RSSI et Plan de Sécurité
des Systèmes d’Information

Méthodes, outils et pilotage de la Sécurité pour le RSSI.
  • 3 jours
  • Voir les dates
  • Paris et Lyon
  • 2 795 € ht (3 354 € ttc)
Sommaire

LE MOT DE L’INTERVENANT

Trois jours pour comprendre la position du RSSI, choisir la stratégie...

Trois jours pour comprendre la position du RSSI, choisir la stratégie gagnante, organiser la fonction, construire un plan d’action et disposer des leviers pour agir à bon niveau. Un séminaire hautement stratégique et tactique qui vous apporte les meilleures solutions dans un contexte de transformation numérique de l’entreprise et de contraintes réglementaires renforcées.

Vincent BALOUET
Vincent Balouet dispose de vingt-cinq années d’expérience en conseil et mobilisation autour des risques d’entreprise. Auteur de nombreuses publications, interlocuteur régulier des directions générales et des pouvoirs publics en France et à l’étranger, organisateur d’exercices à grande échelle, il est une référence en Sécurité des Systèmes d’Information, en Continuité d’Activité et en Gestion de Crise.
Lire la suite Cacher le texte

     NOUVEAU

Séminaire dual-media : présentiel et distanciel    Disponible en présentiel et distanciel

Prochaine session : 23-25 NOVEMBRE 2020

 

 

Ce séminaire de référence examine l’ensemble des méthodes, des techniques et des outils pour le RSSI pour construire la fonction et la stratégie opérationnelle de Sécurité des Systèmes d’Information.

  • La maîtrise des risques liés aux Systèmes d’Information : analyse des risques, le plan de Sécurité.
  • n La politique Sécurité (PSSI), les normes ISO 2700x, le RGPD et les obligations techniques et organisationnelles, le panorama des techniques et bonnes pratiques de Sécurité. Cloud, BYOD, Mobilité dans un contexte post Covid.

  • L’organisation des fonctions Sécurité et les principaux outils de management de la Sécurité, le marketing de la Sécurité dans l’entreprise. Le plan de reprise d’activité PRA, les outils de gestion de crise, les plans d’action.
  • Les normes et les outils de politique Sécurité, la législation, les aspects contractuels, juridiques et l’assurance des cyber-risques. L’obligation de Sécurité des données dans la conformité juridique RGPD.

Basé sur de nombreux exemples et cas réels et complété d'un retour de la crise Covid, ce séminaire, très pragmatique et directement opérationnel, dresse un état de l’art complet du management de la Sécurité informatique dans les entreprises.



Construire un plan Sécurité


Le risque informatique

  • Le risque informatique, caractéristiques, typologie, types de conséquences possibles ; les chiffres clés actuels.
  • Les nouvelles formes des risques informatiques, les nouvelles pratiques de guerre économique, la cybersécurité, les risques sur l’Internet. La classification des risques, des causes (AEM) et des conséquences (CAID, IPG). Sinistres majeurs en entreprise : crise Covid, événements naturels ou cas de force majeure, d’erreurs de programmation, d’exploitation, d’organisation, de malveillance interne et externe, etc. Quelles leçons tirer de quelques cas récents de cyberattaque. IA, Militarisation des attaques, que peut-il se passer ?

L’analyse de risque

  • L’analyse de risque en pratique : les attentes de la DG, la position de la DSI, le rôle du RSSI et du DPO. L’analyse de risque dans le cas des grands groupes, la DPIA dans le cadre du projet RGPD. Panorama des méthodes (EBIOS-RM, ISO 27005, etc.) : comment rester réaliste.
  • Analyse des vulnérabilités : audit et scénarios de risques. Identification de risques majeurs. Pratique du test de pénétration. Evaluer l'impact des risques IT en langage DG.
  • Le débouché sur le plan d’action : conception, planification et suivi. L'analyse des risques en mode Run.

Le management de la Sécurité dans l’entreprise


Définition des structures et des missions

  • Le RSSI dans l’entreprise : missions, profils, rattachement. Les clés pour la survie du RSSI. La relation avec le DPO. Comment porter la Sécurité «  juste nécessaire  ». Savoir convaincre une DG : les facteurs clés.
  • Établir un budget de fonctionnement d’une équipe Sécurité. Les tableaux de bord de la Sécurité. Que faire en cas de malveillance grave interne ?
  • Faut-il conserver ou externaliser la Sécurité : panorama de l’offre : solutions CERT/SOC, SecurityAsAService (SAAS). L’audit externe de la fonction Sécurité, la valorisation de la SSI dans le bilan de l’entreprise.

La communication et la formation

  • Le marketing de la fonction Sécurité : comment vendre et faire vendre la Sécurité. La construction des messages Sécurité dans l’entreprise. L’utilisation des supports internes. Assurer la Sécurité et ne jamais être celui qui dit «  non  ». La formation des nouveaux entrants.

Les bonnes pratiques du plan de Sécurité


L’élaboration d’une politique de Sécurité

  • Définition, objectifs, contraintes ; comment rédiger une politique de Sécurité lisible et efficace. Les chapitres spécifiques Cyber, Cloud, IOT et RGPD.
  • Détermination du contenu de la politique Sécurité : exemple complet de politique Sécurité.

La Sécurité physique

  • Maîtrise de l’environnement des bâtiments et des infrastructures, la sécurité des installations. La vulnérabilité de la GTB-IP Scada et AV-IP. Quelles mesures de protection des systèmes IP mettre en place. Les immeubles IGH et les risques IT sur les infrastructures d’immeuble. Surveiller l’évolution du climat.
  • Le contrôle d’accès physique, la sécurité incendie et dégâts des eaux, la gestion des alarmes, la protection des salles informatiques et des locaux techniques, IoT. Le risque «  pelleteuse  » et son plan de réponse.

La sécurité de la production et du Cloud

  • Exploitation informatique et Sécurité. Le PRA interne, externalisé, dans le Cloud. Procédures Sécurité, comment gérer les prestations de services.
  • Sécurité des données : sauvegardes, archivage, miroirs, clusters dans un contexte RGPD.
  • Le Cloud : état de l’art des solutions Sécurité.

Synthèse des attaques, la protection des applications et des données

  • Panorama de la cybercriminalité. Les attaques réseaux, Internet, infrastructure, attaques sur les sites et la messagerie (Spam, Phishing, etc). Les leçons des dernières attaques (WannaCry…).
  • Les principales techniques de protection. Authentification (deux et trois Facteurs, Hard Token, biométrie, reconnaissance faciale). L’objectif SSO. Chiffrement «  by defaut  » dans le cadre du RGPD,
  • Vulnérabilité et risques des mobiles : iOS, Android, les solutions MDM. Le BYOD et la chasse au Shadow IT : se faire une religion sous la pression des utilisateurs ; les points non négociables dans le contexte RGPD. Les VIP : gérer les compromis avec les dirigeants.
  • Les comportements : le risque e-réputation, les réseaux sociaux, l’ingénierie sociale, les déplacements, les gestionnaires de mot de passe. Que recommander et que faire en pratique…
  • La Sécurité dès les développements, anonymisation, pseudonymisation, Privacy By Design : les solutions pour le RGPD. Les plateformes de développement intégrées. La gestion de la conformité RGPD et le foisonnement des outils.

Les télécoms, la sécurité sans fil, les accès aux données

  • Accès distants, SSL, VPN, éléments de synthèse et de compréhension : les limites des solutions purement techniques. Best practices en mobilité et solutions VDI.
  • La mobilité : Bluetooth, Wi-Fi, 4G et 5G, etc. Enjeux et risques de la communication sans fil.
  • Les accès Web : chiffrement SSL et certificats. Les accès Web à la messagerie : la question de la confiance sur le Web. Internet et le Cloud. La pratique des tests d’intrusion sur le Cloud.

La continuité et les situations d’urgence


La continuité informatique, le PRA

  • Le plan de reprise d’activité (PRA) : comment construire une stratégie réaliste. La continuité des ressources. La logique des clients et des fournisseurs.
  • Comment élaborer un plan de secours informatique utile : la continuité et la cyberattaque, la perte d’un Data Center, la grève, la perte d'un site.
  • Retour sur la crise Covid et le rôle des RSSI. Les principales situations d’urgence globale, retours d’expérience. Attaque informatique : que faire ? Envisager de tout couper : la solution ultime ?
  • La gestion de l’imprévu, les méthodes de prise en charge des situations d’urgence informatique. Organisation de la gestion de crise : les rôles, le déclenchement, la communication. Comment organiser un bon PC de crise. La salle de crise informatique, son fonctionnement, son équipement. Quels bénéfices en attendre.

Les aspects normatifs et la réglementation


RGPD et aspects légaux et réglementaires

  • Les obligations de protection et les sanctions des défauts de Sécurité à l’égard du patrimoine informationnel. L’intervention de l’État (ANSSI, régime particulier des Opérateurs d’Importance Vitale, OIV), Directive NIS, fournisseurs de services numériques et Opérateurs de Services Essentiels. La CNIL, ses prérogatives et ses tendances.
  • RGPD : La protection du droit des personnes, les obligations de Sécurité des données et de notification des failles et incidents de Sécurité, le droit des salariés et la «  cybersurveillance  ». Conseils pratiques vie privée vs contrôle du travail. La coresponsabilité des acteurs (DPO, coresponsables de traitement, sous-traitant) et les sanctions administratives, pénales, les actions en responsabilité civile individuelle et de groupe.
  •  Que faire en cas d’urgence au plan juridique ? Violation de données : les bons réflexes. Ransomeware : payer ou ne pas payer ?

Les sources de responsabilités pour un RSSI

  • L’identification des acteurs impliqués dans les différents ordres de responsabilité (DAF, DG, DSI, RSSI, services généraux, etc.).
  • L’émergence d’un statut particulier du RSSI au regard des règles de responsabilités civiles, pénales, fiscales, de préservation du secret, et importance de la gestion des preuves et des délégations de pouvoirs.

Les aspects assuranciels et le financement des cyber-risques


L’assurance cyber

  • Les conditions d’assurabilité : la situation actuelle en matière de cyber-risques, les tendances du marché et des acteurs (les garanties spécifiques, en inclusion, les Silent Covers), la montée des obligations d’assurance et d’indemnisation dans le domaine consumériste (action de groupe).
  • La contribution du RSSI à l’élaboration du programme d’assurance, lien avec la cartographie des risques, identification des scénarios à couvrir et des pertes à indemniser.

Les services associés à l’assurance

  • L’analyse des risques et la liaison Sécurité – plan de continuité - assurance.
  • Les RETEX, retours d’expérience en matière de sinistre et les limites de l’indemnisation : qualification des évènements (erreurs, fraudes, malveillance), difficultés de quantification des pertes immatérielles (confiance, image de marque, réputation). L'assistance gestion de crise.
  • Le développement de services d’assistance en cas de sinistre : plateforme d’appel client, communication de crise, notification de failles de sécurité atteignant les données personnelles et bancaires des clients, etc.
  • Les garanties et modes de financement, les nouveaux domaines de garantie : l’Intelligence Artificielle et les Systèmes Autonomes.