ISO/CEI 27005 Security Risk Manager : évaluer et traiter les risques de sécurité de l’information
Aujourd'hui, connaître et gérer les risques liés à la sécurité des systèmes d'information (SI) est essentiel pour le bon fonctionnement d'une entreprise. En effet, le moindre incident peut avoir des conséquences critiques pour une organisation. De ce fait, il est important de se former sur la norme ISO 27005 pour devenir un gestionnaire des risques certifié.
Notre formation ISO/CEI 27005 Security Risk Manager vous donnera toutes les compétences nécessaires pour maîtriser les actifs et processus liés à la sécurité de l'information, en conformité avec la norme ISO/CEI 27005:2022. Vous aborderez aussi d'autres méthodes de gestion du risque comme OCTAVE, EBIOS, MEHARI ou encore la méthode EMR. Notre formation est également parfaite si vous souhaitez mettre en place un SMSI (Système de Management de la Sécurité de l'Information) conforme à la norme ISO/CEI 27001:2022.
A la fin de cette formation, vous passerez l'examen de certification ISO/CEI 27005 Risk Manager. La réussite de celui-ci vous permettra d'attester de vos capacités professionnelles à mettre en place une démarche d’analyse de risques du SI d’une organisation en s’appuyant sur la norme ISO 27005.
Skills4All est un organisme certificateur spécialisé dans le développement des compétences numériques et la transformation digitale.
Objectifs
Objectifs pédagogiques :
- Identifier les processus métiers sensibles et stratégiques et leur système d’information associé en s’appuyant sur une analyse SWOT.
- Délimiter le domaine d’application (périmètre d’action) sur lequel s’exerce l’analyse de risque.
- Construire et hiérarchiser par criticité des scenarii de dysfonctionnement ou d’agression.
- Elaborer les plans de traitement des risques.
- Accompagner l’entreprise dans la mise en œuvre du plan de traitement.
- Favoriser une culture de la gestion du risque lié au système d’information.
Programme
Tour de table :
- Introduction individuelle des participants.
- Exploration des attentes et des objectifs de chaque participant.
- Introduction au cadre de la formation.
- Alignement avec les objectifs et enjeux spécifiques de la formation ISO 27005.
- Identification des attentes et des perspectives individuelles des participants.
Partie 1: introduction à la gestion des risques et à la norme ISO 27005
- Comprendre et définir le risque :
- définitions fondamentales du risque, distinction entre risque, menace, et vulnérabilité.
- Comprendre la norme ISO/CEI 27005:2022 :
- exploration des spécificités de la dernière version de la norme, et son rôle dans la gestion des risques de sécurité de l'information.
- Identifier les processus métiers sensibles :
- techniques pour identifier les processus stratégiques et leur système d’information associé, utilisant une analyse SWOT pour aligner les décisions de traitement des risques avec la stratégie de l'entreprise.
- Mettre en place un programme de gestion des risques : les étapes pour développer un programme de gestion des risques conforme à ISO 27005, incluant la définition des responsabilités et le processus de décision.
Partie 2: mise en œuvre d'un processus de gestion des risques selon la norme ISO 27005
- Délimiter le domaine d'application :
- méthodes pour synthétiser les informations issues de groupes de travail collaboratifs et de la documentation pour définir clairement le périmètre de l'analyse de risque.
- Construire et hiérarchiser des scénarios de risque :
- création de scénarios de dysfonctionnement ou d'agression basés sur leur criticité, en collaboration avec des experts pour évaluer leur probabilité et impacts.
- Analyser et évaluer les risques :
- techniques pour l'analyse qualitative et quantitative des risques.
- Elaboration des plans de traitement des risques : développement de plans de gestion des risques, en intégrant l'analyse des scénarios pour proposer des solutions alignées avec les objectifs stratégiques de l'entreprise.
Partie 3: suivi et culture de la gestion du risque
- Mise en œuvre du plan de traitement :
- stratégies pour l'application effective des plans de traitement des risques, incluant l'établissement d'indicateurs de suivi et la collecte de retours d'expérience pour évaluer l'efficacité des actions dans le temps.
- Favoriser une culture de la gestion du risque :
- techniques pour encourager la remontée et l'analyse des incidents de sécurité de l'information, renforçant ainsi la culture de la gestion des risques au sein de l'organisation.
Partie 4 : autres méthodologies et préparation à la certification
- Présentation des méthodes d'appréciation des risques : exploration des méthodes OCTAVE, MEHARI, EBIOS, et EMR, et discussion sur leur intégration dans la stratégie de gestion des risques de l'entreprise.
- Préparation à l'examen de certification ISO 27005 Security Risk Manager :
- révision des principaux concepts abordés, pratiques d'examen, et stratégies pour réussir la certification.
Prérequis
Suivre la formation ISO 27005 Security Risk Manager nécessite le prérequis suivant :
- avoir une bonne connaissance des systèmes d’information des organisations ainsi que des méthodes d'évaluation des risques liées à la sécurité de l'information.
Public
Cette formation s'adresse aux publics suivants :
- les responsables ou consultants impliqués ou responsables de la sécurité de l’information dans un organisme ;
- les personnes responsables de la gestion des risques liés à la sécurité de l’information ;
- les membres des équipes de sécurité de l’information, professionnels de l’informatique et responsables de la protection de la vie privée ;
- les personnes responsables du maintien de la conformité aux exigences de sécurité de l’information de la norme ISO/IEC 27005 au sein d’un organisme ;
- les gestionnaire de projet, consultants ou conseillers experts cherchant à maîtriser la gestion des risques liés à la sécurité de l’information.
Points forts
Certification
Passage de la certification « Évaluer et traiter les risques de sécurité de l’information en s’appuyant sur la norme NF ISO 27005 (ISO/CEI 27005 - Security Risk Manager) » inscrite au Répertoire Spécifique n° 6399 (SKILLS4ALL). Examen officiel passé après la formation et vos révisions personnelles.
L’évaluation dure 2h00 et se fait en ligne, à travers une mise en situation professionnelle fictive sous forme d’une étude de cas depuis une plateforme d’apprentissage. Le candidat devra élaborer une présentation portant sur l'analyse des risques du système d'information, en se référant à la norme ISO 27005, appliquée à une organisation fictive. Cette présentation devra tenir compte du contexte spécifique, des particularités, des enjeux et de l'infrastructure du système d'information de l'entreprise, comme décrits dans la notice d'examen.
Le candidat devra pour cela :
- répondre à un QCM (questions fermées) ;
- présenter les résultats et préconisations de son analyse des risques selon l’ISO 27005 par écrit en 3 parties :
- partie 1 : établissement de la stratégie d’évaluation et de traitement des risques en faisant références aux exigences de la norme ISO 27005 et aux données fournies dans le cas ;
- partie 2 : proposition des plans de traitement des risques et de leur analyse comparée au regard des ressources mobilisées ;
- partie 3 : conception d’un programme de mise en œuvre d’un plan de traitement systématique et pérenne précisant les ressources nécessaires à mobiliser.
A noter que comme le candidat passe son examen en toute autonomie, aussi il lui sera également demandé d’enregistrer 4 capsules vidéo aux fins de présentation et de justification de :
Vidéo 1 : son identité (le candidat se présente)
Vidéo 2 : la partie 1 ;
Vidéo 3 : la partie 2 ;
Vidéo 4 : la partie 3.
Pour rappel, en suivant cette formation éligible au CPF, vous vous engagez à passer l’examen de certification.
Objectifs
Objectifs pédagogiques :
- Identifier les processus métiers sensibles et stratégiques et leur système d’information associé en s’appuyant sur une analyse SWOT.
- Délimiter le domaine d’application (périmètre d’action) sur lequel s’exerce l’analyse de risque.
- Construire et hiérarchiser par criticité des scenarii de dysfonctionnement ou d’agression.
- Elaborer les plans de traitement des risques.
- Accompagner l’entreprise dans la mise en œuvre du plan de traitement.
- Favoriser une culture de la gestion du risque lié au système d’information.
Programme
Tour de table :
- Introduction individuelle des participants.
- Exploration des attentes et des objectifs de chaque participant.
- Introduction au cadre de la formation.
- Alignement avec les objectifs et enjeux spécifiques de la formation ISO 27005.
- Identification des attentes et des perspectives individuelles des participants.
Partie 1: introduction à la gestion des risques et à la norme ISO 27005
- Comprendre et définir le risque :
- définitions fondamentales du risque, distinction entre risque, menace, et vulnérabilité.
- Comprendre la norme ISO/CEI 27005:2022 :
- exploration des spécificités de la dernière version de la norme, et son rôle dans la gestion des risques de sécurité de l'information.
- Identifier les processus métiers sensibles :
- techniques pour identifier les processus stratégiques et leur système d’information associé, utilisant une analyse SWOT pour aligner les décisions de traitement des risques avec la stratégie de l'entreprise.
- Mettre en place un programme de gestion des risques : les étapes pour développer un programme de gestion des risques conforme à ISO 27005, incluant la définition des responsabilités et le processus de décision.
Partie 2: mise en œuvre d'un processus de gestion des risques selon la norme ISO 27005
- Délimiter le domaine d'application :
- méthodes pour synthétiser les informations issues de groupes de travail collaboratifs et de la documentation pour définir clairement le périmètre de l'analyse de risque.
- Construire et hiérarchiser des scénarios de risque :
- création de scénarios de dysfonctionnement ou d'agression basés sur leur criticité, en collaboration avec des experts pour évaluer leur probabilité et impacts.
- Analyser et évaluer les risques :
- techniques pour l'analyse qualitative et quantitative des risques.
- Elaboration des plans de traitement des risques : développement de plans de gestion des risques, en intégrant l'analyse des scénarios pour proposer des solutions alignées avec les objectifs stratégiques de l'entreprise.
Partie 3: suivi et culture de la gestion du risque
- Mise en œuvre du plan de traitement :
- stratégies pour l'application effective des plans de traitement des risques, incluant l'établissement d'indicateurs de suivi et la collecte de retours d'expérience pour évaluer l'efficacité des actions dans le temps.
- Favoriser une culture de la gestion du risque :
- techniques pour encourager la remontée et l'analyse des incidents de sécurité de l'information, renforçant ainsi la culture de la gestion des risques au sein de l'organisation.
Partie 4 : autres méthodologies et préparation à la certification
- Présentation des méthodes d'appréciation des risques : exploration des méthodes OCTAVE, MEHARI, EBIOS, et EMR, et discussion sur leur intégration dans la stratégie de gestion des risques de l'entreprise.
- Préparation à l'examen de certification ISO 27005 Security Risk Manager :
- révision des principaux concepts abordés, pratiques d'examen, et stratégies pour réussir la certification.
Prérequis
Suivre la formation ISO 27005 Security Risk Manager nécessite le prérequis suivant :
- avoir une bonne connaissance des systèmes d’information des organisations ainsi que des méthodes d'évaluation des risques liées à la sécurité de l'information.
Public
Cette formation s'adresse aux publics suivants :
- les responsables ou consultants impliqués ou responsables de la sécurité de l’information dans un organisme ;
- les personnes responsables de la gestion des risques liés à la sécurité de l’information ;
- les membres des équipes de sécurité de l’information, professionnels de l’informatique et responsables de la protection de la vie privée ;
- les personnes responsables du maintien de la conformité aux exigences de sécurité de l’information de la norme ISO/IEC 27005 au sein d’un organisme ;
- les gestionnaire de projet, consultants ou conseillers experts cherchant à maîtriser la gestion des risques liés à la sécurité de l’information.
Points forts
Certification
Passage de la certification « Évaluer et traiter les risques de sécurité de l’information en s’appuyant sur la norme NF ISO 27005 (ISO/CEI 27005 - Security Risk Manager) » inscrite au Répertoire Spécifique n° 6399 (SKILLS4ALL). Examen officiel passé après la formation et vos révisions personnelles.
L’évaluation dure 2h00 et se fait en ligne, à travers une mise en situation professionnelle fictive sous forme d’une étude de cas depuis une plateforme d’apprentissage. Le candidat devra élaborer une présentation portant sur l'analyse des risques du système d'information, en se référant à la norme ISO 27005, appliquée à une organisation fictive. Cette présentation devra tenir compte du contexte spécifique, des particularités, des enjeux et de l'infrastructure du système d'information de l'entreprise, comme décrits dans la notice d'examen.
Le candidat devra pour cela :
- répondre à un QCM (questions fermées) ;
- présenter les résultats et préconisations de son analyse des risques selon l’ISO 27005 par écrit en 3 parties :
- partie 1 : établissement de la stratégie d’évaluation et de traitement des risques en faisant références aux exigences de la norme ISO 27005 et aux données fournies dans le cas ;
- partie 2 : proposition des plans de traitement des risques et de leur analyse comparée au regard des ressources mobilisées ;
- partie 3 : conception d’un programme de mise en œuvre d’un plan de traitement systématique et pérenne précisant les ressources nécessaires à mobiliser.
A noter que comme le candidat passe son examen en toute autonomie, aussi il lui sera également demandé d’enregistrer 4 capsules vidéo aux fins de présentation et de justification de :
Vidéo 1 : son identité (le candidat se présente)
Vidéo 2 : la partie 1 ;
Vidéo 3 : la partie 2 ;
Vidéo 4 : la partie 3.
Pour rappel, en suivant cette formation éligible au CPF, vous vous engagez à passer l’examen de certification.
Date d’enregistrement : 25/01/2023
Le délai d’inscription dépend de la formation et vous sera notifié par votre conseiller Oo2