ICDE-27005 : Gestion des risques avec la norme ISO/IEC27005:2022

La formation ISO/IEC 27005:2022 pour la gestion des risques liés à la sécurité de l’information, basée sur la norme de référence ISO/IEC 27005. En 3 jours, les participants maîtrisent l’évaluation des risques, l’identification des actifs, l’évaluation des menaces et les mesures de sécurité.

A propos de cette formation certifiante

La formation ISO/IEC 27005:2022 est conçue pour les professionnels ayant de l’expérience dans la sécurité de l’information et ayant précédemment travaillé avec la norme ISO/ IEC 27001. Les participants apprendront comment utiliser la norme ISO/IEC 27005 comme un outil de gestion des risques liés à la sécurité de l’information et comment appliquer les méthodes EBIOS dans leur travail quotidien. Au cours de la formation, les participants apprendront à identifier les actifs et les menaces, à évaluer les risques, à déterminer les mesures de sécurité et à élaborer un plan de traitement des risques. La réussite de cet examen permettra aux participants de démontrer leur compétence en matière de gestion des risques liés à la sécurité de l’information et de renforcer leur CV.

Objectifs pédagogiques

Public

Prérequis

Programme de la formation

Jour 1 Matin

Section 1 – Fondamentaux de la gestion des risques

  • Définition du risque (dictionnaire, ISO/IEC 27005:2022, EBIOS Risk Manager)
  • Composantes d’un risque (actif, vulnérabilité, menace, scénario, calcul du risque)
  • Interaction entre les composantes d’un risque
  • Exercice 1: composer un risque
  • Étude des risques – méthodes et normes
  • Norme vs méthodologie
  • Rappel d’une norme ISO/IEC
  • Lien entre les normes ISO 27001 et 27005
  • Gouvernance, risque, ISO/IEC 27005:2022, lien avec la norme ISO/IEC 27001
  • Développer un programme de gestion des risques

Section 2 – Présentation de la norme ISO/IEC 27005:2022

  • Présentation de la norme ISO/IEC 27005:2022 (clauses)
  • Structure de la norme ISO/IEC 27005:2022
  • Cycle de la norme
  • PDCA (roue de Deming)
  • Approche processus

Section 3 – La phase de contexte par ISO/IEC 27005:2022

  • Définition d’une organisation, appétit du risque
  • Identification des exigences de base des parties prenantes
  • Exercice 2: établir le contexte d’une organisation
  • Identifier les objectifs, cycle d’itération
  • Considérer la gestion des risques dans une organisation
  • Critères d’acceptation des risques
  • Critère d’évaluation des risques
  • Critères pour la conséquence
  • Critères pour la probabilité
  • Critères de détermination du niveau de risque
  • Exercice 3: établir les critères d’une organisation
Jour 1 Après-Midi
Section 4 – Cycle d’analyse
  • Définition du cycle d’analyse
  • Approche par événements / par actif
Section 5 – Phase d’identification des risques
  • Identification des actifs
  • Identification des vulnérabilités
  • Identification des menaces
  • Identification des conséquences
  • Exercice 4: identifier les actifs, les événements et les porteurs de risque
  • Identifier les sources de risques et les objectifs visés
  • Exercice 5: identifier les sources de risques et les objectifs visés
  • Identification des parties prenantes
  • Exercice 6: identifier les parties prenantes et les chemins d’attaque
  • Valeur et liens entre les actifs
  • Exercice 7: identifier les actifs supports
  • Identifier les scénarios opérationnels
  • Exercice 8: identifier les scénarios opérationnels
Jour 2 Matin
Section 6 – Phase d’estimation et d’évaluation des risques
  • Approche qualitative vs quantitative
  • Les différentes méthodes de calcul des risques
  • Estimer le niveau de sévérité de la conséquence
  • Exercice 9: estimer la sévérité de la conséquence
  • Estimer la probabilité d’occurrence
  • Exercice 10: estimer la probabilité d’occurrence
  • Déterminer le niveau de risque
  • Exercice 11: déterminer le niveau de risque
  • Comparer le résultat de l’estimation des risques avec les critères de risque
  • Prioriser les risques
  • Exercice 12: prioriser les risques
  • Établir un plan de traitement des risques
Jour 2 Après-Midi

Section 7 – Phase de traitement et d’acceptation des risques

  • Les différentes options de traitement du risque
  • Déterminer les contrôles nécessaires à la mise en œuvre des options de traitement
  • Comparer les contrôles avec ceux de l’annexe A ISO/IEC 27001
  • Exercice 13 : comparer les contrôles avec l’annexe A de la norme ISO/IEC 27001
  • Produire une déclaration d’applicabilité (DDA)
  • Mettre en place un plan de traitement des risques
  • Exercice 14: mettre en place un plan de traitement des risques
  • Notions de risques bruts, nets, résiduels
  • Évaluer le risque résiduel
  • Approuver par les porteurs de risques
Section 5: Risk Identification Phase
  • Asset identification
  • Vulnerability Identification
  • Threat Identification
  • Identification of consequences
  • Exercise 4: Identify assets, events and risk carriers
  • Identify sources of risk and objectives
  • Exercise 5: Identify sources of risk and objectives
  • Identification of stakeholders
  • Exercise 6: Identify stakeholders and attack paths
  • Value and links between assets
  • Exercise 7: Identify supporting assets
  • Identify operational scenarios
  • Exercise 8: Identify operational scenarios
Jour 3 Après-Midi
Section 8 – Communication et surveillance
  • Établir un plan de communication
  • Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA
Jour 3 Après-Midi
Section 9 – Alignement au SMSI
  • Contexte de l’organisation
  • Leadership et engagement
  • Phase de communication
  • Créer une matrice de communication
  • Exercice 15: créer une matrice de communication
  • Communiquer les risques résiduels au PCA et la réponse à incident
  • Phase de documentation
  • Informations documentées sur les processus
  • Informations documentées sur les résultats
  • Surveillance et révision des facteurs influençant les risques
  • Exemple du SFDT (source-function-destination-trigger)
  • Exercice 16: créer un scénario de surveillance
  • Action corrective
  • Amélioration continue

Programme de la certification

ISO 27005

Détails

Démarquez-vous de la foule et faites progresser votre carrière avec ICDE

Renforcez vos équipes, améliorez votre pertinence et assurez votre avenir, le tout en restant en avance dans le monde en constante évolution de la cybersécurité.

Formations connexes

ICDE-27001 : Implémentation de la norme ISO/IEC 27001:2022​

L’ISO/IEC 27001 Implementeur est un cours de formation destiné aux...

ICDE-DEVSECOPMAN : Manager du DevSecOps

Le cours de formation Manager du DevSecOps est conçu pour les professionnels ayant...

Retour en haut