IPgarde vous propose ces cycles de formations dédiées à la Sécurité des Systèmes d’Information :
- Cybersécurité – cadre juridique et réglementaire
- Cybersécurité : état de la menace et bonnes pratiques
- Méthode d’analyse de risques EBIOS 2010 (Expression des Besoins et Identification des Objectifs de Sécurité)
- Méthode d’analyse de risques EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité)
- Homologation
SSI01 : Cybersécurité : cadre juridique
Objectifs de la formation
A l’issue de la formation le stagiaire sera sensibilisé à la réglementation liée à la sécurité des systèmes d’information et comprendra les enjeux liés à la cybersécurité.
Durée
0.5 jour (peut se combiner le même jour avec le stage Cybersécurité – état de la menace et bonnes pratiques)
Programme
Les acteurs
L’organisation nationale de la sécurité des systèmes d’information (la chaine fonctionnelle SSI , l’ANSSI, les OIV, les visas de sécurité, le CALID, l’OCLCTIC et la plateforme PHAROS, ACYMA – cybermalveillance.gouv.fr -, Percev@l, le C3N, la BEFTI, la DGSI, le COMCYBER, les réserves de cyberdéfense, la section F1 du parquet de Paris, la CNIL, l’ENISA, les MSGU…)
La réglementation
Nationale
- Le classifié et les niveaux de marquage
- La protection du patrimoine scientifique et technique de la nation
- Le référentiel général de sécurité (RGS)
- La loi de programmation militaire (LPM)
- La PSSI de l’Etat (PSSIE)
Internationale
- Le règlement général de protection des données (RGPD)
- La directive NIS
- La directive police – justice
- Le règlement eIDAS
- L’ENISA Cybersecurity Act
SSI02 : Cybersécurité : état de la menace et bonnes pratiques
Objectifs de la formation
A l’issue de la formation le stagiaire sera capable de comprendre les enjeux de la cybersécurité et sera sensibilisé aux bonnes pratiques SSI.
Public et pré-requis
La (cyber)sécurité est l’affaire de tous ! Correspondants SSI, chefs de projet, DSI, RSSI, salariés…
Aucun pré-requis n’est exigé.
Durée
0.5 jour (peut se combiner le même jour avec le stage Cybersécurité – cadre juridique et réglementaire)
Programme
L’état de la menace (principaux risques, APT.)
Retours d’expérience sur les récentes attaques
Maturité SSI de l’organisme
Les bonnes pratiques recommandées par l’ANSSI (guide des 12 bonnes pratiques et guide d’hygiène informatique)
SSI03 : Méthode d’analyse de risques EBIOS 2010 (Expression des Besoins et Identification des Objectifs de Sécurité)
Objectifs de la formation
EBIOS est une méthode d’analyse de risques compatible avec la norme ISO 27005. Véritable « boite à outil », elle s’adapte au sujet étudié, aux livrables attendus et à l’état du projet.
A l’issue de la formation le stagiaire sera capable de :
- Pour les personnels chargés de la sécurité des systèmes d’information (SSI) : réaliser une étude EBIOS pour gérer les risques SSI ;
- Pour la maitrise d’ouvrage : suivre l’analyse de risque effectuée par un prestataire en détenant les éléments suffisants de compréhension.
Public et pré-requis
Toute personne ayant à mener une analyse de risques EBIOS ou à piloter une analyse effectuée par un prestataire externe : RSSI, chef de projet…
Pré-requis : comprendre les enjeux et le vocabulaire de la SSI (la formation est assez dense).
Durée
2 jours (14 h)
Programme
EBIOS, les bases.
Module 1 : étude du contexte
Module 2 : étude des événements redoutés
Début du Module 3 : Etude des scénarios de menace
Revue des acquis de la veille
Fin du module 3 : étude des scénarios de menace
Module 4 : étude des risques
Module 5 : étude des mesures de sécurité
Cas d’application
SSI04 : Méthode d’analyse de risques EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité)
Objectifs de la formation
EBIOS RM est un changement de paradigme par rapport à EBIOS 2010. Les deux versions de cette méthodologie co-habitent
A l’issue de la formation le stagiaire sera capable de dérouler la méthode de gestion des risques EBIOS RM et de superviser des utilisateurs de la méthode.
Public et pré-requis
Toute personne ayant à gérer les risques SSI (analyse de risques, suivi du plan d’action…) de sa structure (risk manager, RSSI, chef de projet, maitrise d’ouvrage)
Pré-requis : comprendre les enjeux et le vocabulaire de la SSI (la formation est assez dense).
Durée
2 jours (soit 14 h)
Moyens pédagogiques et techniques
Les bases (concepts, vocabulaire)
Atelier 1 : cadrage et socle de sécurité
Atelier 2 : sources de risques
Atelier 3 : scénarios stratégiques
Atelier 4 : scénarios opérationnels
Atelier 5 : traitement du risque
Etude de cas.
SSI05 : Homologation
Objectifs de la formation
Une décision d’homologation est l’attestation formelle, par une autorité d’homologation, auprès des utilisateurs d’un système d’information, que celui-ci est protégé. Cette décision, qui atteste que les risques sont connus et maitrisés, n’est rendue possible qu’à l’issue d’un processus d’homologation, rendu obligatoire par plusieurs textes et réglementations nationales et internationales (Référentiel général de sécurité, Instruction générale interministérielle n°1300, protection des opérateurs d’importance vitale, politique de sécurité des systèmes d’information de l’Etat…)
A l’issue de la formation le stagiaire sera capable de :
- Comprendre la démarche d’homologation et les enjeux réglementaires ;
- Construire et piloter un processus d’homologation ;
- Constituer un dossier d’homologation ;
- Présenter un dossier d’homologation auprès d’une autorité d’homologation.
Public et pré-requis
Ce stage s’adresse à toute personne devant piloter ou suivre un processus d’homologation, notamment les chefs de projet, maitrises d’ouvrage et RSSI.
Durée
0.5 jour (4 h)
Programme
Principes généraux
L’homologation : une obligation réglementaire
La démarche d’homologation en 9 étapes simples
Le dossier de sécurité
Les différentes formes d’homologation
La décision d’homologation
