Moyens d'évaluation :
- Quiz pré-formation de vérification des connaissances (si applicable)
- Évaluations formatives pendant la formation, à travers les travaux pratiques réalisés sur les labs à l’issue de chaque module, QCM, mises en situation…
- Complétion par chaque participant d’un questionnaire et/ou questionnaire de positionnement en amont et à l’issue de la formation pour validation de l’acquisition des compétences
A qui s'adresse cette formation
Responsables IT, RSSI débutants ou en prise de poste, consultants en cybersécurité, chefs de projet sécurité, ou toute personne amenée à piloter la sécurité des SI dans son organisation.
Pré-requis
Les connaissances suivantes sont nécessaires pour suivre ce cours :
- Avoir une première expérience dans la gestion ou l’exploitation d’un système d’information.
- Connaissances de base des enjeux de la sécurité informatique.
- Bonne compréhension des infrastructures IT.
Objectifs
À l’issue de la formation, vous devrez être en mesure de :
- Comprendre les missions clés d’un RSSI et les enjeux de la cybersécurité dans une organisation.
- Mettre en place un Système de Management de la Sécurité de l’Information (SMSI) basé sur la norme ISO 27001.
- Identifier, évaluer et traiter les risques liés à la sécurité des systèmes d'information.
- Élaborer une politique de sécurité cohérente et structurée.
- Réagir efficacement face à un incident de sécurité.
Contenu
Jour 1 – Fondamentaux de la sécurité de l’information et rôle du RSSI
- Introduction à la sécurité de l’information : concepts, périmètre, enjeux.
- Différence entre sécurité informatique et sécurité de l’information.
- Gouvernance de la sécurité : acteurs, responsabilités, relations avec la direction.
- Panorama normatif : ISO 27001, ISO 27002, ISO 27005…
- Positionnement stratégique du RSSI dans l’organisation.
- Étude de cas : structure type d’un service sécurité / cartographie des parties prenantes.
Jour 2 – Management de la sécurité & analyse du contexte
- Analyse du contexte organisationnel et identification des enjeux.
- Prise en compte des exigences légales, réglementaires et contractuelles.
- Définition des parties prenantes internes et externes.
- Leadership et implication de la direction.
- Politique de sécurité : objectifs, périmètre, structure.
- Atelier pratique : lecture critique de politiques de sécurité types et élaboration d’un document cadre.
Jour 3 – Gestion des risques et construction du SMSI
- Approche méthodologique de la gestion des risques : identification, évaluation, traitement.
- Introduction aux méthodes EBIOS RM et MEHARI.
- Lien entre actifs, menaces et impacts métiers.
- Élaboration d’une déclaration d’applicabilité.
- Introduction au modèle PDCA (Plan – Do – Check – Act) et au cycle de vie du SMSI.
- Exercice collectif : construction d’un plan d’analyse des risques pour une entreprise fictive.
Jour 4 – Pilotage opérationnel de la sécurité
- Mise en oeuvre des mesures de sécurité (organisationnelles, techniques, humaines, physiques).
- Référentiel ISO 27001 – Annexe A : vue d’ensemble des contrôles.
- Gestion des ressources humaines : sécurité lors du recrutement, mobilité et départ.
- Audit interne, indicateurs de performance et non-conformités.
- Exercice pratique : analyse d’une situation d’audit et formulation d’actions correctives.
Jour 5 – Réponse aux incidents & cadre légal
- Gestion des incidents : processus, outils, acteurs (SOC, CERT, SIEM…).
- Outils de cyberveille et de threat intelligence (CTI).
- Réglementations majeures : RGPD, loi Informatique et Libertés, loi Godfrain, LPM.
- Responsabilités juridiques du RSSI et documentation associée.
- Mise en situation : scénario d’incident critique à traiter en sous-groupes.
- Restitution des travaux et échanges avec le formateur.
Français
Moyens Pédagogiques :