|
Résumé de section
-
1. Description et objectifs du cours
La sécurité de l’information met l’accent sur les approches organisationnelles, la gestion du risque, l’évaluation de la sensibilité de l’information ainsi que sur la prise en compte des contraintes légales, réglementaires et contractuelles.
Elle traite de l’organisation de la sécurité et de sa mise en œuvre. Elle indique des référentiels techniques adaptés et aborde aussi les questions de l’évaluation et de la certification. Cette formation fournit à des décideurs comme à des intervenants en sécurité de l’information (RSI, RSSI) des connaissances leur permettant une meilleure compréhension des enjeux et des approches envisageables.
Elle couvre en particulier les aspects suivants : organisation de la sécurité de l’information, élaboration de documents de référence (politique de sécurité), gestion du risque en sécurité de l’information, méthode EBIOS, mise en oeuvre d’un ISMS (Information Security Management System), certification et recherche de conformité à un référentiel de sécurité. Le cours couvrira :
INTRODUCTION
Notion de sécurité
Approche managériale
NORMES ISO/IEC 27001 ET 27002
Approche ISMS
Bonnes pratiques en sécurité de l’information
Évaluation, certification
POLITIQUE DE SÉCURITÉ D’UN SYSTÈME D’INFORMATION
Approche PSSI de la DCSSI
SÉCURITÉ ET RISQUE
Norme ISO/IEC 27005 et norme ISO 31000
Méthodes de gestion du risque en sécurité de l’information
Méthode EBIOS
THÈMES COMPLÉMENTAIRES
Gestion de la continuité
Gestion de crise
Privacy, gestion de l’identité
Archivage et Records management
SYNTHÈSE ET CONCLUSION
-
Semaine 1 – Introduction à la gouvernance en sécurité de l’information
RA1 : Comprendre les principes de base de la gouvernance en sécurité de l'information, l’importance de l’alignement entre la stratégie de sécurité et les objectifs de l’entreprise.
Semaine 2 – Cadres de gouvernance (COBIT, ISO/IEC 27001, NIST)
RA2 : Identifier et comparer les principaux cadres de gouvernance de la sécurité de l'information et évaluer leur applicabilité en entreprise.
Semaine 3 – Rôles et responsabilités dans la gouvernance
RA3 : Définir les rôles clés dans la gouvernance (CISO, DPO, RSSI, etc.) et établir une matrice de responsabilité claire pour la sécurité.
Semaine 4 – Politiques de sécurité : types et structure
RA4 : Élaborer une politique de sécurité conforme aux bonnes pratiques, en tenant compte des besoins de l'organisation et des parties prenantes.
Semaine 5 – Conformité réglementaire et exigences légales
RA5 : Comprendre et intégrer les exigences légales (RGPD, HIPAA, etc.) et normatives dans les politiques de gouvernance de l’information.
Semaine 6 – Évaluation à mi-parcours
RA6 : Appliquer les connaissances à un cas pratique de création de politique de gouvernance alignée avec un cadre réglementaire précis.
Semaine 7 – Gestion des risques liés à la gouvernance
RA7 : Identifier les risques organisationnels liés à l’absence de gouvernance efficace, et proposer des plans d’atténuation intégrés.
Semaine 8 – Communication et sensibilisation en gouvernance
RA8 : Mettre en place un programme de sensibilisation pour diffuser les politiques de gouvernance auprès des utilisateurs.
Semaine 9 – Contrôle et audit des politiques de sécurité
RA9 : Concevoir un plan d’audit pour vérifier l’application des politiques de gouvernance et l’efficacité des contrôles associés.
Semaine 10 – Gouvernance de la sécurité dans le cloud
RA10 : Adapter les politiques de gouvernance aux environnements cloud et aux architectures hybrides.
Semaine 11 – Étude de cas et préparation du projet final
RA11 : Élaborer une politique complète de gouvernance dans un contexte d'entreprise fictive ou réelle, avec justifications.
Semaine 12 – Soutenance du projet final
RA12 : Présenter un projet de gouvernance en sécurité de l'information devant un jury et défendre les choix méthodologiques et stratégiques.
-
RA1 : Comprendre les principes de base de la gouvernance en sécurité de l'information
→ L’étudiant sera évalué sur sa capacité à définir clairement la notion de gouvernance de l’information, à identifier ses objectifs et à expliquer les enjeux liés à l’alignement stratégique entre sécurité et performance organisationnelle.RA2 : Identifier et comparer les principaux cadres de gouvernance de la sécurité de l'information
→ L’évaluation portera sur la précision des descriptions des frameworks comme COBIT, ISO/IEC 27001, et NIST, ainsi que sur la pertinence de l’analyse comparative et la justification du choix d’un cadre adapté à un contexte donné.RA3 : Définir les rôles clés dans la gouvernance et la répartition des responsabilités
→ L’étudiant devra démontrer sa capacité à attribuer des rôles aux parties prenantes de la sécurité (CISO, DPO, RSSI, etc.) avec une justification claire, et à construire une matrice RACI fonctionnelle.RA4 : Élaborer une politique de sécurité conforme aux bonnes pratiques
→ La politique proposée devra être complète, structurée, conforme aux standards de l’industrie, adaptée à une organisation donnée, et intégrer les éléments clés (objectifs, champ d’application, responsabilités, sanctions).RA5 : Intégrer les exigences légales et normatives dans les politiques
→ L’étudiant devra démontrer sa maîtrise des réglementations pertinentes (ex. RGPD) en intégrant les obligations légales dans une politique, et en expliquant les impacts juridiques d’une non-conformité.RA6 : Appliquer les connaissances à un cas pratique de politique de gouvernance
→ L’évaluation portera sur la qualité du cas pratique réalisé, la cohérence des choix faits, la capacité à appliquer un cadre réglementaire, et la justification des mesures proposées.RA7 : Identifier les risques liés à l’absence de gouvernance efficace
→ L’étudiant sera noté sur sa capacité à analyser les menaces organisationnelles, à proposer des mesures de gestion des risques (ex. cartographie, classification, plan de traitement), et à anticiper les impacts.RA8 : Mettre en place un programme de sensibilisation aux politiques de sécurité
→ La qualité du programme de sensibilisation sera évaluée selon sa clarté, sa pertinence, les supports pédagogiques proposés et sa capacité à atteindre différents publics (technique, exécutif, utilisateurs finaux).RA9 : Concevoir un plan d’audit des politiques de gouvernance
→ L’étudiant devra présenter une stratégie d’audit incluant les objectifs, les indicateurs clés de conformité, les méthodes de contrôle, et le calendrier d’évaluation continue.RA10 : Adapter les politiques de gouvernance aux environnements cloud
→ L’évaluation consistera à analyser dans quelle mesure l’étudiant a adapté ses politiques aux réalités du cloud (partage de responsabilités, sécurisation des accès, données sensibles, conformité).RA11 : Élaborer une politique complète de gouvernance dans un contexte d’entreprise
→ L’étudiant sera évalué sur la pertinence, la structure, la clarté, l’applicabilité et la justification de la politique proposée, avec une attention particulière sur la contextualisation au cas traité.RA12 : Présenter un projet de gouvernance devant un jury
→ L’évaluation inclura la capacité de l’étudiant à défendre ses choix, à répondre aux questions du jury avec assurance, à présenter une documentation professionnelle et à utiliser un langage approprié et structuré.
|