Nos Métiers
 

CSS3 Rollover Buttons Css3Menu.com

 

Nexione Sarl  
162, rue de Picpus, 75012 Paris

Contacts:

          Tél/Fax: (339) 52304954
          Mobile: (336) 89395368
                        (225) 58008025

Contact Mail

Inscription à la news letter

 
Formations
 


 
       
Document sans nom

e-Data Protection et
Sécurité SI

Analyse des risques
Du choix des méthodes à la pratique, préparation à la certification 27005
Réf : NEDS03

   Durée:  2 Jours
PROFILS CONCERNES
RSSI ou correspondants Sécurité, architectes de
sécurité, directeurs ou responsables informatiques,
ingénieurs, chefs de projets (MOE, MOA) devant
intégrer des exigences de sécurité.
PRE-REQUIS :
Connaissances de base dans le domaine de la sécurité informatique

OBJECTIFS :
Ce séminaire vous permettra de choisir une méthode d'analyse de risques adaptée à votre contexte et de vous
faciliter la mise en œuvre par une démarche simple et pragmatique.

PROGRAMME

Introduction
- Rappels. Terminologie ISO 27000 et ISO Guide 73.
- Définitions de la Menace, Vulnérabilité, Risques,
Mesures de protection.
- Principe général de la sécurité ISO 13335.
- La notion de risque (potentialité, impact, gravité).
- La classification CAID (Confidentialité, Auditabilité,
Intégrité, Disponibilité).
- Rappel des contraintes réglementaires et normatives
(SOX, COBIT, ISO 27001, …).
- Le rôle du RSSI versus le Risk Manager.
- La future norme 31000.

Le concept " risque "

- Identification et classification des risques.
- Les conséquences du risque (financier, juridique…).
- La gestion du risque (prévention, protection, évitement
de risque, transfert).
- Maîtrise interne ou transfert vers un tiers.
- Assurabilité d'un risque, calcul financier du transfert à l'assurance.
- Les risques couverts/non couverts par l'assurance.
- Les rôles complémentaires du RSSI et du Risk
Manager/DAF.

L'analyse de risques selon l'ISO

La méthode de la norme 27001
- L'intégration au processus PDCA.
- La création en phase Plan de la section 4.
- La mise à jour en phase Check.
La norme 27005 Information Security Risk
Management

- L'essentiel de la norme.
- La mise en œuvre d'un processus PDCA de
management des risques.
- Les étapes de l'analyse de risques.
- Les critères d'acceptation du risque.
- Du risque résiduel au risque accepté.
- La préparation de la déclaration d'applicabilité (SoA).

Les méthodes d'analyse de risques
Les méthodes françaises
- La méthode EBIOS. EBIOS dans une démarche ISO
PDCA de type SMSI 27001. Exemples.
- La méthode MEHARI.
- Elaborer un plan d'actions basé sur l'analyse des
risques.
Les autres méthodes (internationales)
- CRAMM, OCTAVE… Comparaisons techniques.

Choix d'une méthode
- Comment choisir la meilleure méthode.
- Avantages/limites méthode par méthode.
- Les bases de connaissances (vulnérabilités).
- Optimiser la mise à jour de son analyse de risques.

Conclusion
- L'analyse de risque : Pour qui ? Sur quoi ? Quand ?
- Une méthode globale ou une méthode par projet.
- Intégrer une méthode projet dans une méthode
globale.
- Le vrai coût d'une analyse de risques.