Gouvernance, Risques et Conformité
Objectifs
Ce cours aborde la gestion de la sécurité d’un système d’information de l’entreprise.
C’est une approche par les risques, s’appuyant sur la mise en place de la gouvernance et une revue de la conformité.
Il introduit la notion de référentiels de sécurité, de la nécessité de mise en conformité voire d’homologation, à travers différentes normes et guides de bonnes pratiques.
Les étudiant(e)s auront l’occasion de comprendre l’importance de la gestion des risques, la politiques de sécurité et de la gouvernance à mettre en place.
La démarche des analyses de risques et l’évaluation de la conformité seront illustrées par des travaux pratiques.
Plan du cours
I. Introduction au GRC
A. La GRC dans les entreprises
B. Le socle de sécurité (conformité)
C. L’approche par les risques pour prioriser
II. Appréciation de risques cybersécurité
- La méthodologie EBIOS Risk Manager
- Les Bases
- Atelier 1 : Cadrage & socle de sécurité
- Atelier 2 : Sources de risque
- Atelier 3 : scénarios stratégiques
- Atelier 4 : scénarios opérationnels
- Atelier 5 : Traitement du risque
- Avantages de la méthode
- Appréciation des risques : Etude de cas
III. Le Système de Management de la Sécurité Informatique
A. Les référentiels de sécurité à connaître, conformité, certification et homologation.
B. Définition et fonctionnement d’un SMSI, approche processus.
C. Politiques de sécurité : PSSI et exigences de sécurité
D. Prise en main d’un outil de GRC, cas d’utilisation et pratique avec un exemple concret
Description des TP
TP1 : Appréciation de risques cybersécurité avec la méthodologie EBIOS RM
TP2 : Prise en main d’un outil de GRC
Connaissances requises
Cours de Sensibilisation à la cybersécurité
RSE (Responsabilité Sociale et Environnementale)
Bibliographie
ISO/IEC 27001:2022 et ISO27002:2022
La méthode EBIOS Risk manager (ANSSI)
NIST
CIS CONTROLS v8
Guides de bonne pratique de l’ANSSI