Cette formation a pour but de présenter l'ensemble des actions et des solutions permettant de garantir la sécurité des SI : de l'analyse des risques, à la mise en œuvre de solutions de sécurité. Elle développe aussi les thèmes assurances et juridiques liés à l'application d'une 
politique de sécurité

Introduction 

• La notion de risque (potentialité, impact, gravité). 
• Les types de risques (accident, erreur, malveillance). 
• La classification DIC. 
• La gestion du risque (prévention, protection, report de risque, externalisation).

RSSI : chef d'orchestre de la sécurité

• Rôle du RSSI. 
• Vers une organisation de la sécurité, le rôle des " Assets Owners " 
• Gestion optimale des moyens et des ressources allouées. 
• Le Risk Manager dans l'entreprise ; son rôle par rapport au RSSI.

Les cadres normatifs et réglementaires 

• Les réglementations SOX, COSO, COBIT. 
• Vers la gouvernance informatique, les liens avec ITIL et CMMI. 
• La norme ISO dans une démarche Systèmes de management. 
• Les liens avec ISO 15408 (Critères communs, ITSEC, TCSEC). 
• La certification ISO 27001.

L'analyse de risque

• Identification et classification des risques. 
• Risques opérationnels, physiques/logiques. 
• Constitution de sa propre base de connaissances menaces/vulnérabilités. 
• Les méthodes en activité : EBIOS/FEROS, MEHARI. 
• La démarche d'analyse de risques dans le cadre 27001, l'approche PDCA. 
• La méthode universelle ISO 27005 et les évolutions des méthodes françaises. 
• De l'appréciation au plan de traitement des risques.

Les audits de sécurité et le plan de sensibilisation

• Processus continu et complet. 
• Les catégories d'audits, de l'audit organisationnel au test d'intrusion. 
• Les bonnes pratiques de la norme 19011 appliquées à la sécurité 
• Création de son programme d'audit interne et qualification de ses auditeurs. 
• Apports comparés, démarche récursive, les implications humaines. 
• Sensibilisation à la sécurité. 
• Définition Morale/Déontologie/Ethique. 
• La charte de sécurité, son existence légale, son contenu, sa validation.

Le coût de la sécurité et les plans de secours 

• Les budgets sécurité. 
• La définition du Return On Security Investment (ROSI). 
• Les techniques d'évaluation des coûts/ différences de calcul/au TCO. 
• La notion anglo-saxonne du " payback period ". 
• La couverture des risques et stratégie de continuité. 
• Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO... 
• Développement d’un plan de continuité et son insertion dans une démarche qualité.

Concevoir des solutions optimales

• Démarche de sélection des solutions de sécurisation adaptées pour chaque action. 
• Définition d'une architecture cible. 
• La norme ISO 1540 comme critère de choix. 
• Choisir entre IDS et IPS, le contrôle de contenu comme nécessité. 
• Comment déployer un projet PKI, les pièges à éviter. 
• Les techniques d'authentification, vers des projets SSO, fédération d'identité. 
• La démarche sécurité dans les projets informatiques, le cycle PDCA idéal.

Supervision de la sécurité

• Gestion des risques (constats, certitudes...). 
• Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA. 
• Externalisation : intérêts et limites.

Les atteintes juridiques au STAD

• Définition du Système de Traitement Automatique des Données (STAD). 
• Type d'atteintes, contexte européen, la loi LCEN. 
• Risques juridiques pour l'entreprise, ses dirigeants, le RSSI.

Recommandations pour une sécurisation " légale " du SI

• La protection des données à caractère personnel, sanctions prévues en cas de nonrespect. 
• De l'usage de la biométrie en France. 
• La cyber surveillance des salariés : limites et contraintes légales. 
• Le droit des salariés et les sanctions encourues par l'employeur.
   

À qui s’adresse cette formation ?

Responsables des SI, Chef de projet en Sécurité.
 

Quels sont les prérequis ? 

Aucune connaissance particulière. 
 

Méthodes pédagogiques 

• Apports théoriques suivis d’applications 
• Travaux pratiques réalisés 
   

Méthodes d'évaluations

• QCM d'évaluation des acquis

• À l’issue de cette formation, un certificat ESIEE-IT vous sera délivré.

Pour vous inscrire, envoyez un mail à formationcontinue@esiee-it.fr  (réponses sous 48heures).