Nos Métiers
 

CSS3 Rollover Buttons Css3Menu.com

 

Nexione Sarl  
162, rue de Picpus, 75012 Paris

Contacts:

          Tél/Fax: (339) 52304954
          Mobile: (336) 89395368
                        (225) 58008025

Contact Mail

Inscription à la news letter

 
Formations
 


 
       
Document sans nom

e-Data Protection et
Sécurité SI

Sécurité des SI, synthèse
Réf : NEDS02

   Durée:  2 Jours
PROFILS CONCERNES
Ingénieurs prenant les fonctions de RSSI, directeurs ou responsables informatiques, ingénieurs ou
correspondants Sécurité, chefs de projets intégrant des
contraintes de sécurité
PRE-REQUIS :
Aucune connaissance particulière.

OBJECTIFS :
Ce séminaire a pour objectif de présenter l'ensemble des actions et des solutions permettant de garantir la sécurité
des systèmes d'information : de l'analyse des risques, à la mise en œuvre optimale de solutions de sécurité. Il
développe aussi les thèmes assurantiels et juridiques intimement liés à l'application d'une politique de sécurité..

PROGRAMME

Introduction
- La notion de risque (potentialité, impact, gravité).
- Les types de risques (accident, erreur, malveillance).
- La classification DIC.
- La gestion du risque (prévention, protection, report de
risque, externalisation).

RSSI : chef d'orchestre de la sécurité

- Quel est le rôle du RSSI ?
- Vers une organisation de la sécurité, le rôle des
" Assets Owners "
- Gestion optimale des moyens et des ressources
allouées.
- Le Risk Manager dans l'entreprise ; son rôle par rapport
au RSSI.

Les cadres normatifs et réglementaires

- Les réglementations SOX, COSO, COBIT. Pour qui ?
- Vers la gouvernance informatique, les liens avec ITIL et
CMMI.
- La norme ISO dans une démarche Systèmes de
management.
- Les liens avec ISO 15408 (Critères communs, ITSEC,
TCSEC).
- La certification ISO 27001.

L'analyse de risque

- Identification et classification des risques.
- Risques opérationnels, physiques/logiques.
- Comment constituer sa propre base de connaissances menaces/vulnérabilités ?
- Les méthodes en activité : EBIOS/FEROS, MEHARI.
- La démarche d'analyse de risques dans le cadre 27001, l'approche PDCA.
- La méthode universelle ISO 27005 – les évolutions des
méthodes françaises.
- De l'appréciation au plan de traitement des risques : ce
qu'il faut faire.

Les audits de sécurité

- Processus continu et complet.
- Les catégories d'audits, de l'audit organisationnel au
test d'intrusion.
- Les bonnes pratiques de la norme 19011 appliquées à
la sécurité
- Comment créer son programme d'audit interne,
qualifier
ses auditeurs ?
- Apports comparés, démarche récursive, les implications humaines.

Plan de sensibilisation et de communication

- Sensibilisation à la sécurité : Qui ? Quoi ? Comment ?
- Définition Morale/Déontologie/Ethique.
- La charte de sécurité, son existence légale, son
contenu, sa validation.

Le coût de la sécurité
- Les budgets sécurité.
- La définition du Return On Security Investment (ROSI).
- Les techniques d'évaluation des coûts/ différences de
calcul/au TCO.
- La notion anglo-saxonne du " payback period ".

Plans de secours

- Définitions. Couverture des risques et stratégie de
continuité. Plans de secours, de continuité, de reprise et
de gestion de crise, PCA/PRA, PSI, RTO/RPO…
- Développer un plan de continuité, l'insérer dans une
démarche qualité.

Concevoir des solutions optimales

- Démarche de sélection des solutions de sécurisation
adaptées pour chaque action.
- Définition d'une architecture cible.
- La norme ISO 1540 comme critère de choix.
- Choisir entre IDS et IPS, le contrôle de contenu comme nécessité.
- Comment déployer un projet PKI, les pièges à éviter.
- Les techniques d'authentification, vers des projets SSO, fédération d'identité.
- La démarche sécurité dans les projets informatiques, le
cycle PDCA idéal.

Supervision de la sécurité

- Gestion des risques (constats, certitudes...).
- Indicateurs et tableaux de bord clés, vers une
démarche ISO et PDCA.
- Externalisation : intérêts et limites.

Les principes juridiques applicables au SI

- Les bases du droit : comment s'applique une loi ? De la
règle de droit à la décision de justice.
- La propriété intellectuelle des logiciels, la responsabilité
civile délictuelle et contractuelle.
- La responsabilité pénale.

Les atteintes juridiques au STAD
- Rappel définition du Système de Traitement
Automatique des Données (STAD).
- Types d'atteintes, contexte européen, la loi LCEN.
- Quels risques juridiques pour l'entreprise, ses
dirigeants, le RSSI ?

Recommandations pour une sécurisation " légale " du SI

- La protection des données à caractère personnel,
sanctions prévues en cas de non-respect.
- De l'usage de la biométrie en France.
- La cyber surveillance des salaries : limites et
contraintes légales.
- Le droit des salariés et les sanctions encourues par l'employeur