Conduite de Projets de sécurité ...
OBJECTIFS
Cette formation a pour objectif de présenter l'ensemble des étapes nécessaires à la réussite d'un projet de sécurité du système d'information. De l'analyse des risques à la mise en œuvre de solutions optimales en passant par l'audit technique et l'optimisation des coûts, toutes les phases de votre projet de sécurité sont décrites avec des études de cas et de nombreux exemples pratiques vous permettant une mise en application immédiate d'actions concrètes dans votre organisme.
PUBLIC
Architectes du système d'information ou chefs de projets intégrant des contraintes de sécurité, RSSI, directeurs ou responsables informatiques, ingénieurs ou correspondants Sécurité, auditeurs internes.
CONTENU DE LA FORMATION
Introduction
La notion de risque (potentialité, impact, gravité).
Les types de risques (accidents, erreurs, malveillance).
Les conséquences (directes et indirectes, financières ou non).
La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
La gestion du risque (prévention, protection, report de risque, externalisation).
La gestion d'un projet de sécurité, définir le type de projet, borner le champ d'application de la sécurité.
Intégrer les contraintes réglementaires et normatives
Rappels des principales contraintes.
Les contraintes réglementaires nationales et internationales (SOX, Bâle II,...).
Les contraintes normatives ISO 27001,...
Inventorier les contraintes réglementaires dans le projet.
Traduire ces contraintes en pré-requis techniques pour le projet.
Apprendre à planifier des actions de sécurité.
Intégrer le projet de sécurité dans un ensemble cohérent. à la réglementation
Evaluer les risques sur le projet
Inventorier les actifs du projet – Evaluer leurs valeurs sur le vecteur CAID.
Adapter une méthode d'analyse de risques au type et périmètre du projet.
Les objectifs d'évaluation du risque à atteindre.
Les méthodes EBIOS, MEHARI, exemples pratiques.
Comment choisir une méthode ? Etre ou ne pas être « ISO 19011 spirit » ?
Les règles clés pour réussir son audit.
Choisir son référentiel et préparer les indicateurs et mesures d'écarts.
Budgétiser le coût de la sécurité dans le projet
Apprendre à calculer un coût de solution.
Identifier les coûts récurrent/non récurrents.
Identifier les critères de présentation et justifications budgétaires. (Contraintes réglementaires, enjeux économiques, enjeux informatiques...).
Evaluer le risque résiduel après la mise en oeuvre du projet.
Choisir entre maîtrise du risque en interne ou transfert vers un tiers (externalisation, assurance).
Assurabilité d'un risque, calcul financier du transfert à l'assurance.
La mise en œuvre du projet
Choix des solutions optimales.
Critères de choix des technologies et produits.
Rédaction du cahier des charges - s'assurer de sa parfaite lisibilité/à l'extérieur.
Les règles fixées à la consultation des intégrateurs- revendeurs.
Comparaison des offres - critères de choix des partenaires sur le projet.
Assurer un suivi du projet dans sa mise en œuvre.
Les étapes planifiées avant la recette.
La recette du projet : comment la réaliser.
Test d'intrusion incontournable ? Audit technique ou pas ?
Le choix d'un auditeur indépendant, interne ou externe ?
Le projet de sécurité après sa recette
Le cycle de vie du projet.
Pourquoi un projet de sécurité s'inscrit-il dans un temps infini ?
Roue de Deming et démarche PDCA comme fil conducteur.
La supervision sécurité de votre projet dans la supervision active du SI.
La gestion des logs et centralisation des événements, analyse et réaction, génération de rapport. Veille technologique.
Indicateurs et tableaux de bord clés.
Veille technologique spécifique du projet.
Externalisation : intérêts et limites.
Que faire en cas d'attaques ?
Pour vous inscrire, veillez nous écrire à formation@dataprotect.ma