Expertise en évaluation des risques Cybersécurité ISO 27005 et CISSP

ISO 27005 Security Risk Manager – Gestion des risques de la sécurité de l’information 2023

Chapitre 1 – Cas pratiques : analyses d’accident

• Exemples : un accident impliquant un SCADA, une cyber attaque

• Analyse des causes des accidents : contexte, environnement, organisation, équipements, Système d’Informations

• Conclusion sur les risques pris

• Réflexion sur les leçons à tirer de ces événements

Chapitre 2 : Présentation de l’ISO 27005

Chapitre 3 : L’appréciation des risques

Chapitre 4: Le traitement des risque

Chapitre 5 : Etude de cas

Récapitulatif autour d’un cas pratique : effectuer une analyse de risques dirigée, rechercher des moyens de traitement, les justifier

• Organiser le recueil des incidents et les traiter

• Organiser le retour d’expérience et l’exploiter dans l’analyse de risques, le traitement des risques et la démarche d’amélioration continue

• Repérer les « signaux faibles » pour renforcer la démarche d’amélioration continue et anticiper les risques

• Réflexions sur la culture de sécurité dans les SI

Formation CISSP (Certified Information Systems Security Professional) 

1. Introduction à la sécurité des systèmes d’information

   • Concepts de base de la sécurité informatique
   • Principes de la sécurité des systèmes d’information
   • Cadres et normes de sécurité (ISO 27001, NIST, etc.)
   • Introduction aux attaques et aux menaces courantes

2. Gestion des actifs de sécurité

   • Identification des actifs critiques
   • Classification et catégorisation des données
   • Mise en place de politiques de gestion des actifs
   • Stratégies de protection des actifs

3. Sécurité de l’ingénierie des communications et des réseaux

   • Architectures réseau sécurisées
   • Protocoles de sécurité (SSL/TLS, IPSec, etc.)
   • Sécurisation des points d’accès sans fil
   • Détection et prévention des intrusions réseau

4. Identification et gestion des accès

   • Mécanismes d’authentification et d’autorisation
   • Contrôle d’accès basé sur les rôles (RBAC)
   • Gestion des identités et des droits d’accès
   • Techniques de surveillance des activités des utilisateurs

5. Sécurité des logiciels et de la gestion des vulnérabilités

   • Méthodologies de développement sécurisé
   • Tests de pénétration et analyse de vulnérabilités
   • Gestion des correctifs et des mises à jour
   • Sécurisation des applications web et mobiles

6. Gestion de la sécurité des opérations

   • Surveillance et gestion des journaux d’audit
   • Gestion des incidents de sécurité
   • Planification de la reprise après sinistre (PRA) et de la continuité des activités (PCA)
   • Automatisation des tâches de sécurité

7. Évaluation de la sécurité et des risques

   • Méthodologies d’évaluation des risques
   • Analyse des impacts sur la sécurité (BIA)
   • Évaluation de la conformité réglementaire et des normes de sécurité
   • Rapports d’évaluation et recommandations

8. Cryptographie et sécurité des communications

   • Principes de base de la cryptographie
   • Algorithmes de chiffrement symétriques et asymétriques
   • Gestion des clés et des certificats
   • Sécurisation des communications sur les réseaux

9. Architecture de sécurité et conception

   • Modèles de sécurité (defense in depth, zero trust, etc.)
   • Conception d’architectures sécurisées
   • Sécurisation des infrastructures cloud et virtuelles
   • Intégration de la sécurité dans le cycle de vie des projets

10. Programmes de sensibilisation et de formation à la sécurité

    • Conception de programmes de sensibilisation à la sécurité
    • Formation des employés aux bonnes pratiques de sécurité
    • Évaluation de l’efficacité des programmes de sensibilisation
    • Gestion des comportements sécurisés au sein de l’organisation

11. Ethique et légalité en sécurité informatique

    • Cadre éthique et professionnel de la sécurité informatique
    • Respect de la vie privée et protection des données personnelles
    • Conformité aux lois et réglementations en matière de sécurité informatique
    • Responsabilités légales et éthiques des professionnels de la sécurité

12. Révision et préparation à l’examen

    • Révision des concepts clés et des domaines de connaissances
    • Pratique d’examen blanc pour évaluer les compétences acquises
    • Stratégies de gestion du temps et de réponse à l’examen
    • Conseils pour réussir l’examen CISSP et obtenir la certification

Pour la certification – Évaluer et traiter les risques de sécurité de l’information en s’appuyant sur la norme NF ISO 27005 (ISO/CEI 27005 – Security Risk Manager) inscrite au Répertoire Spécifique n°RS6399 (SKILLS4ALL) :

– Connaissance générale de la sécurité des systèmes d’information et une expérience des audits sont fortement recommandés.

– Le candidat  devra fournir obligatoirement :

un CV justifiant d’une expérience d’au moins trois ans dans la gestion des systèmes d’information dont au moins 1 an en tant que  :

• participant à une démarche d’analyse des risques et cela dans les 5 dernières années pour la certification ISO/CEI 27005 – Security Risk Manager

Pour la Certification CISSP (Certified Information Systems Security Professional) :

Pour obtenir la certification CISSP (Certified Information Systems Security Professional), les candidats doivent posséder une expérience professionnelle d’au moins cinq ans dans le domaine de la sécurité de l’information, avec une expérience directe dans au moins deux des huit domaines de connaissances couverts par l’examen. Une expérience équivalente dans un cursus de formation peut réduire cette exigence à quatre ans. De plus, les candidats doivent adhérer au code de déontologie de l’ISC², réussir l’examen CISSP et maintenir leur certification en accumulant des crédits de formation continue

1. La certification “Évaluer et traiter les risques de sécurité de l’information en s’appuyant sur la norme NF ISO 27005”

Ce parcours de formation vous permettra de valider notre certification Évaluer et traiter les risques de sécurité de l’information en s’appuyant sur la norme NF ISO 27005 (ISO/CEI 27005 – Security Risk Manager) inscrite au Répertoire Spécifique sous le numéro RS 6399 (SKILLS4ALL).

En suivant ce parcours de formation, vous vous engagez à passer les examens de certification. Ils devront être passés après la formation et après vos révisions personnelles.

Dans le cadre de ces certifications professionnelles inscrites au RS il vous sera demandé de fournir les données suivantes : 

♦ Nom et prénom, date de naissance, lieu de naissance, coordonnées, expérience professionnelle avant et après la certification, fonction/statut, type de contrat nom de l’entreprise, rémunération brute annuelle à 6 mois et à 1 an/2 ans.

Ces informations sont collectées afin d’éditer le parchemin de certification, d’alimenter le passeport de compétences, et pour répondre à l’obligation de l’évaluation de l’impact économique et social de la certification professionnelle.

Le démarrage de la formation sera conditionné au remplissage d’un questionnaire visant la collecte des informations sus mentionnées.

Les conditions de passage de la certification “Évaluer et traiter les risques de sécurité de l’information en s’appuyant sur la norme NF ISO 27005”

Passage de la certification Évaluer et traiter les risques de sécurité de l’information en s’appuyant sur la norme NF ISO 27005 (ISO/CEI 27005 – Security Risk Manager)) inscrite au Répertoire Spécifique sous le numéro RS 6399 (SKILLS4ALL). 

L’évaluation se fait à travers une mise en situation professionnelle reconstituée.

Cette mise en situation se rapporte à un cas réel anonymisé d’une organisation souhaitant mettre en place une démarche d’analyse des risques du système d’information visant la préservation des activités essentielles de l’organisation s’appuyant sur la norme ISO 27005.

L’examen de certification d’une durée de 2h00 se déroule en distanciel sur une plateforme d’apprentissage. Il est constitué par :

– le passage d’un questionnaire à choix multiple constitué de questions fermées et ouvertes

– la production de livrables

– une présentation orale au format vidéo

Précisions sur les livrables et la présentation orale au format vidéo

Le candidat prépare une présentation sous forme de livrables (rédigés) du projet d’audit d’un système de management de la sécurité d’information selon ISO 27001 en distinguant 3 parties : – Partie 1 : établissement de la stratégie d’évaluation et de traitement des risques en faisant références aux exigences de la norme ISO 27005 et aux données fournies dans le cas (compétence C1 et C2) – Partie 2 : proposition des plans de traitement des risques et de leur analyse comparée au regard des ressources mobilisées (compétence C3 et C4) – Partie 3 : conception d’un programme de mise en oeuvre d’un plan de traitement systématique et pérenne précisant les ressources nécessaires à mobiliser (compétence C5 et C6)

Le candidat présente son travail à l’oral au format vidéo à l’attention du jury de certification comme s’il le défendait devant un comité de direction. Durant cette présentation enregistrée un accent particulier est mis sur les compétences de savoir agir en situation.

(1) les normes associées sont les normes de la famille des ISO 27000 (27001, 27002, 27003, 27004, 27005, 27006, 27007, 27008)

2. La certification CISSP (Certified Information Systems Security Professional)  

En complément et à titre secondaire, Skills4ALL vous offre la possibilité de préparer la certification CISSP (Certified Information Systems Security Professional) dévéloppée par l’organisme ISC².

La certification CISSP s’obtient en validant un examen et en ayant 5 années d’expérience professionnelle dans au moins 2 des 8 domaines de compétences de certification.

L’examen de certification CISSP est un QCM de 100 à 150 questions couvrant les 8 thèmes sur la sécurité. Les candidats doivent obtenir 70 % de bonnes réponses. L’épreuve se déroule dans un centre d’examen Pearson view et elle dure 3 heures.

Les domaines de compétences visés par la certification CISSP de l’ISC2 se base sur le Common Body of Knowledge (CBK) :

Domain 1. Security and Risk Management (16%)

Domain 2. Asset Security (10%)

Domain 3. Security Architecture and Engineering (13%)

Domain 4. Communication and Network Security (13%)

Domain 5. Identity and Access Management (IAM) (13%)

Domain 6. Security Assessment and Testing (12%)

Domain 7. Security Operations (13%)

Domain 8. Software Development Security (10%)

Pour obtenir la certification CISSP (Certified Information Systems Security Professional), les candidats doivent posséder une expérience professionnelle d’au moins cinq ans dans le domaine de la sécurité de l’information, avec une expérience directe dans au moins deux des huit domaines de connaissances couverts par l’examen. De plus, les candidats doivent adhérer au code de déontologie de l’ISC², réussir l’examen CISSP et maintenir leur certification en accumulant des crédits de formation continue.

Pour prouver vos cinq ans d’expérience professionnelle, vous devez faire valider votre expérience par un tiers qui est certifié CISSP. Si vous ne connaissez personne dans ce cas, l’ISC² peut se porter garante pour vous.

L’obtention d’un diplôme universitaire de quatre ans ou d’un équivalent régional, ou d’une certification supplémentaire figurant sur la liste approuvée par l’ISC² , permet de satisfaire à une année d’expérience requise. Les crédits d’éducation ne satisfont qu’à une année d’expérience. Si vous rentrez dans ce cas, vous n’aurez plus qu’à satisfaire 4 années d’expériences professionnelles.

Si vous n’avez pas encore l’expérience requise, vous obtenez le titre de “Associate of ISC2” après avoir réussi l’examen CISSP. Vous disposez alors de six ans pour obtenir une expérience professionnelle de 5 ans et être pleinement certifié CISSP.

Concètement, une fois que vous avez validé votre examen CISSP, vous allez recevoir un courriel contenant vos résultats officiels et pourrez entamer le processus d’approbation afin de confirmer que vous avez l’expérience professionnelle nécessaire pour obtenir une certification complète. La demande doit être approuvée (“endosser”) et signée numériquement par un professionnel certifié par l’ISC2. Si vous ne connaissez pas de professionnel certifié ISC2 en règle, l’ISC2 peut agir en tant “qu’endosseur” pour vous. Une fois votre demande d’approbation approuvée, vous en serez informé par e-mail et pourrez payer votre première côtisation annuelle (AMF) pour commencer votre cycle d’adhésion. Vous avez alors 9 mois pour compléter ce document

Pour maintenir votre certification, vous devrez obtenir des crédits de formation professionnelle continue (FPC). Vous pouvez obtenir des crédits FPC et vous développer professionnellement grâce à un large éventail d’opportunités FPC proposé par l’ISC² . (Les webinaires, les cours, les événements en ligne et les publications sont un excellent moyen d’obtenir des crédits FPC et de se tenir au courant des dernières questions et des meilleures pratiques en matière de cybersécurité.)

Toutes les informations complémentaires sont disponibles sur le site de l’ISC² à l’adresse : https://www.isc2.org/certifications/cissp.

L’objectif de cette formation est de préparer la certification :

– Évaluer et traiter les risques de sécurité de l’information en s’appuyant sur la norme NF ISO 27005 (ISO/CEI 27005 – Security Risk Manager) inscrite au Répertoire Spécifique n°RS6399 (SKILLS4ALL)

Le module “Security Risk Manager” basé sur la norme ISO/CEI 27005 complète ce parcours en fournissant les compétences nécessaires pour évaluer et gérer les risques liés à la sécurité de l’information. Les apprenants seront capables d’identifier, évaluer et traiter de manière proactive les risques, tout en contribuant à l’élaboration de politiques de sécurité globales pour l’organisation.

A l’issue de cette formation, l’apprenant sera capable de :

• Maîtriser le contenu de la norme ISO/CEI 27005 et la resituer dans le cadre général des normes ISO 27000,

• Comprendre la démarche et les enjeux de l’analyse de risque d’un système d’information en prenant en compte son environnement spécifique

• Appliquer les différentes étapes de l’analyse des risques en s’appuyant sur la méthodologie RM Ebios

• Comprendre le rôle d’un Security Risk Manager et ses responsabilités,

• Repérer et mesurer le rôle clef du facteur humain dans le management des risques

En complément, grâce à la formation CISSP, l’apprenant sera également capable de :

• Concevoir et mettre en place des architectures de communication et de réseau sécurisées.

• Identifier, contrôler et gérer efficacement les accès aux systèmes et aux données sensibles.

• Appliquer des méthodes et des outils pour sécuriser les logiciels et gérer les vulnérabilités.

• Superviser et coordonner les opérations de sécurité pour assurer une surveillance proactive des menaces.

• Mettre en œuvre des techniques de cryptographie pour sécuriser les communications et les données.

• Concevoir des architectures de sécurité robustes en tenant compte des exigences spécifiques de l’organisation.

• Développer et mettre en œuvre des programmes de sensibilisation à la sécurité pour l’ensemble du personnel.

• Appliquer les principes éthiques et juridiques appropriés dans le domaine de la sécurité informatique.

• Préparer de manière efficace et stratégique l’examen de certification CISSP en consolidant leurs connaissances et compétences dans tous les domaines requis.

Formation en digital-learning, 100% en ligne, formée de vidéos, de quiz, de lectures et contenus complémentaires, d’un forum et selon les cas, de webinaires.

Skills4All est un certificateur et organisme de formation en digital learning, qui vous prépare aux certifications les plus reconnues sur le marché : PMI, AXELOS, IASSC, DevOps Institute, PEOPLECERT, GASQ, CFTL, BESTCERTIFS, dans les domaines de la cybersécurité, de l’IT, la data, l’IA, l’agilité, Scrum, Prince2, Lean Six Sigma, Gestion de projet et bien plus encore.

Avec nous, c’est quand vous voulez, où vous voulez, 24/7/365, à votre rythme.

Nous proposons des formations certifiantes, éligibles au CPF et reconnues dans le monde entier.

Skills4All est accrédité par le COFRAC (Comité Français d’Accréditation) en tant que certificateur dans le domaine de la sécurité de l’information : nos certifications sont les meilleures du marché et répondent à la norme ISO 17024, la plus exigeante aujourd’hui. Obtenir une certification Skills4All ou BestCertifs aujourd’hui c’est le gage d’une reconnaissance forte du marché qui valorisera vos compétences.