Formation EBIOS Risk Manager Certifiant

EBIOS (Étude des Besoins et Identification des Objectifs de Sécurité) s'est imposée comme la méthodologie phare en France pour apprécier les risques dans le secteur public comme dans les entreprises. Elle est recommandée par l'ANSSI pour l'élaboration de PSSI et schéma directeur, pour l'homologation de téléservice dans le cadre du RGS, dans le guide GISSIP comme par la CNIL pour réaliser des analyses d'impacts sur les données nominatives (PIA ou Privacy Impact Assessment). EBIOS présente des caractéristiques uniques qui permettent son usage dans tous les secteurs de la sécurité, bien au-delà de la SSI. EBIOS permet également d'identifier les risques d'un système en construction, donc encore non existant, et demeure idéale pour la rédaction de cahier des charges. La formation certifiante "EBIOS Risk Manager" traite de la méthode EBIOS de l'ANSSI et de la gestion du risque de sécurité de l'information en général. Cette formation permet d'acquérir les compétences nécessaires à la conduite de bout en bout d'une appréciation des risques, de l'étude des besoins à la formalisation des objectifs de sécurité.

Introduction à la méthode EBIOS

• Historique d'EBIOS Risk Manager
• Présentation d'EBIOS Risk Manager
• Vocabulaire sur la gestion des risques
• Présentation de la méthode EBIOS Risk Manager
• Exercice 1: Compréhension de la terminologie
• Concept phare et atelier de la méthode EBIOS Risk Manager

Atelier 1: Cadrage et socle de sécurité

• Les éléments de cadrage: objectifs, rôles et responsabilités, cadre temporel
• Le périmètre métier et technique: missions, valeurs métier, bien supports
• Identification des événements redoutés de chaque métier et de leur gravité
• Le socle de sécurité: liste des référentiels applicables, état d'application, identification et justification des écarts

Atelier 2: Sources de risques (SR) et objectifs visés (OV)

• Définir la liste de couples SR/OV prioritaires retenus pour la suite de l'étude
• Définir la liste des couples SR/OV secondaires susceptibles d'être étudiés dans un second temps et qui feront, si possible, l'objet d'une surveillance attentive
• Etablir une cartographie des sources de risque

Atelier 3: Scénarios stratégiques

• Etablir la cartographie de menace numérique de l'écosystème et les partie prenantes critiques
• Définir les scénarios stratégiques et événements redoutés
• Définition des mesures de sécurité retenues pour l'écosystème

Atelier 4: Scénarios opérationnels

• Elaboration des scenarios opérationnels
• Evaluation de la vraisemblance
• Threat modeling, ATT&CK
• Common attack pattern enumeration and classification (CAPEC)

Atelier 5: Traitement du risque

• Mettre en place la stratégie de traitement du risque
• Faire une synthèse des risques résiduels
• Bâtir le plan d'amélioration continue de la société
• Mise en place du cadre de suivi des risques

Préparation de l'examen à travers une étude de cas

• Passage en revue de tous les thèmes abordés

Passage de l'examen PECB Certified EBIOS Risk Manager

• Passage de l'examen écrit de certification en français qui consiste à répondre à 12 questions en 3 heures
• Un score minimum de 70% est exigé pour réussir l'examen
• Il est nécessaire de signer le code de déontologie du PECB afin d'obtenir la certification
• En cas d'échec les candidats bénéficient d'une seconde chance pour passer l'examen dans les 12 mois suivant la première tentative
• L'examen couvre les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux de la gestion des risques liés à la sécurité de l'information selon la méthode EBIOS - Domaine 2 : Programme de gestion des risques liés à la sécurité de l'information basé sur EBIOS - Domaine 3 : Appréciation des risques liés à la sécurité de l'information basée sur la méthode EBIOS