Réseaux et sécurité, Sécurité, synthèses et référentiels ISO, CISSP...

Réseaux et sécurité, Sécurité, synthèses et référentiels ISO, CISSP... De nos jours, la sécurité des informations devient une préoccupation critique des décideurs d'entreprise, des clients et fournisseurs. Les séminaires Orsys s'adressent à tous ceux qui ont à définir une politique de sécurité et de continuité, à la mettre en œuvre au moyen d'une organisation et de solutions adaptées, ou encore à auditer un système déjà en place. Une place importante est donnée à la maîtrise des normes et référentiels (ISO 27001, ISO 27005, CISSP, PCI-DSS, etc.), et à la préparation des certifications associées. Séminaires Sécurité des systèmes d'information, synthèse... ( p12 ) Sécurité réseaux/internet, synthèse... ( p17 ) Sécurité VPN, sans-fil et mobilité, synthèse... ( p21 ) Cloud Computing, sécurité... ( p25 ) Audit, indicateurs et contrôle de la sécurité... ( p26 ) Implémenter et gérer un projet ISO 27001:2013... ( p27 ) ISO 27001:2013 Bridge, passer de la version 2005 à la version 2013... ( p31 ) ISO 27005:2011 Risk Manager, préparation à la certification... ( p37 ) Plan de secours et de continuité... ( p43 ) PCI-DSS, sécurité e-commerce... ( p44 ) Sécurité des applications Web, synthèse... ( p45 ) Annuaire et gestion d'identité... ( p46 ) Authentifications et autorisations, architectures et solutions... ( p47 ) SAML 2, fédération des identités, synthèse... ( p48 ) Stages Pratiques Cycle certifiant Responsable Sécurité SI... ( p3 ) CISA, Certified IS Auditor, préparation à la certification... ( p5 ) CISM, Certified IS Manager, préparation à la certification... ( p7 ) Responsable sécurité SI Certificat universitaire... ( p8 ) CLFE, Certified Lead Forensics Examiner, certification... ( p14 ) ISO 27034, sécurité des applications, Foundation, certification... ( p15 ) ISO 27034, sécurité des applications, Lead Auditor, certification... ( p19 ) ISO 27034, sécurité des applications, Lead Implementer, certification... ( p23 ) ISO 27001:2013 Lead Auditor, mise en pratique, certification... ( p29 ) ISO 27001:2013 Lead Implementer, mise en pratique, certification... ( p30 ) ISO 22301, Foundation, certification... ( p32 ) ISO 22301, Lead Auditor, certification... ( p33 ) ISO 22301, Lead Implementer, certification... ( p34 ) CISSP, sécurité des SI, préparation à la certification... ( p36 ) ISO 27005:2011 Risk Manager, certification... ( p38 ) ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 1

Mehari Risk Manager, certification... ( p39 ) Méthode EBIOS, mise en oeuvre de la gestion des risques... ( p40 ) Sécurité SI, mise en œuvre pratique d'une analyse de risques... ( p41 ) Sécurité SI, sensibilisation des utilisateurs... ( p49 ) ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 2

Stage pratique de 12 jour(s) Réf : KUR Ingénieurs, experts, consultants en informatique. Bonnes connaissances en systèmes et réseaux informatiques. Prix 2015 : 6910 HT 16 juin 2015, 15 sep. 2015 3 nov. 2015 Composition du cycle - Sécurité des systèmes d'information, synthèse Réf : SSI, Durée : 3 j - Sécurité réseaux/internet, synthèse Réf : SRI, Durée : 3 j - ISO 27005:2011 Risk Manager, préparation à la certification Réf : AIR, Durée : 3 j - Plan de secours et de continuité Réf : PDS, Durée : 2 j - Certification Responsable Sécurité SI Réf : KZX, Durée : 1 j Dates d'examen 13 avril 15 03 juillet 15 14 septembre 15 14 décembre 15 Cycle certifiant Responsable Sécurité SI certificat professionnel FFP Ce cycle vous apportera toutes les connaissances nécessaires à la définition et la mise en oeuvre de la politique de sécurité de l'entreprise. Vous apprendrez à répondre aux impératifs de sécurité dans les communications IT et l'architecture du système d'information. Ce cycle traitera aussi des normes ISO relatives à ce domaine, avec un focus particulier sur l'analyse de risques et la mise en place d'un plan de secours et de continuité. 1) La sécurité des systèmes d'information 2) Sensibilisation et communication 3) La sécurité des réseaux et de l'internet 1) La sécurité des systèmes d'information 4) La sécurité des applications et la supervision 5) L'analyse de risques 6) Le plan de secours et de continuité - La notion et les types de risque (potentialité, impact, accident, erreur, malveillance). - La classification DIC. La gestion du risque (prévention, protection, report de risque, externalisation). - RSSI, chef d'orchestre de la sécurité. Rôle et responsabilité. - Les cadres normatifs et réglementaires. Vers la gouvernance informatique, les liens avec ITIL et CMMI. - La norme ISO dans une démarche Systèmes de management. La certification ISO 27001. - L'analyse de risque. Comment constituer sa propre base de connaissances menaces/vulnérabilités? - Les méthodes en activité : EBIOS/FEROS, MEHARI. - Les audits de sécurité. Les bonnes pratiques de la norme 19011 appliquées à la sécurité. 2) Sensibilisation et communication - Mettre en place un plan de sensibilisation et de communication. - La charte de sécurité, son existence légale, son contenu, sa validation. - Couverture des risques. Plans de secours, de continuité, de reprise et de gestion de crise. - Concevoir des solutions optimales. Démarche pour les solutions de sécurisation adaptées pour chaque action. - Définition d'une architecture cible. Choisir entre IDS et IPS, le contrôle de contenu comme nécessité. - Déployer un projet PKI, les pièges à éviter. Les techniques d'authentification, SSO, fédération d'identité. - Les principes juridiques applicables au SI. La responsabilité civile délictuelle et contractuelle. - Recommandations pour une sécurisation légale du SI. La cybersurveillance des salariés, limites et contraintes légales. 3) La sécurité des réseaux et de l'internet - Evolution de la cybercriminalité. Nouveaux usages (Web 2.0, virtualisation, Cloud Computing...) et risques associés. - Outils et méthodes d'intrusion par TCP-IP. Les attaques applicatives (DNS, HTTP, SMTP, etc.). - Sécurité des postes clients. Les menaces : backdoor, virus, rootkit... Le rôle du firewall personnel et ses limites. - Sécurité du sans-fil (Wi-Fi et Bluetooth). Attaques spécifiques (Wardriving, failles WEP et EAP). - Technologie firewall et proxy. Evolution de l'offre Firewall (appliance, VPN, IPS, UTM...). - Techniques cryptographiques. Algorithmes à clé publique : Diffie Hellman, RSA... Scellement et signature électronique. - Sécurité pour l'intranet/extranet. Les attaques sur SSL/TLS (sslstrip, sslnif...). Annuaire LDAP et sécurité. - Réseaux Privés Virtuels (VPN). IPSec. Les modes AH et ESP, IKE et la gestion des clés. 4) La sécurité des applications et la supervision - Les principales techniques d'attaque des applications (buffer overflow, XSS, SQL Injection, vol de session...). - Le processus SDL (Security Development Lifecycle). Utilisation de la technique de "fuzzing". - Les outils de revue de code orientés sécurité. Le Firewall applicatif (WAF). Hardening et vérification d'intégrité. - Gestion et supervision active de la sécurité. Les tableaux de bord Sécurité. La norme ISO 27004. - Les missions du RSSI dans le suivi de la sécurité. Les audits de sécurité (techniques ou organisationnels). - Les tests de vulnérabilité ou tests d'intrusion. Les outils Sondes IDS, Scanner VDS, Firewall IPS. - Consigner les preuves et riposter efficacement. Se tenir informé des nouvelles vulnérabilités. - Gérer les mises à niveaux. Savoir réagir en cas d'incidents. Les services indispensables : où les trouver? 5) L'analyse de risques - Rappels sur les terminologies ISO 27000. - Identification et classification des risques. - L'analyse de risques selon l'iso. - Les méthodes d'analyse de risques EBIOS 2010 et MEHARI 2010. Les autres méthodes internationales. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 3

- Comment choisir la meilleure méthode sur la base d'exemples et étude de cas pratiques? - Une méthode globale ou une méthode par projet. - Le vrai coût d'une analyse de risques. 6) Le plan de secours et de continuité - Les enjeux pour l'entreprise d'une stratégie de continuité : lois et réglementations, normes et standards. - Définir la stratégie de continuité. - Les phases d'un projet plan de continuité. - L'analyse des risques pour le plan de continuité. - L'identification des activités critiques. - Les éléments et le budget pour élaborer les scénarios. - Les équipes de secours : constitution, rôles... Les principes de déclenchement du plan de secours. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 4

Stage pratique de 5 jour(s) Réf : ISB Directeurs des SI, auditeurs, responsables de la continuité d'activité ou de la sécurité, ou ceux pour lesquels la maîtrise des SI constitue un élément fondamental dans l'atteinte de leurs objectifs. Connaissances de base dans le fonctionnement des systèmes d'information. Prix 2015 : 4450 HT 18 mai 2015, 5 oct. 2015 7 déc. 2015 Bruxelles 22 juin 2015, 7 sep. 2015 23 nov. 2015 Geneve 22 juin 2015, 7 sep. 2015 23 nov. 2015 Luxembourg 22 juin 2015, 7 sep. 2015 23 nov. 2015 CISA, Certified IS Auditor, préparation à la certification Ce cours permet de préparer l'examen CISA, Certified Information Systems Auditor, en couvrant la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en sécurité défini par l'isaca, Information Systems Audit and Control Association. La certification CISA est reconnue dans le monde entier. 1) Domaine 1 : processus d'audit des systèmes d'information 2) Domaine 2 : gouvernance et gestion des systèmes d'information 3) Domaine 3 : acquisition, conception, implantation des SI Certification 4) Domaine 4 : exploitation, entretien et soutien des systèmes d'information 5) Domaine 5 : protection des actifs informationnels 6) Préparation et certification Une expérience de 5 ans est requise pour obtenir la certification CISA suite à la réussite de l'examen. Vous pouvez néanmoins passer l'examen d'abord, et pour cela vous devez vous inscrire sur le site de l'isaca. 1) Domaine 1 : processus d'audit des systèmes d'information - Les standards d'audit. - L'analyse des risques d'audit et le contrôle interne. - L'auto-évaluation des contrôles. - La pratique d'un audit SI. Questions issues des précédentes sessions du CISA (ou d'examens comparables). 2) Domaine 2 : gouvernance et gestion des systèmes d'information - La gouvernance des SI. - La stratégie de la gouvernance du SI. - Les procédures et le Risk management. - La pratique de la gouvernance des SI. - L'audit d'une structure de gouvernance. - Les pratiques des plans de continuité et des plans de secours. - L'audit des systèmes de continuité et de secours. Questions issues des précédentes sessions du CISA (ou d'examens comparables). 3) Domaine 3 : acquisition, conception, implantation des SI - La gestion du cycle de vie des systèmes et de l'infrastructure. - La gestion de projet : pratique et audit. - Les pratiques de développement. - L'audit de la maintenance applicative et des systèmes. - Les contrôles applicatifs. Questions issues des précédentes sessions du CISA (ou d'examens comparables). 4) Domaine 4 : exploitation, entretien et soutien des systèmes d'information - L'audit de l'exploitation des SI. - L'audit des aspects matériels du SI. - L'audit des architectures SI et réseaux. Questions issues des précédentes sessions du CISA (ou d'examens comparables). 5) Domaine 5 : protection des actifs informationnels - La gestion de la sécurité : politique et gouvernance. L'audit et la sécurité logique et physique. - L'audit de la sécurité des réseaux. L'audit des dispositifs nomades. Questions issues des précédentes sessions du CISA (ou d'examens comparables). 6) Préparation et certification - Examen blanc. Simulation partielle de l'examen effectuée en fin de formation. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 5

- Inscription à faire sur le site www.isaca.org, la clôture des inscriptions est faite 2 mois avant la date de l'examen. - Déroulement de l'examen : 4 heures de QCM avec 200 questions à choisir préalablement en français ou en anglais. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 6

Stage pratique de 3 jour(s) Réf : ISM Directeurs des SI, auditeurs, responsables de la continuité d'activité ou de la sécurité ou ceux pour lesquels la maîtrise des SI constitue un élément fondamental dans l'atteinte de leurs objectifs. Connaissances de base dans le fonctionnement des systèmes d'information. La compréhension de l'anglais est nécessaire car la documentation fournie est en anglais (la formation est donnée en français). Prix 2015 : 2815 HT 11 mai 2015, 7 sep. 2015 16 nov. 2015 Bruxelles 4 mai 2015, 31 aoû. 2015 26 oct. 2015, 14 déc. 2015 Geneve 4 mai 2015, 31 aoû. 2015 26 oct. 2015, 14 déc. 2015 Luxembourg 4 mai 2015, 31 aoû. 2015 26 oct. 2015, 14 déc. 2015 CISM, Certified IS Manager, préparation à la certification Ce cours permet de préparer l'examen CISM, Certified Information Security Manager, couvrant la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en sécurité défini par l'isaca, Information Systems Audit and Control Association. La certification CISM est reconnue dans le monde entier. 1) Domaine 1 : gouvernance de la sécurité de l'information 2) Domaine 2 : gestion des risques de l'information et conformité 3) Domaine 3 : implémentation, gestion de programme sécurité de l'information Certification 4) Domaine 4 : gestion des incidents de sécurité de l'information 5) Examen blanc et procédure de certification Outre la réussite à l'examen, il faut justifier d'au moins 5 années d'expérience avec un minimum de trois ans dans le management de la sécurité de l'information dans trois domaines concernés par la certification. Pour le passage de l'examen, vous devez vous inscrire sur le site de l'isaca. 1) Domaine 1 : gouvernance de la sécurité de l'information - Alignement de la stratégie de sécurité de l'information sur la stratégie d'entreprise et de la direction. - Développement de la politique de sécurité de l'information. - Engagement de la haute direction et soutien à la sécurité informatique dans toute l'entreprise. - Définition des rôles et responsabilités dans la gouvernance de la sécurité de l'information. Questions issues des précédentes sessions du CISM (ou d'examens comparables). 2) Domaine 2 : gestion des risques de l'information et conformité - Développement d'une approche systématique et analytique, ainsi que du processus continu de gestion des risques. - Identification, analyse et évaluation des risques. - Définition des stratégies de traitement des risques. - Communication de la gestion des risques. Questions issues des précédentes sessions du CISM (ou d'examens comparables). 3) Domaine 3 : implémentation, gestion de programme sécurité de l'information - L'architecture en sécurité de l'information. - Méthodes pour définir les mesures de sécurité requises. - Gestion des contrats et des prérequis de sécurité de l'information. - Métriques et évaluation de la performance en sécurité de l'information. Questions issues des précédentes sessions du CISM (ou d'examens comparables). 4) Domaine 4 : gestion des incidents de sécurité de l'information - Composantes d'un plan de gestion des incidents de sécurité. - Concepts et pratiques en gestion des incidents de sécurité. - Méthode de classification. - Processus de notification et d'escalade. - Techniques de détection et d'analyse des incidents. Questions issues des précédentes sessions du CISM (ou d'examens comparables). 5) Examen blanc et procédure de certification - Simulation partielle de l'examen (examen blanc) effectuée en fin de formation. - Inscription à faire sur le site www.isaca.org, la clôture des inscriptions est faite 2 mois avant la date de l'examen. - Déroulement de l'examen : 4 heures de QCM avec 200 questions (examen disponible uniquement en anglais). ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 7

Stage pratique de 11 jour(s) Réf : 1UC Ingénieurs, experts, consultants en informatique. Le public dispose de bonnes connaissances en systèmes et réseaux informatiques. Aucune connaissance particulière. Prix 2015 : 9700 HT 14 sep. 2015 Responsable sécurité SI Certificat universitaire Toutes les connaissances nécessaires à la définition et la mise en oeuvre de la politique de sécurité de l'entreprise. Vous apprendrez à : répondre aux impératifs de sécurité dans les communications IT et l'architecture du système d'information, connaître les normes ISO relatives à ce domaine, avec un focus particulier sur l'analyse de risques et la mise en place d'un plan de secours et de continuité. 1) Sécurité des systèmes d'information, synthèse 2) Sécurité réseaux/internet, synthèse 1) Sécurité des systèmes d'information, synthèse Introduction - La notion de risque. - Les types de risques. - La classification DIC. - La gestion du risque. RSSI : chef d'orchestre de la sécurité - Quel est le rôle du RSSI? - Vers une organisation de la sécurité, le rôle des "Assets Owners". - Le Risk Manager dans l'entreprise ; son rôle par rapport au RSSI. Les cadres normatifs et réglementaires - Les réglementations SOX, COSO, COBIT. Pour qui? - Vers la gouvernance informatique, les liens avec ITIL et CMMI. - La norme ISO dans une démarche Systèmes de management. - La certification ISO 27001. L'analyse de risque - Identification et classification des risques. - Comment constituer sa propre base de connaissances menaces/vulnérabilités? - Les méthodes en activité : EBIOS/FEROS, MEHARI. - La démarche d'analyse de risques dans le cadre 27001, l'approche PDCA. - La méthode universelle ISO 27005, les évolutions des méthodes françaises. Les audits de sécurité et le plan de sensibilisation - Processus continu et complet. - Les catégories d'audits, de l'audit organisationnel au test d'intrusion. - Les bonnes pratiques de la norme 19011 appliquées à la sécurité. - Comment créer son programme d'audit interne, qualifier ses auditeurs? - Sensibilisation à la sécurité : Qui? Quoi? Comment? Le coût de la sécurité et les plans de secours 3) ISO 27005:2011 Risk Manager, préparation à la certification 4) Plan de secours et de continuité - Les budgets sécurité. - Les techniques d'évaluation des coûts/différences de calcul/au TCO. - La couverture des risques et la stratégie de continuité. - Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO... - Développer un plan de continuité, l'insérer dans une démarche qualité. Concevoir des solutions optimales - Démarche de sélection des solutions de sécurisation adaptées pour chaque action. - La norme ISO 1540 comme critère de choix. - Comment déployer un projet PKI, les pièges à éviter? - Les techniques d'authentification, vers des projets SSO, fédération d'identité. - La démarche sécurité dans les projets informatiques, le cycle PDCA idéal. Supervision de la sécurité - Gestion des risques (constats, certitudes...). - Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA. - Externalisation : intérêts et limites. Les atteintes juridiques au STAD - Rappel, définition du Système de Traitement Automatique des Données (STAD). - Types d'atteintes, contexte européen, la loi LCEN. Recommandations pour une sécurisation "légale" du SI - La protection des données à caractère personnel, sanctions prévues. - De l'usage de la biométrie en France. - La cybersurveillance des salariés : limites et contraintes légales. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 8

2) Sécurité réseaux/internet, synthèse Introduction : qui fait quoi et comment? - Concepts : risque, menaces, vulnérabilité... - Nouveaux usages (Web 2.0, virtualisation, Cloud Computing...) et risques associés. - Nouvelles techniques d'attaque et contre-mesures. Outils et méthodes d'intrusion par TCP-IP - Les attaques par le stack IP. - Les attaques applicatives (DNS, HTTP, SMTP, etc.). - Utilisation d'un code mobile malveillant. - Comprendre les techniques des hackers. Sécurité des postes clients - Les menaces : backdoor, virus, spyware, rootkit... - Le rôle du firewall personnel et ses limites. - Les logiciels anti-virus/anti-spyware : comparatif. - Les attaques par les documents PDF. - Comment sécuriser les périphériques amovibles? - Contrôle de conformité de Cisco NAC, MS NAP. - La sécurité intégrée dans Windows 7 (AppLocker, Bitlocker, UAC, DirectAccess...). Sécurité du sans-fil (Wi-Fi et Bluetooth) - Technologies de réseaux sans fil (standards 802.11). - Attaques spécifiques (Wardriving, failles WEP et EAP). - Sécurité des bornes (SSID, filtrage MAC). - Vulnérabilités WEP. Faiblesse de l'algorithme RC4. - Le standard de sécurité IEEE 802.11i (WPA et WPA2). - Authentifier des utilisateurs (EAP, certificats, token...). - Attaque sur les hotspots Wi-Fi (Rogue AP). - Attaques spécifiques sur Bluetooth (Bluebug...). - Audit et surveillance du réseau. Outils d'audit. Technologie firewall/proxy - Serveurs proxy, reverse proxy, masquage d'adresse. - Principe des firewalls, périmètre fonctionnel. - La mise en place de solutions DMZ. - Sécurité liée à l'adressage. - Notion de "dé-périmétrisation" du forum Jericho. - Utilisation des firewalls dans la protection des environnements virtuels. Techniques cryptographiques - Terminologie, principaux algorithmes. Législation et contraintes d'utilisation. - Algorithmes à clé publique : Diffie Hellman, RSA... - Scellement et signature électronique : MD5, MAC... - Mots de passe, token, carte à puce, certificats ou biométrie? - Authentification forte : logiciels (S/key), cartes à puces, calculettes d'authentification. - Sécurisation des clés de chiffrement (PFS, TPM...). - Evaluation des systèmes d'authentification : Radius, Tacacs+, Kerberos, X509. Sécurité pour l'intranet/extranet - Les architectures à clés publiques. - Les attaques sur SSL/TLS (sslstrip, sslnif...). - Comment obtenir des certificats? Comment les faire gérer? - Annuaire LDAP et sécurité. - Architectures "3A" (authentification, autorisation, audit) : SSO, Kerberos, OSF/DCE et ECMA Tacacs. Réseaux Privés Virtuels (VPN) - Analyse du besoin, conception et déploiement. - La création d'un VPN site à site via Internet. - IPSec. Les modes AH et ESP, IKE et la gestion des clés. - Les produits compatibles IPSec, l'interopérabilité. - Les produits VPN SSL, l'enjeu de la portabilité. - Le VPN avec DirectAccess sous Windows 7. Sécurité des applications - Les principales techniques d'attaque des applications. - Le processus SDL (Security Development Lifecycle). - Utilisation de la technique de "fuzzing". - Les outils de revue de code orientés sécurité. - Le Firewall applicatif (WAF). - Solution WAF Open source avec Apache en reverse proxy et mod_security. - Le hardening et la vérification d'intégrité temps réel. Gestion et supervision active de la sécurité ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 9

- L'apport des normes ISO 27001 et ISO 27002. - Les tableaux de bord Sécurité. La norme ISO 27004. - Les missions du RSSI dans le suivi de la sécurité. - Les audits de sécurité (techniques ou organisationnels). - Les tests de vulnérabilité ou tests d'intrusion. - Mettre en place une solution de SIM. - Gérer les mises à niveaux. - Savoir réagir en cas d'incidents. 3) ISO 27005:2011 Risk Manager, préparation à la certification Introduction - Définitions de la Menace. Vulnérabilité. Risques. - Principe général de la sécurité ISO 13335. - La classification CAID. - Rappel des contraintes réglementaires et normatives (SOX, COBIT, ISO 27001...). - Le rôle du RSSI versus le Risk Manager. Le concept "risque" - Identification et classification des risques. - La gestion du risque (prévention, protection, évitement de risque, transfert). - Assurabilité d'un risque, calcul financier du transfert à l'assurance. L'analyse de risques selon l'iso - La méthode de la norme 27001:2013. - L'intégration au processus PDCA. - La création en phase Plan de la section 4. - La norme 27005:2011 : Information Security Risk Management. - La mise en œuvre d'un processus PDCA de management des risques. - La préparation de la déclaration d'applicabilité (SoA). Les méthodes d'analyse de risques - Les méthodes françaises. EBIOS 2010. - EBIOS dans une démarche ISO PDCA de type SMSI 27001. - MEHARI 2010. L'approche proposée par le CLUSIF. - Elaboration d'un plan d'actions basé les services de sécurité. Alignement MEHARI 27005 et référentiel ISO 27002. Choix d'une méthode - Les bases de connaissances (menaces, risques...). - La convergence vers l'iso, la nécessaire mise à jour. - Etre ou ne pas être "ISO spirit" : les contraintes du modèle PDCA. Conclusion - Une méthode globale ou une méthode par projet. - Le vrai coût d'une analyse de risques. 4) Plan de secours et de continuité Pourquoi gérer la continuité - L'évolution des entreprises et de leur stratégie. - Les enjeux pour l'entreprise d'une stratégie de continuité : lois et réglementations, normes et standards. Définitions et concepts - Définir la stratégie de continuité. - Rappels de sécurité : critères DICP et les 11 thèmes ISO. - La feuille de route de la continuité. Le projet et sa gestion - Les phases d'un projet plan de continuité. - Les particularités du projet plan de continuité. Analyse des risques - Les composantes du risque. - Les principes des différentes méthodes. - L'analyse des risques pour le plan de continuité. L'identification des activités critiques - Déterminer les activités critiques (BIA) d'une entreprise. - Les paramètres fondamentaux de l'analyse d'impact. - La notion de Service Delivery Objectives. Les moyens pour la conception des dispositifs - Les éléments et le budget pour élaborer les scénarios. - Les différents sites de repli en interne ou externalisés. - Les critères de décision. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 10

Plans de continuité - La construction des procédures. - Les équipes de secours : constitution, rôles... - Un exemple de canevas d'un plan de secours. Procédures d'escalade et cellule de crise - La gestion de l'escalade en phase avec le RTO. - La constitution de la cellule de crise. - Les principes de déclenchement du plan de secours. - La continuité d'activité en tant que processus ITIL. - Le processus continuité et autres processus. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 11

Séminaire de 3 jour(s) Réf : SSI Ingénieurs prenant les fonctions de RSSI, directeurs ou responsables informatiques, ingénieurs ou correspondants sécurité, chefs de projet intégrant des contraintes de sécurité. Aucune connaissance particulière. Prix 2015 : 2610 HT 15 juin 2015, 15 sep. 2015 3 nov. 2015 Bruxelles 9 juin 2015, 8 sep. 2015 17 nov. 2015 Geneve 9 juin 2015, 8 sep. 2015 17 nov. 2015 Luxembourg 9 juin 2015, 8 sep. 2015 17 nov. 2015 Sécurité des systèmes d'information, synthèse Avec l'explosion du digital qui a multiplié les opportunités de développement, le management de la sécurité des systèmes d'information est devenu un enjeu majeur pour toutes les entreprises. Ce séminaire très riche vous présentera l'ensemble des actions et des solutions permettant d'assurer la sécurité de votre SI : de l'analyse des risques à la mise en œuvre optimale de solutions de sécurité. Vous verrez également les thématiques assurantielles et juridiques intimement liées à l'application d'une politique de sécurité. 1) Introduction à la gestion des risques 2) RSSI : chef d'orchestre de la sécurité 3) Les cadres normatifs et réglementaires 4) Le processus d'analyse des risques 5) Les audits de sécurité et le plan de sensibilisation 1) Introduction à la gestion des risques 6) Le coût de la sécurité et les plans de secours 7) Concevoir des solutions optimales 8) Supervision de la sécurité 9) Les atteintes juridiques au STAD 10) Recommandations pour une sécurisation "légale" du SI - La notion de risque : potentialité, impact, gravité. - Les types de risques : accident, erreur, malveillance. - La classification DIC : Disponibilité, Intégrité et Confidentialité d'une information. - Les mesures en gestion des risques : prévention, protection, report de risque, externalisation. 2) RSSI : chef d'orchestre de la sécurité - Quel est le rôle et les responsabilités du RSSI? - Vers une organisation de la sécurité, le rôle des "Assets Owners". - Gestion optimale des moyens et des ressources alloués. - Le Risk Manager dans l'entreprise; son rôle par rapport au RSSI. 3) Les cadres normatifs et réglementaires - Les réglementations SOX, COSO, COBIT. Pour qui? Pour quoi? - Vers la gouvernance du SI, les liens avec ITIL et CMMI. - La norme ISO dans une démarche systèmes de management. - Les liens avec ISO 15408 : critères communs, ITSEC, TCSEC. - Les atouts de la certification ISO 27001 pour les organisations. 4) Le processus d'analyse des risques - Identification et classification des risques. - Risques opérationnels, physiques, logiques. - Comment constituer sa propre base de connaissances des menaces/vulnérabilités? - Utiliser les méthodes et référentiels : EBIOS/FEROS, MEHARI. - La démarche d'analyse de risques dans le cadre de l'iso 27001, l'approche PDCA. - Le standard ISO 27005 et les évolutions des méthodes françaises. - De l'appréciation des risques au plan de traitement des risques : les bonnes pratiques. 5) Les audits de sécurité et le plan de sensibilisation - Processus continu et complet. - Les catégories d'audits, de l'audit organisationnel au test d'intrusion. - Les bonnes pratiques de la norme 19011 appliquées à la sécurité. - Comment créer son programme d'audit interne? Comment qualifier ses auditeurs? - Apports comparés, démarche récursive, les implications humaines. - Sensibilisation à la sécurité : qui? Quoi? Comment? - Définitions de Morale/Déontologie/Ethique. - La charte de sécurité, son existence légale, son contenu, sa validation. 6) Le coût de la sécurité et les plans de secours - Les budgets sécurité. - La définition du Return On Security Investment (ROSI). - Les techniques d'évaluation des coûts, les différentes méthodes de calcul, le Total Cost of Ownership (TCO). - La notion anglo-saxonne du "Payback Period". - La couverture des risques et la stratégie de continuité. - Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO. - Développer un plan de continuité, l'insérer dans une démarche qualité. 7) Concevoir des solutions optimales ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 12

- Démarche de sélection des solutions de sécurisation adaptées pour chaque action. - Définition d'une architecture cible. - La norme ISO 1540 comme critère de choix. - Choisir entre IDS et IPS, le contrôle de contenu comme nécessité. - Comment déployer un projet PKI? Les pièges à éviter. - Les techniques d'authentification, vers des projets SSO, fédération d'identité. - La démarche sécurité dans les projets SI, le cycle PDCA idéal. 8) Supervision de la sécurité - Gestion des risques : constats, certitudes... - Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA. - Externalisation : intérêts et limites. 9) Les atteintes juridiques au STAD - Rappel, définition du Système de Traitement Automatique des Données (STAD). - Types d'atteintes, contexte européen, la loi LCEN. - Quels risques juridiques pour l'entreprise, ses dirigeants, le RSSI? 10) Recommandations pour une sécurisation "légale" du SI - La protection des données à caractère personnel, sanctions prévues en cas de non-respect. - De l'usage de la biométrie en France. - La cybersurveillance des salariés : limites et contraintes légales. - Le droit des salariés et les sanctions encourues par l'employeur. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 13

Stage pratique de 5 jour(s) Réf : CLF Spécialiste investigation informatique, analyste de données, spécialiste en recherche et récupération de preuves informatiques, membre d'équipe sécurité, consultant, analyste de media électronique. Bonne connaissance en informatique et en sécurité de l'information. Prix 2015 : 5610 HT 22 juin 2015, 21 sep. 2015 30 nov. 2015 CLFE, Certified Lead Forensics Examiner, certification informatique judiciaire, récupération et analyse des preuves Le défi de l'investigation légale informatique est de trouver les données, les collecter et les présenter devant une cour de justice. Ce cours intensif permet aux participants de développer l'expertise nécessaire pour relever ce défi et aussi de passer l'examen de certification officiel, accrédité par PECB. PEDAGOGIQUES Comprendre les principes scientifiques spécifiques à l'investigation informatique Expliquer la structure des ordinateurs et des systèmes d'exploitation Expliquer l'investigation réseau, Cloud et appareils mobiles Maîtriser les outils et les méthodologies d'investigation 1) Principes scientifiques spécifiques à l'investigation informatique 2) Structure des ordinateurs et des systèmes d'exploitation 3) Investigation réseau, Cloud et appareils mobiles Méthodes pédagogiques 4) Outils et méthodologies d'investigation 5) Examen de certification Exposé des concepts, échange et retours d'expérience, exercices basés sur les examens. Certification Un certificat de "Certified Lead Forensic Examiner" est délivré aux participants qui auront réussi l'examen et qui remplissent l'ensemble des autres exigences relatives à cette certification. 1) Principes scientifiques spécifiques à l'investigation informatique - Présentation des principes scientifiques spécifiques à l'investigation informatique. - Introduction à l'approche de l'investigation informatique. Principes fondamentaux. - Analyse et mise en œuvre des opérations d'analyse. - Préparation et exécution des procédures d'investigation. 2) Structure des ordinateurs et des systèmes d'exploitation - Identification et sélection des composants d'un ordinateur. - Identification et sélection des périphériques et autres composants. - Compréhension des systèmes d'exploitation (OS). - Extraction et analyse des structures de fichiers. 3) Investigation réseau, Cloud et appareils mobiles - Comprendre les réseaux, le Cloud et les environnements virtuels. - Méthodes génériques pour l'extraction de données dans un environnement virtuel. - Examen d'un téléphone mobile ou d'une tablette. - Stockage des informations sur les appareils mobiles. 4) Outils et méthodologies d'investigation - Enumération et examen des composants matériels et logiciels des ordinateurs. - Choix et test des technologies d'investigation. - Analyse et sélection des procédures adaptées pour les opérations d'investigation. - Découverte, documentation et retour des preuves sur site. - Analyse et prise en compte du contexte. 5) Examen de certification - Domaine 1 : principes scientifiques spécifiques à l'investigation informatique. - Domaine 2 : principes fondamentaux de l'investigation informatique. - Domaine 3 : structure des ordinateurs. - Domaine 4 : systèmes d'exploitation et structures de fichier. - Domaine 5 : investigation des réseaux, dans le Cloud ou dans les environnements virtuels. - Domaine 6 : investigation réseau et des appareils mobiles. - Domaine 7 : outils et méthodologies d'investigation. - Domaine 8 : examen, acquisition et préservation des preuves électroniques. Examen Examen de 3 heures. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 14

Stage pratique de 2 jour(s) Réf : IFD Gestionnaires de projets ou consultants qui désirent maîtriser les exigences d'iso/iec 27034. Membre de l'équipe de sécurité de l'information. Développeurs seniors. Connaissances de base en programmation. ISO 27034, sécurité des applications, Foundation, certification Ce stage initie les participants aux concepts et principes proposés par l'iso 27034 sur la sécurité applicative. Il permet de comprendre cette norme afin d'aider une organisation à gérer des applications sécurisées dans son contexte et cela, à un coût qui lui est acceptable. PEDAGOGIQUES Comprendre la portée et les limites de la conformité d'une organisation ou d'une application à la norme ISO/ IEC 27034 Expliquer les concepts clés de sécurité du développement applicatif selon ISO/IEC 27034 Etablir les relations entre la gestion du risque, les contrôles, les preuves et la conformité aux exigences Prix 2015 : 2235 HT 1) Introduction : la sécurité applicative et ses concepts selon ISO/CEI 27034 2) Les parties de la norme ISO/CEI 27034 3) Implémentation de la sécurité applicative au niveau d'une organisation 4) La sécurité applicative au niveau d'un projet d'application 1 juin 2015, 8 oct. 2015 10 déc. 2015 Méthodes pédagogiques Présentation des concepts et éléments clés de la démarche de sécurité applicative selon ISO/IEC 27034. Exercices pratiques basés sur une étude de cas. Certification Après réussite de l'examen, les participants se verront remettre un certificat "Certified ISO/IEC 27034 Application Security Foundation". Aucune expérience préalable n'est nécessaire. Frais de certification inclus. Certificat valable à vie. 1) Introduction : la sécurité applicative et ses concepts selon ISO/CEI 27034 - Introduction à la sécurité applicative et à la vision globale amenée par ISO/CEI 27034. - Principes fondamentaux en sécurité de l'information. - Présentation globale des concepts, principes et définitions de la sécurité applicative. - Périmètre, composants, processus et acteurs impliqués en gestion de la sécurité applicative. - Présentation des concepts implicites intégrés. Réflexion collective Echange et réflexion collective autour des concepts et problématiques de la sécurité applicative. 2) Les parties de la norme ISO/CEI 27034 - ISO/IEC 27034-1 : vue globale et concepts. - ISO/IEC 27034-2 : la sécurité applicative dans une organisation. - ISO/IEC 27034-3 : la sécurité applicative dans un projet. - ISO/IEC 27034-4 : validation, vérification et certification de la sécurité applicative. - ISO/IEC 27034-5 : les exigences de structure de la sécurité applicative. - ISO/IEC 27034-5-1 : schémas XML. - ISO/IEC 27034-6 : exemples et étude de cas. Etude de cas Exemples de mise en œuvre de sécurité applicative selon la norme ISO/IEC 27034 à travers une étude de cas. 3) Implémentation de la sécurité applicative au niveau d'une organisation - Buts de la sécurité applicative au niveau d'une organisation. - Le Cadre Normatif de l'organisation (CNO). Le comité CNO. - Le processus de gestion du CNO. L'intégration des éléments d'iso/cei 27034 dans les processus existants. - Les CSA. La bibliothèque de CSA. - La matrice de traçabilité de la sécurité applicative. Le processus de certification. Etude de cas Exemples de mise en œuvre de sécurité applicative selon la norme ISO/IEC 27034 à travers une étude de cas. 4) La sécurité applicative au niveau d'un projet d'application - Le processus de gestion de la sécurité d'une application. - Fournir et opérer une application. - Maintenir le niveau de confiance actuel au niveau de confiance cible. Examen ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 15

Examen de certification "ISO 27034 Application Security Foundation". ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 16

Séminaire de 3 jour(s) Réf : SRI Responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de sécurité, responsables ou administrateurs réseau, informatique, système. Bonnes connaissances des réseaux et des systèmes. Prix 2015 : 2610 HT 23 juin 2015, 22 sep. 2015 24 nov. 2015 Bruxelles 9 juin 2015, 15 sep. 2015 17 nov. 2015 Geneve 9 juin 2015, 15 sep. 2015 17 nov. 2015 Luxembourg 9 juin 2015, 15 sep. 2015 17 nov. 2015 Sécurité réseaux/internet, synthèse Avec la multiplication des cyberattaques et la préoccupation montante de la cybersécurité auprès des dirigeants, ce séminaire vous montre comment répondre aux impératifs de sécurité des communications de l'entreprise. Il comprend une analyse détaillée des menaces et des moyens d'intrusion ainsi que des techniques spécifiques de sécurité et les solutions et produits associés. A l'issue de ce séminaire, vous disposerez des éléments techniques pour comprendre les technologies qui protègent votre système d'information et sécurisent son ouverture aux réseaux extérieurs, Internet, Extranet et VPN. 1) L'évolution de la cybersécurité 2) Outils et méthodes d'intrusion par TCP-IP 3) Sécurité des postes clients 4) Sécurité du sans-fil (Wi-Fi et Bluetooth) 5) Technologie firewall/proxy 1) L'évolution de la cybersécurité 6) Techniques cryptographiques 7) Sécurité pour l'intranet/extranet 8) Réseaux Privés Virtuels (VPN) 9) Sécurité des applications 10) Gestion et supervision active de la sécurité - Définition des concepts : risques, menaces, vulnérabilité... - Evolution de la cybercriminalité, cyberattaque. - Risques associés aux nouveaux usages : Web 2.0, virtualisation, Cloud Computing... - Nouvelles techniques d'attaque et contre-mesures. 2) Outils et méthodes d'intrusion par TCP-IP - Les attaques par le stack IP. - Les attaques applicatives (DNS, HTTP, SMTP, etc.). - Utilisation d'un code mobile malveillant. - Comprendre les techniques des hackers. - Les sites (CERT, Security focus/bugtraq, CVE...). 3) Sécurité des postes clients - Les menaces : backdoor, virus, spyware, rootkit... - Le rôle du firewall personnel et ses limites. - Les logiciels anti-virus/anti-spyware : comparatif. - Linux et Open Office vs Windows et MS Office? - Les attaques par les documents PDF. - Comment sécuriser les périphériques amovibles? - Contrôle de conformité de Cisco NAC, MS NAP. - La sécurité intégrée dans Windows 7 (AppLocker, Bitlocker, UAC, DirectAccess...). 4) Sécurité du sans-fil (Wi-Fi et Bluetooth) - Technologies de réseaux sans fil (standards 802.11). - Attaques spécifiques (Wardriving, failles WEP et EAP). - Sécurité des bornes (SSID, filtrage MAC). - Vulnérabilités WEP. Faiblesse de l'algorithme RC4. - Le standard de sécurité IEEE 802.11i (WPA et WPA2). - Authentifier des utilisateurs (EAP, certificats, token...). - Les différentes méthodes Cisco LEAP, EAP-TLS, PEAP... - Attaque sur les hotspots Wi-Fi (Rogue AP). - Attaques spécifiques sur Bluetooth (Bluebug...). - Comment se protéger efficacement contre les attaques? - Audit et surveillance du réseau. Outils d'audit. 5) Technologie firewall/proxy - Serveurs proxy, reverse proxy, masquage d'adresse. - Filtrage. Firewall et proxy : quelle complémentarité? - Principe des firewalls, périmètre fonctionnel. - La mise en place de solutions DMZ. - Sécurité liée à l'adressage. - Evolution de l'offre Firewall (appliance, VPN, IPS, UTM...). - Notion de "dé-périmétrisation" du forum Jericho. - Utilisation des firewalls dans la protection des environnements virtuels. 6) Techniques cryptographiques - Terminologie, principaux algorithmes. Législation et contraintes d'utilisation en France et dans le monde. - Algorithmes à clé publique : Diffie Hellman, RSA... - Scellement et signature électronique : MD5, MAC... ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 17

- Mots de passe, token, carte à puce, certificats ou biométrie? - Authentification forte : logiciels (S/key), cartes à puces, calculettes d'authentification. - Sécurisation des clés de chiffrement (PFS, TPM...). - Evaluation des systèmes d'authentification : Radius, Tacacs+, Kerberos, X509. - Compléter l'authentification par l'intégrité et la confidentialité des données. 7) Sécurité pour l'intranet/extranet - Les architectures à clés publiques. - Les attaques sur SSL/TLS (sslstrip, sslnif...). - Un serveur de certificat interne ou public? En France ou aux USA? A quel prix? - Comment obtenir des certificats? Comment les faire gérer? - Les risques liés aux certificats X509. L'apport des certificats X509 EV. - Annuaire LDAP et sécurité. - Architectures "3A" (Authentification, Autorisation, Audit) : SSO, Kerberos, OSF/DCE et ECMA Tacacs. 8) Réseaux Privés Virtuels (VPN) - Analyse du besoin, conception et déploiement. - La création d'un VPN site à site via Internet. - IPSec. Les modes AH et ESP, IKE et la gestion des clés. - Les produits compatibles IPSec, l'interopérabilité. - Surmonter les problèmes entre IPSec et NAT. - Les VPN SSL (quel intérêt par rapport à IPSec?). - Les produits VPN SSL, l'enjeu de la portabilité. - Le VPN avec DirectAccess sous Windows 7. - Les offres VPN Opérateurs. VPN IPSec ou VPN MPLS? 9) Sécurité des applications - Les principales techniques d'attaque des applications (buffer overflow, XSS, SQL Injection, vol de session...). - Le processus SDL (Security Development Lifecycle). - Utilisation de la technique de "fuzzing". - Les outils de revue de code orientés sécurité. - Le Firewall applicatif (WAF). - Solution WAF Open source avec Apache en reverse proxy et mod_security. - Les critères d'évaluation d'un WAF selon le Web Application Security Consortium (WASC). - Le hardening et la vérification d'intégrité temps réel. 10) Gestion et supervision active de la sécurité - L'apport des normes ISO 27001 et ISO 27002. - Les tableaux de bord Sécurité. La norme ISO 27004. - Les missions du RSSI dans le suivi de la sécurité. - Les audits de sécurité (techniques ou organisationnels). - Les tests de vulnérabilité ou tests d'intrusion. - Les outils Sondes IDS, Scanner VDS, Firewall IPS. - Consigner les preuves et riposter efficacement. - Mettre en place une solution de SIM. - Se tenir informé des nouvelles vulnérabilités. - Gérer les mises à niveaux. - Savoir réagir en cas d'incidents. - Les services indispensables : où les trouver? Démonstration Intrusion dans un service Web en ligne. Exemple d'un serveur HTTPS et d'un tunnel de sécurité de type IPSec. Protection avancée d'un service Web; détection des attaques et parades en temps réel. Usage d'un IPS. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 18

Stage pratique de 5 jour(s) Réf : LAD Auditeurs internes ou externes, gestionnaires de projets, consultants, membres de l'équipe SI d'une organisation, développeurs, directeurs et gestionnaires des applications. Connaissances de base de la norme ISO/IEC 27034. Une expérience dans le domaine de l'audit applicatif n'est pas indispensable mais constitue un plus. Prix 2015 : 5610 HT 18 mai 2015, 21 sep. 2015 16 nov. 2015 ISO 27034, sécurité des applications, Lead Auditor, certification Ce cours intensif de 5 jours permet aux participants de comprendre les principes et les concepts de la sécurité applicative selon ISO 27034, mais aussi de développer l'expertise nécessaire pour préparer et réaliser des audits internes et externes soit pour une organisation soit pour une application. PEDAGOGIQUES Acquérir l'expertise requise pour réaliser un audit interne ISO 27034 qui respecte les exigences de la norme ISO 19011 Acquérir l'expertise pour réaliser un audit de certification ISO 27034 qui respecte les exigences d'iso 17021 et 27006 Acquérir l'expertise requise pour gérer une équipe d'audit en Sécurité Applicative Comprendre la portée, le cycle de vie et les limites de conformité d'une organisation ou d'une application à ISO 27034 1) Introduction aux concepts de la sécurité applicative 2) Introduction à l'audit de la sécurité applicative 3) L'audit de sécurité applicative selon ISO 27034 Méthodes pédagogiques 4) Audit au niveau de l'organisation 5) Audit au niveau des applications 6) Examen de certification Présentation des concepts clés et des exigences de la norme ISO 27034. Exercices et étude de cas pratique. Jeux de rôles et simulation d'audit. Certification Après l'examen, les participants peuvent obtenir une certification «Certified ISO 27034 Application Security Provisional Auditor», «Certified ISO 27034 Application Security Auditor» ou «Certified ISO 27034 Application Security Lead Auditor» selon leur niveau d'expérience. 1) Introduction aux concepts de la sécurité applicative - Revue des principes fondamentaux en sécurité de l'information. - Vision globale de la norme ISO 27034. - Concepts, principes, définitions, portée, composants, processus et acteurs impliqués en sécurité applicative. - Concepts implicites intégrés à la norme. - Avantages et limites de ISO 27034. - Différences et complémentarité avec les critères communs et le CMMI. - Le Cadre Normatif de l'organisation (CNO) et le processus de certification ISO/CEI 27034. - Présentation détaillée des sections 6 à 8 d'iso/iec 27034-1:2011. 2) Introduction à l'audit de la sécurité applicative - Concepts d'audit fondamentaux et principes selon ISO 19011. - La communication durant un audit. - Procédures d'audit. - L'audit documentaire. - Audit sur site et formulation des constats d'audit, documenter les non-conformités. - Revue de qualité de l'audit. - Évaluation des plans d'actions correctives. 3) L'audit de sécurité applicative selon ISO 27034 - Approche basée sur la priorisation des risques de sécurité inacceptables et sur la production de preuves. - Audit de surveillance ISO /CEI 27034. - Programme de gestion d'audit interne ISO/CEI 27034. - Préparation d'un audit de certification ISO 27034. - Entente sur le périmètre de l'audit de sécurité applicative. - Détermination des applications dans le périmètre. - Détermination des éléments de sécurité applicative dans le périmètre pour chaque application. 4) Audit au niveau de l'organisation - Entente sur le périmètre de l'audit de SA pour l'organisation. - Le Cadre Normatif de l'organisation (CNO). - La gestion du CNO. - Les objectifs de sécurité applicative de l'organisation. 5) Audit au niveau des applications ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 19

- Entente sur le périmètre de l'audit de sécurité applicative pour l'application. - Le cadre normatif de l'application (CNA). - Le processus de gestion de la sécurité applicative au niveau du CNA. - Niveau de confiance et CSA. - ISO 27034 - Révision finale. - Questions-réponses. 6) Examen de certification Examen Examen de certification ISO 27034 Lead Auditor. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 20

Séminaire de 2 jour(s) Réf : VPN DSI, RSSI, responsables sécurité, chefs de projets, consultants, administrateurs, cadres utilisateurs de portables, Smartphones ou d'un accès VPN. Des connaissances de base sur l'informatique sont nécessaires. Prix 2015 : 1900 HT 9 juin 2015, 8 oct. 2015 10 déc. 2015 Bruxelles 9 juin 2015, 22 oct. 2015 17 déc. 2015 Geneve 9 juin 2015, 22 oct. 2015 17 déc. 2015 Luxembourg 9 juin 2015, 22 oct. 2015 17 déc. 2015 Sécurité VPN, sans-fil et mobilité, synthèse Aujourd'hui, les technologies de communication sans fil et les terminaux mobiles facilitent grandement l'accès aux applications de l'entreprise. Afin de préserver la sécurité de ces accès, ce séminaire dresse un panorama complet des menaces et des vulnérabilités, et apporte des solutions concrètes pour s'en prémunir. 1) Menaces et vulnérabilités 2) Les attaques sur l'utilisateur 3) Les attaques sur les postes clients Exemple 4) Sécurité des réseaux privés virtuels (VPN) 5) Sécurité des réseaux sans-fil 6) Sécurité des Smartphones Approche théorique et pratique avec démonstration, avantages et inconvénients des solutions, retours d'expérience. 1) Menaces et vulnérabilités - Evolution de la cybercriminalité en France. - Statistiques et évolution des attaques. - Evaluation des risques dans un contexte de mobilité. 2) Les attaques sur l'utilisateur - Les techniques d'attaques orientées utilisateur. - Les techniques de Social engineering. - Codes malveillants et réseaux sociaux. - Les dangers spécifiques du Web 2.0. - Attaque sur les mots de passe. - Attaque "Man in the Middle". 3) Les attaques sur les postes clients - Risques spécifiques des postes clients (ver, virus...). - Le navigateur le plus sûr. - Rootkit navigateur et poste utilisateur. - Quelle est l'efficacité réelle des logiciels antivirus? - Les risques associés aux périphériques amovibles. - Le rôle du firewall personnel. - Sécurité des clés USB. - Les postes clients et la virtualisation. 4) Sécurité des réseaux privés virtuels (VPN) - Les techniques de tunneling. Accès distants via Internet : panorama de l'offre. - Les protocoles PPT, LTP, L2F pour les VPN. - Le standard IPsec et les protocoles AH, ESP, IKE. - Les solutions de VPN pour les accès 3G. - Quelles solutions pour Blackberry, iphone...? - VPN SSL : la technologie et ses limites. - Le panorama de l'offre VPN SSL. Critères de choix. - IPsec ou VPN SSL : quel choix pour le poste nomade? 5) Sécurité des réseaux sans-fil - La sécurité des Access Point (SSID, filtrage MAC...). - Pourquoi le WEP est dangereux? Qu'apportent WPA, WPA2 et la norme 802.11i? - L'authentification dans les réseaux Wi-Fi d'entreprise. - Technologies VPN (IPsec) pour les réseaux Wi-Fi. - Comment est assurée la sécurité d'un hotspot Wi-Fi? - Les techniques d'attaques sur WPA et WPA2. - Les fausses bornes (Rogue AP). - Attaques spécifiques sur Bluetooth. 6) Sécurité des Smartphones - La sécurité sur les mobiles (Edge, 3G, 3G+...). - Les risques spécifiques des Smartphones. - Failles de sécurité : le palmarès par plateforme. - Virus et code malveillants : quel est le risque réel? - Protéger ses données en cas de perte ou de vol. Démonstration ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 21

Mise en oeuvre d'un accès Wi-Fi fortement sécurisé avec IPsec et EAP-TLS. Attaque de type "Man in the Middle" sur une application Web en HTTPS via un Smartphone (sslsnif et sslstrip). ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 22

Stage pratique de 5 jour(s) Réf : LAI Gestionnaires des SI, chefs de projet, développeurs de logiciel, propriétaires d'application, managers SI, architectes SI, analystes programmeurs/testeurs. Connaissance de base de la norme ISO/IEC 27034. Une expérience dans le domaine du développement applicatif ou de la gestion de projets de mise en œuvre d'applications constitue un plus. Prix 2015 : 5610 HT 1 juin 2015, 28 sep. 2015 23 nov. 2015 ISO 27034, sécurité des applications, Lead Implementer, certification Ce stage intensif vous permettra de comprendre les principes et les concepts de la sécurité applicative selon l'iso 27034. Vous apprendrez à mettre en œuvre cette norme au sein des organisations pour les aider à intégrer la sécurité dans les applications tout au long de leur cycle de développement. PEDAGOGIQUES Comprendre l'implémentation de la SA selon la norme internationale ISO/CEI 27034 Obtenir une compréhension des concepts, approches, normes, méthodes et techniques requises pour gérer efficacement la SA Comprendre comment la SA intègre la gestion de risque, les contrôles et la conformité avec les exigences des tiers Acquérir l'expertise nécessaire pour aider une organisation à implémenter, gérer et maintenir sa SA, selon ISO 27034 Acquérir l'expertise nécessaire pour gérer une équipe qui mettra en œuvre ISO 27034 Conseiller des organisations sur les pratiques recommandées pour la gestion de la Sécurité Applicative Améliorer sa capacité d'analyse et de prise de décision dans un contexte de Sécurité Applicative 1) Introduction aux concepts de la Sécurité Applicative 2) Implémentation de la Sécurité Applicative basée sur ISO/CEI 27034 3) Implémentation de la sécurité applicative basée sur ISO/CEI 27034 (suite) 4) Validation de la sécurité applicative 5) Protocoles et structures de données des CSA 6) Guides pour organisations et applications spécifiques 7) Examen de certification Méthodes pédagogiques Présentation des concepts clés et des exigences de la norme ISO 27034, étude de cas pratique, suivi d'une gestion complète de sécurité applicative. Certification Après l'examen, les participants peuvent demander une reconnaissance comme "Certified ISO 27034 AS Provisional Implementer", "Certified ISO 27034 AS Implementer" ou "Certified ISO 27034 AS Lead Implementer" selon leur niveau d'expérience. 1) Introduction aux concepts de la Sécurité Applicative - Introduction à la Sécurité Applicative et à la vision globale amenée par ISO/CEI 27034. - Revue des principes fondamentaux en sécurité de l'information. - Concepts, principes, définitions, périmètres, composants, processus et acteurs impliqués en Sécurité Applicative. - Concepts implicites, intégrés. - Présentation de la série 27034 : organisation, projets, validation/vérification/certification, structure, schémas XML. 2) Implémentation de la Sécurité Applicative basée sur ISO/CEI 27034 - Buts de la Sécurité Applicative au niveau d'une organisation. - Le cadre normatif de l'organisation (CNO). - Le comité du CNO. - Le processus de gestion du CNO. - L'intégration des éléments d'iso/cei 27034 dans les processus existants de l'organisation. - Design, validation, implémentation, vérification, opération et évolution des CSA. - Biibliothèque et matrice de traçabilité de CSA. - Ébaucher le processus de certification. 3) Implémentation de la sécurité applicative basée sur ISO/CEI 27034 (suite) - Le processus de gestion de la sécurité d'une application. - Fournir et opérer une application. - Maintenir le niveau de confiance actuel au niveau de confiance cible. - Développement de la validation de la SA. 4) Validation de la sécurité applicative - Audits interne de la sécurité applicative. - Minimiser le coût d'un audit. S'assurer que toutes les preuves sont disponibles. - Validation et certification de la sécurité applicative selon ISO 27034 : organisation et projet. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 23

5) Protocoles et structures de données des CSA - Un langage formel gratuit pour communiquer : les CSA. - Schémas XML proposés par ISO 27034 (structure de données, descriptions, représentation graphique). 6) Guides pour organisations et applications spécifiques - 27034 pour aider à résoudre la mise en place de CSA répondant aux exigences de lois conflictuelles dans une application. - Développer des CSA. - Acquérir des CSA. 7) Examen de certification Examen Examen de certification ISO 27034 Lead Implementer. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 24

Séminaire de 2 jour(s) Réf : OUD DSI, RSSI, responsables sécurité, chefs de projets, consultants, administrateurs. Cloud Computing, sécurité Comment peut-on assurer la sécurité des informations dispersées dans "le nuage"? Ce séminaire dresse un panorama complet de ce problème majeur du Cloud. A l'issue, les participants auront acquis les connaissances essentielles permettant de se présenter au passage de la certification CCSK de la Cloud Security Alliance. Des connaissances de base sur l'informatique sont nécessaires. Prix 2015 : 1900 HT 1) Introduction à la sécurité du Cloud Computing 2) La sécurité des environnements virtuels 3) La sécurité des accès réseaux au Cloud 4) Les travaux de la Cloud Security Alliance (CSA) 5) La sécurité du Cloud Computing selon l'enisa 6) Les recommandations du NIST pour la sécurité 7) Contrôler la sécurité du Cloud 8) Aspects juridiques 5 mai 2015, 1 oct. 2015 3 déc. 2015 1) Introduction à la sécurité du Cloud Computing - Définition du Cloud Computing (NIST, Burton Group). - Les principaux fournisseurs et les principales défaillances déjà constatées. - SecaaS (Security as a Service). - Les clés d'une architecture sécurisée dans le Cloud. 2) La sécurité des environnements virtuels - Les apports de la virtualisation pour la sécurité. - Menaces et vulnérabilités spécifiques. - Trois modèles d'intégration de la sécurité : Virtual DataCenter, Appliance matérielle et Appliance virtuelle. - Les solutions de sécurité dédiées à la virtualisation. 3) La sécurité des accès réseaux au Cloud - Vulnérabilités et enjeux de la sécurité d'accès. - La sécurité native dans IP v4, IPsec et IP v6. - Les protocoles : PPTP, L2TP, IPsec et VPN SSL. - L'accès au Cloud via le Web sécurisé (https). - Les vulnérabilités des clients du Cloud (PC, tablettes, smartphones) et des navigateurs. 4) Les travaux de la Cloud Security Alliance (CSA) - Le référentiel Security Guidance for Critical Areas of Focus in Cloud Computing. - Les treize domaines de sécurité. Les sept principales menaces. - La suite intégrée GRC. - CloudAudit, Cloud Controls Matrix, Consensus Assessments Initiative Questionnaire, Cloud Trust Protocol. - La certification CCSK (Certificate of Cloud Security Knowledge). 5) La sécurité du Cloud Computing selon l'enisa - Evaluation et gestion des risques du Cloud par la norme ISO 27005. - Les trente-cinq risques identifiés par l'enisa. Les recommandations ENISA pour la sécurité des Clouds gouvernementaux. 6) Les recommandations du NIST pour la sécurité - Les lignes directrices pour la sécurité et la confidentialité dans le Cloud Computing public. - Analyse des standards NIST 800-144 et NIST 800-146. 7) Contrôler la sécurité du Cloud - Quel label de sécurité pour les fournisseurs : Cobit, ISO2700x, critères communs ISO 15401? - Comment auditer la sécurité dans le Cloud? - Les outils de contrôle de sécurité orientés Cloud (Metasploit & VASTO, openvas, xstorm, etc.). 8) Aspects juridiques - Du Cloud privé au Cloud public : conséquences juridiques. Responsabilités des différents acteurs. - La conformité réglementaire (PCI-DSS, CNIL, SOX...). - Les précautions pour la rédaction d'un contrat. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 25

Séminaire de 2 jour(s) Réf : UDI RSSI ou correspondants sécurité, architectes de sécurité, responsables informatiques, ingénieurs ou techniciens devant intégrer des exigences de sécurité. Connaissances de base en sécurité informatique. Prix 2015 : 1900 HT 11 juin 2015, 3 sep. 2015 19 nov. 2015 Audit, indicateurs et contrôle de la sécurité Contrôler sa sécurité est devenu indispensable afin de garantir que les investissements dans ce domaine sont à la mesure des enjeux. Ce séminaire vous présente les meilleures méthodes d'audit et de construction d'indicateurs, de tableaux de bord de sécurité pour une mise en œuvre efficace dans votre SI. 1) Introduction : le contrôle de la sécurité 2) Les audits de sécurité 3) Les indicateurs et instruments de mesures 1) Introduction : le contrôle de la sécurité - Rappels. Terminologie ISO 27000. - Mise en œuvre du contrôle de la sécurité. - Evaluation de la sécurité court-moyen-long terme. - Le pilotage de la sécurité : la vue "manager". - Les revues de sécurité et les éléments d'entrée. - La lisibilité de sa sécurité par rapport aux éditeurs. - Rappel des contraintes réglementaires et normatives. 2) Les audits de sécurité 4) Les tableaux de bord et le pilotage de la sécurité 5) Conclusion - Le métier de l'auditeur sécurité. - Identifier le contexte de la mission. - La préparation de la mission, l'analyse du référentiel. - La classification des écarts, déterminer les critères de risques retenus. - Revue documentaire. - La préparation des interviews. - Les tests techniques. - L'audit sur site : ce qu'il faut faire (et ne pas faire). 3) Les indicateurs et instruments de mesures - La présentation des indicateurs et tableaux de bord, exemples de formats. - Une typologie d'indicateurs. A quoi sert mon indicateur? - Le nombre et le choix des indicateurs en fonction du domaine d'application choisi. - L'inscription dans une démarche ISO 27001. Les revues et réexamen de SMSI. - La norme 27004 "Information Security Management Measurements" : l'essentiel. - Les exemples de la norme sur des contrôles 27001 et mesures Annexe A. 4) Les tableaux de bord et le pilotage de la sécurité - Le suivi de la PSSI, la base de calcul de retour sur investissement. - Les tableaux de bord : pour qui, pour quoi? Suivi des actions et de la conformité PSSI pour le RSSI. - Suivi des niveaux de risques acceptables pour les directions opérationnelles. - Le référentiel "Domaines - Bonnes pratiques" comme instrument de suivi. - Le référentiel "Type de pratiques/maturité" comme cible à atteindre. - Exemples de tableaux de bord standard. 5) Conclusion - Le choix des indicateurs. - La construction de mon premier tableau de bord. - Mise en situation audit. Etude de cas Exercices sur projets types "Sécurité logique", "Protection des biens et des personnes", "Sécurité des communications", "Sécurité Application". ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 26

Séminaire de 3 jour(s) Réf : ASE RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs "audités". Connaissances de base de la sécurité informatique. Prix 2015 : 2610 HT 8 juin 2015, 14 sep. 2015 4 nov. 2015 Aix 26 mai 2015, 19 oct. 2015 14 déc. 2015 Bordeaux 18 mai 2015, 12 oct. 2015 14 déc. 2015 Bruxelles 4 mai 2015, 31 aoû. 2015 26 oct. 2015, 7 déc. 2015 Geneve 4 mai 2015, 31 aoû. 2015 26 oct. 2015, 7 déc. 2015 Grenoble 26 mai 2015, 19 oct. 2015 14 déc. 2015 Lille 26 mai 2015, 19 oct. 2015 14 déc. 2015 Luxembourg 4 mai 2015, 31 aoû. 2015 26 oct. 2015, 7 déc. 2015 Lyon 26 mai 2015, 19 oct. 2015 14 déc. 2015 Montpellier 26 mai 2015, 19 oct. 2015 14 déc. 2015 Nantes 18 mai 2015, 12 oct. 2015 14 déc. 2015 Rennes 18 mai 2015, 12 oct. 2015 14 déc. 2015 Sophia-antipolis 26 mai 2015, 19 oct. 2015 14 déc. 2015 Strasbourg 26 mai 2015, 19 oct. 2015 14 déc. 2015 Toulouse 18 mai 2015, 12 oct. 2015 14 déc. 2015 Implémenter et gérer un projet ISO 27001:2013 préparation aux certifications Ce séminaire a pour objectif de présenter l'ensemble des normes ISO traitant de la sécurité du système d'information et de son management. Il développe les thèmes techniques, organisationnels et juridiques liés à l'application d'un référentiel de sécurité normé et à sa mise en œuvre. 1) Introduction 2) Les normes ISO 2700x 3) La norme ISO 27001:2013 4) Les bonnes pratiques, référentiel ISO 27002:2013 Préparation aux certificats ISO 27001 Lead Implementer et Lead Auditor. 1) Introduction 5) La mise en œuvre de la sécurité dans un projet SMSI 6) Les audits de sécurité ISO 19011:2011 7) Les bonnes pratiques juridiques 8) La certification ISO de la sécurité du SI - La relation auditeur-audité - Rappels. Terminologie ISO 27000 et ISO Guide 73. - Définitions : menace, vulnérabilité, protection. - La notion de risque (potentialité, impact, gravité). - La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité). - La gestion du risque (prévention, protection, report, externalisation). - Analyse de la sinistralité. Tendances. Enjeux. - Les réglementations SOX, PCI-DSS, COBIT. Pour qui? Pourquoi? Interaction avec l'iso. - Vers la gouvernance IT, les liens avec ITIL et l'iso 20000. - L'apport de l'iso pour les cadres réglementaires. - L'alignement COBIT, ITIL et ISO 27002. 2) Les normes ISO 2700x - Historique des normes de sécurité vues par l'iso. - Les standards BS 7799, leurs apports à l'iso. - Les normes actuelles (ISO 27001, 27002). - Les normes complémentaires (ISO 27005, 27004, 27003...). - La convergence avec les normes qualité 9001 et environnement 14001. - L'apport des qualiticiens dans la sécurité. 3) La norme ISO 27001:2013 - Définition d'un Système de Gestion de la Sécurité des Systèmes (ISMS). - Objectifs à atteindre par votre SMSI. - L'approche "amélioration continue" comme principe fondateur, le modèle PDCA (roue de Deming). - La norme ISO 27001 intégrée à une démarche qualité type SMQ. - Détails des phases Plan-Do-Check-Act. - De la spécification du périmètre SMSI au SoA (Statement of Applicability). - Les recommandations de l'iso 27001 pour le management des risques. - De l'importance de l'appréciation des risques. Choix d'une méthode type ISO 27005:2011. - L'apport des méthodes EBIOS, MEHARI dans sa démarche d'appréciation. - L'adoption de mesures de sécurité techniques et organisationnelles efficientes. - Les audits internes obligatoires du SMSI. Construction d'un programme. - L'amélioration SMSI. La mise œuvre d'actions correctives et préventives. - Les mesures et contre-mesures des actions correctives et préventives. - L'annexe A en lien avec la norme 27002. 4) Les bonnes pratiques, référentiel ISO 27002:2013 - Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité. - Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3). - Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications. - La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques. - Exemples d'application du référentiel à son entreprise : les mesures de sécurité clés indispensables. 5) La mise en œuvre de la sécurité dans un projet SMSI - Des spécifications sécurité à la recette sécurité. - Comment respecter la PSSI et les exigences de sécurité du client/moa? - De l'analyse de risques à la construction de la déclaration d'applicabilité. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 27

- Les normes ISO 27003, 15408 comme aide à la mise en œuvre. - Intégration de mesures de sécurité au sein des développements spécifiques. - Les règles à respecter pour l'externalisation. - Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation. - Les rendez-vous "Sécurité" avant la recette. - Intégrer le cycle PDCA dans le cycle de vie du projet. - La recette du projet ; comment la réaliser : test d'intrusion et/ou audit technique? - Préparer les indicateurs. L'amélioration continue. - Mettre en place un tableau de bord. Exemples. - L'apport de la norme 27004. - La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management... 6) Les audits de sécurité ISO 19011:2011 - Processus continu et complet. Etapes, priorités. - Les catégories d'audits, organisationnel, technique... - L'audit interne, externe, tierce partie, choisir son auditeur. - Le déroulement type ISO de l'audit, les étapes clés. - Les objectifs d'audit, la qualité d'un audit. - La démarche d'amélioration pour l'audit. - Les qualités des auditeurs, leur évaluation. - L'audit organisationnel : démarche, méthodes. - Apports comparés, les implications humaines. 7) Les bonnes pratiques juridiques - La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle. - La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions. La loi LCEN. - Conformité ISO et conformité juridique : le nouveau domaine 18 de la norme ISO 27002:2013. 8) La certification ISO de la sécurité du SI - La relation auditeur-audité - Intérêt de cette démarche, la recherche du "label". - Les critères de choix du périmètre. Domaine d'application. Implication des parties prenantes. - L'ISO : complément indispensable des cadres réglementaires et standard (SOX, ITIL...). - Les enjeux économiques escomptés. - Organismes certificateurs, choix en France et en Europe. - Démarche d'audit, étapes et charges de travail. - Norme ISO 27006, obligations pour les certificateurs. - Coûts récurrents et non récurrents de la certification. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 28

Stage pratique de 2 jour(s) Réf : LAU Auditeurs internes, Risk Managers, RSSI, directeurs ou responsables informatiques, ingénieurs ou correspondants Sécurité, chefs de projets intégrant des contraintes de sécurité. Bonnes connaissances de la sécurité des SI et des normes 2700x. Avoir obligatoirement suivi le stage "Implémenter et gérer un projet ISO 27001:2013" (réf. ASE). Expérience souhaitable. Prix 2015 : 1380 HT 18 juin 2015, 17 sep. 2015 19 nov. 2015 Aix 25 juin 2015, 24 sep. 2015 9 nov. 2015 Bordeaux 18 juin 2015, 3 sep. 2015 12 nov. 2015 Bruxelles 4 juin 2015, 10 sep. 2015 26 nov. 2015 Geneve 4 juin 2015, 10 sep. 2015 26 nov. 2015 Grenoble 25 juin 2015, 24 sep. 2015 9 nov. 2015 Lille 25 juin 2015, 24 sep. 2015 9 nov. 2015 Luxembourg 4 juin 2015, 10 sep. 2015 26 nov. 2015 Lyon 25 juin 2015, 24 sep. 2015 9 nov. 2015 Montpellier 25 juin 2015, 24 sep. 2015 9 nov. 2015 Nantes 18 juin 2015, 3 sep. 2015 12 nov. 2015 Rennes 18 juin 2015, 3 sep. 2015 12 nov. 2015 Sophia-antipolis 25 juin 2015, 24 sep. 2015 9 nov. 2015 Strasbourg 25 juin 2015, 24 sep. 2015 9 nov. 2015 Toulouse 18 juin 2015, 3 sep. 2015 12 nov. 2015 ISO 27001:2013 Lead Auditor, mise en pratique, certification Ce stage est un complément au séminaire "Implémenter et gérer un projet ISO 27001:2013" pour les candidats à l'examen "Lead Auditor 27001:2013". Il a pour objectif de réviser les connaissances nécessaires à la certification et vous préparer au passage de l'examen. Il se termine par l'examen proprement dit. 1) Exercices - 2) Corrections collectives 3) Révision finale Certification 4) Examen 5) Les résultats L'examen final a lieu la dernière demi-journée et certifie que vous possédez les connaissances et les compétences nécessaires pour auditer la conformité d'un SMSI suivant la norme ISO/IEC 27001:2013. Cet examen est dirigé en partenariat avec l'organisme de certification LSTI (accrédité COFRAC). 1) Exercices - - Au cours de ce stage, une démarche pédagogique interactive vous sera proposée avec exercices de mise en situations. - Tests de connaissances de type QCM et simulations d'interviews auditeur/audité. 2) Corrections collectives - Les résultats des exercices et travaux pratiques vous sont restitués sous forme de corrections collectives. - Pendant cette restitution, les erreurs éventuelles sont analysées et commentées. 3) Révision finale - Pour clore la préparation, une révision finale est fournie. - Lors de cette révision, des trucs, astuces et pièges à éviter vous seront communiqués. 4) Examen - L'examen écrit dure 3 heures 30 et comporte six parties : - un QCM sur la norme ISO/IEC 19011 et guides associés sur 20 points, - un QCM sur la norme ISO/IEC 27001 et guides associés sur 20 points, - un exercice de recherche de référence normative en fonction de constats d'audit sur 5 points, - un exercice relatif au cycle PDCA sur 5 points, - un exercice "faits et inférences" basé sur un article de presse sur 10 points, - une étude de cas sur 35 points. - A cela s'ajoute une évaluation, par le formateur, de l'attitude et de la démarche de l'auditeur sur 5 points. 5) Les résultats - Les résultats de l'examen vous parviendront par courrier environ 4-6 semaines plus tard. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 29

Stage pratique de 2 jour(s) Réf : LED Risk Managers, RSSI, responsables informatiques, tout acteur SI qui doit intégrer des contraintes de sécurité. Bonnes connaissances de la sécurité des SI et des normes 2700x. Avoir obligatoirement suivi le stage "Implémenter et gérer un projet ISO 27001:2013" (réf. ASE). Expérience souhaitable. Prix 2015 : 1380 HT 30 juin 2015, 29 sep. 2015 3 déc. 2015 Aix 18 juin 2015, 17 sep. 2015 12&19 nov. 2015 Bordeaux 11 juin 2015, 10 sep. 2015 5&12 nov. 2015 Bruxelles 4 juin 2015, 3 sep. 2015 5 nov. 2015, 17 déc. 2015 Geneve 4 juin 2015, 3 sep. 2015 5 nov. 2015, 17 déc. 2015 Grenoble 18 juin 2015, 17 sep. 2015 12&19 nov. 2015 Lille 18 juin 2015, 17 sep. 2015 12&19 nov. 2015 Luxembourg 4 juin 2015, 3 sep. 2015 5 nov. 2015, 17 déc. 2015 Lyon 18 juin 2015, 17 sep. 2015 12&19 nov. 2015 Montpellier 18 juin 2015, 17 sep. 2015 12&19 nov. 2015 Nantes 11 juin 2015, 10 sep. 2015 5&12 nov. 2015 Rennes 11 juin 2015, 10 sep. 2015 5&12 nov. 2015 Sophia-antipolis 18 juin 2015, 17 sep. 2015 12&19 nov. 2015 Strasbourg 18 juin 2015, 17 sep. 2015 12&19 nov. 2015 Toulouse 11 juin 2015, 10 sep. 2015 5&12 nov. 2015 ISO 27001:2013 Lead Implementer, mise en pratique, certification Ce stage est un complément au séminaire "Implémenter et gérer un projet ISO 27001:2013" pour les candidats à l'examen "Lead Implementer 27001:2013". Il a pour objectif de réviser les connaissances nécessaires à la certification et vous préparer au passage de l'examen. Il se termine par l'examen proprement dit. 1) Exercices - 2) Corrections collectives Certification 3) Révision finale 4) Examen L'examen final certifie que vous possédez les connaissances et les compétences nécessaires pour mettre en oeuvre un SMSI suivant la norme ISO/IEC 27001:2013. L'examen a lieu la dernière demi-journée. Il est dirigé en partenariat avec l'organisme de certification LSTI (accrédité COFRAC). 1) Exercices - - Ce stage vous propose à titre de préparation de nombreux exercices, études de cas et travaux pratiques. - Focus sur une préparation optimale pour le passage de l'examen. Respect du règlement de certification officielle ISO. - Des projets types de sécurité vous seront proposés afin d'expérimenter par la pratique. - La mise en oeuvre d'une démarche PDCA et de bonnes pratiques ISO 27001 et ISO 27002. - Vous construirez une déclaration d'applicabilité à partir d'une analyse de risques de type ISO 27001 ou 27005. - Vous apprendrez à déterminer les indicateurs clés d'une PSSI et d'un projet de sécurité. - Une démarche pédagogique interactive vous sera proposée. - Exercices écrits et oraux de mise en situations, tests de connaissance de type QCM. 2) Corrections collectives - Les résultats des exercices et travaux pratiques vous sont restitués sous forme de corrections collectives. - Durant ces corrections, les erreurs éventuelles sont analysées et commentées. 3) Révision finale - Pour clore la préparation, révision finale. - Trucs, astuces et pièges à éviter pour mieux vous préparer au passage de la certification. 4) Examen - L'examen écrit dure 3 heures 30. - Le déroulement de l'examen écrit est présenté par le formateur lors de la première journée de formation. - Contenu de l'examen, règles à respecter. Normes ou autres documents mis à la disposition des candidats. - Modalités mises en oeuvre pour respecter la confidentialité des copies. - Points minimaux requis pour l'obtention de l'examen écrit. - L'examen comporte un questionnaire à choix multiples relatif à la norme ISO/IEC 27001. - L'examen comporte également des exercices pratiques et une étude de cas. - Les résultats de l'examen vous parviendront par courrier 4-6 semaines plus tard. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 30

Séminaire de 1 jour(s) Réf : NIM Toute personne connaissant les versions 2005 des normes ISO 27001 et 27002 / 17799 et souhaitant faire rapidement une actualisation de ces connaissances techniques et organisationnelles. Avoir suivi les formations ISO 27001 version 2005. Prix 2015 : 990 HT 22 mai 2015, 11 sep. 2015 27 nov. 2015 Bruxelles 15 juin 2015, 14 sep. 2015 20 nov. 2015 Geneve 15 juin 2015, 14 sep. 2015 20 nov. 2015 Luxembourg 15 juin 2015, 14 sep. 2015 20 nov. 2015 ISO 27001:2013 Bridge, passer de la version 2005 à la version 2013 Ce stage s'adresse à toute personne connaissant les versions 2005 des normes ISO 27001/27002 et souhaitant faire rapidement une actualisation de ses connaissances. Il présente les nouveautés de la version 2013 d'iso 27001/27002 traitant du système de management de la sécurité SI. 1) Introduction 2) Les nouvelles normes ISO 2700x «post 2005» 3) La norme ISO 27001:2013 Certification 4) Le référentiel de bonnes pratiques ISO 27002:2013 5) La mise en œuvre de la sécurité dans un projet de sécurité 2014 Cette formation permet, à une personne qui a déjà suivi un cursus ISO27001 version 2005, d'être " certifiable 2013 ". Elle permet à celle qui a déjà passé et réussi les examens Lead Auditor et/ou Lead Implementer " 2005 ", d'être automatiquement certifié " 2013 ", sans examen supplémentaire. 1) Introduction - Rappels. Terminologie et concepts ISO 27000. - La prise en compte des évolutions réglementaires BALE 3, PCIDSS 3.0,... 2) Les nouvelles normes ISO 2700x «post 2005» - Rappel historique sur les normes de sécurité vues par l'iso. - La nouvelle version de la norme 27000:2013. - Les évolutions de la norme 27005:2011. - Le processus de révision de la norme 27003:2010. - Vers une meilleure intégration avec les normes qualité 9001. 3) La norme ISO 27001:2013 - Objectifs à atteindre par votre SMSI : principales évolutions 2005 -> 2013. - Les 7 sections incontournables. - L'alignement des processus " SMSI 2005 " et " SMSI 2013 " : liens entre sections. - Le choix d'un référentiel de bonnes pratiques. La nouvelle Annexe A. - Les évolutions attendues de la démarche d'audit interne et de la pratique de la revue de direction. 4) Le référentiel de bonnes pratiques ISO 27002:2013 - La nouvelle structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et mesures (niveau 3). - Les 14 domaines de la norme. - Les principales modifications? Les nouvelles mesures? Les mesures supprimées. - L'évolution du domaine 10 de la version 2005, les nouveaux domaines (cryptographie, exploitation et communications). - L'alignement des versions 2005 / 2013. - Mappage des domaines (11 vers 14), des sous-domaines (39 vers 35), des bonnes pratiques (133 vers 113). 5) La mise en œuvre de la sécurité dans un projet de sécurité 2014 - Des spécifications sécurité à l'étude du contexte. - Vers une gestion du risque basée sur la norme 27005:2011. - La gestion de la sécurité avec les tiers : les nouvelles bonnes pratiques du domaine 15. - Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation. - Ce qui change dans le processus de certification 2013 : les nouvelles règles d'auditabilité. - La mise à niveau d'un SMSI certifié 2005 vers une certification 2013. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 31

Stage pratique de 2 jour(s) Réf : FUN Toutes les personnes souhaitant acquérir une compréhension globale des principaux processus d'un Système de Management de la Continuité d'activité (SMCA). Aucune connaissance particulière. Prix 2015 : 2235 HT 28 mai 2015, 30 juil. 2015 24 sep. 2015, 30 nov. 2015 Bruxelles 21 mai 2015, 17 sep. 2015 10 déc. 2015 Geneve 21 mai 2015, 17 sep. 2015 10 déc. 2015 Luxembourg 21 mai 2015, 17 sep. 2015 10 déc. 2015 ISO 22301, Foundation, certification Business Continuity Management Ce stage vous permettra de prendre connaissance des meilleures pratiques de gestion d'un Système de Management de la Continuité d'activité (SMCA) tel que spécifié dans l'iso 22301, ainsi que des meilleures pratiques de mise en œuvre basées sur ISO 22313. Il vous permettra d obtenir la certification. 1) Concept de SMCA 2) La norme ISO 22301 3) Mise en œuvre d'un SMCA conforme à l'iso 22301 Méthodes pédagogiques 4) Vue d'ensemble du PDCA 5) Examen De nombreux exercices vous apporteront une préparation optimale en vue du passage de l'examen officiel en fin de formation. Exemples issus de cas réels. 1) Concept de SMCA - Présentation de la norme ISO 22301. Comparaison avec BS 25999 et ISO 27001. - Systèmes de management, continuité d'activité et approche processus. - Pourquoi un SMCA (Système de Management de la Continuité d'activité)? - Pourquoi certifier son SMCA par un organisme indépendant? - SMCA et PDCA (Plan-Do-Check-Act). Que met-on dans le PDCA? 2) La norme ISO 22301 - Présentation des clauses 4 à 10 de l'iso 22301. - Clause 4 (Contexte de l'organisme) : organisation, exigences légales, périmètre. - Clause 5 (Leadership) : engagement de la direction, politique de continuité, rôles et responsabilités. - Clause 6 (Planification) : actions face aux risques, objectifs de continuité et plan. - Clause 7 (Support) : ressources, sensibilisation, communication et informations documentées. - Clause 8 (Gestion des opérations) : analyse de risque et des impacts (BIA), protection, plans de continuité. - Clause 9 (Evaluation de performance) : mesure, analyse, audit, revue direction. - Clause 10 (Amélioration) : gestion des non-conformités et actions correctives. 3) Mise en œuvre d'un SMCA conforme à l'iso 22301 - Phases de mise en œuvre du cadre ISO 22301. - Analyse des impacts et évaluation des risques. Mesures de protection et d'atténuation. - Conception des plans de continuité et rédaction des procédures. - Audit de certification ISO 22301. Mise en situation sur études de cas. 4) Vue d'ensemble du PDCA - Contexte de la société. Engagement. Planification. Exploitation. - Evaluation des performances. Amélioration. Analyse du risque. Stratégie de continuité. - Réponse au sinistre. Dispositif de gestion de crise. - Test, maintien en condition du plan de continuité. Contrôle et audit. 5) Examen - Domaines de compétences couverts par l'examen. Principes et concepts fondamentaux. SMCA. - Le certificat délivré aux participants donne 14 crédits CPD (Continuing Professional Development). - L'examen remplit les exigences du programme de certification PECB (ECP Examination and Certification Program). Passage de l'examen (il dure 1 heure). ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 32

Stage pratique de 5 jour(s) Réf : IAU Chefs de projet, auditeurs, responsables ou toutes les personnes souhaitant réaliser et diriger des audits de certification de SMCA. Avoir la certification ISO 22301 Foundation (réf. FUN) ou connaissances de base sur les normes BS 25999, ISO 22301 ou 27031. Prix 2015 : 4390 HT 29 juin 2015, 7 sep. 2015 16 nov. 2015 Bruxelles 22 juin 2015, 14 sep. 2015 23 nov. 2015 Geneve 22 juin 2015, 14 sep. 2015 23 nov. 2015 Luxembourg 22 juin 2015, 14 sep. 2015 23 nov. 2015 ISO 22301, Lead Auditor, certification Business Continuity Management Ce stage vous apportera l'expertise nécessaire pour auditer un Système de Management de la Continuité d'activité basé sur l'iso 22301. Vous apprendrez à planifier et réaliser des audits internes et externes conformes aux normes ISO 19011, 17021. Il vous permettra d'obtenir la certification ISO 22031 Lead Auditor. 1) Concept de Système de Management de la Continuité d'activité (SMCA) 2) Planification et initialisation d'un audit 22301 3) Conduire un audit ISO 22301 4) Clôturer et assurer le suivi d'un audit ISO 22301 5) Domaines de compétences couverts par l'examen 6) Examen et certificat Etudes de cas pour une préparation optimale de l'examen de certification en fin de formation. 1) Concept de Système de Management de la Continuité d'activité (SMCA) - Présentation des normes ISO 22301, ISO 27031, ISO 22313, BS 25999. - Principes fondamentaux de la continuité d'activité. - Processus de certification ISO 22301. - Système de management de la continuité d'activité. - Présentation détaillée des clauses 4 à 10 de l'iso 22301. 2) Planification et initialisation d'un audit 22301 - Principes et concepts fondamentaux d'audit. - Approche d'audit basée sur les preuves et sur le risque. - Préparation d'un audit de certification ISO 22301. - Audit documentaire d'un SMCA. - Conduire une réunion d'initialisation. 3) Conduire un audit ISO 22301 - Communication pendant l'audit. - Procédures d'audit : observation, revue documentaire, entretiens, techniques d'échantillonnage. - Procédures d'audit : vérification technique, corroboration et évaluation. - Rédaction des plans de tests d'audit. - Formulation des constats d'audit. - Rédaction des rapports de non-conformité. 4) Clôturer et assurer le suivi d'un audit ISO 22301 - Documentation d'audit. - Mener une réunion de clôture et de fin d'un audit 22301. - Evaluation des plans d'action correctifs. - Audit de surveillance ISO 22301, interne / audit de 2ème partie. 5) Domaines de compétences couverts par l'examen - Domaine 1 : principes et concepts fondamentaux de la continuité des affaires. - Domaine 2 : code des bonnes pratiques de la continuité de l'activité (ISO 22301). - Domaine 3 : planifier un SMCA (ISO 22301). - Domaine 4 : mettre en œuvre un SMCA (ISO 22301). - Domaine 5 : évaluation de la performance, surveillance et mesure d'un SMCA (ISO 22301). - Domaine 6 : amélioration continue d'un SMCA (ISO 22301). - Domaine 7 : préparation de l'audit de certification d'un SMCA. 6) Examen et certificat - Un certificat de participation de 31 crédits CPD (Continuing Professional Development) est délivré aux participants. - L'examen remplit les exigences du programme de certification PECB (ECP Examination and Certification Program). Passage de l'examen (3 heures). ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 33

Stage pratique de 5 jour(s) Réf : IML Chefs de projet, auditeurs, responsables ou toute personne souhaitant préparer et assister une organisation dans la mise en œuvre de son SMCA. Avoir la certification ISO 22301 Foundation (réf. FUN) ou connaissances de base sur les normes BS 25999, ISO 22301 ou 27031. Prix 2015 : 4390 HT 22 juin 2015, 14 sep. 2015 16 nov. 2015 Bruxelles 22 juin 2015, 7 sep. 2015 2 nov. 2015 Geneve 22 juin 2015, 7 sep. 2015 2 nov. 2015 Luxembourg 22 juin 2015, 7 sep. 2015 2 nov. 2015 ISO 22301, Lead Implementer, certification Business Continuity Management Ce stage vous apportera l'expertise nécessaire à la mise en œuvre et à la gestion d'un Système de Management de la Continuité d'activité (SMCA) tel que spécifié dans l'iso 2230. Il vous permettra d'obtenir la certification ISO 22031 Lead Implementer. 1) Concept de Système de Management de la Continuité d'activité (SMCA) 2) Planifier la mise en œuvre d'un SMCA 3) Mettre en place un SMCA basé sur l'iso 22301 4) Contrôler, surveiller, mesurer et améliorer un SMCA 5) Domaines couverts par l'examen 6) Examen et certificat Etudes de cas pour une préparation optimale et efficace en vue du passage de l'examen de certification en fin de formation. 1) Concept de Système de Management de la Continuité d'activité (SMCA) - Introduction aux systèmes de management et à l'approche processus. - Présentation des normes ISO 22301, 22313, 27031 et BS 25999. - Principes fondamentaux de la continuité d'activité. - Initialisation de mise en œuvre du SMSI. - Compréhension de l'organisme, clarification des objectifs de sécurité de l'information. - Analyse du système de management existant. - Définition du périmètre du SMCA. 2) Planifier la mise en œuvre d'un SMCA - Leadership et approbation d'un SMCA. - Politique de continuité d'activité. - Structure organisationnelle de la continuité d'activité. - Informations documentées. - Compétences et sensibilisation. - Analyse des impacts (BIA) et appréciation du risque. 3) Mettre en place un SMCA basé sur l'iso 22301 - Stratégie de continuité d'activité. - Mesures de protection et d'atténuation. - Conception des plans de la continuité d'activité et rédaction des procédures. Exemple Plan de continuité : de réponse aux incidents, d'urgence, de gestion de crise, de relève informatique, de reconstruction et de communication. 4) Contrôler, surveiller, mesurer et améliorer un SMCA - Mesure, surveillance et évaluation du SMCA. - Audit interne ISO 22301. - Revue de direction du SMCA. - Traitement des problèmes et des non-conformités. - Mise en œuvre d'un programme d'amélioration continue. - Préparation à l'audit de certification ISO 22301. 5) Domaines couverts par l'examen - 1 : Principes et concepts fondamentaux. - 2 : Code des bonnes pratiques de la continuité d'activité basé sur l'iso 22301. - 3 : Planifier un SMCA conforme à l'iso 22301. - 4 : Mettre en œuvre un SMCA conforme à l'iso 22301. - 5 : Evaluation de la performance, surveillance et mesure d'un SMCA conforme à l'iso 22301. - 6 : Amélioration continue d'un SMCA conforme à l'iso 22301. - 7 : Préparation de l'audit de certification d'un SMCA. 6) Examen et certificat - Un certificat de 31 crédits CPD (Continuing Professional Development) est délivré aux participants. - L'examen remplit les exigences du programme de certification PECB (ECP Examination and Certification Program). - L'examen écrit dure 3 heures. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 34

Passage de l'examen. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 35

Stage pratique de 5 jour(s) Réf : CIS Responsable de la sécurité des SI ou toute autre personne jouant un rôle dans la politique de sécurité des SI. Connaissances de base sur les réseaux et les systèmes d'exploitation ainsi qu'en sécurité de l'information. Connaissances de base des normes en audit et en continuité des affaires. Prix 2015 : 2840 HT 18 mai 2015, 6 juil. 2015 14 sep. 2015, 12 oct. 2015 2 nov. 2015, 7 déc. 2015 Aix 15 juin 2015, 28 sep. 2015 16 nov. 2015 Bordeaux 1 juin 2015, 21 sep. 2015 7 déc. 2015 Bruxelles 29 juin 2015, 7 sep. 2015 30 nov. 2015 Geneve 29 juin 2015, 7 sep. 2015 30 nov. 2015 Grenoble 15 juin 2015, 28 sep. 2015 16 nov. 2015 Lille 15 juin 2015, 28 sep. 2015 16 nov. 2015 Luxembourg 29 juin 2015, 7 sep. 2015 30 nov. 2015 Lyon 15 juin 2015, 28 sep. 2015 16 nov. 2015 Montpellier 15 juin 2015, 28 sep. 2015 16 nov. 2015 Nantes 1 juin 2015, 21 sep. 2015 7 déc. 2015 Rennes 1 juin 2015, 21 sep. 2015 7 déc. 2015 Sophia-antipolis 15 juin 2015, 28 sep. 2015 16 nov. 2015 Strasbourg 15 juin 2015, 28 sep. 2015 16 nov. 2015 Toulouse 1 juin 2015, 21 sep. 2015 7 déc. 2015 CISSP, sécurité des SI, préparation à la certification Ce stage détaille les concepts de sécurité pour l'obtention de la certification CISSP. Il vous préparera au passage de l'examen en couvrant l'ensemble du Common Body of Knowledge (CBK), le tronc commun de connaissances en sécurité défini par l'international Information Systems Security Certification Consortium (ISC)². 1) Sécurité du SI et le CBK de l'(isc)² 2) Gestion de la sécurité et sécurité des opérations 3) Architecture, modèles de sécurité et contrôle d'accès Certification 4) Cryptographie et sécurité des développements 5) Sécurité des télécoms et des réseaux 6) Continuité des activités, loi, éthique et sécurité physique Pour passer la certification, vous devez vous inscrire sur le site de l'isc2 et déposer un dossier d'éligibilité. 1) Sécurité du SI et le CBK de l'(isc)² - La sécurité des systèmes d'information. - Le pourquoi de la certification CISSP. - Présentation du périmètre couvert par le CBK. 2) Gestion de la sécurité et sécurité des opérations - Pratiques de gestion de la sécurité. La rédaction de politiques, directives, procédures et standards en sécurité. - Le programme de sensibilisation à la sécurité, pratiques de management, gestion des risques, etc. - Sécurité des opérations : mesures préventives, de détection et correctives, rôles et responsabilités des acteurs. - Les meilleures pratiques, la sécurité lors de l'embauche du personnel, etc. 3) Architecture, modèles de sécurité et contrôle d'accès - Architecture et modèles de sécurité : architecture de système, modèles théoriques de sécurité de l'information. - Les méthodes d'évaluation de systèmes, modes de sécurité opérationnels, etc. - Systèmes et méthodologies de contrôle d'accès. Les catégories et types de contrôles d'accès. - Accès aux données et aux systèmes, systèmes de prévention des intrusions (IPS) et de détection d'intrusions (IDS). - Journaux d'audit, menaces et attaques reliés au contrôle des accès, etc. 4) Cryptographie et sécurité des développements - Cryptographie. Les concepts, cryptographie symétrique et asymétrique. - Les fonctions de hachage, infrastructure à clé publique, etc. - Sécurité des développements d'applications et de systèmes. Les bases de données, entrepôts de données. - Le cycle de développement, programmation orientée objet, systèmes experts, intelligence artificielle, etc. 5) Sécurité des télécoms et des réseaux - Sécurité des réseaux et télécoms. Les notions de base, modèle TCP/IP, équipements réseaux et de sécurité. - Les protocoles de sécurité, les attaques sur les réseaux, sauvegardes des données, technologies sans fil, VPN... 6) Continuité des activités, loi, éthique et sécurité physique - Continuité des opérations et plan de reprise en cas de désastre. - Le plan de continuité des activités, le plan de rétablissement après sinistre. - Les mesures d'urgence, programme de formation et de sensibilisation, communication de crise, exercices et tests, etc. - Loi, investigations et éthique : droit civil, criminel et administratif, propriété intellectuelle. - Le cadre juridique en matière d'investigation, règles d'admissibilité des preuves, etc. - La sécurité physique. Les menaces et vulnérabilités liées à l'environnement d'un lieu, périmètre de sécurité. - Les exigences d'aménagement, surveillance des lieux, protection du personnel, etc. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 36

Séminaire de 3 jour(s) Réf : AIR RSSI ou correspondants Sécurité, architectes de sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité. Connaissances de base dans le domaine de la sécurité informatique. Prix 2015 : 2610 HT 22 juin 2015, 21 sep. 2015 30 nov. 2015 Bruxelles 29 juin 2015, 28 sep. 2015 7 déc. 2015 Geneve 29 juin 2015, 28 sep. 2015 7 déc. 2015 Luxembourg 29 juin 2015, 28 sep. 2015 7 déc. 2015 ISO 27005:2011 Risk Manager, préparation à la certification Analyse de risques Ce séminaire, basé en partie sur la norme ISO/CEI 27005:2011, permet aux stagiaires d'acquérir les bases théoriques et pratiques de la gestion des risques liés à la sécurité de l'information. Elle prépare efficacement les candidats à la certification ISO 27005 Risk Manager à partir d'études de cas. 1) Introduction 2) Le concept "risque" 3) L'analyse de risques selon l'iso 1) Introduction 4) Les méthodes d'analyse de risques 5) Choix d'une méthode 6) Conclusion - Rappels. Terminologie ISO 27000 et ISO Guide 73. - Définitions de la Menace. Vulnérabilité. Risques. - Principe général de la sécurité ISO 13335. - La classification CAID. - Rappel des contraintes réglementaires et normatives (SOX, COBIT, ISO 27001...). - Le rôle du RSSI versus le Risk Manager. - La future norme 31000, de l'intérêt de la norme "chapeau". 2) Le concept "risque" - Identification et classification des risques. - Risques opérationnels, physiques et logiques. - Les conséquences du risque (financier, juridique, humain...). - La gestion du risque (prévention, protection, évitement de risque, transfert). - Assurabilité d'un risque, calcul financier du transfert à l'assurance. - Les rôles complémentaires du RSSI et du Risk Manager/DAF. 3) L'analyse de risques selon l'iso - La méthode de la norme 27001:2013. - L'intégration au processus PDCA. - La création en phase Plan de la section 4. - La norme 27005:2011 : Information Security Risk Management. - La mise en œuvre d'un processus PDCA de management des risques. - Les étapes de l'analyse de risques. - La préparation de la déclaration d'applicabilité (SoA). 4) Les méthodes d'analyse de risques - Les méthodes françaises. EBIOS 2010. - Etude du contexte, des scénarios de menaces, des événements redoutés, des risques, des mesures de sécurité. - EBIOS dans une démarche ISO PDCA de type SMSI 27001. - MEHARI 2010. L'approche proposée par le CLUSIF. - Elaboration d'un plan d'actions basé les services de sécurité. Alignement MEHARI 27005 et référentiel ISO 27002. - CRAMM, OCTAVE... Historique, développement, présence dans le monde. Comparaisons techniques. 5) Choix d'une méthode - Comment choisir la meilleure méthode? - Les bases de connaissances (menaces, risques...). - La convergence vers l'iso, la nécessaire mise à jour. - Etre ou ne pas être "ISO spirit" : les contraintes du modèle PDCA. 6) Conclusion - Une méthode globale ou une méthode par projet. - Le vrai coût d'une analyse de risques. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 37

Stage pratique de 1 jour(s) Réf : IRM RSSI ou correspondants Sécurité, architectes sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité. Bonnes connaissances de la gestion de la sécurité des SI et des normes 27005. Avoir suivi le stage "ISO 27005:2011 Risk Manager, préparation à la certification" (réf. AIR). Expérience souhaitable. Prix 2015 : 830 HT 29 juin 2015, 6 oct. 2015 8 déc. 2015 Bruxelles 19 juin 2015, 16 oct. 2015 18 déc. 2015 Geneve 19 juin 2015, 16 oct. 2015 18 déc. 2015 Luxembourg 19 juin 2015, 16 oct. 2015 18 déc. 2015 ISO 27005:2011 Risk Manager, certification Ce stage d'une journée est un complément au séminaire "ISO 27005:2011 Risk Manager, préparation à la certification". Il a pour objectif de réviser les sujets présentés lors du séminaire et de préparer au passage de l'examen "Risk manager 27005:2011". Il se termine par l'examen proprement dit. 1) Préparation 2) Corrections collectives 3) Révision finale Certification 4) Durée et confidentialité de l'examen 5) Les épreuves 6) Points et résultats L'examen de certification est dirigé en partenariat avec l'organisme de certification LSTI (accrédité COFRAC). Il se déroule pendant la demi-journée de l'après-midi. Ce diplôme international officiel ISO vous apportera la plus grande crédibilité dans la conduite de vos projets d'analyse de risques. 1) Préparation - Mise en situation, tests de connaissance de type QCM, études de cas. - Inventaire d'actifs, évaluation des menaces et vulnérabilités. - Elaboration de plans de traitement des risques, etc. 2) Corrections collectives - Restitution des résultats des exercices et des TP sous forme de corrections collectives. - Explications des erreurs éventuelles. 3) Révision finale - Pour clore la préparation, une révision finale est réalisée. - Les astuces pour éviter les pièges. 4) Durée et confidentialité de l'examen - L'examen écrit dure environ 2 heures 30. - Pour assurer l'anonymat lors de la correction des examens, les copies sont numérotées. - Seul le formateur connaît la correspondance entre le numéro de copie et l'identité du candidat. 5) Les épreuves - L'examen comporte au minimum un questionnaire relatif à la norme ISO/IEC 27005:2011. - Un exercice sur le modèle PDCA et une étude de cas sur la gestion des risques. - L'évaluation du formateur sur l'attitude générale et sur la capacité à s'exprimer oralement. - Evaluation de l'attitude générale (participation, ambiance de travail, etc.) et de la capacité à travailler en équipe. - Evaluation de la capacité à s'exprimer oralement : respect du temps imparti, esprit de synthèse et clarté. 6) Points et résultats - L'évaluation du formateur est sur 3 points, elle s'ajoute à la notation de l'examen écrit pour un total de 100 points. - Le candidat doit obtenir un minimum de 70 points (examen écrit et évaluation du formateur) pour être certifié. - Les résultats de l'examen vous parviendront par courrier environ 6 semaines plus tard. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 38

Stage pratique de 3 jour(s) Réf : MEH RSSI ou correspondants sécurité, auditeurs sécurité ou responsables de la sécurité de l'information ou de la conformité au sein d'une organisation. Connaissances de base sur la gestion du risque souhaitables. Prix 2015 : 3385 HT 1 juin 2015, 7 sep. 2015 23 nov. 2015 Mehari Risk Manager, certification Cette formation vous permettra de maîtriser les éléments fondamentaux relatifs à la gestion des risques liés à l'information. Pour ce faire, vous découvrirez et mettrez en oeuvre la méthode MEHARI, spécifiquement adaptée à une gestion efficace du risque selon l'iso 27005. 1) Introduction à la gestion du risque 2) Analyser un risque spécifique avec MEHARI 3) Recherche et analyse systématique des risques avec MEHARI 4) Guide, outils et approfondissement des facteurs de réduction des risques 5) Examen et certificat Analogues à l'examen de certification et basés sur une étude de cas complète. Avec des exemples issus de cas réels. 1) Introduction à la gestion du risque - Les concepts de base en gestion des risques. - L'appréciation des risques (identification, estimation et évaluation). - Les normes et cadres de référence en gestion des risques. - La gestion du risque et la norme ISO 27005. - Les principales méthodologies de gestion des risques : EBIOS, MEHARI, Octave. 2) Analyser un risque spécifique avec MEHARI - Introduction, objectifs et principes généraux de MEHARI. - Concepts et définitions reliés à la gestion du risque. - Recherche et analyse des dysfonctionnements potentiels. - Identification des scénarios de risque et gravité intrinsèque de ces scénarios. - Facteurs réducteurs de risque et évaluation des risques. - Définition des plans d'action en vue de réduire les risques. Identification des scénarios de risque et analyse de risque avec MEHARI. 3) Recherche et analyse systématique des risques avec MEHARI - Principe de la démarche et introduction des concepts de base. - Introduction aux bases de connaissances des risques. - Impact intrinsèque des scénarios de risque et classification des actifs. - Les services de sécurité et le diagnostic des services de sécurité. - Analyse systématique des scénarios de risque. - Elaboration des plans de sécurité et démarche. Recherche et analyse systématique des risques avec MEHARI. 4) Guide, outils et approfondissement des facteurs de réduction des risques - Approfondissement de l'évaluation des facteurs de réduction des risques. - Guide pour le développement de bases de connaissances spécifiques. - Les outils du marché d'aide à la mise en œuvre de MEHARI. 5) Examen et certificat - Un manuel de cours contenant de plus de 300 pages d'information et d'exemples pratiques. - Le matériel de formation est sur MEHARI et l'examen est uniquement disponible en français. - Un certificat de participation de 21 crédits CPD (Continuing Professional Development) est délivré aux participants. - L'examen dure 2 heures. Passage de l'examen. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 39

Stage pratique de 2 jour(s) Réf : EBI RSSI ou correspondants Sécurité, architectes sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité. Bonnes connaissances de la sécurité des SI et de la norme 27005 ou connaissances équivalentes à celles apportées par le stage "Analyse de risques" (réf. AIR). Expérience en sécurité souhaitable. Prix 2015 : 1380 HT 4 juin 2015, 20 aoû. 2015 7 oct. 2015, 3 déc. 2015 Méthode EBIOS, mise en oeuvre de la gestion des risques La méthode EBIOS permet d'apprécier et de traiter les risques relatifs à la sécurité des SI en se fondant sur une expérience éprouvée en matière de conseil SI et d'assistance MOA. Ce stage vous apportera toutes les connaissances nécessaires à sa mise en œuvre en situation réelle. 1) Introduction - Rappel 2) Etude du contexte 3) Etude des événements redoutés 4) Etude des scénarios de menaces Etude de cas 5) Etude des risques 6) Etude des mesures de sécurité 7) Conclusion Elaboration d'un cas concret par les participants. Résolution par groupes de 2 à 4 personnes. 1) Introduction - Rappel - Objectifs d'ebios 2010. Evolution EBIOS v2. Compatibilités normatives 27001 et 27005. - Présentation de la démarche méthodologique. Historique, rôle de l'anssi et du club EBIOS. - Domaine d'application de la démarche : cible secteur public ou privé, tailles et secteurs d'activité visés. - Application de la méthode sur systèmes de sécurité existants ou en cours de d'élaboration. - Diffusion de la méthode EBIOS. 2) Etude du contexte - Caractéristiques du contexte, identification du domaine d'application. - Biens essentiels (actifs primaires), biens supports. - Les menaces principales. Echanges sur pourquoi et comment gérer les risques. Définir quel est le sujet de l'étude. 3) Etude des événements redoutés - Appréciation des événements de sécurité redoutés. - Identification, analyse et évaluation de chaque événement. Identification des événements craints et des plus graves. 4) Etude des scénarios de menaces - Appréciation des scénarios de menaces. Identification. - Analyse et évaluation de chaque scénario de menace. Définir les scénarios possibles. Définir ceux qui sont les plus vraisemblables. 5) Etude des risques - Analyse et évaluation des risques. - Identification des objectifs de sécurité. - Traitement des risques : choix des options. Cartographie des risques. Traiter les différents risques. 6) Etude des mesures de sécurité - Identifier les mesures de sécurité à mettre en oeuvre. - Evaluer le risque résiduel (après application des mesures). - Appréciation des risques résiduels. Rédaction de la déclaration d'applicabilité. - Mise en oeuvre des mesures de sécurité et élaboration d'un plan d'action. - Suivi de l'efficacité des mesures. Acceptation (homologation) des risques résiduels. Identification des mesures à appliquer. Définir l'acceptabilité des risques résiduels. 7) Conclusion - Synthèse sur la méthode EBIOS. - Comment personnaliser son analyse de risques. - Revue de l'analyse : vers une démarche PDCA. - Intégration de la démarche dans un SMSI. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 40

Stage pratique de 2 jour(s) Réf : CUR DSI ou responsable du service informatique. Responsable sécurité du système d'information (RSSI). Chef de projet informatique en charge du projet sécurisation. Connaissances de base dans le domaine de la sécurité des systèmes d'information. Prix 2015 : 1380 HT 11 juin 2015, 1 oct. 2015 3 déc. 2015 Sécurité SI, mise en œuvre pratique d'une analyse de risques Ce stage vous apprendra à identifier et analyser les menaces et les risques qui pèsent sur votre système d'information, ainsi que leurs impacts potentiels sur votre activité. Vous travaillerez sur une étude de cas "fil rouge" qui vous apprendra à maîtriser les principales étapes d'une analyse de risques. 1) La notion de risque en sécurité des informations 2) L'identification des biens informationnels 3) L'analyse de risque Méthodes pédagogiques 4) Les méthodes utiles 5) Les normes 6) Construction du plan de traitement des risques Alternance de cours théorique, d'exemples et d'exercices pratiques réalisés par les participants sur la base de l'étude de cas à la fin de chaque thème. Etude de cas Une étude de cas servira de fil rouge pendant les deux jours, afin de dérouler l'intégralité de la méthode pratique d'analyse des risques. 1) La notion de risque en sécurité des informations - Les probabilités et la vraisemblance. - Les impacts sur le SI et sur les métiers. - La quantification du niveau de gravité. - Les types de risques. - La gestion par les risques. Principes. Avantages. Questionnaire sur les risques SI et leur gestion. 2) L'identification des biens informationnels - Faire l'inventaire des biens : les informations et leurs supports (primaires, secondaires). - L'organisation en place, le périmètre à couvrir. - La classification DICT. - Les intérêts et la méthode. Etude de cas Réalisation d'un inventaire et d'une classification des informations et de leurs supports. 3) L'analyse de risque - Identification des menaces et des vulnérabilités. - Evaluation des risques encourus. - Priorisation : la matrice des risques, la notion de scénario. Identifier les risques et les prioriser grâce à l'utilisation de la matrice. 4) Les méthodes utiles - Les méthodes françaises : EBIOS, MEHARI. - Les méthodes internationales : OCTAVE. - Les apports, les avantages et les inconvénients de chaque méthode. - Le choix approprié d'une méthode et la personnalisation. Réflexion de groupe sur les critères de choix et les avantages et inconvénients des différentes méthodes. 5) Les normes - Les différentes normes utiles pour les analyses de risques. - La démarche d'analyse de risques dans le cadre 27001. - L'approche PDCA (Plan - Do - Check - Act). - Les apports de l'iso 27002, de BS25999 et de l'iso 31000. Exemples d'application d'une norme. 6) Construction du plan de traitement des risques ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 41

- La palette des actions : prévention, protection, report de risque, externalisation, assurances. - Construire un plan de traitement des risques à partir de la matrice des risques et des autres sources (audits...). - Que contient le plan : les objectifs et les mesures, les indicateurs d'avancement et de qualité. - Les risques résiduels. - La gestion et les usages du plan de traitement des risques. Etude de cas Réalisation d'un plan de traitement des risques. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 42

Séminaire de 2 jour(s) Réf : PDS Responsables Continuité, Risk Managers ou RSSI. Directeurs ou responsables informatiques, correspondants Sécurité, chefs de projets MOA et MOE, auditeurs internes ou externes, consultants. Bonnes connaissances des architectures SI. Prix 2015 : 1900 HT 9 avr. 2015, 29 juin 2015 8 oct. 2015, 3 déc. 2015 Plan de secours et de continuité se préparer et faire face à la crise Ce séminaire vous propose les démarches et les meilleures pratiques pour mener à bien un projet de secours et de continuité d'activité informatique en accord avec les normes (ISO 7001/27002, BS25999, ITIL V3...). De l'analyse des risques et de la conception des plans jusqu'aux tests et à la cellule de crise. 1) Pourquoi gérer la continuité 2) Définitions et concepts 3) Le projet et sa gestion 4) Analyse des risques 1) Pourquoi gérer la continuité 5) L'identification des activités critiques 6) Les moyens pour la conception des dispositifs 7) Plans de continuité 8) Procédures d'escalade et cellule de crise - L'évolution des entreprises et de leur stratégie. - L'importance stratégique de l'information. - Les enjeux pour l'entreprise d'une stratégie de continuité : lois et réglementations, normes et standards. 2) Définitions et concepts - Définir la stratégie de continuité. - Les différences entre plan de continuité d'activité (BCP), plan de secours informatique (DRP), plan de reprise. - Rappels de sécurité : critères DICP et les 11 thèmes ISO. - La feuille de route de la continuité. 3) Le projet et sa gestion - Rappels sur la conduite de projet. - Les phases d'un projet plan de continuité. - Les particularités du projet plan de continuité. 4) Analyse des risques - Les composantes du risque. - Les principes des différentes méthodes. - Les autres standards (COBIT, ISO...). - La notion de matrice d'incertitude. - L'analyse des risques pour le plan de continuité. 5) L'identification des activités critiques - Déterminer les activités critiques (BIA) d'une entreprise. - Les paramètres fondamentaux de l'analyse d'impact. - La notion de Service Delivery Objectives. 6) Les moyens pour la conception des dispositifs - Les éléments et le budget pour élaborer les scénarios. - Les différents sites de repli (hot, warm, cold sites, reciprocal agreement...) en interne ou externalisés. - Les critères de décision. 7) Plans de continuité - La construction des procédures. - Les équipes de secours : constitution, rôles... - Un exemple de canevas d'un plan de secours. 8) Procédures d'escalade et cellule de crise - La gestion de l'escalade en phase avec le RTO. - La constitution de la cellule de crise. - Les principes de déclenchement du plan de secours. - La continuité d'activité en tant que processus ITIL. - L'importance du maintien en condition opérationnelle du plan au quotidien : le cycle de vie PDCA. - Le processus continuité et autres processus. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 43

Séminaire de 2 jour(s) Réf : PCI RSSI ou correspondants sécurité, architectes de sécurité, ingénieurs sécurité, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité réglementaires. Bonnes connaissances dans la gestion de la sécurité des SI. Prix 2015 : 1900 HT 6 mai 2015, 6 juil. 2015 24 sep. 2015, 26 nov. 2015 PCI-DSS, sécurité e-commerce Cette formation vous permettra de comprendre la nouvelle version du standard PCI-DSS relatif à la protection des données de comptes bancaires, dont le paiement par carte et les éléments de sécurité clés nécessaires pour mettre en conformité son entreprise, tout en tenant compte des spécificités de son contexte. 1) Introduction 2) Les six thèmes et les douze exigences (1-5) du standard PCI DSS 3) Les six thèmes et les douze exigences (6-12) du standard PCI DSS 1) Introduction - L'historique et les objectifs du comité PCI (PCI Council). - Quelles menaces spécifiques sur le e-commerce? - La relation entre PADSS et PCI DSS. 4) Les objectifs de conformité et la certification 5) La gestion de votre projet PCI-DSS 2) Les six thèmes et les douze exigences (1-5) du standard PCI DSS - Condition 1 : installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes. - Condition 2 : ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut. - Condition 3 : protéger les données de titulaires de cartes stockées. - Condition 4 : crypter la transmission des données des titulaires de cartes sur les réseaux publics. - Condition 5 : utiliser des logiciels ou des programmes antivirus et les mettre à jour régulièrement. 3) Les six thèmes et les douze exigences (6-12) du standard PCI DSS - Condition 6 : développer et gérer des systèmes et des applications sécurisés. - Condition 7 : restreindre l'accès aux données des titulaires de cartes aux seuls individus qui doivent les connaître. - Condition 8 : affecter un ID unique à chaque utilisateur. - Condition 9 : restreindre l'accès physique aux données des titulaires de cartes. - Condition 10 : effectuer le suivi et surveiller les accès aux ressources réseau et données des titulaires de cartes. - Condition 11 : tester régulièrement les processus et les systèmes de sécurité. - Condition 12 : gérer une politique de sécurité des informations pour l'ensemble du personnel. 4) Les objectifs de conformité et la certification - Le champ d'application de l'évaluation de la conformité aux conditions de la norme PCI DSS. Segmentation réseau. - Echantillonnage des installations de l'entreprise et des composants du système. - Effectuer une auto-évaluation et un audit à blanc. - Comment se préparer et anticiper les écarts. 5) La gestion de votre projet PCI-DSS - La norme PCI-DSS en lien avec la conformité globale. - Auditeurs et préparation de la méthodologie de tests. - Définir une road map vers la certification PCI DSS. - Le déploiement généralisé du paiement EMV. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 44

Séminaire de 2 jour(s) Réf : SEW DSI, RSSI, responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de sécurité, responsables ou administrateurs réseau, informatique, système. Connaissances de base en informatique et en réseaux. Prix 2015 : 1900 HT 11 juin 2015, 6 oct. 2015 8 déc. 2015 Sécurité des applications Web, synthèse Ce séminaire dresse un panorama complet des menaces du Web. Il détaille les failles des navigateurs, réseaux sociaux et du Web 2.0, les nouvelles vulnérabilités sur SSL/TLS et certificats X509, ainsi que des applications J2EE,.NET et PHP. Il présente les solutions pour protéger, contrôler la sécurité des applications. 1) Menaces, vulnérabilités des applications Web 2) Protocoles de sécurité SSL, TLS 3) Attaques ciblées sur l'utilisateur et le navigateur 4) Attaques ciblées sur l'authentification 1) Menaces, vulnérabilités des applications Web - Risques majeurs des applications Web selon IBM X-Force IBM et OWASP. - Attaques de type Cross Site Scripting (XSS), injection et sur sessions. - Propagation de faille avec un Web Worm. - Attaques sur les configurations standard. 2) Protocoles de sécurité SSL, TLS 5) Sécurité des Web services 6) Sécuriser efficacement les applications Web 7) Contrôler la sécurité des applications Web - SSL v2/v3 et TLS, PKI, certificats X509, autorité de certification. - Impact de SSL sur la sécurité des firewalls UTM et IDS/IPS. - Failles et attaques sur SSL/TLS. Techniques de capture et d'analyse des flux SSL. - Attaque HTTPS stripping sur les liens sécurisés. - Attaques sur les certificats X509, protocole OCSP. - SSL et les performances des applications Web. 3) Attaques ciblées sur l'utilisateur et le navigateur - Attaques sur les navigateurs Web, Rootkit. - Sécurité des Smartphones pour le surf sur le Net. - Codes malveillants et réseaux sociaux. - Les dangers spécifiques du Web 2.0. - Les techniques de Social engineering. 4) Attaques ciblées sur l'authentification - Authentification via HTTP, SSL par certificat X509 client. - Mettre en oeuvre une authentification forte, par logiciel. - Solution de Web SSO non intrusive (sans agent). - Principales attaques sur les authentifications. 5) Sécurité des Web services - Protocoles, standards de sécurité XML Encryption, XML Signature, WS-Security/Reliability. - Attaques d'injection (XML injection...), brute force ou par rejeu. - Firewalls applicatifs pour les Web services. - Principaux acteurs et produits sur le marché. 6) Sécuriser efficacement les applications Web - Durcissement, hardening : sécuriser le système et le serveur HTTP. - Virtualisation et sécurité des applications Web. - Environnements.NET, PHP et Java. Les 5 phases du SDL. - Techniques de fuzzing. Qualifier son application avec l'asvs. - WAF : quelle efficacité, performances? 7) Contrôler la sécurité des applications Web - Pentest, audit de sécurité, scanners de vulnérabilités. - Organiser une veille technologique efficace. - Déclaration des incidents de sécurité. Démonstration Mise en œuvre d'un serveur Web avec certificat X509 EV : analyse des échanges protocolaires. Exploitation d'une faille de sécurité critique sur le frontal HTTP. Attaque de type HTTPS Stripping. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 45

Séminaire de 2 jour(s) Réf : GEI Ce séminaire s'adresse aux directeurs informatiques, directeurs des études, architectes techniques, chefs de projet informatique. Connaissances de base des architectures techniques. Prix 2015 : 1900 HT 16 avr. 2015, 11 juin 2015 8 oct. 2015, 10 déc. 2015 Annuaire et gestion d'identité L'annuaire d'entreprise est un référentiel majeur du système d'information. Ce séminaire vous présente les différentes approches pour la gestion d'identité et la mise en place des annuaires d'entreprise. 1) Spécificités des annuaires LDAP 2) Modélisation d'un annuaire 3) Choix des outils 4) Démarche d'urbanisation appliquée à la gestion d'identité 1) Spécificités des annuaires LDAP 5) Outils de gestion d'annuaires 6) Outils de provisioning 7) Outils de Single Sign On et PKI 8) Usages des annuaires d'entreprise et ROI - Les spécificités des annuaires vis-à-vis des bases de données relationnelles. L'historique de X500 à LDAP. - Le rôle du référentiel d'identité dans le SI. - Les concepts clés des annuaires LDAP. Topologie : réplication et répartition. - Les protocoles LDAP et DSML. 2) Modélisation d'un annuaire - La démarche de modélisation pas à pas. - Conception du schéma, de l'arborescence LDAP. Sur la base d'un annuaire Open LDAP. 3) Choix des outils - L'état de l'art du marché. - Les logiciels serveurs LDAP (Open LDAP, offres Sun, Novell, Microsoft, Oracle, IBM, etc.). - Les logiciels clients LDAP (Softerra LDAP Browser, Java LDAP Browser, etc.). - Les API et frameworks de connexion aux annuaires (JNDI, PerlLDAP, ADSI, PHP-LDAP, etc.). - Les forces et faiblesses de chaque solution. 4) Démarche d'urbanisation appliquée à la gestion d'identité - La cartographie des référentiels du SI. - L'analyse du contexte et des besoins. - La définition des référentiels cibles et de leur circuit d'alimentation (provisioning). - Choix des outils. Conception des flux d'information. 5) Outils de gestion d'annuaires - Les outils de DCMS. - Gestion et présentation des contenus d'annuaire. Gestion par des profils non informaticiens. - Les forces et faiblesses de chaque solution. 6) Outils de provisioning - Propagation des données d'identité. - Organiser les processus d'alimentation des annuaires. - Les forces et faiblesses de chaque solution (Sun, Novell, Microsoft, Oracle, IBM, etc.). 7) Outils de Single Sign On et PKI - Propager les sessions applicatives. - Deux typologies d'architecture SSO : client/serveur et reverse proxy. Avantages et limites. Spécification SAML. - Quelques solutions du marché. Intégration de PKI. 8) Usages des annuaires d'entreprise et ROI - Entrepôt de données d'identité. - Référentiel centralisé. - Outil de gestion du parc informatique. - Les bénéfices de la gestion d'identité. - Rationalisation de la gestion des collaborateurs. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 46

Séminaire de 2 jour(s) Réf : AAA Architecte et chef de projet réseau. Tout décideur informatique, notamment les responsables de la technique ou de l'infrastructure. Connaissances de base des architectures techniques. Prix 2015 : 1900 HT 11 juin 2015, 1 oct. 2015 3 déc. 2015 Authentifications et autorisations, architectures et solutions Ce séminaire propose une démarche méthodologique pour mener à bien un projet sur les services triple A : Authentication, Authorization, Accounting. Grâce aux études de cas présentées, vous apprendrez à éviter les problèmes classiques et à choisir la solution la plus appropriée au besoin de l'entreprise. 1) Introduction 2) Les environnements 3) Les technologies 1) Introduction - Le concept AAA. - Les services fournis. - La demande du marché. 2) Les environnements 4) Les services et les architectures 5) Les produits du marché 6) Conclusions - Les mécanismes d'authentification et d'autorisation de Microsoft. - Authentifications et autorisations dans le monde Unix. - Méthodes d'accès aux réseaux d'entreprise. - Quel dispositif pour accéder aux applications? 3) Les technologies - Les techniques de chiffrement. - Les algorithmes MD5, AES, RSA, etc. - Les infrastructures Kerberos, Radius, PAM, LDAP, etc. - Les protocoles de vérification comme WindBind, SASL, GSSAPI, etc. - Les API (JAAS...). - La définition des autorisations. Les groupes et les rôles. - Les modèles d'organisation RBAC, PDP et PEP. 4) Les services et les architectures - L'authentification forte. - L'authentification unique SSO et WebSSO. - Centraliser l'authentification. - Authentification/Autorisation/Attributs centralisés. - La gestion des mots de passe. - Les clés et les certificats numériques. - Les autorisations. - L'accounting et l'audit. 5) Les produits du marché - Panorama sur les solutions OpenSource. - Les applications CAS, OpenSSO, triplesec, etc. - Les produits commerciaux. - Les logiciels TAM, TIM, IDM, OAS, etc. - Avantages et inconvénients. 6) Conclusions - Comprendre les besoins. - Savoir évaluer la solution la plus appropriée. - Les solutions de demain. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 47

Séminaire de 2 jour(s) Réf : FED Ce séminaire s'adresse aux responsables réseaux, architectes, responsables études, ingénieurs système et développeurs qui ont à intégrer une solution utilisant SAML 2. Connaissances de base des architectures techniques Web. Prix 2015 : 1900 HT 28 avr. 2015, 10 sep. 2015 19 nov. 2015 SAML 2, fédération des identités, synthèse Ce séminaire présente les cas d'usages, la sémantique et les architectures logicielles associés à l'implémentation du standard SAML 2 dans le cadre d'un projet de fédération d'identités. Il vous montrera également les principaux outils du commerce ainsi que l'interaction de SAML 2 avec les technologies existantes. 1) Introduction 2) Les cas d'usage 3) Syntaxe et sémantique SAML 2 4) Etude de cas d'intégration SAML 2 au système d'information 1) Introduction 5) Les modules et produits SAML 2 6) SAML 2 et les autres technologies 7) Conclusion - Historique de SAML 2 (Security Assertion Markup Language) et périmètre fonctionnel. - La fonction SSO (Single Sign-On). - Architectures de fédération : Web SSO propriétaire, SAML 1, Shibboleth, ID-FF Liberty Aliance, WS- Federation. - SAML 2 : les services qu'il peut rendre, MDSSO, Fédération d'identité, Web Service. - Les différents acteurs impliqués : DSI, architectes, développeurs, exploitants. - Le cycle de vie de l'identité des utilisateurs (création, modification, suppression, suspension). 2) Les cas d'usage - Fédération d'identités : choix des services, du type d'identifiant et de la dynamique de fédération. - Fournisseur d'identité : Web SSO en IDP (Identity Provider) Initiated SSO. - Fournisseur de service : le SP (Service Provider) Initiated SSO. - Web Browser SSO : les étapes d'authentification d'un utilisateur et les aller-retour entre le SP et l'idp. - SAML 2 et les Web Services : utilisation des assertions. - Assertions SAML 2 et Secure Token Service (STS). - Fédération avec une entité partenaire. 3) Syntaxe et sémantique SAML 2 - La syntaxe et les concepts : assertions, protocols, binding, profile, authentification context, metadata. - Les "Bindings" : HTTP Redirect, HTTP Post, HTTP Artifact, SAML SOAP, Reverse SOAP, SAML URI. - Profils définis dans SAML 2.0 : Web Browser SSO, ECP, IDP Discovery, Single Logout, Assertion Query/ Request. 4) Etude de cas d'intégration SAML 2 au système d'information - Web SSO SP Initiated ou IDP Initiated pour services Java,.NET et PHP. - Fédération d'identité persistante et transitoire dans le cadre d'un partenariat. - Assertion SAML et Web Service Security (WS-Security). - SAML 2 et XACML. 5) Les modules et produits SAML 2 - Les produits et module OpenSource (OpenAM, simplesamlphp, Shibboleth). - Les produits commerciaux (IBM,Microsoft,Oracle). - Comparaison des services et interopérabilité. - Présentation et démonstration avec certains produits. 6) SAML 2 et les autres technologies - SAML 2 et Kerberos, PKI, WS-Federation et OpenIDConnect. 7) Conclusion - Mise en œuvre : risques, limites et recommandations. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 48

Stage pratique de 1 jour(s) Réf : SES Tous les utilisateurs ayant accès au système d'information via un poste informatique. Aucune connaissance particulière. Prix 2015 : 830 HT 24 avr. 2015, 29 mai 2015 19 juin 2015, 17 juil. 2015 18 sep. 2015, 20 nov. 2015 Sécurité SI, sensibilisation des utilisateurs Faire connaître les risques et les conséquences d'une action utilisateur portant atteinte à la sécurité du système d'information. Expliquer et justifier les contraintes de sécurité imposées par la politique de sécurité. Découvrir et comprendre les principales parades mises en place dans l'entreprise. PEDAGOGIQUES Comprendre la typologie de risques liés à la sécurité SI et les conséquences possibles Identifier les mesures de protection de l'information et de sécurisation de son poste de travail Favoriser la conduite de la politique de sécurité SI de l'entreprise 1) Introduction 2) La sécurité informatique : comprendre les menaces et les risques 3) La protection de l'information et la sécurité du poste de travail 1) Introduction 4) L'authentification de l'utilisateur et les accès depuis l'extérieur 5) Comment s'impliquer dans la sécurité du SI 6) Agir pour une meilleure sécurité - Cadre général : qu'entend-on par sécurité informatique (menaces, risques, protection)? - Comment une négligence peut créer une catastrophe. - Quelques exemples. La responsabilité. 2) La sécurité informatique : comprendre les menaces et les risques - Les composantes d'un SI et leurs vulnérabilités. Systèmes d'exploitation client et serveur. - Réseaux d'entreprise (locaux, site à site, accès par Internet). - Réseaux sans fil et mobilité. Les applications à risques : Web, messagerie... - Base de données et système de fichiers. Menaces et risques. - Sociologie des pirates. Réseaux souterrains. Motivations. - Typologie des risques. La cybercriminalité en France. Vocabulaire (sniffing, spoofing, smurfing, hijacking...). 3) La protection de l'information et la sécurité du poste de travail - Vocabulaire. Confidentialité, signature et intégrité. Comprendre les contraintes liées au chiffrement. - Schéma général des éléments cryptographiques. Windows, Linux ou MAC OS : quel est le plus sûr? - Gestion des données sensibles. La problématique des ordinateurs portables. - Quelle menace sur le poste client? Comprendre ce qu'est un code malveillant. - Comment gérer les failles de sécurité? Le port USB. Le rôle du firewall client. 4) L'authentification de l'utilisateur et les accès depuis l'extérieur - Contrôles d'accès : authentification et autorisation. - Pourquoi l'authentification est-elle primordiale? - Le mot de passe traditionnel. - Authentification par certificats et token. - Accès distant via Internet. Comprendre les VPN. - De l'intérêt de l'authentification renforcée. 5) Comment s'impliquer dans la sécurité du SI - Analyse des risques, des vulnérabilités et des menaces. - Les contraintes réglementaires et juridiques. - Pourquoi mon organisme doit respecter ces exigences de sécurité. - Les hommes clés de la sécurité : comprendre le rôle du RSSI et du Risk manager. 6) Agir pour une meilleure sécurité - Les aspects sociaux et juridiques. La CNIL, la législation. - La cybersurveillance et la protection de la vie privée. - La charte d'utilisation des ressources informatiques. - La sécurité au quotidien. Les bons réflexes. Conclusion. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 49

Séminaire de 3 jour(s) Réf : SSI Ingénieurs prenant les fonctions de RSSI, directeurs ou responsables informatiques, ingénieurs ou correspondants sécurité, chefs de projet intégrant des contraintes de sécurité. Aucune connaissance particulière. Prix 2015 : 2610 HT 15 juin 2015, 15 sep. 2015 3 nov. 2015 Bruxelles 9 juin 2015, 8 sep. 2015 17 nov. 2015 Geneve 9 juin 2015, 8 sep. 2015 17 nov. 2015 Luxembourg 9 juin 2015, 8 sep. 2015 17 nov. 2015 Sécurité des systèmes d'information, synthèse Avec l'explosion du digital qui a multiplié les opportunités de développement, le management de la sécurité des systèmes d'information est devenu un enjeu majeur pour toutes les entreprises. Ce séminaire très riche vous présentera l'ensemble des actions et des solutions permettant d'assurer la sécurité de votre SI : de l'analyse des risques à la mise en œuvre optimale de solutions de sécurité. Vous verrez également les thématiques assurantielles et juridiques intimement liées à l'application d'une politique de sécurité. 1) Introduction à la gestion des risques 2) RSSI : chef d'orchestre de la sécurité 3) Les cadres normatifs et réglementaires 4) Le processus d'analyse des risques 5) Les audits de sécurité et le plan de sensibilisation 1) Introduction à la gestion des risques 6) Le coût de la sécurité et les plans de secours 7) Concevoir des solutions optimales 8) Supervision de la sécurité 9) Les atteintes juridiques au STAD 10) Recommandations pour une sécurisation "légale" du SI - La notion de risque : potentialité, impact, gravité. - Les types de risques : accident, erreur, malveillance. - La classification DIC : Disponibilité, Intégrité et Confidentialité d'une information. - Les mesures en gestion des risques : prévention, protection, report de risque, externalisation. 2) RSSI : chef d'orchestre de la sécurité - Quel est le rôle et les responsabilités du RSSI? - Vers une organisation de la sécurité, le rôle des "Assets Owners". - Gestion optimale des moyens et des ressources alloués. - Le Risk Manager dans l'entreprise; son rôle par rapport au RSSI. 3) Les cadres normatifs et réglementaires - Les réglementations SOX, COSO, COBIT. Pour qui? Pour quoi? - Vers la gouvernance du SI, les liens avec ITIL et CMMI. - La norme ISO dans une démarche systèmes de management. - Les liens avec ISO 15408 : critères communs, ITSEC, TCSEC. - Les atouts de la certification ISO 27001 pour les organisations. 4) Le processus d'analyse des risques - Identification et classification des risques. - Risques opérationnels, physiques, logiques. - Comment constituer sa propre base de connaissances des menaces/vulnérabilités? - Utiliser les méthodes et référentiels : EBIOS/FEROS, MEHARI. - La démarche d'analyse de risques dans le cadre de l'iso 27001, l'approche PDCA. - Le standard ISO 27005 et les évolutions des méthodes françaises. - De l'appréciation des risques au plan de traitement des risques : les bonnes pratiques. 5) Les audits de sécurité et le plan de sensibilisation - Processus continu et complet. - Les catégories d'audits, de l'audit organisationnel au test d'intrusion. - Les bonnes pratiques de la norme 19011 appliquées à la sécurité. - Comment créer son programme d'audit interne? Comment qualifier ses auditeurs? - Apports comparés, démarche récursive, les implications humaines. - Sensibilisation à la sécurité : qui? Quoi? Comment? - Définitions de Morale/Déontologie/Ethique. - La charte de sécurité, son existence légale, son contenu, sa validation. 6) Le coût de la sécurité et les plans de secours - Les budgets sécurité. - La définition du Return On Security Investment (ROSI). - Les techniques d'évaluation des coûts, les différentes méthodes de calcul, le Total Cost of Ownership (TCO). - La notion anglo-saxonne du "Payback Period". - La couverture des risques et la stratégie de continuité. - Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO. - Développer un plan de continuité, l'insérer dans une démarche qualité. 7) Concevoir des solutions optimales ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 50

- Démarche de sélection des solutions de sécurisation adaptées pour chaque action. - Définition d'une architecture cible. - La norme ISO 1540 comme critère de choix. - Choisir entre IDS et IPS, le contrôle de contenu comme nécessité. - Comment déployer un projet PKI? Les pièges à éviter. - Les techniques d'authentification, vers des projets SSO, fédération d'identité. - La démarche sécurité dans les projets SI, le cycle PDCA idéal. 8) Supervision de la sécurité - Gestion des risques : constats, certitudes... - Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA. - Externalisation : intérêts et limites. 9) Les atteintes juridiques au STAD - Rappel, définition du Système de Traitement Automatique des Données (STAD). - Types d'atteintes, contexte européen, la loi LCEN. - Quels risques juridiques pour l'entreprise, ses dirigeants, le RSSI? 10) Recommandations pour une sécurisation "légale" du SI - La protection des données à caractère personnel, sanctions prévues en cas de non-respect. - De l'usage de la biométrie en France. - La cybersurveillance des salariés : limites et contraintes légales. - Le droit des salariés et les sanctions encourues par l'employeur. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 51

Séminaire de 3 jour(s) Réf : SRI Responsables sécurité, développeurs, concepteurs, chefs de projets intégrant des contraintes de sécurité, responsables ou administrateurs réseau, informatique, système. Bonnes connaissances des réseaux et des systèmes. Prix 2015 : 2610 HT 23 juin 2015, 22 sep. 2015 24 nov. 2015 Bruxelles 9 juin 2015, 15 sep. 2015 17 nov. 2015 Geneve 9 juin 2015, 15 sep. 2015 17 nov. 2015 Luxembourg 9 juin 2015, 15 sep. 2015 17 nov. 2015 Sécurité réseaux/internet, synthèse Avec la multiplication des cyberattaques et la préoccupation montante de la cybersécurité auprès des dirigeants, ce séminaire vous montre comment répondre aux impératifs de sécurité des communications de l'entreprise. Il comprend une analyse détaillée des menaces et des moyens d'intrusion ainsi que des techniques spécifiques de sécurité et les solutions et produits associés. A l'issue de ce séminaire, vous disposerez des éléments techniques pour comprendre les technologies qui protègent votre système d'information et sécurisent son ouverture aux réseaux extérieurs, Internet, Extranet et VPN. 1) L'évolution de la cybersécurité 2) Outils et méthodes d'intrusion par TCP-IP 3) Sécurité des postes clients 4) Sécurité du sans-fil (Wi-Fi et Bluetooth) 5) Technologie firewall/proxy 1) L'évolution de la cybersécurité 6) Techniques cryptographiques 7) Sécurité pour l'intranet/extranet 8) Réseaux Privés Virtuels (VPN) 9) Sécurité des applications 10) Gestion et supervision active de la sécurité - Définition des concepts : risques, menaces, vulnérabilité... - Evolution de la cybercriminalité, cyberattaque. - Risques associés aux nouveaux usages : Web 2.0, virtualisation, Cloud Computing... - Nouvelles techniques d'attaque et contre-mesures. 2) Outils et méthodes d'intrusion par TCP-IP - Les attaques par le stack IP. - Les attaques applicatives (DNS, HTTP, SMTP, etc.). - Utilisation d'un code mobile malveillant. - Comprendre les techniques des hackers. - Les sites (CERT, Security focus/bugtraq, CVE...). 3) Sécurité des postes clients - Les menaces : backdoor, virus, spyware, rootkit... - Le rôle du firewall personnel et ses limites. - Les logiciels anti-virus/anti-spyware : comparatif. - Linux et Open Office vs Windows et MS Office? - Les attaques par les documents PDF. - Comment sécuriser les périphériques amovibles? - Contrôle de conformité de Cisco NAC, MS NAP. - La sécurité intégrée dans Windows 7 (AppLocker, Bitlocker, UAC, DirectAccess...). 4) Sécurité du sans-fil (Wi-Fi et Bluetooth) - Technologies de réseaux sans fil (standards 802.11). - Attaques spécifiques (Wardriving, failles WEP et EAP). - Sécurité des bornes (SSID, filtrage MAC). - Vulnérabilités WEP. Faiblesse de l'algorithme RC4. - Le standard de sécurité IEEE 802.11i (WPA et WPA2). - Authentifier des utilisateurs (EAP, certificats, token...). - Les différentes méthodes Cisco LEAP, EAP-TLS, PEAP... - Attaque sur les hotspots Wi-Fi (Rogue AP). - Attaques spécifiques sur Bluetooth (Bluebug...). - Comment se protéger efficacement contre les attaques? - Audit et surveillance du réseau. Outils d'audit. 5) Technologie firewall/proxy - Serveurs proxy, reverse proxy, masquage d'adresse. - Filtrage. Firewall et proxy : quelle complémentarité? - Principe des firewalls, périmètre fonctionnel. - La mise en place de solutions DMZ. - Sécurité liée à l'adressage. - Evolution de l'offre Firewall (appliance, VPN, IPS, UTM...). - Notion de "dé-périmétrisation" du forum Jericho. - Utilisation des firewalls dans la protection des environnements virtuels. 6) Techniques cryptographiques - Terminologie, principaux algorithmes. Législation et contraintes d'utilisation en France et dans le monde. - Algorithmes à clé publique : Diffie Hellman, RSA... - Scellement et signature électronique : MD5, MAC... ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 52

- Mots de passe, token, carte à puce, certificats ou biométrie? - Authentification forte : logiciels (S/key), cartes à puces, calculettes d'authentification. - Sécurisation des clés de chiffrement (PFS, TPM...). - Evaluation des systèmes d'authentification : Radius, Tacacs+, Kerberos, X509. - Compléter l'authentification par l'intégrité et la confidentialité des données. 7) Sécurité pour l'intranet/extranet - Les architectures à clés publiques. - Les attaques sur SSL/TLS (sslstrip, sslnif...). - Un serveur de certificat interne ou public? En France ou aux USA? A quel prix? - Comment obtenir des certificats? Comment les faire gérer? - Les risques liés aux certificats X509. L'apport des certificats X509 EV. - Annuaire LDAP et sécurité. - Architectures "3A" (Authentification, Autorisation, Audit) : SSO, Kerberos, OSF/DCE et ECMA Tacacs. 8) Réseaux Privés Virtuels (VPN) - Analyse du besoin, conception et déploiement. - La création d'un VPN site à site via Internet. - IPSec. Les modes AH et ESP, IKE et la gestion des clés. - Les produits compatibles IPSec, l'interopérabilité. - Surmonter les problèmes entre IPSec et NAT. - Les VPN SSL (quel intérêt par rapport à IPSec?). - Les produits VPN SSL, l'enjeu de la portabilité. - Le VPN avec DirectAccess sous Windows 7. - Les offres VPN Opérateurs. VPN IPSec ou VPN MPLS? 9) Sécurité des applications - Les principales techniques d'attaque des applications (buffer overflow, XSS, SQL Injection, vol de session...). - Le processus SDL (Security Development Lifecycle). - Utilisation de la technique de "fuzzing". - Les outils de revue de code orientés sécurité. - Le Firewall applicatif (WAF). - Solution WAF Open source avec Apache en reverse proxy et mod_security. - Les critères d'évaluation d'un WAF selon le Web Application Security Consortium (WASC). - Le hardening et la vérification d'intégrité temps réel. 10) Gestion et supervision active de la sécurité - L'apport des normes ISO 27001 et ISO 27002. - Les tableaux de bord Sécurité. La norme ISO 27004. - Les missions du RSSI dans le suivi de la sécurité. - Les audits de sécurité (techniques ou organisationnels). - Les tests de vulnérabilité ou tests d'intrusion. - Les outils Sondes IDS, Scanner VDS, Firewall IPS. - Consigner les preuves et riposter efficacement. - Mettre en place une solution de SIM. - Se tenir informé des nouvelles vulnérabilités. - Gérer les mises à niveaux. - Savoir réagir en cas d'incidents. - Les services indispensables : où les trouver? Démonstration Intrusion dans un service Web en ligne. Exemple d'un serveur HTTPS et d'un tunnel de sécurité de type IPSec. Protection avancée d'un service Web; détection des attaques et parades en temps réel. Usage d'un IPS. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 53

Séminaire de 3 jour(s) Réf : AIR RSSI ou correspondants Sécurité, architectes de sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité. Connaissances de base dans le domaine de la sécurité informatique. Prix 2015 : 2610 HT 22 juin 2015, 21 sep. 2015 30 nov. 2015 Bruxelles 29 juin 2015, 28 sep. 2015 7 déc. 2015 Geneve 29 juin 2015, 28 sep. 2015 7 déc. 2015 Luxembourg 29 juin 2015, 28 sep. 2015 7 déc. 2015 ISO 27005:2011 Risk Manager, préparation à la certification Analyse de risques Ce séminaire, basé en partie sur la norme ISO/CEI 27005:2011, permet aux stagiaires d'acquérir les bases théoriques et pratiques de la gestion des risques liés à la sécurité de l'information. Elle prépare efficacement les candidats à la certification ISO 27005 Risk Manager à partir d'études de cas. 1) Introduction 2) Le concept "risque" 3) L'analyse de risques selon l'iso 1) Introduction 4) Les méthodes d'analyse de risques 5) Choix d'une méthode 6) Conclusion - Rappels. Terminologie ISO 27000 et ISO Guide 73. - Définitions de la Menace. Vulnérabilité. Risques. - Principe général de la sécurité ISO 13335. - La classification CAID. - Rappel des contraintes réglementaires et normatives (SOX, COBIT, ISO 27001...). - Le rôle du RSSI versus le Risk Manager. - La future norme 31000, de l'intérêt de la norme "chapeau". 2) Le concept "risque" - Identification et classification des risques. - Risques opérationnels, physiques et logiques. - Les conséquences du risque (financier, juridique, humain...). - La gestion du risque (prévention, protection, évitement de risque, transfert). - Assurabilité d'un risque, calcul financier du transfert à l'assurance. - Les rôles complémentaires du RSSI et du Risk Manager/DAF. 3) L'analyse de risques selon l'iso - La méthode de la norme 27001:2013. - L'intégration au processus PDCA. - La création en phase Plan de la section 4. - La norme 27005:2011 : Information Security Risk Management. - La mise en œuvre d'un processus PDCA de management des risques. - Les étapes de l'analyse de risques. - La préparation de la déclaration d'applicabilité (SoA). 4) Les méthodes d'analyse de risques - Les méthodes françaises. EBIOS 2010. - Etude du contexte, des scénarios de menaces, des événements redoutés, des risques, des mesures de sécurité. - EBIOS dans une démarche ISO PDCA de type SMSI 27001. - MEHARI 2010. L'approche proposée par le CLUSIF. - Elaboration d'un plan d'actions basé les services de sécurité. Alignement MEHARI 27005 et référentiel ISO 27002. - CRAMM, OCTAVE... Historique, développement, présence dans le monde. Comparaisons techniques. 5) Choix d'une méthode - Comment choisir la meilleure méthode? - Les bases de connaissances (menaces, risques...). - La convergence vers l'iso, la nécessaire mise à jour. - Etre ou ne pas être "ISO spirit" : les contraintes du modèle PDCA. 6) Conclusion - Une méthode globale ou une méthode par projet. - Le vrai coût d'une analyse de risques. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 54

Séminaire de 2 jour(s) Réf : PDS Responsables Continuité, Risk Managers ou RSSI. Directeurs ou responsables informatiques, correspondants Sécurité, chefs de projets MOA et MOE, auditeurs internes ou externes, consultants. Bonnes connaissances des architectures SI. Prix 2015 : 1900 HT 9 avr. 2015, 29 juin 2015 8 oct. 2015, 3 déc. 2015 Plan de secours et de continuité se préparer et faire face à la crise Ce séminaire vous propose les démarches et les meilleures pratiques pour mener à bien un projet de secours et de continuité d'activité informatique en accord avec les normes (ISO 7001/27002, BS25999, ITIL V3...). De l'analyse des risques et de la conception des plans jusqu'aux tests et à la cellule de crise. 1) Pourquoi gérer la continuité 2) Définitions et concepts 3) Le projet et sa gestion 4) Analyse des risques 1) Pourquoi gérer la continuité 5) L'identification des activités critiques 6) Les moyens pour la conception des dispositifs 7) Plans de continuité 8) Procédures d'escalade et cellule de crise - L'évolution des entreprises et de leur stratégie. - L'importance stratégique de l'information. - Les enjeux pour l'entreprise d'une stratégie de continuité : lois et réglementations, normes et standards. 2) Définitions et concepts - Définir la stratégie de continuité. - Les différences entre plan de continuité d'activité (BCP), plan de secours informatique (DRP), plan de reprise. - Rappels de sécurité : critères DICP et les 11 thèmes ISO. - La feuille de route de la continuité. 3) Le projet et sa gestion - Rappels sur la conduite de projet. - Les phases d'un projet plan de continuité. - Les particularités du projet plan de continuité. 4) Analyse des risques - Les composantes du risque. - Les principes des différentes méthodes. - Les autres standards (COBIT, ISO...). - La notion de matrice d'incertitude. - L'analyse des risques pour le plan de continuité. 5) L'identification des activités critiques - Déterminer les activités critiques (BIA) d'une entreprise. - Les paramètres fondamentaux de l'analyse d'impact. - La notion de Service Delivery Objectives. 6) Les moyens pour la conception des dispositifs - Les éléments et le budget pour élaborer les scénarios. - Les différents sites de repli (hot, warm, cold sites, reciprocal agreement...) en interne ou externalisés. - Les critères de décision. 7) Plans de continuité - La construction des procédures. - Les équipes de secours : constitution, rôles... - Un exemple de canevas d'un plan de secours. 8) Procédures d'escalade et cellule de crise - La gestion de l'escalade en phase avec le RTO. - La constitution de la cellule de crise. - Les principes de déclenchement du plan de secours. - La continuité d'activité en tant que processus ITIL. - L'importance du maintien en condition opérationnelle du plan au quotidien : le cycle de vie PDCA. - Le processus continuité et autres processus. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 55

Stage pratique de 1 jour(s) Réf : KZX Candidats à la certification "Responsable Sécurité SI". Avoir suivi l'intégralité des stages du cycle certifiant "Responsable Sécurité SI". Prix 2015 : 530 HT 13 avr. 2015, 3 juil. 2015 14 sep. 2015, 14 déc. 2015 Certification Responsable Sécurité SI Cette journéee est destinée à valider les connaissances acquises au cours du cycle certifiant "Responsable Sécurité SI". Les competences validées sont : définition d'une politique de sécurité, réalisation d'audits, mise en œuvre et le suivi de dispositifs de sécurité, communication et la formation sur les normes de sécurité. 1) Présentation des épreuves 2) Epreuve écrite commune 1) Présentation des épreuves - Présentation du déroulé des épreuves (timing, documents autorisés etc..). - Prise de connaissances des documents. - Questions de la salle. 2) Epreuve écrite commune - Questions à choix multiples (questions ouvertes et fermées) sur les connaissances essentielles de la sécurité du SI. - Etude de cas. ORSYS, La Grande Arche, Paroi Nord, 92044 La Défense cedex. Tél : +33 (0)1 49 07 73 73. Fax : +33(0)1 49 07 73 78 page 56