Formation la gestion des risques cyber IT et OT

JOUR 1

Introduction/Rappel – Les essentiels de la cybersécurité

• Définitions de la cybersécurité
• Acteurs de la cybersécurité en France
• Le DICP
• Concepts fondamentaux de la cyber (Moindre privilège, besoin d’en connaitre, défense en profondeur…)

Introduction à la gestion des risques

• Définitions du risque (Larousse, ISO 31000, EBIOS-RM)
• Vision du risque : positive, neutre, négative
• Risque inhérent à toute activité
• Appétence au risque et culture organisationnelle
• Perception subjective du risque
• Profils de risque (activité)
• Notions de gravité, vraisemblance et niveau de risque
• Enjeux actuels de la cybersécurité (chiffres clés France et international)

Le Risk Manager – Métier et Outils

• Rôle et responsabilités du Risk Manager
• Positionnement dans les projets SMSI
• Parcours, diplômes et expériences requis
• Compétences techniques (méthodes, normes, OT/IT)
• Attitudes professionnelles attendues
• Interactions avec les parties prenantes
• Outils du Risk Manager (cartographies, méthodes, tableaux de bord)
• Différences Risk Manager interne vs consultant

Déchiffrer les normes ISO

• Définition et rôle d’une norme
• Organisation ISO et famille ISO 27000
• Structure commune des normes ISO
• PDCA et amélioration continue
• Liens entre ISO 27001, ISO 27002 et ISO 27005
• Lecture et compréhension d’une norme
• Quiz et échanges

Les normes et méthodes liées à la gestion des risques

• Définition et rôle d’une norme
• Organisation ISO et famille ISO 27000
• Structure commune des normes ISO
• PDCA et amélioration continue
• Liens entre ISO 27001, ISO 27002 et ISO 27005
• Lecture et compréhension d’une norme
• Quiz et échanges
  

JOUR 2

Le processus de gestion des risques

• Processus de gestion des risques selon ISO/IEC 27005:2022
• Phases du management du risque
• Approches d’appréciation des risques
• Avantages et limites de chaque approche
• Détermination des ressources nécessaires

Compréhension de l’organisation

• Missions, valeurs, stratégie et objectifs de l’organisation
• Alignement stratégique et objectifs de gestion du risque
• Méthodes d’analyse du contexte :
  • SWOT
  • PESTEL
  • 5 forces de Porter
• Analyse du contexte interne
• Objectifs du SMSI
• Identification des actifs
• Apport de la cartographie du SI
• Identification des parties prenantes
• Détection des exigences
• Détermination des critères de base du risque
• Choix d’une méthodologie d’analyse de risque
• Définition du domaine d’application et des limites

L’appréciation des risques

• Rappel des fondamentaux du risque
• Définition des actifs (IT & OT) et identification des actifs critiques
• Menaces
• Vulnérabilités
• Typologie des risques
• Analyse des conséquences et impacts
• Spécificités OT
• Méthodes d’évaluation :
  • Qualitative
  • Quantitative
  • Semi-quantitative
• Définition des échelles :
  • Conséquences
  • Vraisemblance
• Estimation et évaluation du niveau de risque
• Matrices de risques et critères d’acceptation

Le traitement des risques

• Positionnement du traitement dans le cycle de gestion des risques
• Stratégies de traitement selon ISO 27005 :
  • Réduction
  • Acceptation
  • Évitement
  • Transfert
• Plan de traitement du risque (PTR)
• Exemples de PTR
• Définition et gestion du risque résiduel
• Cartographie des risques :
• Validation du PTR et acceptation par la direction
• Étude de cas pratique (analyse et restitution collective)

La communication des risques

• Principes de communication des risques
• Reporting adapté aux publics
• Types de supports :
  • Tableaux de bord
  • Cartographies
  • Indicateurs (KRI)
  • Rapports exécutifs
• Mise en place de comités de gestion des risques
• Élaboration d’un plan de communication
• Évaluation et contrôle de la communication

Le suivi et le réexamen des risques

• Principe d’amélioration continue
• Réévaluation périodique des risques
• Surveillance du management du risque
• Mise à jour du registre des risques
• Définition et suivi des KRI (Key Risk Indicators)
• Exemples de tableaux de bord KRI
• Exploitation des indicateurs pour la prise de décision

JOUR 3

Évaluation des risques de sécurité pour la conception de systèmes

• Positionnement de la norme IEC 62443-3-2 dans la cybersécurité OT
• Principe des 7 Zones & Conduits Requirements (ZCR)
• Risques OT analysés
• Vulnérabilités et points faibles OT
• Analyse par type d’équipement
• Points faibles organisationnels et humains

Introduction à la méthode EBIOS-RM

• Présentation générale de la méthode EBIOS Risk Manager (ANSSI)
• Historique et évolution depuis EBIOS 2010
• Positionnement d’EBIOS-RM dans le management du risque numérique
• Principes fondamentaux
• Comparaison EBIOS 2010 vs EBIOS-RM
• Logique d’approche
• Intégration des exigences normatives et réglementaires
• Finalités de la méthode

Présentation des 5 Ateliers

• Vision globale des 5 ateliers EBIOS-RM
• Distinction :
  • Cycle stratégique (vision globale, conformité)
  • Cycle opérationnel (menaces, scénarios techniques)
• Atelier 1 – Cadrage et socle de sécurité
• Atelier 2 – Sources de risque
• Atelier 3 – Scénarios stratégiques
• Atelier 4 – Scénarios opérationnels
• Atelier 5 – Traitement du risque

L’examen final est composé de :
o 50 questions de QCM sur la compréhension des normes et méthodologies vus dans la formation
o 5 questions sur une mini étude de cas pratique

La note minimale de réussite est fixée à 70 %.