Profil idéal du participant :
RSSI, Auditeur de sécurité, DSI, Responsable de la sécurité, Responsables de la sécurité de l’informationJour I - Les bases de la sécurité de l'information
1. Aperçu – Comment mettre en œuvre les principales techniques de sécurité de l’information (SI) :
- Audit de sécurité/ Analyse des lacunes ;
- Tests de pénétration ;
- Gestion des risques ;
- Mise en place de contrôles techniques (besoins versus coûts), types de contrôles ;
- Création et modification de la politique de sécurité de l’information (PSI) ;
- Processus de réponse aux incidents ;
- Gestion permanente du SI – continuité des techniques susmentionnées et amélioration ;
- Relation avec les autres processus de gestion des TIC (gestion des services informatiques, gestion de la continuité des activités).
2. Exigence de conformité :
- Exemple de loi existant au Togo et dans l’UE (GDPR, Loi sur le système national de cybersécurité, protection des informations commerciales) ;
- Exemple de recommandations/exigences de l’industrie (PCI DSS).
3. Examen des normes SI les plus populaires :
- ISO/IEC 27001 – Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Exigences ;
- ISO/IEC 27002 – Technologies de l’information – Techniques de sécurité – Code de pratique pour les contrôles de sécurité de l’information ;
- ISO/IEC 27005 – Technologies de l’information – Techniques de sécurité – Gestion des risques de sécurité de l’information ;
- ISO/IEC 29134 – Technologies de l’information – Techniques de sécurité – Lignes directrices pour l’évaluation de l’impact sur la vie privée ;
- Directives de l’ENISA sur l’évaluation de la conformité des DSP et des OES aux exigences de sécurité de la DSIN ;
- OWASP Top 10.
Jour II - Audit de sécurité et gestion des risques - les deux faces d'une même médaille
1. ISO 19011 et ISO 17021 – base de l’audit :
- Principales règles d’audit, techniques, risques et pièges ;
- Comment créer un plan d’audit basé sur ISO/IEC 27001 en utilisant la recommandation ISO/IEC 27006.
2. Approche de la gestion des risques recommandée dans la norme ISO/IEC 27005 (actifs, menaces, vulnérabilités, force des contrôles, impacts, probabilité des incidents).
3. Approche de la gestion des risques recommandée par la norme ISO/CEI 29134. 4.
4. Examen de la procédure d’évaluation des risques (basée sur ISO/IEC 27005).
5. Examen de la procédure de traitement des risques (basée sur ISO/IEC 27005).
6. Examen de la feuille de calcul Excel utilisée pour l’évaluation et le traitement des risques.
7. Examen des outils de gestion des risques.
Jour III - Pratique de l'audit et de la gestion des risques
1. Définition de l’organisation pour les exercices suivants – type d’activité, parties prenantes, droit, relation avec les clients et les fournisseurs, structure de l’organisation.
2. Exercice 1 – création d’un plan d’audit et d’une liste de contrôle d’audit.
3. Évaluation et discussion.
4. Exercice 2 – réalisation d’une évaluation des risques sur la base de la feuille de calcul Excel proposée :
- Analyse des risques ;
- Évaluation du risque.
5. Evaluation et discussion.
6. Exercice 3 – réalisation du traitement du risque.
7. Evaluation et discussion.
Jour IV - Politique de sécurité de l'information
1. Hiérarchie des documents de la PSI – politiques, normes, directives, procédures, instructions. Comment adapter la PSI au client actuel.
2. Exemples de déclaration de la PSI.
3. Exemple de politique de sécurité des TIC.
4. Exemple de politique de sécurité de l’utilisateur.
5. Approche par processus :
- Gestion des accès ;
- Processus de surveillance ;
- Gestion des incidents de sécurité ;
- Gestion des changements ;
- Gestion de la configuration ;
- Gestion de la continuité des activités ;
- Gestion de la conformité ;
- Audit de sécurité et tests de pénétration ;
- Identification et classification des actifs ;
- Gestion des ressources humaines ;
- Gestion de la documentation ISP.
6. Exemples de procédures/normes, par ex :
- Procédure de gestion des accès utilisateurs ;
- Procédure de surveillance SIEM ;
- Procédure de reporting des événements de sécurité ;
- Procédure de réponse aux incidents de sécurité et aux violations ;
- Procédure de gestion des changements (plusieurs types de changements) ;
- Procédure de documentation de la configuration ;
- Procédure de sauvegarde avec instructions techniques ;
- Procédure de planification et de documentation des audits de sécurité ;
- Norme de classification ;
- Procédure de gestion des changements de la ISP.
Jour V - Pratique de la création de PSI
1. Définition de l’organisation pour l’exercice – type d’activité, parties prenantes, loi, relation avec les clients, structure de l’organisation.
2. Exercice – Création de documents ISP par les élèves :
- Document ISP ;
- les procédures.
3. Évaluation et discussion.