CATALOGUE Catalogue de formations 2014

Transcription

1 CATALOGUE Catalogue de formations 2014

2 3 Catalogue de formations 2014

3 LéONARD LéONARD KEAT KEAT édito Depuis plus de 10 ans, LEXSI délivre des formations auprès des professionnels de la sécurité du SI. Toujours au fait de l actualité, elles s attachent à suivre les évolutions rapides des risques et les transformations vers plus de management et de technique que vivent les RSSI au sein de leur organisation. Le catalogue 2014 reflète particulièrement ces évolutions. Ainsi, notre nouveau cursus RSSI apporte la réponse aux challenges que rencontrent les RSSI. Considéré comme un métier technique, leur rôle est devenu pluri-disciplinaire et nécessite des compétences techniques, mais aussi de management, de gestion opérationnelle et des connaissances juridiques. Nous mettons également l accent sur deux sujets de préoccupation majeure des RSSI et des DSI : la sécurité des systèmes industriels et la sécurité dans les développements. Enfin, nous mettons en place pour la première fois des attestations liés à nos 3 cursus : ADN RSSI, ADN RPCA et ADN RPCSI. Ils attestent qu à l issue des formations, les stagiaires ont acquis des compétences nécessaires à l exercice de leur métier. Ce catalogue dédié à la sécurité et à la continuité d activité reste l un des plus complets du marché et je vous garantis le maintien du niveau d excellence reconnu par les stagiaires qui ont suivi nos formations. Léonard KEAT Responsable du Pôle Formation chez LEXSI LA FORMATION CHEZ LEXSI EN QUELQUES MOTS Des formateurs avec un fort retour d expérience terrain Nos formateurs sont aussi des consultants, des auditeurs, des pentesteurs et des membres du CERT. Leurs missions sont autant de retours d expérience «en direct du terrain» qui sont partagés avec les stagiaires. Certains sont également des leaders d opinion dans la communauté de la Sécurité de l Information. Nous nous attachons à disposer d une équipe de formateurs experts et pédagogues. Des modules adaptés aux réalités des métiers de la sécurité de l information Les modules de formation répondent aux enjeux et besoins des fonctions clés de management des risques et de sécurité opérationnelle. Ils s adressent également à tous les acteurs qui contribuent à la sécurité de l information. De 1 à 5 jours, ces formations courtes permettent de rapidement acquérir les compétences et les expertises adéquates. Des formations certifiantes avec nos partenaires du LSTI Vous souhaitez valider votre expertise et votre parcours professionnel de spécialiste de la sécurité du SI. Nous nous sommes associés avec LSTI pour délivrer des formations ouvrant à des certifications reconnues à l international, notamment celles liées aux normes de la famille ISO

4 Ce qui change en 2014 UNE FILIèRE DéDIéE à LA SéCURITé DES SySTèMES INDUSTRIELS Apparu en 2013, le module de formation dédié à la sécurité des systèmes industriels a rencontré un vif succès. Il se décline maintenant en 2 modules rassemblés dans une filière dédiée appelée «SCADA». L émergence de ce risque et des contraintes réglementaires présentes et futures sur les OIV (Opérateurs d Importance Vitale) et PIV (Points d Importance Vitale) vont amener les experts industriels et experts sécurité à monter en compétences sur ce sujet. LA FILIèRE «SéCURITé DES DévELOppEMENTS» MISE à jour Dans un souci de refléter la réalité des métiers et des enjeux de la sécurité des applications webs et mobiles, la filière «Sécurité des développements» a été réorganisée en 5 modules allant des fondamentaux au traitement de la sécurité des applications webs selon les 3 langages courants :.NET, PHP et JAVA. Pour des formations sur mesure, nous pouvons créer une formation dans un langage autre que les 3 précités. UN RSSI plus COMpLET À l écoute de nos clients, nous avons modifié le programme RSSI pour coller au plus près la réalité du métier pluridisciplinaire du RSSI : des connaissances en management, juridiques, techniques, opérationnelles et de communication. Ce programme de 5 jours s adresse avant tout aux RSSI novices qui veulent rapidement acquérir les compétences et les connaissances nécessaires à leur prise de fonction. UNE MEILLEURE LECTURE DU NIvEAU REQUIS par CHAQUE MODULE Pour améliorer la lisibilité du niveau requis pour suivre un module, nous avons mis en place une règle de notation des codes modules : Les modules commençant par un «F» présentent les fondamentaux et ne nécessitent pas de pré-requis. Les modules commençant par un «A» s adressent à des profils qui souhaitent approfondir certains sujets. Les modules commençant par un «E» sont pour des profils expérimentés qui veument acquérir des connaissances et des compétences avancées. 5

5 Quelques chiffres 95% 80% 98% 94% 82% 88% +500 Des participants ont jugé satisfaisantes les formations LEXSI (dont 66% les ont jugées très satisfaisantes) Des participants ont jugé excellentes les qualités d animation et de pédagogie du formateur Des participants estiment que les connaissances acquises sont applicables dans le cadre de leur travail Des participants pensent que leurs objectifs de formation ont été atteints Des participants qui ont suivi le programme RSSI l ont jugé excellent Des participants qui ont suivi le programme Ethical Hacking l ont jugé excellent et bon personnes formées en 2013, en formation inter et en formation intra-entreprise TEMOIgNAgES CLIENTS «Formation très concrète et applicable. Le formateur maîtrise très bien son sujet.» (module Ethical Hacking) «Je suis très satisfait de mon parcours de formation chez vous. J'ai trouvé vos formations concrètes et claires, vos consultants expérimentés et pragmatiques. J'ai aussi apprécié de recevoir des modèles de livrables. Je n'hésiterai pas à conseiller ces formations autour de moi.» (modules de la filière PCA) «Je tiens à remercier LEXSI pour la qualité de l accueil et de leurs prestations. Les notions ont été clairement abordées et l ambiance était excellente» (cursus RSSI) «Grandes compétences de l animateur qui a su s adapter au niveau de chaque participant» (formation intra-entreprise module Infrastructure sécurisée) 6

6 Des formations adaptées et modulables vous CONSEILLER Les membres de LEXSI Formation peuvent vous accompagner pour identifier vos objectifs pédagogiques, pour définir vos besoins en formation et pour concevoir des parcours de formation adaptés à chaque population ciblée. NOUS ADApTER Notre offre de formation en sécurité du SI est l une des plus complètes du marché. Si vous le souhaitez, en fonction du nombre de participants, nous pouvons dispenser chaque module du catalogue en intra-entreprise, i.e. uniquement avec des collaborateurs de votre entreprise. Si vous avez un besoin spécifique de formation en sécurité du SI qui ne se trouve pas dans notre catalogue, nous pouvons concevoir une formation sur mesure, spécifique à votre contexte. Centre de formation agréé depuis 2001 Déclaré sous le n vous ACCUEILLIR LEXSI Formation vous accueille dans ses 2 centres principaux de formation à Paris- Bagnolet et à Lyon-Limonest. Nous mettons à votre disposition une salle de formation équipée de moyens techniques performants. Ces formations en inter-entreprise favorisent les échanges entre confrères partageant les mêmes objectifs. NOUS DépLACER LEXSI Formation peut fournir dans vos locaux les modules de ce catalogue. Vos collaborateurs restant sur leur site, la formation est délivrée avec un maximum d interactivité et la possibilité de poser des questions propres à votre entreprise. C est également l occasion de personnaliser la formation et de l inscrire dans votre contexte (données, statistiques, etc.). ENgLISH-SpEAKINg INSTRUCTORS Nos modules peuvent être délivrés en langue anglaise, le support étant par défaut en français. Nous pouvons, à la demande, créer une version anglaise du support. Nos formateurs peuvent se déplacer également dans le monde entier sur vos sites à l international. 7

7 Nous contacter vous souhaitez personnaliser une formation, créer une formation sur mesure ou avoir plus d informations sur les modules et cursus de notre catalogue de formation? Prenez contact avec l équipe Pôle Formation de LEXSI qui est à votre disposition pour trouver la meilleure solution à vos besoins de formation. vos S Léonard KEAT Responsable du Pôle Formation Fixe : +33 (0) lkeat@lexsi.com Laëtitia COgNARD Chargée du développement du Pôle Formation Fixe : +33 (0) lcognard@lexsi.com pourquoi CHOISIR LES FORMATIONS SUR MESURE? Elles ne rassemblent que des collaborateurs de votre organisation. Elles se déroulent dans vos locaux. Elles peuvent faire l objet d adaptations dans le contexte de votre organisation et de vos activités métier. Elles permettent d aborder des problématiques internes et de poser des questions propres à votre organisation Les travaux pratiques et exercices peuvent être adaptés à votre environnement technologique et être conçus sur mesure. La session est planifiable selon les disponibilités des participants et au moment de votre choix En contrepartie, une formation intra-entreprise sur mesure ne peut être organisée qu en mobilisant un minimum de 4 participants. De plus, l organisation devra fournir les moyens logistiques permettant de réaliser la formation dans ses locaux. Dans le cas contraire, LEXSI peut proposer de réaliser la session dans ses locaux. 8

8 Organisation des formations SMSI : Système de Management de la Sécurité du SI... p.11 pca : Plan de Continuité d Activité... p.23 RISK : Management des Risques... p.33 LSTI : Formations certifiantes ISO 2700x... p.39 CyB : Lutte contre la cybercriminalité... p.43 HACK : Techniques de piratage & Ethical Hacking... p.47 TECH : Sécurité technique... p.51 SCADA : Sécurité des systèmes industriels... p.61 DEv : Sécurité des applications et des développements... p.65 ADN : Les cursus de formation LEXSI... p.71 9

9 Inscrivez-vous Vous venez de prendre vos fonctions en tant que RSSI? Vous souhaitez valider les fondamentaux? Inscrivez-vous au cursus ADN RSSI de LEXSI Plus d informations en page 72 10

10 Sommaire formations SMSI SMSI Système de management de la sécurite du SI Réf. Libellé Durée page. Fondamentaux. SMSI-F1 Management de la Sécurité : Les fondamentaux 1J 12. SMSI-F2 S initier aux normes ISO et J 13. Approfondissement. SMSI-A1 Appréhender la dimension juridique de la Sécurité de l Information 1J 14. SMSI-A2 Initier et mener une sensibilisation à la Sécurité de l Information 1J 15. SMSI-A3 Contrôler et évaluer la Sécurité de son Système d'information 1J 16. SMSI-A4 Piloter la Sécurité du SI via un Tableau de Bord 1J 17. SMSI-A5 Intégrer avec succès la sécurité dans les projets informatiques 1J 18. SMSI-A6 Gérer la flotte mobile de son entreprise et les problématiques de BYOD 1J 19. Expertise. SMSI-E1 Faire adhérer les décideurs autour de la sécurité de l'information 1J 20. SMSI-E2 Aller plus loin dans la sensibilisation à la Sécurité du SI : la sensibilisation 2.0 1J 21. SMSI-E 3 Correspondant Informatique et Libertés (CIL) 1J

11 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-F1 Management de la Sécurité : Les fondamentaux 1 jour Les RSSI débutants, les consultants juniors et toute personne souhaitant acquérir les connaissances de management suffisantes pour prendre en main la fonction de RSSI. Maîtriser les définitions et notions essentielles de la Sécurité du SI (DICP, PDCA, SMSI ) Savoir bâtir une charte de sécurité informatique et une politique de sécurité du SI Monter un projet de mise en œuvre d une Politique de Sécurité du SI Aucun. Une copie du livre «Manager la Sécurité du SI» sera remise à chaque participant suite à la formation. Cours magistral, exercices 750,00 HT soit 897,00 TTC I. état des lieux de la sécurité Quelques événements marquants Quelques statistiques II. Notions fondamentales Définitions Les 4 critères DICP La logique PDCA L approche par les risques Le soutien du management III. écosystème ISO 270xx Les normes ISO 270xx La norme ISO La norme ISO La norme ISO Certification ISO Iv. Mettre en place une filière SSI Rôle et missions du RSSI Référentiel documentaire Politiques de Sécurité Charte de sécurité Projet de mise en place d une PSSI v. piloter la SSI Indicateurs Audits vi. Ce qu il faut retenir 12

12 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-F2 S initier aux normes ISO et jour Les RSSI débutants, les consultants juniors et toute personne souhaitant découvrir en détails les normes ISO et Parcourir en détails les normes ISO et Déployer ces normes au sein de votre organisation Comprendre le chemin et l intérêt d une certification ISO de votre SI Aucun. Cours magistral, exercices 750,00 HT soit 897,00 TTC I. Rappel Définitions Les 4 critères DICP La famille ISO 270xx II. Norme ISO Clause 4 : SMSI Clause 5 : Responsabilités de la Direction Clause 6 : Audits internes du SMSI Clause 7 : Revue de direction du SMSI Clause 8 : Amélioration du SMSI III. Norme ISO Polit ique de Sécurité Organisation de la sécurité de l information Gestion des biens Sécurité liée aux ressources humaines Sécurité physique et environnementale Sécurité de l exploitation Contrôle d accès Acquisition, développement et maintenance des SI Gestion des incidents de sécurité Gestion de la continuité d activité Conformité Iv. Ce qu il faut retenir 13

13 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-A1 Appréhender la dimension juridique de la Sécurité de l information 1 jour Cette formation s adresse à tous les professionnels de la sécurité de l information qui doivent intégrer la dimension juridique de leur métier. Elle s adresse aussi aux DSI et dirigeants qui souhaitent disposer des connaissances sur la dimension juridique des NTIC. Aucun Cours magistral, cas pratiques 850,00 HT soit 1016,60 TTC Appréhender les responsabilités juridiques du RSSI et du DSI en matière de sécurité du SI Comprendre les droits et devoirs de l employeur et des employés Faire face aux risques juridiques des contextes spécifiques (I&L, prestataires IT ) I. Les bases du droit La hiérarchie des normes Les ordres juridictionnels La responsabilité des personnes Les différentes sanctions Conditions nécessaires pour une sanction II. Responsabilité du RSSI Rôle Fautes Délégation de pouvoir III. panorama du cadre réglementaire De la complexité Mais pas que des contraintes Iv. Conservation Sauvegarde ou archivage Collecte de traces Valeur probante et signature électronique v. Données à caractère personnel Loi Informatique et Liberté Notions centrales Acteurs Droits des personnes concernées Formalités CNIL Conditions de collecte Contrôle CNIL Cas de la prospection par courrier électronique Exigences du «Paquet Télécom» Échange et commerce des DCP vi. Exemples de contrôle de l employeur Appels téléphoniques Messagerie électronique Fichiers présents sur le poste de travail Utilisation d Internet Géolocalisation Accès aux locaux Conservation des informations de contrôle Sanctions pour contrôle abusif vii. Charte d utilisation des moyens informatiques et télécoms Définition Accessibilité et opposabilité Exemple de structuration Évolution Rédaction Conditions de mise en œuvre viii. étude de cas Téléchargement illégaux, copie illicite, usurpation d identité IX. Dépôt de plainte Intrusion externe Intrusion interne Fuite de données 14

14 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-A2 Initier et mener une sensibilisation à la Sécurité de l Information 1 jour Cette formation s adresse à tous les professionnels de la sécurité de l information qui souhaitent développer une première campagne de sensibilisation à la Sécurité de l Information. Concevoir son projet et son plan de campagne de sensibilisation Maîtriser les composantes essentielles d une campagne de sensibilisation (vecteurs, cibles, contributeurs ) Savoir évaluer l efficacité de sa campagne de sensibilisation Connaître les fondamentaux de la sécurité de l information. Le livre blanc «Sensibilisation à la sécurité de l information 2.0» est offert à la fin de la formation. Cours magistral, atelier, exercices 850,00 HT soit 1016,60 TTC I. Introduction Quelques chiffres Sécurité : la faille est humaine II. Sensibilisation : pourquoi? Informatisation accélérée des métiers (banques, industrie, santé) Ouverture des réseaux et des SI Réseaux sociaux et ingénierie sociale Mobilité et nomadisme Frontière ténue entre la sphère professionnelle et celle privée III. principes de sensibilisation Qui sensibiliser? Les populations cibles Comment sensibiliser? Les moyens, médias et vecteurs Vecteurs de sensibilisation : présentation et comparatif Qui impliquer? Iv. Construction d une campagne de sensibilisation Synthèse sur la démarche Phase 1 : Construire la campagne Phase 2 : Exécuter la campagne Phase 3 : Évaluer la campagne Facteurs clés de succès Obstacles et erreurs souvent rencontrés v. Ce qu il faut retenir 15

15 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-A3 Contrôler et évaluer la Sécurité de son Système d'information 1 jour Cette formation s adresse à tous les professionnels de la sécurité de l information qui doivent organiser des contrôles et des audits dans le cadre de leur fonction. Identifier les besoins de contrôle et d évaluation de la SSI Être garant de la qualité d un audit de sécurité Découvrir des techniques pour mettre en place un contrôle efficace Tirer les bénéfices d un contrôle de la SSI Connaître les fondamentaux de la sécurité de l information. Cours magistral, cas pratiques 850,00 HT soit 1016,60 TTC I. Définitions Définitions Quelques statistiques II. Le besoin de contrôle Cycle PDCA Contraintes réglementaires Besoins internes III. Méthodes d audit Types d audit Déroulement d un audit type Les attendus et livrables Iv. Mise en place d'un contrôle efficace Types de contrôle Contrôle conçu en même temps que la mesure Approche pragmatique Vers le Tableau de Bord SSI Fiches de contrôle v. Ce qu il faut retenir 16

16 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-A4 piloter la Sécurité du SI via un Tableau de Bord 1 jour Cette formation s adresse à tous les professionnels de la sécurité de l information qui doivent piloter les risques et la sécurité via un tableau de bord dédié. Maîtriser le tableau de bord SSI comme un outil de communication de la sécurité Appréhender les 2 dimensions d un projet de conception d un tableau de bord SSI Concevoir des indicateurs de sécurité du SI Connaître les fondamentaux de la sécurité de l information. Le livre blanc «Tableau de Bord Sécurité - Une approche par la maturité» est offert en fin de formation. Cours magistral, exercices, ateliers 850,00 HT soit 1016,60 TTC I. Enjeux du tableau de bord SSI Pourquoi un Tableau de Bord? Quelques chiffres Définition Objectifs et enjeux II. A qui cela s adresse L écosystème SSI Les destinataires Les contributeurs Atelier : réfléchir à sa position III. La norme ISO Présentation de la norme Les limites Iv. De quel tableau de bord ai-je besoin? Évaluer son niveau de maturité v. Le Tableau de Bord SSI Les composantes du TBSSI Description des indicateurs Cinématique de calcul Template du Tableau de Bord Zoom sur les métriques de base Les atouts de l approche Les pièges à éviter vi. Ce qu il faut retenir 17

17 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-A5 Intégrer avec succès la sécurité dans les projets informatiques 1 jour Cette formation s adresse à tous les professionnels de la sécurité de l information qui doivent intégrer la sécurité dans tous les projets informatiques de leur organisation. Elle peut également s adresser à des chefs de projet informatiques soucieux de prendre en compte cet aspect dans leurs projets. Connaître les fondamentaux de la sécurité de l information. Cours magistral, cas pratiques, exercices 850,00 HT soit 1016,60 TTC Comprendre les enjeux de Sécurité des Systèmes d Information dans les projets Appréhender la classification sécurité et les risques informatiques pesant sur le Système d Information Apprendre à concevoir / remplir une fiche de sécurité I. Introduction Quelques définitions La position de la sécurité au sein de l organigramme Les domaines de la sécurité II. gestion de projet Rappel de la méthodologie projet Rôles et responsabilités III. Sécurité dans les projets Principes généraux Phases du projet Livrables types et résultats attendus Méthodes existantes Comment convaincre d intégrer la sécurité dans les projets? Les bonnes pratiques Les pièges à éviter Iv. Focus particuliers Analyse de risques & Recueil des besoins : en pratique Sécurité dans les développements Projets d externalisation : intégration de la sécurité dans les contrats v. Cas pratiques vi. Ce qu il faut retenir 18

18 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-A6 gérer la flotte mobile de son entreprise et les problématiques de ByOD 1 jour Cette formation s adresse à tous les professionnels informatiques et tous les professionnels de la sécurité de l information qui ont des préoccupations concernant la sécurité lors de l intégration des terminaux mobiles dans leur SI. Présenter les risques de sécurité liés à l introduction des terminaux mobiles dans le SI Faire un état des lieux des bonnes pratiques et des solutions d organisation de la sécurité autour des Smartphones et du BYOD Se projeter vers les solutions et usages futurs de ces terminaux en entreprise Connaître les fondamentaux de la sécurité de l information. Un exemple de politique de sécurité de la flotte mobile est distribué. Cours magistral, cas pratiques 850,00 HT soit 1016,60 TTC I. La place de la flotte mobile en entreprise Les tendances Les enjeux et opportunités Et le BYOD? Les appareils Les OS II. Quels sont les risques? Panorama des menaces Analyse des risques III. Faut-il faire le grand saut du ByOD? Une petite histoire qui en dit long Une question de compromis Les différents points de vue Cas d implémentation Iv. Les bonnes pratiques de gestion de la flotte mobile La politique de sécurité et charte Les solutions techniques L organisation La sensibilisation Les audits Comment m organiser si j ai dit oui au BYOD? v. Ce qu il faut retenir 19

19 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-E1 Faire adhérer les décideurs autour de la sécurité de l'information 1 jour Cette formation s adresse à tous les professionnels de la sécurité de l information expérimentés qui souhaitent défendre leur budget et leurs actions de sécurité auprès des décideurs Elle s adresse également aux consultants expérimentés spécialisés en sécurité de l information. Disposer d un minimum de 3 ans d expérience dans un métier de la sécurité de l information. NOTES IMpORTANTES Une copie du livre «Manager la Sécurité du SI» sera remise à chaque participant suite à la formation. Quelques lectures transmises par le formateur sont à parcourir au préalable. Cours magistral, atelier-débat 1050,00 HT soit 1255,80 TTC Comprendre les difficultés pour convaincre les décideurs de l importance d une sécurité pérenne Lever les obstacles au travers de clés et de leviers fournis par l animateur Partager les retours d expérience avec les participants et l animateur I. Le contexte de la SSI Pourquoi faire adhérer les décideurs? Une organisation idéale L influence du RSSI Une image négative Des leviers difficiles à activer Des budgets en tension II. Axe 1 : L accès initial aux décideurs Accès direct ou indirect Tribune et instances Le piège de l entremetteur DSI Les 20 ou 30 minutes gagnantes III. Axe 2 : La psychologie des décideurs Les préjugés des décideurs Comment lutter contre ces préjugés? Iv. Axe 3 : Inscrire une relation dans la durée Networking interne Networking externe Indicateurs sécurité Influencer les décideurs v. Axe 4 : Des stratégies de communication Faire peur Exhumer la sinistralité Se comparer à un benchmark sectoriel Se comparer aux études standards Se mesurer aux normes Se mesurer au regard externe de l expert mondial Le pied de biche du test d intrusion vi. Axe 5 : Quelques principes de gestion du changement principe 1 : nous ne sommes pas égaux face au changement principe 2 : le changement se propage comme une contagion sociale principe 3 : la stratégie de gestion du changement doit tenir compte des principes 1 et 2 vii. Atelier-débat Des bons et des mauvais exemples de communications pour décideurs Débat sur les difficultés rencontrées viii. Ce qu il faut retenir 20

20 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-E2 Aller plus loin dans la sensibilisation à la Sécurité du SI : la sensibilisation jour Cette formation s adresse à tous les professionnels de la sécurité de l information qui souhaitent passer à la vitesse supérieure dans les campagnes de sensibilisation à la Sécurité. Connaître les fondamentaux de la sécurité de l information. Avoir l expérience du déploiement d une campagne de sensibilisation. Le livre blanc «Sensibilisation à la sécurité de l information 2.0» est offert en fin de formation. Cours magistral et cas pratiques assortis de 3 démonstrations* : Outil d e-learning Outil de serious gaming point&click Outil de serious gaming 3D isométrique 1050,00 HT soit 1255,80 TTC Connaître les principes de sensibilisation Comprendre la génération Y Savoir tirer parti de la gestion du changement Savoir choisir les vecteurs de sensibilisation pour définir une tactique de sensibilisation efficace I. Rappels des principes de sensibilisation Pourquoi sensibiliser? Qui sensibiliser? Qui impliquer? Les étapes d une campagne de sensibilisation II. pourquoi les campagnes classiques atteignent leurs limites? Positionnement inapproprié du porteur de la sensibilisation Mauvaise connaissance de la gestion du changement Communication inappropriée Spécificités de la génération Y III. Comment adapter sa tactique aux y? Convaincre, communiquer et impliquer Faire court et original Penser interactif Tester les utilisateurs Apporter du soutien Iv. Savoir utiliser la gestion du changement comme alliée La conduite du changement, qu est-ce que c est? principe 1 : Nous ne sommes pas tous égaux face au changement principe 2 : Le changement se propage comme une contagion sociale principe 3 : La stratégie doit prendre en compte des principes 1 et 2 principe 4 : Le changement doit être accompagné en amont et en aval v. Les vecteurs de sensibilisation vecteurs de sensibilisation comparés Cas d utilisation vi. La tactique de sensibilisation vii. Ce qu il faut retenir 21

21 Système de Management de la Sécurite du SI RéF DU STAgE : SMSI-E3 Correspondant Informatique et Libertés (CIL) 1 jour Cette formation s adresse à tous les Correspondants Informatique et Libertés (CIL) qui prennent leurs fonctions et aux Responsables de la Sécurité du SI qui ont également les missions de CIL dans leur fiche de poste. Avoir suivi la formation «SMSI-A1 Dimension juridique» est un plus. Cours magistral 1050,00 HT soit 1255,80 TTC Comprendre les notions fondamentales de la loi Informatique et Libertés Connaître la CNIL : rôles et missions Maîtriser le droit des personnes et les obligations des responsables de traitement Faire un point sur les sanctions pénales Comprendre les rôles et missions du CIL (Correspondant Informatique et Libertés) I. Module 1 : Loi Informatique et Libertés Esprit et champ d application de la loi Informatique et Libertés Notions fondamentales Connaître la CNIL II. Module 2 : Droits et obligations Droit des personnes concernées par les traitements Mission et obligations des responsables de traitement Dispositif administratif de la CNIL Point sur les sanctions pénales III. Correspondant I&L Définition du CIL Missions administratives du CIL Méthode pour la prise de fonction : travaux pratiques 22

22 Sommaire formations PCA pca plan de continuité d activité Réf. Libellé Durée page. Fondamentaux. PCA-F1 Continuité d Activité : Les fondamentaux 1J 24 PCA-F2 S initier à la norme ISO J 25 Approfondissement. PCA-A1 Activer le dispositif PCA via une gestion de crise dédiée 1J 26 PCA-A2 Qualifier ses activités critiques : Réussir son BIA 1J 27 PCA-A3a Déployer un dispositif efficace de continuité métier 1J 28 PCA-A3b Mettre en œuvre un secours efficace de son SI 1J 29 PCA-A4a Réussir la maintenance et l organisation des tests PCA 1J 30 PCA-A4b Réussir l'organisation des tests de secours informatique 1J 31 23

23 Plan de continuité d activité RéF DU STAgE : pca-f1 Continuité d Activité : Les fondamentaux 1 jour Les Responsables de Plan de Continuité d Activité débutants, les Responsables de Plan de Secours Informatique débutants, les consultants juniors et toute personne souhaitant acquérir les connaissances suffisantes pour prendre en main la fonction de RPCA ou de RPCSI. Aucun. Une copie du livre «Plan de Continuité d Activité- Vers l entreprise Résiliente» sera remise à chaque participant suite à la formation. Cours magistral, atelier-débat 750,00 HT soit 897,00 TTC Maîtriser les définitions et notions essentielles des PCA (RTO, RPO, PCA, PRA, BCP, DRP ) Appréhender les enjeux de la continuité d activités en entreprise Monter un projet selon la méthodologie E=MCA (Étapes vers le Management de la Continuité d Activité) I. Introduction Côté faits Côté chiffres Côté normes Entrée en matière Idées reçues II. La continuité d activité Définition Objectifs et terminologie Les 4 piliers de la continuité Quelques pistes pour convaincre III. projet E=MCA (étapes vers le Management de la Continuité d Activité) Synthèse de la démarche Phase 1 : Mieux connaître son activité Phase 2 : Orienter la stratégie de continuité Phase 3 : Développer le PCA Phase 4 : Mettre en place les solutions techniques de secours Phase 5 : Déploiement et maintien en conditions opérationnelles Phase 6 : Piloter le MCA Iv. A retenir Les 7 péchés capitaux Les 10 commandements 24

24 Plan de continuité d activité RéF DU STAgE : pca-f2 S initier à la norme ISO jour Les Responsables de Plan de Continuité d Activité débutants, les Responsables de Plan de Secours Informatique débutants, les consultants juniors et toute personne souhaitant découvrir la norme ISO de management de la continuité d activité. Aucun. Cours magistral 750,00 HT soit 897,00 TTC Parcourir en détails la norme ISO Déployer cette norme au sein de votre organisation Auditer votre PCA selon cette norme I. Rappel Définitions Les 4 piliers de la continuité II. Norme ISO Approche PDCA Clause 4 : Exigences générales Clause 5 : Implication de la Direction Clause 6 : Planification Clause 7 : Support Clause 8 : Opération Clause 9 : Évaluation Clause 10 : Amélioration III. Critères d audit pca Éléments à évaluer Correspondances avec la norme Iv. Ce qu il faut retenir 25

25 Plan de continuité d activité RéF DU STAgE : pca-a1 Activer le dispositif pca via une gestion de crise dédiée 1 jour Cette formation s adresse à tous les professionnels de la continuité d activité et de la sécurité de l information qui doivent mettre en place une gestion de crise au sein de leur organisation. Elle s adresse aussi aux DSI et dirigeants qui souhaitent maîtriser les facteurs clés de réussite d une gestion de crise informatique et opérationnelle. Aucun. Une copie du livre «Plan de Continuité d Activité- Vers l entreprise Résiliente» sera remise à chaque participant suite à la formation. Cours magistral, cas pratiques Comprendre les pièges de la gestion d une crise PCA au travers de cas pratiques Élaborer un dispositif de gestion de crise PCA Appréhender la dimension humaine d une crise, via de nombreux exemples et illustrations Module 1. Entrée en matière I. C est la crise! Introduction De quoi parle-t-on? Les 4 secteurs majeurs de crise II. «L impensable pensé» : matière à réfléchir Quatre exemples Notre perception des crises Retour sur la pire crise que vous ayez vécue III. Quelques leçons et quelques armes Leçons à tirer des exemples Leçons d ordre général Module 2. Méthodologie et outils I. Rappels et principes II. Organisation et processus III. Logistique et outils de crise Iv. Exemples pratiques : 2 cas Module 3. Retours d expérience I. Les clés de la résolution II. Conseil et écueils III. Illustration 850,00 HT soit 1016,60 TTC 26

26 Plan de continuité d activité RéF DU STAgE : pca-a2 Qualifier ses activités critiques : Réussir son BIA 1 jour Cette formation s adresse à tous les professionnels de la continuité d activité et du secours informatique qui doivent construire ou maintenir le dispositif de Plan de Continuité d Activité. Connaître les fondamentaux de la Continuité d Activité. Une copie du livre «Plan de Continuité d Activité- Vers l entreprise Résiliente» sera remise à chaque participant suite à la formation. Cours magistral, étude de cas, exercices 850,00 HT soit 1016,60 TTC Identifier les activités essentielles de son organisation et les délais de reprise associés Réaliser une analyse de sinistralité Mener des entretiens BIA I. Introduction Les 4 piliers de la continuité Méthodologie E=MCA II. Bilan d Impact sur l Activité Objectifs Comment s y prendre? Les outils Ce qu il faut faire / ne pas faire III. Analyse de sinistralité Objectifs Comment s y prendre? Ce qu il faut faire / ne pas faire Iv. Exercices Concevoir sa grille d impacts BIA Élaborer sa fiche d entretien BIA Réaliser l étude de sinistralité Simulation d entretiens BIA Synthèse via la Matrice BIA v. Ce qu il faut retenir 27

27 Plan de continuité d activité RéF DU STAgE : pca-a3a Déployer un dispositif efficace de continuité métier 1 jour Cette formation s adresse à tous les professionnels de la continuité d activité qui souhaitent déployer et mettre en place un Plan de Repli Utilisateur ou un Plan de Continuité Métier. Connaître les avantages et limites des stratégies majeures de continuité métier Concevoir une Filière PCA efficace Partager des retours d expérience de déploiement de PCA métier Connaître les fondamentaux de la Continuité d Activité. Une copie du livre «Plan de Continuité d Activité- Vers l entreprise Résiliente» sera remise à chaque participant suite à la formation. Cours magistral, cas pratiques 850,00 HT soit 1016,60 TTC I. Introduction Les composantes d un PCA Les 4 piliers de la continuité II. Les composantes d un pcm efficace De l organisation De la logistique De la communication De l humain III. Une réponse par sinistre envisagé Les grandes stratégies PCM Destruction de bâtiment Inaccessibilité du bâtiment Pandémie / Indisponibilité RH Sinistre informatique Stratégie PCM : ce qu elle doit contenir Iv. Exercices Coupure électrique du bâtiment Votre propre stratégie PCM v. élaborer sa filière pcm Le Responsable PCA Rôles et responsabilités Instances de pilotage Livrables attendus vi. Ce qu il faut retenir 28

28 Plan de continuité d activité RéF DU STAgE : pca-a3b Mettre en œuvre un secours efficace de son SI 1 jour Cette formation s adresse à tous les professionnels du secours informatique qui souhaitent déployer et mettre en place un Plan de Secours Informatique. Connaître les fondamentaux de la Continuité d Activité. Une copie du livre «Plan de Continuité d Activité- Vers l entreprise Résiliente» sera remise à chaque participant suite à la formation. Cours magistral, cas pratiques 850,00 HT soit 1016,60 TTC Faire un tour d horizon des solutions techniques de secours informatique Connaître les avantages et limites des stratégies majeures de secours informatique Partager des retours d expérience de déploiement de Plan de Secours Informatique (PCSI ou PRA) I. Introduction Les 4 piliers de la continuité Quelques statistiques II. Structure d un plan de secours informatique Les stratégies de secours informatique L externalisation vers un prestataire La DSI : un métier à secourir dans un PCA Stratégie PCSI : ce qu elle doit contenir III. Les solutions techniques Vue globale Couche Logistique Couche physique/liaison Couche Réseau Couche Applicative Sauvegarde de données Réplication de données Virtualisation Étude de cas Iv. élaborer sa filière pcsi Le Responsable PCSI Rôles et responsabilités Instances de pilotage v. Ce qu il faut retenir 29

29 Plan de continuité d activité RéF DU STAgE : pca-a4a Réussir la maintenance et l organisation des tests pca 1 jour Cette formation s adresse à tous les professionnels de la continuité d activité qui ont mis en place un Plan de Repli Utilisateur ou un Plan de Continuité Métier et qui souhaitent le tester et le maintenir. Maîtriser les principes fondamentaux de la maintenance d un dispositif PCA Bâtir une campagne de tests PCA pluri-annuels Comprendre les facteurs clés et les pièges à éviter dans l organisation des tests PCA Connaître les fondamentaux de la Continuité d Activité. Une copie du livre «Plan de Continuité d Activité- Vers l entreprise Résiliente» sera remise à chaque participant suite à la formation. Cours magistral, étude de cas 850,00 HT soit 1016,60 TTC I. Introduction Les composantes d un PCA Les 4 piliers de la continuité Quelques statistiques II. principes de maintenance Les composantes d un PCA opérationnel Distribution des rôles de maintenance du PCA Principes de maintenance III. Campagne de tests pca Types de tests PCA Déroulement d un test de repli utilisateur Le cas particulier du test de gestion de crise Bonnes pratiques et écueils à éviter Livrables attendus Débat autour du caractère probant d un test PCA Iv. étude de cas Analyse du déroulement d un test PCA qui a réussi avec écarts majeurs et mineurs v. Ce qu il faut retenir 30

30 Plan de continuité d activité RéF DU STAgE : pca-a4b Réussir l'organisation des tests de secours informatique 1 jour Cette formation s adresse à tous les professionnels du secours informatique qui ont mis en place un Plan de Secours Informatique et qui souhaitent le tester et le maintenir. Maîtriser les notions de tests unitaires, partiels et complets de PCSI Bâtir un plan de test annuel de PCSI Comprendre les facteurs clés et les pièges à éviter dans l organisation des tests PCSI Définir le caractère probant d un test PCSI Connaître les fondamentaux de la Continuité d Activité. Une copie du livre «Plan de Continuité d Activité- Vers l entreprise Résiliente» sera remise à chaque participant suite à la formation. Cours magistral, étude de cas 850,00 HT soit 1016,60 TTC I. Introduction Les composantes d un PCA Les 4 piliers de la continuité Quelques statistiques II. principes de maintenance Les composantes d un PCSI opérationnel Distribution des rôles de maintenance du PCSI Bonnes pratiques et écueils à éviter III. Campagne de tests pcsi Types de tests PCSI Déroulement d un test PCSI Livrables attendus Bonnes pratiques et écueils à éviter Débat autour du caractère probant d un test PCSI Iv. étude de cas Analyse du déroulement d un test PCSI qui a réussi avec écarts majeurs et mineurs v. Ce qu il faut retenir 31

31

32 Sommaire formations RISK RISK Risk Management Réf. Libellé Durée page. Fondamentaux. RISK-F1 Gestion et analyse des risques : Les fondamentaux 1J 34 RISK-F2 Construire son processus de gestion des risques : ISO et ISO J 35 Approfondissement. RISK-A1 Gérer le risque opérationnel 1J 36 RISK-A2 Gérer le risque informationnel 1J 37 33

33 Risk Management RéF DU STAgE : RISK-F1 gestion et analyse des risques : Les fondamentaux 1 jour Les RSSI débutants, les consultants juniors et toute personne souhaitant acquérir les connaissances suffisantes pour réaliser une analyse des risques pesant sur le SI. Maîtriser les définitions et notions essentielles sur la gestion des risques (menace, faille, risque ) Comprendre les étapes importantes d une analyse de risques Partager le retour d expérience d une gouvernance des risques Aucun. Cours magistral, étude de cas 750,00 HT soit 897,00 TTC I. Définition du risque Importance des mots Notion de risque Définitions Cartographie des risques II. principes et approches du risque Les différentes approches du risque Introduction à la norme ISO Introduction à la norme ISO III. Les pratiques de gestion du risque EBIOS MEHARI Iv. Analyse de risque des projets SI Approche et méthodologie Clés de réussite et difficultés v. Cas pratiques Les hébergeurs agréés vi. Ce qu il faut retenir Retour sur expérience et discussion À éviter Recommandations 34

34 Risk Management RéF DU STAgE : RISK-F2 Construire son processus de gestion des risques : ISO et ISO jour Les RSSI débutants, les consultants juniors et toute personne souhaitant découvrir en détails les normes ISO et Parcourir en détails les normes ISO et Déployer ces normes dans votre processus de gestion des risques Aucun. Cours magistral, étude de cas 750,00 HT soit 897,00 TTC I. gestion des risques suivant la norme ISO Rappels et compléments d information Les étapes du processus en détails Intérêts et limites II. Norme ISO & méthodes Liens entre la et la famille Norme 31010: une précieuse annexe Choix des techniques d appréciation du risque Les techniques III. Construire son processus de gestion des risques Comprendre ses enjeux Retour sur les étapes de l ISO et conseils Iv. Les méthodes EBIOS et MEHARI Comparaison avec la norme ISO Quelle méthode utiliser dans quelle circonstance? v. Ce qu il faut retenir Retour sur expérience et discussion À éviter Recommandations 35

35 Risk Management RéF DU STAgE : RISK-A1 gérer les risques opérationnels SI 1 jour Cette formation s adresse à tous les professionnels de la sécurité de l information et du Risk Management qui doivent traiter les risques opérationnels qui pèsent sur le Système d Information de leur organisation. Savoir identifier les risques opérationnels du SI Privilégier une approche pragmatique et efficace de traitement de ces risques Aucun. Cours magistral, étude de cas 850,00 HT soit 1016,60 TTC I. Introduction Rappel des fondamentaux Le risque opérationnel Réglementation Acteurs II. Démarche d analyse des risques opérationnels Le risque opérationnel SI Définition du périmètre Nécessité du BIA Besoins de sécurité des infrastructures Identification du risque les audits Cartographie des risques opérationnels SI III. Traitement des risques opérationnels SI Risques génériques Chantiers types de traitement des risques opérationnels SI Traitement continu Iv. Retour d expérience LEXSI Approche pragmatique Exemples types v. Ce qu il faut retenir 36

36 Risk Management RéF DU STAgE : RISK-A2 gérer les risques informationnels 1 jour Cette formation s adresse à tous les professionnels de la sécurité de l information et du Risk Management qui doivent traiter les risques informationnels qui pèsent sur le patrimoine informationnel de leur organisation. Savoir identifier les risques liés à la protection du patrimoine informationnel Privilégier une approche pragmatique et efficace de traitement de ces risques Aucun. Cours magistral, étude de cas 850,00 HT soit 1016,60 TTC I. Introduction Rappels Introduction aux risques informationnels Nature du risque Réglementation II. Caractérisation des risques informationnels Les secteurs (secret bancaire, la santé) Les critères DIC Comment analyser les risques qui vous sont propres? Catégorisation des actifs informationnels III. prévention: Définir sa politique de sécurité Analyser ses risques. Définir sa politique de sécurité Iv. protection: plan de traitement et solutions v. Ce qu il faut retenir 37

37

38 Sommaire formations CERTIFIANTES LSTI Formations certifiantes ISO 2700X (LSTI) Réf. Libellé Durée page. Expertise. LA Lead Auditor ISO J 40 RM Risk Manager ISO J 41 LSTI EN QUELQUES MOTS LSTI est un organisme de certification privé spécialisé dans le domaine de la sécurité de l'information. Il est apte à délivrer notamment les certifications ISO 2700X à des personnes physiques et à des personnes morales. Il passe par l intermédiaire de formateurs agréés pour délivrer ces certifications. Plusieurs centaines de personnes sont certifiées en France par an. LSTI propose plusieurs dizaines de formations certifiantes reconnues en France et à l international. LEXSI propose 2 modules de formation certifiante, avec LSTI : une formation de certification Lead Auditor ISO et une formation de certification Risk Manager ISO NOTES IMPORTANTES Ces formations s adressent plutôt à des professionnels expérimentés (plus de 3 ans) de la sécurité de l information qui souhaitent valider leurs connaissances et leurs compétences. L examen pour la certification a lieu la dernière demi-journée de la formation. 39

39 Formations certifiantes ISO 2700X (LSTI) RéF DU STAgE : LA Formation certifiante Lead Auditor ISO jours Les professionnels de la sécurité qui souhaitent certifier leurs compétences, leurs connaissances et leurs capacités pour conduire un audit selon la norme ISO/CEI Acquérir les compétences d auditeur ou de responsable d audit pour les SMSI Former les personnes participant à l élaboration, la mise en œuvre, le maintien et l amélioration d un SMSI Être professionnel de la sécurité du SI depuis plus de 3 ans. Cours magistral, étude de cas, exercices, examen blanc Nous contacter pour les tarifs 2014 de ce module I. Système de gestion de la sécurité de l information - Exigences Introduction à la sécurité de l information Introduction au SMSI II. La série ISO Description La norme ISO : approche PDCA La norme ISO : présentation des Clauses III. Code de bonne pratique pour la gestion de la sécurité de l information La norme ISO Les 11 articles de l ISO relatifs aux mesures de sécurité Iv. Activité d Audit Démarche d audit suivant l ISO «Lignes directrices pour l audit des systèmes de management de la qualité et/ou de management environnemental» applicable aux systèmes de management de la sécurité v. Exercices et mises en situation quotidiens vi. Examen blanc et préparation à l examen LSTI vii. Examen de certification A lieu lors de la dernière demi-journée 40

40 Formations certifiantes ISO 2700X (LSTI) RéF DU STAgE : RM Formation certifiante Risk Manager ISO jours Les professionnels de la sécurité qui souhaitent certifier leurs compétences, leurs connaissances et leurs capacités pour conduire une analyse de risques selon la norme ISO/CEI Mener des analyses de risques liées à la sécurité de l information Acquérir les bases théoriques, les concepts et les grands principes de la gestion des risques liés à la sécurité de l information Être professionnel de la sécurité du SI et/ou du Risk Management depuis plus de 5 ans. Cours magistral, étude de cas, exercices, examen blanc Nous contacter pour les tarifs 2014 de ce module I. principes et pratique Concept et notions de risques Typologies d actifs et valorisation Menaces, Vulnérabilités, Conséquences Mesures de sécurité Scénarii d incident Appréciation et traitement du risque II. processus de gestion du risque et méthodologie ISO Approche processus et modèle PDCA Établissement du contexte Appréciation du risque Traitement du risque Acceptation du risque Communication du risque Surveillance et réexamen du risque III. Recommandations Étapes clés Conduite d entretiens Acteurs du processus Outillage Iv. Exercices, études de cas et annexes v. Examen de certification A lieu lors de la dernière demi-journée 41

41 Sas de décontamination des périphériques USB Accompagne votre démarche de sensibilisation 26% des infections du système d exploitation sont propagées par une clé USB*. Partant de ce constat, nous avons développé USB MALWARE CLEANER, véritable sas de décontamination à l entrée de votre système d information. Grâce à son écran tactile, il est possible de contrôler la sécurité de ses fichiers en quelques gestes. La borne USB MALWARE CLEANER limite les risques de contamination et favorise la sensibilisation des équipes à la sécurité de l information. CONNEXION DU SUPPORT USB SELECTION DU PERIPHERIQUE LANCEMENT DE L ANALYSE ET DU NETTOYAGE RAPPORT DE SYNTHESE ET CONFINEMENT DU MALWARE Fonctionnalités *Source : Microsoft Security Intelligence Report, ports USB disponibles Mise à jour régulières Traçabilité de l historique des analyses Interface d administration paramétrable Détection et suppression des malwares Mise en quarantaine Borne et interface personnalisables INNOvATIvE SECURITy FOR BUSINESS

42 Sommaire formations CYB CyB Lutte contre la Cybercriminalité Réf. Libellé Durée page. Approfondissement. CYB-A1 Faire face aux attaques ciblées et rôle d un CERT 1J 44 CYB-A2 Les réseaux sociaux : quels risques pour la sécurité du SI? 1J 45 43

43 Lutte contre la cybercriminalité RéF DU STAgE : CyB-F1 Faire face aux attaques ciblées et rôle d un CERT 1 jour Les professionnels de la sécurité qui souhaitent comprendre les risques liés aux actions cybercriminelles des APT et mettre en place les mesures adéquates pour y faire face. Comprendre les principes et savoir détecter une attaque ciblée Se préparer à faire face à ce type d attaques Gérer un incident majeur de type «attaque ciblée» Comprendre et appréhender les missions types d un CERT Savoir mettre en œuvre un CERT au sein de son organisation Maîtriser les fondamentaux de la sécurité du SI. Cours magistral, étude de cas, débat 850,00 HT soit 1016,60 TTC partie 1 : ATTAQUES CIBLéES, LES CLéS pour BIEN RéAgIR I. Définition et étapes d une attaque ciblée APT menace réelle et terme galvaudé Reconnaissance / Intrusion Propagation / Persistance Collecte / Exfiltration II. Les prérequis pour faire face aux attaques ciblées La trousse de secours Rôle de l équipe de réponse à incident Établissement du périmètre de défense Sanctuarisation des données Gestion des logs Qualification des flux réseau III. Les moyens de détection Indice de compromission ou signaux faibles Supervision et connaissance du réseau Iv. La gestion de crise en cas d attaque avérée Adapter le modèle classique de réponse à incident Modèle d organisation interne Exploiter les outils existants Compréhension et analyse de l attaque Élaboration et suivi d un plan de gestion de crise et entrevoir la sortie partie 2 : UN CERT LES TENANTS ET LES ABOUTISSANTS I. Un CERT, une réponse aux défis de la cybercriminalité Un CERT, qu est-ce que c est? Typologies de CERT Les bonnes et mauvaises raisons de créer un CERT Les atouts et inconvénients d'un CERT interne II. Un CERT pour quoi faire? Description des services les plus courants Qui bénéficie des services en interne et/ou en externe Quels engagements peuvent être annoncés? Profils et compétences nécessaires au sein de l'équipe Quels services internaliser et lesquels externaliser? III. plan d'action pour monter son CERT interne Coûts et délais de mise en œuvre Organisation interne, politiques et processus (y compris articulation possible entre CERT et SOC) Infrastructure (matériels, logiciels, etc.) et profils (formations, développement, conseil, etc.) nécessaires Présentation d un cas concret de déploiement d'un service prioritaire 44