Objectifs: 

• Acquérir une expertise pour accompagner une organisation à mettre en œuvre
• Gérer et maintenir un système de gestion des risques telle que spécifiée dans ISO 27005:2008 avecla méthode MEHARI
• Comprendre et interpréter les exigences d'ISO 27001:2005 relatives à la gestion des risques
• Comprendre la relation entre le système de management de la sécurité de l'information(SMSI), incluant le management des risques et les contrôles, et les différentes parties prenantes
• Acquérir les aptitudes personnelles et les connaissances nécessaires pour conseiller une organisation sur les meilleures pratiques en gestion des risques

Personnes concernées :

• Gestionnaire de projet ou consultant désirant préparer et accompagner une organisation à mettre en œuvre un système de gestion des risques
• Responsable de la gestion des risques, de la sécurité de l'information ou de la conformité au sein d'une organisation
• Membre d'une équipe de sécurité de l'information
• Conseiller expert en technologies de l'information
• Auditeur en systéme de l'information

Détails du cursus:
Jour 1: Introduction à la gestion du risque selon ISO 27005Concept de base en gestion des risques

• Concept de base en getion des risques
• Les normes et cadres de référence en gestion des risques
• Mise en œuvre d'un programme de gestion des risques
• Classification des actifs
• Identification et analyse des risques
• Approche quantitative et qualitative de l'évaluation des risques

Jour 2: Traitement et gestion du risque selon ISO 27005

• Traitement du risque
• Gestion des risques résiduels
• Gestions des risques de projets
• Gouvernance et gestion des risques
• Présentation des principales méthodologies de gestion des risques : EBIOS, MEHARI,OCTAVE, CRAMM, Microsoft Security
• Examen ISO 27005 Certified Risk Manager (2 heures)

Jour 3: Débuter une analyse de risque avec MEHARI

• Introduction à MEHARI
• L'analyse des enjeux et la classification
  • Vue globale du processus
  • L'échelle de valeur des dysfonctionnements
  • La classification des ressources

Jour 4: L'analyse des vulnérabilités et des risques selon MEHARI

• L'analyse des vulnérabilités
  • Qualités d'un service de sécurité
  • Mesure de la qualité d'un service de sécurité
  • Processus d'évaluation
• L'analyse des risques
  • Analyse d'une situation de risque
  • Analyse quantitative d'une situation de risque
  • Identification des situations de risque
  • Analyse des risques de projet

Jour 5: Plans de sécurité selon MEHARI & Examen

• Plans de sécurité et démarches
  • Outils d'aide à la mise en œuvre de MEHARI
  • Examen MEHARI (2 heures)

Pré-requis:

• Aucun

Informations générales:

• Remise d’une copie de la norme ISO27005 ainsi que la documentation officielle du CLUSIF sur MEHARI à chaque participant
• L'examen ISO 27005 Certified Risk Manager est en cours de certification par le RABQSA et répond aux critères du "RABQSA Training Provider Examination Certification Scheme" (TPECS) et couvre les unités de compétences: RABQSA - RM (Management des risques)
• L'examen MEHARI (2 heures) est en cours de labellisation par le CLUSIF
  
• Un certificat de participation sera remis aux participants
• Participants :maximum 20