Formation - ISO 27005 - Risk Manager

1 - Introduction au programme de gestion des risques conforme à la norme ISO/CEI 27005

• Objectifs et structure de la formation
• Concepts du risque
• Définition scientifique du risque
• Le risque et les statistiques
• Le risque et les opportunités
• La perception du risque
• Le risque lié à la sécurité de l'information

2 - Connaître le cadre normatif et réglementaire

• Norme et méthodologie
• ISO/IEC 31000 et ISO/IEC 31010
• Normes de la famille ISO/IEC 27000

3 - Mettre en oeuvre un programme de management du risque

• Mandat et engagement de la direction
• Responsable de la gestion du risque
• Responsabilités des principales parties prenantes
• Mesures de responsabilisation
• Politique de la gestion du risque
• Processus de la gestion du risque
• Approche et méthodologie d'appréciation du risque
• Planification des activités de gestion du risque et fourniture des ressources

4 - Établir le contexte mission, objectifs, valeurs, stratégies

• Établissement du contexte externe
• Établissement du contexte interne
• Identification et analyse des parties prenantes
• Identification et analyse des exigences
• Détermination des objectifs
• Détermination des critères de base
• Définition du domaine d'application et limites

5 - Identifier les risques

• Techniques de collecte d'information
• Identification des actifs, des menaces, des mesures existantes, des vulnérabilités et des impacts

6 - Analyser et évaluer les risques

• Appréciation des conséquences
• Appréciation de la vraisemblance de l'incident
• Appréciation des niveaux des risques
• Évaluation des risques
• Exemple d'appréciation des risques

7 - Apprécier les risques avec une méthode quantitative

• Notion de ROSI
• Calcul de la perte annuelle anticipée
• Calcul de la valeur d'une mesure de sécurité
• Politiques spécifiques
• Processus de management de la politique

8 - Traiter les risques

• Processus de traitement des risques
• Option de traitement des risques
• Plan de traitement des risques

9 - Apprécier les risques et gérer les risques résiduels

• Acceptation des risques
• Approbation des risques résiduels
• Gestion des risques résiduels
• Communication sur la gestion des risques

10 - Communiquer sur les risques

• Objectifs de communication sur la gestion des risques
• Communication et perception des risques
• Plan de communication

11 - Surveiller les risques

• Surveillance et revue des facteurs de risque et de la gestion des risques
• Amélioration continue de la gestion des risques
• Mesurer le niveau de maturité de la gestion des risques
• Enregistrement des décisions et des plans de communications

12 - Découvrir la méthode OCTAVE

• Méthodologies OCTAVE
• OCTAVE Allegro Roadmap

13 - Découvrir la méthode MEHARI

• L'approche MEHARI
• Analyse des enjeux et classification
• Évaluation des services de sécurité
• Analyse des risques
• Développement des plans de sécurité

14 - Découvrir la méthode EBIOS

• Les 5 modules d'EBIOS
• Établissement du contexte
• Étude d'événements redoutés, des scénarios des menaces, des risques et des mesures de sécurité

15 - Passage de l'examen de certification "PECB Certified ISO/CEI 27005 Risk Manager" (en ligne après la formation)

• Révision des concepts en vue de la certification et examen blanc
• Un voucher permettant le passage du test de certification est adressé à l'issue de la session
• Chaque participant doit créer son profil sur l'espace PECB puis, une fois le profil validé, choisir un créneau pour passer l'examen et télécharger l'application PECB Exams
• Le jour de l'examen ils doivent se connecter 30 minutes avant le début de la session
• Toutes les étapes sont détaillées sur https://pecb.com/help/wp-content/uploads/2018/07/Guide-de-pr%C3%A9paration-a-l%E2%80%99examen-en-ligne-de-PECB.pdf
• Passage de l'examen de certification en français en 2 heures
• Un score minimum de 70% est exigé pour réussir l'examen
• Il est nécessaire de signer le code de déontologie du PECB afin d'obtenir la certification
• Les candidats sont autorisés à utiliser les supports de cours et la norme ISO/IEC 27005
• En cas d'échec, ils bénéficient d'une seconde chance pour passer l'examen dans les 12 mois suivant la première tentative
• L'examen couvre les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux relatifs à la gestion des risques liés à la sécurité de l'information - Domaine 2 : Mettre en oeuvre un programme de gestion des risques liés à la sécurité de l'information - Domaine 3 : Processus et cadre de gestion des risques liés à la sécurité de l'information conformes à la norme ISO/CEI 27005 - Domaine 4 : Autres méthodes d'appréciation des risques de la sécurité de l'information