Objectifs de la formation :
Acquérir les compétences indispensables à l’exercice de la fonction responsable de la sécurité des systèmes d’information, à savoir :
– Bases de la cybersécurité
– Enjeux de la SSI au sein des organisations
– Connaissances techniques de base
– Sécurité organisationnelle et normes ISO27001
– Méthodes d’appréciation des risques
– Bases juridiques
– Stratégies de prise de fonction
Programme de la formation :
Accueil des participants et tour de table
Enjeux et organisation de la sécurité (environ 1,5 jour)
– Critères de sécurité (disponibilité, intégrité, confidentialité, auditabilité)
– Fonction de RSSI, rôles du RSSI
– Environnement du RSSI (production, direction, métiers, conformité, juridique, etc)
– Panorama des référentiels
– Politiques de sécurité (globales, détaillées, sectorielles, géographiques, etc)
– Conformité
– Indicateurs et tableaux de bord SSI (stratégique, tactique, opérationnel)
– Gestion des incidents de sécurité
– Sensibilisation (collaborateurs, informaticiens, direction)
– Ecosystème de la SSI (associations, conférences, etc)
Aspects techniques de la sécurité (environ 1 jour)
– Sécurité du système d’exploitation
– Minimisation et durcissement des systèmes
– Contrôle d’accès
– Gestion des utilisateurs
– Gestion des moyens d’authentification
– Sécurité des applications (sessions, injection SQL, XSS)
– Validation des données (en entrées, traitées, en sortie)
– Développement et environnements de test
– Accès au code source
– Sécurité réseau (routeurs, firewalls)
– Cloisonnement et contrôle d’accès
– Messagerie
– Sécurité du poste de travail, mobilité, télétravail
– Gestion des opérations, gestion des vulnérabilités techniques
– Surveillance, sauvegardes
– Conformité technique
– Typologie des tests d’intrusion et audits de sécurité
– Protection des outils d’audits et des données d’audits
Système de Management de la Sécurité de l’Information (normes ISO 27001) (environ 1/2 journée)
– Bases sur les systèmes de management (définitions, modèle PDCA, propriétés et objectifs)
– Panorama des normes ISO 270xx
– Bases sur ISO 27001 et ISO 27002 et utilisations possibles
– Domaine d’application
– Engagement de la direction
– Surveillance (réexamen régulier, audit interne, revue de direction)
– Amélioration continue
Audit (environ 1/2 journée)
– Typologie des audits (technique, organisationnel, de conformité, de certification)
– Conséquences (inconvénients et objectifs)
– Vocabulaire (basé sur ISO 19011)
– Préparation à l’audit
– Considérations pratiques (formation, communication, intendance, audit à blanc, préparation)
– Démarche d’audit (ISO 19011)
– Avant l’audit, pendant l’audit, après l’audit
– Livrable
– Actions correctives entreprises et suivi
– Réception des auditeurs (maison-mère, ISO27001/HDS, ISAE3401/SOC2, Cour des Comptes, Commission bancaire, etc.)
Gestion de risques (environ 1/2 journée)
– Méthodologies d’appréciation des risques (ISO27001, EBIOS, Mehari)
– Vocabulaire
– Identification et valorisation d’actifs
– Menace, source des risques, vulnérabilités
– Analyse de risque
– Estimation des risques
– Vraisemblance et conséquences d’un risque
– Evaluation du risque
– Traitement des risques (réduction, partage, maintien, refus)
– Notion de risque résiduel
– Acceptation du risque
Aspects juridiques de la SSI (environ 1/2 journée)
– RGPD et Informatique et libertés
– Communications électroniques
– Conservation des traces
– Contrôle des salariés
– Atteintes aux STAD
– Charte informatique
– Comptes à privilège
– Gestion des relations avec les partenaires (infogérance, infonuagique, prestataires en sécurité)
Témoignage d’un RSSI (après l’examen la dernière 1/2 journée)
Certification (1h30)
A l’issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l’examen donne droit à la certification RSSI par HS2.