– Terminologie ISO 27000.
– Définitions de la Menace. Vulnérabilité. Risques.

– Les exigences Disponibilité Intégrité et Confidentialité

– Rappel des contraintes réglementaires et normatives

– Le rôle du RSSI versus le Risk Manager.

– La norme 31000, de l’intérêt de la norme “chapeau” en référentiel
universel.

– Identification et classification des risques.

– Risques opérationnels, physiques et logiques.

– Les conséquences du risque (financier, juridique, humain…).

– La gestion du risque (prévention, protection, évitement de risque,
transfert).

– Assurabilité d’un risque, calcul financier du transfert à l’assurance.

– L’appréciation initiale en phase Plan de la section 6 : Planification.

– La norme 27005 :2018 : Information Security Risk Management.

– La mise en œuvre d’un processus PDCA de management des
risques.

– Le contexte, l’appréciation, le traitement, l’acceptation et la revue des
risques.

– Les étapes de l’analyse de risques (identification, analyse et
évaluation).

– La préparation de la déclaration d’applicabilité (SoA) et du plan
d’actions.

– Le partage des risques avec des tiers (cloud, assurance, …); Le
domaine 15 de ISO 27002.

– La méthode de la norme 27001 :2013 et son processus
Gestion des Risques

– Approche par conformité vs approche par scénarios de risques.

– La prise en compte des menaces intentionnelles sophistiquées de type APT.

– Les objectifs de EBIOS RM (Identifier le socle de sécurité,
Être en conformité, Identifier et analyser, etc.).
 – Les activités de la méthode.

– CRAMM, OCTAVE… Historique et reste du monde.

– Les méthodes MEHARI (2010, PRO et Manager).

– La convergence vers l’ISO, la nécessaire mise à jour.

– Être ou ne pas être “ISO spirit” : les contraintes du modèle
PDCA.

– Une méthode globale ou une méthode par projet.

– Le vrai coût d’une analyse de risques.

– Comment choisir la meilleure méthode ?

– Les bases de connaissances (menaces, risques..).