Objectifs de la formation
- Connaître les enjeux et les obligations en matière de pilotage de la sécurité
- Comprendre comment réaliser des tableaux de bord parlants et efficaces
- Appréhender le nombre et le choix des indicateurs en fonction du domaine d'application choisi
- Disposer d’une méthodologie d’audit de la sécurité
Programme de la formation
Introduction : le contrôle de la sécurité
- Rappels. Terminologie ISO 27000.
- Mise en œuvre du contrôle de la sécurité.
- Evaluation de la sécurité court-moyen-long terme.
- Le pilotage de la sécurité : la vue "manager".
- Les revues de sécurité et les éléments d'entrée.
- La lisibilité de sa sécurité par rapport aux éditeurs.
- Rappel des contraintes réglementaires et normatives.
Les audits de sécurité
- Le métier de l'auditeur sécurité.
- Identifier le contexte de la mission.
- La préparation de la mission, l'analyse du référentiel.
- La classification des écarts, déterminer les critères de risques retenus.
- Revue documentaire.
- La préparation des interviews.
- Les tests techniques.
- L'audit sur site : ce qu'il faut faire (et ne pas faire).
Les indicateurs et instruments de mesures
- La présentation des indicateurs et tableaux de bord, exemples de formats.
- Une typologie d'indicateurs. A quoi sert mon indicateur ?
- Le nombre et le choix des indicateurs en fonction du domaine d'application choisi.
- L'inscription dans une démarche ISO 27001. Les revues et réexamen de SMSI.
- La norme 27004 "Information Security Management Measurements" : l'essentiel.
- Les exemples de la norme sur des contrôles 27001 et mesures Annexe A.
Les tableaux de bord et le pilotage de la sécurité
- Le suivi de la PSSI, la base de calcul de retour sur investissement.
- Les tableaux de bord : pour qui, pour quoi ? Suivi des actions et de la conformité PSSI pour le RSSI.
- Suivi des niveaux de risques acceptables pour les directions opérationnelles.
- Le référentiel "Domaines - Bonnes pratiques" comme instrument de suivi.
- Le référentiel "Type de pratiques/maturité" comme cible à atteindre.
- Exemples de tableaux de bord standard.
Conclusion
- Le choix des indicateurs.
- La construction de mon premier tableau de bord.
- Mise en situation audit.
Etude de cas
Exercices sur projets types "Sécurité logique", "Protection des biens et des personnes", "Sécurité des communications", "Sécurité Application".