Formations

Pour la table des matières détaillées, merci de nous consulter

Cycle A – Management de l’Information

A1 Le Management de l’information (MI)

Cette formation d’un jour part des responsabilités et des activités de gestion des biens matériels pour évoluer vers le management de l’information, éminemment immatérielle ce qui cause de nombreuses incohérences dans sa gestion. Comme on ne peut gérer que ce que l’on connaît et que l’on ne peut protéger que ce que l’on peut gérer, nous construisons les fondations d’une sécurité de l’information efficace et durable.
Contenu

  • introduction
  • gestion des actifs matériels
  • l’utilisation de l’information
  • les 10 étapes de la gestion de l’information
  • la gestion et le management
  • conclusion

A2 Le Maitrise du Processus Informationnel (MPI)

Le processus informationnel est un processus qui transforme une (ou plusieurs) information(s) d’entrée en information(s) de sortie. Chaque activité humaine est un processus informationnel, même s’il est souvent inconscient. Mais il n’est pas toujours efficace. Pendant cette formation d’un jour, nous aborderons les techniques pour décrire le processus et identifier les points de faiblesses, ceux où l’information est à risque, et les différents types de solutions à apporter pour assurer 1° l’efficacité, la rentabilité et la pérennité (sûreté de fonctionnement), et 2° la résistance aux actes délibérés (sécurité).
Contenu

  • définitions
  • les processus de l’entreprise : métier et support
  • les processus informationnels de base
  • la qualité de l’information
  • la représentation du processus
  • où sont les risques ?
  • l’étendue de la responsabilité
  • les référentiels
  • conclusion

A3 La clé de voûte de la S.I. : la Classification des Bien

L’information n’est pas gérée non seulement parce qu’elle est immatérielle, mais parce qu’il est difficile, croit-on, d’en estimer la valeur. Cette formation d’un jour construit un outil qui permettra aux participants de classifier ses informations selon quatre critères : confidentialité, intégrité, disponibilité et traçabilité. Nous verrons que les axes de mesure et les critères les plus demandeurs de sécurité ne sont pas toujours ceux que l’on croit.
Contenu

  • les valeurs et les enjeux d’entreprise
  • construire ses échelles de mesure
  • les quatre axes de sensibilité
  • les dommages à prendre en compte
  • création du questionnaire
  • valorisation (classification)
  • conclusion

Cycle B – Management de la Sécurité de l’Information

B1 Le Management de la Sécurité de l’Information (MSI)

Cette formation de deux jours aborde par la pratique les rôles et responsabilités, les objectifs et les différentes activités de management de la sécurité de l’information. Partant d’un modèle ‘intuitif’, nous évoluerons vers le modèle ‘normalisé’ : ISO/IEC 27001 :2013 et son guide de bonnes pratiques (ISO/IEC 27002 :2013). Les compléments mettront les participants au contact de concepts déjà éprouvés qui ne sont pas encore bien mis en œuvre dans le management de la S.I.
Contenu

  • introduction
  • rôles et responsabilités
  • les 9 dimensions de la S.I.
  • les processus de gestion de la S.I.
  • introduction au Plan d’Actions S.I.
  • les solutions S.I.
  • la supervision, l’analyse et l’audit
  • les référentiels (27001, 27002, 27003 et 27004)
  • compléments
  • conclusion

B2 Le Plan d’Actions Sécurité de l’Information (PASI)

Une fois que les ‘mesures de sécurité’ ont été décidées lors de la phase de traitement du risque (GRSI), nous ne sommes qu’au début du voyage. Nous connaissons nos objectifs et ce que nous sommes prêts à faire pour les atteindre. Il reste à mettre ces actions dans un calendrier et de déterminer les ressources nécessaires. Ce n’est pas toujours simple et le projet prend souvent une envergure inattendue. Dans cette formation de deux jours, nous analyserons ce qui influence la vie de ce projet et comment y apporter une réponse adéquate.
Contenu

  • introduction
  • la liste des contrôles issue du traitement des risques
  • le choix des contrôles
  • le groupement des contrôles
  • la stratégie
  • la construction du PASI
  • la gestion de l’évolution du PASI
  • la gestion des changements au PASI
  • les incidents et le PASI
  • la continuité des activités et le PASI
  • conclusion

B3 La Sécurité de l’Information dans le Plan de Continuité des Activités (SIPCA)

Les Plan de Continuité de l’Activité, les Plans de Reprise des Activités et autres plans d’urgence se focalisent sur les systèmes informatiques (pare que sans elle plus rien ne se fait). Mais il existe une influence réciproque forte entre ces plans et les exigences de sécurité de l’information. Cette formation d’un jour aborde cette influence et montre comment le Plan de réponse aux incidents peut aider les plans d’urgence et réciproquement.
Contenu

  • introduction
  • ce que dit la norme ISO/IEC 27002 :2013
  • les exigences de continuité de la S.I.
  • les concepts PCA/PRA
  • comment lier le plan de réponse aux incidents et les plans d’urgence
  • exemple pratique
  • conclusion

B4 La Gouvernance de la Sécurité de l’Information (GSI)

Cette formation de 2 jours aborde la différence entre le management et la gouvernance et l’objet de la question l’information, le système d’information et la sécurité de l’information. Elle présente ensuite les trois niveaux de gouvernance ainsi que les concepts et activités associées. Une étude des référentiels permet d’imaginer un modèle de gouvernance.
Contenu

  • introduction et définitions
  • l’information et les processus informationnels dans l’entreprise
  • rappels de S.I.
  • management et gouvernance
  • principes et activités de gouvernance
  • rôles et responsabilités
  • amélioration continue
  • un modèle de gouvernance S.I.
  • références applicables
  • nouvelles pistes
  • conclusion

Cycle C – La gestion des risques de sécurité de l’information

C1 Introduction à la Gestion des Risques Sécurité de l’Information (GRSI)

Cette formation de 2 jours part à la découverte des définitions et des concepts liés aux risques d’insécurité de l’information, du processus de gestion des risques de sécurité de l’information. Elle présente le contenu de la norme ISO/IEC 27005 :2013. Elle conduit ensuite à s’interroger sur les ‘mesures’ de sécurité et leurs caractéristiques. 5 méthodes de gestion des risques sont brièvement présentées.
Les exemples utilisés sont ‘concrets’ et font appel à des évènements ‘quotidiens’ (de la menace à la réponse) pour transiter vers les risques ‘immatériels’ liés à l’information.
Contenu

  • le risque S.I., qu’est-ce ?
  • les objectifs de la gestion des risques S.I.
  • les approches de la gestion des risques S.I. et leurs limites
  • le processus de gestion des risques S.I.
  • buts, périmètres et acteurs de la gestion des risques S.I.
  • les solutions S.I.
  • éléments annexes
  • outils
  • conclusion

C2 Découverte d’une méthode de gestion des risques S.I. (MGRSI)

Cette formation ‘pratique’ de 2 jours suit logiquement la formation « Introduction à la gestion des risques de sécurité de l’information ». Elle décrit en détail l’une des 5 méthodes présentées (EBIOS, MEHARI, MATRIS, OCTAVE, SP800-53) et amène à l’appliquer sur un ‘Business Case’ à choisir parmi 3 proposés (@rchimed, UberPack et Bio-SME).
Contenu

  • présentation du cas sélectionné
  • méthode de travail
  • description de la méthode choisie, ses techniques et ses outils
  • étude du cas
  • détermination du but, de la raison et du périmètre de la gestion des risques S.I.
  • déroulement de la méthode étape par étape
  • rapport de réalisation
  • conclusion

C3 Comprendre les éléments des Risques informationnels (ERI)

Cette formation interactive de deux jours décrit les trois éléments de base du risque S.I. (avec des listes précises) avant de construire les outils d’évaluation du risque. Sur ce fondement, nous abordons les ‘solutions’ que nous choisirions pour traiter les risques inacceptables. Les exemples sont tirés du concret et tout est discuté lors de la formation.
Contenu

  • le contexte
  • les menaces
  • les vulnérabilités
  • l’estimation des risques
  • les risques spécifiques
  • les solutions
  • conclusion

C4 Formation EBIOS Risk manager

La 4e mouture de la méthode EBIOS, conçue conjointement par l’ANSSI et le Club EBIOS, repose sur 5 ateliers basés sur du travail de groupe. Le Club EBIOS a mis en place en Cercle de Formateurs et l’ANSSI a développé un kit de formation contenant une présentation, une étude de cas et un livret du stagiaire. La formation et la méthode sont mis à jour de façon régulière en fonction des retours des formateurs qui s’engagent à suivre une charte stricte.
Contenu

  • Introduction et concepts de base
  • Atelier 1 : Cadrage, socle de sécurité et approche conformité. C’est lors de cette étape que l’objet et le but de l’étude sont définis et que les Evénements Redoutés sont décrits. C’est à ce niveau que la gravité des risques est déterminée.
  • Atelier 2 : Couples Sources de Risques et Objectifs Visés (SR/OV). Cette étape analyse la problématique selon le point de vue de l’attaquant. Elle produit une cartographie.
  • Atelier 3 : Etude de l’écosystème de l’objet de l’étude et réalisation d’une cartographie des menaces. Cette étape identifie les Scénarios Stratégiques combinant les Evénements Redoutés et les couples SR/OV. On peut déjà déterminer certains contrôles à imposer aux parties prenantes externes.
  • Atelier 4 : Description des Scénarios Opérationnels par les séquences d’attaques mettant en œuvre les Scénarios Stratégiques. C’est au cours de cet atelier que la vraisemblance des risques est estimée.
  • Atelier 5 : Etablissement de la liste hiérarchisée des risques, le choix des options de traitement et sélection des contrôles de sécurité. Cette étape a pour but de déterminer le Plan d’Amélioration Continue de Sécurité (PACS) combinant le plan d’actions pour la mise en œuvre des contrôles décidés et l’amélioration continue qui suit.

Cette formation dure 2 jours et peut, au besoin, être précédée d’une demi-journée destinée à introduire les concepts de gestion des risques de sécurité de l’information autour de la norme ISO 27005 2013.

Cycle D - Divers

D1 La Protection de la Vie Privée, comment se conformer au RGPD (PVP)

La Vie Privée et sa protection sont sur touts les lèvres. Peu, cependant, savent de quoi il s’agit. Cette formation d’un jour aborde les concepts de base de Données à Caractère Personnel et de la protection des informations avant de reprendre les a-exigences que le Règlement Général européen sur la Protection des Données à caractère personnel impose aux responsables de traitement et les droits des personnes concernées. Nous verrons ensuite ce qu’il faudrait faire concrètement pour se mettre en conformité.
Contenu

  • la vie privée et les menaces qui pèsent sur elle
  • le RGPD
  • le PIA (norme ISO 28134 et autres références)
  • les techniques de défense
  • conclusion

D2 Le SMSI (ISO 27001) et les PME : est-ce réaliste ?

Le système de Management de la Sécurité de l’Information (formalisé dans le norme ISO/IEC 27001:2013) peut sembler incongru et irréalisable pour une PME, surtout les très petites structures. C’est pourtant réaliste si certaines conditions sont remplies. Cette formation d’une journée présente le contenu des normes 27001 et 27003 (le guide de mise en œuvre) afin de la ‘dédiaboliser’ ainsi que les conditions et écueils que l’on peut rencontrer.
Contenu

  • introduction
  • le SMSI
  • la norme ISO/IEC 27001 :2013 et ses contraintes
  • introduction aux modèles de maturité
  • discussion-débat : comment concilier le métier et le SMSI
  • conclusion

D3 Découverte des référentiels de Sécurité de l’Information

Cette formation, de 2 jours présente les sources majeurs de référentiels Sécurité de l’Information : ISO, NIST et autres.
Les ‘normes’ publiées sont présentées : leur structure, leurs portée, leur domaine d’application et quelques considérations de mise en œuvre.
Toutes les normes ‘utiles’ ISO de la série 27000 sont présentées, mais les autres référentiels et cadres externes (NIST et ISACA par exemple) ne sont pas oubliés.
Contenu

  • introduction et définitions
  • les objectifs de la S.I.
  • la norme ISO/IEC 27002 :2013
  • la norme ISO/IEC 27001 :2013
  • les autres normes de la série 27000 (introduction, objet, objectif, structure)
  • les normes annexes
  • autre références S.I. et SSI
  • conclusion

D4 Le Maturité de la Capacité en S.I. : SSE-CMM : ISO 21827

Cette formation d’un jour aborde les deux grands modèles de maturité avant de présenter en détail le System Security Engineering – Capability Maturity Model. La mise en œuvre du modèle et de son système d’appréciation est réalisée sur base de discussions avec les participants avant de montrer comment on peut évoluer de la position actuelle vers la position désirée.
Contenu

  • les modèles de maturité
  • le modèle SSE-CMM
  • le modèle d’appréciation
  • utilisation
  • conclusion

D5 La Gestion des Incidents S.I. (GISI)

Je ne suis pas le seul à constater que les incidents de sécurité de l’information sont mal compris et que, en général, les entreprises se contentent de réagir aux incidents qu’ils détectent, quels qu’ils soient, mais ne les gèrent pas. Se basant sur la norme ISO/IEC 27035, sur le Cybersecurity Framework du NIST et le Guide Belge de Gestion des Incidents, cette formation d’un jour détaille les différentes phases de la gestion des incidents afin d’en faire un outil d’amélioration continue.
Contenu

  • définitions
  • les objectifs de la gestion des incidents
  • les référentiels
  • le processus de gestion des incidents S.I.
  • liaison avec les plans d’urgence
  • conclusion

D6 Introduction à la Sécurité de l’Information (ISI)

La sécurité de l’information, ce n’est pas (que) la sécurité informatique ou la ‘cybersécurité’. Ce n’est pas un ensemble de mesures ‘techniques et technologiques’. Cette formation de deux jours introduit les participants aux concepts, processus et mécanismes de sécurité de l’information, basé sur les référentiels phare en la matière (entre autres la norme ISO/IEC 27002:2013).
Contenu

  • introduction
  • la norme ISO/IEC 27002 :2013 (présentation clause par clause avec exemples)
  • les autres référentiels
  • conclusion

D7 Ecrire les Politiques de Sécurité de l’Information (EPSI)

Mon expérience démontre que les politiques de sécurité, si elles existent, ne sont que peu ou mal appliquées. Cette formation d’un jour aborde les faiblesses des documents actuels avant de présenter les différents niveaux de politiques et de proposer des critères qui les rendront efficaces, opposables et durables. Nous verrons ensuite comment gérer les documents de politique.
Contenu

  • les niveaux de politiques
  • la structure des politiques
  • les critères à prendre en compte
  • les plans
  • la Politique Générale de Sécurité de l’Information (PGSI) et son cadre
  • politiques ‘spéciales’
  • conclusion

D8 L’Architecture informatique et de sécurité

Partant de la structure de l’entreprise, cette formation d’un jour aborde l’une après l’autre l’architecture des métiers, l’architecture de l’information et l’architecture TIC (logicielle et matérielle/machines) avant de pointer sur l’architecture de sécurité. L’architecture est l’art de mettre en relation et en interaction les différents espaces, activités et mécanismes afin d’atteindre l’efficacité, l’efficience, la pérennité et la conformité que exigences externes. Nos références sont les modèles Zachman, SABSA et TOGAF.
Contenu

  • introduction
  • l’architecture d’entreprise
  • l’architecture des métiers
  • l’architecture informationnelle (Modèle de Zachman)
  • l’architecture des données
  • l’architecture informatique (logicielle et matérielle)
  • autres modèles
  • Conclusions

D9 Atelier de description du processus informationnel

Trop souvent nos processus ne sont pas formalisés et sont réalisés de façon intuitive. Cet atelier reprend l’idée à la source, identifie tous les tenants et aboutissants, et décrit le processus de façon formelle. Dans un second temps, le processus simple décrit est placé dans un contexte plus grand et de nouvelles interactions interviennent. Les outils utilisés sont l’ordinogramme (flowchart) et le Business Process Model Notation (BPMN). Nous profitons du schéma réalisé pour identifier les zones à risques.
Contenu

  • introduction
  • choix du processus
  • explications sur le processus (discussion)
  • représentation du processus (flowchart puis BPMN)
  • mise du processus dans son contexte et extension (amélioration de la représentation)
  • conclusion

Les formations des cycles A, B et C sont liées, mais il n'est pas obligatoire de les prendre ensemble, même si c'est recommandé.

Les formations peuvent être adaptées aux spécificités du client. Elles sont données soit dans nos bureaux (Maximum 8 personnes), soit chez le client. Un prix de groupe peut alors être envisagé.
La condition pour qu'une formation dans les locaux de MISIS soit donnée est que le nombre de participants soit de TROIS au minimum. Ceci à la fois pour des raisons de rentabilité financière et d'intérêt pour les participants - grâce à l'interaction suscitée.

Les formations se donent en français ou en anglais. Des questions peuvent êrre posées en néerlandais et seront répondues dans cette langue.

Les formations réalisés dans les bureaux de MISIS se donnent (sauf juillet et août) la seconde semaine du mois (sauf contre indication signalée au calendrier).

Le prix des formations est fixé à 500€HTVA/1jour, 950€HTVA/2jours. (TVA 21%)

Les formations sont payées à réception de la facture qui suit la commande et au plus tard la veille de la formation.


MISIS organise également des formations pratiques (1/2 jour) à la manipulation d'outils destinés à mieux appréhender certains aspects de la sécurité de l'information:

  • Utilisation des SWOT (Strengths, Weaknesses, Opportunities, Threats) pour formaliser les résultats de l'appréciation des risques informationnels et choisir la stratégie la plus appropriée (formation C1)
  • Utilisation des BSC (Balanced Score Card) pour vérifier la cohérence de la stratégie et construire les indicateurs qui permettront de suivre sa mise en œuvre (Formations C1 et B2)
  • GEMMA (Guide d'Etude des Modes de Marche Arrêt), outil destiné initialement à la conception d'automatismes sûrs et que MISIS utilise pour la conception de mesures de sécurité de l'information sûres (Formation B2) et à la gestion des incidents (formation D5)
  • GRAFCET, modèle de représentation des enchainements d’actions d’un automatisme, facilement tensposable à la préparation d’un PASI (formation B2)

Ces sessions sont données sur demande aux mêmes conditions que pour les cyles ci-dessus.

Prix : 150€/formation aux mêmes conditions que pour les quatre cycles.

Contact

Jean ALLARD Misis s.c.r.i.
Chaussée de Namur, 251 Bte 16
1300 WAVRE -Belgium

+32 (0)10 600 486
+ 32 (0)10 600 486
+ 32 (0)498 51 51 35
Contactez-nous