Introduction à la Gestion des Risques en Sécurité de l'Information (ISO 27005)

Équipement requis
Venir à la formation avec la norme ISO 27005

Précisions
Infos et achats “Norme ISO 27005" sur www.iso.org et/ou www.nbn.be

La sécurité des systèmes d'information est un enjeu majeur pour les entreprises. Elle n'est aujourd'hui plus exclusivement du ressort des informaticiens mais intègre également des moyens organisationnels, juridiques et humains afin de prévenir l'utilisation non autorisée, le mauvais usage, la modification ou encore le détournement d'informations sensibles et/ou confidentielles. Une démarche par les risques, techniques et non techniques, apparaît de fait naturelle et efficace en vue de sécuriser les systèmes d'information.

Le référentiel ISO 27005 rassemble les principales lignes directrices relatives à la gestion des risques en sécurité des systèmes d'information. Il s'appuie en ce sens sur le référentiel ISO 27001 qu'il complète en précisant les exigences portant sur la gestion des risques, mais peut être utilisée de manière autonome.

L'objectif de la formation est d'éclairer les participants sur la gestion des risques en matière de sécurité de l'information. Sont ainsi abordés les notions d'identification, d'appréciation, d'évaluation, de traitement et de seuil d'acceptation du risque.

Basé sur une boucle d'amélioration continue communément rencontrée dans les référentiels ISO, le référentiel ISO 27005 fournit une démarche mais ne constitue toutefois pas une méthode. Pas de chiffres ni de formules donc! Néanmoins, la formation fait le lien en proposant également une introduction à la méthode EBIOS, sur base d'un exercice représentatif à la gestion de risques majeurs en sécurité de l'information dans une PME.

A l'issue de la formation, les participants seront capables:

• D'appréhender très concrètement la notion de gestion du risque en sécurité de l'information
• De participer à la définition d'un programme de gestion des risques en sécurité de l'information
• De faire le lien entre les risques identifiés et leur traduction à travers une méthode type EBIOS

• Les risques en matière de sécurité de l'information
• Le référentiel ISO 27005 en quelques mots
• Analyse du risque
• Évaluation et traitement du risque
• Acceptation du risque et gestion du risque résiduel
• Communication, surveillance et contrôle du risque
• Exercice - Gestion de quelques risques majeurs en sécurité de l'information dans une PME
• Conclusions et bilan de la formation

Alternance d’exposés théoriques et d’exercices pratiques permettant la vérification de la compréhension de la matière.
Questionnement interactif dans le but de partager des expériences vécues.
Feedback permanent.

L’évaluation des apprentissages est réalisée tout au long de la formation par la mise en pratique des concepts étudiés et par la réalisation d’auto-évaluation, de questionnement, d’évaluation continue avec feedback vers les apprenants, …

Des attestations de participation seront envoyées, par email, aux participants après la formation s’ils ont participé intégralement à celle-ci et seulement après paiement de la facture qui y est relative.

Le français sera la langue véhiculaire durant la formation (oral et notes de formation).