ISO 27005 Security Risk Manager et DORA

Parcours : ISO 27005 Risk Manager et DORA

Deux formations complémentaires pour une maîtrise complète de la gestion des risques et de la conformité réglementaire.

Formation 1 : ISO 27005 Risk Manager

Chapitre 1 : Cas pratiques et introduction à la cybersécurité

• Étude d’accidents : SCADA, cyberattaques.
• Comprendre les cybermenaces : acteurs, motivations, secteurs à risque.
• Identifier et gérer les vulnérabilités.
• Études de cas concrets : Sony BMG, EnerVest.
• Convergence sécurité physique et numérique.

Chapitre 2 : Présentation de l’ISO 27005

• Positionnement dans la famille des normes ISO 27000 et lien avec l’ISO 31000.
• Méthodologies : EBIOS RM, échelles d’évaluation.
• Application à des cas pratiques.

Chapitre 3 : L’appréciation des risques

• Identification, analyse et évaluation des risques.
• Utilisation d’outils tels qu’AMDEC, Bow Tie Analysis.

Chapitre 4 : Traitement des risques

• Rôle clé du facteur humain et des organisations.
• Suivi et contrôle des risques avec l’ISO 27002 et l’ISO 27004.

Chapitre 5 : Études de cas approfondies

• Analyse de risques, moyens de traitement et démarche d’amélioration continue.
• Exploitation des retours d’expérience et identification des signaux faibles.

Formation 2 : Mise en conformité avec DORA

Chapitre 1 : Introduction au règlement DORA

• Objectifs et piliers fondamentaux de DORA.
• Comparaison avec NIS2 et étapes clés de mise en conformité.

Chapitre 2 : Préparation à la mise en conformité

• Cartographie des risques, gestion des incidents, tests de pénétration.
• Création de livrables et registres d’information.

Chapitre 3 : Cyber résilience et gestion des incidents

• Méthodologies BIA (Business Impact Analysis), triade CIA.
• Gestion des incidents en 4 étapes : préparation, détection, confinement, récupération.

Chapitre 4 : Anticipation et gestion de crise

• Communication de crise, rôles et responsabilités des parties prenantes.

Chapitre 5 : Stratégie d’atténuation des risques

• Définition d’objectifs stratégiques.
• Introduction au cadre NIST et à l’ISO 27001.

Chapitre 6 : Cadre NIST et bonnes pratiques

• Exploration des 5 fonctions du cadre NIST.
• Les 10 règles d’or pour une sécurité numérique optimale.

Pour passer la certification Security Risk Manager ISO/IEC 27005 de Bescertifs, une bonne connaissance des systèmes d’information des organisations est nécessaire.Le candidat devra produire un CV justifiant d’une expérience d’au moins trois ans dans la gestion des systèmes d’information, dont au moins 1 an en tant que participant à une démarche d’analyse des risques, et cela, dans les 5 dernières années.

Ce parcours de formation vous permettra de valider notre certification Évaluer et traiter les risques de sécurité de l’information en s’appuyant sur la norme NF ISO 27005 (ISO/CEI 27005 – Security Risk Manager) inscrite au Répertoire Spécifique sous le numéro RS 6399 (SKILLS4ALL). Plus d’information sur la certification : https://www.francecompetences.fr/recherche/rs/6399/

L’évaluation se fait à travers une mise en situation professionnelle reconstituée.

Cette mise en situation se rapporte à un cas réel anonymisé d’une organisation souhaitant mettre en place une démarche d’analyse des risques du système d’information visant la préservation des activités essentielles de l’organisation s’appuyant sur la norme ISO 27005.

L’examen de certification d’une durée de 2h00 se déroule en distanciel sur une plateforme d’apprentissage. Il est constitué par :

– le passage d’un questionnaire à choix multiple constitué de questions fermées et ouvertes

– la production de livrables

– une présentation orale au format vidéo

Précisions sur les livrables et la présentation orale au format vidéo

Le candidat prépare une présentation sous forme de livrables (rédigés) du projet d’audit d’un système de management de la sécurité d’information selon ISO 27001 en distinguant 3 parties :

– Partie 1 : établissement de la stratégie d’évaluation et de traitement des risques en faisant références aux exigences de la norme ISO 27005 et aux données fournies dans le cas (compétence C1 et C2)

– Partie 2 : proposition des plans de traitement des risques et de leur analyse comparée au regard des ressources mobilisées (compétence C3 et C4)

– Partie 3 : conception d’un programme de mise en œuvre d’un plan de traitement systématique et pérenne précisant les ressources nécessaires à mobiliser (compétence C5 et C6)

Le candidat présente son travail à l’oral au format vidéo à l’attention du jury de certification comme s’il le défendait devant un comité de direction. Durant cette présentation enregistrée, un accent particulier est mis sur les compétences de savoir agir en situation.

(1) les normes associées sont les normes de la famille des ISO 27000 (27001, 27002, 27003, 27004, 27005, 27006, 27007, 27008)

L’objectif de cette formation est de préparer la certification :

– Évaluer et traiter les risques de sécurité de l’information en s’appuyant sur la norme NF ISO 27005 (ISO/CEI 27005 – Security Risk Manager) inscrite au Répertoire Spécifique n°RS6399 (SKILLS4ALL)

Le module “Security Risk Manager” basé sur la norme ISO/CEI 27005 complète ce parcours en fournissant les compétences nécessaires pour évaluer et gérer les risques liés à la sécurité de l’information. Les apprenants seront capables d’identifier, évaluer et traiter de manière proactive les risques, tout en contribuant à l’élaboration de politiques de sécurité globales pour l’organisation. Ce module s’intègre parfaitement avec la préparation à la certification CISSP, renforçant les compétences en gestion des risques et en cybersécurité.

A l’issue de cette formation, l’apprenant sera capable de :

• Maîtriser le contenu de la norme ISO/CEI 27005 et la resituer dans le cadre général des normes ISO 27000.

• Comprendre la démarche et les enjeux de l’analyse de risque d’un système d’information en prenant en compte son environnement spécifique.

• Appliquer les différentes étapes de l’analyse des risques en s’appuyant sur la méthodologie RM Ebios.

• Comprendre le rôle d’un Security Risk Manager et ses responsabilités.

• Repérer et mesurer le rôle clé du facteur humain dans le management des risques.

En complément, grâce à la formation Certification CISSP, l’apprenant sera également capable de :

• Concevoir et mettre en place des architectures de communication et de réseau sécurisées conformément aux standards du CISSP.

• Identifier, contrôler et gérer efficacement les accès aux systèmes et aux données sensibles, un des piliers de la certification CISSP.

• Appliquer des méthodes et des outils pour sécuriser les logiciels et gérer les vulnérabilités dans les systèmes d’information.

• Superviser et coordonner les opérations de sécurité pour assurer une surveillance proactive des menaces, comme requis par le CISSP.

• Mettre en œuvre des techniques avancées de cryptographie pour sécuriser les communications et les données, un domaine central de la certification CISSP.

• Concevoir des architectures de sécurité robustes en tenant compte des exigences spécifiques de l’organisation.

• Développer et mettre en œuvre des programmes de sensibilisation à la sécurité pour l’ensemble du personnel, conformément aux meilleures pratiques CISSP.

• Appliquer les principes éthiques et juridiques appropriés dans le domaine de la sécurité informatique, comme enseigné dans le cadre de la certification CISSP.

• Préparer de manière efficace et stratégique l’examen de certification CISSP en consolidant leurs connaissances et compétences dans tous les domaines requis, notamment les huit domaines clés du CBK.

Formation en digital-learning, 100% en ligne, formée de vidéos, de quiz, de lectures et contenus complémentaires, d’un forum et selon les cas, de webinaires.

– conformément aux CGU du CPF (https://www.moncompteformation.gouv.fr/espace-public/conditions-generales-dutilisation) votre formation a une date de début et une date de fin contractuelle et convenues au moment de votre demande auprès du CPF. La formation doit avoir été réalisée entièrement à la date de fin de la formation.

– conformément aux CGU du CPF, vous serez présenté automatiquement à la fin de la période de formation au certificateur français inscrit au CPF. La planification de l’examen sera réalisée avec le certificateur français directement.

– si votre formation comprend une ou plusieurs certifications internationales, vous devrez nous en passer commande au maximum 1 mois après la date de fin de votre formation. Cette demande se fait par mail à l’adresse contact@skills4all.com. Si cette date est dépassée, il ne sera plus possible de passer commande de(s) la certification(s) internationale(s).

– nous vous encourageons à lire attentivement nos conditions d’usage de notre plateforme disponibles ici (https://lms.skills4all.com/admin/tool/policy/viewall.php). Ces conditions rappellent également les cas de force majeure acceptables en cas d’impossibilité de suivre la formation ou de passer sa certification.

Skills4All est le spécialiste des formations certifiantes sur les métiers du digital :

• Cybersécurité
• Intelligence artificielle
• Agilité
• Gestion de projet
• Automatisation
• Marketing digital
• Développement Web
• etc…

Notre spécificité : vous apprenez où vous voulez, quand vous voulez, grâce à une plateforme accessible 24/7/365 et un accompagnement spécifique. Nos formations ciblent les besoins du marché d’aujourd’hui et vous permettent d’acquérir les compétences clés des secteurs en pleine expansion.

Skills4All est accrédité par le COFRAC (Comité Français d’Accréditation) dans le domaine de la sécurité de l’information, selon la norme ISO 17024, la plus exigeante aujourd’hui. Cette reconnaissance garantit la qualité et la fiabilité de nos offres.

Le monde actuel n’a jamais eu autant besoin de compétences certifiées ; nous avons les cursus adaptés à vos ambitions.