Présentation des
formations
Catalogue de formations en ligne
Ou consulter le ici au format PDF
Interview Hervé SCHAUER sur la gestion des risques
Pourquoi suivre une formation en gestion de risques en sécurité de l'information ?
Une fois que les bonnes pratiques ont été appliquées, la sécurité des systèmes d'information, ainsi que la vie privée ou la continuité d'activité, ont besoin d'être ajustées aux besoins et au contexte de chaque organisme. Partant de ce constat, les experts en sécurité ont placé la gestion des risques au coeur des processus de gestion de la sécurité, de la vie privée, et de la continuité.
Aujourd'hui SMSI, homologations, SMCA et RGPD sont basés par une approche sur le risque, de même que de nombreuses certifications (ISO27001, HDS, PCI-DSS, ISO22301, etc).
La gestion des risques reste pourtant une démarche peu évidente et qui conditionne souvent la réussite du système de management ou du projet associé.
Logo Herve
Quelle formation en gestion de risque ?
ISO 27005 Risk Manager
Cette formation fait l'objet d'une certification "ISO27005 Risk Manager" par LSTI.
Réaliser un PIA (Privacy Impact Assesment) ou Etude d'Impact sur la Vie Privée (EIVP)
Méthodologie avec une approche pragmatique inspirée des guides CNIL pour répondre à l'exigence du RGPD et permettre de prouver sa conformité (accountability).
Le PIA analyse les conséquences affectant les personnes dont l'organisme détient les données.
Cette formation fait l'objet d'une certification "Privacy Impact Assessor" par HS2.
Méthodologie d'appréciation des risques phare en France. Ebios est préconisée pour toute appréciation des risques en lien avec les référentiels de l'administration (RGS, SIIV (OIV), PIA). Elle est également préconisée pour toute appréciation des risques orientée projet et permet d'étudier les risques d'un système à construire.
Cette formation fait l'objet d'une certification "Ebios 2010 Risk Manager" par LSTI.
Ebios 2018 Risk Manager
Nouvelle méthodologie d'appréciation des risques de l'ANSSI, qui vise à remplacer Ebios 2010 et ses cas d'usage.
Cette version apporte de nombreuses nuances par rapport à la précédente et se veut plus accessible. Ainsi, elle se combine avec une démarche conformité afin de se focaliser sur un panel réduit de risques tout en approfondissant davantage ceux-ci et en reprenant le niveau de détail qu'offrait Ebios v2.
Cette version met également l'accent sur les risques liés aux parties prenantes et à l'externalisation.
Elle est préconisée par l'ANSSI pour les appréciations des risques orientés projet et SMSI. Le référentiel ayant été publié en octobre 2018, cette formation ne fait pas encore l'objet d'une certification.
Il existe de nombreux référentiels de gestion de risques dont les plus courants sont :
- ISO 31000 Management du risque,
- ISO 27005 Management du risque pour la sécurité de l'information,
- ISO 29134 Evaluation d'impacts sur la vie privée,
- Ebios 2010,
- FAIR Factor Analysis of Information,
- NIST SP-800-30 Risk Assesment Framework,
- NIST SP800-37 Guide for applying the Risk Management Framework to Federal Information Systems,
- NISR SP800-39 Managing Information Security Risk,
- NIST SP800-53 Security and Privacy Control for Federal Information Systems and Organisations,
- Octave,
- IRAM2,
- Mehari,
- BSI IT-Grundschutz,
- Risk-IT (ISACA),
- BSI-Standard 200-3.
Derrière des concepts communs, la plupart de ces méthodes ont évolué en s'inspirant les unes des autres tout en conservant quelques particularités. Les formations se concentrent sur une méthode mais pourront faire référence aux autres au besoin.
Le nombre de certificats ISO27005 émis par LSTI est beaucoup plus important que ceux sur Ebios. HS2 forme indifféramment aux méthodes ISO27005 et Ebios, ainsi qu'au PIA. C'est à chacun de sélectionner la méthode qui répond à son contexte.