Devis Demander un devis
star--3

ESD-27005 : Gestion des risques avec la norme ISO/IEC 27005 (e-learning)

ESD-ISO27005

La formation ISO/IEC 27005:2022 proposée par l’ESD est destinée aux professionnels souhaitant se former à la gestion des risques en sécurité de l’information. Elle est basée sur la norme de référence en gestion des risques cyber.

À propos de cette formation

À distance

À partir de 825€ HT

3 jours

21 heures

Action de formation

Éligible CPF

Éligible OPCO

En savoir plus

Objectifs pédagogiques
  • Comprendre les concepts de base de la sécurité de l’information, les normes ISO/IEC 27001 et ISO/IEC 27005.
  • Savoir identifier les actifs et les menaces liés à la sécurité de l’information et évaluer les risques associés.
  • Connaître les différentes méthodes de gestion des risques et savoir les appliquer dans la pratique.
  • Savoir établir un plan de traitement des risques de sécurité de l’information, y compris la détermination des mesures de sécurité appropriées.
  • Acquérir les compétences pour mener une évaluation des risques de sécurité de l’information de manière efficace et efficiente.
  • Savoir communiquer les résultats de l’évaluation des risques aux parties prenantes concernées.
  • Être capable de passer l’examen de certification ISO/IEC 27005 avec succès.
  • Appliquer les connaissances et les compétences acquises dans leur travail quotidien pour renforcer la sécurité de l’information au sein de leur organisation.
Contenu de la formation
  • Section 1 – Fondamentaux de la gestion des risques
    • Définition du risque (dictionnaire, ISO/IEC 27005:2022, EBIOS Risk Manager)
    • Composantes d’un risque (actif, vulnérabilité, menace, scénario, calcul du risque)
    • Interaction entre les composantes d’un risque
    • Exercice 1 : Composer un risque
    • Étude des risques – méthodes et normes
    • Norme vs méthodologie
    • Rappel d’une norme ISO/IEC
    • Lien entre l’ISO 27001 et 27005
    • Gouvernance, risque, ISO/IEC 27005:2022, lien avec l’ISO/IEC 27001
    • Développer un programme de gestion des risques
  • Section 2 – Présentation de la norme ISO/IEC 27005:2022
    • Présentation de l’ISO/IEC 27005:2022 (clauses)
    • Structure de la norme ISO/IEC 27005:2022
    • Cycle de la norme
    • PDCA (roue de Deming)
    • Approche processus
    • Évolution ISO/IEC 27005:2011 vs 2022
  • Section 3 – La phase de contexte par ISO/IEC 27005:2022
    • Définition d’une organisation, appétit du risque
    • Identification des exigences de base des parties prenantes
    • Exercice 2 : Établir le contexte d’une organisation
    • Identifier les objectifs, cycle d’itération
    • Considérer la gestion des risques dans une organisation
    • Critères d’acceptation des risques
    • Critère d’évaluation des risques
    • Critères pour la conséquence
    • Critères pour la probabilité
    • Critères de détermination du niveau de risque
    • Exercice 3 : Établir les critères d’une organisation
  • Section 4 – Cycle d’analyse
    • Définition du cycle d’analyse
    • Approche par événements / par actif
  • Section 5 – Phase d’identification des risques
    • Identification des actifs
    • Identification des vulnérabilités
    • Identification des menaces
    • Identification des conséquences
    • Exercice 4 : Identifier les actifs, les événements et les porteurs de risque
    • Identifier les sources de risques et les objectifs visés
    • Exercice 5 : Identifier les sources de risques et les objectifs visés
    • Identification des parties prenantes
    • Exercice 6 : Identifier les parties prenantes et les chemins d’attaque
    • Valeur et liens entre les actifs
    • Exercice 7 : Identifier les actifs supports
    • Identifier les scénarios opérationnels
    • Exercice 8 : Identifier les scénarios opérationnels
  • Section 6 – Phase d’estimation et d’évaluation des risques
    • Approche qualitative vs quantitative
    • Les différentes méthodes de calcul des risques
    • Estimer le niveau de sévérité de la conséquence
    • Exercice 9 : Estimer la sévérité de la conséquence
    • Estimer la probabilité d’occurrence
    • Exercice 10 : Estimer la probabilité d’occurrence
    • Déterminer le niveau de risque
    • Exercice 11 : Déterminer le niveau de risque
    • Comparer le résultat de l’estimation des risques avec les critères de risque
    • Prioriser les risques
    • Exercice 12 : Prioriser les risques
    • Établir un plan de traitement des risques
  • Section 7 – Phase de traitement et d’acceptation des risques
    • Les différentes options de traitement du risque
    • Déterminer les contrôles nécessaires à la mise en œuvre des options de traitement
    • Comparer les contrôles avec ceux de l’annexe A ISO/IEC 27001
    • Exercice 13 : Comparer les contrôles avec l’annexe A de l’ISO/IEC 27001
    • Produire une déclaration d’applicabilité (DDA)
    • Mettre en place un plan de traitement des risques
    • Exercice 14 : Mettre en place un plan de traitement des risques
    • Notions de risques bruts, nets, résiduels
    • Évaluer le risque résiduel
    • Approuver par les porteurs de risques
  • Section 8 – Communication et surveillance
    • Établir un plan de communication
    • Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA
  • Section 9 – Alignement au SMSI
    • Contexte de l’organisation
    • Leadership et engagement
    • Phase de communication
    • Créer une matrice de communication
    • Exercice 15 : Créer une matrice de communication
    • Communiquer les risques résiduels au PCA et la réponse à incident
    • Phase de documentation
    • Informations documentées sur les processus
    • Informations documentées sur les résultats
    • Surveillance et révision des facteurs influençant les risques
    • Exemple du SFDT (source-function-destination-trigger)
    • Exercice 16 : Créer un scénario de surveillance
    • Action corrective
    • Amélioration continue

L'organisme de formation

star--1
ESD Cybersecurity Academy

Découvrir l'organisme de formation

Public concerné

  • Consultant en sécurité de l’information, risk manager
Prérequis
  • Connaissances générales en sécurité des systèmes d’information

Conditions d'accès

Accessibilité

https://esdacademy.eu/accueil-et-handicap/

Délai d'accès

1 semaine

Diplôme / Certification

  • Niveau de sortie : RNCP36399BC04 - Piloter la sécurité organisationnelle - Certification (dont CQP) ou habilitation enregistrée au Répertoire National des Certifications Professionnelles (RNCP)
  • Acquisition de Compétences Techniques Maîtrise des outils spécifiques : Les participants seront capables d'utiliser efficacement des outils et logiciels pertinents pour leur domaine de formation, qu'il s'agisse de cybersécurité, de développement, de gestion de projets, etc. Connaissance approfondie des concepts fondamentaux : Les participants comprendront les principes de base et avancés liés à leur domaine, incluant les meilleures pratiques, les normes et les méthodologies appliquées. Opérationnalité Professionnelle Prêt à l'emploi : Les participants seront prêts à intégrer immédiatement des environnements professionnels, en appliquant leurs compétences techniques pour résoudre des problèmes réels et participer activement aux projets de leur entreprise. Adaptabilité aux situations professionnelles : Formation à la gestion efficace des situations courantes et des imprévus dans le milieu professionnel, y compris la gestion des incidents, la communication efficace et le travail en équipe.
  • Inscription et Admission Candidature : Les participants doivent soumettre une candidature en ligne via le site de l'ESD Cybersecurity Academy. Cela inclut la fourniture de détails personnels et professionnels ainsi que des motivations pour suivre la formation. Validation des prérequis : Les candidats doivent démontrer qu'ils possèdent les connaissances de base en informatique nécessaires pour suivre le programme. Participation aux Modules de Formation Assiduité : Les participants doivent assister à toutes les sessions de formation, y compris les cours théoriques et les ateliers pratiques. Participation active : Une participation active aux discussions, aux exercices pratiques et aux études de cas est requise. Évaluations et Examen Final Tests intermédiaires : Des tests et des évaluations intermédiaires sont organisés tout au long de la formation pour évaluer la compréhension des concepts et la progression des participants. Projet pratique : Les participants doivent réaliser un projet pratique qui simule un environnement de cybersécurité réel, démontrant ainsi leur capacité à appliquer les connaissances acquises. Examen final : Un examen final, qui peut inclure des questions théoriques et des exercices pratiques, est administré pour évaluer la maîtrise complète des sujets couverts dans la formation. Certification Validation des compétences : La certification est délivrée aux participants qui réussissent l'examen final et complètent le projet pratique avec succès. Certificat reconnu : Les participants reçoivent un certificat officiel reconnu par le secteur de la cybersécurité. Suivi Post-Formation Réseautage : Les diplômés peuvent rejoindre des réseaux professionnels et participer à des événements organisés par l'ESD Cybersecurity Academy.

Découvrez ce programme en vidéo !

Demander un devis

D'autres formations qui pourraient vous intéresser

star--2
ESD-PENTESTFOUND : Fondamentaux des tests d’intrusion (e-learning)
La formation “ESD-PENTESTFOUND : Fondamentaux des tests d’intrusion” proposée par l’ESD Cybersecurity Academy est une formation essentielle pour les débutants en cybersécurité qui souhaitent acquérir des compétences de base en matière de tests d’intrusion et d’évaluation des vulnérabilités. Cette formation couvre un large éventail de sujets, y compris les principes du piratage éthique, la méthodologie de tests d’intrusion, les outils de base et les techniques de test de vulnérabilité. La formation “Fondamentaux des tests d’intrusion” est conçue pour les novices en cybersécurité qui cherchent à poser les bases solides nécessaires pour progresser dans le domaine des tests d’intrusion et des évaluations de vulnérabilités. Elle convient également aux professionnels de la sécurité informatique qui souhaitent ajouter des compétences fondamentales en matière de tests d’intrusion à leur profil de compétences existant.
À distance
À partir de 825€ HT
47 heures

Action de formation

Formation éligible au CPF - 36399BC01

Formation éligible OPCO
Demander un devis
star--2
ESD-CYBERFOUND : Fondamentaux de la cybersécurité (5 jours)
La formation “ESD-CYBERFOUND : Fondamentaux de la cybersécurité” proposée par l’ESD Cybersecurity Academy est une formation pratique destinée aux professionnels de la sécurité informatique, aux débutants dans le domaine, ainsi qu’à toute personne souhaitant acquérir des compétences solides en cybersécurité. La formation couvre un large éventail de sujets, y compris les concepts de base de la cybersécurité, les techniques de protection, les outils utilisés pour sécuriser les systèmes informatiques, et la gestion des risques. La formation est conçue pour les professionnels de la sécurité informatique qui cherchent à améliorer leurs compétences en cybersécurité, ainsi que pour ceux qui cherchent à ajouter ces compétences à leur profil existant. Les participants apprendront à reconnaître et à identifier les différentes menaces et vulnérabilités, à utiliser des techniques de protection pour sécuriser les systèmes, et à utiliser des outils pour analyser et renforcer la sécurité informatique. La formation comprend également des travaux pratiques pour permettre aux participants de mettre en pratique les compétences acquises et de se familiariser avec les outils utilisés en situation réelle.
À distance
À partir de 2667€ HT
5 jours | 35 heures

Action de formation

Formation éligible OPCO
Demander un devis

Des Organismes de formation de confiance !

Nous recensons aujourd’hui des formations dans plus d’une 100ène de catégories et sous catégories afin d’être le plus représentatif par rapport au besoin en compétences des entreprises.

Comparer
Comparez jusqu'à 3 cours