La méthode EBIOS RM (2018) permet d’apprécier et de traiter les risques relatifs à la sécurité des SI et plus particulièrement le cyber risque en se fondant sur une expérience éprouvée en matière de conseil SI et d’assistance MOA. Ce séminaire vous apportera toutes les connaissances nécessaires à sa mise en œuvre en situation réelle.
Formation dans vos locaux, chez nous ou à distance
Réf. IVH
2j - 14
Vous souhaitez transposer cette formation, sans modification, pour votre entreprise ?
Formation à la carte
Vous souhaitez une formation adaptée aux spécificités de votre entreprise et de vos équipes ? Nos experts construisent votre formation sur mesure !
La méthode EBIOS RM (2018) permet d’apprécier et de traiter les risques relatifs à la sécurité des SI et plus particulièrement le cyber risque en se fondant sur une expérience éprouvée en matière de conseil SI et d’assistance MOA. Ce séminaire vous apportera toutes les connaissances nécessaires à sa mise en œuvre en situation réelle.
Objectifs pédagogiques
À l’issue de la formation, le participant sera en mesure de :
Comprendre les enjeux sur les risques cyber : la cyber défense par le risque
Évaluer en quoi le nouvel EBIOS s’adapte (ou pas) aux enjeux actuels de sécurité
Comprendre l’approche de la gestion de risque proposée
Appréhender le vocabulaire et les concepts développés par l’ANSSI
Réaliser une étude complète via l’ensemble des ateliers proposés
Public concerné
RSSI ou correspondants sécurité, architectes sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité.
Prérequis
Connaissances de base en management de risques et en cybersécurité, ou connaissances équivalentes à celles apportées par les stages BYR et ASE ou BYR et AIR.
Vérifiez que vous avez les prérequis nécessaires pour profiter pleinement de cette formation en faisantce test.
Programme de la formation
La cybermenace dans l’actualité
Les cyber vols et le cyber espionnage de données sensibles.
Vers une nouvelle guerre froide Est-Ouest, USA-Chine.
Les dénis de services d’envergure mondiale.
Les groupes de hackers organisés, le rôle des agences de renseignements.
Phishing/ingénierie sociale, Spear phishing : des scénarios bien rodés.
Les APT : persistance et profondeur des attaques.
Vol de données sensibles, intrusions réseaux, malwares, bots/botnets et ransomwares.
Identification et analyse de la cyber menace
L’approche des militaires appliquée au monde cyber.
L'approche US avec le Find, Fix, Track, Target, Engage, Assess.
La cyber kill chain comme base de description. Exemple type : Lockheed Martin.
Les phases Reconnaissance, Weaponization, Delivery, Exploit, Installation, Control (C2). Actions on Objectives.
Le portrait robot d’une attaque ciblée selon l’ANSSI.
Les phases du processus (Connaître, Rentrer, Trouver, Exploiter).
L’identification des chemins d’attaque directs et indirects.
La méthode EBIOS
Rôle de l’ANSSI et du club EBIOS.
EBIOS face aux enjeux de la LPM.
Apport de la nouvelle méthode EBIOS RM (2018) et EBIOS 2010.
La compatibilité EBIOS RM versus ISO 31000 et ISO 27005.
Les fondamentaux de la méthode
Valeur métier, bien supporté, écosystème, partie prenante.
Approche par conformité versus approche par scénarios de risques.
Prise en compte des menaces intentionnelles sophistiquées de type APT.
Appréciation de son écosystème et des parties prenantes critiques de rang 1, 2, 3.
EBIOS RM au processus d’homologation de la LPM et de la directive NIS.
Règles de sécurité de l’approche par conformité (guide d’hygiène, mesures LPM/NIS…).
Processus Gestion de Risques comme mesure de la gouvernance SSI.
Les objectifs de EBIOS RM
Identifier le socle de sécurité adapté à l’objet de l’étude.
Être en conformité avec les règlements de sécurité (métier/juridique/contractuel).
Identifier et analyser les scénarios de haut niveau en intégrant l’écosystème et les parties prenantes.
Identifier et impliquer les mesures de sécurité pour les parties prenantes critiques.
Réaliser une étude préliminaire de risque pour identifier les axes prioritaires d’amélioration.
Les axes prioritaires d’amélioration : la sécurité et les points faibles exploitables des attaquants.
Conduire une étude de risque détaillée visant, par exemple, l’homologation type ANSSI.
Quels événements à redouter, vus de l’activité métier ?
Quel socle de sécurité intégrer : ANSSI, PSSI interne… ?
Quels référentiels de réglementation identifier comme obligatoires ?
2. Atelier – Sources de risque et objectifs visés :
Quelle attractivité des valeurs métiers, cyber attaquants ?
Quelle implication des métiers dans la connaissance des sources de risques ?
Quels critères pour évaluer les couples SR-OV : l’évaluation des ressources et motivation des groupes attaquants.
Etude de cas
Présentation des ateliers 1 et 2.
Les activités de la méthode (3, 4 et 5)
3.4. Atelier – Scénarios stratégiques et opérationnels :
Quelles sont les parties prenantes de l’écosystème ?
Quels scénarios vus des métiers puis vus de la technique ?
Quels chemins d’attaques directs et indirects décrire ?
Comment calculer les vraisemblances des scénarios : de la méthode expresse à la méthode avancée.
5. Atelier – Traitement du risque :
Quels risques considérer comme inacceptables dans le contexte ?
Quels livrables pour une étude EBIOS RM ?
Déclaration d’applicabilité type ISO 27001, rapport d’appréciation des risques LPM/NIS, etc.
Etude de cas
Présentation des ateliers 3, 4 et 5.
EBIOS, étude de cas
1.Le contexte de l’étude : implication des métiers dans l’identification des valeurs métiers et des impacts ressentis.
Détermination des sources de risques et des objectifs d’attaques potentiels.
Détermination des obligations réglementaires, juridiques et l’identification des parties prenantes critiques de rang 1.
La construction de la cartographie de menace numérique de l’écosystème dans le contexte.
2. Les activités des ateliers nécessaires à la construction des scénarios stratégiques puis opérationnels.
L’évaluation des risques en termes de gravité et de vraisemblance.
Élaboration d’une méthode de calcul de la maturité cyber et dépendance par rapport aux parties prenantes.
3. Élaboration du plan de traitement des risques.
L’élaboration d’un plan d’actions.
Les mesures de sécurité techniques (protection, défense) et organisationnelles (gouvernance, résilience).
Le choix des mesures parmi les règles de sécurité des référentiels LPM/NIS ou ISO ou autre.
Le choix d’un logiciel certifié ANSSI (en cours de certification : ARIMES, EGERIE, AGILE RM, FENCE, IBM OpenPages, …).
La construction provisoire de son « logiciel » sur base tableur.
Modalités pratiques
Exemple
Des études de cas dans un contexte industriel et tertiaire permettront de comprendre et pratiquer la méthode.
Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.
Avis clients
5 / 5
Les avis clients sont issus des évaluations de fin de formation. La note est calculée à partir de l’ensemble des évaluations datant de moins de 12 mois. Seules celles avec un commentaire textuel sont affichées.
VINCENT D.
27/06/24
5 / 5
Très bon formateur qui prend le temps de lever toutes les questions
MATHIEU B.
27/06/24
5 / 5
Animateur pédagogue, très intéressant avec une très bonne capacité d’adaptation aux différents profils des personnes formées
STÉPHANE P.
07/12/23
5 / 5
Excellent formateur.
CHRISTINE S.
21/09/23
5 / 5
Formateur de bon niveau et à l’écoute, sachant illustrer les concepts et dynamiser le cours à distance
NOZAIH PASCAL L.
21/09/23
5 / 5
L’intervention de Pascal GOUACHE est d’une grande qualité :recul métier et clarté des propos
ALEXANDRE F.
21/09/23
5 / 5
Très pédagogique, toute ambiguïté est levée par des exemples et des recours aux textes fondateurs.
BRUCE B.
24/04/23
4 / 5
Très bon formateur, qui arrive à rendre vivant un sujet assez aride !
EMMANUEL B.
24/04/23
5 / 5
Bien expliqué avec une approche progressive appréciable
INFORMATIQUE S.
24/04/23
5 / 5
Effectuer une analyse de risque en déroulant toute la méthode dans le cadre d’un TP aurait été vraiment un plus pour tester une mise en application.
MATHILDE P.
24/04/23
5 / 5
Contenu très dense, ce qui est normal vu le sujet traité
2 jours sont un peu courts, 3 jours seraient idéal pour cette formation
SANDRINE B.
24/04/23
4 / 5
L’animateur a été très clair et a permis de bien comprendre le contenu de chaque atelier de la méthode EBIOS. Néanmoins, une mise en application de tout ou partie de la méthode aurait permis une meilleure appropriation et compte tenu du nombre peu élevé de participants (8), celle ci aurait été tout à fait réalisable en 2 groupes avec les outils déjà à disposition (Teams et Klaxoon)[[br]
ERIC D.
05/01/23
4 / 5
Manque de cas concrets
FRANCK G.
05/01/23
5 / 5
Formateur très expérimenté et qui maitrise complétement le support de cours (timing, points difficiles, écoute des difficultés des personnes formées)
HERVÉ T.
03/11/22
5 / 5
Contenu pertinent car tiré de l’anssi.
Le formateur est en pleine maîtrise de son sujet, c’est très appréciable.
FABRICE C.
03/11/22
5 / 5
J’ai été très satisfait par le contenu et la pédagogie du formateur.
GABRIEL G.
03/11/22
5 / 5
intervenant de qualité, pédagogique, interactif et sachant! parfait
AUTRAN .
08/06/22
5 / 5
Très bonne
RAPHAËL D.
21/04/22
4 / 5
Certaines copies sont peu lisibles
GUERGANA T.
21/04/22
4 / 5
Le rendu des slides sur l’écran est flou. Le support peut être adapté avec des chiffres et examples plus récents.
PATRICE B.
21/04/22
4 / 5
Contenu satisfaisant.
Formateur connaissant bien son sujet mais lit un peu trop ses planches.
Le support papier et le support projeté ne contiennent pas les réponses du cas d’étude, atelier par atelier.
Certains planches (84, 85, 94, 95, 102 etc.) sont de mauvaise qualité et sont donc illisibles.
Idem pour le support projeté.
Feutres paperboard très usagés.
Pas assez de feuilles au paperboard.