ORSYS : 06 - Risk Manager. Méthode EBIOS

La méthode EBIOS permet d'apprécier et de traiter les risques relatifs à la sécurité des SI en se fondant sur une expérience éprouvée en matière de conseil SI et d'assistance MOA. A l’issue de la formation, l’apprenant sera capable de manager les risques relatifs à la sécurité de l’information en se fondant sur les principes et usages de la méthode EBIOS.

Type de pédagogie

Le support et l’animation sont en français.

Certification

Ce cours associé au cours EBX (EBIOS RM, examen de certification), la journée de passage d’examen, permet de préparer et passer la certification PECB certified EBIOS risk manager.

Objectifs pédagogiques

1.      Comprendre les concepts et les principes d’EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)

2.      Cartographier les risques

3.      Maîtriser les éléments de gestion des risques de base pour la sécurité de l'information en utilisant la méthode EBIOS

4.      Analyser et communiquer les résultats d’une étude EBIOS

Participants

Consultants, responsables sécurité des SI, gestionnaires des risques, toute personne impliquée dans des activités d’appréciation des risques informatiques.

Prérequis

Connaître le guide sécurité de l’ANSSI, avoir suivi le parcours introductif à la cybersécurité ou posséder des connaissances équivalentes sur la sécurité des systèmes d’information.

Programme :

 1. La méthode EBIOS risk manager

1/3 jour- Les fondamentaux de la gestion des risques.- Zoom sur la cybersécurité (menaces prioritaires).- Présentation d’EBIOS.- Principales définitions d'EBIOS risk manager.  

 2. Cadrage et socle de sécurité

1/3 jour- Identification du périmètre métier et technique.- Identification des événements redoutés et évaluation de leurs niveaux de gravité.- Déterminer le socle de sécurité.Travaux pratiquesIdentifier les événements redoutés.

 3. Sources de risques

1/3 jour- Identifier les sources de risques (SR) et leurs objectifs visés (OV).- Évaluer la pertinence des couples.- Évaluer les couples SR/OV et sélectionner ceux jugés prioritaires pour l’analyse.- Évaluer la gravité des scénarios stratégiques.Travaux pratiquesIdentifier les sources de risques (SR) et leurs objectifs visés (OV). Évaluer les couples SR/OV.

 4. Scénarios stratégiques

1/3 jour- Évaluer le niveau de menace associé aux parties prenantes.- Construction d'une cartographie de menace numérique de l'écosystème et les parties prenantes critiques.- Élaboration des scénarios stratégiques.- Définition des mesures de sécurité sur l’écosystème.Travaux pratiquesÉvaluer le niveau de menace associé aux parties prenantes. Élaboration de scénarios stratégiques.

 5. Scénarios opérationnels

1/3 jour- Élaboration des scénarios opérationnels.- Évaluation des vraisemblances.- Threat modeling, ATT&CK.- Common Attack Pattern Enumeration and Classification (CAPEC).Travaux pratiquesÉlaboration des scénarios opérationnels. Évaluation des vraisemblances.

 6. Traitement du risque

1/3 jour- Réalisation d’une synthèse des scénarios de risque.- Définition de la stratégie de traitement.- Définir les mesures de sécurité dans un PACS.- Évaluation et documentation des risques résiduels.- Mise en place du cadre de suivi des risques.Travaux pratiquesDéfinir les mesures de sécurité dans un Plan d’Amélioration Continue de la Sécurité (PACS). Mise en place du cadre de suivi des risques.