Formation ISO 27005 - Certified Risk Manager avec EBIOS

En matière d'appréciation des risques, EBIOS (pour Expression des Besoins et Identification des Objectifs de Sécurité), la méthode proposée par l'Agence National de la Sécurité des Systèmes d'Information (ANSSI) qui a notamment pour mission de proposer des règles à appliquer pour la protection des systèmes d'information de l'Etat français, fait figure de référence. Conforme à la norme ISO 27005 conçue pour aider à la mise en place de la sécurité de l'information basée sur une approche méthodique du risque, EBIOS constitue la boite à outils idéale pour construire son référentiel SSI. Indispensable à tout manager impliqué dans la gestion de la sécurité, cette formation intensive de 5 jours prépare aux certifications EBIOS Risk Manager et ISO 27005 Risk Manager qui seront passées en séance.

1ère partie : ISO 27005 - Risk Manager

Introduction au programme de gestion des risques conforme à la norme ISO/CEI 27005

• Objectifs et structure de la formation
• Concepts du risque
• Définition scientifique du risque
• Le risque et les statistiques
• Le risque et les opportunités
• La perception du risque
• Le risque lié à la sécurité de l'information

Connaître le cadre normatif et réglementaire

• Norme et méthodologie
• ISO/IEC 31000 et ISO/IEC 310010
• Normes de la famille ISO/IEC 27000

Mettre en oeuvre un programme de management du risque

• Mandat et engagement de la direction
• Responsable de la gestion du risque
• Responsabilités des principales parties prenantes
• Mesures de responsabilisation
• Politique de la gestion du risque
• Processus de la gestion du risque
• Approche et méthodologie d'appréciation du risque
• Planification des activités de gestion du risque et fourniture des ressources

Établir le contexte mission, objectifs, valeurs, stratégies

• Établissement du contexte externe
• Établissement du contexte interne
• Identification et analyse des parties prenantes
• Identification et analyse des exigences
• Détermination des objectifs
• Détermination des critères de base
• Définition du domaine d'application et limites

Identifier les risques

• Techniques de collecte d'information
• Identification des actifs
• Identification des menaces
• Identification des mesures existantes
• Identification des vulnérabilités
• Identification des impacts

Analyser et évaluer les risques

• Appréciation des conséquences
• Appréciation de la vraisemblance de l'incident
• Appréciation des niveaux des risques
• Évaluation des risques
• Exemple d'appréciation des risques

Apprécier les risques avec une méthode quantitative

• Notion de ROSI
• Calcul de la perte annuelle anticipée
• Calcul de la valeur d'une mesure de sécurité
• Politiques spécifiques
• Processus de management de la politique

Traiter les risques

• Processus de traitement des risques
• Option de traitement des risques
• Plan de traitement des risques

Apprécier les risques et gérer les risques résiduels

• Acceptation des risques
• Approbation des risques résiduels
• Gestion des risques résiduels
• Communication sur la gestion des risques

Communiquer sur les risques

• Objectifs de communication sur la gestion des risques
• Communication et perception des risques
• Plan de communication

Surveiller les risques

• Surveillance et revue des facteurs de risque
• Surveillance et revue de la gestion des risques
• Amélioration continue de la gestion des risques
• Mesurer le niveau de maturité de la gestion des risques
• Enregistrement des décisions et des plans de communications

Découvrir la méthode OCTAVE

• Présentation générale
• Méthodologies OCTAVE
• OCTAVE Allegro Roadmap

Découvrir la méthode MEHARI

• Présentation générale
• L'approche MEHARI
• Analyse des enjeux et classification
• Évaluation des services de sécurité
• Analyse des risques
• Développement des plans de sécurité

Découvrir la méthode EBIOS

• Présentation générale
• Les 5 modules d'EBIOS
• Établissement du contexte
• Étude d'événements redoutés
• Étude des scénarios des menaces
• Étude des risques
• Étude des mesures de sécurité

2ème partie : EBIOS Risk Manager certifiant

• 16.1)

Introduction à la méthode EBIOS

• Présentation générale d'EBIOS
• Principales définition
• Les 5 phases d'EBIOS : étude du contexte, des évènements redoutés, des scénarios de menaces, des risques et des mesures de sécurité
• L'ISO 27005 appliquée dans EBIOS
• Les grands principes d'EBIOS : implication sensibilisation, adhésion et responsabilisation

Définir le cadre de la gestion des risques

• Cadrage de l'étude des risques
• Description du contexte général
• Limites du périmètre de l'étude
• Identification des paramètres à prendre en compte
• Identification des sources de menace

Préparer les métriques

• Définition des critères de sécurité
• Élaboration des échelles de besoin
• Élaboration d'une échelle de niveaux de gravité
• Élaboration d'une échelle de niveaux de vraisemblance
• Définition des critères de gestion des risques

Identifier les biens

• Identification des biens essentiels, leurs relations et leurs dépositaires
• Identifier les biens supports, leurs relations et leurs dépositaires
• Détermination des liens entre les biens essentiels et les biens supports
• Identification des mesures de sécurité existantes

Apprécier les événements redoutés

• Analyse d'événements redoutés
• Évaluation de chaque événement redouté

Apprécier les scénarios de menaces

• Analyse de tous les scenarios de menaces
• Évaluation de chaque scenario de menace

Apprécier les risques

• Analyse des risques
• Évaluation de chaque risque

Identifier les objectifs de sécurité

• Choix des options de traitement des risques
• Analyse des risques résiduels

Formaliser les mesures de sécurité à mettre en oeuvre

• Détermination des mesures de sécurité
• Analyse des risques résiduels
• Établissement d'une déclaration d'applicabilité

Mettre en oeuvre les scenarios de sécurité

• Élaboration d'un plan d'actions
• Suivi de la réalisation des mesures de sécurité
• Analyse des risques résiduels
• L'homologation de sécurité

Préparation de l'examen à travers une étude de cas

• Passage en revue de tous les thèmes abordés

3ème partie : Passage des examens de certification ISO/IEC 27005 Risk Manager et EBIOS Risk Manager

• 28.1)

Examen de certification ISO/IEC 27005 Risk Manager

• Révision des concepts en vue de la certification
• Examen blanc
• Passage de l'examen écrit de certification en français qui consiste à répondre à 12 questions en 3 heures
• Un score minimum de 70% est exigé pour réussir l'examen
• Il est nécessaire de signer le code de déontologie du PECB afin d'obtenir la certification
• Les candidats sont autorisés à utiliser non seulement les supports de cours mais aussi la norme ISO/IEC 27005
• En cas d'échec les candidats bénéficient d'une seconde chance pour passer l'examen dans les 12 mois suivant la première tentative
• L'examen couvre les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux relatifs à la gestion des risques liés à la sécurité de l'information - Domaine 2 : Mettre en oeuvre un programme de gestion des risques liés à la sécurité de l'information - Domaine 3 : Processus et cadre de gestion des risques liés à la sécurité de l'information conformes à la norme ISO/CEI 27005 - Domaine 4 : Autres méthodes d'appréciation des risques de la sécurité de l'information

Examen de certification EBIOS Risk Manager