carma-ban1

L’information est au cœur des problématiques de compétitivité des entreprises ;  La gestion des risques d’atteinte à la sécurité des SI doit s’appréhender dans une démarche stratégique et globale de sécurité du capital informationnel d’une entreprise, les chefs d’entreprises et les responsables de sécurité de systèmes d’information ne doivent plus lésiner sur les moyens de protection de leurs SI car la continuité des activités et donc la survie de leur entreprise en dépendent ; ainsi et compte tenu des enjeux associés à l’utilisation d’un système d’information, la maîtrise des risques susceptibles de le menacer est devenue incontournable pour la survie d’une entreprise.

Objectif

Cette formation vous expliquera comment protéger votre système d’information :

Comprendre l’importance d’un système de management de la  sécurité de l’information
Éviter des dommages (déni de services, dysfonctionnement, dégât logique,…)
Éviter le préjudice aux tiers (RC): (propagation de virus, SLA, …)
Se conformer à la loi (RC pénale/administrative) : (vie privée, cybercriminalité,…)
Pérenniser l’entreprise (RC sociale) : (continuité d’activité, gestion de crises)
Lutter contre la fraude informatique interne (employés indélicats)
Protéger les installations contre les menaces (malveillance, sabotage, intrusion,…)
Assurer la sécurité physique & logique des:

puce3réseaux et des systèmes d’exploitation
puce3données et des flux d’informations TIC
puce3applications et des bases de données
puce3serveurs et du parc informatique

PROGRAMME
Introduction
Qu’est-ce qu’un système d’information ?
Définir l’importance de la sécurisation des processus relevant du système d’information
Définir la typologie des menaces, des défaillances et des vulnérabilités du SI (causes accidentelles, systémiques,  intentionnelles, …)
Quelle distinction faire entre menaces internes et externes ?
Définir la responsabilité du RSSI et son rôle dans la sécurisation du système d’information

Phase d'identification et d'analyse
Identifier les vulnérabilités techniques, organisationnelles et humaines qui peuvent entraîner le dysfonctionnement du SI
Cartographier les fonctions et les processus dépendant des prestations du système d’information
Dresser l’inventaire des matériels/logiciels, et évaluer les impacts en termes de Perte de données et d’indisponibilité du SI
Dresser l’inventaire des vulnérabilités et des menaces pesant sur le système d’information:

puce3 Intrusion physique et logique (interne, externe)
puce3 piratage de bases de données sensibles via le serveur de l’entreprise
puce3 Malveillance (personnel, stagiaires, sous traitants, hackers,…)
puce3 écoute de communications et espionnage sur réseaux de TIC
puce3 malveillance interne/externe (injection de virus, sabotage, chantage, vol,…)
puce3 craquage/déchiffrement de mots de passe
puce3 défaillance intrinsèque des composants du SI (maintenance)
puce3 failles dans l’accès à l’information (identification, authentification, autorisation)
puce3 failles dans la sécurité de l’information (confidentialité, intégrité, disponibilité,…)

Analyse des risques qui peuvent impacter le système d’information 
Evaluer l’impact des sinistres probables sur les activités tributaires du système d’information

Phase de traitement
Garantir les conditions de sécurité de l’information (confidentialité, intégrité, disponibilité, fiabilité, authentification, non répudiation, imputabilité, auditabilité)
Assurer les fonctions de contrôle d’accès à l’information (identification, authentification, autorisation)
Instaurer un zonage de sécurité et y imposer un contrôle d’accès strict
Sanctuariser les locaux abritant le SI et assurer la traçabilité des accès
S’assurer de la fiabilité des partenaires et sous traitants (SAS 70)
Maîtriser les risques de sous-traitance (dépendance, perte de confidentialité, responsabilité vis-à-vis des tiers, atteinte à l’image, …) 
Définir des mesures de sûreté/sécurité pour le SI et veiller à leur respect
Assurer la surveillance des locaux en dehors des heures de travail
Assurer la traçabilité des documents sensibles (remise contre ADR)
Assurer la protection des supports informatiques amovibles
Assurer la sécurité des informations à tous les stades de leur vie (création, traitement, diffusion, numérisation, duplication, archivage, destruction,…)
Instaurer des procédures d’accès aux documents archivés et garantir la traçabilité des détenteurs de dossiers
Assurer une diffusion et un archivage électronique fiables, durables et attestant la conformité du document diffusé/archivé à l’original 
Protéger l’information lors de l’usage des fax, imprimantes et photocopieuses
Adopter des pratiques conservatoires de l’information sur les lieux de travail  
Mettre en place un plan de continuité d’activités du SI (PCI)
Intégration du Management de la sécurité du Système d’Information SMSI (ISO 27001)
Intégration des méthodologies d’analyse des risques inhérents au SI (MEHARI, EBIOS, ISO 27005,…)
S’appuyer sur l’Audit, le contrôle interne et les revues de procédures pour assurer la sécurité du SI
Souscrire des polices d’assurances IARD appropriées (tous risques informatiques, perte d’exploitation, incendie, vol, dommages aux tiers, catastrophes naturelles,…)
Traiter les risques humains en priorité

puce3 Instaurer des procédures de lutte contre la fraude et la malveillance
puce3 Responsabiliser le personnel (faire signer un engagement spécifique)
puce3 Revoir les procédures de recrutement et analyser les dossiers du staff  IT
puce3 Renforcer la sûreté/sécurité (investissements)
puce3 Renforcer les procédures de sûreté/sécurité (proscrire usage clef USB, HD externe, photocopie de documents sensibles sans autorisation,…)
puce3 ...

Evaluation finale & discussion
Durée et prix : 2,5 jours ; 8.500 DH  ; Des conditions tarifaires très avantageuses sont octroyées pour les formations en intra-entreprise(consultez-nous pour en savoir plus)
Téléchargez le bulletin d'inscription si vous désirez suivre cette formation dans notre structure formulaire

carma-right-20

Bon à savoir *

La maîtrise des risques correspond à la composition de deux actions : acquérir la connaissance sur les risques et avoir la volonté d'agir. La maîtrise des risques ne peut pas se satisfaire d'une approche statique, dans laquelle tout serait connu et planifié pour faire face à l'ensemble des situations dangereuses connues ou supposées l'être.

Les systèmes techniques et les organisations sont complexes, ils évoluent au rythme des progrès scientifiques et de l'évolution des comportements et de la société ; Pour maîtriser cette complexité dans les meilleures conditions, il faut mettre en place une approche dynamique, qui permette l'évolution constante de la connaissance des systèmes techniques et des organisations en place, de l'ensemble réglementaire et des dispositifs de prévention et de protection.

Cette approche dynamique met en œuvre deux processus essentiels : l'anticipation fondée sur l'analyse et l'apprentissage fondé sur l'expérience et sur l'entraînement.
L'expérience opérationnelle (qui découle de formations, d'appropriation de méthodologies de gestion de risques, de vigilance et d'expériences dans la gestion opérationnelle,…) permet d'affiner les savoirs et les savoir-faire sur la gestion des situations dangereuses et d'acquérir des savoirs-être dans la gestion des situations anticipées mais aussi des situations imprévues.

Le retour d'expérience permet de garder la trace de la gestion des situations vécues de crises, d'acquérir de nouvelles compétences et de les utiliser pour améliorer l'anticipation.
Cet apprentissage peut être réinjecté dans les outils, dans les méthodes et/ou dans les structures organisationnelles.
Le retour d'expérience a pour fonction de mesurer l'écart constaté entre la doctrine et la pratique ; les nouveautés ou adaptations constituent des éléments d'analyse complémentaires et nécessaires à toute organisation performante.

Dans cette démarche de progrès dans la maîtrise des risques, le retour d'expérience permet aux acteurs ayant vécu un événement, un sinistre ou une crise, mais également à ceux à qui on l'a raconté, d'acquérir de la connaissance mobilisable en situation d'urgence et de crise.