L’Analyse des Risques selon Ebios 2010

Durée : 3 jours

Villes/Dates :

Cliquer ICI pour consulter notre planning et le tarif de cette formation. 

Objectifs

• Acquérir les connaissances nécessaires à l'évaluation d'un Système de Management de la Sécurité de l'Information conforme aux exigences du Standard International 27001.
• Maîtriser la conduite d’un projet d’analyse de risques et découvrir les nouveautés de la version 3 d’EBIOS.
• Analyser la conformité entre EBIOS 2010 et le processus de gestion du risque en sécurité de l'information tel que décrit dans l’ISO 27005.
• Savoir mener un projet de gestion des risques, de l’expression des besoins de sécurité à l’identification des vulnérabilités.
• Acquérir les techniques de communication propres à l’animation des entretiens et des réunions.
• Savoir identifier les cas d’utilisation de la méthode EBIOS : de la définition d’une politique de sécurité jusqu'à la mise en place d’un SMSI conforme à l’ISO 27001.

Public 

• Responsables de la sécurité des systèmes d'information, aux auditeurs et aux membres des équipes de contrôle interne. 

Pré-requis

• Connaissance générale de la sécurité des systèmes d'information. 

Programme

Information et Sécurité de l'Information.

La progression pédagogique s’effectuera selon les étapes suivantes :

Accueil des participants et présentation de la formation « EBIOS Gestion des Risques ».

Exposé sur la démarche, description du modèle de gestion des risques tel que décrit par la norme ISO 27005.

Présentation des différents contextes d’utilisation de la méthode EBIOS : mise en place d’un modèle de gouvernance, élaboration d’une politique de sécurité, spécification d’une application, définition d’un PCA.

Découverte des principales évolutions et nouveautés de la méthode.

Présentation et étude pragmatique* de la nouvelle méthode, par étapes :

1)     Étude du contexte

2)     Etude des évènements redoutés

3)     Étude des scénarios de menaces

4)     Etude des risques

5)     Etude des mesures de sécurité

* Cette formation EBIOS est axée sur un travail durant les 3 jours réalisés sur une étude de cas.

Exposé sur les techniques de communication, clé du succès de la démarche : attitudes, déontologie, conduite d’un entretien, gestion de la communication orale et recueil écrit des informations, animation des réunions de lancement et de synthèse.

Entraînement à la pratique des entretiens autour des thèmes :

1)     Réunion de lancement,

2)     Etude des évènements redoutés et des besoins de sécurité : gérer la relation avec les métiers et les MOA ;

3)     Analyse des risques : gestion de la relation avec les usagers, les RSSI et les Directions Informatiques

4)     Réunion de clôture.

Simulation pour corriger les attitudes, comprendre les difficultés rencontrées, maîtriser la communication, être efficace.

Présentation des conformités entre EBIOS et ISO 27005 (management du risque).

Conclusion et bilan de la formation.

Pédagogie et supports

Des phases pratiques et théoriques sont organisées en alternance, avec pour supports les outils pédagogiques suivants :

• Cours théoriques (apports théoriques, définitions, notions clés, acquisitions méthodologiques) ;
• Etude de cas ;
• Exercices théoriques et pratiques ;
• Supports visuels et documentaires en français.

Documents remis à chaque participant :

• Supports de cours ;
• Démarche EBIOS.

Le nombre de participants est limité à 10 afin de permettre la mise en situation des participants.

Examen en vue de la Certification

Une certification des stagiaires conformément au référentiel type d’évaluation de compétences EBIOS pourra être proposée en option (en cours de construction).