SQLI : 05 - Risk Manager. certification ISO 27005

Jour 1 matin

Chapitre 1 : fondamentaux de la gestion des risques

• Le système d’information et la gestion des risques
• Fondamentaux de la gestion des risques (probabilité, impact, calcul, vision des risques)
• La gouvernance, risque, ISO/IEC 27005

Exercice 1 : avantages de la gestion des risques

• Développer un programme de gestion des risques
• Les bonnes pratiques pour commencer

Exercice 2 : ressources nécessaires

Chapitre 2 : la phase de contexte par ISO/IEC 27005

• Présentation de l’ISO/IEC 27005 (comités, normes)
• Terminologie ISO/IEC 27005
• PDCA
• Contexte interne/externe
• Objectifs, valeurs, missions, stratégie
• Établir un SWOT
• Comprendre l’environnement interne
• Identification des exigences
• Identifier les objectifs

Jour 1 après-midi

• Critères de bases, d’acceptation, d’évaluation, d’impact et de probabilité de la gestion des risques

Exercice 3 : sur une étude de cas, établir le contexte (workshop)

Chapitre 3 : phase d’identification des risques

• Description de la phase d'appréciation des risques avec l’identification, l’estimation et l’évaluation)
• Collecter des informations
• Types d’actifs 

Exercice 4 : sur une étude de cas, identifier les actifs

• Identifier les actifs, menaces, vulnérabilités, impacts

Jour 2 matin

• Identifier les vulnérabilités et impact
• Valeur et liens entre les actifs 
• Les bases de connaissance pour une gestion des risques

Exercice 5 : sur une étude de cas, identifier les menaces

Chapitre 4 : - phase d’estimation et d’évaluation des risques

• Approche qualitative vs quantitative
• Les différentes méthodes de calcul des risques 
• Calcul des risques   

Exercice 6 : sur une étude de cas, faire une analyse de risque quantitative

Chapitre 5 : phase de traitement et d’acceptation des risques

• Établir un plan de traitement des risques 

Exercice 7 : sur une étude de cas, établir un plan de traitement des risques

• Évaluer le risque résiduel
• Acceptation du plan de traitement
• Envoyer les risques résiduels au PCA et la réponse à incident

Chapitre 6 : communication et surveillance 

• Établir un plan de communication
• Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA

Jour 2 après-midi

Chapitre 7 : la méthode EBIOS 2010 et la phase contexte

• Historique d’EBIOS (Expression des besoins et identification des objectifs de sécurité)
• Alignement d’EBIOS 2010 et l’ISO/IEC 27005
• Définir le cadre de la gestion des risques
• Préparer les métriquesIdentifier les biens
• Éléments dimensionnant d'une étude
• Exemples et application

Jour 3 matin 

Chapitre 8 : les évènements redoutés 

• Apprécier les évènements redoutés

Chapitre 9 : les scénarios de menaces

• Mécanique de sélection des menaces
• Les différents scénarios de menaces

Chapitre 10 : étude des risques

• Apprécier les risques
• Choix de traitement du risque

Jour 3 après-midi

Chapitre 11 : mesures de sécurité

• Formaliser les mesures de sécurité à mettre en oeuvre
• Mettre en œuvre les mesures de sécurité

TP -mise en place d’une étude de cas et exercice pratique (workshop)

Chapitre 12 : introduction aux prochaines nouveautés ISO/IEC 25005 2022

• Taxonomie 
• L’approche workshop
• Logigramme, processus
• Les différents cycles
• L’écosystème et les parties prenantes
• Combinaison avec la prochaine  l’ISO/IEC 27005
• Conclusion

Passage de la certification

Le prix et le passage de l'examen sont inclus dans la formation

L'examen (en français) a lieu le dernier jour, à l'issue de la formation et s'effectue en ligne et surveillée, pour une durée moyenne de 2h00.

Examen constitué de 25 questions sur la norme ISO/IEC 27005, 25 questions sur une étude de cas.