RSE, QSE & Responsabilité Sociétale

Analyse des risques (Séminaire) (3-041)

3 jour(s) • 18h

Description

Objectif de la formation : Présenter les meilleures pratiques d'analyse des risques appliquées aux systèmes d'information (SI), en abordant les menaces, les vulnérabilités, les contre-mesures, et en choisissant la méthode la plus adaptée pour évaluer et gérer les risques. Comprendre les objectifs, les normes et les coûts liés à l'analyse des risques.

Objectifs pédagogiques

Appréhender les meilleures pratiques d'analyse des risques, en identifiant les menaces, vulnérabilités et contre-mesures applicables à un SI.
Choisir et appliquer une méthode d'analyse des risques selon le contexte de l'organisation.
Comprendre les objectifs, les normes et les coûts associés à l'analyse des risques.
Maîtriser les processus permettant de sécuriser un SI en identifiant les risques et en les traitant de manière appropriée.

Public concerné

Responsables sécurité des systèmes d'information (RSSI)

Chefs de projets SI

Auditeurs et consultants en sécurité informatique

Directeurs et responsables de la gestion des risques

Responsables de la gestion des risques dans les entreprises

Prérequis

Connaissance des bases de la gestion des risques en informatique.

Notions sur les systèmes d'information et la sécurité informatique.

Déroulé du programme

Les bases de l'analyse des risques (3h)

Définition des risques en sécurité informatique : menaces, vulnérabilités et impacts.
Le processus global d'analyse des risques : identification, évaluation, traitement et suivi des risques.
Méthodologies d'analyse des risques : ISO 27005, EBIOS, OCTAVE, etc.
Exposé théorique : Les principes fondamentaux de l’analyse des risques.

Les objectifs et les normes de l'analyse des risques (3h)

Les objectifs de l'analyse des risques dans un SI : Protection des actifs, continuité d’activité, conformité.
Normes et standards : ISO 27001, ISO 27005, NIST, etc.
La gestion des risques et l'intégration dans une politique de sécurité globale.
Exposé théorique : Normes et bonnes pratiques pour la gestion des risques en SI.

Identification des menaces et vulnérabilités (3h)

Catégorisation des menaces : internes, externes, intentionnelles, accidentelles.
Identification des vulnérabilités dans le SI : analyse des composants techniques et organisationnels.
Méthodes d’identification : revues de configuration, tests d’intrusion, audits.
Exposé théorique : Identification et évaluation des risques dans le SI.

Méthodes d'évaluation des risques et des contre-mesures (3h)

L'analyse qualitative et quantitative des risques.
Méthodes de calcul du risque : probabilité et impact.
La gestion des risques résiduels et le traitement des risques : éviter, transférer, accepter, réduire.
Exposé théorique et études de cas : Mise en place de contre-mesures adaptées.

Les contre-mesures et leur mise en œuvre (3h)

Sécurisation des ressources : protection des données, des systèmes et des accès.
Contrôles techniques, administratifs et physiques : stratégies de défense en profondeur.
Plan de traitement des risques et mise en œuvre des contre-mesures.
Exposé théorique et démonstrations : Mise en place des contrôles et des mesures de sécurité.

Coûts de la gestion des risques et évaluation de la rentabilité (3h)

L'évaluation des coûts de la gestion des risques : investissements dans la sécurité, assurance, prévention.
L'analyse coût/bénéfice des contre-mesures : calcul du retour sur investissement de la sécurité.
Planification de la gestion des risques à long terme.
Exposé théorique : L'optimisation des ressources pour la gestion des risques.