOR
Alexandre JAWOR
Photo Claudie Getto-Courtois
Claudie Getto-Courtois

Tester vos compétences

en management du risque avec notre badge.