Capgemini Institut 0144742410
24 rue du Gouverneur général Eboué 92136 Issy les Moulineaux
Management des Risques en Sécurité du SI Paris
Management des Risques en Sécurité du SI Paris
DURéE
2 jours
DATES
8-9 juin 2017
23-24 novembre 2017
LIEU
Paris
PRIX
1 910 € ht (2 292 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    Management des Risques
    en Sécurité du SI

    >  Analyse, prévention et traitement de la cybercriminalité




    Cyber menaces, pertes et préjudices financiers, défaillance de services métier cruciaux, perte de confiance des clients et autres atteintes à l’image de marque, etc. : les risques en matière de sécurité de l’information représentent une menace considérable pour les entreprises.

    Le management des risques est l’un des éléments-clés de la prévention des fraudes, violation d’intégrité des processus métiers, usurpation d’identité, vols ou pertes de données sensibles et autres incidents concernant la sécurité de l’information.

    Face à la cybermenace, il constitue la bonne réponse d’anticipation et de prévention des attaques de type DDoS, Phishing, Malware, APT…

    Destiné aux RSSI, architectes de sécurité, DSI ou responsables informatiques, consultants, chefs de projet (MOE, MOA) devant répondre à des exigences de sécurité, ce séminaire s’appuie sur les principes méthodologiques de la norme ISO/CEI 27005 et présente les meilleures pratiques du secteur.

    Illustré de nombreux faits réels de cybercriminalité, il permet aux participants d’acquérir les réflexes de veille technologique active et d’anticipation des risques cyber. Il intègre l’analyse de risques dans la réalisation d’objectifs réglementaires type PCI-DSS, ISO 27001 et OIV-LPM. Il apporte une réponse simple à l’élaboration d’une démarche d’appréciation des risques, simple et pragmatique.

    LE MOT DE L’INTERVENANT

    « Avec ce séminaire, je m’engage à ce que vous puissiez relever et réussir votre challenge sur le ma-nagement des risques cyber. Nous atteindrons ensemble, avec pragmatisme et de nombreux exemples tirés de l’actualité les objectifs clés suivants : identifier, évaluer puis traiter ses risques en Sécurité du Système d’Information et en cyber sécurité.

    Ce séminaire est fait pour vous, si face à ce défi intellectuel, vous devez comprendre, choisir puis utili-ser une méthodologie d’appréciation des risques adaptée à votre contexte. »

    Pascal Gouache



    Quels risques pour quels objectifs ?


    Le risque SSI

    • Synthèse des dernières enquêtes sur la situation de la gestion du risque informatique.
    • Les nouvelles menaces, les vulnérabilités prédominantes.
    • Les cybermenaces, analyse et portraits robots d’attaques par spear phihing, ransomware, Advanced Persistant Threat, DoS…
    • Rappel des pré-requis réglementaires et normatifs (SOX, ISO 27001, PCI-DSS, etc.) en matière de gestion des risques.
    • Identification et classification des risques : risques opérationnels, physiques/logiques.

    À la recherche d’une méthodologie universelle

    • Introduction à la norme ISO 31000 - Management du risque. Principes et lignes directrices.
    • Techniques d’évaluation des risques via la norme ISO/CEI 31010.
    • L’estimation des conséquences d’un risque SSI (financier, juridique, humain, métier, etc.).
    • Alignement des processus ISO 27005 avec l’ISO 31000
    • Comment tendre vers une méthodologie commune à tous les types de risques ?
    • Quel lien établir entre la SSI, le management, la direction des risques ?
    • Le traitement type du risque (prévention, protection, évitement, partage).
    • Le lien ISO 27005 avec les normes ISO 27002 et 27001.

    Une Task Force « risque » opérationnelle

    • Le rôle des métiers et des propriétaires d’actifs ; l’implication nécessaire de la DSI.
    • L’assurabilité d’un risque, les principaux risques partageables ou assurables.
    • Le ROI du partage, calcul financier du transfert à l’assurance, les prérequis.
    • Les rôles complémentaires du RSSI et du Risk Manager.

    Le cadre méthodologique ISO 27005:2016


    Intérêts et limites de l’approche normative

    • Aide à mieux gérer les risques dans le domaine de la sécurité de l’information.
    • Adaptabilité à toutes les organisations de tous types.
    • Description d’un processus de management des risques en matière de sécurité de l’information compatible avec une gestion globale des risques de l’entreprise.
    • l’ISO 27005 comme support « idéal » à la construction d’un SMSI ISO 27001 :2013.
    • Le management des risques SSI en appui des objectifs de gouvernance IT.
    • De l’intérêt d’un cadre méthodologique « ISO Compliant ».

    L’essentiel de la norme

    • Les sections « centrales » (appréciation et traitement) de la gestion des risques (sections 7 et 8).
    • Les bases de connaissances en annexe (annexes B à E). Comment bien les utiliser ?
    • Le référentiel de bonnes pratiques ISO 27002 :2013 ; rappel des domaines de sécurité pour la réduction des risques.
    • La valeur ajoutée réelle de la norme par rapport aux méthodes publiées ou propriétaires.
    • Objectifs et domaine d’application ; l’implication nécessaire des métiers : libre choix ou contraintes réglementaires ?
    • L’identification des besoins de sécurité disponibilité, intégrité et confidentialité avec les propriétaires d’actifs.
    • Identification des contraintes internes et externes ; les parties prenantes et intéressées.
    • Identification des réglementations métier, le contexte juridique, les clauses contractuelles.
    • La mise en œuvre d’un processus PDCA de management des risques.

    Les phases clés du management du risque

    • Les étapes clés de l’analyse de risques (contexte, appréciation, traitement, acceptation, surveillance et revue).
    • Bien encadrer les parties prenantes : responsables métier, expert IT, chef de projet informatique, expert SSI.
    • Comment identifier les actifs primordiaux, liens avec les actifs en support.
    • Partir du risque « brut » intrinsèque pour atteindre le risque résiduel acceptable.
    • La préparation de la déclaration d’applicabilité (SoA) – L’élaboration du plan de traitement des risques à partir de la norme ISO 27002 :2013.
    • Les bases de menaces/vulnérabilités/risques nécessaires et suffisantes.
    • Les techniques d’évaluation : calcul de vraisemblance menace/conséquence incident et facilité d’exploitation vulnérabilité.
    • Choisir sa formule d’estimation de valeur de risques (calcul mathématique ou calcul matriciel bi ou tridimensionnel).
    • Identifier le type de traitement des risques optimal : entre réduction et partage.
    • Les cas exceptionnels de type évitement ou refus : exemples.
    • Comment choisir une mesure de sécurité dans un référentiel ? Le rôle de l’expert SSI.

    La construction d’un processus dans le temps

    • Une approche itérative de l’élaboration du plan de traitement à la surveillance des risques.
    • La communication vers les parties prenantes et la sensibilisation des managers.
    • La revue/réexamen ; comment surveiller efficacement ses risques ?
    • La gestion des incidents, l’évaluation des conséquences et le reporting indispensable.
    • La réappréciation des risques (les entrées/sorties du processus).
    • Comment s’enrichir des événements du passé pour mieux réduire les risques du futur ?
    • Intégrer son management des risques dans un processus PDCA type SMSI.

    Les méthodes d’analyse de risques : mise en pratique et exemples


    La méthode EBIOS

    • La structure méthodologique : les cinq processus fédérant neuf activités.
    • Étude du contexte, identification des biens supports et essentiels.
    • Étude des scénarios de menaces et des événements redoutés – Étude des risques.
    • Choix des mesures de sécurité, les référentiels disponibles.
    • Comment choisir entre le référentiel ISO 27002 et le référentiel RGS (Référentiel Général de Sécurité) élaboré et préconisé par l’ANSSI ?
    • Le package (bases de connaissances, logiciel Logica EBIOS/Adobe AIR, cases study prêts à l’emploi).
    • Exemples pratiques et études de cas (Cloud Computing, accès distant, Archimed, etc.).
    • Le complément FEROS (Fiche d’Expression Rationnelle des Objectifs de Sécurité) ; le cas particulier des informations classifiées de défense.
    • Dans quels cas FEROS est obligatoire, simplement recommandé ou déconseillé ?
    • Utilisation spécifique de la méthode EBIOS pour rédiger une FEROS.

    Les méthodes MEHARI

    • Comprendre le principe de la démarche ; savoir analyser efficacement les documentations.
    • L’analyse des enjeux majeurs et des vulnérabilités et des risques majeurs.
    • La base de connaissances et le référentiel des services de sécurité.
    • Comment compléter une analyse existante (en étendant le domaine d’application) ?
    • Vers une démarche à géométrie variable : allégée pour les petits périmètres ?
    • Élaboration d’un plan d’action basé sur les services de sécurité.
    • Apports respectifs de MEHARI EXPERT, PRO/PME et Manager.
    • Alignement MEHARI, ISO 27005 et référentiel ISO 27002.
    • Les logiciels téléchargeables (MEHARI Manager, feuilles Excel, bases de connaissances)..

    Choisir ou construire sa méthode ?


    • Comment choisir la meilleure méthode sur la base d’exemples et études de cas pratiques ?
    • À la recherche d’une méthode à géométrie variable adaptable à tous les projets de sécurité et tout type de domaine d’application.
    • Élaborer ses propres bases de connaissances (menaces, vulnérabilités, risques, actifs, échelles DIC, vraisemblance/conséquences, etc.).
    • La construction d’une démarche pragmatique : un « best of » de plusieurs méthodes publiées ?
    • Les principaux pièges dans l’élaboration (et comment les éviter).
    • Être ou ne pas être « ISO spirit » : bien identifier les contraintes du modèle PDCA ?
    • Concevoir une méthodologie dans le temps avec un processus de révision efficace et pragmatique.