Formation - Formation RSSI - Devenir Responsable de la Sécurité des Systèmes d'Information

Référence : QYLwf2VUstNe

Durée : 35 h sur 5 j

La fonction de « RSSI » est un métier transverse et multi-facettes. La formation RSSI apporte au nouveau RSSI un panorama complet des fonctions du RSSI et des attentes des organisations sur le rôle du RSSI, les connaissances indispensables à sa prise de fonction du RSSI et un retour d’expérience sur les chantiers et la démarche à mettre en oeuvre dans le rôle sont détaillés par d’anciens RSSI et des consultants expérimentés.

Détails de la formation

Méthodes et outils pédagogiques

Cours magistral dispensé à chaque fois par des experts de chaque module
Dans les modules "gestion des risques" et "juridique", des exercices de contrôle des connaissances et dans les autres modules, des démonstrations ou de nombreux exemples pratiques basés sur les retours d'expérience des instructeurs et de leurs clients
Forte interaction entre les formateurs et les stagiaires permettant de rendre les échanges plus concrets, en corrélation avec les attentes des stagiaires
Animation par un RSSI en activité, présentant sa stratégie de prise de fonction et un retour d'expérience sur des cas concrets et détaillés de projets sécurité
Support de cours au format papier en français
Cahier d'exercices et corrections des exercices
Tous les documents nécessaires à la formation en français ou anglais
Certificat attestant de la participation à la formation

Objectifs de la formation

Acquérir les compétences indispensables à l'exercice de la fonction responsable de la sécurité des systèmes d'information, à savoir :

Bases de la cybersécurité
Enjeux de la SSI au sein des organisations
Connaissances techniques de base
Sécurité organisationnelle et normes ISO27001
Méthodes d'appréciation des risques
Bases juridiques
Stratégies de prise de fonction

Méthodes d'évaluation

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification RSSI.

Les plus

Certification incluse

Pré-requis

Il est préférable d'avoir une expérience au sein d'une direction informatique en tant qu'informaticien ou une bonne culture générale des systèmes d'information.
Avoir des notions de base en sécurité appliquées aux systèmex d'information constitue un plus.

Modalités d'enseignement

En présentiel
En distanciel

Public cible

Managers
Collaborateurs

Programme

Accueil des participants et tour de table Enjeux et organisation de la sécurité (environ 1,5 jour)

- Critères de sécurité (disponibilité, intégrité, confidentialité, auditabilité)
- Fonction de RSSI, rôles du RSSI
- Environnement du RSSI (production, direction, métiers, conformité, juridique, etc)
- Panorama des référentiels
- Politiques de sécurité (globales, détaillées, sectorielles, géographiques, etc)
- Conformité
- Indicateurs et tableaux de bord SSI (stratégique, tactique, opérationnel)
- Gestion des incidents de sécurité
- Sensibilisation (collaborateurs, informaticiens, direction)
- Ecosystème de la SSI (associations, conférences, etc)

Aspects techniques de la sécurité (environ 1 jour)

- Sécurité du système d’exploitation
- Minimisation et durcissement des systèmes
- Contrôle d’accès
- Gestion des utilisateurs
- Gestion des moyens d’authentification
- Sécurité des applications (sessions, injection SQL, XSS)
- Validation des données (en entrées, traitées, en sortie)
- Développement et environnements de test
- Accès au code source
- Sécurité réseau (routeurs, firewalls)
- Cloisonnement et contrôle d’accès
- Messagerie
- Sécurité du poste de travail, mobilité, télétravail
- Gestion des opérations, gestion des vulnérabilités techniques
- Surveillance, sauvegardes
- Conformité technique
- Typologie des tests d’intrusion et audits de sécurité
- Protection des outils d’audits et des données d’audits

Système de Management de la Sécurité de l’Information (normes ISO 27001) (environ 1/2 journée)

- Bases sur les systèmes de management (définitions, modèle PDCA, propriétés et objectifs)
- Panorama des normes ISO 270xx
- Bases sur ISO 27001 et ISO 27002 et utilisations possibles
- Domaine d’application
- Engagement de la direction
- Surveillance (réexamen régulier, audit interne, revue de direction)
- Amélioration continue

Audit (environ 1/2 journée)

- Typologie des audits (technique, organisationnel, de conformité, de certification)
- Conséquences (inconvénients et objectifs)
- Vocabulaire (basé sur ISO 19011)
- Préparation à l’audit
- Considérations pratiques (formation, communication, intendance, audit à blanc, préparation)
- Démarche d’audit (ISO 19011)
- Avant l’audit, pendant l’audit, après l’audit
- Livrable
- Actions correctives entreprises et suivi
- Réception des auditeurs (maison-mère, ISO27001/HDS, ISAE3401/SOC2, Cour des Comptes, Commission bancaire, etc.)

Gestion de risques (environ 1/2 journée)

- Méthodologies d’appréciation des risques (ISO27001, EBIOS, Mehari)
- Vocabulaire
- Identification et valorisation d’actifs
- Menace, source des risques, vulnérabilités
- Analyse de risque
- Estimation des risques
- Vraisemblance et conséquences d’un risque
- Evaluation du risque
- Traitement des risques (réduction, partage, maintien, refus)
- Notion de risque résiduel
- Acceptation du risque

Aspects juridiques de la SSI (environ 1/2 journée

- RGPD et Informatique et libertés
- Communications électroniques
- Conservation des traces
- Contrôle des salariés
- Atteintes aux STAD
- Charte informatique
- Comptes à privilège
- Gestion des relations avec les partenaires (infogérance, infonuagique, prestataires en sécurité)

Témoignage d’un RSSI (après l’examen la dernière 1/2 journée)

Examen (1h30)