Capgemini Institut 0144742410
24 rue du Gouverneur général Eboué 92136 Issy les Moulineaux
Sécurité des Systèmes d’Information en 2017 Paris
Sécurité des Systèmes d’Information en 2017 Paris
Sécurité des Systèmes d’Information en 2017 Paris
Sécurité des Systèmes d’Information en 2017 Paris
DURéE
3 jours
DATES
27-29 mars 2017
12-14 juin 2017
2-4 octobre 2017
20-22 novembre 2017
LIEU
Paris
PRIX
2 615 € ht (3 138 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    Sécurité des Systèmes d’Information
    en 2017

    >  Méthodes, outils et pilotage de la sécurité




    Ce séminaire de référence examine l’ensemble des méthodes, des techniques et des outils de mise en œuvre pratique en matière de sécurité des Systèmes d’information.

    • La maîtrise des risques liés aux systèmes d’information : analyse des risques et audit de vulnérabilité, le plan de sécurité.
    • La politique sécurité (PSSI), le panorama des techniques et bonnes pratiques de sécurité. Cloud, BYOD, mobilité, etc : quels nouveaux risques, quelles parades ?
    • L’organisation des fonctions sécurité et les principaux outils de management de la sécurité, le marketing de la sécurité dans l’entreprise. Les normes ISO 2700x.
    • La continuité d’activité, les PRA, les outils de gestion de crise, les plans d’action.
    • Les normes et les outils de politique sécurité, la législation, les aspects contractuels, juridiques et l’assurance des risques informatiques.

    Basé sur de nombreux exemples et cas réels reflétant les situations les plus diverses – tailles, types d’organisations, domaines d’activité et profils utilisateurs – et illustré par de nombreux exercices en séance, ce séminaire, très pragmatique et directement opérationnel, dresse un état de l’art complet du management de la sécurité informatique dans les entreprises.



    Comment construire un plan sécurité


    Phénoménologie du sinistre informatique

    • Le risque informatique, caractéristiques, typologie, types de conséquences possibles ; les chiffres clés actuels.
    • Les nouvelles formes des risques informatiques, les nouvelles pratiques de guerre économique, la sécurité informatique, les risques sur l’Internet. La classification des risques, des causes (AEM) et des conséquences (CAID, IPG). Sinistres majeurs en entreprise : les conséquences d’accidents naturels ou cas de force majeure, d’erreurs de programmation, d’exploitation, d’organisation, de malveillance interne et externe, etc. Quelles leçons tirer de quelques cas récents.
    • Construire une réponse, établir les priorités : comment convaincre et lancer une analyse des risques.

    L’analyse de risque

    • Panorama des méthodes (Méhari, EBIOS, ISO 27005, etc.) : comment les mettre en œuvre de manière simple et réaliste ; points forts et limites ; retours d’expérience. Déroulé d’une analyse de risque réaliste par l’exemple.
    • Analyse des vulnérabilités : techniques d’audit, représentations graphiques ; analyse des menaces. Techniques d’analyse des scénarios, évaluation de l’impact : Exercice : identification de risques majeurs.
    • Le plan d’action : comment concevoir un plan d’action réaliste, comment le suivre et mettre en place une logique de veille et d’amélioration. L’analyse de risque en pratique : les attentes de la DG, la position de la DSI, le rôle du RSSI et des consultants. Comment tirer profit de la dynamique de l’analyse de risque. L’analyse de risque dans le cas des grands groupes, l’induction du risque, la consolidation multiniveau. Comment rester pragmatique et mener simplement une étude sur plusieurs sites en même temps.

    Le management de la sécurité dans l’entreprise


    Définition des structures et des missions

    • Le RSSI dans l’entreprise : missions, profils, rattachement. Les clés pour la survie du RSSI dans un contexte tendu. Comment porter la sécurité « juste nécessaire ». Comment faire progresser la fonction. Savoir convaincre une DG : les facteurs clés.
    • La fonction sécurité : sa taille, sa distribution. Les outils nécessaires pour bien assurer les missions. La sécurité et la transformation numérique de l’entreprise.
    • Établir un budget de fonctionnement d’une équipe sécurité. L’engagement de moyens et l’obligation de résultat. Les points clés de l’excellence de la fonction sécurité. Les tableaux de bord de la sécurité : comment construire des indicateurs efficaces. Quel contrôle mettre en place. Le suivi périodique de la sécurité. Comment rebondir sur les incidents. Que faire en cas de malveillance grave interne ?

    La communication et la formation

    • Le marketing de la fonction sécurité : comment en parler, comment vendre la sécurité, comment la faire vendre. La construction des messages sécurité dans l’entreprise. L’utilisation des supports internes. Assurer la sécurité et ne jamais être celui qui dit « non » L’élaboration d’un plan de formation pour les utilisateurs et les informaticiens. La formation des nouveaux entrants, des personnels temporaires et des stagiaires.

    Les bonnes pratiques, la qualité et la politique sécurité


    Les normes de référence et la pratique

    • PCI DSS, ISO 2700x : bien comprendre l’objectif des normes et leur intérêt pour l’entreprise. Evolutions normatives prochaines. Le futur « security officer ».
    • Comment en tirer parti sans alourdir le coût de la sécurité. Les normes et la réalité du terrain.
    • Comment construire et rédiger un ensemble de procédures cohérentes et efficaces.

    L’élaboration d’une politique de sécurité

    • Définition, objectifs, contraintes ; comment rédiger une politique de sécurité lisible et efficace. Arbitrage des contenus : méthode de travail, comment faire vivre la sécurité, susciter l’adhésion.
    • Détermination du contenu de la politique sécurité : Exemple complet de politique sécurité.

    La sécurité au quotidien

    • Animation, sécurité dans les projets, comment mettre en place une dynamique positive dans un contexte de crise. Comment s’appuyer sur un réseau de correspondants pour exister.
    • Comment évaluer la qualité et la sécurité. Comment se servir de l’évaluation comme un outil de déploiement et de renforcement de la sécurité : retours d’expérience. Comment fortifier la position du RSSI dans l’entreprise, dans l’espace et dans le temps. Cas concrets d’une politique réussie.

    Panorama de la sécurité


    La sécurité physique

    • Maîtrise de l’environnement des bâtiments et des infrastructures, la sécurité des installations. La vulnérabilité de la GTB-IP. Quelles mesures de protection des systèmes IP mettre en place. Les immeubles IGH et les risques IT sur les infrastructures d’immeuble.
    • Le contrôle d’accès physique, la sécurité incendie et dégâts des eaux, la gestion des alarmes, la protection des salles informatiques et des locaux techniques.
    • Le risque « pelleteuse » : que faire en cas de coupure brutale des réseaux (IT, énergie, gaz), comment réduire le risque, quelle prévention mettre en place.

    La sécurité de la production et du Cloud

    • Exploitation informatique et sécurité. Panorama des pratiques et des solutions : redondance, virtualisation multisite. Retours d’expérience de crises informatiques. Procédures sécurité, comment gérer les prestations de services et les télé-interventions.
    • Mouvements de données : sauvegardes, archivage, miroirs, clusters. Comment faire face aux besoins de sécurité et à l’augmentation des volumes. Comment maîtriser l’inflation permanente des besoins des utilisateurs. Les très gros transferts longue distance : panorama des solutions (physique et télécom).
    • Le Cloud : état de l’art des solutions sécurité. Le Big Data, enjeux sécurité et volumétrie.

    Les attaques, la protection des applications et des données

    • Panorama de la cybercriminalité. Le top 10 OWASP. Les attaques réseaux, Internet, infrastructure, attaques sur les sites et la messagerie (spam, phishing, etc.), les virus et les tendances des attaques réseaux et mobiles.
    • Les principales techniques de protection (sans fil, firewalls, adressage, DMZ, serveurs proxy, solutions antivirus, etc.). Les techniques d’authentification, les mots de passe statiques et dynamiques, les accès sécurisés, les hard token, la biométrie. L’objectif SSO. Les apps d’authentification forte triangulaire.
    • Vulnérabilité et risques des mobiles : BlackBerry, iOS, Android, Windows phone : comment les mettre en œuvre. MDM : mise en œuvre et fonctionnalités. Le BYOD : se faire une religion sous la pression des utilisateurs ; les points non négociables. Les VIP : gérer les compromis avec les dirigeants ; tour d’horizon des bonnes et mauvaises pratiques, etc.
    • Les comportements : le risque e réputation, les réseaux sociaux, l’ingénierie sociale : comment fixer des limites. Positiver la sécurité en confiance. Trop de mots de passe dans la tête ? Que recommander et que faire en pratique…

    Les télécoms, la sécurité sans fil, les accès aux données

    • Accès distants, SSL, VPN, éléments de synthèse et de compréhension : les limites des solutions purement techniques.
    • La mobilité : Bluetooth, WiFi, 4G, etc. Enjeux et risques de la communication sans fil. Bornes WiFi sauvages : les risques pour l’entreprise. Les femto-box : nouveaux risques et nouvelles solutions. Le BYOD. IOT, quelles nouvelles menaces ?
    • Les accès Web : chiffrement SSL et certificats. Les accès Web à la messagerie : La question de la confiance sur le Web.
    • Internet et le Cloud : Les applications hébergées et SaaS : quelle sécurité pour quel résultat ? La pratique des tests d’intrusion sur le Cloud.
    • Confidentialité : le plan « My Data ». Les SOC et solutions administrées.

    La continuité et les situations d’urgence


    La continuité informatique, le PRA

    • La problématique de la continuité informatique. Le plan de reprise d’activité (PRA) : comment construire une stratégie réaliste. La continuité des ressources. La logique des clients et des fournisseurs.
    • Comment élaborer un bon plan de secours informatique. Les limites de l’exercice, les erreurs « classiques ». Comment aborder la question du fonctionnement global de l’entreprise.

    L’entreprise et les situations d’urgence informatique

    • Les principales situations d’urgence globale, retours d’expérience. Attaque informatique : que faire ?
    • La gestion de l’imprévu, les méthodes de prise en charge des situations d’urgence informatique.
    • Comment organiser la gestion de crise : les rôles, le déclenchement, la communication. Comment organiser un bon PC de crise. La salle de crise informatique, son fonctionnement, son équipement. Quels bénéfices en attendre.

    Les aspects normatifs et la réglementation


    Les aspects légaux et réglementaires

    • La problématique du droit appliqué aux systèmes d’information : les obligations de protection et les sanctions des défauts de sécurité à l’égard du patrimoine informationnel. Les points sensibles de droit en France, dans l’espace européen et international, en particulier au regard des règles d’application du règlement européen 2016 / 679 du 27 avril 2016 sur la protection des données personnelles applicable à partir du 25 mai 2018 et sur la législation liée à la délocalisation des datacenters. L’intervention de l’Etat (ANSSI, régime particulier des Opérateurs d’Importance Vitale OIV, Loi du 24 juillet 2015 relative au renseignement).
    • La protection des personnes, les obligations de sécurité des données et de notification des failles et incidents de sécurité, le droit des salariés et la « cybersurveillance ». Conseils pratiques pour trouver le bon équilibre entre vie privée et contrôle du travail vis-à-vis des salariés.
    • La protection des biens immatériels, des données et des systèmes, des informations confidentielles et des échanges. Actualité juridique : les prochaines évolutions

    Les sources de responsabilités pour un RSSI

    • L’identification des acteurs impliqués dans les différents ordres de responsabilité (DAF, DG, DSI, RSSI, services généraux, etc.).
    • L’identification des différents ordres de responsabilité en matière de transparence et de gestion des risques, de mise en œuvre de plan de secours, de contrôle interne en liaison avec l’audit financier, de mise en œuvre de politique de contrôle éthique des comportements et de cybersurveillance.
    • L’émergence d’un statut particulier du RSSI au regard des règles de responsabilités civiles, pénales, fiscales, de préservation du secret, et importance de la gestion des preuves et des délégations de pouvoirs. Cas pratique : la check list juridique du RSSI.

    Les aspects assuranciels et le financement des risques


    L’assurance

    • Les conditions d’assurabilité : la situation actuelle en matière de cyber risques, les tendances du marché et des acteurs, la montée des obligations d’assurance et d’indemnisation dans le domaine consumériste.
    • La contribution du RSSI à l’élaboration du programme d’assurance, lien avec la cartographie des risques, identification des scénarios à couvrir et des pertes à indemniser.

    Les services associés à l’assurance

    • L’analyse des risques et la liaison sécurité- assurance.
    • Les RETEX, retours d’expérience en matière de sinistre.
    • Le développement de services d’assistance en cas de sinistre : plate-forme d’appel client, communication de crise, notification de failles de sécurité atteignant les données personnelles et bancaires des clients, etc.

    Les garanties et les modes de financement

    • Les garanties d’assurance informatique matérielles et immatérielles disponibles sur le marché, l’émergence de l’assurance de l’information, la position de l’assurance vis-à-vis du cloud computing, du Big Data, du financement des risques des grands projets informatiques, le besoin de capacité financière pour répondre aux Mega Breach en cas d’atteintes aux données personnelles et aux données de cartes bancaires, l’assurance du ransomware, l’assurance en complément et substitution des obligations de fonds propres, etc.