RSSI - Responsable de la Sécurité des Systèmes d'Information

FOR_1511-0016

RSSI - Responsable de la Sécurité des Systèmes d'Information

Objectifs:

  • Acquérir les compétences indispensables à l'exercice de la fonction responsable de la sécurité des systèmes d'information, à savoir :
    • Bases de la cybersécurité
    • Enjeux de la SSI au sein des organisations
    • Connaissances techniques de base
    • Sécurité organisationnelle et normes ISO27001
    • Méthodes d'appréciation des risques
    • Bases juridiques
    • Stratégies de prise de fonction

Public:

  • Toute personne amenée à exercer la fonction de responsable sécurité des systèmes d'information : RSSI, futurs RSSI, ingénieurs sécurité assistant un RSSI, responsables sécurité à la production,
  • Toute personne amenée à assurer une fonction de correspondant local de sécurité des systèmes d'information ou une fonction similaire, 
  • Techniciens devenus RSSI, souhaitant obtenir une culture de management,
  • Managers confirmés manquant de la culture technique de base en matière de sécurité des SI ou ne connaissant pas les acteurs du marché, 
  • DSI ou auditeurs en systèmes d'information souhaitant connaître les contours de la fonction et les rôles du RSSI.

Durée:

35 heures

Programme:

Accueil des participants et tour de table
Enjeux et organisation de la sécurité (environ 1,5 jour)
  • Critères de sécurité (disponibilité, intégrité, confidentialité, auditabilité)
  • Fonction de RSSI, rôles du RSSI
  • Environnement du RSSI (production, direction, métiers, conformité, juridique, etc)
  • Panorama des référentiels
  • Politiques de sécurité (globales, détaillées, sectorielles, géographiques, etc)
  • Conformité
  • Indicateurs et tableaux de bord SSI (stratégique, tactique, opérationnel)
  • Gestion des incidents de sécurité
  • Sensibilisation (collaborateurs, informaticiens, direction)
  • Ecosystème de la SSI (associations, conférences, etc)
Aspects techniques de la sécurité (environ 1 jour)
  • Sécurité du système d'exploitation
  • Minimisation et durcissement des systèmes
  • Contrôle d'accès
  • Gestion des utilisateurs
  • Gestion des moyens d'authentification
  • Sécurité des applications (sessions, injection SQL, XSS)
  • Validation des données (en entrées, traitées, en sortie)
  • Développement et environnements de test
  • Accès au code source
  • Sécurité réseau (routeurs, firewalls)
  • Cloisonnement et contrôle d'accès
  • Messagerie
  • Sécurité du poste de travail, mobilité, télétravail
  • Gestion des opérations, gestion des vulnérabilités techniques
  • Surveillance, sauvegardes
  • Conformité technique
  • Typologie des tests d'intrusion et audits de sécurité
  • Protection des outils d'audits et des données d'audits
Système de Management de la Sécurité de l'Information (normes ISO 27001) (environ 1/2 journée)
  • Bases sur les systèmes de management (définitions, modèle PDCA, propriétés et objectifs)
  • Panorama des normes ISO 270xx
  • Bases sur ISO 27001 et ISO 27002 et utilisations possibles
  • Domaine d'application
  • Engagement de la direction
  • Surveillance (réexamen régulier, audit interne, revue de direction)
  • Amélioration continue
Audit (environ 1/2 journée)
  • Typologie des audits (technique, organisationnel, de conformité, de certification)
  • Conséquences (inconvénients et objectifs)
  • Vocabulaire (basé sur ISO 19011)
  • Préparation à l'audit
  • Considérations pratiques (formation, communication, intendance, audit à blanc, préparation)
  • Démarche d'audit (ISO 19011)
  • Avant l'audit, pendant l'audit, après l'audit
  • Livrable
  • Actions correctives entreprises et suivi
  • Réception des auditeurs (maison-mère, ISO27001/HDS, ISAE3401/SOC2, Cour des Comptes, Commission bancaire, etc.)
Gestion de risques (environ 1/2 journée)
  • Méthodologies d'appréciation des risques (ISO27001, EBIOS, Mehari)
  • Vocabulaire
  • Identification et valorisation d'actifs
  • Menace, source des risques, vulnérabilités
  • Analyse de risque
  • Estimation des risques
  • Vraisemblance et conséquences d'un risque
  • Evaluation du risque
  • Traitement des risques (réduction, partage, maintien, refus)
  • Notion de risque résiduel
  • Acceptation du risque
Aspects juridiques de la SSI (environ 1/2 journée)
  • RGPD et Informatique et libertés
  • Communications électroniques
  • Conservation des traces
  • Contrôle des salariés
  • Atteintes aux STAD
  • Charte informatique
  • Comptes à privilège
  • Gestion des relations avec les partenaires (infogérance, infonuagique, prestataires en sécurité)
Témoignage d'un RSSI (après l'examen la dernière 1/2 journée)
Examen (1h30)

Parcours de formation disponibles sur demande

Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information

SecNumAcademie - Formation à la Cybersécurité...

par ANSSI_FR

A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)

Le MOOC (Massive Open Online Course) SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous

By G-echo

Pour aller plus loin

Ressources