Aperçu du cours
La fonction de RSSI est une fonction stratégique. Même s’il doit toujours avoir une bonne culture technique, le responsable sécurité est avant tout un manager ainsi qu’un leader technique. En résumé, il est le centre névralgiques entre entre les orientations stratégiques et les décisions opérationnelles au quotidien. Il doit pouvoir être en mesure de rapporter au management, tout en pilotant des projets et en résolvant des problématiques purement techniques.
Objectifs pédagogiques
- Être capable de préserver la conformité du système d'information
- Savoir définir des politiques de sécurité
- Pouvoir organiser le suivi des différents référentiels pour appliquer conformité et politiques
- Savoir prendre les bonnes décisions en cas d'incident
- Comprendre les problèmes techniques
- Être en mesure de prêcher la bonne parole auprès du management et du personnel
Programme de formation
-
Préparation de l'audit
-
Formation et communication
-
Audit blanc
-
Documents à préparer
-
Considérations pratiques
-
Réception des auditeurs (SoX, Cour des Comptes, Commission bancaire, etc.)
-
-
Introduction au métier de RSSI
-
Qu’est ce qu’un RSSI ? (mise en exergue de cette fonction clé par rapport à tous les aspects de son environnement)
-
Production, direction, métiers, conformité et juridique
-
-
Aspects organisationnels de la sécurité
-
Panorama des référentiels du marché
-
Politiques de sécurité
-
Politiques globales, sectorielles et géographiques
-
Conformité
-
Gouvernance de la sécurité
-
Indicateurs sécurité
-
Gestion des incidents
-
-
Aspects techniques de la sécurité (référentiels et best practices)
-
Sécurité du système d’information
-
Sécurité des applications (sessions, injection SQL, XSS)
-
Sécurité réseau (routeurs, firewalls)
-
Sécurité du poste de travail
-
-
Système de Management de la Sécurité de l\'Information (norme ISO 27001)
-
Bases sur les SMSI
-
Panorama des normes de type ISO 27000
-
Bases sur ISO 27001 et ISO 27002
-
-
Gestion des risques
-
Méthodologies d’appréciation des risques : – EBIOS – MEHARI – ISO 27005
-
Analyse du risque
-
Evaluation du risque
-
Traitement du risque
-
Acceptation du risque
-
-
Aspects juridiques de la SSI
-
Informatique et libertés
-
Communications électroniques
-
Conservation des traces
-
Contrôle des salariés
-
Atteintes aux STAD
-
Charte informatique
-
Administrateurs
-
-
Mise en pratique
-
Après une prise de connaissance de l’ensemble du périmètre sur 4/5 jours, une mise en pratique permettra au stagiaire de mieux comprendre les tenants et aboutissants. Cette mise en pratique pourra être circonstancielle ou une simulation. Basée donc sur un cahier des charges fictif ou sur un besoin du client, la mise en situation sera un premier pas dans le monde du RSSI, plongeant ainsi les stagiaires dans le coeur même du sujet. La simulation, couvrant absolument tous les aspects, s’étalera ainsi sur 10 jours, permettant de mettre en pratique l’ensemble des notions abordées.
-