Formation Management des Risques en Sécurité du SI

Norme ISO 27005, méthode EBIOS Risk Manager : bonnes pratiques.

Présentation

Les risques en matière de Sécurité de l’Information représentent une menace considérable pour les entreprises : pertes et préjudices financiers, défaillance de services métier cruciaux, perte de confiance des clients et autres atteintes à l’image de marque, etc.

Le Management des Risques est l’un des éléments-clés de la prévention des fraudes, violation d’intégrité des processus métiers, usurpation d’identité, vols ou pertes de données sensibles et autres incidents concernant la Sécurité de l’Information.

Prérequis de la plupart des réglementations et nécessité juridique (LPM, directive NIS, RGPD), il est devenu un processus incontournable de la lutte contre les cybermenaces et le recours à des fournisseurs et des services Cloud.

Destiné aux RSSI, architectes de sécurité, DSI ou responsables informatiques, consultants, chefs de projet (MOE, MOA) devant répondre à des exigences de Sécurité, ce séminaire s’appuie sur les principes méthodologiques de la norme ISO/CEI 27005 et présente les meilleures pratiques et méthodes du secteur en particulier la nouvelle méthode de l’ANSSI : EBIOS Risk Manager.

Illustré de nombreux exemples et études de cas pratiques, il permet aux participants d’acquérir les bases théoriques et pratiques, les principes de la Gestion des Risques liés à la Sécurité de l’Information. Il facilitera la mise en œuvre d’une démarche d’appréciation des risques, simple et pragmatique.

Afficher plus

Le mot de l'animateur

« Avec cette formation, je m’engage à ce que vous puissiez relever et réussir votre challenge sur le Management des risques SSI. Nous atteindrons ensemble, avec pragmatisme et de nombreux exemples, ces objectifs clés : identifier, évaluer puis traiter ses risques en Cyber Sécurité. Cette formation est faite pour vous si, face aux auditeurs de vos conformités réglementaires, vous devez présenter votre approche de la sécurité par le risque et votre niveau de risque résiduel. »
Pascal GOUACHE
Découvrir l'animateur

Objectifs

  • Permettre aux participants d’acquérir les bases théoriques et pratiques, ainsi que les principes de la gestion des risques liés à la sécurité de l’information.
  • Faciliter la mise en œuvre d’une démarche d’appréciation des risques, en s'appuyant sur les principes méthodologiques de la norme ISO/CEI 27005,
  • Présenter les meilleures pratiques et méthodes du secteur en particulier la nouvelle méthode de l’ANSSI : EBIOS Risk Manager.

Programme

1 – Quels risques pour quels objectifs ?

Le risque SSI

  • Synthèse des dernières enquêtes sur la situation de la gestion du risque informatique.
  • Les nouvelles menaces, les vulnérabilités prédominantes.
  • Les cybermenaces, les nouveaux risques sur la mobilité et le Cloud : état des lieux.
  • Rappel des prérequis réglementaires et normatifs (SOX, ISO 27001, PCI-DSS, RGPD, LPM…).
  • Identification et classification des risques : risques opérationnels, physiques/logiques.

À la recherche d’une méthodologie universelle

  • Introduction à la norme ISO 31000 – Management du Risque. Principes et lignes directrices.
  • Techniques d’évaluation des risques via la norme ISO/CEI 31010.
  • L’estimation des conséquences d’un risque SSI (financier, juridique, humain, métier, etc.).
  • Alignement des processus ISO 27005 avec l’ISO 31000.
  • Comment tendre vers une méthodologie commune à tous les types de risques ?
  • Quel lien établir entre la SSI, le management, la direction des risques ?
  • Le traitement type du risque (prévention, protection, évitement, partage).
  • Le lien ISO 27005 avec les normes ISO 27002 et 27001.

Une Task Force « risque » opérationnelle

  • Le rôle des métiers et des propriétaires d’actifs ; l’implication nécessaire de la DSI.
  • L’assurabilité d’un risque, les principaux risques partageables ou assurables.
  • Le ROI du partage, calcul financier du transfert à l’assurance, les prérequis.
  • Les rôles complémentaires du RSSI et du Risk Manager.

2 – Le cadre méthodologique ISO 27005-2018

Intérêts et limites de l’approche normative

  • Aide à mieux gérer les risques dans le domaine de la sécurité de l’information.
  • Adaptabilité à toutes les organisations de tous types.
  • Description d’un processus de Management des Risques Cyber compatible avec une gestion des risques IT.
  • L’ISO 27005 comme support « idéal » à la construction d’un SMSI ISO 27001 :2013.
  • Le management des risques SSI en appui des objectifs de gouvernance de la sécurité.
  • De l’intérêt d’un cadre méthodologique « ISO Compliant ».

L’essentiel de la norme

  • Les sections « centrales » (appréciation et traitement) de la gestion des risques (sections 7 et 8).
  • Les bases de connaissances en annexe (annexes B à E). Comment bien les utiliser ?
  • Le référentiel de bonnes pratiques ISO 27002 :2013 ; rappel des domaines de sécurité pour la réduction des risques.
  • La valeur ajoutée réelle de la norme par rapport aux méthodes publiées ou propriétaires.
  • Objectifs et domaine d’application ; l’implication nécessaire des métiers : libre choix ou contraintes réglementaires ?
  • L’identification des besoins de sécurité : disponibilité, intégrité et confidentialité avec les propriétaires d’actifs.
  • Identification des contraintes internes et externes ; les parties prenantes et intéressées.
  • Identification des réglementations métier, le contexte juridique, les clauses contractuelles.
  • La mise en œuvre d’un processus PDCA de management des risques.

Les phases clés du Management du Risque

  • Les étapes clés de l’analyse de risques (contexte, appréciation, traitement, acceptation, surveillance et revue).
  • Bien encadrer les parties prenantes : responsables métier, expert IT, chef de projet informatique, expert SSI.
  • Comment identifier les actifs primordiaux, liens avec les actifs en support.
  • Partir du risque « brut » intrinsèque pour atteindre le risque résiduel acceptable.
  • L’élaboration du plan de traitement des risques à partir de la norme actuelle ISO 27002 :2013
  • Les bases de menaces / vulnérabilités / risques nécessaires et suffisantes.
  • L’apport de la nouvelle ISO 27002:2022 : la “Cyber Threat Intelligence” indispensabvle
  • Les techniques d’évaluation : calcul de vraisemblance menace / conséquence incident et facilité d’exploitation vulnérabilité.
  • Choisir sa formule d’estimation de valeur de risques (calcul mathématique ou calcul matriciel bi ou tridimensionnel).
  • Identifier le type de traitement des risques optimal : entre réduction et partage.
  • Comment choisir une mesure de sécurité dans un référentiel ? Le rôle de l’expert SSI.

La construction d’un processus dans le temps

  • Une approche itérative de l’élaboration du plan de traitement à la surveillance des risques.
  • La communication vers les parties prenantes et la sensibilisation des managers.
  • La revue / réexamen : comment surveiller efficacement ses risques ?
  • La gestion des incidents, l’évaluation des conséquences et le reporting indispensable.
  • La réappréciation des risques (les entrées / sorties du processus).
  • Comment s’enrichir des événements du passé pour mieux réduire les risques du futur ?
  • Intégrer son management des risques dans un processus PDCA type SMSI.

3 – Les méthodes d’analyse de risques : mise en pratique et exemples

La méthode EBIOS Risk Manager

  • Pourquoi un nouvel EBIOS ? Analyse en profondeur du risque ciblé cyber, le risque Advanced Persistant Threat
  • La cyber kill chain comme base de description : exemple type Loockeed Martin.
  • Le portrait-robot d’une attaque ciblée selon l’ANSSI. : les phases du processus (Connaitre, Rentrer, Trouver, Exploiter).
  • L’identification des chemins d’attaques directs et indirects. Prise en compte des menaces intentionnelles sophistiquées de type APT.
  • Approche par conformité versus approche par scénarios de risques.
  • Appréciation de son écosystème et des parties prenantes critiques.
  • Contribution d’EBIOS RM au processus d’homologation de la LPM et de la directive NIS.
  • Contribution à la conformité RGPD (construction du BIA), compléments nécessaires avec EBIOS 2010
  • Atelier 1 et 2. Le contexte de l’étude et les sources de risques.
  • Implication des métiers dans l’identification et valorisation des valeurs métiers et des impacts ressentis.
  • Détermination du socle de sécurité et des écarts – identification des règlements de sécurité applicables.
  • Détermination des sources de risques et objectifs d’attaques visés.
  • Atelier 3 et 4 La construction des scénarios stratégiques puis opérationnels.
  • La construction la cartographie de menace numérique de l’écosystème dans le contexte.
  • Elaboration d’une méthode de calcul de la « dangerosité » des parties prenantes critiques.
  • Quels scénarios vus des métiers puis vus de la technique ? Quels chemins d’attaques directs et indirects décrire ?
  • Comment calculer les vraisemblances des scénarios : de la méthode expresse à la méthode avancée.
  • Atelier 5. Traitement du risque :
  • Quels risques considérer comme inacceptables dans le contexte ?
  • Les mesures de sécurité techniques (protection, défense) et organisationnelles (gouvernance, résilience).
  • Le choix d’un logiciel certifié ANSSI (EGERIE, AGILE RM, …).

Les méthodes MEHARI (introduction)

  • Comprendre le principe de la démarche ; savoir analyser efficacement les documentations.
  • L’analyse des enjeux majeurs et des vulnérabilités et des risques majeurs.
  • La base de connaissances et le référentiel des services de sécurité.
  • Apports respectifs de MEHARI EXPERT, PRO/PME et Manager.

Les autres méthodes (synthèse)

  • Historique, développement, présence dans le monde.
  • Intérêts et limites de ces approches dans un contexte France, Europe, Monde.

4 – Choisir ou construire sa méthode ?

  • Comment choisir la meilleure méthode sur la base d’exemples et études de cas pratiques ?
  • À la recherche d’une méthode à géométrie variable adaptable à tous les projets de sécurité et tout type de domaine d’application.
  • Élaborer ses propres bases de connaissances (menaces, vulnérabilités, risques, actifs, échelles DIC, vraisemblance / conséquences, etc.).
  • Concevoir une méthodologie dans le temps avec un processus de révision efficace et pragmatique.
Afficher plus

Public

Destiné aux RSSI, architectes de sécurité, DSI ou responsables informatiques, consultants, chefs de projets (MOE, MOA) devant répondre à des exigences de sécurité.

Prérequis

Connaissances de base en Systèmes d’Information.

Méthodologie

METHODES PEDAGOGIQUES : Exposé, échanges d’expérience, études de cas
METHODES D'EVALUATION : Le stagiaire reçoit en amont de la formation un questionnaire permettant de mesurer les compétences, profil et attentes du stagiaire. Tout au long de la formation, les stagiaires sont évalués au moyen de différentes méthodes (quizz, ateliers, exercices et/ou de travaux pratiques, etc.) permettant de vérifier l'atteinte des objectifs. Un questionnaire d'évaluation à chaud est soumis à chaque stagiaire en fin de formation pour s’assurer de l’adéquation des acquis de la formation avec les attentes du stagiaire. Une attestation de réalisation de la formation est remise au stagiaire.

94%

de participants satisfaits sur les 12 derniers mois
Sécurité et Gestion des Risques

Management des Risques en Sécurité du SI

Découvrez les bonnes pratiques pour réussir et relever les challenges sur le management des risques Cyber pour votre entreprise.
  •  
  • 2095 € H.T

Autres formations sur le même thème