Sécurité de l’information

- Calendrier de formation

Modules	Jours	Février	Mars	Avril	Mai	Juin	Juillet	Août	Septembre
ISO 27001 Foundation	2j		08-09		03-04		12-13
ISO 27001 Lead Auditor	5j	01-05		04-08		06-10		01-05
ISO 27001 Lead Implementer	5j		21-25		16-20		18-22		19-23
ISO 27002 Manager	2j	16-17		19-20		28-29		16-17
Certified ISO 27035 Lead Security Incident Professional	5j		07-11			20-24			26-30
Déploiement de la norme PCI DSS	2j	23-24			05-06				01-02

- Détails

ISO 27001 Foundation (Durée: 02 jours)

Comprendre la mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) conforme à l’ISO 27001
Comprendre la relation entre un SMSI (incluant le management des risques et des contrôles) et la conformité aux exigences des différentes parties prenantes d’une organisation.
Acquérir les connaissances nécessaires pour contribuer à la mise en œuvre d’un SMSI tel que spécifié dans l’ISO 27001.

Managers

Professionnels IT

RSSI

Auditeursi

Aucun

Introduction au concept de Système de Management de la Sécurité de l'Information (SMSI) tel que défini par l'ISO 27001
- Introduction à la famille des normes ISO 27000
- Introduction aux systèmes de management et à l’approche processus
- Principes fondamentaux en sécurité de l’information
- Exigences générales : présentation des clauses 4 à 8 de l'ISO 27001
- Phases de mise en œuvre du cadre ISO 27001
- Amélioration continue de la Sécurité de l’Information
- Conduire un audit de certification ISO 27001
Mettre en œuvre des mesures de sécurité de sécurité de l'information conformes à l'ISO 27002 et examen de certification
- Principes et élaboration de mesures de sécurité de l’information
- Documentation d’un environnement de contrôle de sécurité de l’information
- Contrôle et surveillance des mesures de sécurité de l'information
- Exemples de mise en œuvre de mesures de sécurité de l’information basés sur les meilleures pratiques de l’ISO 27002
- Examen Certified ISO/IEC 27001 Foundation

ISO 27001 Lead Auditor (Durée: 05 jours)

Comprendre la relation entre le système de management de la sécurité de l’information, le management des risques, les mesures.
Comprendre les principes, procédures et techniques d’audit de l’ISO 19011 :2002, et comment les appliquer dans le cadre d’un audit selon l’ISO 27001.
Acquérir les compétences nécessaires pour auditer un SMSI conforme aux exigences de l’ISO 27001, et les techniques de gestion d’une équipe d’audit.
Préparer et compléter un rapport d’audit ISO 27001.

Managers

Professionnels IT

RSSI

Personnes désirant diriger des audits de certification ISO 27001en tant que responsable d’une équipe d’audit

Consultants désirant préparer et accompagner une organisation lors d’un audit de certification ISO 27001

Auditeurs internes désirant préparer et accompagner leur organisation vers l’audit de certification ISO 27001

Une connaissance préalable des normes ISO 27001 et ISO 27002 est recommandée.

Introduction à la gestion d'un système de management de la sécurité de l'information selon ISO 27001
- Objectifs et structure du cours.
- Cadre normatif et réglementaire.
- Processus de certification ISO 27001.
- Principes fondamentaux de la sécurité de l’information et de la gestion du risque.
- Système de management de la sécurité de l’information (SMSI).
- Présentation des clauses 4 à 8 de l’ISO 27001.
Démarrer un audit ISO 27001
- Concepts et principes fondamentaux d’audit.
- Éthique et déontologie d’audit.
- L’approche d’audit fondée sur la preuve et sur le risque.
- Préparation d’un audit de certification ISO 27001.
- L’audit documentaire.
- Préparation du plan d’audit.
- Conduite d’une réunion d’ouverture.
Conduire un audit ISO 27001
- Communication durant l’audit.
- Les procédures d’audit (observation, entrevue, techniques d’échantillonnage).
- Rédaction des conclusions d’audit et des rapports de non-conformité.
Conclure un audit ISO 27001
- Documentation d’audit.
- Revue des notes d’audit.
- Conclusion d’un audit ISO 27001.
- Gestion d’un programme d’audit.
- La compétence et l’évaluation des auditeurs.
- Clôture de la formation.
Examen

ISO 27001 Lead Implementer (Durée: 05 jours)

Comprendre la mise en oeuvre d’un Système de Management de Sécurité de l’Information (SMSI) conforme à l’ISO 27001.
Acquérir une compréhension approfondie des concepts, approches, normes, méthodes et techniques nécessaires à la gestion efficace d'un SMSI.
Les exercices sont conçus à partir des retours d'expérience des consultants. Ils permettront, par des études de cas, d'apprendre à mettre en oeuvre et à prendre les bonnes décisions.

Manager.

Professionnel IT.

RSSI.

DSI.

Personne responsable de services opérationnels.

Responsable méthodes et qualité.

Une connaissance préalable des normes ISO 27001 et ISO 27002 est recommandée.

Introduction au concept du Système de Management de la Sécur ité de l'Information (SMSI) tel que défini par l'ISO 27001
- Introduction aux systèmes de management et à l’approche processus.
- Présentation des normes ISO 27001, ISO 27002 et ISO 27003, ainsi que le cadre normatif, légal et réglementaire.
- Principes fondamentaux de la sécurité de l’information.
- Analyse préliminaire et détermination du niveau de maturité d’un système de management de sécurité de l’information existant d’après l’ISO 21827.
- Rédaction d’une étude de faisabilité et d’un plan projet pour la mise en oeuvre d’un SMSI.
Planifier la mise en oeuvre d'un SMSI basé sur l'ISO 27001
- Définition du périmètre (domaine d’application) du SMSI.
- Développement de la politique et des objectifs du SMSI.
- Sélection de l’approche et de la méthode d’évaluation des risques.
- Gestion des risques: identification, analyse et traitement du risque (d’après les dispositions de l’ISO 27005).
- Rédaction de la Déclaration d’Applicabilité
Mettre en place un SMSI basé sur l'ISO 27001
- Mise en place d’une structure de gestion de la documentation.
- Conception des mesures de sécurité et rédaction des procédures.
- Implémentation des mesures de sécurité.
- Développement d’un programme de formation, de sensibilisation et communication autours de la sécurité de l’information.
- Gestion des incidents (selon les dispositions de l’ISO 27035).
- Gestion des opérations d’un SMSI.
Contrôler, surveiller, mesurer et améliorer un SMSI ; audit de certification d'un SMSI
- Contrôler et surveiller un SMSI.
- Développement de métriques, d’indicateurs de performance et de tableaux de bord conformes à l’ISO 27004.
- Audit interne ISO 27001.
- Revue de direction du SMSI.
- Mise en oeuvre d’un programme d’amélioration continue.
- Préparation à l’audit de certification ISO 27001.
Examen

ISO 27002 Manager (Durée: 02 jours)

Comprendre la mise en oeuvre d’un système de management de sécur ité d’information (SMSI).
Acquérir une compréhension complète des concepts, des approches, des normes, des méthodes et des techniques liées à un SMSI.
Acquérir l'expertise nécessaire pour soutenir une organisation qui met en oeuvre, gère et maintient un SMSI.
Acquérir l'expertise nécessaire pour gérer une équipe mettant en oeuvre la norme ISO 27002.

Membre d’équipe de sécurité de l’information.
Professionnel IT.
Consultant IT.
Conseiller expert IT.

Aucun.

Introduction aux concepts d’un système de management de sécurité d’information tel que requis par la norme ISO 27002
- Comprendre et expliquer les opérations de l'organisation ISO et l'élaboration de normes de sécurité de l'information.
- Capacité d’identifier, d’analyser et d’évaluer les exigences de conformité de sécurité de l'information pour une organisation.
- Capacité d’expliquer et d’illustrer les principaux concepts de la sécurité de l'information et de gestion des risques de sécurité de l’information.
- Capacité de distinguer et d’expliquer la différence entre les informations, les données et les enregistrements.
- Comprendre, interpréter et illustrer la relation entre les concepts de l'actif, de la vulnérabilité, de la menace, d'impact et de contrôles.
Contrôles de la sécurité d’identification, d'évaluation et d’ analyses selon la norme ISO 27002 et l'examen de certification
- Capacité d’identifier, de comprendre, de classer et d'expliquer les clauses, les catégories de sécurité et des contrôles de la norme ISO 27002.
- Capacité de détailler et d'illustrer les contrôles de sécurité des meilleures pratiques par des exemples concrets.
- Capacité de comparer les solutions possibles à un problème de sécurité réel d'une organisation et d'identifier / analyser les forces et les faiblesses de chaque solution.
- Capacité de sélectionner et de démontrer les meilleurs contrôles de sécurité afin de répondre aux objectifs de contrôle de la sécurité de l'information formulés par l'organisation.
- Capacité de créer et de justifier un plan d'actions détaillé pour mettre en oeuvre un contrôle de sécurité en énumérant les activités liées.
- Capacité d'analyser, évaluer et valider des plans d'actions pour mettre en oeuvre un contrôle spécifique.

Certified ISO 27035 Lead Security Incident Professional (Durée: 05 jours)

Comprendre les concepts, les approches, les méthodes, les outils et les techniques permettant une gestion efficace des incidents de sécurité de l'information selon la norme ISO 27035.
Comprendre, interpréter et fournir des conseils sur la façon de mettre en oeuvre et gérer les processus de gestion des incidents basés sur les meilleures pratiques de la norme ISO 27035 et d'autres normes pertinentes.
Acquérir les compétences nécessaires pour mettre en oeuvre, maintenir et gérer un programme d'information continue de la gestion des incidents de sécurité selon la norme ISO 27035.
Acquérir la compétence pour conseiller efficacement les organisations sur les meilleures pratiques en matière de gestion de la sécurité de l'information.

Membre d’équipe de sécurité d’information.
Incident manager.
Information Security Risk Manager.
Consultant sécurité et Business Process.
Membre d’équipe de réponses aux incidents.

Une connaissance de base de la gestion des incidents de sécurité de l'information est recommandée.

Introduction, framework de gestion des incidents selon la norme ISO 27035
- La gestion des incidents de la sécurité de l’information.
- Processus de base de l’ISO 27035.
- Principes fondamentaux de la sécurité de l'information.
- Liaison avec la continuité des activités.
- Enjeux juridiques et éthiques.
Planification de la mise en oeuvre d'un processus de gestion d es incidents organisationnels basée sur la norme ISO 27035
- Lancement d'un processus de gestion des incidents de sécurité.
- Comprendre l'organisation et clarifier les objectifs.
- Planifier et préparer.
- Rôles et fonctions.
- Politiques et procédures.
Mettre en oeuvre un processus de gestion des incidents
- La planification de la communication.
- Premières étapes de mise en oeuvre.
- Articles de soutien de mise en oeuvre.
- Mise en oeuvre de détection et du signalement.
- Évaluation et décision d'exécution.
- Mise en oeuvre des réponses.
- Mise en oeuvre des leçons apprises.
- Transition aux opérations.
Surveillance, mesure et amélioration d’un processus de gestion des incidents
- Analyse approfondie.
- Analyse des leçons tirées.
- Les actions correctives.
- Compétence et évaluation des gestionnaires d'incidents.
Examen

Déploiement de la norme PCI-DSS (Durée: 02 jours)

PCI-DSS, le standard de sécurité imposé par l'industrie de la carte de payement : d'où vient ce standard ? Qui doit s'y conformer ? Comment s'y conformer ? La formation "Déploiement de la norme PCI-DSS" répond en deux journées à vos questions, vous explique les principales contraintes du standard et vous propose des pistes efficaces pour établir votre plan de mise en conformité. Quiconque gère, stocke ou transmet des informations venant des cartes de crédit saura à l'issue de la formation quelles mesures de sécurité il doit prendre pour pouvoir continuer à le faire.

Manager.
Professionnel IT.
RSSI.
Utilisateur.
Personne appelée à manipuler des n° de cartes bancaires, qu'il soit commerçant, fournisseur de services ou émetteur, ainsi que plus généralement à tous ceux qui gèrent, stockent ou transmettent des informations issues des cartes bancaires, banques, auditeurs financiers.

Connaissance générale en sécurité des systèmes d’information.

L'implémentation des exigences Réseaux et Télécoms
- Le cloisonnement réseau.
- L'administration des équipements réseaux et télécoms.
- La mise en place des standards de configuration.
- Les exigences relatives au déploiement Wifi.
- Les exigences relatives à la sécurisation des firewalls.
- Les exigences liées à la transmission des données de porteurs de cartes.
La manipulation des données de porteurs de cartes
- Les règles de gestion imposées par la norme PCI-DSS.
- Le chiffrement de stockage des données de porteurs de cartes.
- Les traitements sécurisés liés aux données de porteurs de cartes.
- La gestion des archives et des logs.
L'implémentation des exigences Système
- Les fonctions principales.
- La virtualisation.
- Contrôle d'intégrité des fichiers système.
- La gestion des vulnérabilités.
- Les patchs de sécurité.
L'implémentation des solutions de sécurité
- La solution antivirale.
- L'IPS et les firewalls.
- La gestion des logs de sécurité.
- Le contrôle d'intégrité.
- La synchronisation des horloges.
- La gestion des vulnérabilités et des patchs.
La formalisation
- La politique de sécurité.
- La charte de sécurité.
- Procédures opérationnelles de sécurité.
- Standards et guides de sécurité.
La dimension humaine
- La compagne de sensibilisation.
- La formation des acteurs projets.
- La gestion de changement.
- L'amélioration continue.