Objectifs pédagogiques de la formation

Les entreprises ont migré vers le tout numérique,les technologies pour sécuriser les réseaux, les applications, les systèmes existants ont atteint leur niveau de maturité. Leur simple présence dans le système d’information procure un sentiment de sécurité. Mais comment expliquer alors les infections, les fraudes, les intrusions (du moins celles qui sont détectées)…
Le but de ce séminaire sécurité du système d’information est de vous fournir un ensemble de bonnes pratiques en matière de méthodologie, de stratégie, d’organisation, de procédures et de suivi, afin de vous faire bénéficier d’une démarche structurée et des connaissances nécessaires pour appréhender une démarche sécurité dans sa globalité.
Cette formation sécurité du système d’information apportera des réponses pratiques à tous ceux qui se demandent :
Quel est le rôle de la politique de sécurité ?
Quelles sont les lois à respecter ?
Qu’est-ce qu’un enjeu ?
Quelle méthode d’analyse faut-il utiliser ?
Comment passer du projet au plan de sécurité ?
Que doit-on trouver dans un plan de sécurité ?
Comment responsabiliser les utilisateurs ?
Et à bien d’autres interrogations encore

 

Programme de la formation

INTRODUCTION
  • La définition du SI (Système d’Information)
  • Les notions de patrimoine de l’entreprise
  • Le niveau de maturité des entreprises en matière de sécurité
  • Présentation de la démarche qui mène au plan de sécurité

UNE VISION STRATEGIQUE : CINQ PHASES POUR ARRIVER AU PLAN DE SECURITE :

L’ENGAGEMENT LA DIRECTION
  • La sensibilisation de la direction générale pour obtenir son engagement.
  • Quel est le rôle de la direction générale dans la démarche sécurité ?

LA PRISE EN COMPTE DE LA LEGISLATION ET DU REGLEMENT INTERIEUR :
  • Quelle est la responsabilité de chacun ?
  • Les types de responsabilité :
  • Civile.
  • Pénale.
  • Les principales lois, en matière de cyber surveillance, protection de la vie privée, cryptologie…
  • Le règlement intérieur.
  • Quelques exemples de jurisprudence.

LA CONCEPTION DE LA POLITIQUE GENERALE DE SECURITE
  • A quoi sert la politique générale de sécurité ?
  • Comment la concevoir ?
  • D’autres textes accompagnant la politique générale de sécurité :
  • Le révérenciel de sécurité.
  • Les plans d’actions.

L’ANALYSE DES ENJEUX ET CLASSIFICATION
  • L’identification des ressources.
  • Comment évaluer les besoins en :
  • Disponibilité.
  • Intégrité.
  • Confidentialité.
  • Traçabilité.
  • Le point sur les méthodes et les normes d’analyse des risques (EBIOS, MEHARIE, ISO 2700X )

L’IDENTIFICATION DES RISQUES ET DES MENACES
  • (INFORMATIQUE, ECONOMIQUE, ENVIRONNEMENTAL)
  • Les erreurs.
  • Les accidents.
  • Les malveillances.
  • Les agresseurs.

UNE VISION TECHNIQUE ET ORGANISATIONNELLE DE LA SECURITE :

LA FORMALISATION DES OBJECTIFS OU PROJET DE SECURITE:
  • Le choix d’une organisation :
  • Quel est le rôle et la position du RSSI ?
  • Les fonctions au sein de la SSI.
  • Le ‘RisK Manager’.Le choix des composants à auditer.
  • Le choix des composants à concevoir.

LE PLAN DE SECURITE :
  • Que trouve-t-on dans un plan de sécurité :
  • Les architectures touchées par le plan de sécurité.
  • Les domaines devant figurer dans le plan de sécurité :
  • L’organisation.
  • La sécurité physique.
  • Les plans de secours :
  • Quels sont les plans de secours à mettre en place ?
  • Quelle est la démarche à employer ?
  • La gestion de crise.

DES ASPECTS A NE PAS NEGLIGER :
  • L’ISO applique les principes de la qualité à la SSI :
  • Une introduction à l’ISO 27001 :
  • La notion de SMSI (Système de Management de la sécurité de l’Information)
  • Une introduction à l’ISO 27002
  • Les bonnes pratiques.
  • L’audit avec la norme ISO 19011.
  • Quel est l’intérêt des certifications ?

LE BUDGET DE LA SSI :
  • Quelle est la part de la SSI dans le budget de l’entreprise ?
  • Les différents postes du budget SSI.
  • Le ROI de la SSI.

L’IMPACT DES CHOIX TECHNOLOGIQUES SUR L’ENTREPRISE :
  • Faut-il suivre toutes les nouvelles technologies ?
  • Quel est l’impact d’un choix technologique sur l’entreprise ?
  • Les choix structurants et non structurants.
  • Qui fait les choix ?

LA FORMATION ET LA SENSIBILISATION SONT INDISPENSABLES :
  • Le maillon faible de la sécurité : l’Homme !
  • Comment impliquer et responsabiliser les utilisateurs :
  • La sensibilisation auprès de tous les employés ?
  • La sensibilisation par profil ?
  • La conception d’un plan d’une sensibilisation.
  • Les formations pour les auditeurs, cadres et chefs de projet.
  • Les autres moyens de communication, pour sensibiliser les employés.