|
|
Formations
Document sans nom
|
e-Data Protection et
Sécurité SI |
|
|
|
Analyse des risques
Du choix des méthodes à la pratique, préparation à la certification 27005
Réf : NEDS03
|
Durée: 2 Jours |
|
PROFILS CONCERNES
RSSI ou correspondants Sécurité, architectes de
sécurité, directeurs ou responsables informatiques,
ingénieurs, chefs de projets (MOE, MOA) devant
intégrer des exigences de sécurité. |
PRE-REQUIS :
Connaissances de base dans le domaine de la sécurité informatique |
OBJECTIFS :
Ce séminaire vous permettra de choisir une méthode d'analyse de risques adaptée à votre contexte et de vous
faciliter la mise en œuvre par une démarche simple et pragmatique.
|
|
PROGRAMME |
Introduction
- Rappels. Terminologie ISO 27000 et ISO Guide 73.
- Définitions de la Menace, Vulnérabilité, Risques,
Mesures de protection.
- Principe général de la sécurité ISO 13335.
- La notion de risque (potentialité, impact, gravité).
- La classification CAID (Confidentialité, Auditabilité,
Intégrité, Disponibilité).
- Rappel des contraintes réglementaires et normatives
(SOX, COBIT, ISO 27001, …).
- Le rôle du RSSI versus le Risk Manager.
- La future norme 31000.
Le concept " risque "
- Identification et classification des risques.
- Les conséquences du risque (financier, juridique…).
- La gestion du risque (prévention, protection, évitement
de risque, transfert).
- Maîtrise interne ou transfert vers un tiers.
- Assurabilité d'un risque, calcul financier du transfert à l'assurance.
- Les risques couverts/non couverts par l'assurance.
- Les rôles complémentaires du RSSI et du Risk
Manager/DAF.
L'analyse de risques selon l'ISO
La méthode de la norme 27001
- L'intégration au processus PDCA.
- La création en phase Plan de la section 4.
- La mise à jour en phase Check.
La norme 27005 Information Security Risk
Management
- L'essentiel de la norme.
- La mise en œuvre d'un processus PDCA de
management des risques.
- Les étapes de l'analyse de risques.
- Les critères d'acceptation du risque.
- Du risque résiduel au risque accepté.
- La préparation de la déclaration d'applicabilité (SoA).
|
|
Les méthodes d'analyse de risques
Les méthodes françaises
- La méthode EBIOS. EBIOS dans une démarche ISO
PDCA de type SMSI 27001. Exemples.
- La méthode MEHARI.
- Elaborer un plan d'actions basé sur l'analyse des
risques.
Les autres méthodes (internationales)
- CRAMM, OCTAVE… Comparaisons techniques.
Choix d'une méthode
- Comment choisir la meilleure méthode.
- Avantages/limites méthode par méthode.
- Les bases de connaissances (vulnérabilités).
- Optimiser la mise à jour de son analyse de risques.
Conclusion
- L'analyse de risque : Pour qui ? Sur quoi ? Quand ?
- Une méthode globale ou une méthode par projet.
- Intégrer une méthode projet dans une méthode
globale.
- Le vrai coût d'une analyse de risques.
|
|
|
|
|
|
|
|