» Introduction
La notion de risque (potentialité, impact, gravité).
Les types de risques (accident, erreur, malveillance).
La classification DIC.
La gestion du risque (prévention, protection, report de risque, externalisation).
» RSSI : chef d'orchestre de la sécurité
Quel est le rôle du RSSI ?
Vers une organisation de la sécurité, le rôle des " Assets Owners "
Gestion optimale des moyens et des ressources allouées.
Le Risk Manager dans l'entreprise ; son rôle par rapport au RSSI.
» Les cadres normatifs et réglementaires
Les réglementations SOX, COSO, COBIT. Pour qui ?
Vers la gouvernance informatique, les liens avec ITIL et CMMI.
La norme ISO dans une démarche Systèmes de management.
Les liens avec ISO 15408 (Critères communs, ITSEC, TCSEC).
La certification ISO 27001.
» L'analyse de risque
Identification et classification des risques.
Risques opérationnels, physiques/logiques.
Comment constituer sa propre base de connaissances menaces/vulnérabilités ?
Les méthodes en activité : EBIOS/FEROS, MEHARI.
La démarche d'analyse de risques dans le cadre 27001, l'approche PDCA.
La méthode universelle ISO 27005 ? les évolutions des méthodes françaises.
De l'appréciation au plan de traitement des risques : ce qu'il faut faire.
» Les audits de sécurité
Processus continu et complet.
Les catégories d'audits, de l'audit organisationnel au test d'intrusion.
Les bonnes pratiques de la norme 19011 appliquées à la sécurité
Comment créer son programme d'audit interne, qualifier ses auditeurs ?
Apports comparés, démarche récursive, les implications humaines.
» Plan de sensibilisation et de communication
Sensibilisation à la sécurité : Qui ? Quoi ? Comment ?
Définition Morale/Déontologie/Ethique.
La charte de sécurité, son existence légale, son contenu, sa validation.
» Le coût de la sécurité
Les budgets sécurité.
La définition du Return On Security Investment (ROSI).
Les techniques d'évaluation des coûts/ différences de calcul/au TCO.
La notion anglo-saxonne du " payback period ".
» Plans de secours
Définitions. Couverture des risques et stratégie de continuité. Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO...
Développer un plan de continuité, l'insérer dans une démarche qualité.
» Concevoir des solutions optimales
Démarche de sélection des solutions de sécurisation adaptées pour chaque action.
Définition d'une architecture cible.
La norme ISO 1540 comme critère de choix.
Choisir entre IDS et IPS, le contrôle de contenu comme nécessité.
Comment déployer un projet PKI, les pièges à éviter.
Les techniques d'authentification, vers des projets SSO, fédération d'identité.
La démarche sécurité dans les projets informatiques, le cycle PDCA idéal.
» Supervision de la sécurité
Gestion des risques (constats, certitudes...).
Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA.
Externalisation : intérêts et limites.
» Les principes juridiques applicables au SI
Les bases du droit : comment s'applique une loi ? De la règle de droit à la décision de justice.
La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
La responsabilité pénale.
» Les atteintes juridiques au STAD
Rappel définition du Système de Traitement Automatique des Données (STAD).
Types d'atteintes, contexte européen, la loi LCEN.
Quels risques juridiques pour l'entreprise, ses dirigeants, le RSSI ?
» Recommandations pour une sécurisation " légale " du SI
La protection des données à caractère personnel, sanctions prévues en cas de non-respect.
De l'usage de la biométrie en France.
La cyber surveillance des salaries : limites et contraintes légales.
Le droit des salariés et les sanctions encourues par l'employeur.
