Catalogue des formations 2013

Transcription

1 Catalogue des formations 2013 Référence : CF2013 Juin 2013

2 Sommaire 1 TECHNIQUES DE BASE TECHNOLOGIES DES SYSTEMES D INFORMATION INITIATION A L AUDIT INFORMATIQUE INITIATION A LA SECURITE ET AUX RESEAUX INFORMATIQUES COBIT ET GOUVERNANCE AUDIT DE LA GOUVERNANCE DU SI COBIT 5 FOUNDATION COURSE COBIT IMPLEMENTATION COURSE COBIT 5 : PRESENTATION DES NOUVEAUX CONCEPTS COBIT, ITIL, CMMI, ISO : QUELS REFERENTIELS CHOISIR? POUR UNE MISE EN PLACE EFFICACE DES REFERENTIELS DE GOUVERNANCE CONTROLE INTERNE DES SYSTEMES D INFORMATION L ARCHITECTURE D ENTREPRISE POUR LES MANAGERS DU SI ARCHITECTURE D ENTREPRISE, MISE EN ŒUVRE OPERATIONNELLE AUDIT INFORMATIQUE MODELISATION ET OPTIMISATION DES PROCESSUS METIERS ANALYSE DES DONNEES ET CONTROLES AUTOMATISES AUDIT DU MANAGEMENT DE LA SECURITE DES SI AUDIT DE LA FONCTION INFORMATIQUE AUDIT SAP AUDIT DES APPLICATIONS INFORMATIQUES AUDIT DES PROJETS INFORMATIQUES SECURITE DES SI ET RISK MANAGEMENT MANAGEMENT DE LA SECURITE DES SI METHODES DE LUTTE CONTRE LA FRAUDE INFORMATIQUE L ESSENTIEL DU MANAGEMENT DES RISQUES INFORMATIQUES REFERENTIEL ET GUIDE UTILISATEUR RISK IT : CONTENU ET MISE EN ŒUVRE PREPARATION AUX EXAMENS DE CERTIFICATION ISACA FORMATION PREPARATOIRE A L EXAMEN DU CISA FORMATION PREPARATOIRE A L EXAMEN DU CISM FORMATION PREPARATOIRE A L EXAMEN DU CGEIT FORMATION PREPARATOIRE A L EXAMEN DU CRISC PREPARATION AUX CERTIFICATIONS ISO ET ITIL ISO : LEAD AUDITOR ISO : CERTIFIED RISK MANAGER ITIL : FONDATIONS CONDITIONS GENERALES DE VENTE ET TARIFS FORMATION INTER-ENTREPRISES FORMATION INTRA-ENTREPRISES RENSEIGNEMENTS ADMINISTRATIFS ET BANCAIRES : CALENDRIER JUILLET DECEMBRE Tarifs Bulletin d inscription

3 Catalogue des formations 2013 Page 1 / 53 L AFAI, Association Française de l'audit et du Conseil Informatiques, a pour mission de développer les compétences, les techniques et les méthodes visant à accroître la maîtrise des systèmes d'information. Chapitre français de l'isaca, association internationale comptant plus de membres dans 80 pays, l AFAI diffuse en France et dans le monde francophone le référentiel COBIT de gouvernance des systèmes d information, récemment refondu en intégrant notamment VAL IT et Risk IT. Nous avons la conviction que la formation est un vecteur majeur pour diffuser les référentiels tels que COBIT et les bonnes pratiques, qu elle permet d illustrer par des cas concrets, et bien sûr pour préparer les professionnels à l obtention d une reconnaissance internationale, via les certifications. L offre de formation de l'afai est organisée autour de quatre thèmes majeurs : les techniques de base, les référentiels de gouvernance des systèmes d information, et les processus l audit informatique, la sécurité des systèmes d informations. En outre, L AFAI dispense des formations préparatoires à l obtention du diplôme des certifications professionnelles que sont le CISA 1, le CISM 2, le CGEIT 3, le CRISC 4 dont les examens se déroulent en France cette année les 12 juin et 11 décembre prochain. Animées par des professionnels, praticiens qui peuvent tous témoigner d une expérience significative dans leurs domaines respectifs, ces formations sont aussi des lieux d échanges entre participants et contribuent ainsi au partage des connaissances. Je puis vous assurer que l équipe de permanents de l AFAI ainsi que l ensemble des formateurs mettront tout en œuvre pour que ces sessions vous apportent le meilleur de l état de l art de nos métiers, contribuant ainsi aux progrès de vos équipes et de vos systèmes d information! Pascal Antonini Président 1 Certified Information Systems Auditor 2 Certified Information Security Manager 3 Certified in Governance of Enterprise Information Technology 4 Certified in Risk and Information Systems Control

4 Catalogue des formations 2013 Page 2 / 53 1 TECHNIQUES DE BASE 1.1 TECHNOLOGIES DES SYSTEMES D INFORMATION Ce séminaire permet à de futurs auditeurs en système d information, non spécialistes des technologies informatiques, d acquérir les bases de technologie des systèmes d'information pour suivre efficacement d autres séminaires plus spécialisés comme les formations à l'audit informatique ou les formations de préparation aux examens de certification. Objectifs: Assimiler les concepts technologiques de base dans les SI d aujourd hui. Assimiler le vocabulaire et principes de technologie nécessaires à un audit. Participants : Auditeurs ou consultants non spécialisés en informatique Pré-requis : Aucun Programme : Le programme comprend 8 domaines : Architecture et technologie des SI o Architecture des ordinateurs : serveurs, postes clients. o Présentation des technologies : Des unités de calculs. Des unités de mémorisation : disque durs, lecteurs de bandes,. Des unités d affichage et d impression. De sécurisation d accès. o Principes des interfaces d un serveur et d un poste client. o Technologie des réseaux de stockage, virtualisation. Réseaux et communications o o o o o Principes de base des réseaux : l architecture en couches L exemple du protocole TCP-IP et du réseau Ethernet Internet et intranet : VPN et accès distant. Les équipements de réseaux. La sécurité sur les réseaux.

5 Catalogue des formations 2013 Page 3 / 53 Sécurité o o o o Principes de confidentialité, d intégrité, d authentification d une information. Notion sur la sécurité d un SI : sécurité physique et logique, gestion des accès. Les virus : principes et approches de protection. Principes du chiffrement et de la protection des données. Logiciels et bases de données o o o o Les applications logicielles : logiciels, progiciels, ERP, logiciels système, logiciels de télécommunication : principes de fonctionnement, environnement d utilisation. Principes des contrôles applicatifs et traçabilité. Base de données : administration, sécurité, maintenance. Les obligations légales de conservation de données. Gestion des projets informatiques o o o Problématique de la gestion de projet informatique : méthodologies et approches. La planification et le management des risques : le pilotage du projet et son suivi. La maîtrise de la qualité. Support et maintenance informatique o o o Principes du support utilisateurs : méthodologie, ITIL Principes de la maintenance des systèmes d information. Infogérance et aspects contractuels. Gouvernance et contrôle des systèmes d information o o Principes de la Gouvernance informatique Les référentiels : COBIT,. Audit et normes des Systèmes d Information o o Principes et approches de l audit d un SI. Normes et cadres de référence : COBIT, ISO 27001, Sarbanes Oxley, SAS70. Durée : 2 jours Référence : FAA008

6 Catalogue des formations 2013 Page 4 / INITIATION A L AUDIT INFORMATIQUE L'audit informatique a pour but de s'assurer que les systèmes d'information de l'entreprise et les processus de gestion de l'informatique sont maîtrisés. Objectifs : Donner une vue globale de l'audit informatique et en présenter les spécificités Identifier les points-clés de la démarche d'audit appliquée à l'informatique et aux systèmes d'information, Permettre à des auditeurs et à de futurs auditeurs informatiques d'apprécier les possibilités offertes par cette démarche. Participants : Auditeurs, experts comptables, commissaires aux comptes, consultants et informaticiens désireux de s'orienter vers l'audit informatique. Prérequis : Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement Programme détaillé : Les concepts de base de l'audit et le référentiel COBIT L'audit de la planification du système d'information L audit de la fonction informatique L'audit de la conduite de projet L audit des études L audit de l informatique décentralisée (audit du parc micros) L'audit d'un centre de production L audit des réseaux et des communications L'audit de la sécurité L'audit des applications opérationnelles La conduite d une mission d audit informatique Durée : 2 jours Référence : FAA001

7 Catalogue des formations 2013 Page 5 / INITIATION A LA SECURITE ET AUX RESEAUX INFORMATIQUES Ce séminaire est destiné aux non spécialistes de la sécurité des systèmes d'informations et réseaux informatiques. Objectifs: Connaître les principes de base de la sécurité informatique Connaître le fonctionnement des réseaux informatiques, Acquérir le vocabulaire relatif aux réseaux et à la sécurité des systèmes informatisés. Participants : Auditeurs, consultants non spécialisés en sécurité du système d'information. Pré-requis: Aucun Programme détaillé: La sécurité des systèmes d'information o Panorama des vulnérabilités des systèmes d'information o Principales menaces et risques associés o La culture sécurité des organisations o La cryptologie o Les systèmes Pare-Feux (Firewalls) et Proxy o Systèmes de détection d'intrusion (IDS) Les réseaux informatiques: o Concepts fondamentaux o Principes des réseaux numériques o Le modèle ISO o Le protocole TCP/IP o Le réseau Internet o Architecture des protocoles TCP/IP o Adressage o La couche liaison d'internet, Le protocole IP, Les protocoles TCP et UDP o Les applications o Outils communs d'utilisation d'un réseau sous Unix o Langages pour le Web o Intranet et Extranet Mise en place d'une politique de sécurité Principales méthodes Technologies utilisées pour les contrôles de sécurité Surveillance du système d'information Principales normes et certifications Principaux organismes spécialisés.

8 Catalogue des formations 2013 Page 6 / 53 Durée : 2 jours Référence : FIA002 Ce séminaire peut également être suivi par les candidats à l'examen du CISA en préalable à la formation de préparation de cet examen (voir 5.1).

9 Catalogue des formations 2013 Page 7 / 53 2 COBIT ET GOUVERNANCE 2.1 AUDIT DE LA GOUVERNANCE DU SI L'IFACI, l'afai (Association Française de l'audit et du conseil informatique) et le CIGREF (Club Informatique des Grandes Entreprises Françaises) ont élaboré, en 2011, à l'attention des auditeurs internes, des contrôleurs internes, et des DSI, un guide pratique d'audit adressant, sous un angle managérial et non pas technique, la problématique globale de la gouvernance du SI. Découvrez comment utiliser ce guide lors de cette formation. PREREQUIS Avoir suivi le séminaire : "Conduire une mission d'audit interne : la méthodologie" ou connaître la méthodologie de l'audit. PUBLIC VISE Responsables de l'audit interne, Responsables du contrôle interne, Manager Responsables DSI, Responsables financiers, Contrôleurs de Gestion. ORGANISATION Cette formation est co-organisée par les associations AFAI et IFACI. L'inscription se fait par la procédure habituelle sur ce site (bulletin d'inscription à renvoyer signé à l'afai). Le secrétariat de l'afai vous mettra en rapport avec le secrétariat de l'association organisatrice selon les sessions. PROGRAMME Cette formation vous permettra de : comprendre les enjeux de Gouvernance du SI dans la maîtrise des activités de leurs organisations ; connaître les meilleures pratiques en matière de Gouvernance du SI et le guide d'audit AFAI / CIGREF / IFACI ; mettre en oeuvre une méthodologie rigoureuse d'évaluation et d'autoévaluation. Cette formation est co-organisée par l'ifaci. Durée : 1 jour Référence : FAG008 NB : tarif particulier (685 HT pour les adhérents et 770 HT pour les non adhérents).

10 Catalogue des formations 2013 Page 8 / COBIT 5 FOUNDATION COURSE COBIT 5 est le référentiel exhaustif orienté métier, conçu pour aider les entreprises à atteindre leurs objectifs de gouvernance et de management de l'information et des actifs technologiques. Dit simplement, il aide les entreprises à créer la valeur optimale des technologies de l information en assurant un équilibre entre la réalisation de profits, l'optimisation des niveaux de risque et l'utilisation efficace des ressources. COBIT 5 permet de gouverner et de gérer l informatique d'une manière globale au niveau de toute l'entreprise. COBIT 5 est générique et utile pour les entreprises de toutes tailles, qu'elles soient commerciales, sans but lucratif ou du secteur public. Objectifs : Découvrir un référentiel efficace pour fournir au métier la valeur des systèmes d information. Présenter de manière pratique et opérationnelle les différents composants du référentiel COBIT 5. Valider son apprentissage par l obtention de la certification COBIT 5 Foundation, délivrée par l ISACA. Participants : Auditeurs, consultants, responsables informatiques, managers. Prérequis : Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement. Programme détaillé : Présentation générale de COBIT 5 et de la famille des publications Présentation détaillée des différents composants de COBIT 5 : Principes Facilitateurs Domaines, Processus et Activités Critères d évaluation Liens avec les autres référentiels existant en matière de systèmes d information. Introduction à l'implémentation de COBIT 5 Introduction au modèle d'évaluation de capacités de COBIT 5 (PAM) Préparation à l'examen Trucs et astuces pour le passage de l'examen Examen blanc et correction en groupe Passage de l'examen officiel COBIT 5 Foundation Exam

11 Catalogue des formations 2013 Page 9 / 53 NB : l exposé s appuie sur de nombreuses illustrations pratiques et offre la possibilité aux participants d intervenir largement. Durée : 3 jours Référence : FIC001 Le tarif proposé inclue les frais d'inscription à l'examen et le support de cours. NB : l exposé s appuie sur de nombreuses illustrations pratiques et offre la possibilité aux participants d intervenir largement. Ce séminaire sera complété par un séminaire pratique de 2 jours, consacré à la mise en œuvre opérationnelle de COBIT, la préparation et le passage de l'examen certifiant " COBIT 5 Implementation", proposé par l'isaca, (voir 2.3).

12 Catalogue des formations 2013 Page 10 / COBIT IMPLEMENTATION COURSE Comment utiliser COBIT pour améliorer la gouvernance du SI? Comment développer un projet COBIT? Obtenez des informations pratiques sur comment appliquer COBIT 5 dans une organisation, analyser les processus et les scénarios de risque. Apprenez comment mettre en oeuvre COBIT 5 dans votre entreprise et comment l'utiliser au mieux. Objectifs : Analyser les valeurs de l'entreprise Analyser les défis, les conditions de succès et les risques Analyser les processus et leur maturité Définir un plan d'amélioration Identifier les écueils potentiels Participants : Auditeurs, consultants, managers, spécialistes informatiques. Prérequis : Avoir obtenu la certification COBIT 5 (voir la formation COBIT Foundation Course 2.2) Programme détaillé : La formation consiste essentiellement en des études de cas et des exercices pratiques. Les participants apprennent à appliquer l'approche d'amélioration continue proposée par COBIT 5 de façon à analyser les besoins, définir et mettre en oeuvre une approche de gouvernance et de management de l'informatique. A l'issue de la formation, les participants passent l'examen de certification COBIT 5 Implementation Exam, examen certifiant. Durée : 2 jours Référence : FIC004 Le tarif proposé inclut les frais d'inscription à l'examen et la fourniture du support de cours.

13 Catalogue des formations 2013 Page 11 / COBIT 5 : PRESENTATION DES NOUVEAUX CONCEPTS Objectifs : Présenter de manière synthétique les concepts qui sous-tendent le référentiel COBIT 5. Présenter la bibliothèque de documents COBIT 5 parus et à venir. Présenter les différences avec le référentiel COBIT 4.1. Participants : Les utilisateurs actuels de COBIT 4.1 Les nouveaux utilisateurs de COBIT comme référentiel de gouvernance. Les professionnels des SI tant dans le domaine de l audit, du contrôle que de la gestion de la gouvernance, du risque SI et de la sécurité. Prérequis : Principes généraux de COBIT et des référentiels de gouvernance. Programme : Présentation générale de COBIT 5, ses principes, son historique et les documents de référence Présentation des principes de management de SI et de leurs impacts sur l organisation générale. Présentation des principes de la gouvernance du SI d entreprise : expliquer la différence entre management et gouvernance. Présentation de l approche COBIT 5 et la mise en œuvre des 5 principes, des 7 activateurs de gouvernance et le modèle de référence des processus. Présentation des principes d implémentation de COBIT 5 Présentation des différences entre COBIT 4.1 et COBIT 5 et comment envisage la transition. Les plus de COBIT 5 pour l entreprise, les managers du SI. Durée : 1 jour Référence : FIC007

14 Catalogue des formations 2013 Page 12 / COBIT, ITIL, CMMI, ISO : QUELS REFERENTIELS CHOISIR? La gouvernance des systèmes d information comporte de multiples facettes, ce qui explique la prolifération de référentiels (standards, bonnes pratiques, normes) qui s y rapportent. Objectifs : Présenter les trois référentiels majeurs : COBIT, ITIL, CMMI, Comprendre les possibilités d application des référentiels et leurs articulations, Pouvoir démarrer ou progresser sur la mise en œuvre de ces référentiels dans un esprit de convergence des approches. Participants : Auditeurs informatiques, responsables informatiques. Prérequis : Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement. Programme détaillé : Introduction COBIT ITIL Les cadres de référence, leurs limites et leur articulation, Identification des principales préoccupations d une DSI : la conduite des projets et le bon fonctionnement des opérations, la gouvernance d ensemble. Nécessité d avoir des approches adaptées au cas par cas qui convergent afin d'être efficaces Comment COBIT peut contribuer à l'organisation de la gouvernance des systèmes d'information? Le cadre de référence et les grands principes de COBIT Le guide de management COBIT Auto-évaluation du contrôle et de la maturité des processus de contrôle Le guide de mise en œuvre de COBIT Qui devrait utiliser COBIT et comment? Un cas pratique, afin de s exercer sur les points précédents. ITIL, présentation, périmètre d application Le service desk, au centre du référentiel ITIL Les processus de support des services Les processus de fourniture des services La mise en œuvre d ITIL Un cas pratique, afin de s exercer sur les points précédents.

15 Catalogue des formations 2013 Page 13 / 53 CMMi Synthèse Durée : 2 jours Référence : FAC001 De CMM à CMMi, historique et positionnement Les modèles de maturité focalisés sur les processus Les domaines couverts par le CMMi: Ingénierie des logiciels et des systèmes, développement intégré, choix des fournisseurs 25 processus et 5 niveaux de maturité La démarche de mise en œuvre du CMMi dans une organisation, le choix de la représentation Les risques et enseignements du CMMi Un exemple concret de convergence des référentiels sur une étude de cas pratique.

16 Catalogue des formations 2013 Page 14 / POUR UNE MISE EN PLACE EFFICACE DES REFERENTIELS DE GOUVERNANCE Le développement des référentiels de gouvernance du SI répond à une attente forte d industrialisation et de contrôle du SI. Toutefois, il ne s 'agit pas pour les DSI de construire "à côté" des processus existants, mais bien de viser l'excellence opérationnelle. Objectifs : Comprendre les leviers et limites des référentiels de gouvernance dans une démarche d amélioration de la performance, Analyser la valeur ajoutée d un processus, Maîtriser les outils fondamentaux d optimisation, Apprendre à construire en quelques jours un processus optimisé, sur la base de cas pratiques, Connaître les leviers pour soutenir durablement la performance d un processus. Participants : DSI et managers SI Directeurs de projet Auditeurs informatiques Consultant en informatique et en organisation Pré-requis : Connaissance de base des référentiels de gouvernance (COBIT, ITIl, CMMi, ISO) Programme détaillé : Apports et limites des référentiels de gouvernance Fondamentaux de l efficacité opérationnelle Optimiser un processus en 5 jours Soutenir la dynamique d amélioration continue de la performance Cas pratiques : o Emergence d un projet SI o Demande de changement Durée : 1 jour Référence : FAA009

17 Catalogue des formations 2013 Page 15 / CONTROLE INTERNE DES SYSTEMES D INFORMATION Au-delà de la reconnaissance du support quotidien que les systèmes d information apportent aux activités métiers et à leurs processus, il est indispensable de comprendre comment ils impactent la maîtrise et le contrôle interne des activités d une organisation. Dans une approche d optimisation et de recherche d efficacité, il est nécessaire d identifier et de mettre en place les leviers s appuyant sur ces systèmes d information pour renforcer cette maîtrise des opérations, mais également de surveiller efficacement leur pérennité dans le temps. Objectifs : Identifier les enjeux du contrôle interne des systèmes d information. Comprendre l articulation entre les contrôles apportés aux processus métiers par les systèmes d information et la maîtrise des processus de gestion des systèmes d information, généralement opérés par la direction des systèmes d information. Appréhender en détail les différents dispositifs de contrôle. Aborder les démarches d évaluation, de surveillance (monitoring) et d optimisation du contrôle interne du système d information. Nous nous appuierons sur l expérience de nos animateurs et les différents référentiels existants sur ces sujets, dont notamment : COBIT 4.1, publié par l ISACA, COBIT and Application Controls, publié en 2009 par l ISACA, Monitoring Internal Control Systems and IT, publié en 2010 par l ISACA, «Le contrôle interne du système d information des organisations : guide opérationnel d application de référence AMF relatif au contrôle interne», publié conjointement par l IFACI et le CIGREF Participants : Auditeurs généralistes, auditeurs informatiques, consultants, responsables contrôle interne et contrôle interne informatique, opérationnels et responsables métiers, responsables des systèmes d'information. Prérequis : Notions de contrôle interne, Expérience des processus, Connaissances minimales en gestion des systèmes d information. Programme détaillé : Les dispositifs de contrôle interne liés aux systèmes d information Contrôle interne des processus métiers et Systèmes d information : le rôle des systèmes d information et des applications informatiques dans le support des processus métiers les contrôles spécifiques disponibles pour améliorer la maîtrise des processus les risques spécifiques liés à l utilisation de systèmes d information les responsabilités en matière de définition et de mise en œuvre des contrôles liés au SI dans les processus focus sur certains domaines fonctionnels

18 Catalogue des formations 2013 Page 16 / 53 Contrôle interne des processus de gestion des systèmes d information : le rôle fondamental du contrôle interne des processus de gestion des systèmes d information es différents objectifs et dispositifs de contrôle au sein des différents processus et les rôles et responsabilité des différents acteurs : Management des SI, Planification et Organisation, Développement et gestion des changements, Exploitation et gestion des incidents, Sécurité, Gestion des projets NB : le cas particulier des activités gérées à l extérieur de l organisation sera spécifiquement abordé : externalisation, cloud computing La gestion du contrôle interne lié aux systèmes d information : évaluer et optimiser : mesurer l efficacité opérationnelle du contrôle interne identifier les acteurs et les différentes approches possibles quelques pistes pour optimiser son dispositif de contrôle interne Mettre en place un monitoring des contrôles pour gagner en efficacité la notion de monitoring des contrôles o les principes et étapes o la comparaison avec les autres modes d évaluation les objectifs et bénéfices d un monitoring des contrôles sur o la responsabilité des acteurs des processus o les cycles d évaluation o les modes opératoires les contrôles éligibles à un suivi par monitoring et les conditions préalables indispensables o la définition du périmètre o les prérequis et conditions indispensables : organisation, information, les étapes de la mise en place d un monitoring efficace, de l évaluation des risques jusqu à la mise en œuvre Durée : 2 jours Référence : FAA010

19 Catalogue des formations 2013 Page 17 / L ARCHITECTURE D ENTREPRISE POUR LES MANAGERS DU SI Objectifs : Présenter de manière pratique et opérationnelle la démarche et les principes de l architecture d entreprise. Présenter les approches de l architecture d entreprise au niveau des métiers et du système d information. Participants : Responsables informatiques, managers, consultants. Prérequis : Principes généraux de management des systèmes d information. Programme détaillé : 1. Les enjeux et les opportunités de l Architecture d entreprise Enjeux pour les managers du SI Enjeux, Tendances de long terme des technologies de l'information Un levier d alignement des visions du SI Un levier pour réutiliser et mutualiser Gérer les risques et saisir les occasions 2. Faire de l architecture pour décider Faire des scénarios Développer une vision systémique de l'entreprise Faire des scénarios stratégiques, des scénarios tactiques, donner corps à l'alignement Donner le pouvoir de décider Décider pour le long terme Les décisions tactiques 3. L'architecture et les métiers de l entreprise Une intégration agile du métier Saisir les occasions favorables Optimiser les processus métiers Engranger les bénéfices des bonnes pratiques 4. L'architecture et le Système d Information Les usages du Système d Information, les exigences d'alignement Factoriser les scénarios de solutions Concevoir un Système d Information qui maximise l'utilité métier Réutiliser : les aller-retours entre le conceptuel, le logique et le physique La maîtrise des risques L architecture des données

20 Catalogue des formations 2013 Page 18 / L'architecture d entreprise, un pilier de la gouvernance du SI L'architecture d entreprise et les projets L'architecture et la gestion du portefeuille de projets L'architecture au sein du dispositif de gouvernance du SI 6. Les référentiels d Architecture et les autres référentiels de gouvernance du SI Les référentiels d Architecture d Entreprise : ZACHMAN, EAF, FEAF, Les référentiels de gouvernance : ITIL, COBIT, VAL-IT 7. Synthèse et Bilan Revue des notions présentées Feedback des participants Durée : 1 jour Référence : FAG004

21 Catalogue des formations 2013 Page 19 / ARCHITECTURE D ENTREPRISE, MISE EN ŒUVRE OPERATIONNELLE Objectifs : Présenter de manière pratique et opérationnelle la démarche et les principes de l architecture d entreprise. Participants : Responsables informatiques, managers, consultants. Prérequis : Principes généraux de management des systèmes d information. Programme A - Les principes de l'architecture d'entreprise 1. Les enjeux et les opportunités de l Architecture d entreprise 2. Faire de l architecture pour décider 3. L'architecture et les métiers de l entreprise - 4. L'architecture et le Système d Information B - Les cas pratiques sur 3 1/2 journées C - Synthèse et feed-back stagiaires Durée : 2 jours Référence : FAG005

22 Catalogue des formations 2013 Page 20 / 53 3 AUDIT INFORMATIQUE 3.1 MODELISATION ET OPTIMISATION DES PROCESSUS METIERS Les processus sont au cœur des évolutions actuelles de nos organisations. Le développement du contrôle interne et des bonnes pratiques, le renforcement de la réglementation et le souci d'efficacité les rendent incontournables. Il est nécessaire de les analyser, de les maîtriser et ensuite de les optimiser. Objectifs : Comprendre la dynamique des processus, Maîtriser les outils d audit et d optimisation de processus, Identifier et valoriser les risques en fonction des exigences des parties prenantes de l entreprise (client, réglementaire, actionnaire, etc.), Réaliser un diagnostic rapide d un processus et présenter un plan d action d amélioration par percée. Participants : Auditeurs, consultants, responsables des systèmes d information. Prérequis : Aucun Programme détaillé : Introduction à la mise en performance d un processus : Historique et état de l art Retour d expérience Techniques de modélisation : BPMN,-Turbo post-it Présentation des démarches d audit et de rationalisation Optimiser un processus en 5 jours avec les événements Kaizen Comment mettre en œuvre une démarche d audit et de rationalisation permanente Mettre en œuvre un modèle de maturité dans son entreprise Monter un plan d action dans un environnement budgétaire contraint Sélectionner les domaines à optimiser en priorité La boîte à outils pour optimiser un processus Analyser la valeur d un processus de service et identifier les sources de gaspillages,écouter la voix du client Configurer le traitement des opérations au plus juste, Piloter la performance des processus de production de services, Analyser des causes d anomalie et recherche de solutions, Réduire et analyser les risques avec AMDEC, Comment standardiser et rationaliser les échanges et les stockages d information dans les services,

23 Catalogue des formations 2013 Page 21 / 53 Rendre visible l invisible avec le management visuel, Mettre en place des systèmes anti erreur dans le processus administratif, Optimiser les ressources et les moyens, Accélérer le traitement des opérations avec la mise en place d un système à flux tendu Les infrastructures informatiques pour accroitre l efficacité Les systèmes de gestion de processus Principe de mise en œuvre S organiser durablement autour des processus : Durée : 2 jours Référence : FAA007 Management par les processus Pilotage des processus

24 Catalogue des formations 2013 Page 22 / ANALYSE DES DONNEES ET CONTROLES AUTOMATISES Mettre en place des contrôles dans les applications opérationnelles, nécessite de disposer d outils automatisés, afin d'analyser efficacement les données et de fournir les éléments de contrôle aux responsables de processus Objectifs : Proposer un panorama de l'ensemble des outils disponibles pour les auditeurs et plus particulièrement ceux d analyse de données, Comprendre les enjeux et la valeur ajoutée de l analyse de données, Acquérir une méthodologie de travail adaptée, Initier une pratique efficace de quelques outils d analyse de données. Participants : Auditeurs, experts comptables, commissaires aux comptes, contrôleurs de gestion. Prérequis : Notion de fichiers et de bases de données. Programme détaillé : Les enjeux. L'analyse des données est une démarche incontournable pour tout auditeur, qu'il soit généraliste ou auditeur informatique L analyse de données et l'audit d application o o Les points de contrôle de l audit d application Présentation des grandes familles d'outils disponibles, les logiciels les plus diffusés, leurs avantages et leurs limites Les tableurs. C'est la solution la plus fréquente. Est-ce une bonne approche? Les bases de données. Il existe des outils de requêtes puissants permettant d'analyser les données Les logiciels d audit La valeur ajoutée de l analyse de données dans la démarche d audit. Son positionnement dans une démarche d'audit Quelques exemples d'utilisation dans le cadre de mission d'audit financier ou d'audit opérationnel. Leur utilisation dans le cadre d'amélioration de dispositifs de contrôle interne Les critères clés pour choisir un produit adapté à vos besoins Démarche pour effectuer un audit des données Définir une démarche sûre et efficace Les différents fichiers et les bases de données utilisables. Comment choisir les bases les plus intéressantes et quels types de requêtes effectuer. Les différentes étapes de travail d'audit. Les étapes clés de l'analyse des données et la sécurisation des conclusions

25 Catalogue des formations 2013 Page 23 / 53 Mise en œuvre de l analyse de données. Étude de différents exemples Mise en œuvre de contrôles avec : analyse du cycle ventes facturation Synthèse o L'essentiel à retenir, o Les facteurs clés de succès. Durée : 2 jours Référence : FAA006

26 Catalogue des formations 2013 Page 24 / AUDIT DU MANAGEMENT DE LA SECURITE DES SI Il revient à des professionnels spécialisés d imaginer, d implémenter et de contrôler les solutions de sécurité. Mais c est au management de s approprier la politique de sécurité de l information, et d en aligner les orientations sur sa stratégie métier. Le rôle de l'auditeur est alors d'évaluer l'ensemble du dispositif. Objectifs : Comprendre la place de la sécurité de l information et les risques, Définir le périmètre de la sécurité de l information et comprendre son articulation avec la culture d entreprise, Positionner l usage des principaux référentiels, normes et guides de bonnes pratiques, Présenter les différentes approches de l audit de sécurité de l information. Participants : Auditeurs, consultants spécialisés en sécurité, responsables sécurité des systèmes d'information, risk managers, responsables informatiques. Prérequis : Ne pas avoir d idées préconçues sur la complexité apparente de la sécurité de l information. Programme détaillé : Introduction Les enjeux de la sécurité de l information et l évolution des menaces, Les contraintes et les risques qui pèsent sur l entreprise, Le cadre de gestion de la sécurité de l information. Une histoire de référentiel La sécurité de l information dans des référentiels, normes, guides de bonnes pratiques comme COBIT V4, ISO 17799:2005, ISO 27001, ITIL, "Aligning COBIT, ITIL and ISO for Business Benefit. Commanditer et réaliser un audit de sécurité Les questions auxquelles se doivent de répondre les audits de sécurité de l information, La typologie des audits, de l audit de la politique de sécurité au test d intrusion en passant par l audit du plan de continuité des activités, La démarche d audit, Petit guide de survie des audits de sécurité du système d information : Qui est le commanditaire? Qui seront les destinataires? Qui seront les auditeurs? Quel sera le périmètre? Quelles méthodes, quels référentiels utiliser? Quel résultat? Les risques d un audit de sécurité.

27 Catalogue des formations 2013 Page 25 / 53 Les grands principes de la sécurité des systèmes d information Politique, organisation et administration de la sécurité, Sécurité physique, Sécurité logique, Sécurité des réseaux et des échanges. Durée : 2 jours Référence : FAA005

28 Catalogue des formations 2013 Page 26 / AUDIT DE LA FONCTION INFORMATIQUE Les décideurs s interrogent de plus en plus sur l adéquation et la performance de leur organisation informatique, et sur le contrôle et le pilotage de leurs systèmes d information. Objectifs : Donner une vue globale de l audit de la fonction informatique vue sous ses différents aspects (audit des risques, audit des organisations, audit de la performance), Identifier les enjeux, les risques et les bonnes pratiques de management des systèmes d information. Participants : Auditeurs, consultants, responsables des systèmes d'information. Prérequis : Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement Programme détaillé: Le programme de ce séminaire est articulé autour de trois thèmes principaux : 1. Audit de l organisation, de la planification et du pilotage des systèmes d information 2. Audit de la fonction études informatiques 3. Audit de la fonction production informatique Pour chaque thème, les quatre points suivants seront systématiquement étudiés: Définitions et éléments de connaissance. Il est important de bien comprendre le contexte, de connaître d'état de l'art du domaine et de positionner les grandes évolutions technologiques. Risques et enjeux. Avant d'auditer un domaine, il est nécessaire d'évaluer les risques de façon à se concentrer sur les points à enjeux. Bonnes pratiques. Il est nécessaire de connaître les bonnes pratiques du domaine audité reconnues par tous les professionnels. Guide d audit et points de contrôle. Plan détaillé : Introduction : Nature et objectif des audits de fonction informatique, Démarche d audit et phases préliminaires. Audit de l organisation, de la planification et du pilotage des systèmes d information Rôle et positionnement de l informatique dans l entreprise La planification stratégique Budget et suivi des coûts informatiques Mesure et suivi de la performance informatique Organisation et structure de la DSI

29 Catalogue des formations 2013 Page 27 / 53 Audit des études informatiques Organisation, rôle et responsabilités de la fonction études informatiques Développement et maintenance des applications Planification et suivi de l activité d'études Audit de la production informatique Enjeux, engagements de service et suivi de la performance Organisation de la fonction production Gestion de l exploitation et des livraisons en production Procédures de sauvegarde et de reprise Maintenance du matériel et du logiciel de base Conclusion Les points clés dans une démarche d'audit de la fonction informatique Durée : 2 jours Référence : FAA003

30 Catalogue des formations 2013 Page 28 / AUDIT SAP Le progiciel intégré SAP est largement diffusé dans les entreprises; une démarche d'audit adaptée doit être mise en oeuvre pour en évaluer sa maîtrise et son impact sur les processus métiers supportés. Objectifs : Donner une vue globale de l audit en environnement SAP, Apprendre et maîtriser une démarche d'audit adaptée au contexte SAP. Participants : Auditeurs, experts comptables, commissaires aux comptes, consultants et informaticiens désireux de s'orienter vers l'audit informatique. Prérequis : Bases de comptabilité et de finance ; connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement. Programme détaillé : Introduction Qu est ce que SAP? Présentation générale du progiciel de gestion intégré Les parts de marché Présentation fonctionnelle détaillée du progiciel SAP : o Les concepts de base Les principaux flux : achats, ventes. Identification et évaluation des différents types de risques auxquels doit faire face l entreprise qui utilise SAP Les risques liés à l environnement Les risques liés à la gestion de projet Les risques liés à l organisation Les risques liés à l architecture fonctionnelle Les risques liés à l architecture technique Démarche d audit en environnement SAP Présentation d une démarche d audit adaptée aux risques identifiés Revue de pré-implémentation / Revue de post-implémentation : où comment positionner une revue SAP? Outils et méthodologies existants Exemple d'audit d un projet SAP : illustration au travers d exemples tirés de la pratique

31 Catalogue des formations 2013 Page 29 / 53 Modalité de revue des points clefs de contrôles internes sur les principaux flux Rappels sur le dispositif Sarbanes-Oxley Démarche d analyse du contrôle interne au travers des flux Exemples tirés de la pratique Audit de sécurité en environnement SAP Présentation des concepts Démarche d audit Mode d organisation autour de SAP. o Qu est ce qu un centre de compétences? Durée : 2 jours Référence : FAA004

32 Catalogue des formations 2013 Page 30 / AUDIT DES APPLICATIONS INFORMATIQUES Les applications informatiques sont le support incontournable des processus métiers ou fonctionnels. Savoir les comprendre, les analyser, en mesurer les risques et le degré de maîtrise est indispensable à qui veut mesurer la fiabilité du processus supporté. Objectifs : Initier à l'audit des applications informatiques et des contrôles automatisés. Identifier les enjeux de l'audit des contrôles automatisés et les différents contextes. Proposer une démarche et des outils. Identifier les limites de la démarche ou les compléments nécessaires. Nous nous appuierons sur l expérience de ce type d audit et les référentiels récemment publiés sur le sujet : COBIT and Application Controls, publié en 2009 par l ISACA, Guide d audit des applications informatiques, co-publié par le chapitre Suisse de l ISACA et l'afai en novembre 2008, Global Technology Audit Guide (GTAG) n 8 Auditing Application Controls, publié par l Institute of Internal Auditors (juillet 2007) et traduit par l Institut Français de l Audit et du Contrôle Interne (IFACI) sous le titre Audit des contrôles applicatifs. Participants : Auditeurs généralistes, auditeurs informatiques, consultants, responsables contrôle interne et contrôle interne informatique, responsables des systèmes d'information désireux de s'orienter vers l'audit informatique. Prérequis : Expérience des processus et des applications, notions de contrôle interne. Programme détaillé : Enjeux de l'audit des applications et contexte : le rôle des applications informatiques dans le support des processus métiers : mise en évidence de l importance des applications dans l efficacité des processus métiers, détail des opportunités, risques et contraintes associes ; les contrôles automatisés : définition de la notion de contrôle automatisé (ou contrôle programmé) et nombreux exemples. Bénéfices et limites de ce type de contrôle (sur le processus lui-même ou sur son contrôle a posteriori). Criticité des contrôles ; les types d'audit d'application : présentation des différents types d audits d application, de leur apport selon la situation ou les objectifs poursuivis ; les référentiels : présentation des différents référentiels existants, de leurs apports et de leurs limites, de la façon de les utiliser.

33 Catalogue des formations 2013 Page 31 / 53 Méthode d'audit des applications : les différentes étapes : décomposition d un audit d application, et notamment les méthodes d investigation, l analyse des risques, l identification et l évaluation des contrôles applicatifs, les tests des contrôles applicatifs ; les techniques de documentation : rappel des différents modes de documentation et de leur apport en termes de méthodologie et de support du raisonnement de l audit ; les techniques de test : présentation des différentes techniques de test disponibles pour un auditeur, avec leurs points clés, leurs avantages et les pré-requis nécessaires. Audits d application en cours d'implémentation : contexte spécifique de ce type d intervention, les bénéfices propres, les risques et les nécessaires adaptations à la méthode. Durée : 2 jours Référence : FAS004

34 Catalogue des formations 2013 Page 32 / AUDIT DES PROJETS INFORMATIQUES Les entreprises sont de plus en plus souvent conduites à évaluer leurs projets informatiques en cours de mise en œuvre, du fait de leur complexité accrue et des risques afférents. Objectifs : Connaître les bonnes pratiques en matière de gestion de projet informatique, Acquérir les connaissances nécessaires pour effectuer le diagnostic d un projet informatique notamment au plan de ses risques. Participants : Auditeurs, consultants, chefs de projets Prérequis: Pratique de la gestion de projet informatique, Connaissance des phases du cycle de vie d un projet et des structures de conduite de projet. Programme détaillé: Les préoccupations en matière de projet o Les questions clés posées par des décideurs o Certains décideurs ont plus de mal o Grandes tendances et préoccupations des dirigeants o L état de l art en matière de projet informatique Les préalables de l audit de projet La notion de projet Les particularités des projets informatiques Tenir les délais et les budgets Évaluation des risques liés au projet Les risques de la non-qualité, les dérapages des coûts et des délais Nécessité de mettre en place un dispositif de pilotage efficace Les bonnes pratiques en matière de gestion de projet Existence d une méthodologie de conduite des projets Conduite du projet par étapes Le respect des phases du projet Maîtrise du processus de développement Conformité des projets aux objectifs généraux de l informatique et à ceux de l entreprise Note de cadrage Qualité des études amont : expression des besoins, cahier des charges Importance des tests, notamment des tests utilisateurs

35 Catalogue des formations 2013 Page 33 / 53 Les différentes approches de l audit des projets Les grandes règles de l'audit de projet COBIT : le PO 10 et les autres référentiels d'audit Démarches d'audit des projets Les objectifs et les points de contrôle : Évaluation du processus de développement Existence de processus, de méthodes et de standards Vérification de l application de la méthodologie Compréhension les causes de dérives des projets Adéquation des fonctions aux besoins des utilisateurs Autres objectifs de contrôle Audit des projets aux différentes phases du projet Étude de faisabilité (dossier d expression des besoins, étude d opportunité,...) Cahier des charges (analyse fonctionnelle, conception générale, ) En cours de réalisation (analyse détaillée, programmation, paramétrage, tests unitaires, ) Tests (tests d intégration, tests de performance, recette, ) Application opérationnelle Les différents types d audit des projets Les grands projets Les projets stratégiques La mise en œuvre d un ERP Le déploiement sur de nombreux sites Les petits projets Les projets en PME Exemples de mission d audit de projet Audit d un projet en phase amont Audit d un grand projet à la fin du cahier des charges Audit d un projet moyen en mode client-serveur Audit d un projet en RAD Traitement en groupe d'un cas Durée : 2 jours L'audit d'un projet au stade de la faisabilité L'audit d'un projet à la fin de l'analyse fonctionnelle Référence : FAA002

36 Catalogue des formations 2013 Page 34 / 53 4 SECURITE DES SI ET RISK MANAGEMENT 4.1 MANAGEMENT DE LA SECURITE DES SI La sécurité des systèmes d'information est un sujet critique pour lequel il convient de mettre en œuvre les bonnes pratiques de gouvernance, via un management efficace. Objectifs : Connaître les démarches permettant de mettre en œuvre des dispositifs de sécurité efficaces, En identifier les points-clés, Prendre en compte les règles et les pratiques de management permettant d améliorer de manière significative le niveau de sécurité des SI. Participants : Auditeurs, consultants spécialisés en sécurité, responsables sécurité des systèmes d'information, risk managers. Prérequis : Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement. Programme détaillé : Analyse de risques et politique de sécurité Analyse et gestion des risques informatiques Les méthodes existantes (Mehari, etc.) Utilisation des normes ISO17799 et ISO27001 Politique et organisation de la sécurité Les schémas directeurs et plans de sécurité Le cadre juridique de la sécurité informatique La CNIL, la loi Godfrain, et les principes de la propriété intellectuelle La signature électronique La LSQ, l économie numérique Les problèmes propres à l infogérance Le droit des contrats : les contrats de travail et les contrats avec les prestataires La surveillance des salariés L élaboration des chartes La «Privacy»

37 Catalogue des formations 2013 Page 35 / 53 La mise en œuvre de la sécurité Les tableaux de bord L élaboration du budget La sécurité dans les projets informatiques La conduite de projet La sensibilisation et la formation La conduite du changement La mesure et les contrôles La politique de veille La gestion de la crise Durée : 4 jours La gestion des incidents Le plan de continuité des activités Le plan de secours La communication Référence : FAS002

38 Catalogue des formations 2013 Page 36 / METHODES DE LUTTE CONTRE LA FRAUDE INFORMATIQUE Les moyens des fraudeurs se multiplient avec l évolution des techniques. Il est de plus en plus difficile, sans avoir des connaissances suffisantes, de déterminer rapidement les faiblesses d'une organisation, et trouver les parades adaptées. Objectifs : Donner une vision globale de la fraude et de ses implications, Permettre aux auditeurs de réagir suffisamment vite et de conseiller les décideurs sur les dispositifs de sécurité à mettre en œuvre pour éviter les fraudes, Identifier les points-clés de la démarche d'audit appliquée à la détection des fraudes. Participants : Auditeurs, consultants, responsables sécurité des systèmes d'information, risk mananagers, responsables informatiques Prérequis : Connaissances générales concernant l'informatique et notamment les communications. Programme détaillé : 1ère partie La fraude classique Définitions et inventaires L'arbre des fraudes «Quid» de la fraude Caractéristiques de la fraude Buts recherchés Environnement de la fraude Les supports de la fraude La méthode applicable La mécanisation des recherches Les aspects juridiques 2ème partie La fraude informatique Les réseaux Les communications Internet Intranet Extranet L administration de la sécurité La piste d audit adaptée à l informatique Les grands classiques informatiques La fraude applicative La fraude à partir du système d exploitation La fraude en production La fraude via les réseaux Le «craquage» des mots de passe

39 Catalogue des formations 2013 Page 37 / 53 Quelques spécificités Fraude sur les ERP (achats et ventes), Fraudes sur cartes bancaires Les «pourriciels» 1ère Etude de cas : «le salami» Les cyber fraudes Le «sniffing» Le «spoofing» Le chantage aux fichiers cryptés (technique PGPxx) Le «flooding» Le «TCP-SYN Flooding» Le «smurf» Le débordement de tampon Les virus, vers, chevaux de Troie Les bombes logiques Les «hoax» Les «backdoors» L ingénierie sociale Mascarade et piratage de sites Autres aspects de la fraude informatique La technique dite du Salami Le piratage de logiciels Les logiciels d attaque et de piratage Captage et découplage 3ème partie Méthode de lutte contre la fraude informatique Indicateurs Indicateurs Les contrôles (accusés réception automatiques, ) Les liens entre cartographie applicative, cartographie des risques, cartographie des réseaux Les «règles du jeu» L obligation d inventaire des contrôles automatisés La séparation des tâches informatiques (la matrice des habilitations) Benford La cryptologie et la cryptanalyse 2ème étude de cas : Matrice des habilitations La documentation sa conservation (historisation) Protection des sauvegardes Les fiches techniques de détection et prévention de la fraude (FTDF) 3ème Etude de cas Etablissement d une FTDF fraude informatique

40 Catalogue des formations 2013 Page 38 / 53 4ème partie Les auditeurs et la gestion de la fraude o Les points d accroche o Méthodologie o 1ère phase : Identification qualification recherches complémentaires coûts financiers o 2ème phase : Analyse et coordination o 3ème phase : Communication et rapport Conclusion Stratégie de lutte contre la fraude Durée : 2 jours Lutte contre les pourriciels et la manipulation des comptes, La place des auditeurs dans la stratégie de lutte, Le rôle du secteur «risk management», Le rôle des autres organes de l entreprise, L excellence du contrôle interne classique et informatisé. Référence : FAS001

41 Catalogue des formations 2013 Page 39 / L ESSENTIEL DU MANAGEMENT DES RISQUES INFORMATIQUES Objectifs : Connaître les concepts et principes du management des risques Découvrir les principales normes et les référentiels majeurs de management des risques informatiques Connaître les principes, processus et activités de management des risques informatiques Appréhender les points clés du management des risques informatiques Participants : Responsables de la gestion des risques, du contrôle interne, de la sécurité, auditeurs, consultants, informaticiens. Prérequis : Aucun. Cependant la connaissance de l'informatique et de son fonctionnement permet de tirer pleinement profit du séminaire. Programme détaillé : Le risque : définitions Les risques liés à l informatique : définitions et caractéristiques Composantes du risque et éléments du vocabulaire du management des risques Management des risques : définition et composantes Gouvernance des SI et risques informatiques Principales normes et référentiels majeurs de management des risques : o Modèle FERMA, COSO ERM, ISO o Risk IT o ISO 27000, CRAMM, EBIOS, MEHARI, OCTAVE o Autres référentiels (ITIL, PMBOK) Risk IT : contenu et structure Principes, processus et activités de management des risques informatiques : o Gouvernance o Appréciation o Traitement o Surveillance o Communication Outils intégrés de management des risques Synthèse des points clés du management des risques informatiques La certification CRISC Durée : 1 jour Les participants à cette formation bénéficient d'une réduction de 15% pour l'achat du Référentiel Risk IT et du Guide utilisateur Risk IT en français. Référence : FIR001

42 Catalogue des formations 2013 Page 40 / REFERENTIEL ET GUIDE UTILISATEUR RISK IT : CONTENU ET MISE EN ŒUVRE Objectifs : Appréhender de manière exhaustive le référentiel et le guide utilisateur Risk IT Aider à la mise en œuvre de Risk IT Participants : Responsables de la gestion des risques, du contrôle interne, de la sécurité, consultants, informaticiens et responsables métier. Pré-requis : Connaissance de l informatique et de son fonctionnement. Connaissance des principes, processus et activités de management des risques (ces éléments sont présentés dans le séminaire L essentiel du management des risques informatiques (voir 4.3) dont le contenu est supposé acquis). Connaissance de COBIT et de Val IT. Programme détaillé : Le risque lié à l informatique : définitions et caractéristiques Positionnement de Risk IT par rapport aux principales normes et référentiels majeurs de management des risques Référentiel Risk IT et Guide utilisateur Risk IT : contenu et structure Présentation détaillée des 3 domaines, 9 processus et 47 bonnes pratiques de Risk IT basées sur COBIT et Val IT Mise en œuvre de Risk IT : guide utilisateur et outils complémentaires Analyse critique de Risk IT Traitement de cas pratiques. Durée : 2 jours Les participants à cette formation bénéficient d'une réduction de 15% pour l'achat du Référentiel Risk IT et du Guide utilisateur Risk IT en français. Référence : FIR002

43 Catalogue des formations 2013 Page 41 / 53 5 PREPARATION AUX EXAMENS DE CERTIFICATION ISACA 5.1 FORMATION PREPARATOIRE A L EXAMEN DU CISA Cette formation a pour but de préparer les candidats à l'examen du CISA. Attention : Elle n est en aucun cas une formation à l audit du système d information. L'inscription à cette formation est totalement indépendante de celle à l'examen qui doit se faire sur le site de l'isaca. ( Objectifs : Analyser les différents domaines du programme sur lequel porte l examen. Assimiler le vocabulaire et les idées directrices de l examen. S entraîner au déroulement de l épreuve et acquérir les stratégies de réponse au questionnaire. Participants : Auditeurs confirmés ou informaticiens qui souhaite obtenir la certification CISA (Certified Information System Auditor) délivrée par l'isaca, et préparer l'examen. Celui-ci dure 4 heures et utilise un questionnaire constitué de 200 questions portant sur l ensemble des domaines relevant de l audit du système d information Programme : Le programme du séminaire suit les 6 domaines définis pour l'examen : Domaine 1 : Processus d audit des SI Les standards d audit L analyse de risque et le contrôle interne La pratique d un audit SI Domaine 2 : Gouvernance des SI Stratégie de la gouvernance du SI Procédures et Risk management La pratique de la gouvernance des SI L audit d une structure de gouvernance Domaine 3 : Gestion du cycle de vie des systèmes et de l infrastructure Gestion de projet : pratique et audit Les pratiques de développement L audit de la maintenance applicative et des systèmes Les contrôles applicatifs

44 Catalogue des formations 2013 Page 42 / 53 Domaine 4 : Fourniture et support des services Audit de l exploitation des SI Audit des aspects matériels du SI Audit des architectures SI et réseaux Domaine 5 : Protection des avoirs informatiques Gestion de la sécurité : politique et gouvernance Audit et sécurité logique et physique Audit de la sécurité des réseaux Audit des dispositifs nomades Domaine 6 : Plan de continuité et plan de secours informatique. Les pratiques des plans de continuité et des plans de secours Audit des systèmes de continuité et de secours. Dans chaque exposé, l accent sera mis sur les éléments organisationnels et technologiques fondamentaux et leurs impacts sur la stratégie d audit en termes de validité et d exhaustivité des éléments audités conformément à l approche ISACA. Méthode : Un questionnaire d auto-évaluation sur les différents domaines vous est proposé avant votre inscription à l examen pour vous permettre d évaluer éventuellement vos lacunes et y remédier en suivant une formation sur la sécurité, la sécurité des réseaux et Internet que vous propose l AFAI Ensemble d exposés couvrant chaque domaine du programme de l examen. A la fin de chaque exposé, les participants doivent s entraîner à répondre à un ensemble de questions portant sur le thème de l exposé. Ces questions sont issues des précédentes sessions du CISA (ou d examens comparables). Simulation partielle de l examen (examen blanc) effectuée en fin de formation. Il est vivement recommandé aux auditeurs peu habitués à la problématique des réseaux et de la sécurité ou sécurité des réseaux/internet de suivre au préalable le séminaire Initiation à la sécurité et aux réseaux informatiques (voir 1.3). Il est vivement conseillé aux candidats à l'examen d'acquérir avant leur participation à la formation la documentation de préparation de l'examen (CISA review manual 2013 en anglais ou Manuel de révision CISA en français).qu'ils peuvent acquérir auprès de l'isaca ( Durée : 5 jours Référence : FIA001

45 Catalogue des formations 2013 Page 43 / FORMATION PREPARATOIRE A L EXAMEN DU CISM Cette formation a pour but de préparer les candidats à l'examen du CISM (Certified Information System Manager), la certification internationale délivrée par l ISACA, examen qui se déroule chaque année en juin et décembre. Attention : Cette formation n est pas une formation au management de la sécurité. L'inscription à cette formation est totalement indépendante de celle à l'examen, qui se fait sur le site de l'isaca ( Objectifs : Analyser les différents domaines du programme sur lequel porte l examen. Assimiler le vocabulaire et les idées directrices de l examen. S entraîner au déroulement de l épreuve et acquérir les stratégies de réponse au questionnaire. Participants : Ingénieurs Sécurité, RSSI, consultants en sécurité. Pré-requis : Expérience en matière de management de la sécurité des systèmes d'information. Programme : Gouvernance de la sécurité Risk Management Gestion des plans de sécurité Gestion des activités de sécurité Réponse aux incidents Questionnaire d entraînement Méthode : Ensemble d exposés couvrant chaque domaine du programme de l examen. A la fin de chaque exposé, les participants doivent s entraîner à répondre à un ensemble de questions portant sur le thème de l exposé. Ces questions sont issues des précédentes sessions du CISA (ou d examens comparables). Simulation partielle de l examen (examen blanc) effectuée en fin de formation. Il est vivement conseillé aux candidats à l'examen d'acquérir avant leur participation à la formation la documentation de préparation de l'examen (CISM review manual 2013) qu'ils peuvent acquérir auprès de l'isaca ( Durée : 3 jours Référence : FIM001

46 Catalogue des formations 2013 Page 44 / FORMATION PREPARATOIRE A L EXAMEN DU CGEIT Cette formation a pour but de préparer les candidats à l'examen du CGEIT (Certified in Governance of Enterprise Information Technology), la certification internationale délivrée par l ISACA, examen qui se déroule chaque année en juin et décembre. Attention : Cette formation n est en aucun cas une formation à la gouvernance du système d information. L'inscription à cette formation est totalement indépendante de celle à l'examen qui doit se faire sur le site de l'isaca ( Objectifs : Se préparer à l examen bi-annuel de la certification CGEIT de l ISACA. Cet examen se déroule en France 2 fois par an, exclusivement en anglais. Celui-ci dure 4 heures et utilise un questionnaire constitué de 120 questions portant sur l ensemble des domaines relevant des domaines de la gouvernance des SI. Participants : Auditeurs, Consultants, Responsables Informatiques, Managers. Prérequis : Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement. Connaissance des principes généraux de la gouvernance et de COBIT. Programme détaillé : Le programme du séminaire suit les 6 domaines définis pour l'examen : Le cadre de référence et les grands principes de la gouvernance. L alignement stratégique. La fourniture de valeur. Le risk management. Le management des ressources. La mesure de la performance du SI. Pour chaque domaine, seront détaillés les principes de mise en place de la gouvernance du SI selon l ISACA et les documents et informations de référence. La préparation à l examen CGEIT sera associée à des examens blancs sur chacun des domaines (20 questions par domaine). La pratique de l examen : déroulement, gestion du temps. Il est vivement conseillé aux candidats à l'examen d'acquérir avant leur participation à la formation la documentation de référence qu'ils peuvent acquérir auprès de l'isaca ; celle-ci comprend notamment : COBIT, Val IT, Board briefing on IT Governance, IT Governance domains and practices, etc. Certains de ses documents sont accessibles en téléchargement gratuits. (voir sur : CGEIT Exam reference materials). Durée : 3 jours Référence : FIG001

47 Catalogue des formations 2013 Page 45 / FORMATION PREPARATOIRE A L EXAMEN DU CRISC Cette formation a pour but de préparer les candidats à l'examen du CRISC. Attention : Elle n est en aucun cas une formation au management des risques informatiques. L'inscription à cette formation est totalement indépendante de celle à l'examen qui doit se faire sur le site de l'isaca. Objectifs : Analyser les différents domaines du programme sur lequel porte l examen. Assimiler le vocabulaire et les idées directrices de l examen. S entraîner au déroulement de l épreuve et acquérir les stratégies de réponse au questionnaire. Nota : L examen a lieu deux fois par an en France. Exclusivement en anglais, il consiste à répondre à 200 questions à choix multiples en 4h. Il est vivement conseillé aux candidats à l'examen d'acquérir avant leur participation à la formation la documentation de référence qu'ils peuvent se procurer auprès de l'isaca Participants : Professionnels de l informatique, professionnels de la gestion des risques, analystes métier spécialisés en risques, directeurs de projets, responsables de la conformité, professionnels métier qui souhaitent obtenir la certification CRISC (Certified in Risk and Information Systems Control) délivrée par l'isaca, et préparer l'examen. Pré-requis : Bonne connaissance de l informatique, des risques liés à l informatique et de la façon de les maîtriser ainsi que du référentiel Risk IT. Il est conseillé d avoir suivi préalablement la formation Risk IT : contenu et mise en œuvre (voir 4.4). Programme : Le programme du séminaire couvre les 5 domaines définis pour l'examen et comprend une simulation partielle de l examen. Domaine 1 : Identification, Appréciation et Évaluation des risques Domaine 2 : Traitement des risques Domaine 3 : Surveillance des risques Domaine 4 : Conception et mise en place du contrôle des SI Domaine 5 : Surveillance et suivi du contrôle des SI Pour chaque domaine, seront détaillés les principes de management des risques informatiques selon l ISACA (documents et informations de référence de l ISACA). La pratique de l examen : déroulement, gestion du temps Simulation partielle de l examen (examen blanc) effectuée en fin de formation. Durée : 3 jours Référence : FIR001

48 Catalogue des formations 2013 Page 46 / 53 6 PREPARATION AUX CERTIFICATIONS ISO ET ITIL 6.1 ISO : LEAD AUDITOR Ce cours intensif de cinq jours permet aux participants d acquérir les connaissances nécessaires et de développer l expertise pour : planifier et effectuer des audits de la conformité d un système de management de la sécurité de l information par rapport aux exigences de la norme ISO 27001; manager une équipe d auditeurs en appliquant les principes, procédures et techniques d audits communément reconnus. A partir d exercices pratiques basés sur un cas d étude, le stagiaire sera mis en situation de développer les compétences (maîtrise des techniques d audit) et les aptitudes (gestion d équipes et d un programme d audit, communication avec les clients, résolution de conflits, etc.) nécessaires à la conduite d un audit. La formation est basée sur les lignes directrices d audit de système de management (ISO 19011:2002) ainsi que les meilleures pratiques internationales d audit. Elle se compose de : Cours magistraux illustrés de cas concrets, Exercices pratiques, réalisés seul ou en groupe (jeux de rôles), tirés de missions réelles, en lien direct avec la préparation à l examen. Objectifs: Comprendre les principes d application de l ISO 27001:2005 dans la construction d un système de management de la sécurité de l information, Comprendre la relation entre le système de management de la sécurité de l information, le management des risques, les mesures, et les différentes parties prenantes, Comprendre les principes, procédures et techniques d audit de l ISO :2002, et comment les appliquer dans le cadre d un audit selon l ISO 27001, Comprendre l application des obligations légales, statutaires, réglementaires ou contractuelles pertinentes lors de l audit d un SMSI, Acquérir les compétences nécessaires pour effectuer un audit de façon efficace, et les techniques de gestion d une équipe d audit, préparer et compléter un rapport d audit ISO Prérequis: Une connaissance préalable des normes ISO et ISO est recommandée. Participants: Personnes désirant diriger des audits de certification ISO en tant que responsable d une équipe d audit, Consultants désirant préparer et accompagner une organisation lors d un audit de certification ISO 27001, Auditeurs internes désirant préparer et accompagner leur organisation vers l audit de certification ISO 27001, Responsables de la sécurité de l information ou de la conformité, Conseillers experts en technologies de l information.

49 Catalogue des formations 2013 Page 47 / 53 Programme: Jour 1 : Introduction à la gestion d un système de management de la sécurité de l information selon ISO Objectifs et structure du cours Cadre normatif et réglementaire Processus de certification ISO Principes fondamentaux de la sécurité de l information et de la gestion du risque Système de management de la sécurité de l information (SMSI) Présentation des clauses 4 à 8 de l ISO Jour 2 : Démarrer un audit ISO Concepts et principes fondamentaux d audit Éthique et déontologie de l audit L approche d audit fondée sur la preuve et sur le risque Préparation d un audit de certification ISO L audit documentaire Préparation du plan d audit Conduite d une réunion d ouverture Jour 3 : Conduire un audit ISO Communication durant l audit Les procédures d audit (observation, entrevue, techniques d échantillonnage) Rédaction des conclusions d audit et des rapports de non-conformité Jour 4 : Conclure un audit ISO Documentation de l audit Revue des notes d audit Conclusion d un audit ISO Gestion d un programme d audit La compétence et l évaluation des auditeurs Clôture de la formation Jour 5 : Examen Examen Examen et certification: L examen ISMS - ISO Lead Auditor est certifié par le RABQSA et répond aux critères du RABQSA Training Provider Examination Certification Scheme (TPECS), dont il couvre les unités de compétence: RABQSA IS (sécurité de l information), RABQSA AU (Techniques d audit), RABQSA TL (Techniques d auditeur principal). L examen ISMS - ISO Lead Auditor est disponible en français, en anglais et en espagnol.

50 Catalogue des formations 2013 Page 48 / 53 Un certificat est remis aux participants ayant réussi l examen. Le certificat de réussite d examen RABQSA est reconnu par l IRCA et répond aux critères de certification IRCA/2016. Le participant ayant réussi l examen pourra s inscrire auprès de l IRCA ou du RABQSA, et prétendre, selon son expérience de l audit, au titre d auditeur provisoire ISO 27001, d auditeur ISO 27001, d auditeur principal ISO 27001, ou de Lead Auditor ISO Documentation fournie aux participants: Durée: Une copie papier de la norme ISO/CEI :2005 Une attestation de participation de 35 CPE (Continuing Professional Education), Une trousse à outils d audit ainsi qu un manuel de l étudiant (plus de 400 pages d informations et d exemples pratiques) La durée de la session est de 5 jours : 4 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 32 heures de cours, 5 heures de travail individuel à réaliser le soir après les cours, et 3 heures d'examen. Cette durée de 40 heures répond à une exigence de la norme ISO 19011:2002. Coût: Le coût de l'examen est inclus dans le tarif spécifique de cette formation. Référence : FCS001

51 Catalogue des formations 2013 Page 49 / ISO : CERTIFIED RISK MANAGER a formation ISO Certified Risk Manager permet de maîtriser les éléments fondamentaux relatifs à la gestion des risques reliés à l information. Objectifs: En réalisant des exercices pratiques basés sur des études de cas, par des démonstrations et des débats, les participants acquièrent la capacité d apprécier les risques sur la sécurité de l information, de les gérer et de les contrôler, d effectuer des évaluations sur la sécurité de l information, et de développer des plans de maîtrise des risques, tenant compte des éléments stratégiques, administratifs, technologiques et organisationnels. Cette formation comprend une présentation comparée des différentes méthodes d analyses de risques compatibles à la norme ISO Cette formation à la maîtrise des risques s'inscrit parfaitement dans le cadre d'un processus d'implémentation d un système de management de la sécurité de l information selon la norme ISO Prérequis: Une connaissance de base des principes de la sécurité de l information, et de la continuité des activités est recommandée. Participants: Collaborateurs affectés à la maîtrise des risques de leur organisation et en charge de conduire une analyse des risques Consultants en sécurité des systèmes d information désirant compléter leurs connaissances dans la gestion des risques et/ou accompagnant des organisations dans leur analyse des risques. Programme: Concept de base en gestion des risques Les normes et cadres de référence en gestion des risques Mise en œuvre d un programme de gestion des risques Classification des actifs Identification et analyse des risques Approche quantitative et qualitative de l évaluation des risques Traitement du risque Gestion des risques résiduels Gestions des risques de projets Gouvernance et gestion des risques Présentation des principales méthodologies de gestion des risques : EBIOS, MEHARI, OCTAVE, CRAMM, Microsoft Security Compliance Management Examen ISO Certified Risk Manager (2 heures) Documentation remise aux participants: Une copie de la norme ISO 27005, Le manuel de l étudiant, Un certificat de participation valant 14 points CPE (continuing professional education).

52 Catalogue des formations 2013 Page 50 / 53 Examen et certification : L examen ISO Certified Risk Manager est en cours de certification par le RABQSA et répond aux critères du RABQSA Training Provider Examination Certification Scheme (TPECS) et couvre l unité de compétences : RABQSA IS (Sécurité de l information). L examen ISO Certified Risk Manager est disponible en français et en anglais Durée de l examen : 2 heures Un certificat sera remis aux participants suite à la réussite de l examen. Durée: 3 jours. Coût: Le coût de l'examen est inclus dans le tarif spécifique de cette formation. NB : D'autres formations certifiantes relatives à ISO sont susceptibles d'être proposées par l'afai. Si vous êtes intéressé(e)s, merci d'adresser un à [email protected]. Référence : FCS002

53 Catalogue des formations 2013 Page 51 / ITIL : FONDATIONS Ce cours d introduction à ITIL offre aux participants la possibilité d acquérir les connaissances de base sur la gestion de service informatique selon ITIL. Objectifs : Comprendre la structure ITIL afin de fournir la base des concepts clés, de la terminologie, des processus et des fonctions proposées par ITIL. Prérequis: Aucun pré-requis n est exigé ni recommandé Participants: Auditeur, consultant, gestionnaire TI, personnel TI ou toute personne désirant se familiariser avec ITIL Documentation: Une copie du livre «an introduction to ITIL» sera remise aux participants Une copie des notes de cours est remise aux participants Un examen de pratique sera remis aux participants Un certificat de participation de 21 CPE (continuing professional education) sera remis aux participants Programme: Présentation d ITIL La gestion de service en tant que pratique Introduction du concept de cycle de vie Stratégie de service Conception de service Transition de service Exploitation de service Amélioration continue de service Considérations technologiques Examen et certification: La certification de niveau «fondations» est obtenue suite à la réussite à un examen composé de quarante (40) questions à choix multiple à réaliser dans un délai de soixante (60) minutes. Durée: 3 jours Coût: Le coût de l'examen est inclus dans le tarif spécifique de cette formation. NB : D'autres formations certifiantes relatives à ITIL sont susceptibles d'être proposées par l'afai. Si vous êtes intéressé(e)s, merci d'adresser un à [email protected]. Référence : FCT001

54 Catalogue des formations 2013 Page 52 / 53 7 CONDITIONS GENERALES DE VENTE ET TARIFS 7.1 FORMATION INTER-ENTREPRISES Inscriptions Les inscriptions aux formations inter-entreprises sont effectuées en utilisant exlclusivement le bulletin d inscription (voir 0). L'envoi à l'afai du bulletin vaut inscription et engage l'entreprise. Un accusé de réception est adressé par au participant et au responsable de formation par l'afai. Horaires et lieux Les formations se déroulent de 9h30 à 12h30 et de 14h à 18h. Les déjeuners sont pris au restaurant. Un petit déjeuner d'accueil est servi à partir de 9h. Ces formations se déroulent à Paris ou proche banlieue. Le lieu et les moyens d'accès sont communiqués aux participants par messagerie électronique. Frais d inscription Pour l application de la tarification consentie aux membres de l AFAI, la qualité d adhérent est contrôlée lors de l établissement de la facture, à l issue de la formation. Toute formation commencée est due en totalité. Si la formation est prise en charge par un OPCA, la demande de prise en charge doit être effectuée directement par l'entreprise et mentionnée impérativement sur le bulletin d'inscription. Annulations / remplacements Toute inscription peut être librement annulée au plus tard 10 jours avant le début du séminaire ; au-delà de ce délai, elle est considérée comme définitive et ne pourra être remboursée. En cas de désistement, le remplacement par un autre participant est accepté à tout moment. Conventions de formation Les factures tiennent lieu de convention professionnelle simplifiée. Une convention séparée peut être délivrée sur demande. Décomptes d heures de formation Le décompte des heures de formation (DIF et CPE) est de 7 heures par jour de formation. Une attestation de présence est délivrée aux participants à l issue de la formation. Tarifs Voir annexe Règlements Pour les entreprises françaises, le règlement de la prestation est payable à réception de facture, émise à l'issue de la formation. Pour les entreprises étrangères, le règlement doit être effectué au moment de l'inscription. Sur demande, un devis peut être émis par l'afai. Les entreprises de l'union Européenne doivent impérativement fournir à l'afai leur numéro de TVA intracommunautaire; à défaut, la facture inclut le montant de la TVA française. 7.2 FORMATION INTRA-ENTREPRISES Toutes nos formations peuvent être délivrées en intra-entreprise, sur demande.

55 Catalogue des formations 2013 Page 53 / RENSEIGNEMENTS ADMINISTRATIFS ET BANCAIRES : N d agrément de l AFAI en tant qu organisme de formation : N SIRET : N TVA intracommunautaire : FR Banque : HSBC France - Agence Centrale 103 avenue des Champs Elysées PARIS RIB : IBAN : FR Code swift /BIC : CCFRFRPP 8 CALENDRIER JUILLET DECEMBRE 2013 Référence Titre Dates des sessions Audit de la Gouverance du SI 18 juillet FIC001 COBIT 5 Foundation Course septembre 4-6 novembre FAA009 Pour une mise en place efficace des référentiels de 13 septembre gouvernance FAA004 Audit SAP octobre FAS004 Audit des applications informatiques 9-10 octobre FAA002 Audit des projets informatiques octobre FAS002 Management de la sécurité des SI 4-8 novembre FIR002 Référentiel et guide utilisateur Risk IT : contenu et mise en 2-3 novembre œuvre FIA001 Formation préparatoire à l examen du CISA 8-12 juillet octobre novembre novembre FIM001 Formation préparatoire à l examen du CISM octobre FIG001 Formation préparatoire à l examen du CGEIT novembre FIR003 Formation préparatoire à l examen du CRISC novembre

56 Tarif des formations inter-entreprises Tarifs (en HT) Référence Titre Tarif adhérent HT Tarif non-adhérent HT FAA008 Technologies des SI FAA001 Initiation à l audit informatique FIA002 Initiation à la sécurité et aux réseaux informatiques FAG008 Audit de la gouvernance des SI FIC001 COBIT Foundation Course FIC004 COBIT Implementation Course FIC007 COBIT 5 : présentation et nouveaux concepts FAC001 COBIT, ITIL, CMMi, ISO : quels référentiels choisir FAA009 Pour une mise en place efficace des référentiels de gouvernance FAA010 Contrôle interne des systèmes d information FAG004 L architecture d entreprise pour les managers du SI FAG005 Architecture d entreprise : mise en œuvre opérationnelle FAA007 Modélisation et optimisation des processus métier FAA006 Analyse de données et contrôle automatisé FAA005 Audit du management de la sécurité des SI FAA003 Audit de la fonction informatique FAA004 Audit SAP FAS004 Audit des applications informatiques FAA002 Audit des projets informatiques FAS002 Management de la sécurité des SI FAS001 Méthode de lutte contre la fraude informatique FIR001 L essentiel du management des risques informatiques FIR002 Référentiel et guide utilisateur Risk IT : contenu et mise en oeuvre FIA001 Formation préparatoire à l examen du CISA FIM001 Formation préparatoire à l examen du CISM FIG001 Formation préparatoire à l examen du CGEIT FIR003 Formation préparatoire à l examen du CRISC FCS001 ISO : Lead Auditor FCS002 ISO : Certified Risk Manager FCT001 ITIL : Fondations

57 Page 1 / 3 Bulletin d inscription Les champs marqués d'une * sont obligatoires. Formation choisie : *Référence : *Session : du / / au / / *Libellé : Vos coordonnées *Nom : *Prénom : *Société : *Fonction : *Adresse : *Code postal : *Ville : *Pays : *Tél : *Fax : * Les coordonnées de votre responsable de formation *Nom : *Prénom : *Société : *Fonction : *Adresse : *Code postal : *Ville : *Pays : *Tél : *Fax : *

58 Page 2 / 3 Facturation N TVA intracommunautaire : *Contact : *Société : *Fonction : *Adresse : *Code postal : *Ville : *Pays : *Tél : *Fax : * Si la procédure interne de votre entreprise nécessite un bon de commande, merci d'en renseigner le numéro : N de bon de commande : Prise en charge par un OPCA Si votre formation est prise en charge par un OPCA, merci de nous en indiquer les coordonnées *Société : *Adresse : *Code postal : *Ville : *Pays : *Tél : *Fax : Renseignements complémentaires N adhérent ISACA/AFAI :

59 Page 3 / 3 Conditions générales de vente Je reconnais accepter les conditions générales de vente Signature Cachet de l entreprise A retourner à l AFAI, signé et tamponné