ICDE-27005 : Gestion des risques avec la norme ISO/IEC27005:2022

La formation ISO/IEC 27005:2022 pour la gestion des risques liés à la sécurité de l’information, basée sur la norme de référence ISO/IEC 27005. En 3 jours, les participants maîtrisent l’évaluation des risques, l’identification des actifs, l’évaluation des menaces et les mesures de sécurité.

A propos de cette formation certifiante

La formation ISO/IEC 27005:2022 est conçue pour les professionnels ayant de l’expérience dans la sécurité de l’information et ayant précédemment travaillé avec la norme ISO/ IEC 27001. Les participants apprendront comment utiliser la norme ISO/IEC 27005 comme un outil de gestion des risques liés à la sécurité de l’information et comment appliquer les méthodes EBIOS dans leur travail quotidien. Au cours de la formation, les participants apprendront à identifier les actifs et les menaces, à évaluer les risques, à déterminer les mesures de sécurité et à élaborer un plan de traitement des risques. La réussite de cet examen permettra aux participants de démontrer leur compétence en matière de gestion des risques liés à la sécurité de l’information et de renforcer leur CV.

Objectifs pédagogiques

  • Comprendre les concepts de base de la sécurité de l’information, les normes ISO/IEC 27001 et ISO/IEC 27005.
  • Savoir identifier les actifs et les menaces liés à la sécurité de l’information et évaluer les risques associés.
  • Connaître les différentes méthodes de gestion des risques et savoir les appliquer dans la pratique.
  • Savoir établir un plan de traitement des risques de sécurité de l’information, y compris la détermination des mesures de sécurité appropriées.
  • Acquérir les compétences pour mener une évaluation des risques de sécurité de l’information de manière efficace et efficiente.
  • Savoir communiquer les résultats de l’évaluation des risques aux parties prenantes concernées.
  • Être capable de passer l’examen de certification ISO/IEC 27005 avec succès.
  • Appliquer les connaissances et les compétences acquises dans leur travail quotidien pour renforcer la sécurité de l’information au sein de leur organisation.

Public

  • Professionnels de la sécurité de l’information travaillant dans des organisations de toutes tailles, y compris les gouvernements, les entreprises, les organisations à but non lucratif et les organisations de santé.
  • Consultants en sécurité de l’information cherchant à renforcer leurs compétences en gestion des risques liés à la sécurité de l’information et à améliorer leur employabilité.
  • Auditeurs de sécurité cherchant à renforcer leurs compétences en évaluation des risques liés à la sécurité de l’information et à améliorer leur employabilité.
  • Responsables de la sécurité de l’information cherchant à renforcer leurs compétences en gestion des risques liés à la sécurité de l’information et à améliorer leur employabilité.
  • Débutants dans le domaine de la sécurité de l’information cherchant à se familiariser avec les méthodes et les outils de gestion des risques liés à la sécurité de l’information.

Prérequis

  • Connaissances générales en sécurité des systèmes d’information.

Programme de la formation

Jour 1 Matin

Section 1 – Fondamentaux de la gestion des risques

  • Définition du risque (dictionnaire, ISO/IEC 27005:2022, EBIOS Risk Manager)
  • Composantes d’un risque (actif, vulnérabilité, menace, scénario, calcul du risque)
  • Interaction entre les composantes d’un risque
  • Exercice 1: composer un risque
  • Étude des risques – méthodes et normes
  • Norme vs méthodologie
  • Rappel d’une norme ISO/IEC
  • Lien entre les normes ISO 27001 et 27005
  • Gouvernance, risque, ISO/IEC 27005:2022, lien avec la norme ISO/IEC 27001
  • Développer un programme de gestion des risques

Section 2 – Présentation de la norme ISO/IEC 27005:2022

  • Présentation de la norme ISO/IEC 27005:2022 (clauses)
  • Structure de la norme ISO/IEC 27005:2022
  • Cycle de la norme
  • PDCA (roue de Deming)
  • Approche processus

Section 3 – La phase de contexte par ISO/IEC 27005:2022

  • Définition d’une organisation, appétit du risque
  • Identification des exigences de base des parties prenantes
  • Exercice 2: établir le contexte d’une organisation
  • Identifier les objectifs, cycle d’itération
  • Considérer la gestion des risques dans une organisation
  • Critères d’acceptation des risques
  • Critère d’évaluation des risques
  • Critères pour la conséquence
  • Critères pour la probabilité
  • Critères de détermination du niveau de risque
  • Exercice 3: établir les critères d’une organisation
Jour 1 Après-Midi
Section 4 – Cycle d’analyse
  • Définition du cycle d’analyse
  • Approche par événements / par actif
Section 5 – Phase d’identification des risques
  • Identification des actifs
  • Identification des vulnérabilités
  • Identification des menaces
  • Identification des conséquences
  • Exercice 4: identifier les actifs, les événements et les porteurs de risque
  • Identifier les sources de risques et les objectifs visés
  • Exercice 5: identifier les sources de risques et les objectifs visés
  • Identification des parties prenantes
  • Exercice 6: identifier les parties prenantes et les chemins d’attaque
  • Valeur et liens entre les actifs
  • Exercice 7: identifier les actifs supports
  • Identifier les scénarios opérationnels
  • Exercice 8: identifier les scénarios opérationnels
Jour 2 Matin
Section 6 – Phase d’estimation et d’évaluation des risques
  • Approche qualitative vs quantitative
  • Les différentes méthodes de calcul des risques
  • Estimer le niveau de sévérité de la conséquence
  • Exercice 9: estimer la sévérité de la conséquence
  • Estimer la probabilité d’occurrence
  • Exercice 10: estimer la probabilité d’occurrence
  • Déterminer le niveau de risque
  • Exercice 11: déterminer le niveau de risque
  • Comparer le résultat de l’estimation des risques avec les critères de risque
  • Prioriser les risques
  • Exercice 12: prioriser les risques
  • Établir un plan de traitement des risques
Jour 2 Après-Midi

Section 7 – Phase de traitement et d’acceptation des risques

  • Les différentes options de traitement du risque
  • Déterminer les contrôles nécessaires à la mise en œuvre des options de traitement
  • Comparer les contrôles avec ceux de l’annexe A ISO/IEC 27001
  • Exercice 13 : comparer les contrôles avec l’annexe A de la norme ISO/IEC 27001
  • Produire une déclaration d’applicabilité (DDA)
  • Mettre en place un plan de traitement des risques
  • Exercice 14: mettre en place un plan de traitement des risques
  • Notions de risques bruts, nets, résiduels
  • Évaluer le risque résiduel
  • Approuver par les porteurs de risques
Section 5: Risk Identification Phase
  • Asset identification
  • Vulnerability Identification
  • Threat Identification
  • Identification of consequences
  • Exercise 4: Identify assets, events and risk carriers
  • Identify sources of risk and objectives
  • Exercise 5: Identify sources of risk and objectives
  • Identification of stakeholders
  • Exercise 6: Identify stakeholders and attack paths
  • Value and links between assets
  • Exercise 7: Identify supporting assets
  • Identify operational scenarios
  • Exercise 8: Identify operational scenarios
Jour 3 Après-Midi
Section 8 – Communication et surveillance
  • Établir un plan de communication
  • Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA
Jour 3 Après-Midi
Section 9 – Alignement au SMSI
  • Contexte de l’organisation
  • Leadership et engagement
  • Phase de communication
  • Créer une matrice de communication
  • Exercice 15: créer une matrice de communication
  • Communiquer les risques résiduels au PCA et la réponse à incident
  • Phase de documentation
  • Informations documentées sur les processus
  • Informations documentées sur les résultats
  • Surveillance et révision des facteurs influençant les risques
  • Exemple du SFDT (source-function-destination-trigger)
  • Exercice 16: créer un scénario de surveillance
  • Action corrective
  • Amélioration continue

Programme de la certification

  • 4 heures d'examen en conditions réelles (en ligne)
  • 75 % de réussite pour obtenir la certification
  • Certification valide 3 ans
  • Mise en situation réelle avec étude de cas et rapport à rédiger
  • 90 jours pour passer la certification à la suite de la formation
ISO 27005
  • Durée de la formation : 3 jours
  • Certification : ICDE-27005

Auteur des supports

Paul Varela
Paul Varela
Lire la biographie
Jérôme Thémée
Jérôme Thémée
Lire la biographie

Formations connexes

ICDE-27001 : Implémentation de la norme ISO/IEC 27001:2022​

L’ISO/IEC 27001 Implementeur est un cours de formation destiné aux...

En Savoir Plus

ICDE-DEVSECOPMAN : Manager du DevSecOps

Le cours de formation Manager du DevSecOps est conçu pour les professionnels ayant...

En Savoir Plus
Retour en haut