Des modules adaptés aux réalités des métiers de la sécurité de l information

Catalogue de formations SSI 2015

p. 2/75

ÉDITO Depuis plus de 10 ans, Lexsi délivre des formations auprès des professionnels de la sécurité du SI. Toujours au fait de l actualité, elles s attachent à suivre les évolutions rapides des risques et menaces qui pèsent sur les organisations. C est pourquoi les formations des filières de la «Sécurité SCADA» et de la «Sécurité dans les développements» ont eu un franc succès en 2014. Nous continuons notre partenariat avec Enigma Services/LSTI, au travers des formations ISO 2700X. Nous nous associons également avec 2 acteurs majeurs de la cybersécurité industrielle, Factory Systèmes et Diateam, pour proposer une formation de 3 jours en Sécurité SCADA, unique en France. Ce catalogue dédié à la sécurité et à la continuité d activité demeure l un des plus complets du marché et nous vous garantissons le maintien du niveau d excellence reconnu par les stagiaires qui ont suivi nos formations. Le Pôle Formation LA FORMATION CHEZ LEXSI Des formateurs avec un fort retour d expérience terrain Nos formateurs sont aussi des consultants, des auditeurs, des pentesters et des membres du CERT. Leurs missions sont autant de retours d expérience «en direct du terrain» qui sont partagés avec les stagiaires. Certains sont également des leaders d opinion dans la communauté de la Sécurité de l Information. Nous nous attachons à disposer d une équipe de formateurs experts et pédagogues. Des modules adaptés aux réalités des métiers de la sécurité de l information Les modules de formation répondent aux enjeux et besoins des fonctions clés de management des risques et de sécurité opérationnelle. Ils s adressent également à tous les acteurs qui contribuent à la sécurité de l information. De 1 à 5 jours, ces formations courtes permettent de rapidement acquérir les compétences et les expertises adéquates. Des formations certifiantes, techniques et organisationnelles Vous souhaitez valider votre expertise et votre parcours professionnel de spécialiste de la sécurité du SI. Nous nous sommes associés avec des partenaires agréés pour délivrer des formations ouvrant à des certifications reconnues à l international, notamment celles liées aux normes de la famille ISO 27000. p. 3/75

QUELQUES CHIFFRES TEMOIGNAGES CLIENTS «Formation très concrète et applicable. Le formateur maîtrise très bien son sujet.» (module Ethical Hacking) «Je suis très satisfait de mon parcours de formation chez vous. J'ai trouvé vos formations concrètes et claires, vos consultants expérimentés et pragmatiques. J'ai aussi apprécié de recevoir des modèles de livrables. Je n'hésiterai pas à conseiller ces formations autour de moi.» (modules de la filière PCA) «Je tiens à remercier Lexsi pour la qualité de l accueil et de leurs prestations. Les notions ont été clairement abordées et l ambiance était excellente» (cursus RSSI) «Grandes compétences de l animateur qui a su s adapter au niveau de chaque participant» (formation intra-entreprise module Infrastructure sécurisée) p. 4/75

CE QUI CHANGE EN 2015 Une nouvelle formation SCADA avec nos partenaires Factory Systèmes et Diateam Avec la publication de la Loi de Programmation Militaire (LPM), il est désormais temps d acquérir les connaissances nécessaires pour faire face aux risques liés à la cybersécurité industrielle. LEXSI s est associé avec 2 acteurs majeurs de ce domaine pour développer une formation de 3 jours unique et pragmatique : Factory Systèmes et Diateam. Une présentation succincte des 2 sociétés est faite en page 58. Un cursus ADN RSSI qui continue d évoluer À l écoute de nos clients, nous avons fait évoluer le cursus ADN RSSI de 5 jours pour aborder les domaines SMSI les plus couramment traités par la fonction. Nous avons renforcé la formation SMSI-F1 pour aborder les thèmes de «pilotage SSI», de «tableau de bord SSI», de «gestion des incidents», et d «intégration de la sécurité dans les projets». Nous avons également dédié une journée du parcours à la sensibilisation à la sécurité du SI. Ce programme de 5 jours s adresse toujours aux RSSI novices qui veulent rapidement acquérir les compétences et les connaissances nécessaires à leur prise de fonction. p. 5/75

DES FORMATIONS ADAPTEES ET MODULABLES Vous accueillir Lexsi Formation vous accueille dans ses 2 centres de formation à Paris et à Lyon. Mais nous ouvrons également des formations dans nos locaux de Lille. Nous mettons à votre disposition des salles de formation lumineuses, équipées de moyens techniques performants. Ces formations en inter-entreprises favorisent les échanges entre confrères partageant les mêmes objectifs. English-speaking instructors Nos modules peuvent être délivrés en langue anglaise, le support étant par défaut en français. Nous pouvons, à la demande, créer une version anglaise du support. Nos formateurs peuvent se déplacer également dans le monde entier sur vos sites à l international. Vous conseiller Les membres de Lexsi Formation peuvent vous accompagner pour identifier vos objectifs pédagogiques, définir vos besoins en formation et concevoir un parcours de formation adapté. Toutes nos formations sont éligibles au titre du DIF. Nous adapter Notre offre de formation en sécurité du SI est l une des plus complètes du marché. Chaque formation du catalogue peut être dispensée en intra-entreprise, uniquement avec des collaborateurs de votre entreprise, dans vos locaux. Si vous avez un besoin spécifique de formation en sécurité du SI qui ne se trouve pas dans notre catalogue, nous pouvons concevoir une formation sur mesure, spécifique à votre contexte. Pourquoi choisir les formations sur mesure? Elles ne rassemblent que des collaborateurs de votre organisation (4 participants minimum). Elles peuvent se dérouler dans vos locaux ou dans ceux de Lexsi si vous ne disposez pas des moyens logistiques adéquats. Elles peuvent faire l objet d adaptations dans le contexte de votre organisation et de vos activités métier. Elles permettent d aborder des problématiques internes et de poser des questions propres à votre organisation Les travaux pratiques et exercices peuvent être adaptés à votre environnement technologique et être conçus sur mesure. La session est planifiable selon les disponibilités des participants et au moment de votre choix p. 6/75

NOUS CONTACTER Vous souhaitez personnaliser une formation? Créer une formation sur mesure? Avoir plus d informations sur les modules et cursus de notre catalogue de formation? Prenez contact avec l équipe Pôle Formation de Lexsi qui est à votre disposition pour trouver la meilleure solution à vos besoins de formation. Votre contact Lætitia COGNARD Chargée du Développement du Pôle Formation Tel : +33 1 73 30 18 06 Mobile : +33 7 60 04 26 30 Email : lcognard@lexsi.com Centre de formation agréé depuis 2001 Déclaré sous le n 119 304 556 93 p. 7/75

ORGANISATION DES FORMATIONS LEXSI SMSI : Système de Management de la Sécurité du SI p.10 PCA : Plan de Continuité d Activité p.25 RISK : Management des Risques p.34 CRTF : Formations certifiantes p.39 CYB : Lutte contre la cybercriminalité p.43 HACK : Techniques de piratage & Ethical Hacking p.47 TECH : Sécurité technique p.48 SCADA : Sécurité des systèmes industriels p.58 DEV : Sécurité des applications et des développements p.62 ADN : Les cursus de formation LEXSI p.68 p. 8/75

Vous venez de prendre vos fonctions en tant que RSSI? Vous souhaitez valider vos connaissances sur les fondamentaux de la sécurité du SI? Inscrivez-vous au cursus «ADN RSSI» de Lexsi! Plus d informations en page 69 p. 9/75

SYSTEME DE MANAGEMENT DE LA SECURITE DU SI Les formations de la filière SMSI (Système de Management de la Sécurité du SI) se concentrent sur les compétences d organisation et de gestion de la sécurité du SI des organisations. Elles s appuient sur les normes de la famille ISO 2700X. Il est à noter que les formations SMSI-F1 et F2 ont été mises à jour avec les versions 2013 des normes ISO 2700X. Réf. Libellé Durée Page Fondamentaux SMSI-F1 Management de la Sécurité : Les fondamentaux 1J 11 SMSI-F2 S initier aux normes ISO 27001 et 27002 1J 12 Approfondissement SMSI-A1 Appréhender la dimension juridique de la Sécurité de l Information 1J 13 SMSI-A2 Initier et mener une sensibilisation à la Sécurité de l Information 1J 14 SMSI-A3 Contrôler et évaluer la Sécurité de son Système d'information 1J 15 SMSI-A4 Piloter la Sécurité du SI via un Tableau de Bord 1J 16 SMSI-A5 SMSI-A6 Intégrer avec succès la sécurité dans les projets informatiques Maîtriser les enjeux de la sécurité des terminaux mobiles en entreprise 1J 17 1J 18 SMSI-A7 Usage des certificats en entreprise 1J 19 SMSI-A8 Sécurité de la dématérialisation et signature électronique 1J 20 Expertise SMSI-E1 Faire adhérer les décideurs autour de la sécurité de l'information 1J 21 SMSI-E2 Aller plus loin dans la sensibilisation à la Sécurité du SI : la sensibilisation 2.0 1J 22 SMSI-E3 Correspondant Informatique et Libertés (CIL) 1J 23 SMSI-E4 PCI-DSS : De la théorie à la pratique 1J 24 p. 10/75

SMSI-F1 Management de la Sécurité : Les fondamentaux 1 jour Niveau fondamental Mis à jour Maîtriser les définitions et notions essentielles de la Sécurité du SI (DICP, PDCA, SMSI ) Accompagner les RSSI dans leurs premiers projets de sécurité Comprendre les enjeux de la fonction RSSI dans une organisation Les RSSI débutants Les DSI Les consultants SSI Avoir des connaissances de base en informatique., en version papier Une copie du livre «Manager la Sécurité du SI» sera remise à chaque participant suite à la formation. Cours magistral, exercices I. État des lieux de la sécurité Les dernières menaces cybercriminelles Quelques événements marquants Quelques statistiques II. Notions fondamentales du SMSI Définitions Les 4 critères DICP La logique PDCA L approche par les risques Le soutien du management III. Écosystème ISO 270xx Les normes ISO 270xx La norme ISO 27001 La norme ISO 27002 La norme ISO 27005 Certification ISO 27001 IV. Mettre en place une filière SSI Rôle et missions du RSSI Politique de Sécurité et charte sécurité Déploiement des instances SSI Distribution des rôles de la filière SSI V. Piloter la SSI Tableaux de Bord SSI Audits et contrôles Sensibilisation des collaborateurs VI. Les premiers projets SSI Analyse de risques Contractualisation avec les tiers externes Gestion des habilitations Gestion des incidents VII. Ce qu il faut retenir p. 11/75

SMSI-F2 S initier aux normes ISO 27001 et 27002 1 jour Niveau fondamental Mis à jour Parcourir en détail les normes ISO 27001 et 27002 Déployer ces normes au sein de votre organisation Comprendre le chemin et l intérêt d une certification ISO 27001 de votre SI Les RSSI débutants Les DSI Les consultants et chefs de projet SSI Les auditeurs SSI Les responsables qualité Avoir des connaissances de base en informatique., en version papier Cours magistral, exercices I. Rappel Définitions Les 4 critères DICP La famille ISO 270xx II. Norme ISO 27001:2013 Présentation Différences entre les versions 2005 et 2013 Clause 4 : Contexte de l organisation Clause 5 : Leadership Clause 6 : Planification Clause 7 : Support Clause 8 : Fonctionnement Clause 9 : Évaluation des performances Clause 10 : Amélioration III. Norme ISO 27002:2013 Présentation Différences entre les versions 2005 et 2013 Politiques de Sécurité Organisation de la sécurité Sécurité liée aux ressources humaines Gestion des actifs Contrôle d accès Cryptographie Sécurité physique et environnementale Sécurité liée à l exploitation Sécurité des communications Acquisition, développement et maintenance des SI Relations avec les fournisseurs Gestion des incidents de sécurité Sécurité dans la gestion de la continuité d activité Conformité IV. Ce qu il faut retenir p. 12/75

SMSI-A1 Appréhender la dimension juridique de la Sécurité de l information 1 jour Niveau approfondissement Appréhender les responsabilités juridiques du RSSI et du DSI en matière de sécurité du SI Comprendre les droits et devoirs de l employeur et des employés Faire face aux risques juridiques des contextes spécifiques (I&L, prestataires IT ) Les RSSI Les DSI La Direction juridique Les consultants et chefs de projet SSI Avoir des connaissances de base en sécurité de l information. Cours magistral, cas pratiques, en version papier I. Les bases du droit La hiérarchie des normes Les ordres juridictionnels La responsabilité des personnes Les différentes sanctions Conditions nécessaires pour une sanction II. Responsabilité du RSSI Rôle Fautes Délégation de pouvoir III. Panorama du cadre réglementaire De la complexité Mais pas que des contraintes IV. Conservation Sauvegarde ou archivage Collecte de traces Valeur probante et signature électronique V. Données à caractère personnel Loi Informatique et Liberté Notions centrales Acteurs Droits des personnes concernées Formalités CNIL Conditions de collecte Contrôle CNIL Cas de la prospection par courrier électronique Exigences du «Paquet Télécom» Échange et commerce des DCP VI. Exemples de contrôle de l employeur Appels téléphoniques Messagerie électronique Fichiers présents sur le poste de travail Utilisation d Internet Géolocalisation Accès aux locaux Conservation des informations de contrôle Sanctions pour contrôle abusif VII. Charte d utilisation des moyens informatiques et télécoms Définition Accessibilité et opposabilité Exemple de structuration Évolution Rédaction Conditions de mise en œuvre VIII. Étude de cas Téléchargements illégaux, copie illicite, usurpation d identité IX. Dépôt de plainte Intrusion externe Intrusion interne Fuite de données p. 13/75

SMSI-A2 Initier et mener une sensibilisation à la Sécurité de l Information 1 jour Niveau approfondissement Concevoir son projet et son plan de campagne de sensibilisation Maîtriser les composantes essentielles d une campagne de sensibilisation (vecteurs, cibles, contributeurs ) Savoir évaluer l efficacité de sa campagne de sensibilisation Les RSSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier Le livre blanc «Sensibilisation à la sécurité de l information 2.0» est offert en fin de la formation. Cours magistral, atelier, exercices I. Introduction Quelques chiffres Sécurité : la faille est humaine II. Sensibilisation : pourquoi? Informatisation accélérée des métiers (banques, industrie, santé) Ouverture des réseaux et des SI Réseaux sociaux et ingénierie sociale Mobilité et nomadisme Frontière ténue entre la sphère professionnelle et celle privée III. Principes de sensibilisation Qui sensibiliser? Les populations cibles Comment sensibiliser? Les moyens, médias et vecteurs Exemples de vecteurs : présentation et comparatif Qui impliquer? IV. Construction d une campagne de sensibilisation Synthèse sur la démarche Phase 1 : Construire la campagne Phase 2 : Exécuter la campagne Phase 3 : Évaluer la campagne Facteurs clés de succès Obstacles et erreurs souvent rencontrés V. Ce qu il faut retenir p. 14/75

SMSI-A3 Contrôler et évaluer la Sécurité de son Système d'information 1 jour Niveau approfondissement Identifier les besoins de contrôle et d évaluation de la SSI Être garant de la qualité d un audit de sécurité Découvrir des techniques pour mettre en place un contrôle efficace Tirer les bénéfices d un contrôle de la SSI Les RSSI Les Responsables du Contrôle Interne ou du Contrôle Permanent Les auditeurs SSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier Cours magistral, cas pratiques I. Définitions Définitions Quelques statistiques II. Le besoin de contrôle Cycle PDCA Contraintes réglementaires Besoins internes III. d audit Types d audit Déroulement d un audit type Les attendus et livrables IV. Mise en place d'un contrôle efficace Types de contrôle Contrôle conçu en même temps que la mesure Approche pragmatique Vers le Tableau de Bord SSI Fiches de contrôle V. Ce qu il faut retenir p. 15/75

SMSI-A4 Piloter la Sécurité du SI via un Tableau de Bord 1 jour Niveau approfondissement Maîtriser le tableau de bord SSI comme un outil de communication de la sécurité Appréhender les 2 dimensions d un projet de conception d un tableau de bord SSI Concevoir des indicateurs de sécurité du SI Les RSSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier Le livre blanc «Tableau de Bord Sécurité Une approche par la maturité» est offert en fin de formation. Cours magistral, exercices, ateliers I. Enjeux du tableau de bord SSI Pourquoi un Tableau de Bord? Quelques chiffres Définition et enjeux II. À qui cela s adresse L écosystème SSI Les destinataires Les contributeurs Atelier : réfléchir à sa position III. La norme ISO 27004 Présentation de la norme Les limites IV. De quel tableau de bord ai-je besoin? Évaluer son niveau de maturité V. Le Tableau de Bord SSI Les composantes du TBSSI Description des indicateurs Cinématique de calcul Template du Tableau de Bord Zoom sur les métriques de base Les atouts de l approche Les pièges à éviter VI. Ce qu il faut retenir p. 16/75

SMSI-A5 Intégrer avec succès la sécurité dans les projets informatiques - Mis à jour 1 jour Niveau approfondissement Comprendre les enjeux de Sécurité des Systèmes d Information dans les projets Appréhender la classification sécurité et les risques informatiques pesant sur le Système d Information Apprendre à concevoir / remplir une fiche de sécurité Les RSSI Les chefs de projet informatique Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information., en version papier Cours magistral, cas pratiques, exercices I. Introduction Quelques définitions La position de la sécurité au sein de l organigramme Les domaines de la sécurité II. Gestion de projet Rappel de la méthodologie projet Rôles et responsabilités III. Sécurité dans les projets Principes généraux Phases du projet Livrables types et résultats attendus existantes Comment convaincre d intégrer la sécurité dans les projets? Les bonnes pratiques Les pièges à éviter IV. Focus particuliers Analyse de risques & Recueil des besoins : en pratique Sécurité dans les développements Projets d externalisation : intégration de la sécurité dans les contrats V. Cas pratiques VI. Étude de cas VII. Ce qu il faut retenir p. 17/75

SMSI-A6 Gérer la flotte mobile de son entreprise et les problématiques de BYOD 1 jour Niveau approfondissement Présenter les risques de sécurité liés à l introduction des terminaux mobiles dans le SI Faire un état des lieux des bonnes pratiques et des solutions d organisation de la sécurité autour des Smartphones et du BYOD Se projeter vers les solutions et usages futurs de ces terminaux en entreprise Les RSSI Les DSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier Un exemple de politique de sécurité de la flotte mobile est distribué. Cours magistral, cas pratiques I. La place de la flotte mobile en entreprise Les tendances Les enjeux et opportunités Et le BYOD? Les appareils Les OS II. Quels sont les risques? Panorama des menaces Analyse des risques III. Faut-il faire le grand saut du BYOD? Une petite histoire qui en dit long Une question de compromis Les différents points de vue Cas d implémentation IV. Les bonnes pratiques de gestion de la flotte mobile La politique de sécurité et charte Les solutions techniques L organisation La sensibilisation Les audits Comment m organiser si j ai dit oui au BYOD? V. Ce qu il faut retenir p. 18/75

SMSI-A7 Usage des certificats en entreprise 1 jour Niveau approfondissement Nouveau Présenter les concepts de base de la cryptographie et des infrastructures de gestion de clés (IGC), tant sur le plan technique qu organisationnel Démontrer les usages en entreprise Les RSSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier. Cours magistral, exercices I. Concepts de base Principes de la confiance Cryptographie symétrique Cryptographie asymétrique Algorithme de hash Exercices II. Gestion des clés et des certificats Présentation des certificats Présentation des autorités de certification Les processus organisationnels de gestion du cycle de vie des certificats Le corpus documentaire Exercices III. Architecture technique d une IGC Les composants de base Le stockage des secrets Les formats d échanges Les enjeux de sécurité (DICP) Exercices IV. Des certificats pour quels usages? Présentation des usages en entreprise Description détaillée du protocole SSL/TLS V. Les failles autour des certificats Exemple d une faillite annoncée: DIginotar VI. Ce qu il faut retenir p. 19/75

SMSI-A8 Sécurité de la dématérialisation et signature électronique 1 jour Niveau approfondissement Nouveau Comprendre les enjeux de sécurité d un projet de dématérialisation Présenter les concepts techniques et juridiques de la signature électronique et de l archivage Les RSSI Les consultants et chefs de projet SSI Connaître les fondamentaux de la sécurité de l information, ou avoir suivi la formation SMSI-F1., en version papier Cours magistral, cas pratiques I. Dématérialisation et Sécurité Les composants de la dématérialisation Définition de la confiance et chaîne de sécurité Normalisation et référentiels II. La signature électronique Les composants de la dématérialisation Définition de la confiance et chaîne de sécurité Normalisation et référentiels III. L archivage numérique Les enjeux Définir sa politique d archivage Le coffre-fort électronique IV. La convention de preuve Les enjeux Définir sa convention V. Réussir son projet de dématérialisation Les étapes clés de la démarche Panorama des solutions du marché p. 20/75

SMSI-E1 Faire adhérer les décideurs autour de la sécurité de l'information 1 jour Niveau expertise Comprendre les difficultés pour convaincre les décideurs de l importance d une sécurité pérenne Lever les obstacles au travers de clés et de leviers fournis par l animateur Partager les retours d expérience avec les participants et l animateur Les RSSI Les consultants et chefs de projet SSI Disposer d un minimum de 3 ans d expérience dans un métier de la sécurité de l information. Cours magistral, atelier-débat Notes importantes Quelques lectures transmises par le formateur seront à parcourir au préalable. Une copie du livre «Manager la Sécurité du SI» sera remise à chaque participant suite à la formation., en version papier I. Le contexte de la SSI Pourquoi faire adhérer les décideurs? Une organisation idéale L influence du RSSI Une image négative Des leviers difficiles à activer Des budgets en tension II. Axe 1 : L accès initial aux décideurs Accès direct ou indirect Tribune et instances Le piège de l entremetteur DSI Les 20 ou 30 minutes gagnantes III. Axe 2 : La psychologie des décideurs Les préjugés des décideurs Comment lutter contre ces préjugés? IV. Axe 3 : Inscrire une relation dans la durée Networking interne Networking externe Indicateurs sécurité Influencer les décideurs V. Axe 4 : Des stratégies de communication Faire peur Exhumer la sinistralité Se comparer à un benchmark sectoriel Se comparer aux études standards Se mesurer aux normes Se mesurer au regard externe de l expert mondial Le pied de biche du test d intrusion VI. Axe 5 : Quelques principes de gestion du changement Principe 1: nous ne sommes pas égaux face au changement Principe 2: le changement se propage comme une contagion sociale Principe 3: la stratégie de gestion du changement doit tenir compte des principes 1 et 2 VII. Atelier-débat De bons et de mauvais exemples de communications pour décideurs Débat sur les difficultés rencontrées VIII. Ce qu il faut retenir p. 21/75

SMSI-E2 Aller plus loin dans la sensibilisation à la Sécurité du SI : la sensibilisation 2.0 1 jour Niveau expertise Connaître les principes de sensibilisation Comprendre la génération Y Savoir tirer parti de la gestion du changement Savoir choisir les vecteurs de sensibilisation pour définir une tactique de sensibilisation efficace Les RSSI Les consultants et chefs de projet SSI Disposer d un minimum de 3 ans d expérience dans un métier de la sécurité de l information. Avoir l expérience du déploiement d une campagne de sensibilisation., en version papier Le livre blanc «Sensibilisation à la sécurité de l information 2.0» est offert en fin de formation. Cours magistral et cas pratiques assortis de 3 démonstrations : Outil d e-learning Outil de serious gaming point&click Outil de serious gaming 3D isométrique I. Rappel des principes de sensibilisation Pourquoi sensibiliser? Qui sensibiliser? Qui impliquer? Les étapes d une campagne de sensibilisation II. Pourquoi les campagnes classiques atteignent leurs limites? Positionnement inapproprié du porteur de la sensibilisation Mauvaise connaissance de la gestion du changement Communication inappropriée Spécificités de la génération Y III. Comment adapter sa tactique aux Y? Convaincre, communiquer et impliquer Faire court et original Penser interactif Tester les utilisateurs Apporter du soutien IV. Savoir utiliser la gestion du changement comme alliée La conduite du changement, qu est-ce que c est? Principe 1 : Nous ne sommes pas tous égaux face au changement Principe 2 : Le changement se propage comme une contagion sociale Principe 3 : La stratégie doit prendre en compte les principes 1 et 2 Principe 4 : Le changement doit être accompagné en amont et en aval V. Les vecteurs de sensibilisation 2.0 15 vecteurs de sensibilisation comparés Cas d utilisation VI. La tactique de sensibilisation VII. Ce qu il faut retenir p. 22/75

SMSI-E3 Correspondant Informatique et Libertés (CIL) 1 jour Niveau expertise Comprendre les notions fondamentales de la loi Informatique et Libertés Connaître la CNIL : rôles et missions Maîtriser le droit des personnes et les obligations des responsables de traitement Faire un point sur les sanctions pénales Comprendre les rôles et missions du CIL (Correspondant Informatique et Libertés) Cette formation s adresse à tous les Correspondants Informatique et Libertés (CIL) qui prennent leurs fonctions et aux Responsables de la Sécurité du SI qui ont également les missions de CIL dans leur fiche de poste. Avoir suivi la formation «SMSI-A1 Dimension juridique» est un plus., en version papier Cours magistral I. Module 1 : Loi Informatique et Libertés Esprit et champ d application de la loi Informatique et Libertés Notions fondamentales Connaître la CNIL II. Module 2 : Droits et obligations Droits des personnes concernées par les traitements Missions et obligations des responsables de traitement Dispositif administratif de la CNIL Point sur les sanctions pénales III. Correspondant I&L Définition du CIL Missions administratives du CIL pour la prise de fonction : travaux pratiques p. 23/75

SMSI-E4 PCI-DSS : De la théorie à la pratique 1 jour Niveau expertise Nouveau Maîtriser le standard PCI- DSS Comprendre les contraintes et apports du standard Savoir mettre en œuvre cette norme dans le concret RSSI DSI Consultant sécurité Pas de pré-requis nécessaire., en version papier Cours magistral I. Introduction II. Présentation du PCI SSC Qu est-ce que le PCI SSC? Historique du PCI DSS Référentiel documentaire PCI DSS III. Standard PCI-DSS Données PCI DSS Vue d ensemble des obligations PCI DSS Entités impactées Périmètre Contrôle compensatoire IV. Détails des exigences de PCI DSS Lien avec la norme ISO 27001 Description de la norme Piste de mise en conformité Étude de cas V. L évolution du standard PCI DSS V3.0 VS V2.0 Les directives supplémentaires Les clarifications Les évolutions de la condition Les autres modifications (mineures) VI. La certification PCI-DSS Différents types d audits : QSA, ASV, Les différents types d approches : Marchand, Service Provider Approche priorisée VII. PCI DSS : Opportunité business ou contrainte réglementaire? p. 24/75

PLAN DE CONTINUITE D ACTIVITE La filière PCA (Plan de Continuité d Activité) se concentre sur tous les aspects de traitement des sinistres majeurs, qu ils soient informatiques ou métiers. Cela va de la gestion de crise à la maintenance et aux tests des dispositifs de PRA et de PCA. Toutes ces formations s articulent autour de la norme ISO 22301. Réf. Libellé Durée Page Fondamentaux PCA-F1 Continuité d Activité : Les fondamentaux 1J 26 PCA-F2 S initier à la norme ISO 22301 1J 27 Approfondissement PCA-A1 Activer le dispositif PCA via une gestion de crise dédiée 1J 28 PCA-A2 Qualifier ses activités critiques : Réussir son BIA 1J 29 PCA-A3a Déployer un dispositif efficace de continuité métier 1J 30 PCA-A3b Mettre en œuvre un secours efficace de son SI 1J 31 PCA-A4a Réussir la maintenance et l organisation des tests PCA 1J 32 PCA-A4b Réussir l'organisation des tests de secours informatique 1J 33 p. 25/75

PCA-F1 Continuité d Activité : Les fondamentaux 1 jour Niveau fondamental Maîtriser les définitions et notions essentielles des PCA (RTO, RPO, PCA, PRA, BCP, DRP ) Appréhender les enjeux de la continuité d activités en entreprise Monter un projet selon la méthodologie E=MCA (Étapes vers le Management de la Continuité d Activité) Les Responsables de Plan de Continuité d Activité débutants Les Responsables de Plan de Secours Informatique débutants Les consultants et chefs de projet PCA Aucun., en version papier Un exmplaire du livre blanc «Continuité d Activité : le chemin vers la maturité» sera remis à chaque participant suite à la formation. Cours magistral, atelier-débat I. Introduction Côté faits Côté chiffres Côté normes Entrée en matière Idées reçues II. La continuité d activité Définition et terminologie Les 4 piliers de la continuité Quelques pistes pour convaincre III. Projet E=MCA (Étapes vers le Management de la Continuité d Activité) Synthèse de la démarche Phase 1 : Mieux connaître son activité Phase 2 : Orienter la stratégie de continuité Phase 3 : Développer le PCA Phase 4 : Mettre en place les solutions techniques de secours Phase 5 : Déploiement et maintien en conditions opérationnelles Phase 6 : Piloter le MCA IV. À retenir Les 7 péchés capitaux Les 10 commandements p. 26/75