Catalogue des FORMATIONS 2014-2015
TABLE DES MATIÈRES 4 FSC INItiation à l investigation numérique en milieu de travail 3 JOURS 6 Fondements de la sécurité de l information 1 ou 2 JOURS 7 Introduction à la sécurité des applications 1 JOUR 8 Introduction à la sécurité de l information pour le personnel TI 2 JOURS 10 ISO 27001 Foundation 2 JOURS 12 ISO 27001 Lead Implementer 5 JOURS 14 ISO 27001 Lead Auditor 5 JOURS 16 ISO 27001 Mise à jour aux standards 2013 2 JOURS 18 ISO 27005 CertIFIed RISk Manager 3 JOURS 20 ISO 27005 CertIFIed RISk Manager avec MEHARI 5 JOURS 22 ISO 31000 CertIFIed RISk Manager 3 JOURS 24 Gestion des risques en réalisation de projet 2 JOURS 26 ISO 22301 Foundation 2 JOURS 28 ISO 22301 Lead Implementer 5 JOURS 30 ISO 22301 Lead Auditor 5 JOURS 32 CertIFIed Information Systems Security Professional (CISSP ) 5 JOURS 34 PCI DSS Compréhension et implantation de la norme 3 JOURS 36 ISO 27034 Lead implementer Sécurité des applications 5 JOURS 38 Dév. SÉCURItaIRE ASP.NET C#, MVC et Entity Framework 3 JOURS 40 Développement sécuritaire des applications.net 3 JOURS 42 Développement sécuritaire des applications Java 3 JOURS 44 EC-Council CertIFIed Ethical Hacker version 8 (CEH ) 5 JOURS 46 EC-Council Computer HackINg Forensic Investigator (CHFI) 5 JOURS 48 EC-Council CertIFIed Security Analyst (ECSA/LPT ) 5 JOURS 50 EC-Council Network Security AdmINIStrator (ENSA ) 5 JOURS 52 FSC GratuICIels en informatique judiciaire 1 JOUR 53 FSC ExpressioNS régulières (RegEx) 2 JOURS 54 Blue Coat CertIFIed ProxySG AdmINIStrator (BCCPA) 3 JOURS 56 Blue Coat CertIFIed ProxySG Professional (BCCPP) 2 JOURS 58 RSA envision 4 JOURS 2 I
LA FORMATION DE CONFIANCE Des salles de cours adaptées, une ambiance de cours inégalée, des formateurs chevronnés, des repas de première qualité, le tout axé sur l écoute et notre désir de vous voir réussir : voilà le cœur de notre engagement. Notre mission est simple : offrir les meilleures formations sur le marché, à juste prix. I 3
Initiation à l investigation numérique en milieu de travail FSC Initiation à l investigation numérique en milieu de travail 3 jours RÉSUMÉ Au cours des enquêtes et vérifications en entreprise, les preuves informatiques doivent être extraites et produites selon des règles et pratiques rigides qui ont pour mission de préserver à ces preuves leur caractère authentique et leur admissibilité lors d un processus judiciaire ou administratif. Cette formation a pour but de permettre aux participants de comprendre les enjeux et méthodes de la collecte et de l analyse de preuve électronique. Les participants à cette formation maîtriseront les connaissances essentielles à l examen du contenu d un ordinateur ou d un support d informations numériques (comme une clé USB ou un DVD). Ils apprendront comment repérer, extraire et produire les informations de façon à ce qu elles soient admises lors de procédures administratives ou judiciaires. À partir d exercices et d études de cas, ils seront en mesure de choisir les outils requis, les méthodes et procédures à suivre afin d analyser une preuve électronique de manière à ce qu elle soit pleinement admissible devant les tribunaux civils et administratifs. QUI EST CONCERNÉ? professionnel membre d une équipe de sécurité informatique membre d une équipe en appui au service des ressources humaines et du contentieux personne responsable de la surveillance de l utilisation d Internet au travail professionnel en administration ou en droit personne responsable des ressources humaines d une organisation vérificateur interne, contrôleur, ombudsman, responsable de l éthique membre d un corps d enquête ou d inspection personne voulant se familiariser avec l informatique d enquête OBJECTIFS D APPRENTISSAGE Comprendre les exigences légales en matière de fouille informatique dans le milieu de travail Réaliser les phases préparatoires à l exécution d une fouille informatique planifier les aspects informatiques d une enquête, d une vérification, d une inspection examiner le contenu d un ordinateur ou d un média de façon à assurer l admissibilité des preuves dans le cadre d une procédure judiciaire ou administrative extraire et accéder aux preuves recueillies Sécuriser les pièces à conviction recueillies lors de la fouille préparer et exécuter une divulgation des preuves lors d une procédure judiciaire ou administrative 4 I
QUALIFICATIONS PRÉALABLES aucune les formations «Techniques d investigation numérique en milieu de travail» et «Techniques d investigation numérique en milieu de travail Systèmes de fichiers Cours avancé» permettront d approfondir vos connaissances techniques INFORMATIONS GÉNÉRALES le participant doit être connecté à Internet haute vitesse un manuel de formation contenant des informations et des exemples pratiques est fourni à chaque participant un certificat de participation de 21 UEC/CPE (unités d éducation continue/ Continuing Professional Eeducation) est délivré aux participants PLAN DE CouRS JOUR 1 ASPECTS TECHNIqueS ET LÉGAUX Introduction et aspects légaux de la fouille électronique Aspects techniques Aperçu d une opération de fouille informatique Logiciels de fouille informatique Licence d exploitation JOUR 2 ÉMERgeNCE, PRÉPARATION ET EXÉCUTION D UNE FouIlle Kits opérationnel et de laboratoire Émergence d un cas Avant la fouille du site Examen des lieux et planification Examen de média et cueillette Départ des lieux et arrivée au laboratoire JOUR 3 examen DE MÉDIA ET CONCluSION DE L INVESTIgatION Logiciels de fouille et d examen Procédures post cueillette Récupération et formatage Numérisation documentaire Investigation extensive Cour électronique Fermeture du cas Examens pratique et théorique I 5
Fondements de la sécurité de l information Fondements de la sécurité de l information 1 ou 2 jours Introduction pratique au domaine de la sécurité informatique orientée vers la sensibilisation et l amélioration continue RÉSUMÉ La formation sur les fondements de la sécurité de l information fournira aux participants les bases pour maîtriser les différents domaines de la sécurité qui s appliquent à leur organisation et au secteur d activité dans lequel elle œuvre. Ils observeront les menaces auxquelles ils peuvent faire face quotidiennement et recevront des suggestions sur la façon d améliorer la sécurité globale de l information dans leur entreprise. QUI EST CONCERNÉ? Toute personne ayant un intérêt à mieux comprendre les bases et les enjeux de la sécurité de l information OBJECTIFS D APPRENTISSAGE acquérir des connaissances sur les menaces génériques et les dangers qui existent dans le monde en ligne mieux comprendre les avantages des technologies utilisées aujourd hui, mais aussi les conséquences négatives auxquelles leurs usagers sont exposés Se positionner en tant qu acteur de la sécurité de l information et acquérir les connaissances nécessaires pour fonctionner correctement au sein d une organisation afin de réduire autant que possible son exposition aux menaces Comprendre la sécurité des relations et l environnement dans lequel elle s exerce, soit à l intérieur ou à l extérieur de l entreprise, dans la perspective du secteur auquel elle appartient QUALIFICATIONS PRÉALABLES expérience de travail dans le secteur de l information participation à la gestion quotidienne de l information en entreprise expérience en supervision/gestion ou expérience similaire PLAN DE CouRS JOUR 1 INTRoduCTION À LA SÉCURITÉ De l information Vue d ensemble et terminologie Concepts généraux de la sécurité de l information Sécurité technique : système d exploitation (SE), réseau et communication Sécurité non technique : sensibilisation, comportement et communication Contrôle de l information à l intérieur et à l extérieur de l organisation JOUR 2 AMÉLIORATION DE LA SÉCURITÉ De l information Protections technique et non technique contre les principales menaces génériques Meilleures pratiques et pièges à éviter Règles d une meilleure sécurité Exemples d expériences spécifiques à l entreprise et aux participants 6 I
Introduction à la sécurité des applications Introduction à la sécurité des applications 1 jour RÉSUMÉ Cette formation permet de prendre connaissance des différents aspects du domaine de la sécurité des applications. La formation couvre les types de vulnérabilités applicatives régulières, les types de mesures de contrôle à mettre en œuvre afin d éviter ces vulnérabilités et les éléments importants permettant d intégrer la sécurité au cœur du cycle de développement logiciel. QUI EST CONCERNÉ? Responsable de la sécurité de l information Responsable du développement logiciel Architecte fonctionnel Concepteur ou développeur d applications Toute personne souhaitant comprendre et maîtriser les concepts liés à la sécurité des applications OBJECTIFS D APPRENTISSAGE Comprendre l importance d intégrer des mesures de sécurité spécifiques à l intérieur du cycle de développement des applications Comprendre comment les attaques applicatives fonctionnent Comprendre comment protéger les applications Acquérir la connaissance des activités visant l intégration de la sécurité dans le cycle de développement QUALIFICATIONS PRÉALABLES Notions de base du développement d applications Web Connaissances de base d un langage de programmation Notions de base en sécurité de l information PLAN DE CouRS Sécurité des réseaux vs sécurité des applications Pourquoi faut-il sécuriser ses applications? Quelles sont les plus grandes vulnérabilités applicatives? À quoi ressemblent les attaques applicatives courantes? Quelles sont les mesures de contrôle recommandées pour protéger les applications? Intégration de la sécurité dans le cycle de développement logiciel Formation + matériel de référence Cas d abus Patrons de conception Librairie de sécurité Revue de code Tests d intrusion Maintenance logicielle I 7
Introduction à la sécurité de l information pour le personnel TI Introduction et sensibilisation à la sécurité de l information pour le personnel TI 2 jours RÉSUMÉ Cette formation de 2 jours s adresse au personnel technique qui n est pas directement lié à l équipe de sécurité d une organisation. Les participants apprendront les rudiments de la sécurité de l information dans un angle technique. Cette formation permettra aux participants de mieux comprendre les enjeux reliés à votre organisation et ils seront ensuite en mesure d interagir avec l équipe de sécurité de votre entreprise de manière beaucoup plus efficace et en compréhension des enjeux de sécurité. QUI EST CONCERNÉ? Technicien en informatique en entreprise Individu faisant partie de l équipe technique d une organisation Toute personne possédant une expérience technique qui souhaite approfondir son niveau de connaissance technique sur la sécurité de l information OBJECTIFS D APPRENTISSAGE Augmenter les connaissances dans les domaines de la sécurité qui vous sont familiers Acquérir de bonnes bases dans les domaines que vous connaissez moins Acquérir un vocabulaire qui vous permette de discuter avec vos pairs QUALIFICATIONS PRÉALABLES Notions générales de base en sécurité de l information Connaissances des protocoles TCP/IP Connaissances de base des méthodes d authentification EXAMEN ET CERTIFICATION Aucun INFORMATIONS GÉNÉRALES Un manuel de formation contenant des informations et des exemples pratiques est fourni à chaque participant Un certificat de participation de 14 UEC/CPE (unités d éducation continue/ Continuing professional Education) est délivré aux participants 8 I
PLAN DE CouRS JOUR 1 La conformité en sécurité de l information et la gestion de risque Introduction à la sécurité de l information Les requis de la conformité (Information générale) La gestion du risque et les méthodologies associées La classification de l information La sécurité des télécommunications Revue des éléments principaux des télécommunications Menaces (BotS, APT, cyberpirates, attaques) Protocoles Outils et contrôles Pare-feu et proxy IDS/IPS Anti-Virus Anti-SPAM Renifleurs de paquets SIEM DLP Meilleures pratiques Contrôle des accès Introduction au contrôle des accès Menaces (MIdm, attaques, cracking, tables arc-en-ciel) Méthodologie du contrôle des accès Authentification et autorisation Contrôles et outils Kerberos Biométrie LDAP Journaux Meilleures pratiques Chiffrement Introduction au chiffrement Terminologie du chiffrement Algorithmes symétriques et asymétriques Infrastructures à clé publiques (ICP) Gestion des clés Comment sécuriser la télécommunication avec le chiffrement JOUR 2 piratage informatique Introduction au piratage Principales techniques et méthodologies Prévention RépoNSe aux incidents Introduction Comment créer une équipe de réponse aux incidents Enquêtes Sécurité applicative Introduction au codage sécuritaire Menaces (XSS, XSRF, Dépassement de tampon-buffer Overflow) Le top 10 d OWASP Authentification Contrôle des accès Évaluation des vulnérabilités Contrôle d accès aux bases de données I 9
ISO 27001 Foundation ISO 27001 Foundation 2 jours RÉSUMÉ Ce cours permet aux participants de prendre connaissance des meilleures pratiques de mise en œuvre et de gestion d un système de gestion de la sécurité de l information telles que spécifiées dans ISO 27001 ainsi que des meilleures pratiques d implantation des contrôles de sécurité de l information issues des 14 chapitres d ISO 27002. Cette formation permet également de comprendre comment les normes ISO 27001 et ISO 27002 sont liées aux normes ISO 27003 (Lignes directrices pour l implantation d un SMSI), ISO 27004 (Mesure de la sécurité de l information) et ISO 27005 (Gestion du risque en sécurité de l information). QUI EST CONCERNÉ? Membre d une équipe de sécurité de l information Professionnel des technologies de l information désirant obtenir une compréhension globale des principaux processus d un système de gestion de la sécurité de l information (SMSI) Membre d une organisation participant à la mise en œuvre de la norme ISO 27001 Technicien impliqué dans les opérations reliées à un SMSI Auditeur OBJECTIFS D APPRENTISSAGE Comprendre l application d un système de gestion de la sécurité de l information dans le contexte d ISO 27001 Comprendre la relation entre un système de gestion de la sécurité de l information, incluant la gestion des risques et des contrôles, et la conformité aux exigences des différents secteurs d une organisation Connaître les concepts, approches, normes, méthodes et techniques permettant une gestion efficace d un SMSI Acquérir les connaissances nécessaires afin de contribuer à la mise en œuvre d un SMSI telle que spécifiée dans ISO 27001 QUALIFICATIONS PRÉALABLES Aucune 10 I
EXAMEN ET CERTIFICATION l examen ISO 27001 Foundation répond pleinement aux exigences du programme de certification PECB (ECP Examination and Certification Program). L examen porte sur les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux de la sécurité de l information Domaine 2 : Système de gestion de la sécurité de l information (SMSI) Durée : 1 heure Un certificat est délivré aux participants qui auront réussi l examen INFORMATIONS GÉNÉRALES Une copie de la norme ISO 27001 est fournie aux participants pour la durée de la formation Un manuel de l étudiant contenant plus de 200 pages d informations et d exemples pratiques est remis aux participants Un certificat de participation de 14 UEC/CPE (unités d éducation continue/ Continuing Pprofessional Education) est délivré aux participants PLAN DE CouRS JOUR 1 INTRoduCTION AU SYSTÈME DE GESTION de LA SÉCURITÉ DE L INFORMATION Présentation des normes de la famille ISO 27000 Introduction aux systèmes de gestion et à l approche par processus Concepts de base en sécurité de l information Exigences générales : présentation des clauses 4 à 10 (ISO 27001) Étapes de mise en œuvre d un cadre de conformité ISO 27001 Introduction à la gestion des risques selon ISO 27005 Amélioration continue de la sécurité de l information Déroulement d un audit de certification ISO 27001 JOUR 2 MISE EN PLACE DES MESURES DE SÉCURITÉ de L INFORMATION SELON ISO 27002 Présentation des 14 chapitres et des 114 mesures de sécurité d ISO 27002 Conception et design des contrôles Documentation d un environnement de contrôle Surveillance et examen des contrôles Exemple d implantation des contrôles Examen I 11
ISO 27001 Lead Implementer ISO 27001 Lead Implementer 5 jours RÉSUMÉ Ce cours intensif de cinq jours permet aux participants de développer l expertise nécessaire pour accompagner une organisation dans la mise en œuvre et la gestion de son système de gestion de la sécurité de l information tel que spécifié dans ISO 27001. Les participants acquerront également la maîtrise des meilleures pratiques d implantation des mesures de sécurité de l information issues des 14 chapitres d ISO 27002. Cette formation est conforme aux bonnes pratiques de gestion de projet établies par le Project Management Institute (PMI) et la norme ISO 10006 (Lignes directrices pour la gestion de projet en qualité). Cette formation est pleinement compatible avec les normes ISO 27003 (Lignes directrices pour l implantation d un SMSI), ISO 27004 (Mesure de la sécurité de l information) et ISO 27005 (Gestion du risque en sécurité de l information). QUI EST CONCERNÉ? Chargé de projets ou consultant désirant préparer et accompagner une organisation à mettre en œuvre un système de gestion de la sécurité de l information (SMSI) auditeur ISO 27001 désirant maîtriser le processus de mise en œuvre d un système de gestion de la sécurité de l information (SMSI) Responsable de la sécurité de l information ou de la conformité au sein d une organisation membre d une équipe de sécurité de l information Conseiller expert en technologies de l information expert technique désirant se préparer à occuper une fonction de gestionnaire de la sécurité de l information ou de chargé de projets SMSI OBJECTIFS D APPRENTISSAGE Comprendre l application d un système de gestion de la sécurité de l information dans le contexte d ISO 27001 maîtriser les concepts, approches, normes, méthodes et techniques permettant une gestion efficace d un SMSI Comprendre la relation entre un système de gestion de la sécurité de l information, incluant la gestion des risques et des contrôles, et la conformité aux exigences des différents secteurs d une organisation acquérir une expertise pour accompagner une organisation à mettre en œuvre, gérer et maintenir un SMSI tel que spécifié dans ISO 27001 acquérir l expertise nécessaire pour gérer une équipe d implantation de la norme ISO 27001 acquérir les aptitudes personnelles et les connaissances nécessaires pour conseiller une organisation sur les meilleures pratiques en gestion de la sécurité de l information 12 I
QUALIFICATIONS PRÉALABLES La formation de ISMS Foundation ou une connaissance de base des normes ISO 27001 et ISO 27002 est recommandée EXAMEN ET CERTIFICATION L examen ISO 27001 Lead Implementer répond pleinement aux exigences du programme de certification PECB (ECP Examination and Certification Program). L examen porte sur les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux de la sécurité de l information Domaine 2 : Code des bonnes pratiques de la sécurité de l information basé sur ISO 27002 Domaine 3 : Planification d un SMSI conforme à ISO 27001 Domaine 4 : Mise en œuvre d un SMSI conforme à ISO 27001 Domaine 5 : Évaluation de la performance, surveillance et mesure d un SMSI conforme à ISO 27001 Domaine 6 : Amélioration continue d un SMSI conforme à ISO 27001 Domaine 7 : Préparation de l audit de certification d un SMSI Durée : 3 heures Un certificat est délivré aux participants qui auront réussi l examen À la suite de la réussite de l examen, les participants peuvent demander la qualification de Certified ISO 27001 Provisional Implementer, Certified ISO 27001 Implementer ou Certified ISO 27001 Lead Implementer, en fonction de leur niveau d expérience INFORMATIONS GÉNÉRALES une copie de la norme ISO 27001 est fournie aux participants pour la durée de la formation une trousse d outils d implantation d un SMSI ainsi qu un manuel de l étudiant contenant plus de 450 pages d informations et d exemples pratiques sont remis aux participants un certificat de participation de 31 UEC/CPE (unités d éducation continue / Continuing Professional Education) est délivré aux participants PLAN DE CouRS JOUR 1 INTRoduCTION À LA GESTION D UN SYSTÈME DE GESTION DE LA SÉCURITÉ DE L INFORMATION SELON ISO 27001 ET INITIATION D UN SMSI Introduction aux systèmes de gestion et à l approche par processus Présentation détaillée des normes ISO 27001, ISO 27002 et ISO 27003 Principes fondamentaux de la sécurité de l information Analyse préliminaire et détermination du niveau de maturité existant de la gestion de la sécurité de l information avec ISO 21827 Rédaction du business case et définition préliminaire du SMSI Élaboration d un plan de projet de conformité à ISO 27001 JOUR 2 planification D UN SMSI SELON ISO 27001 Mise en place du cadre de gouvernance Définition des rôles et des responsabilités Rédaction de la politique SMSI Définition du domaine d application (périmètre) du SMSI Gestion du risque selon ISO 27005 : identification, analyse et traitement du risque Rédaction de la déclaration d applicabilité JOUR 3 déploiement ET MISE EN ŒUVRE D UN SMSI SELON ISO 27001 Mise en œuvre d un cadre de gestion documentaire Conception des mesures de sécurité et rédaction des procédures Mise en œuvre des mesures de sécurité Développement d un programme de formation, sensibilisation et communication à la sécurité de l information Gestion des incidents selon ISO TR 18044 Gestion des opérations d un SMSI JOUR 4 CONTRÔLE, GESTION ET AUDIT DE CERTIFICatION D UN SMSI SELON ISO 27001 Suivi des mesures de sécurité et gestion des enregistrements Élaboration de métriques, indicateurs de performance des contrôles et tableau de bord selon ISO 27004 Audit interne du SMSI Revue de direction du SMSI Mise en œuvre d un programme d amélioration continue Préparation à un audit de certification ISO 27001 JOUR 5 Examen I 13
ISO 27001 Lead Auditor ISO 27001 Lead Auditor 5 jours RÉSUMÉ Ce cours intensif permet aux participants de développer l expertise nécessaire pour auditer un système de gestion de la sécurité de l information (SMSI) et de gérer une équipe d auditeurs en appliquant les principes, procédures et techniques d audits généralement reconnus. Au cours de la formation, les participants acquerront les connaissances nécessaires pour planifier et effectuer des audits conformes au processus de certification à la norme ISO 27001. À partir d exercices pratiques, ils seront en mesure de développer les habiletés (maîtrise des techniques d audit) et aptitudes (gestion d équipe et d un programme d audit, communication avec les clients, résolution de conflits, etc.) nécessaires à la réalisation d un audit. QUI EST CONCERNÉ? auditeur désirant effectuer et diriger des audits de systèmes de gestion de la sécurité de l information (SMSI) Chargé de projet ou consultant désirant maîtriser le processus d audit d un système de gestion de la sécurité de l information (SMSI) Responsable de la sécurité de l information ou de la conformité au sein d une organisation membre d une équipe de sécurité de l information Conseiller expert en technologies de l information expert technique désirant se préparer à occuper une fonction d auditeur en sécurité de l information OBJECTIFS D APPRENTISSAGE acquérir une expertise pour auditer un SMSI tel que spécifié dans ISO 27001 acquérir l expertise nécessaire pour gérer une équipe d auditeurs de SMSI Comprendre l application d un système de gestion de la sécurité de l information dans le contexte d ISO 27001 Comprendre la relation entre un système de gestion de la sécurité de l information, incluant la gestion des risques et des contrôles, et la conformité aux exigences des différents secteurs d une organisation améliorer sa capacité d analyse et d évaluation des risques de l environnement interne et externe d une organisation, selon les bonnes pratiques d audit et de prise de décision dans un contexte d audit SMSI QUALIFICATIONS PRÉALABLES la formation de ISMS Foundation ou une connaissance de base des normes ISO 27001 et ISO 27002 est recommandée 14 I
EXAMEN ET CERTIFICATION L examen ISO 27001 Lead Auditor répond pleinement aux exigences du programme de certification PECB (ECP Examination and Certification Program). L examen porte sur les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux de la sécurité de l information Domaine 2 : Système de gestion de la sécurité de l information (SMSI) Domaine 3 : Concepts et principes fondamentaux d audit Domaine 4 : Préparation d un audit ISO 27001 Domaine 5 : Réalisation d un audit ISO 27001 Domaine 6 : Clôture d un audit ISO 27001 Domaine 7 : Gestion d un programme d audit ISO 27001 Durée : 3 heures Un certificat est délivré aux participants qui auront réussi l examen À la suite de la réussite de l examen, les participants pourront appliquer au titre de Certified ISO 27001 Provisional Auditor, de Certified ISO 27001 Auditor ou de Certified ISO 27001 Lead Auditor en fonction de leur expérience d audit. Ces qualifications sont disponibles pour les auditeurs internes ou externes INFORMATIONS GÉNÉRALES Une copie de la norme ISO 27001 est fournie aux participants pour la durée de la formation Une trousse d outils d audit d un SMSI ainsi qu un manuel de l étudiant contenant plus de 400 pages d informations et d exemples pratiques sont remis aux participants Un certificat de participation de 31 UEC/CPE (unités d éducation continue/ Continuing Pprofessional Education) est délivré aux participants PLAN DE CouRS JOUR 1 INTRoduCTION À LA GESTION D UN SYSTÈME de GESTION DE LA SÉCURITÉ DE L INFORMATION Cadre normatif, réglementaire et légal relié à la sécurité de l information Principes fondamentaux de la sécurité de l information et de la gestion du risque Processus de certification ISO 27001 Système de gestion de la sécurité de l information (SMSI) Présentation détaillée des clauses 4 à 10 d ISO 27001 JOUR 2 planification ET DÉMARRAGE D UN AUDIT ISO 27001 Concepts et principes fondamentaux d audit Approche d audit fondée sur la preuve et sur le risque Préparation d un audit de certification ISO 27001 Audit documentaire d un SMSI Conduite d une réunion d ouverture JOUR 3 RÉALISatION D UN AUDIT ISO 27001 Communication pendant l audit Procédures d audit : observation, revue documentaire, interview, techniques d échantillonnage, vérification technique, corroboration et évaluation Rédaction de plans de test Formulation de conclusions d audit Rédaction de rapports de non-conformité JOUR 4 CONCluSION ET SUIVI D UN AUDIT ISO 27001 Documentation de l audit Revue de qualité Conduite d une réunion de clôture et conclusion d un audit ISO 27001 Évaluation de plans d actions correctives Audit de surveillance Gestion d un programme d audit JOUR 5 Examen I 15
ISO 27001 Mise à jour aux standards 2013 ISO 27001 Mise à jour aux standars 2013 2 jours Exécuter efficacement la transition vers les nouvelles exigences de la norme ISO 27001 : 2013 RÉSUMÉ La norme ISO 27001 émise en 2005 a été révisée, conformément à l Annexe SL des Directives ISO/CEI, afin de s harmoniser avec les autres normes de gestion telles ISO 9001 et ISO 22301. Cette révision permet entre autres de rapprocher la gestion de la sécurité de l information des autres politiques de gestion présentes dans une organisation. Elle permet aussi, spécialement pour les PME, d adapter le SMSI à leurs besoins réels. Cette formation permet aux participants de se familiariser avec les changements apportés à la norme ISO 27001 dans le but d aider leur organisation à effectuer la transition de la norme ISO 27001 : 2005 vers la norme ISO 27001 : 2013. Ce cours permet aussi de comprendre comment ISO 27001 et ISO 27002 sont reliées à ISO 27003 (Guide pour la mise en œuvre d un SMSI), ISO 27004 (Mesure de sécurité de l information) et ISO 27005 (Gestion du risque en sécurité de l information). Il est à noter que cette formation s inscrit parfaitement dans le cadre d un processus d amélioration continue d un SMSI selon la norme ISO 27001. QUI EST CONCERNÉ? Responsable de la sécurité de l information Responsable de la conformité Responsable des données confidentielles Auditeur interne Auditeur qui désire réaliser et mener des audits de certification SMSI Directeur de projet ou consultant qui veut maîtriser le processus d audit Directeur CxO ou responsable de la gouvernance d entreprise et de la gestion des risques Membre d une équipe de sécurité de l information Formateur en sécurité de l information OBJECTIFS D APPRENTISSAGE Comprendre les raisons de la révision des normes ISO 27001 et ISO 27002 Se familiariser avec la nouvelle structure d ISO 27001 et ISO 27002 Connaître les avantages et les inconvénients de la version révisée Comprendre les applications futures d ISO 27003, ISO 27004 et ISO 27005 Acquérir les habiletés nécessaires pour évaluer l effort de transition vers la certification révisée ISO 27001 : 2013 Comprendre les modalités de transition de la certification ISO 27001 vers la version 2013 16 I
QUALIFICATIONS PRÉALABLES Connaissance et expérience avec ISO 27001 : 2005 EXAMEN ET CERTIFICATION à la fin de cette formation, les participants peuvent passer l examen ISO 27001 : 2013 Foundation, qui répond pleinement aux exigences du programme de certification PECB (ECP Examination and Certification Program). durée : 1 heure un certificat est délivré aux participants qui auront réussi l examen INFORMATIONS GÉNÉRALES Une copie de la norme ISO 27001 : 2013 est fournie aux participants pour la durée de la formation Un manuel de l étudiant contenant plus de 200 pages d informations et d exemples pratiques est remis aux participants Un certificat de participation de 14 UEC/CPE (unités d éducation continue/ Continuing Pprofessional Education) est délivré aux participants PLAN DE CouRS JOUR 1 INTRoduCTION À LA NORME ISO 27001 : 2013 Justification de la révision des normes ISO 27001 et ISO 27002 Structure, titres de clauses, termes et définitions de base d ISO 27001 : 2013 Comparaison entre la structure d ISO 27001 : 2013 et celle des autres systèmes de gestion Avantages et inconvénients de la version révisée des normes ISO 27001 et ISO 27002 JOUR 2 TRANSITION VERS LA NORME ISO 27001 : 2013 Transposition des clauses de la version révisée Applications futures des normes ISO 27003, ISO 27004 et ISO 27005 Évaluation de l effort de transition vers la certification ISO 27001 révisée Modalités transitionnelles pour la certification ISO 27001 révisée I 17
ISO 27005 Certified Risk Manager ISO 27005 Certified Risk Manager 3 jours Maîtriser l évaluation et la gestion optimale du risque en sécurité de l information avec la norme ISO 27005 RÉSUMÉ Cette formation permet de maîtriser les éléments fondamentaux de la gestion du risque relié à l information en utilisant la norme ISO 27005 comme cadre de référence. À partir d exercices pratiques et d études de cas, le participant sera en mesure de réaliser une appréciation optimale du risque relié à la sécurité de l information et de gérer les risques dans le temps par la connaissance de leur cycle de vie. Il se familiarisera avec d autres méthodes d évaluation du risque telles que OCtave, MÉHARI, EBIOS et Harmonized TRA. Il est à noter que cette formation s inscrit parfaitement dans le cadre d un processus d implantation de la norme ISO 27001. QUI EST CONCERNÉ? Responsable de la gestion du risque au sein d une organisation Responsable de la sécurité de l information ou de la conformité au sein d une organisation Membre d une équipe de sécurité de l information Conseiller expert en technologies de l information Membre d une organisation participant à la mise en œuvre de la norme ISO 27001 ou d un programme de gestion du risque OBJECTIFS D APPRENTISSAGE S initier aux concepts, approches, normes, méthodes et techniques permettant une gestion efficace du risque selon ISO 27005 Interpréter les exigences d ISO 27001 concernant la gestion du risque en sécurité de l information Comprendre la relation entre un système de gestion de la sécurité de l information, incluant la gestion du risque et des mesures de sécurité, et la conformité aux exigences des différents secteurs d une organisation Acquérir les connaissances nécessaires à la mise en œuvre, la gestion et la maintenance d un programme continu de gestion du risque Acquérir les compétences nécessaires pour conseiller efficacement une organisation sur les meilleures pratiques en gestion du risque Maîtriser l évaluation et la gestion optimale du risque en sécurité de l information avec la norme ISO 27005 18 I
QUALIFICATIONS PRÉALABLES Aucune EXAMEN ET CERTIFICATION L examen ISO 27005 Certified Risk Manager répond pleinement aux exigences du programme de certification PECB (ECP Examination and Certification Program). L examen porte sur les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux, méthodes et techniques de la gestion du risque Domaine 2 : Mise en œuvre d un programme de gestion des risques Domaine 3 : Analyse du risque dans la sécurité de l information selon ISO 27005 Durée : 2 heures Un certificat est délivré aux participants qui auront réussi l examen INFORMATIONS GÉNÉRALES Une copie de la norme ISO 27005 est fournie aux participants pour la durée de la formation Un manuel de l étudiant contenant plus de 350 pages d informations et d exemples pratiques est remis aux participants Un certificat de participation de 21 UEC/CPE (unités d éducation continue/ Continuing Professional Education) est délivré aux participants ISO 27005 est une norme guide sur la gestion des risques de sécurité de l information. Elle n est pas une norme certifiante pour une organisation PLAN DE CouRS JOUR 1 INTRoduCTION À LA GESTION DU RISQUE SELON ISO 27005 Concepts et définitions reliés à la gestion du risque Normes, cadres de référence et méthodologies en gestion du risque Mise en œuvre d un programme de gestion du risque Analyse du risque (Identification et estimation) Compréhension d une organisation et de son contexte JOUR 2 IdeNTIFICatION, ÉVALUATION, TRAITEMENT, ACCEPTATION, CommuNICatION ET SURVEIllaNCE DU RISQUE SELON ISO 27005 Identification des risques Analyse et évaluation des risques Estimation des risques selon une méthode quantitative Traitement du risque Acceptation du risque et gestion du risque résiduel Communication des risques et consultation Suivi des risques et révision JOUR 3 SURVOL DES MÉTHodeS D ÉVALUATION DES RISQUES EN SÉCURITÉ DE L INFORMATION Présentation de la méthode OCtave Présentation de la méthode MÉHARI Présentation de la méthode EBIOS Présentation de la méthode Harmonized TRA Examen I 19
ISO 27005 Certified Risk Manager avec MEHARI ISO 27005 Certified Risk Manager avec MEHARI 5 jours RÉSUMÉ La méthode MEHARI a été développée par le Club de la sécurité des systèmes d information français (CluSIF). Cette formation permet aux participants de maîtriser les éléments fondamentaux de la gestion du risque relié à l information en se référant à la norme ISO 27005 comme cadre de référence et en utilisant la méthode MEHARI (Méthode Harmonisée d Analyse de Risques) comme méthode d estimation du risque. À partir d exercices pratiques et d études de cas, les participants seront en mesure d effectuer une appréciation optimale du risque et de le gérer dans le temps par la connaissance de son cycle de vie. Il est à noter que cette formation s inscrit parfaitement dans le cadre d un processus d implantation de la norme ISO 27001. QUI EST CONCERNÉ? Responsable de la gestion du risque au sein d une organisation Responsable de la sécurité de l information ou de la conformité au sein d une organisation Membre d une équipe de sécurité de l information Conseiller expert en technologies de l information Membre d une organisation participant à la mise en œuvre de la norme ISO 27001 ou d un programme de gestion du risque avec la méthode MEHARI OBJECTIFS D APPRENTISSAGE Acquérir les connaissances nécessaires à la mise en œuvre, la gestion et la maintenance d un programme continu de gestion du risque S initier aux concepts, approches, normes, méthodes et techniques permettant une gestion efficace du risque Développer les compétences nécessaires pour diriger une analyse de risque avec la méthode mehari Maîtriser les étapes de réalisation d une analyse de risque avec la méthode MEHARI Comprendre la relation entre un système de gestion de la sécurité de l information, incluant la gestion du risque et des mesures de sécurité, et la conformité aux exigences des différents secteurs d une organisation Acquérir les compétences nécessaires pour conseiller efficacement une organisation sur les meilleures pratiques en gestion du risque Interpréter les exigences d ISO 27001 concernant la gestion du risque 20 I
QUALIFICATIONS PRÉALABLES Une connaissance de base de la gestion du risque et de la méthode MEHARI est recommandée EXAMEN ET CERTIFICATION L examen ISO 27005 Certified Risk Manager répond pleinement aux exigences du programme de certification PECB (ECP Examination and Certification Program). L examen porte sur les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux, méthodes et techniques de la gestion du risque Domaine 2 : Mise en œuvre d un programme de gestion des risques Domaine 3 : Analyse du risque dans la sécurité de l information selon ISO 27005 Durée : 2 heures L examen MEHARI Advanced répond pleinement aux exigences du programme de certification PECB (ECP Examination and Certification Program). L examen porte sur les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux, méthodes et techniques de la gestion du risque selon MEHARI Domaine 2 : Mise en œuvre d un programme de gestion des risques Domaine 3 : Analyse du risque dans la sécurité de l information selon MEHARI Durée : 2 heures La formation Évaluation des risques avec la méthode MEHARI est labellisée par le CluSIF Un certificat est délivré aux participants qui auront réussi l examen INFORMATIONS GÉNÉRALES Une copie de la norme ISO 27005 est fournie aux participants pour la durée de la formation Un manuel de l étudiant contenant plus de 400 pages d informations et d exemples pratiques est remis aux participants Une version éducative du logiciel «Risicare» ainsi qu une copie de la documentation officielle sur MEHARI publiée par le CluSIF seront remises aux participants Un certificat de participation de 35 UEC/CPE (unités d éducation continue/ Continuing Pprofessional Education) est délivré aux participants ISO 27005 est un guide sur la gestion des risques de sécurité de l information et n est pas une norme certifiante pour une organisation PLAN DE CouRS JOUR 1 INTRoduCTION À LA GESTION DU RISQUE SELON ISO 27005 Concepts et définitions reliés à la gestion du risque Normes, cadres de référence et méthodologies en gestion du risque Mise en œuvre d un programme de gestion du risque Analyse du risque (Identification et estimation) JOUR 2 TRAITEMENT ET GESTION DU RISQUE SELON ISO 27005 Évaluation du risque Traitement du risque Acceptation du risque et gestion du risque résiduel Communication du risque Surveillance et contrôle du risque Examen ISO 27005 Certified Risk Manager (2 heures) JOUR 3 DÉBUT D UNE ANALYSE DE RISQUE AVEC MEHARI Introduction à MEHARI Analyse des enjeux et classification Vue globale du processus Échelle de valeurs des dysfonctionnements Classification des ressources JOUR 4 évaluation DES VULNÉRABILITÉS ET DES RISQUES SELON MEHARI Analyse des vulnérabilités Qualités d un service de sécurité Mesure de la qualité d un service de sécurité Processus d évaluation Analyse des risques JOUR 5 planification DE LA SÉCURITÉ SELON MEHARI ET EXAMEN Plan de sécurité et procédures Outils d aide à la mise en œuvre de MEHARI Examen MEHARI avancé (2 heures) I 21
ISO 31000 Certified Risk Manager ISO 31000 Certified Risk Manager 3 jours Évaluation des risques et maîtrise de la gestion optimale des risques basée sur la norme ISO 31000 et les techniques d évaluation des risques d ISO 31010 RÉSUMÉ Cette formation présente la norme ISO 31000 de gestion de risque général et le modèle de processus recommandé afin que les participants apprennent comment leur entreprise peut utiliser la norme ISO 31010 et son document d évaluation des outils de risque d accompagnement. Dans cette formation, les participants développeront la compétence à maîtriser un modèle pour la mise en œuvre des processus de gestion des risques dans leur organisation en utilisant la norme ISO 31000 comme cadre de référence. Par des exercices pratiques et des études de cas, les participants acquerront les connaissances et les compétences nécessaires pour effectuer une évaluation optimale des risques et de la gestion des risques dans le temps en se familiarisant avec leur cycle de vie. QUI EST CONCERNÉ? Gestionnaire de risques Propriétaire d entreprise Gestionnaire des finances de l entreprise Gestionnaire de conformité à la réglementation Gestionnaire de projet Personne responsable de la sécurité de l information ou de la conformité au sein d une organisation OBJECTIFS D APPRENTISSAGE Comprendre les concepts, approches, méthodes et techniques permettant une gestion efficace des risques selon la norme ISO 31000 Comprendre la relation entre la gestion des risques et la conformité avec les exigences des différentes parties prenantes d une organisation Acquérir les compétences nécessaires pour mettre en œuvre, maintenir et gérer un programme continu de gestion des risques selon la norme ISO 31000 Acquérir les compétences nécessaires pour conseiller efficacement les organisations sur les meilleures pratiques en matière de gestion des risques QUALIFICATIONS PRÉALABLES Aucune 22 I
EXAMEN ET CERTIFICATION L examen ISO 31000 Certified Risk Manager répond pleinement aux exigences du programme de certification PECB (ECP Examination and Certification Program). L examen porte sur les domaines de compétences suivants : Domaine 1 : Concepts fondamentaux, approches, méthodes et techniques de gestion des risques Domaine 2 : Mise en œuvre d un programme de gestion des risques Domaine 3 : Évaluation des risques basée sur la norme ISO 31000 Domaine 4 : Traitement des risques Domaine 5 : Communication, suivi et amélioration des risques Durée : 2 heures Un certificat est délivré aux participants qui auront réussi l examen À la suite de la réussite de l examen ISO 31000 Certified Risk Manager, les participants pourront appliquer au titre de Certified ISO 31000 Provisional Risk Manager, de Certified ISO 31000 Risk Manager ou de Certified ISO 31000 Lead Risk Manager, en fonction de leur expérience INFORMATIONS GÉNÉRALES Une copie de la norme ISO 31000 est fournie aux participants pour la durée de la formation Un manuel de l étudiant contenant plus de 350 pages d informations et d exemples pratiques est remis aux participants Un certificat de participation de 21 UEC/CPE (unités d éducation continue/ Continuing Professional Eeducation) est délivré aux participants ISO 31000 et ISO 31010 sont des normes guides sur la gestion des risques de sécurité de l information et ne sont pas des normes certifiantes pour une organisation PLAN DE CouRS JOUR 1 INTRoduCTION, CADRE DE GESTION DES RISQUES SELON LA NORME ISO 31000 Concepts et définitions relatifs à la gestion des risques Normes de la gestion des risques, cadres et méthodologies Mise en œuvre d un programme de gestion des risques Compréhension d une organisation et de son contexte JOUR 2 IdeNTIFICatION, ÉVALUATION, TRAITEMENT ET ACCEPTATION des RISQUES SELON LA NORME ISO 31000 Identification des risques Analyse et évaluation des risques Traitement des risques Acceptation des risques de sécurité informatique et de la gestion des risques résiduels JOUR 3 CommuNICatION, SURVEIllaNCE ET TECHNIqueS D ÉVALUATION DES RISQUES SELON ISO 31010 Communication des risques et consultation Suivi des risques et révision Outils d évaluation des risques recommandés selon la norme ISO 31010 Examen I 23
Gestion des risques en réalisation de projet Gestion des risques en réalisation de projet 2 jours Projets de développement, de mise en œuvre d un nouveau service, d optimisation des processus de travail, de mise à niveau d infrastructure ou de toute autre nature RÉSUMÉ La réussite d un projet repose sur la capacité du chargé de projet à maintenir un juste équilibre entre la recherche de valeur (bénéfices), l utilisation des ressources et les risques de ne pas atteindre les objectifs visés. La formation Gestion des risques en réalisation de projet établit un lien direct entre l atteinte des objectifs du projet et les risques inhérents. Cette formation permettra aux participants de s initier aux concepts de base et à certaines techniques de la gestion de risque de projet. Les connaissances acquises seront ensuite appliquées dans une analyse de risques en participant à deux ateliers, sur les impacts et sur les facteurs de risque. Les participants apprendront notamment comment élaborer une carte d exposition aux risques pour mesurer les niveaux de risque actuels et résiduels associés à l atteinte des objectifs du projet. La formation expose également de quelle façon l attitude et le vécu personnel peuvent biaiser l évaluation des risques et présente une méthode permettant de réduire cet écart afin de minimiser la subjectivité de l évaluation. QUI EST CONCERNÉ? Gestionnaire de projet Contrôleur de projet (PCO) Chef de projet Conseiller en gestion des risques OBJECTIFS D APPRENTISSAGE Reconnaître l importance de la gestion des risques pour la réussite d un projet Appliquer les concepts, approches, normes, méthodes et techniques permettant une gestion efficace des risques d un projet Connaître les principes, les stratégies et les principales activités pour mettre en œuvre et maintenir un processus de gestion des risques de projet dans une organisation Comprendre les concepts de la gestion des risques d un projet Comprendre le processus de gestion des risques d un projet, ses activités, ses principaux livrables et le rôle des différents intervenants Appliquer les concepts et la méthode dans un atelier d évaluation des impacts Appliquer les concepts et la méthode dans un atelier d évaluation des facteurs de risque 24 I
QUALIFICATIONS PRÉALABLES Aucune INFORMATIONS GÉNÉRALES Un manuel de formation contenant des informations et des exemples pratiques est fourni à chaque participant Un fichier électronique contenant un modèle de grille d impacts et un modèle de questionnaire de facteurs de risque sont fournis à chaque participant Un certificat de participation de 14 UEC/CPE (unités d éducation continue/ Continuing Professional Eeducation) est délivré aux participants PLAN DE CouRS JOUR 1 Pourquoi gérer les risques? Concepts de base et définitions Notre attitude face au risque Processus de gestion des risques de projet JOUR 2 Étude de cas Analyse des risques d un projet Mise en place d un processus de gestion des risques de projet Conditions de succès Conclusion I 25
ISO 22301 Foundation ISO 22301 Foundation 2 jours RÉSUMÉ Ce cours permet aux participants de se familiariser avec les meilleures pratiques pour la mise en œuvre et la gestion d un système de gestion de continuité d activité tel que spécifié dans la norme ISO 22301, ainsi qu avec les meilleures pratiques pour mettre en œuvre les processus de continuité des activités basées sur la norme ISO / PAS 22399. Cette formation est entièrement compatible avec les normes BS 25999 (Spécification de gestion de la continuité des affaires) et ISO 27031 (Lignes directrices pour l information et la préparation de la technologie de communication de continuité d activité). QUI EST CONCERNÉ? Membre d une équipe de la continuité des activités Professionnel de l informatique désirant acquérir une connaissance approfondie des principaux processus d un système de gestion de la continuité d activité Personne impliquée dans la mise en œuvre de la norme ISO 22301 Technicien impliqué dans des opérations liées à un système de gestion de la continuité d activité Auditeur OBJECTIFS D APPRENTISSAGE Comprendre la mise en œuvre d un système de gestion de la continuité des activités en conformité avec les normes ISO 22301, ISO 27031 ou BS 25999 Comprendre la relation entre un système de gestion de la continuité des activités, la gestion des risques, les contrôles et la conformité avec les exigences des différentes parties prenantes de l organisation Connaître les concepts, normes, méthodes et techniques permettant de gérer efficacement un système de gestion de la continuité des affaires Acquérir les compétences nécessaires pour contribuer à la mise en œuvre d un système de gestion de la continuité d activité tel que spécifié dans ISO 22301, ISO 27031 ou BS 25999 QUALIFICATIONS PRÉALABLES Aucune 26 I
EXAMEN ET CERTIFICATION L examen ISO 22301 Foundation répond pleinement aux exigences du programme de certification PECB (ECP Examination and Certification Program). L examen porte sur les domaines de compétences suivants : Domaine 1 : Principes fondamentaux et concepts de continuité d activité Domaine 2 : Système de gestion de la continuité d activité Durée : 1 h 30 Un certificat est délivré aux participants qui auront réussi l examen INFORMATIONS GÉNÉRALES Une copie de la norme ISO 22301 est fournie aux participants pour la durée de la formation Un manuel de l étudiant contenant plus de 200 pages d informations et d exemples pratiques est remis aux participants Un certificat de participation de 14 UEC/CPE (unités d éducation continue/ Continuing Professional Education) est délivré aux participants PLAN DE CouRS JOUR 1 INTRoduCTION AU SYSTÈME DE GESTION DE LA CONTINUITÉ D ACTIVITÉ SELON LA NORME ISO 22301 Présentation des normes ISO 22301, ISO 27031, cadre ISO / PAS 22399, BS 25999 Introduction aux systèmes de gestion et à l approche processus Principes fondamentaux de la continuité des activités Exigences générales : présentation des articles 4 à 10 de la norme ISO 22301 JOUR 2 MISE EN PLACE DE CONTRÔLES DANS LA CONTINUITÉ des ACTIVITÉS SELON ISO 22301 Analyse de l impact sur les affaires (BIA) et gestion des risques Phases de mise en œuvre du cadre ISO 22301 Amélioration continue de la continuité des activités Mise en œuvre d un audit certifié ISO 22301 Examen I 27