A l'issue de cette formation, vous serez capable de :

• Mettre en place les bases d'une bonne gouvernance de la sécurité des systèmes d'information
• Reconnaître les techniques de base indispensables à la fonction de RSSI
• Expliquer et mettre en oeuvre un SMSI en vous appuyant sur la norme ISO 27001
• Exploiter l'état du marché de la sécurité informatique
• Identifier les méthodes d'appréciation des risques ainsi que les enjeux de la SSI au sein des organisations
• Mettre en pratique les stratégies de prise de fonction et des retours d'expérience de RSSI
• Identifier et évaluer les principaux risques juridiques pesant sur un système d'information
• Réduire concrètement les non-conformités juridiques affectant un système d'information.

Jour 1

Introduction

• Référence documentaire
• Définition de la Sécurité du Système d'Information (SSI)

Exemples de travaux pratiques (à titre indicatif)

• Présentation de l'étude de cas qui servira de fil rouge pour les étapes suivantes
• Les documents fournis serviront de base pour les mises en oeuvre par les stagiaires, des recommandations de la formation

Rôles et responsabilités du RSSI

• Elaboration de la politique de sécurité
• Gestion des risques
• Sensibilisation et formation
• Surveillance et audit
• Gestion des incidents
• Conformité et réglementation
• Sécurité physique et logique
• Gestion des accès
• Veille technologique
• Relations DSI - RSSI - DSSI - Référents SSI
• Coordination avec les autres départements

Exemple de travaux pratiques (à titre indicatif)

• Présentation de la PSSI de l'étude de cas

Normes et certifications liées

• Référentiels de sécurité
• Présentation des normes ISO
• Présentation du système de management dans le cadre des normes ISO270xx
• Présentation du NIST et de la nouvelle norme NIS2
• ISO 22301
• Présentation de la certification CISSP (Certificate Information System Security Professional)
• Présentation de la certification CISM (Certified Information Security Manager)

Exemple de travaux pratiques (à titre indicatif)

• Présentation des documents ISO27001, ISO27005 et NIST

Organisation générale du SMSI (Système de Management de la Sécurité de l'Information)

• Définition du domaine d'application
• Politique de sécurité du système d'information (PSSI)
• Analyse et gestion des risques (EBIOS RM, OCTAVE)
• Rôles et responsabilités
• Objectifs de sécurité de l'information (SLA)
• Contrôles et mesures de sécurité
• Gestion des incidents de sécurité
• Sensibilisation et formation
• Amélioration continue
• Conformité et audits
• Gestion documentaire

Exemple de travaux pratiques (à titre indicatif)

• Présentation de la cartographie applicative, de la matrice de flux et du document d'applicabilité

Jour 2

Catégorisation et sécurisation des actifs

• CIDT et protection de la donnée
• Inventaire des actifs
• Classification de l'information
• Etiquetage et traitement de l'information
• Protection des actifs
• Gestion des actifs mobiles et distants
• Contrôle d'accès aux actifs
• Surveillance et revue des actifs
• Formation et sensibilisation
• Documentation et audit

Exemples de travaux pratiques (à titre indicatif)

• Présentation des matrices de criticité et de sensibilité des actifs
• Présentation des métadonnées du référentiel classifié

Supervision de la sécurité des actifs

• Inventaire et classification des actifs
• Propriété et responsabilité des actifs
• Contrôles d'accès
• Protection des actifs
• Document d'applicabilité (ISO27001)
• Surveillance et détection des incidents
• Gestion du cycle de vie des actifs
• Evaluation et audit des actifs
• Sensibilisation et formation

Exemples de travaux pratiques (à titre indicatif)

• Présentation d'un extrait de Runbook
• Présentation d'un rapport d'incident

Notion de l'amélioration continue

• Présentation du cycle PDCA (Plan-Do-Check-Act)
• Révisions de direction
• Rôle de l'audit interne
• Gestion des non-conformités et actions correctives
• Surveillance et mesure

Exemple de travaux pratiques (à titre indicatif)

• QCM sur l'amélioration continue

Notion du processus qualité

• Politique de qualité
• Objectifs qualité
• Engagement de la direction
• Documentation
• Formation et sensibilisation
• Gestion des changements
• Evaluation des fournisseurs et partenaires

Exemple de travaux pratiques (à titre indicatif)

• QCM sur le processus qualité

Jour 3

Aspects organisationnels de la sécurité

• Gouvernance de la sécurité de l'information
• Implication du sponsor
• Organisation interne
• Rôles et responsabilités
• Gestion des risques
• Présentation du plan de continuité et gestion des incidents
• Introduction à la conformité et de l'audit
• Liaison avec les ressources humaines
• Communication et documentation

Exemples de travaux pratiques (à titre indicatif)

• Présentation d'une matrice de rôles
• Présentation du RBAC
• Présentation d'un extrait de PCA / PRA

Compétences relationnelles du RSSI

• Communication efficace
• Leadership
• Gestion du sponsor
• Collaboration et travail d'équipe
• Négociation et gestion des conflits
• Empathie et écoute active
• Sensibilisation et formation
• Adaptabilité et gestion du changement

Exemple de travaux pratiques (à titre indicatif)

• Présentation d'une fiche de poste

Présentation de la sécurisation des processus entre fournisseurs et intervenants

• Politique de sélection des fournisseurs
• Politique de gestion de la sous-traitance
• Contrats et accords de service (SLA)
• Gestion des accès
• Conformité et audits
• Gestion des incidents
• Formation et sensibilisation
• Gestion de la relation fournisseur
• Fin de contrat et retrait des accès

Exemple de travaux pratiques (à titre indicatif)

• Présentation d'un questionnaire fournisseur

Notion concernant les aspects juridiques de la SSI

• Conformité légale et réglementaire
• Protection des données personnelles (RGPD)
• Obligations contractuelles
• Propriété intellectuelle
• Gestion des incidents de sécurité (ISO27035 - ISO22301)
• Audit et revue de la conformité
• Formation et sensibilisation juridique
• Gestion des risques juridiques

Exemple de travaux pratiques (à titre indicatif)

• Démonstration du lien entre les normes et règlements du PSSI

Notion concernant l'audit et conformité des actifs

• Politiques et procédures d'audit
• Planification et préparation des audits
• Réalisation des audits
• Analyse des résultats d'audit
• Actions correctives et préventives
• Surveillance continue et présentation du processus de revue de conformité
• Audit externe et certification
• Formation et sensibilisation

Exemple de travaux pratiques (à titre indicatif)

• Présentation d'un rapport d'audit ISO27001

Jour 4

Notion de la méthode de gestion des risques (méthode EBIOS Risk Manager)

• Différences entre ISO27005 et EBIOS RM
• Cadre et préparation
• Etape 1 : Analyse du contexte
• Etape 2 : Identification des risques
• Etape 3 : Evaluation des risques
• Etape 4 : Traitement des risques
• Etape 5 : Surveillance et revue des risques
• Documentation et communication

Exemples de travaux pratiques (à titre indicatif)

• Présentation des SR-OV en relation avec l'étude de cas
• Présentation du rapport de traitement des risques

Notion concernant le cycle du SMCA (ISO 22301)

• Contexte de l'organisation
• Politique et gouvernance
• Analyse de l'impact sur les activités (BIA)
• Evaluation des risques
• Stratégies de continuité
• Plans de continuité et procédures
• Formation et sensibilisation
• Tests et exercices (PCA/PRA)
• Surveillance et revue
• Amélioration continue

Exemple de travaux pratiques (à titre indicatif)

• Présentation d'un PCA/PRA

Conduite de projet SMSI

• Initiation du projet dans le contexte de la PSSI 
• Planification du projet
• Mise en oeuvre du projet
• Surveillance et contrôle du projet
• Clôture du projet et amélioration continue

Exemple de travaux pratiques (à titre indicatif)

• QCM sur la conduite de projet

Jour 5

Notion de la gestion de crises (ISO 27035)

• Présentation du processus de préparation et planification
• Détection et alerte
• Réponse et gestion de la crise
• Coordination et collaboration
• Documentation et suivi
• Récupération et reprise
• Amélioration continue

Exemples de travaux pratiques (à titre indicatif)

• Présentation d'un formulaire de communication
• Présentation du rapport d'incident

Aspects techniques de la sécurité

• Contrôles d'accès
• Présentation des concepts de sécurisation des réseaux
• Notion de cryptographie
• Sécurité des applications
• Gestion des correctifs
• Sécurité des terminaux
• Surveillance et détection
• Planification de la continuité des activités

Exemples de travaux pratiques (à titre indicatif)

• Création de paires de clés publiques / privées et échange de messages entre les participants

Notion de la sécurisation du développement logiciel

• Intégration de la sécurité dans le cycle de vie du développement logiciel (SDLC)
• Conception sécurisée
• Développement sécurisé
• Présentation du processus de tests de sécurité
• Présentation de la gestion des vulnérabilités
• Déploiement sécurisé
• Présentation de la surveillance et de réponse aux incidents
• Documentation et conformité

Exemple de travaux pratiques (à titre indicatif)

• Présentation d'un cahier de recette

Conclusion et mise en perspective