Objectifs de formation
A l'issue de cette formation, vous serez capable de :
- Mettre en place les bases d'une bonne gouvernance de la sécurité des systèmes d'information
- Reconnaître les techniques de base indispensables à la fonction de RSSI
- Expliquer et mettre en oeuvre un SMSI en vous appuyant sur la norme ISO 27001
- Exploiter l'état du marché de la sécurité informatique
- Identifier les méthodes d'appréciation des risques ainsi que les enjeux de la SSI au sein des organisations
- Mettre en pratique les stratégies de prise de fonction et des retours d'expérience de RSSI
- Identifier et évaluer les principaux risques juridiques pesant sur un système d'information
- Réduire concrètement les non-conformités juridiques affectant un système d'information.
Prérequis
Avoir des connaissances de base sur la sécurité des systèmes d'information et une bonne maîtrise des systèmes et des infrastructures.
Public concerné
Ingénieurs système, ingénieurs en sécurité, administrateurs système, chefs de projets en sécurité, MOE (maîtres d'oeuvre) et/ou MOA (maîtres d'ouvrage).
Programme
Jour 1
Introduction
- Référence documentaire
- Définition de la Sécurité du Système d'Information (SSI)
Exemples de travaux pratiques (à titre indicatif)
- Présentation de l'étude de cas qui servira de fil rouge pour les étapes suivantes
- Les documents fournis serviront de base pour les mises en oeuvre par les stagiaires, des recommandations de la formation
Rôles et responsabilités du RSSI
- Elaboration de la politique de sécurité
- Gestion des risques
- Sensibilisation et formation
- Surveillance et audit
- Gestion des incidents
- Conformité et réglementation
- Sécurité physique et logique
- Gestion des accès
- Veille technologique
- Relations DSI - RSSI - DSSI - Référents SSI
- Coordination avec les autres départements
Exemple de travaux pratiques (à titre indicatif)
- Présentation de la PSSI de l'étude de cas
Normes et certifications liées
- Référentiels de sécurité
- Présentation des normes ISO
- Présentation du système de management dans le cadre des normes ISO270xx
- Présentation du NIST et de la nouvelle norme NIS2
- ISO 22301
- Présentation de la certification CISSP (Certificate Information System Security Professional)
- Présentation de la certification CISM (Certified Information Security Manager)
Exemple de travaux pratiques (à titre indicatif)
- Présentation des documents ISO27001, ISO27005 et NIST
Organisation générale du SMSI (Système de Management de la Sécurité de l'Information)
- Définition du domaine d'application
- Politique de sécurité du système d'information (PSSI)
- Analyse et gestion des risques (EBIOS RM, OCTAVE)
- Rôles et responsabilités
- Objectifs de sécurité de l'information (SLA)
- Contrôles et mesures de sécurité
- Gestion des incidents de sécurité
- Sensibilisation et formation
- Amélioration continue
- Conformité et audits
- Gestion documentaire
Exemple de travaux pratiques (à titre indicatif)
- Présentation de la cartographie applicative, de la matrice de flux et du document d'applicabilité
Jour 2
Catégorisation et sécurisation des actifs
- CIDT et protection de la donnée
- Inventaire des actifs
- Classification de l'information
- Etiquetage et traitement de l'information
- Protection des actifs
- Gestion des actifs mobiles et distants
- Contrôle d'accès aux actifs
- Surveillance et revue des actifs
- Formation et sensibilisation
- Documentation et audit
Exemples de travaux pratiques (à titre indicatif)
- Présentation des matrices de criticité et de sensibilité des actifs
- Présentation des métadonnées du référentiel classifié
Supervision de la sécurité des actifs
- Inventaire et classification des actifs
- Propriété et responsabilité des actifs
- Contrôles d'accès
- Protection des actifs
- Document d'applicabilité (ISO27001)
- Surveillance et détection des incidents
- Gestion du cycle de vie des actifs
- Evaluation et audit des actifs
- Sensibilisation et formation
Exemples de travaux pratiques (à titre indicatif)
- Présentation d'un extrait de Runbook
- Présentation d'un rapport d'incident
Notion de l'amélioration continue
- Présentation du cycle PDCA (Plan-Do-Check-Act)
- Révisions de direction
- Rôle de l'audit interne
- Gestion des non-conformités et actions correctives
- Surveillance et mesure
Exemple de travaux pratiques (à titre indicatif)
- QCM sur l'amélioration continue
Notion du processus qualité
- Politique de qualité
- Objectifs qualité
- Engagement de la direction
- Documentation
- Formation et sensibilisation
- Gestion des changements
- Evaluation des fournisseurs et partenaires
Exemple de travaux pratiques (à titre indicatif)
- QCM sur le processus qualité
Jour 3
Aspects organisationnels de la sécurité
- Gouvernance de la sécurité de l'information
- Implication du sponsor
- Organisation interne
- Rôles et responsabilités
- Gestion des risques
- Présentation du plan de continuité et gestion des incidents
- Introduction à la conformité et de l'audit
- Liaison avec les ressources humaines
- Communication et documentation
Exemples de travaux pratiques (à titre indicatif)
- Présentation d'une matrice de rôles
- Présentation du RBAC
- Présentation d'un extrait de PCA / PRA
Compétences relationnelles du RSSI
- Communication efficace
- Leadership
- Gestion du sponsor
- Collaboration et travail d'équipe
- Négociation et gestion des conflits
- Empathie et écoute active
- Sensibilisation et formation
- Adaptabilité et gestion du changement
Exemple de travaux pratiques (à titre indicatif)
- Présentation d'une fiche de poste
Présentation de la sécurisation des processus entre fournisseurs et intervenants
- Politique de sélection des fournisseurs
- Politique de gestion de la sous-traitance
- Contrats et accords de service (SLA)
- Gestion des accès
- Conformité et audits
- Gestion des incidents
- Formation et sensibilisation
- Gestion de la relation fournisseur
- Fin de contrat et retrait des accès
Exemple de travaux pratiques (à titre indicatif)
- Présentation d'un questionnaire fournisseur
Notion concernant les aspects juridiques de la SSI
- Conformité légale et réglementaire
- Protection des données personnelles (RGPD)
- Obligations contractuelles
- Propriété intellectuelle
- Gestion des incidents de sécurité (ISO27035 - ISO22301)
- Audit et revue de la conformité
- Formation et sensibilisation juridique
- Gestion des risques juridiques
Exemple de travaux pratiques (à titre indicatif)
- Démonstration du lien entre les normes et règlements du PSSI
Notion concernant l'audit et conformité des actifs
- Politiques et procédures d'audit
- Planification et préparation des audits
- Réalisation des audits
- Analyse des résultats d'audit
- Actions correctives et préventives
- Surveillance continue et présentation du processus de revue de conformité
- Audit externe et certification
- Formation et sensibilisation
Exemple de travaux pratiques (à titre indicatif)
- Présentation d'un rapport d'audit ISO27001
Jour 4
Notion de la méthode de gestion des risques (méthode EBIOS Risk Manager)
- Différences entre ISO27005 et EBIOS RM
- Cadre et préparation
- Etape 1 : Analyse du contexte
- Etape 2 : Identification des risques
- Etape 3 : Evaluation des risques
- Etape 4 : Traitement des risques
- Etape 5 : Surveillance et revue des risques
- Documentation et communication
Exemples de travaux pratiques (à titre indicatif)
- Présentation des SR-OV en relation avec l'étude de cas
- Présentation du rapport de traitement des risques
Notion concernant le cycle du SMCA (ISO 22301)
- Contexte de l'organisation
- Politique et gouvernance
- Analyse de l'impact sur les activités (BIA)
- Evaluation des risques
- Stratégies de continuité
- Plans de continuité et procédures
- Formation et sensibilisation
- Tests et exercices (PCA/PRA)
- Surveillance et revue
- Amélioration continue
Exemple de travaux pratiques (à titre indicatif)
- Présentation d'un PCA/PRA
Conduite de projet SMSI
- Initiation du projet dans le contexte de la PSSI
- Planification du projet
- Mise en oeuvre du projet
- Surveillance et contrôle du projet
- Clôture du projet et amélioration continue
Exemple de travaux pratiques (à titre indicatif)
- QCM sur la conduite de projet
Jour 5
Notion de la gestion de crises (ISO 27035)
- Présentation du processus de préparation et planification
- Détection et alerte
- Réponse et gestion de la crise
- Coordination et collaboration
- Documentation et suivi
- Récupération et reprise
- Amélioration continue
Exemples de travaux pratiques (à titre indicatif)
- Présentation d'un formulaire de communication
- Présentation du rapport d'incident
Aspects techniques de la sécurité
- Contrôles d'accès
- Présentation des concepts de sécurisation des réseaux
- Notion de cryptographie
- Sécurité des applications
- Gestion des correctifs
- Sécurité des terminaux
- Surveillance et détection
- Planification de la continuité des activités
Exemples de travaux pratiques (à titre indicatif)
- Création de paires de clés publiques / privées et échange de messages entre les participants
Notion de la sécurisation du développement logiciel
- Intégration de la sécurité dans le cycle de vie du développement logiciel (SDLC)
- Conception sécurisée
- Développement sécurisé
- Présentation du processus de tests de sécurité
- Présentation de la gestion des vulnérabilités
- Déploiement sécurisé
- Présentation de la surveillance et de réponse aux incidents
- Documentation et conformité
Exemple de travaux pratiques (à titre indicatif)
- Présentation d'un cahier de recette
Conclusion et mise en perspective
Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.
Modalités, méthodes et moyens pédagogiques
Formation délivrée en présentiel ou distanciel* (blended-learning, e-learning, classe virtuelle, présentiel à distance).
Le formateur alterne entre méthode** démonstrative, interrogative et active (via des travaux pratiques et/ou des mises en situation).
Variables suivant les formations, les moyens pédagogiques mis en oeuvre sont :
- Ordinateurs Mac ou PC (sauf pour certains cours de l'offre Management), connexion internet fibre, tableau blanc ou paperboard, vidéoprojecteur ou écran tactile interactif (pour le distanciel)
- Environnements de formation installés sur les postes de travail ou en ligne
- Supports de cours et exercices
En cas de formation intra sur site externe à M2i, le client s'assure et s'engage également à avoir toutes les ressources matérielles pédagogiques nécessaires (équipements informatiques...) au bon déroulement de l'action de formation visée conformément aux prérequis indiqués dans le programme de formation communiqué.
* nous consulter pour la faisabilité en distanciel
** ratio variable selon le cours suivi
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation
Accessibilité de la formation
Le groupe M2i s'engage pour faciliter l'accessibilité de ses formations. Les détails de l'accueil des personnes en situation de handicap sont consultables sur la page Accueil et Handicap.
Modalités et délais d’accès à la formation
Les formations M2i sont disponibles selon les modalités proposées sur la page programme. Les inscriptions sont possibles jusqu'à 48 heures ouvrées avant le début de la formation. Dans le cas d'une formation financée par le CPF, ce délai est porté à 11 jours ouvrés.