Formation RSSI (Responsable de Sécurité des Systèmes d'Information)

Le programme en pdf Datadocké

OF 73310795531

FOR_1511-0016

Formation RSSI (Responsable de Sécurité des Systèmes d'Information)

Objectifs:

  • Acquérir les compétences indispensables à l'exercice de la fonction responsable de la sécurité des systèmes d'information, à savoir :
    • Bases de la cybersécurité
    • Enjeux de la SSI au sein des organisations
    • Connaissances techniques de base
    • Sécurité organisationnelle et normes ISO27001
    • Méthodes d'appréciation des risques
    • Bases juridiques
    • Stratégies de prise de fonction

Public:

  • Toute personne amenée à exercer la fonction de responsable sécurité des systèmes d'information : RSSI, futurs RSSI, ingénieurs sécurité assistant un RSSI, responsables sécurité à la production,
  • Toute personne amenée à assurer une fonction de correspondant local de sécurité des systèmes d'information ou une fonction similaire, 
  • Techniciens devenus RSSI, souhaitant obtenir une culture de management,
  • Managers confirmés manquant de la culture technique de base en matière de sécurité des SI ou ne connaissant pas les acteurs du marché, 
  • DSI ou auditeurs en systèmes d'information souhaitant connaître les contours de la fonction et les rôles du RSSI.

Durée:

35 heures

Programme:

Accueil des participants et tour de table
Enjeux et organisation de la sécurité (environ 1,5 jour)
  • Critères de sécurité (disponibilité, intégrité, confidentialité, auditabilité)
  • Fonction de RSSI, rôles du RSSI
  • Environnement du RSSI (production, direction, métiers, conformité, juridique, etc)
  • Panorama des référentiels
  • Politiques de sécurité (globales, détaillées, sectorielles, géographiques, etc)
  • Conformité
  • Indicateurs et tableaux de bord SSI (stratégique, tactique, opérationnel)
  • Gestion des incidents de sécurité
  • Sensibilisation (collaborateurs, informaticiens, direction)
  • Ecosystème de la SSI (associations, conférences, etc)
Aspects techniques de la sécurité (environ 1 jour)
  • Sécurité du système d'exploitation
  • Minimisation et durcissement des systèmes
  • Contrôle d'accès
  • Gestion des utilisateurs
  • Gestion des moyens d'authentification
  • Sécurité des applications (sessions, injection SQL, XSS)
  • Validation des données (en entrées, traitées, en sortie)
  • Développement et environnements de test
  • Accès au code source
  • Sécurité réseau (routeurs, firewalls)
  • Cloisonnement et contrôle d'accès
  • Messagerie
  • Sécurité du poste de travail, mobilité, télétravail
  • Gestion des opérations, gestion des vulnérabilités techniques
  • Surveillance, sauvegardes
  • Conformité technique
  • Typologie des tests d'intrusion et audits de sécurité
  • Protection des outils d'audits et des données d'audits
Système de Management de la Sécurité de l'Information (normes ISO 27001) (environ 1/2 journée)
  • Bases sur les systèmes de management (définitions, modèle PDCA, propriétés et objectifs)
  • Panorama des normes ISO 270xx
  • Bases sur ISO 27001 et ISO 27002 et utilisations possibles
  • Domaine d'application
  • Engagement de la direction
  • Surveillance (réexamen régulier, audit interne, revue de direction)
  • Amélioration continue
Audit (environ 1/2 journée)
  • Typologie des audits (technique, organisationnel, de conformité, de certification)
  • Conséquences (inconvénients et objectifs)
  • Vocabulaire (basé sur ISO 19011)
  • Préparation à l'audit
  • Considérations pratiques (formation, communication, intendance, audit à blanc, préparation)
  • Démarche d'audit (ISO 19011)
  • Avant l'audit, pendant l'audit, après l'audit
  • Livrable
  • Actions correctives entreprises et suivi
  • Réception des auditeurs (maison-mère, ISO27001/HDS, ISAE3401/SOC2, Cour des Comptes, Commission bancaire, etc.)
Gestion de risques (environ 1/2 journée)
  • Méthodologies d'appréciation des risques (ISO27001, EBIOS, Mehari)
  • Vocabulaire
  • Identification et valorisation d'actifs
  • Menace, source des risques, vulnérabilités
  • Analyse de risque
  • Estimation des risques
  • Vraisemblance et conséquences d'un risque
  • Evaluation du risque
  • Traitement des risques (réduction, partage, maintien, refus)
  • Notion de risque résiduel
  • Acceptation du risque
Aspects juridiques de la SSI (environ 1/2 journée)
  • RGPD et Informatique et libertés
  • Communications électroniques
  • Conservation des traces
  • Contrôle des salariés
  • Atteintes aux STAD
  • Charte informatique
  • Comptes à privilège
  • Gestion des relations avec les partenaires (infogérance, infonuagique, prestataires en sécurité)
Témoignage d'un RSSI (après l'examen la dernière 1/2 journée)
Examen (1h30)

Sanction:

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises.
Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation.
La réussite à l'examen donne droit à la certification HS2

Plan de formation validé en collaboration avec l'ANSSI


Parcours de formation disponibles sur demande

Formation RGPD en ligne ouverte pour tous

Mooc en ligne Une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » propose aux professionnels de découvrir ou mieux appréhender le RGPD. Il permet ainsi d’initier une mise en conformité de leur organisme et d’aider à la sensibilisation des opérationnels.

A découvrir sur le site de la CNIL.

Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information

Le MOOC (Massive Open Online Course) Mooc en ligne SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous

A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)

Formons les formateurs!

La formation des formateurs ! A découvrir de toute urgence l'interview de Gérard PELIKS le président de cyberedu.

Cyberedu met à votre disposition la mallette de formation des formateurs à télécharger immédiatement.

Programme G-echo en pdf

Le programme en pdf Datadocké

OF 73310795531

By G-echo