Méthode EBIOS RM 2018 (Risk Manager)

Objectifs pédagogiques

Pratiquer la gestion des risques avec la méthode EBIOS Risk Manager.

Programme

Jour 1 – Matin

• Objectifs et structure de cours
• Présentation du groupe
• Points généraux
• Objectifs et structure de la formation
• Approche pédagogique
• Evaluation des apprentissages
• Introduction à la méthode EBIOS Risk Manager
• Les fondamentaux de la gestion des risques
• Présentation d’EBIOS
• Zoom sur la cybersécurité (menaces prioritaires)
• Principales définitions EBIOS RM
• Exemples de travaux pratiques (à titre indicatif)
• Compréhension de la terminologie
• Concept phare et atelier de la méthode EBIOS RM
• Cadrage et socle de sécurité (atelier 1)
• Présentation de l’atelier
• Définition du cadre de l’étude et du projet
• Identification du périmètre métier et technique
• Identification des évènements redoutés et évaluation de leurs niveaux de gravité
• Déterminer le socle de sécurité
• Exemple de travaux pratiques (à titre indicatif)
• Identifier les évènements redoutés

Jour 1 – Après-midi

• Sources de risques (atelier 2)
• Présentation de l’atelier
• Identifier les sources de risques (SR) et leurs objectifs visés (OV)
• Evaluer la pertinence des couples
• Evaluer les couples SR/OV et sélectionner ceux jugés prioritaires pour l’analyse
• Evaluer la gravité des scénarios stratégiques
• Exemple de travaux pratiques (à titre indicatif)
• Evaluer les couples SR/OV

Jour 2 – Matin

• Scénarios stratégiques (atelier 3)
• Présentation de l’atelier
• Evaluer le niveau de menace associé aux parties prenantes
• Construction d’une cartographie de menace numérique de l’écosystème et des parties prenantes critiques
• Exemples de travaux pratiques (à titre indicatif)
• Evaluer le niveau de menace associé aux parties prenantes
• Elaboration de scénarios stratégiques
• Définition des mesures de sécurité de l’écosystème

Jour 2 – Après-midi

• Scénarios opérationnels (atelier 4)
• Présentation de l’atelier
• Elaboration des scénarios opérationnels
• Evaluation des vraisemblances
• Pour aller plus loin (Threat Modeling, ATT&CK, CAPEC)
• Exemple de travaux (à titre indicatif)
• Créer un scénario opérationnel
• Traitement du risque (atelier 5)
• Présentation de l’atelier
• Réalisation d’une synthèse des scénarios de risques
• Définition de la stratégie de traitement
• Définir les mesures de sécurité dans un Plan d’Amélioration Continue de la Sécurité (PACS)
• Evaluation et documentation des risques résiduels
• Mise en place du cadre de suivi des risques
• Exemples de travaux pratiques (à titre indicatif)
• Créer un PACS (Plan d’Amélioration Continue de la Sécurité)
• Conclusion

Certification (en option)

Le prix de l’examen est à prévoir en sus

L’examen (en français) aura lieu obligatoirement en présentiel et après la formation (à froid), puis s’effectuera en ligne ou sur papier, pour une durée moyenne de 2h30

Il remplit les exigences relatives au programme d’examen et de certification de PECB

Il couvre les domaines de compétences suivants :

• Domaine 1 : Principes et concepts fondamentaux de la gestion des risques liés à la sécurité de l’information selon la méthode EBIOS
• Domaine 2 : Programme de gestion des risques liés à la sécurité de l’information basé sur EBIOS
• Domaine 3 : Appréciation des risques liés à la sécurité de l’information basée sur la méthode EBIOS

Le contenu de ce programme peut faire l’objet d’adaptation selon les niveaux, prérequis et besoins des apprenants.