EBIOS Risk Manager [Réf : RMEBI]

 

Objectifs :

 

La formation certifiante EBIOS Risk Manager traite de la gestion du risque de sécurité  à travers la mise en œuvre de la  méthode d'analyse de risque EBIOS Risk Manager de l'ANSSI. Elle vous permet d'acquérir les compétences pour mener de bout en bout une appréciation des risques selon la méthode d'analyse de risques EBIOS Risk Manager.


En particulier, les objectifs de la formation sont les suivants :

  • Appréhender la méthode d'analyse de risque EBIOS Risk Manager et ses différents cas d'utilisation.
  • Donner les moyens au stagiaire de piloter et réaliser une appréciation des risques EBIOS Risk Manager.
  • Communiquer les ressources et les outils disponibles afin de réaliser une appréciation des risques optimale.
  • Préparer l'apprenant aux examens en fin de session.

 

Participants :

 

  • La formation EBIOS Risk Manager  s'adresse à toute personne souhaitant maîtriser la démarche EBIOS Risk Manager et/ou visant la certification EBIOS Risk Manager. Cette formation s'adresse à toute personne devant réaliser une appréciation des risques en sécurité, y comprit au delà des risques en sécurité informatique ;
  • RSSI, chefs de projet SI et aux consultants en sécurité souhaitant maîtriser le processus de gestion des risques et EBIOS Risk Manager.

 

Pré-requis :

 

 

Bénéfices attendus de la formation :

 

  • Acquérir les compétences pour implémenter et manager de façon continue un programme de management des risques de sécurité de l’information ;
  • Acquérir les compétences pour conseiller efficacement les organisations sur les meilleures pratiques de management des risques de sécurité de l’information ;
  • Comprendre les concepts, les approches, méthodes et techniques  pour un management efficace des risques selon la méthode d'analyse de risque EBIOS Risk Manager;
  • Développer les compétences nécessaires pour conduire une appréciation de risque avec la méthode d'analyse de risque EBIOS Risk Manager ;
  • Maîtriser les étapes pour conduire une appréciation des risques avec la méthode d'analyse de risque EBIOS Risk Manager;
  • Interpréter les exigences de la norme ISO 27001 relatives au management des risques de sécurité de l’information.

 

 

 Intervenant : Nourredine LABANI

 

  • Expert Senior certifié CISSP, CISSO, CRISC, CISA, CISM, CBCP, CEH, CPEH, CPTE, Lead Auditor ISO 27001, Lead Implementer ISO 27001, ISO 31000 Lead Risk Manager, ISO 27005 Risk Manager, EBIOS Risk Manager, MEHARI Risk Manager, ISO 27032 Lead Cybersecurity Manager, Data Protection Officer, Lead Auditor ISO 22301, Lead Implementer ISO 22301, Lead Application Security Implementer ISO 27034.

 Mode :

 

  • Formation inter - entreprises.

 

Programme :

 

 

Jour 1 :

 

Matin

Section 1 Objectifs et structure de cours

 

  • Présentation du groupe
  • Points généraux
  • Objectifs et structure de la formation
  • Approche pédagogique
  • Évaluation des apprentissages

 

 Section 2 Introduction à la méthode EBIOS Risk Manager

 

  • Fondamentaux de la gestion des risques
  • Présentation d’EBIOS Risk Manager
  • Zoom sur la cybersécurité (menaces prioritaires)
  • Principales définitions EBIOS Risk Manager
  • Exercice 1 : Comprendre la terminologie
  • Concept phare et atelier de la méthode EBIOS Risk Manager
  • Récapitulatif

 

 Section 3 Atelier 1 «Cadrage et socle de sécurité» 

 

  • Présentation de l’atelier
  • Définition du cadre de l’étude et du projet
  • Identification du périmètre métier et technique
  • Identification des évènements redoutés et évaluation de leur niveau de gravité
  • Détermination du socle de sécurité
  • Exercice 2 : Identifier les évènements redoutés
  • Récapitulatif de l’atelier

 

Après-midi

Section 4 Atelier 2 «Sources de risques» 

 

  • Présentation de l’atelier
  • Identification des sources de risques (SR) et de leurs
  • Objectifs Visés (OV)
  • Évaluation de la pertinence des couples
  • Évaluation des couples SR/OV et sélection de ceux jugés prioritaires pour l’analyse
  • Évaluation de la gravité des scénarios stratégiques
  • Exercice 3 : Évaluer les couples SR/OV
  • Récapitulatif de l’atelier

 

 

Jour 2 :

 

Matin

 

Section 5 Atelier 3 «Scénarios stratégiques» 

 

  • Présentation de l’atelier
  • Évaluation du niveau de menace associé aux parties prenantes
  • Construction d’une cartographie de menace numérique de l’écosystème et des parties prenantes critiques
  • Exercice 4 : Évaluer le niveau de menace associé aux parties prenantes
  • Élaboration des scénarios stratégiques
  • Exercice 5 : Élaborer des scénarios stratégiques
  • Définition des mesures de sécurité sur l’écosystème
  • Récapitulatif de l’atelier

 

Après-midi

 

Section 6 Atelier 4 «Scénarios opérationnels» 

 

  • Présentation de l’atelier
  • Élaboration des scénarios opérationnels
  • Évaluation des vraisemblances
  • Pour aller plus loin (Threat modeling, ATT&CK, CAPEC)
  • Exercice 6 : Créer un scénario opérationnel
  • Récapitulatif de l’atelier

 

 Section 7 Atelier 5 «Traitement du risque» 

 

  • Présentation de l’atelier
  • Réalisation d’une synthèse des scénarios de risque
  • Définition de la stratégie de traitement
  • Définition des mesures de sécurité dans un plan d’amélioration continue de la sécurité (PACS)
  • Évaluation et documentation des risques résiduels
  • Mise en place du cadre de suivi des risques
  • Exercice 7 : Créer un PACS (Plan d’amélioration continue de la sécurité)
  • Conclusion

 

 

Jour 3 :

  •  Examen de certification EBIOS Risk Manager (3 h).

 

Méthode :

 

  • Ensemble d’exposés et d’exercices couvrant les parties du programme :
    • Exercices pratiques basés sur une étude de cas.

 

 Lieu de formation :

 

  • Paris.

 

 Durée :

 

  • 3 jours.   

                               

 Dates de sessions Paris : Agenda.

 

 

Prix : 1 950 Euros HT.  

  • Le  Support de formation est fourni au démarrage de la session de formation ;
  • Une copie de la documentation officielle EBIOS Risk Manager  publiée par l’ANSSI est fournie aux participants;
  • Un certificat de participation de 21 CPE (Unités d’éducation continue / Continuing Professional Education) est remis aux participants en fin de formation.