Logo de l'organisme de formation

Découvrez notre catalogue de formations

Représentation de la formation : Devenir RSSI

Devenir RSSI

Maîtriser sa fonction de RSSI

Formation mixte
Durée : 35 heures (5 jours)
Durée :35 heures (5 jours)
Cette formation est gratuite.
Se préinscrire
Durée :35 heures (5 jours)
Cette formation est gratuite.
Se préinscrire
Durée :35 heures (5 jours)
Cette formation est gratuite.
Se préinscrire

Besoin d’adapter cette formation à vos besoins ?

N’hésitez pas à nous contacter afin d’obtenir un devis sur mesure !

Formation créée le 21/02/2023.

Version du programme : 1

Programme de la formation

Le Responsable de la sécurité des systèmes d’information (RSSI) assure le pilotage de la démarche de cybersécurité organisationnelle au sein de l’organisation. Il définit la politique de sécurité des systèmes d’information (prévention, protection, détection, résilience, remédiation). Il est garant de la mise en œuvre des politiques de sécurité des SI et veille à leur application. Il est conseil auprès de la direction et des responsables métiers. Il s’assure de la mise en place des solutions et des processus opérationnels garantissant la protection des données et un niveau de sécurité acceptable des systèmes d’information. En outre, le RSSI doit disposer des connaissances juridiques et réglementaires sur la sécurité informatique ainsi que sur d’autres domaines liés aux systèmes d’information. Il encadre les usages du numériques afin de garantir la conformité aux exigences règlementaires, contractuelles et éthiques de l’entreprise. Sa principale mission est de protéger le patrimoine informationnel d’actions malveillantes. Il sensibilise et forme ses collaborateurs aux enjeux de la cybersécurité et fait de l’humain le maillon fort de la chaine de défense La formation permet aux participants d’entamer sereinement la fonction au travers de l’apprentissage de notions fondamentales, de conseils, de retours d’expérience et de mises en situation.

Objectifs de la formation

  • Les bases pour une bonne gouvernance de la sécurité des systèmes d’information
  • Les connaissances techniques de base indispensables à la fonction de RSSI
  • Piloter une démarche de mise en œuvre un d’un SMSI basé sur la norme ISO 27001
  • L’état du marché de la sécurité informatique
  • Les méthodes d’appréciation des risques
  • Les enjeux de la SSI au sein des organisations
  • Les stratégies de prise de fonction et de retours d’expérience de RSSI

Profil des bénéficiaires

Pour qui
  • RSSI, futur RSSI, Ingénieur/technicien en sécurité, responsable sécurité opérationnelle à la production amené(e) à exercer la fonction de RSSI.
  • Fonctions transverses aux systèmes d’information (qualité, audit, gestion de projets) souhaitant acquérir des notions en gouvernance et management de la sécurité des SI
  • RSSI expérimentés souhaitant se remettre à niveau des bonnes pratiques de l’exercice du métier.
Prérequis
  • Avoir une expérience au sein d'une direction informatique
  • Avoir des notions de base en sécurité appliquées aux systèmes d'information
  • Une connaissance des normes ISO 2700x et en analyse du risque de sécurité est un plus.

Contenu de la formation

  • Enjeux et organisation de la sécurité
    • Critères de sécurité (disponibilité, intégrité, confidentialité, traçabilité)
    • Fonction de RSSI, rôles du RSSI
    • Environnement du RSSI
    • Gouvernance de la sécurité de l’information
    • Ecosystème de la SSI (ANSSI, CNIL, ENISA…)
  • Conformité juridique de la SSI
    • RGPD et Loi Informatique et libertés
    • Communications électroniques
    • Conservation des traces
    • Charte informatique
    • Comptes à privilège
    • Gestion des relations avec les partenaires
    • Exigences de Conformité
  • Système de Management de la Sécurité de l'Information
    • Bases d’un système de management (définitions, modèle PDCA, propriétés et objectifs)
    • Panorama des référentiels ISO 2700x
    • Les bases ISO 27001/2
    • Domaine d'application
    • Engagement de la direction
    • Politiques de sécurité
    • Sensibilisation
    • Surveillance (réexamen régulier, audit interne, revue de direction)
    • Amélioration continue
  • Gestion du risque de sécurité
    • Méthodologies d'appréciation des risques (ISO 27005 :2022, EBIOS RM)
    • Vocabulaire
    • Identification et valorisation d'actifs
    • Menace, source des risques, vulnérabilités
    • Analyse de risque
    • Estimation des risques
    • Vraisemblance et conséquences d'un risque
    • Evaluation du risque
    • Traitement des risques (réduction, partage, maintien, refus)
    • Notion de risque résiduel
    • Acceptation du risque
    • Etude de cas
  • Politiques de sécurité
    • Définitions
    • Hiérarchie et utilité des politiques de sécurité
    • Synthèse et éléments indispensables des politiques
    • Rédaction, élaboration et mise en œuvre des politiques
    • Révision des politiques
    • Politique de sécurité des systèmes d’informations
    • Gestion des projets et « Security by Design »
    • Gestion des prestataires informatiques
  • Gestion des incidents
    • Procédure de gestion des incidents
    • Plan de continuité de l’activité (PCA)
    • Plan de reprise de l’activité (PRA)
    • Déclaration d’un incident de sécurité
    • Notifications d’une violation de données à caractère personnel
  • Gestion d’une crise d’origine cyber
    • Gestion opérationnelle et stratégique d’une crise
    • Exercice de gestion de crise cyber
    • Gestion de la communication d’une crise cyber
    • Communication de la crise
  • Indicateurs en sécurité des SI
    • Introduction et règles d’or
    • Sources de collecte des indicateurs
    • Spécification des indicateurs et exemples
    • Indicateurs dérivés et exemples
    • Risques sur les indicateurs, questions pratiques et erreurs à éviter
  • Audit de sécurité
    • Typologie des audits (technique, organisationnel, de conformité, de certification)
    • Conséquences (inconvénients et objectifs)
    • Préparation à l'audit
    • Considérations pratiques (formation, communication, logistique, audit à blanc, préparation)
    • Démarche d'audit (ISO 19011)
    • Réception des auditeurs
    • Avant l'audit, pendant l'audit, après l'audit
    • Livrable
    • Actions correctives entreprises et suivi
  • Sécurité opérationnelle
    • Sécurité du système d'exploitation
    • Minimisation et durcissement des systèmes
    • Contrôle d'accès
    • Gestion des utilisateurs
    • Comptes à privilèges
    • Gestion des moyens d'authentification
    • Sécurité des applications (sessions, injection SQL, XSS)
    • Validation des données (en entrées, traitées, en sortie)
    • Développement et environnements de test
    • Accès au code source
    • Sécurité réseau (routeurs, firewalls)
    • Cloisonnement et contrôle d'accès
    • Messagerie
    • Sécurité du poste de travail, mobilité, télétravail
    • Gestion des opérations, gestion des vulnérabilités techniques
    • Surveillance, sauvegardes
    • Conformité technique
    • Typologie des tests d'intrusion et audits de sécurité
    • Protection des outils d'audits et des données d'audits

Capacité d'accueil

Entre 4 et 10 apprenants