Ingénieurs prenant les fonctions de RSSI, directeurs ou responsables informatiques, ingénieurs ou correspondants sécurité, chefs de projet intégrant des contraintes de sécurité.

Aucune connaissance particulière n'est requise.

À la fin de la formation, le participant sera capable de :

• Contrôler le processus de gouvernance de la sécurité.
• Faire usage des référentiels professionnels et des normes associées de la série ISO 27K.
• Comprendre le cadre juridique français et européen (LPM, NIS, RGPD, …).
• Établir un plan d'actions pour accomplir les objectifs de la politique de sécurité.
• Concevoir une réponse appropriée et proportionnée pour diminuer les risques cyber.

Les bases de la sécurité des systèmes d'information

• Définition des processus et des informations actives et des actifs de support (informatiques).
• Classification DICT/P : Disponibilité, Intégrité, Confidentialité et Traçabilité/Preuve.
• Définition du risque SSI et ses propriétés spécifiques (vulnérabilités, menaces).
• Différents types de risques : accident, erreur, malveillance.
• Emergence du risque cybernétique, les APT, se préparer à une crise cybernétique.
• Sources d'information externes indispensables (ANSSI, CLUSIF, ENISA, etc.).

L'équipe SSI : une multitude de profils professionnels

• Le rôle et les responsabilités du RSSI / CISO, la relation avec la DSI.
• Vers une organisation structurée et décrite de la sécurité, identifier les compétences.
• Le rôle des "Assets Owners" et l'implication nécessaire de la direction.
• Les profils d'architectes, intégrateurs, auditeurs, pen-testeurs, superviseurs, risk manager, etc.
• Constituer une équipe compétente, formée et réactive aux évolutions du cyberespace.

Les cadres normatifs et réglementaires

• Intégration des exigences métiers, légales et contractuelles. Approche par conformité.
• Un exemple de réglementation professionnelle : PCI DSS pour protéger ses données sensibles.
• Mesures de sécurité pour atteindre un objectif de confidentialité, d'intégrité des données.
• Un exemple de réglementation juridique : directive NIS/ Loi de Programmation Militaire.
• Les 4 axes de la sécurité vue par l'Europe et l'ANSSI : Gouvernance, Protection, Défense et Résilience.
• Mesures de sécurité pour atteindre un objectif de disponibilité, d'intégrité des processus.
• La norme ISO 27001 dans une démarche de système de gestion (roue de Deming / PDCA).
• Les bonnes pratiques universelles de la norme ISO 27002, la connaissance minimale indispensable.
• Les domaines de la sécurité : de la politique à la conformité en passant par la sécurité informatique.
• Elaboration d'un Plan d'Assurance Sécurité dans sa relation client / fournisseur.

Le processus d'analyse des risques

• Intégration de l'Analyse des risques au processus de gouvernance de la sécurité.
• Identification et classification des risques, risques accidentels et cyber risques.
• Normes ISO 31000 et 27005 et relation du processus de risque au SMSI ISO 27001.
• De l'évaluation des risques au plan de traitement des risques : les activités appropriées du processus.
• Connaissance des méthodes prédéfinies : approche FR / EBIOS RM, approche US / NIST, etc.

Les audits de sécurité et la sensibilisation des utilisateurs

• Catégories d'audits, de l'audit organisationnel au test d'intrusion.
• Bonnes pratiques de la norme 19011 appliquées à la sécurité.
• Comment qualifier ses auditeurs ? - exemple avec les PASSI en France.
• Sensibilisation à la sécurité : Qui ? Quoi ? Comment ?
• Nécessité d'une sensibilisation planifiée et budgétisée.
• Différents formats de sensibilisation, présentiel ou virtuel ?
• La charte de sécurité, son existence légale, son contenu, les sanctions. Les quiz et serious game, exemple avec le MOOC de l'ANSSI.

Le coût de la sécurité et les plans de secours

• Les budgets de sécurité, les statistiques disponibles.
• Définition du retour sur investissement en sécurité (ROSI).
• Techniques d'évaluation des coûts, différentes méthodes de calcul, calcul du TCO.
• Couverture des risques et stratégie de continuité.
• Plan d'urgence, de continuité, de récupération et de gestion de crise, PCA / PRA, PSI, RTO / RPO.
• Développer un plan de continuité, l'intégrer dans une approche de sécurité.

Concevoir des solutions techniques optimales

• Structuration de sa protection logique et physique. Savoir élaborer une défense en profondeur.
• Les trois grands axes de la sécurité informatique (réseaux, données, logiciels).
• Segmentation de ses réseaux sensibles, technologies firewall réseau et applicatif.
• Rendre ses données illisibles pendant le stockage et le transport, les techniques de cryptage.
• Sécuriser ses logiciels par durcissement et conception sécurisée.
• Gestion des vulnérabilités logicielles, savoir utiliser CVE / CVSS.

Supervision de la sécurité

• Indicateurs opérationnels de gouvernance et de sécurité.
• Pilotage cyber : tableau de bord compatible ISO.
• Préparation de sa défense (IDS, détection d'incidents, etc.).
• Traitement des alertes et cyber forensics, le rôle des CERT.

Les atteintes juridiques au Système de Traitement Automatique des Données

• Rappel, définition du Système de Traitement Automatique des Données (STAD).
• Types d'atteintes, contexte européen, la loi LCEN. Le règlement RGPD.
• Quels risques juridiques pour l'entreprise, ses dirigeants, le RSSI ?

Recommandations pour une sécurisation "légale" du SI

• Protection des données à caractère personnel, sanctions prévues en cas de non-respect.
• Utilisation de la biométrie en France.
• Cybersurveillance des employés : limites et contraintes légales.
• Droits des employés et sanctions encourues par l'employeur.