Description
Cette formation de haut niveau permet aux experts SSI et risk managers d’orchestrer la gouvernance des risques cybersécurité à l’échelle d’un groupe multisites. Elle articule les référentiels ISO 27005, LPM, NIS2 et EBIOS RM avec une approche stratégique orientée décisionnel COMEX. À travers des simulations concrètes, les participants construisent un plan directeur SSI, priorisent les traitements et pilotent la résilience dans des environnements critiques.
Objectifs pédagogiques
- Piloter une gouvernance des risques cybersécurité à l’échelle d’un groupe multisites et multi-métiers.
- Hiérarchiser les risques critiques (SI industriels, OT, IT, fournisseurs) selon les contraintes internes et externes.
- Produire des supports de décision à destination des comités stratégiques (RSSI Groupe, COMEX, DGA).
- Arbitrer les traitements selon les priorités budgétaires, les risques systémiques et les obligations réglementaires (LPM, NIS2, ISO 27005).
- Concevoir un plan directeur pluriannuel de maîtrise des risques SSI.
Public concerné
Responsables de la sécurité des systèmes d’information (RSSI).
Managers et responsables d’équipes IT.
Auditeurs en sécurité informatique.
Toute personne impliquée dans la gestion des risques cyber au sein de son organisation.
Prérequis
10 à 15 ans d’expérience en cybersécurité, gouvernance SSI ou gestion de crise.
Maîtrise des référentiels ISO 27001 / 27005, LPM, NIS2.
Expérience en animation de dispositifs de pilotage SSI et de relations COMEX.
Déroulé du programme
1
Jour 1 – Gouvernance stratégique des risques SSI (7h)
7h
- Définir une gouvernance de la gestion des risques à l’échelle Groupe
- Matrice RACI et interactions entre entités SSI, DSI, métiers, juridique
- Rôles du RSSI Groupe vs entités (centralisé, délégué, hybride)
- Étude de cas : mise en place d’un dispositif de gouvernance multi-entités EDF
- Construction d’une cartographie des risques consolidée (IT/OT, cloud, fournisseurs critiques)
- Intégration des référentiels ISO 27005, EBIOS RM, LPM, NIS2
- Arbitrages SSI : coûts / impacts / continuité / exigence réglementaire
- Atelier : simulation de consolidation des risques de plusieurs entités industrielles
2
Jour 2 – Analyse, traitement et pilotage multisites (7h)
7h
- Méthodes d’évaluation de la criticité groupe (KRI, scoring avancé, dépendances croisées)
- Acceptabilité des risques : grille de tolérance par entité + arbitrage Groupe
- Priorisation et scénarisation : risque systémique, cascade d’impact
- Atelier : simulation de priorisation budgétaire des traitements SSI (multi-entités)
- Traitement des risques : mesures SSI, mesures organisationnelles, plans d’action transverses
- Suivi des risques et indicateurs : reporting COMEX, comités de pilotage SSI, anomalies
- Élaboration d’un plan directeur SSI orienté gestion des risques
- Atelier : construction d’un tableau de bord stratégique pour la direction Groupe
3
Jour 3 – Crise, résilience et communication stratégique (7h)
7h
- Articulation entre gestion des risques et gestion de crise : PCA, PRA, cyber-assurance
- Retour d’expérience de crise réelle : évaluation des risques mal anticipés ou mal traités
- Gestion des risques liés aux prestataires critiques, chaînes d’approvisionnement
- Atelier : post-mortem d’un incident groupe → requalification du portefeuille de risques
- Communication des risques SSI au COMEX : posture, langage, arbitrages
- Élaboration d’un dossier de synthèse stratégique pour la gouvernance
- War game : jeu de rôle COMEX – arbitrage en situation de sous-budgétisation critique
- Clôture : grille d’auto-évaluation de maturité de pilotage des risques cybersécurité groupe
Informations
Durée
3 jour(s)
21h
Tarif
2200 € HT
HT