Introduction

• Rappels. Terminologie ISO 27000 et ISO Guide 73.
• La notion de risque (conséquence, vraisemblance).
• La classification minimale CID (Confidentialité, Intégrité, Disponibilité).
• La gestion du risque (réduction, maintien, refus, partage).
• Analyse de la sinistralité. Tendances. Enjeux.
• Les réglementations de sécurité (métiers, juridiques, …) exemple PCI-DSS, NIST, LPM/NIS.
• Pour qui ? Pourquoi ? Interaction avec l’ISO.
• L’alignement ISO avec Gouvernance / Protection / Défense / Résilience.

Les normes ISO 2700x

• Historique des normes de sécurité vues par l'ISO.
• Les normes fondatrices (ISO 27001, 27002).
• Les normes indispensables (ISO 27005, 27004, 27003, etc).
• La convergence avec les autres normes « Système de Management ».

La norme ISO 27001:2022

• La revue de direction et le traitement des causes pour l’amélioration continue.
• Définition d'un Système de management de Sécurité de l’Information (ISMS).
• Objectifs à atteindre par votre SMSI.
• L'approche "amélioration continue" comme principe fondateur, le modèle PDCA (roue de Deming).
• La norme ISO 27001 intégrée à une démarche globale de gouvernance par le risque.
• De la spécification du périmètre SMSI à la cartographie des actifs.
• Les recommandations de l'ISO 27005 pour le management des risques.
• De l'importance de l'appréciation des risques. Choix d'une méthode type ISO 27005:2022 / ISO 31000.
• Conseils pour l’élaboration du Plan de traitement des risques.
• L’apport des méthodes publiées (ex : EBIOS RM) à l’appréciation des risques cyber.
• L’adoption de mesures de sécurité techniques et organisationnelles efficientes.
• L’élaboration de la déclaration d’applicabilité sur base Annexe A.
• Les audits internes obligatoires du SMSI. Construction d’un programme d’audit.
• La mise en œuvre d’actions correctives (conséquence) et préventives.

Les bonnes pratiques, référentiel ISO 27002:2022

• La structuration du premier niveau : mesures organisationnelles, liées aux personnes, d'ordre physique, technologiques.
• Le traitement des risques (#Prévention, #Détection, #Correction).
• Les concepts de cybersécurité : #Identification, #Protection, #Détection, #Traitement, #Récupération.
• Les capacités opérationnelles : #Gouvernance, #Gestion_des_actifs, Protection_des_informations, #Sécurité_des_RH.
• #Sécurité_physique, #Sécurité_système_et_réseau, #Sécurité_des_applications, #Configuration_sécurisée.
• #Gestion_des_identités_et_des_accès.
• Les domaines de sécurité (#Gouvernance_et_écosystème, #Protection, #Défense, #Résilience)
• La norme ISO 27002:2022 : aperçu des 93 bonnes pratiques.
• Nouvelles pratiques ISO 27002:2022, les mesures supprimées de la norme ISO 27002:2017. Les modifications, agrégations.
• Exemples d'application du nouveau référentiel à son organisme : les mesures de sécurité clés indispensables.

La mise en œuvre de la sécurité dans un projet SMSI

• Des spécifications sécurité à la recette sécurité.
• Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
• De l'analyse de risques à la construction de la déclaration d'applicabilité.
• Intégration de mesures de sécurité au sein des développements spécifiques.
• Les règles à respecter pour l'externalisation.
• Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
• Les rendez-vous "Sécurité" avant la recette.
• Intégrer le cycle PDCA dans le cycle de vie du projet.
• La recette du projet, comment la réaliser ? Quels types d’audit ?
• Préparer les indicateurs. Indicateurs d’efficacité et de conformité.
• Mettre en place un tableau de bord de gouvernance. Exemples.
• L’apport de la norme 27004 :2016 dans la construction des métriques.

Les audits de sécurité normes ISO 19011 et ISO 17021

• Processus continu et complet. Étapes, priorités.
• La construction du programme d’audits internes.
• Les catégories d'audits, organisationnels, techniques, etc.
• L'audit interne, externe, tierce partie.
• Le déroulement type ISO de l'audit, les étapes clés.
• Les objectifs d'audit, la qualité d'un audit.
• La démarche d'amélioration pour l'audit.
• Les qualités des auditeurs, leur évaluation.
• L'audit de la gouvernance du Système de Management : démarche, méthodes.

La certification ISO de la sécurité du SI : le certificat SMSI

• Intérêt de cette démarche, la recherche du "label".
• Les critères de choix du périmètre. Domaine d’application. Implication des parties intéressées.
• L’ISO : complément indispensable des cadres réglementaires et standards ?
• Les enjeux business et/ou réglementaires escomptés.
• Organismes certificateurs, choix en France et dans le monde.
• Démarche d'audit, étapes et charges de travail.
• Normes ISO 17021 et ISO 27006, obligations pour les certificateurs.
• Coûts de la certification, ROI.