Académique Documents
Professionnel Documents
Culture Documents
Informatique et Management
Sminaires
Scurit des SI, synthse..... ( p2 ) Plan de secours et de continuit..... ( p4 ) Audit, indicateurs et contrle de la scurit..... ( p6 ) Scurit rseaux/Internet, synthse..... ( p7 ) Scurit des applications Web, synthse..... ( p9 ) PCI-DSS, scurit e-commerce..... ( p11 ) Scurit VPN, sans-fil et mobilit..... ( p13 ) Annuaire et gestion d'identit..... ( p15 ) Authentifications et autorisations, architectures..... ( p17 ) Implmenter et grer un projet ISO 27001, 27002..... ( p18 ) Analyse de risques..... ( p22 )
Stages Pratiques
Lead Auditor 27001, mise en pratique..... ( p20 ) Lead Implementer 27001, mise en pratique..... ( p21 ) ISO 27005 Risk Manager, certification..... ( p24 ) Mthode EBIOS, Mise en uvre..... ( p25 ) Scurit des SI, certification CISSP..... ( p27 ) Scurit SI, sensibilisation des utilisateurs..... ( p28 )
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 1 / 28
Participants
Ingnieurs prenant les fonctions de RSSI, directeurs ou responsables informatiques, ingnieurs ou correspondants Scurit, chefs de projets intgrant des contraintes de scurit.
Pr-requis
Aucune connaissance particulire.
1) Introduction 2) RSSI : chef d'orchestre de la scurit 3) Les cadres normatifs et rglementaires 4) L'analyse de risque 5) Les audits de scurit 6) Plan de sensibilisation et de communication 7) Le cot de la scurit Intervernants
8) Plans de secours 9) Concevoir des solutions optimales 10) Supervision de la scurit 11) Les principes juridiques applicables au SI 12) Les atteintes juridiques au STAD 13) Recommandations pour une scurisation " lgale " du SI
Aix
18 oct. 2011
Pascal GOUACHE Consultant, chef de projet, spcialis dans la scurit des rseaux et des systmes d'information. Il dirige des projets de scurit active et de qualit de service pour des grandes entreprises mettant en oeuvre des technologies de type firewall rseau et applicatif, proxy, authentification, PKI, haute disponibilit et VPN. Il est spcialis dans la protection, la disponibilit et l'amlioration des performances des services en ligne. Cdric FRENEL Il est avocat au sein de l'quipe Technologies de l'Information et de la Communication du Cabinet Courtois Lebel.
1) Introduction
- La notion de risque (potentialit, impact, gravit). - Les types de risques (accident, erreur, malveillance). - La classification DIC. - La gestion du risque (prvention, protection, report de risque, externalisation).
4) L'analyse de risque
- Identification et classification des risques. - Risques oprationnels, physiques/logiques. - Comment constituer sa propre base de connaissances menaces/vulnrabilits ? - Les mthodes en activit : EBIOS/FEROS, MEHARI. - La dmarche d'analyse de risques dans le cadre 27001, l'approche PDCA. - La mthode universelle ISO 27005 # les volutions des mthodes franaises. - De l'apprciation au plan de traitement des risques : ce qu'il faut faire.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 2 / 28
7) Le cot de la scurit
- Les budgets scurit. - La dfinition du Return On Security Investment (ROSI). - Les techniques d'valuation des cots/ diffrences de calcul/au TCO. - La notion anglo-saxonne du " payback period ".
8) Plans de secours
- Dfinitions. Couverture des risques et stratgie de continuit. Plans de secours, de continuit, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO... - Dvelopper un plan de continuit, l'insrer dans une dmarche qualit.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 3 / 28
Participants
Responsable Continuit, Risk Manager ou RSSI. Directeurs ou responsables informatiques, correspondants Scurit, chefs de projets MOA et MOE, auditeurs internes ou externes, consultants.
Pr-requis
Bonnes connaissances des architectures SI.
1) Pourquoi grer la continuit 2) Dfinitions et concepts 3) Le projet et sa gestion 4) Analyse des risques 5) L'identification des activits critiques
6) Les moyens pour la conception des dispositifs 7) Plans de continuit 8) Procdures d'escalade et cellule de crise 9) L'organisation et le suivi des tests 10) La continuit d'activit en tant que processus ITIL
Lyon
20 oct. 2011
2) Dfinitions et concepts
- Dfinir la stratgie de continuit. - Les diffrences entre plan de continuit d'activit (BCP), plan de secours informatique (DRP), plan de reprise. - Rappels de scurit : critres DICP et les 11 thmes ISO. - La feuille de route de la continuit.
3) Le projet et sa gestion
- Rappels sur la conduite de projet. - Les phases d'un projet plan de continuit. - Les particularits du projet plan de continuit.
7) Plans de continuit
- La construction des procdures. - Les quipes de secours : constitution, rles... - Un exemple de canevas d'un plan de secours.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 5 / 28
Participants
RSSI ou correspondants scurit, architectes de scurit, responsables informatiques, ingnieurs ou techniciens devant intgrer des exigences de scurit.
Pr-requis
Connaissances de base en scurit informatique.
1) Introduction le contrle de la scurit 2) Les audits de scurit 3) Les indicateurs et instruments de mesures
- Rappels. Terminologie ISO 27000. - Mise en uvre du contrle de la scurit. - Evaluation de la scurit court-moyen-long terme. - Le pilotage de la scurit : la vue " manager ". - Les revues de scurit et les lments d'entre. - La lisibilit de sa scurit par rapport aux diteurs. - Rappel des contraintes rglementaires et normatives.
5) Conclusion
- Le choix des indicateurs. - La construction de mon premier tableau de bord. - Mise en situation audit.
Etude de cas Exercices sur projets types " Scurit logique ", " Protection des biens et des personnes ", Scurit des communications ", " Scurit Application ".
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 6 / 28
Participants
Responsables scurit, dveloppeurs, concepteurs, chefs de projets intgrant des contraintes de scurit, responsables ou administrateurs rseau, informatique, systme.
Pr-requis
Bonnes connaissances des rseaux et des systmes.
1) Introduction : qui fait quoi et comment ? 2) Outils et mthodes d'intrusion par TCP-IP 3) Scurit des postes clients 4) Scurit du sans-fil (Wi-fi et Bluetooth) 5) Technologie firewall/proxy Intervernants
6) Techniques cryptographiques 7) Scurit pour l'Intranet/Extranet 8) Rseaux Privs Virtuels (VPN) 9) Scurit des applications 10) Gestion et supervision active de la scurit
Aix
15 nov. 2011, 27 mar. 2012 4 juin 2012
Lyon
15 nov. 2011, 27 mar. 2012 4 juin 2012
Pascal GOUACHE Consultant, chef de projet, spcialis dans la scurit des rseaux et des systmes d'information. Il dirige des projets de scurit active et de qualit de service pour des grandes entreprises mettant en oeuvre des technologies de type firewall rseau et applicatif, proxy, authentification,PKI, haute disponibilit et VPN. Il est spcialis dans la protection, la disponibilit et l'amlioration des performances des services en ligne. Boris MOTYLEWSKI Fondateur et directeur technique de la socit ExperLAN (Scurit des rseaux IP) devenue aujourd'hui Thales Security Solutions. Fondateur de la socit Axiliance, il conoit le firewall RealSentry et dirige la R&D de 2001 2005. Avec plus de 10 ans d'expertise dans la scurit, Boris Motylewski est un des meilleurs experts franais en scurit informatique.
Nantes
29 nov. 2011, 12 mar. 2012 11 juin 2012
Rennes
29 nov. 2011, 12 mar. 2012 11 juin 2012
Sophia-antipolis
15 nov. 2011, 27 mar. 2012 4 juin 2012
5) Technologie firewall/proxy
- Serveurs proxy, reverse proxy, masquage d'adresse. - Filtrage. Firewall et proxy : quelle complmentarit ? - Principe des firewalls, primtre fonctionnel.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 7 / 28
- La mise en place de solutions DMZ. - Scurit lie l'adressage. - Evolution de l'offre Firewall (appliance, VPN, IPS, UTM...). - Notion de " d-primtrisation " du forum Jericho. - Utilisation des firewalls dans la protection des environnements virtuels.
6) Techniques cryptographiques
- Terminologie, principaux algorithmes. Lgislation et contraintes d'utilisation en France et dans le monde. - Algorithmes cl publique : Diffie Hellman, RSA... - Scellement et signature lectronique : MD5, MAC... - Mots de passe, token, carte puce, certificats ou biomtrie ? - Authentification forte : logiciels (S/key), cartes puces, calculettes d'authentification. - Scurisation des cls de chiffrement (PFS, TPM...). - Evaluation des systmes d'authentification : Radius, Tacacs+, Kerberos, X509. - Complter l'authentification par l'intgrit et la confidentialit de vos donnes.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 8 / 28
Participants
DSI, RSSI, Responsables scurit, dveloppeurs, concepteurs, chefs de projets intgrant des contraintes de scurit, responsables ou administrateurs rseau, informatique, systme.
Pr-requis
Connaissances de base en informatique et en rseaux.
1) Introduction 2) Menaces et vulnrabilits des applications Web 3) Les protocoles de scurit SSL et TLS 4) Les attaques cibles sur l'utilisateur et le navigateur
5) Les attaques cibles sur l'authentification 6) La scurit des Web services 7) Comment scuriser efficacement les applications Web ? 8) Contrler la scurit des applications Web
1) Introduction
- Evolution des attaques protocolaires et applicatives. - Le monde des hackers : qui sont-ils ? - Statistiques et volution des failles lies au Web selon IBM X-Force IBM et OWASP. - Le protocole HTTP 1.0 et 1.1. - Redirection HTTP, host virtuel, proxy cache et tunneling. - Architecture rseau, Firewall, Proxy, Reverse Proxy...
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 9 / 28
- Comment mettre en oeuvre une authentification forte. - Autres techniques d'authentification par logiciel. - Solution de Web SSO non intrusive (sans agent). Les principales attaques sur les authentifications - Attaque sur les mots de passe. - Attaque 'Man in the Middle'. - Attaque sur les authentifications HTTPS.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 10 / 28
Participants
RSSI ou correspondants scurit, architecte de scurit, ingnieurs scurit, chefs de projets (MOE, MOA) devant intgrer des exigences de scurit rglementaires.
Pr-requis
Bonnes connaissances dans la gestion de la scurit des SI.
1) Introduction 2) Les six thmes et les douze exigences du standard PCI DSS 3) Les objectifs de conformit et la certification
1) Introduction
- L'historique et les objectifs du comit PCI (PCI Council). Les obligations respecter. - Quelles menaces spcifiques sur le e-commerce ? Les sources de menaces. - Le standard PCI DSS apporte-t-il des avantages pour votre mtier ? - Les obligations de PCI DSS 1.2 et 2.0. L'objectif de conformit incontournable. - Les domaines d'application du PCI DSS. - La relation entre PADSS et PCI DSS, les conditions et procdures d'valuation.
5) Conclusion
- Les particularits du march franais, le positionnement de ses acteurs. - Le dploiement gnralis du paiement EMV. - Le fournisseur approuv par la norme PCI DSS. Quel avantage technique et ... commercial ? - L'mergence de nouveaux standards : du " sans contact " au paiement mobile. - Panorama des nouvelles mthodes de paiement : EMV, sans contact (Paypass et VisaWave) et paiement mobile.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 11 / 28
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 12 / 28
Participants
DSI, RSSI, Responsables scurit, chefs de projets, consultants, administrateurs, cadres utilisateurs de portables, Smartphones ou d'un accs VPN.
Pr-requis
Des connaissances de base sur l'informatique sont ncessaires.
1) Menaces et vulnrabilits 2) Les attaques sur l'utilisateur 3) Les attaques sur les postes clients Exemple
4) Scurit des rseaux privs virtuels (VPN) 5) Scurit des rseaux sans-fil 6) Scurit des Smartphones
Approche thorique et pratique avec dmonstration, avantages et inconvnients des solutions, retours d'exprience.
1) Menaces et vulnrabilits
- Evolution de la cybercriminalit en France. - Statistiques et volution des attaques. - Evaluation des risques dans un contexte de mobilit.
- Les risques spcifiques des Smartphones. - Failles de scurit : le palmars par plateforme. - Virus et code malveillants : quel est le risque rel ? - Protger ses donnes en cas de perte ou de vol.
Dmonstration Mise en oeuvre d'un accs Wi-fi fortement scuris avec IPsec et EAP-TLS. Attaque de type " Man in the Middle " sur une application Web en HTTPS via un Smartphone (sslsnif et sslstrip). Accs au SI en VPN SSL avec authentification forte. Protection des donnes par le chiffrement (EFS, Bitlocker et Bitlocker to go).
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 14 / 28
Participants
Ce sminaire s'adresse aux directeurs informatiques, directeurs des tudes, architectes techniques, chefs de projet informatique.
Pr-requis
Connaissances de base des architectures techniques.
1) Spcificits des annuaires LDAP 2) Modlisation d'un annuaire 3) Choix des outils 4) Dmarche d'urbanisation applique la gestion d'identit 5) Outils de gestion d'annuaires
6) Outils de provisioning 7) Outils de Single Sign On et PKI 8) Usages des annuaires d'entreprise et ROI 9) Synthse et perspectives
6) Outils de provisioning
- Propagation des donnes d'identit. - Organiser les processus d'alimentation des annuaires. - Les forces/faiblesses de chaque solution (Sun, Novell, Microsoft, Oracle, IBM, etc.).
9) Synthse et perspectives
- Synthse des outils de gestion d'identit actuels. - Notion de " fdration d'identit ".
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 15 / 28
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 16 / 28
Authentifications et autorisations
architectures et solutions
OBJECTIFS
Ce sminaire propose une dmarche mthodologique pour mener bien un projet sur les services triple A : Authentication, Authorization, Accounting. Grce aux tudes de cas prsentes, vous apprendrez viter les problmes classiques et choisir la solution la plus approprie au besoin de l'entreprise.
Participants
Architecte et chef de projet rseau. Tout dcideur informatique, notamment les responsables technique/ infrastructure.
Pr-requis
Connaissances de base des architectures techniques.
1) Introduction
- Le concept AAA. - Les services fournis. - La demande du march.
2) Les environnements
- Les mcanismes d'authentification et d'autorisation de Microsoft. - Authentifications et autorisations dans le monde Unix. - Mthodes d'accs aux rseaux d'entreprise. - Quel dispositif pour accder aux applications ?
3) Les technologies
- Les techniques de chiffrement. - Les algorithmes MD5, AES, RSA, etc. - Les infrastructures Kerberos, Radius, PAM, LDAP, etc. - Les protocoles de vrification comme WindBind, SASL, GSSAPI, etc. - Les API (JAAS ...). - La dfinition des autorisations. Les groupes et les rles. - Les modles d'organisation RBAC, PDP et PEP.
6) Conclusions
- Comprendre les besoins. - Savoir valuer la solution la plus approprie. - Les solutions de demain.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 17 / 28
Participants
RSSI, Risk Manager, directeurs ou responsables informatiques, MOE/ MOA, ingnieurs ou correspondants Scurit, chefs de projets intgrant des contraintes de scurit, Auditeurs internes et externes, futurs " audits ".
Pr-requis
Connaissances de base de la scurit informatique.
1) Introduction 2) Les normes ISO 2700x 3) L'analyse de risque, norme 27005 4) Les bonnes pratiques, rfrentiel ISO 27002
5) La mise en uvre de la scurit dans un projet (27003, 27004) 6) Les audits de scurit ISO 19011 7) Les bonnes pratiques juridiques 8) La certification ISO de la scurit du SI
Intervernant Les animateurs sont tous reconnus comme des experts dans le domaine de la scurit du Systme d'Information. Certifis lead Auditor 27001 eux-mmes, ils vous feront partager leurs propres expriences d'implmentations russies de ISMS et d'audit ISO 27001-19011. Un avocat spcialis dans les IT viendra vous rappeler les rgles respecter pour mettre en conformit juridique avec les lois franaises et europennes votre Systme de Management de la Scurit.
1) Introduction
- Rappels. Terminologie ISO 27000 et ISO Guide 73. - Dfinitions : menace, vulnrabilit, protection. - La notion de risque (potentialit, impact, gravit). - La classification CAID (Confidentialit, Auditabilit, Intgrit, Disponibilit). - La gestion du risque (prvention, protection, report de risque, externalisation). - Analyse de la sinistralit. Tendances. Enjeux. - Les rglementations SOX, COSO, COBIT, psour qui ? pourquoi ? Vers la gouvernance SI, les liens avec ITIL et CMMI. - L'apport de l'ISO pour les cadres rglementaires. - L'alignement COBIT, ITIL et ISO 27002.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 19 / 28
Participants
Auditeurs internes, Risk Manager, RSSI, directeurs ou responsables informatiques, ingnieurs ou correspondants Scurit, chefs de projets intgrant des contraintes de scurit.
Pr-requis
Bonnes connaissances de la gestion de la scurit des SI et des normes 2700x. Avoir suivi le stage Orsys "Implmenter et grer un projet ISO 27001, 27002" (rf. ASE). Exprience souhaitable.
2) Corrections collectives
- Les rsultats des exercices et travaux pratiques vous sont restitus sous forme de corrections collectives au cours desquelles les explications aux erreurs ventuelles sont analyses.
3) Rvision finale
- Pour clore la prparation, une rvision finale est fournie au cours de laquelle des trucs, astuces et piges viter vous seront communiqus.
4) Examen
- L'examen crit dure 3 heures 30 et comporte six parties : - un QCM sur la norme ISO/IEC 19011 et guides associs sur 20 points, - un QCM sur la norme ISO/IEC 27001 et guides associs sur 20 points, - un exercice de recherche de rfrence normative en fonction de constats d'audit sur 5 points, - un exercice relatif au cycle PDCA sur 5 points, - un exercice " faits et infrences " bas sur un article de presse sur 10 points, - une tude de cas sur 35 points : analyse de constats d'audit, analyse de fiches d'cart, laboration du plan d'une runion d'ouverture ou de clture ou d'un plan ou programme d'audit. - Les rsultats de l'examen vous parviendront par courrier environ deux trois semaines plus tard.
Travaux pratiques L'examen "Lead Auditor" certifie que vous possdez les connaissances et les comptences pour auditer la conformit d'un SMSI suivant la norme ISO/IEC 27001: 2005. Ce certificat ISO vous apportera la plus grande crdibilit dans la conduite de vos projets d'audit.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 20 / 28
Participants
Risk Manager, RSSI, responsables informatiques, tout acteur SI qui doit intgrer des contraintes de scurit.
Pr-requis
Bonnes connaissances de la gestion de la scurit des SI et des normes 2700x. Avoir suivi le stage Orsys "Implmenter et grer un projet ISO 27001, 27002" (rf. ASE). Exprience souhaitable.
2) Corrections collectives
- Les rsultats des exercices et travaux pratiques vous sont restitus sous forme de corrections collectives au cours desquelles les explications aux erreurs ventuelles sont analyses.
3) Rvision finale
- Pour clore la prparation, une rvision finale est fournie au cours de laquelle des trucs, astuces et piges viter vous seront communiqus.
4) Examen
- L'examen crit dure 3 heures 30. Le droulement de l'examen crit, son contenu et les rgles respecter (normes ou autres documents mis la disposition des candidats, modalits mises en oeuvre pour respecter la confidentialit des copies, points minimaux requis pour l'obtention de l'examen crit...) sont prsents par le formateur lors de la premire journe de formation. - L'examen comporte un questionnaire choix multiples relatif la norme ISO/IEC 27001, des exercices pratiques et une tude de cas. Les rsultats de l'examen vous parviendront par courrier 2-3 semaines plus tard.
Travaux pratiques L'examen final certifie que vous possdez les connaissances et les comptences ncessaires pour mettre en oeuvre un SMSI suivant la norme ISO/IEC 27001: 2005 " Technologies de l'information # Techniques de scurit # Systmes de management de la scurit de l'information # Exigences". Au travers l'examen approfondi des normes 27000, vous apprendrez bien les implmenter et les adapter votre contexte dans un primtre allant d'un projet informatique sensible l'ensemble de la Scurit du Systme d'information de votre organisme. Cet examen est dirig en partenariat avec l'organisme de certification LSTI (accrdit COFRAC). Il se droule pendant la dernire demi-journe. Ce diplme international officiel ISO vous apportera la plus grande crdibilit dans la conduite de vos projets d'implmentation de SMSI de type ISO 27001.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 21 / 28
Analyse de risques
du choix des mthodes la pratique, prparation la certification 27005
OBJECTIFS
Ce sminaire a pour objectif de prsenter les meilleures mthodes d'analyse de risques. Il vous permettra de choisir une mthode adapte votre contexte et vous facilitera sa mise en oeuvre en vous prsentant une dmarche simple et pragmatique.
Participants
RSSI ou correspondants Scurit, architectes de scurit, directeurs ou responsables informatiques, ingnieurs, chefs de projets (MOE, MOA) devant intgrer des exigences de scurit.
Pr-requis
Connaissances de base dans le domaine de la scurit informatique.
1) Introduction
- Rappels. Terminologie ISO 27000 et ISO Guide 73. - Dfinitions de la Menace. Vulnrabilit, Risques, Mesures de protection. - Principe gnral de la scurit ISO 13335. - La notion de risque (potentialit, impact, gravit). - La classification CAID (Confidentialit, Auditabilit, Intgrit, Disponibilit). - Rappel des contraintes rglementaires et normatives (SOX, COBIT, ISO 27001, ...). - Le rle du RSSI versus le Risk Manager. - La future norme 31000, de l'intrt d'une norme " chapeau ".
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 22 / 28
- La convergence vers l'ISO, la ncessaire mise jour - Etre ou ne pas Etre " ISO spirit " : les contraintes du modle PDCA. - Comment optimiser la mise jour de son analyse de risques.
6) Conclusion
- L'analyse de risque : Pour qui ? Sur quoi ? Quand ? - Une mthode globale ou une mthode par projet. - Pratiquer et faire pratiquer simplement une mthode dans chaque projet. - Intgrer une mthode projet dans une mthode globale. - Le vrai cot d'une analyse de risques.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 23 / 28
Participants
RSSI ou correspondants Scurit, Architecte de scurit, directeurs ou responsables informatiques, ingnieurs, chefs de projets (MOE, MOA) devant intgrer des exigences de scurit.
3) Rvision finale
Pr-requis
Bonnes connaissances de la gestion de la scurit des SI et des normes 27005. Avoir suivi le stage "Analyse de risques " (rf. AIR) ou une formation similaire (une attestation peut-tre demande). Exprience souhaitable.
2) Corrections collectives
- Les rsultats des exercices et travaux pratiques vous sont restitus sous forme de corrections collectives au cours de laquelle les explications aux erreurs ventuelles sont analyses.
3) Rvision finale
- Pour clore la prparation, une rvision finale est ralise au cours de laquelle des astuces seront fournies ainsi que les piges viter.
Examen L'examen crit dure 2 heures 30. De manire assurer l'anonymat lors de la correction des examens, les copies sont numrotes et seul le formateur connat la correspondance entre le numro de copie et l'identit du candidat et ceci jusqu' la transmission au formateur des rsultats finaux (note de l'examen crit + note du formateur). L'examen comporte au minimum un questionnaire relatif la norme ISO/IEC 27005, un exercice sur le modle PDCA, une tude de cas sur la gestion des risques. L'valuation faite par le formateur a pour but d'tablir si le candidat possde les qualits personnelles pour effectuer une gestion des risques au sein d'une entreprise. Elle est base sur : l'attitude gnrale (participation, ambiance de travail etc.), la capacit travailler en quipe, la capacit s'exprimer oralement : respect du temps imparti, esprit de synthse, clart. Cette valuation est sur 3 points. Elle s'ajoute la notation de l'examen crit pour donner un total de 100 points. Le candidat doit obtenir un minimum de 70 points (examen crit et valuation du formateur) pour tre certifi. Les rsultats de l'examen vous parviendront par courrier environ 6 semaines plus tard.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 24 / 28
Participants
RSSI ou correspondants Scurit, architectes de scurit, directeurs ou responsables informatiques, ingnieurs, chefs de projets (MOE, MOA) devant intgrer des exigences de scurit.
Pr-requis
Bonnes connaissances de la gestion de la scurit des SI et de la norme 27005 ou connaissances quivalentes celles apportes par le stage " Analyse de risques " (rf. ARI). Exprience en scurit souhaitable.
1) Introduction - Rappel 2) Etude du contexte 3) Etude des vnements redouts 4) Etude des scnarios de menaces Etude de cas
laboration d'un cas concret par les participants (identification du domaine d'application projet, identification et valuation des actifs principaux). Rsolution par groupes de 2 4 personnes. Pratique de la mthode partir des outils et bases de connaissances intgrs la mthode.
1) Introduction - Rappel
- Objectifs d4EBIOS 2010. Evolution EBIOS v2. - Compatibilits normatives 27001 et 27005. - Prsentation de la dmarche mthodologique. - Historique, rle de l'ANSSI et du club EBIOS. - Domaine d'application de la dmarche : cible secteur public ou priv, tailles et secteurs d'activit viss. - Application de la mthode sur systmes de scurit existants ou en cours de d'laboration. - Diffusion de la mthode EBIOS.
2) Etude du contexte
- Caractristiques du contexte ; identification du domaine d'application. - Biens essentiels (actifs primaires) ; biens supports. - Les menaces principales. - Les enjeux de scurit du primtre.
Travaux pratiques Echanges interactifs sur pourquoi et comment grer les risques. dfinir quel est le sujet de l'tude.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 25 / 28
7) Conclusion
- Synthse sur la mthode EBIOS. - Comment personnaliser son analyse de risques. - Revue de l'analyse : vers une dmarche PDCA. - Intgration de la dmarche dans un SMSI.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 26 / 28
Participants
Responsable de la scurit des SI ou toute autre personne jouant un rle dans la politique de scurit des SI.
Pr-requis
Connaissance de base sur les rseaux et les systmes d'exploitation ainsi qu'en scurit de l'information. Connaissance de base des normes en audit et en continuit des affaires.
1) Scurit du SI et le CBK de l'(ISC) 2) Gestion de la scurit et scurit des oprations 3) Architecture, modles de scurit et contrle d'accs
4) Cryptographie et scurit des dveloppements 5) Scurit des tlcoms et des rseaux 6) Continuit des activits, loi et thique et scurit physique
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 27 / 28
Participants
Tous les utilisateurs ayant accs au systme d'information via un poste informatique.
Pr-requis
Aucune connaissance particulire.
1) Introduction 2) La scurit informatique : comprendre les menaces/risques 3) Vers une utilisation responsable et scurise
1) Introduction
- Cadre gnral : qu'entend-on par scurit informatique (menaces, risques, protection) ? - Comment une ngligence peut crer une catastrophe. Quelques exemples. La responsabilit.
ORSYS, La Grande Arche, Paroi Nord, 92044 Paris La Dfense cedex. Tl : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78
page 28 / 28