La formation Synthèse sur la sécurité des systèmes d'information a pour but de présenter l'ensemble des actions et des solutions permettant de garantir la sécurité des SI : de l'analyse des risques, à la mise en œuvre de solutions de sécurité. Elle développe aussi les thèmes assurances et juridiques liés à l'application d'une politique de sécurité
Synthèse sur la sécurité des systèmes d'information (AB75)
Synthèse sur la sécurité des systèmes d'information
Cette formation a pour but de présenter l'ensemble des actions et des solutions permettant de garantir la sécurité des SI : de l'analyse des risques, à la mise en œuvre de solutions de sécurité. Elle développe aussi les thèmes assurances et juridiques liés à l'application d'une
politique de sécurité
Introduction
- La notion de risque (potentialité, impact, gravité).
- Les types de risques (accident, erreur, malveillance).
- La classification DIC.
- La gestion du risque (prévention, protection, report de risque, externalisation).
RSSI : chef d'orchestre de la sécurité
- Rôle du RSSI.
- Vers une organisation de la sécurité, le rôle des " Assets Owners "
- Gestion optimale des moyens et des ressources allouées.
- Le Risk Manager dans l'entreprise ; son rôle par rapport au RSSI.
Les cadres normatifs et réglementaires
- Les réglementations SOX, COSO, COBIT.
- Vers la gouvernance informatique, les liens avec ITIL et CMMI.
- La norme ISO dans une démarche Systèmes de management.
- Les liens avec ISO 15408 (Critères communs, ITSEC, TCSEC).
- La certification ISO 27001.
L'analyse de risque
- Identification et classification des risques.
- Risques opérationnels, physiques/logiques.
- Constitution de sa propre base de connaissances menaces/vulnérabilités.
- Les méthodes en activité : EBIOS/FEROS, MEHARI.
- La démarche d'analyse de risques dans le cadre 27001, l'approche PDCA.
- La méthode universelle ISO 27005 et les évolutions des méthodes françaises.
- De l'appréciation au plan de traitement des risques.
Les audits de sécurité et le plan de sensibilisation
- Processus continu et complet.
- Les catégories d'audits, de l'audit organisationnel au test d'intrusion.
- Les bonnes pratiques de la norme 19011 appliquées à la sécurité
- Création de son programme d'audit interne et qualification de ses auditeurs.
- Apports comparés, démarche récursive, les implications humaines.
- Sensibilisation à la sécurité.
- Définition Morale/Déontologie/Ethique.
- La charte de sécurité, son existence légale, son contenu, sa validation.
Le coût de la sécurité et les plans de secours
- Les budgets sécurité.
- La définition du Return On Security Investment (ROSI).
- Les techniques d'évaluation des coûts/ différences de calcul/au TCO.
- La notion anglo-saxonne du " payback period ".
- La couverture des risques et stratégie de continuité.
- Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO...
- Développement d’un plan de continuité et son insertion dans une démarche qualité.
Concevoir des solutions optimales
- Démarche de sélection des solutions de sécurisation adaptées pour chaque action.
- Définition d'une architecture cible.
- La norme ISO 1540 comme critère de choix.
- Choisir entre IDS et IPS, le contrôle de contenu comme nécessité.
- Comment déployer un projet PKI, les pièges à éviter.
- Les techniques d'authentification, vers des projets SSO, fédération d'identité.
- La démarche sécurité dans les projets informatiques, le cycle PDCA idéal.
Supervision de la sécurité
- Gestion des risques (constats, certitudes...).
- Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA.
- Externalisation : intérêts et limites.
Les atteintes juridiques au STAD
- Définition du Système de Traitement Automatique des Données (STAD).
- Type d'atteintes, contexte européen, la loi LCEN.
- Risques juridiques pour l'entreprise, ses dirigeants, le RSSI.
Recommandations pour une sécurisation " légale " du SI
- La protection des données à caractère personnel, sanctions prévues en cas de nonrespect.
- De l'usage de la biométrie en France.
- La cyber surveillance des salariés : limites et contraintes légales.
- Le droit des salariés et les sanctions encourues par l'employeur.
À qui s’adresse cette formation ?
Responsables des SI, Chef de projet en Sécurité.
Quels sont les prérequis ?
Aucune connaissance particulière.
Méthodes pédagogiques
- Apports théoriques suivis d’applications
- Travaux pratiques réalisés
Méthodes d'évaluations
- QCM d'évaluation des acquis
- À l’issue de cette formation, un certificat ESIEE-IT vous sera délivré.
Pour vous inscrire, envoyez un mail à formationcontinue@esiee-it.fr (réponses sous 48heures).
Informations complémentaires
Prochaines sessions :
- Nous consulter
- Horaires : 9h00 à 17h30
- Taux de réussite : nouvelle formation
- 100% à distance (D) ou en présentiel (P)
- Si vous êtes en situation de handicap, retrouvez toutes les informations utiles ICI