– La définition du risque et ses caractéristiques

– Les différents types de risques

– Disponibilité, Intégrité et Confidentialité d’une information.

– Les contre-mesures en gestion des risques

– Rôle et les responsabilités du Responsable Sécurité SI

– Mise en place d’une gestion optimale des moyens et des ressources
alloués.

– Le Risk Manager dans l’entreprise

– Les réglementations SOX, COSO, COBIT.

– Gouvernance du Système d’Information.

– La norme ISO 27001 dans une démarche système de management de la sécurité de l’information.

– Les liens avec ISO 15408 : critères communs, ITSEC, TCSEC.

– Les atouts de la certification ISO 27001 pour les organisations.

-Identification et de classification des risques. 
-Risques opérationnels, physiques, logiques.
-Construction d’une base de connaissances des menaces et
vulnérabilités
-Méthodes et référentiels : EBIOS /FEROS, MEHARI.
-La démarche d’analyse de risques dans le cadre de l’ISO 27001,
l’approche PDCA
-Apports du standard ISO 27005
-De l’appréciation des risques au plan de traitement des risques : les
bonnes pratiques

-Processus continu et complet.
-Les catégories d’audits, de l’audit organisationnel au test
d’intrusion.
-Les bonnes pratiques de la norme 19011 appliquées à la
sécurité.
-Création d’un programme d’audit interne
-Apports comparés, démarche récursive, les implications
humaines.
-Sensibilisation à la sécurité
-Définitions de Morale/Déontologie/Éthique.
-La charte de sécurité, son existence légale, son contenu, sa
validation.

-La couverture des risques et la stratégie de continuité.
-L’importance des plans de secours, de continuité, de reprise
et de gestion de crise, PCA/PRA, PSI, RTO/RPO.
-Développer un plan de continuité
-Définir les budgets sécurité.
-La définition du Return On Security Investment (ROSI).

-Démarche de sélection des solutions de sécurisation
adaptées pour chaque action.
-Définition d’une architecture cible.
-La norme ISO 15408 comme critère de choix.
-Choisir entre IDS et IPS, le contrôle de contenu comme
nécessité.
-Déployer un projet PKI. Les pièges à éviter.
-Les techniques d’authentification, vers des projets SSO,
fédération d’identité.
La démarche sécurité dans les projets SI, le cycle PDCAb idéal.

-Mettre en place une démarche de gestion des risques
-Les indicateurs et les tableaux de bord clés.
-Externalisation : quels sont les intérêts et quelles sont les limites ?

Rappel, définition du Système de Traitement Automatique
des Données (STAD).
-Les types d’atteintes, le contexte européen, la loi LCEN.
-Risques juridiques pour l’entreprise, ses dirigeants, le RSSI

-La protection des données à caractère personnel, sanctions
prévues en cas de non-respect.
-De l’usage de la biométrie en France.
La cybersurveillance des salariés : limites et contraintes
légales.
-Le droit des salariés et les sanctions encourues par
l’employeur.