Formation
PROMO - 5% sur vos commandes en ligne avec le code ONLINE26

Appelez-nous

Numéro BV 01 55 24 71 35

Ecrivez-nous

Votre panier est vide

Cybersécurité

Cybersécurité :

ISO 27001:2022 : Formation Auditeur du SMSI

Ref: AMSI-10
Voir les dates et lieux

ISO 27001:2022 : Formation Auditeur du SMSI : AMSI-10


Deprecated: explode(): Passing null to parameter #2 ($string) of type string is deprecated in /var/www/html/gda/tpl_fiche_formation.php on line 189
FORMATION INTER
Voir les hôtels à proximité Voir les restaurants à proximité
LIEU : (sélectionner)
DATE : (sélectionner)
Ajouter au panier

   Vous n’avez pas trouvé
de date, contactez-nous

  Présentation


Objectifs
À l’issue de la formation, le participant sera en mesure de :

1. Définir le processus d’audit d’un SMSI
2. Mettre en œuvre les bonnes pratiques d’audit d’un SMSI
3. Examiner et construire un rapport d’audit
4. Identifier et différencier les non-conformités majeures et mineures
5. Apprécier la performance et l’efficacité d’un SMSI
6. Organiser, planifier et préparer un audit
 

Moyens pédagogiques, techniques, d'encadrement et de suivi

Formation orientée sur la pratique
Enseignement théorique
Exposés avec illustrations
Pédagogie active
Études de cas

La formation est animée par un formateur :
Disposant d'une qualification spécifique de formateur selon les procédures de qualification de Bureau Veritas
Justifiant d'une expérience terrain confirmée dans le domaine concerné

 

  Public

DSI.
RSSI.
Risk manager.
Chef de projet sécurité.
Auditeur sécurité.
Consultants sécurité.

ECSF Metiers Associés:
CISO, Cybersecurity Auditor, Cybersecurity risk manager, Cyber legal policy and compliance officer
Pré-requis
Des connaissances de base sur le fonctionnement d’un SMSI et sur les concepts de base de l’audit sont demandés afin de pouvoir suivre cette formation. 

  Contenu

JOUR 1

Introduction/Rappel – Les essentiels de la cybersécurité 
        o Définitions de la cybersécurité
        o Acteurs de la cybersécurité en France
        o Le DICP
        o Concepts fondamentaux de la cyber (Moindre privilège, besoin d’en connaitre, défense en profondeur…)
Un cadre de vie : le SMSI
        o Contexte et justification du SMSI
        o Définition du SMSI
        o Rôle stratégique du SMSI dans l’organisation
        o Fonctionnement du SMSI et logique d’amélioration continue (PDCA)
        o Objectifs et finalités du SMSI
        o Processus de certification ISO 27001
        o Avantages et bénéfices du SMSI pour l’organisation
Les armes du responsable de l’auditeurLes armes du responsable de l’auditeur
        o Définition du rôle de l’auditeur
        o Fiche technique de l’auditeur (profil, formation, salaire, expérience)
        o Postes associés
        o Missions principales de l’auditeur
        o Compétences comportementales et organisationnelles
        o Les différents types d’audit et d’auditeur (Architecture, Configuration, Code source, Organisationnel/Physique, Systèmes industriels, Tests d'intrusion)
Les organismes d’accréditation
        o Différence Accréditation et Certification
        o COFRAC, EA, IAF, ILAC
        o Normes ISO 17011, 17021, 17024
Déchiffrer les normes ISO
        o Structure d’une norme ISO (préambule, clauses, annexes)
        o Logique du management ISO (PDCA – Plan, Do, Check, Act)
        o Famille des normes ISO 27000 (27001, 27002, 27005, 27017, 27018, 27701…)
        o Focus sur ISO/IEC 27001:2022 (structure, clauses 4 à 10)
        o Structure typique d’une norme ISO contenant des exigences
        o Relations avec d’autres normes (ISO 9001, ISO 22301, ISO 31000…)

JOUR 2

Retours Jour 1
        o Réalisation du quiz sur le contenu vu lors du jour 1
L’ISO 19011
        o Les 4 grands axes : principes d'audit, management des programmes, conduite des audits, compétence des auditeurs
        o Les 7 principes fondamentaux
        o Compétences requises pour l’auditeur : personnelles, générales, spécifiques au domaine, responsable d'audit
Les concepts de base de l’audit
        o Définition
        o 3 types d'audits
        o Parties impliquées : client, audité, équipe d'audit, expert technique
        o Les 7 principes fondamentaux (déontologie, restitution impartiale, conscience professionnelle, confidentialité, indépendance, approche par preuves, approche par risques)
        o Les Menaces sur l'indépendance 
        o Les 4 niveaux de négligence
Audit basé sur les preuves
        o Preuve d'audit : enregistrements, énoncés de faits ou informations vérifiables pertinentes
        o Les 7 types de preuves
        o 5 facteurs de fiabilité : objectivité, durée, indépendance de source, technique de collecte, système de contrôle
        o Hiérarchie des preuves : du plus au moins fiable (matérielle → verbale)
Audit basé sur les risques
        o Les risques liés aux audits
        o Risques du programme d'audit : planification, ressources, équipe, communication, mise en œuvre
        o Opportunités d'amélioration : audits combinés, réduction temps/distance, alignement compétences
        o Importance relative : identification des processus critiques pour l'organisme
        o Assurance raisonnable : objectif de détection des anomalies matérielles (non-assurance absolue)
La réalisation de l’audit
        o 6 phases principales :
                - Initialisation du processus d'audit
                - Étape 1 de l'audit (documentaire)
                - Préparation étape 2
                - Étape 2 de l'audit (sur site)
                - Conclusions d'audit
                - Après l'audit initial
        o Cycle complet : du mandat à la certification, suivi et audits ultérieurs
Initialisation de l’audit
        o Offre d'audit
        o Responsable d'audit
        o Faisabilité : informations disponibles, coopération, durée, compétence, aspects culturels
        o Objectifs certification ISO 27001
        o Périmètre d'audit
        o Critères d'audit 
        o Contrat d'audit
        o Prise de contact
        o Programme d'audit

JOUR 3
Retours Jour 2
        o Réalisation du quiz sur le contenu vu lors du jour 2
L’audit d’étape 1
        o Objectif de l’audit d’étape 1
        o Examen documentaire
        o Critères de validation
        o Vérification
        o Rapport d’audit d’étape
La préparation de l’audit d’étape 2 
        o Les étapes de planification
        o Plan d'audit
        o Attribution des tâches
        o Documents de travail
        o Listes de contrôle
La réunion d’ouverture
        o Objectif de la réunion d’ouverture
        o Participants : Équipe d'audit, personnes impliquées dans le SMSI, direction générale
        o Points abordés
Collecte d’informations et test d’audit
        o Sources d'information
        o Tests d'audit
        o Collecte de preuves
Comportement et gestion des conflits 
        o Recommandations
        o Type de communication
        o Les 5 stratégies de gestion des conflits
        o Les aspects culturels
        o La gestion des entretiens direction
Les procédures d’audit
        o Les 8 procédures d'audit :
                - Entretien
                - Revue documentaire
                - Observation 
                - Analyse
                - Échantillonnage
                - Vérification technique
                - Corroboration 
                - Évaluation
        o Les types d'entretiens
        o La préparation d’un entretien
        o Documentation
L’ISO 27007 et 27008
        o ISO/IEC 27007:2020
        o ISO/IEC 27008:2019
        o Plans de test d'audit
        o Lignes directrices audit

JOUR 4
Retours Jour 3
        o Réalisation du quiz sur le contenu vu lors du jour 3
Constatations d’audit
        o Définitions :
                - Constatations d'audit
                - Conformité
                - Non-conformité
        o Non-conformité mineure
        o Non-conformité majeure
        o Observations et anomalies
        o Documentation NC
        o Principe du bénéfice du doute
Rédaction des conclusions d’audit et revue de qualité 
        o Contenu des documents de travail 
        o Revue qualité par les pairs
        o Points vérifiés lors revue qualité
        o Erreurs potentielles à détecter
        o Documentation revue qualité
La réunion de clôture
        o Objectifs de la réunion de clôture
        o Organisation QQOQP
        o Points abordés
        o Les recommandations de certification
        o Discussion préalable
        o Réactions possibles
        o Les obligations auditeur
Rédaction du rapport d’audit et détermination de la décision de certification
        o Préparation du rapport
        o Contenu du rapport
        o Distribution
        o Clôture audit
        o Contenu du certificat
Audit de suivi 
        o Objectif de l’audit de suivi
        o Processus de clôture des non-conformités
        o Présentation des plans d'action
        o Contenu des plans d'action :
                - Correction des non-conformités
                - Évaluation des plans d'action

Le cycle d’audit et les audits ultérieurs
        o Audit de surveillance
        o Audit renouvellement
        o Cycle 3 ans :
                - Année 0 : Audit certification (étape 1 + 2)
                - Années 1-2 : Audits surveillance
                - Année 3 : Audit renouvellement (étape 1 + 2)
        o Cas particuliers :

                - Extension : Périmètre réduit initial, extension ultérieure possible
                - Suspension/retrait : Pour manquement grave/constant
                - Transfert : Possible entre organismes certification
        o Usage marques certification
        o Différences audits internes vs externes
        o Charte d'audit interne
        o Rôle auditeur interne
        o Activités principales audit interne
        o Accès et indépendance 
        o Planification activités audit 
        o Programme audit continu 
        o Ressources programme audit
        o Suivi non-conformités
        o Surveillance/évaluation programme audit

JOUR 5

Examen blanc
Passage de l'examen certifiant (si choisi lors de la contractualisation)

Evaluation et validation

EXAMEN : PASSAGE DE LA CERTIFICATION DE PERSONNES (NON OBLIGATOIRE) :

  • Partie théorique et pratique
  • Le temps destiné au passage de la certification est de 3 heures.
  • L’examen est composé de 3 parties :
    o Une 1ère partie composée d’un QCM de 40 questions portant sur les articles et la composition de la norme. (50% de la note finale)
    o Une 2ème partie composée de 4 questions se concentrant sur des points spécifiques du cours et sur les la mise en œuvre d’un audit. (25% de la note finale)
    o Une 3ème partie composée de 4 questions basée sur la mise en œuvre de ces techniques d’audit dans un cas pratique concret. (25% de la note finale)
La note minimale de réussite est fixée à 70 %.

La durée de l’examen est de 3 heures. Les participants non francophones bénéficient de 30 minutes supplémentaires.

Bureau Veritas Certification assure l’examen final de ce programme de formation.

L’accès au support de cours, aux travaux pratiques est assuré pendant trois semaines à compter du début de session.
Le passage de la certification doit être réalisé en ce laps de temps.
En cas d’échec au premier passage de l'examen le candidat a la possibilité de réaliser un second passage dans les 15 j suivants le premier passage.

  Ref. : AMSI-10 Mise à jour : 05/05/2026