Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
Accueil > Domaines > Qualité > ISO 27005 - Risk Manager

ISO 27005 - Risk Manager

Implémenter la norme ISO 27005

Avec la généralisation des échanges sur Internet, les risques en matière de sécurité de l’information représentent une menace considérable pour les entreprises du fait des possibles préjudices financiers ou de la perte de confiance des clients. L’un des éléments clés dans la prévention des fraudes en ligne, vols d’identité ou autres détériorations de sites Web est la gestion et l’évaluation des risques couverte par la nouvelle norme internationale ISO/CEI 27005. La formation ISO/CEI 27005 Risk Manager permet de développer les compétences pour maîtriser les processus liés à tous les actifs pertinents pour la sécurité de l’information en utilisant la norme ISO/CEI 27005 comme cadre de référence. Ce programme qui s'inscrit parfaitement dans le processus de mise en œuvre du cadre SMSI selon la norme ISO/CEI 27001 intègre également une présentation de différentes méthodes d’appréciation des risques telles qu’OCTAVE, EBIOS, MEHARI et la méthodologie harmonisée d'EMR. Après avoir assimilé l’ensemble des concepts relatifs à la gestion des risques de la sécurité d’information conforme à la norme ISO/CEI 27005, les participants se présenteront à l’examen ISO/CEI 27005 Risk Manager qui attestera de leurs capacités à apprécier les risques de la sécurité de l’information et à les gérer.

Objectifs

  • Comprendre la relation entre la gestion des risques de la sécurité de l’information et les mesures de sécurité
  • Comprendre les concepts, approches, méthodes et techniques permettant un processus de gestion des risques efficace conforme à la norme ISO/CEI 27005
  • Savoir interpréter les exigences de la norme ISO/CEI 27001 dans le cadre du management du risque de la sécurité de l'information
  • Acquérir les compétences pour conseiller efficacement les organisations sur les meilleures pratiques en matière de gestion des risques liés à la sécurité de l'information

Public

  • Chefs de projet
  • Consultants
  • Architectes techniques
  • Toute personne en charge de la sécurité d’information, de la conformité et du risque dans une organisation
  • Toute personne amenée à mettre en œuvre ISO/CEI 27001 ou impliquée dans un programme de gestion des risques

Prérequis

  • Connaitre le guide d’hygiène sécurité de l’ANSSI

Programme de la formation

Introduction au programme de gestion des risques conforme à la norme ISO/CEI 27005

  • Objectifs et structure de la formation
  • Concepts du risque
  • Définition scientifique du risque
  • Le risque et les statistiques
  • Le risque et les opportunités
  • La perception du risque
  • Le risque lié à la sécurité de l’information

Connaître le cadre normatif et réglementaire

  • Norme et méthodologie
  • ISO/IEC 31000 et ISO/IEC 310010
  • Normes de la famille ISO/IEC 27000

Mettre en œuvre un programme de management du risque

  • Mandat et engagement de la direction
  • Responsable de la gestion du risque
  • Responsabilités des principales parties prenantes
  • Mesures de responsabilisation
  • Politique de la gestion du risque
  • Processus de la gestion du risque
  • Approche et méthodologie d’appréciation du risque
  • Planification des activités de gestion du risque et fourniture des ressources

Établir le contexte mission, objectifs, valeurs, stratégies

  • Établissement du contexte externe
  • Établissement du contexte interne
  • Identification et analyse des parties prenantes
  • Identification et analyse des exigences
  • Détermination des objectifs
  • Détermination des critères de base
  • Définition du domaine d’application et limites

Identifier les risques

  • Techniques de collecte d’information
  • Identification des actifs
  • Identification des menaces
  • Identification des mesures existantes
  • Identification des vulnérabilités
  • Identification des impacts

Analyser et évaluer les risques

  • Appréciation des conséquences
  • Appréciation de la vraisemblance de l’incident
  • Appréciation des niveaux des risques
  • Évaluation des risques
  • Exemple d’appréciation des risques

Apprécier les risques avec une méthode quantitative

  • Notion de ROSI
  • Calcul de la perte annuelle anticipée
  • Calcul de la valeur d’une mesure de sécurité
  • Politiques spécifiques
  • Processus de management de la politique

Traiter les risques

  • Processus de traitement des risques
  • Option de traitement des risques
  • Plan de traitement des risques

Apprécier les risques et gérer les risques résiduels

  • Acceptation des risques
  • Approbation des risques résiduels
  • Gestion des risques résiduels
  • Communication sur la gestion des risques

Communiquer sur les risques

  • Objectifs de communication sur la gestion des risques
  • Communication et perception des risques
  • Plan de communication

Surveiller les risques

  • Surveillance et revue des facteurs de risque
  • Surveillance et revue de la gestion des risque
  • Amélioration continue de la gestion des risques
  • Mesurer le niveau de maturité de la gestion des risques
  • Enregistrement des décisions et des plans de communications

Découvrir la méthode OCTAVE

  • Présentation générale
  • Méthodologies OCTAVE
  • OCTAVE Allegro Roadmap

Découvrir la méthode MEHARI

  • Présentation générale
  • L’approche MEHARI
  • Analyse des enjeux et classification
  • Évaluation des services de sécurité
  • Analyse des risques
  • Développement des plans de sécurité

Découvrir la méthode EBIOS

  • Présentation générale
  • Les 5 modules d’EBIOS
  • Établissement du contexte
  • Étude d’événements redoutés
  • Étude des scénarios des menaces
  • Étude des risques
  • Étude des mesures de sécurité

Examen de certification

  • Révision des concepts en vue de la certification
  • Examen blanc
  • Passage de l'examen écrit de certification en français qui consiste à répondre à 12 questions en 2 heures
  • Un score minimum de 70% est exigé pour réussir l’examen
  • Il est nécessaire de signer le code de déontologie du PECB afin d’obtenir la certification
  • Les candidats sont autorisés à utiliser non seulement les supports de cours mais aussi la norme ISO/IEC 27005
  • En cas d’échec les candidats bénéficient d’une seconde chance pour passer l’examen dans les 12 mois suivant la première tentative
  • L’examen couvre les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux relatifs à la gestion des risques liés à la sécurité de l’information - Domaine 2 : Mettre en œuvre un programme de gestion des risques liés à la sécurité de l’information - Domaine 3 : Processus et cadre de gestion des risques liés à la sécurité de l’information conformes à la norme ISO/CEI 27005 - Domaine 4 : Autres méthodes d’appréciation des risques de la sécurité de l’information

Les + de cette formation

  • Les nombreux retours d'expériences de consultants expérimentés permettent d'illustrer les concepts et d'accroître la pertinence des réponses fournies.
  • Un programme étudié pour permettre aux participants de préparer le passage de la certification dans les meilleures conditions.
  • Répartition théorie/pratique : 60/40.
  • Cette formation se compose d’une alternance d’apports théoriques, de travaux pratiques, de démonstrations, de phases d’échanges entre participants et de synthèses de la part du formateur.
  • Cette formation préparant à la certification PECB "ISO 27005 Risk Manager" est éligible au CPF. Connectez-vous sur www.moncompteactivite.gouv.fr

Certification

Cette formation prépare au test suivant ISO/CEI 27005 Risk Manager et entre en jeu dans le cursus de certification ISO 27005 Risk Manager.