Gestion des risques avec ISO 27005 et EBIOS 2010/RM

Réf. : DNDAESD07

Durée : 5 jours

Tarif : 2500 € HT

Formation en visioconférence

Objectif :

Avoir les acquis nécessaires pour établir une analyse des risques avec les méthodes EBIOS 2010 et EBIOS RM.

Jour 1 matin

Section 1 - fondamentaux de la gestion des risques
le système d’information et la gestion des risques
fondamentaux de la gestion des risques (probabilité, impact, calcul, vision des risques)
la gouvernance, risque, ISO 27005
TP 1 / avantages de la gestion des risques
développer une programme de  gestion des risques
les bonnes pratiques pour commencer
TP 2 / ressources nécessaires

Jour 1 après-midi

Section 2 - la phase de contexte par ISO 27005
présentation de l’ISO 27005 (comités, normes)
terminologie ISO 27005
PDCA
contexte interne/externe
objectifs, valeurs, missions, stratégie
établir un SWOT
comprendre l’environnement interne
identification des exigences
Identifier les objectifs
Critères de bases, d’acceptation, d’évaluation, d’impact et de probabilité de la gestion des risques
TP 3 / sur une étude de cas, établir le contexte

Jour 2 matin

Section 3 - phase d’identification des risques
description de la phase d'appréciation des risques avec l’identification, l’estimation et l’évaluation)
collecter des informations
types d’actifs 
TP 4 / sur une étude de cas, identifier les actifs
identifier les actifs, menaces, vulnérabilités, impacts
identifier les vulnérabilités et impact
valeur et liens entre les actifs 
les bases de connaissance pour une gestion des risques
TP 5 / sur une étude de cas, identifier les menaces

Section 4 - phase d’estimation et d’évaluation des risques
approche qualitative vs quantitative
les différentes méthodes de calcul des risques 
calcul du risques   
TP 6 / sur une étude de cas, faire une analyse de risque quantitative

Jour 2 après-midi

Section 5 -phase de traitement et d’acceptation des risques
établir un plan de traitement des risques 
TP 7 / sur une étude de cas, établir un plan de traitement des risques
évaluer le risque résiduel
acceptation du plan de traitement
envoyer les risques résiduels au PCA et la réponse à incident
communication et surveillance 
établir un plan de communication
mettre en place les indicateurs pour une surveillance optimal dans un modèle PDCA

Jour 3  matin

Section 6  -la méthode EBIOS 2010 et la phase contexte
historique d’EBIOS (Expression des besoins et identification des objectifs de sécurité)
alignement d’EBIOS 2010 et l’ISO 27005
définir le cadre de la gestion des risques
préparer les métriques
Identifier les biens
éléments dimensionnants d'une étude
exemples et application

Section 7  -les évènements redoutés 
apprécier les évènements redoutés

Section 8  -les scénarios de menaces
mécanique de sélection des menaces
les différents scénarios de menaces

Section 9  -étude des risques
apprécier les risques
choix de traitement du risque

Section 10  -mesures de sécurité
formaliser les mesures de sécurité à mettre en oeuvre
mettre en oeuvre les mesures de sécurité

Jour 3  après-midi

TP  - mise en place d’une étude de cas 

Jour 4  matin

Section 11  -introduction à la méthode EBIOS Risk Manager
les fondamentaux de la gestion des risques
présentation d’EBIOS 
zoom sur la Cybersécurité (menaces prioritaires)
principales définitions EBIOS RM
TP 1 / Compréhension de la terminologie
Concept phare et atelier de la méthode EBIOS RM
Récapitulatif 

Section 12  -atelier 1 “Cadrage et socle de sécurité”
présentation de l’atelier
définition du cadre de l’étude et du projet
identification du périmètre métier et technique
identification des évènements redoutés et évaluation de leurs niveaux de gravité
déterminer le socle de sécurité
TP 2 / Identifier les évènements redoutés
récapitulatif de l’atelier

Jour 4  après-midi

Section 13  -atelier 2 “Sources de risques”
présentation de l’atelier
identifier les sources de risques (SR) et leurs Objectifs visés (OV) 
évaluer la pertinence des couples
évaluer les couples SR/OV et sélectionner ceux jugés prioritaire pour l’analyse
évaluer la gravité des scénarios stratégiques
TP 3 / évaluer les couples SR/OV
récapitulatif de l’atelier

Jour 5 

Section 14  -atelier 3 “Scénarios stratégiques”
présentation de l’atelier
évaluer le niveau de menace associé aux parties prenantes 
construction d’une cartographie de menace numérique de l’écosystème et les parties prenantes critiques
TP 4 / évaluer le niveau de menace associé au parties prenantes
élaboration des scénarios stratégiques
TP 5 / élaboration de scénarios stratégiques
définition des mesures de sécurité sur l’écosystème
récapitulatif de l’atelier

Section 15  -atelier 4 “Scénarios opérationnels”
présentation de l’atelier
élaboration des scénarios opérationnels
évaluation des vraisemblances
pour aller plus loin (Threat modeling, ATT&CK, CAPEC)
TP 6 / scénario opérationnel
récapitulatif de l’atelier

Section 16  -atelier 5 “Traitement du risque”
présentation de l’atelier
réalisation d’une synthèse des scénarios de risque
définition de la stratégie de traitement
définir les mesures de sécurité dans un plan d’amélioration continue de la sécurité (PACS)
évaluation et documentation des risques résiduels
mise en place du cadre de suivi des risques
TP 7 /  PACS (Plan d’amélioration continue de la sécurité)
conclusion

Public

Etudiant, consultant en sécurité de l’information, Risk manager.

Pré-requis

Connaissances générales en sécurité des systèmes d’information.

Méthodes pédagogiques

Alternance d'apports théoriques, d'exercices pratiques et d'études de cas.


Réf. : DNDAESD07

Durée : 5 jours

Tarif : 2500 € HT



Demande de devis

Date souhaitée :
*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants