M2I FORMATION : 06 - Risk Manager. Méthode EBIOS
Organisme
75012 PARIS
Contact
Durée
14 heuresModalités
- Classe virtuelle
- Présentiel
Modalités d’évaluation des acquis - En cours de formation, par des études de cas ou des travaux pratiques - Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i
Prix
Public
Consultants, responsables sécurité des SI, gestionnaires des risques, toute personne impliquée dans des activités d’appréciation des risques informatiques…
Pré-requis
- Connaître le guide sécurité de l’ANSSI,
- Avoir suivi le parcours introductif à la cybersécurité ou posséder des connaissances équivalentes sur la sécurité des systèmes d’information.
Objectifs pédagogiques
- Comprendre les concepts et les principes de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)
- Cartographier les risques
- Maîtriser les éléments de gestion des risques de base pour la sécurité de l'information en utilisant la méthode EBIOS
- Analyser et communiquer les résultats d’une étude EBIOS
Programme détaillé
Jour 1 - Matin
§ Section 1 — Objectifs et structure de cours
Présentation du groupe
Points généraux
Objectifs et structure de la formation
Approche pédagogique
Évaluation des apprentissages
§ Section 2 — Introduction à la méthode EBIOS Risk Manager
Fondamentaux de la gestion des risques
Présentation d’EBIOS
Zoom sur la cybersécurité (menaces prioritaires)
Principales définitions EBIOS RM
Exercice 1 : Comprendre la terminologie
Concept phare et atelier de la méthode EBIOS RM
Récapitulatif
§ Section 3 — Atelier 1 « Cadrage et socle de sécurité »
Présentation de l’atelier
Définition du cadre de l’étude et du projet
Identification du périmètre métier et technique
Identification des évènements redoutés et évaluation de leur niveau de gravité
Détermination du socle de sécurité
Exercice 2 : Identifier les évènements redoutés
Récapitulatif de l’atelier
Jour 1 - Après-midi
§ Section 4 — Atelier 2 « Sources de risques »
Présentation de l’atelier
Identification des sources de risques (SR) et de leurs
Objectifs Visés (OV)
Évaluation de la pertinence des couples
Évaluation des couples SR/OV et sélection de ceux jugés prioritaires pour l’analyse
Évaluation de la gravité des scénarios stratégiques
Exercice 3 : Évaluer les couples SR/OV
Récapitulatif de l’atelier
Jour 2 - Matin
§ Section 5 — Atelier 3 « Scénarios stratégiques »
Présentation de l’atelier
Évaluation du niveau de menace associé aux parties prenantes
Construction d’une cartographie de menace numérique de l’écosystème et des parties prenantes critiques
Exercice 4 : Évaluer le niveau de menace associé aux parties prenantes
Élaboration des scénarios stratégiques
Exercice 5 : Élaborer des scénarios stratégiques
Définition des mesures de sécurité sur l’écosystème
Récapitulatif de l’atelier
Jour 2 - Après-midi
§ Section 6 — Atelier 4 « Scénarios opérationnels »
Présentation de l’atelier
Élaboration des scénarios opérationnels
Évaluation des vraisemblances
Pour aller plus loin (Threat modeling, ATT&CK, CAPEC)
Exercice 6 : Créer un scénario opérationnel
Récapitulatif de l’atelier
§ Section 7 — Atelier 5 « Traitement du risque »
Présentation de l’atelier
Réalisation d’une synthèse des scénarios de risque
Définition de la stratégie de traitement
Définition des mesures de sécurité dans un plan d’amélioration continue de la sécurité (PACS)
Évaluation et documentation des risques résiduels
Mise en place du cadre de suivi des risques
Exercice 7 : Créer un PACS (Plan d’amélioration continue de la sécurité)
Conclusion