Introduction au cyberrisques (gouvernance et sécurité) («GTIFO»)

1. Introduction aux normes
   • Présentation du cadre de norme COBIT
   • Présentation de ISO 20’001 (Management des systèmes d’informations)
   • Présentation de ISO 27’001 (Sécurité de l’information)
   • Présentation des normes NIST SP800
   • La sécurité informatique
2. Choisir les processus adaptés pour l’entreprise (COBIT)
   • Principe 1 : Répondre aux besoins des actionnaires 
     • Processus 1 : Évaluer, diriger et contrôler 
   • Principe 2 : Couvrir l’entreprise de bout en bout 
     • Processus 2 : Aligner, planifier et organiser 
   • Principe 3 : Mettre en place un cadre intégré unique 
     • Processus 3 : Construire, acquérir et mettre en place 
   • Principe 4 : Permettre une approche holistique 
     • Processus 4 : Fournir, réviser et soutenir 
   • Principe 5 : Séparer la gouvernance de la gestion
     •  Processus 5 : Contrôler, évaluer et analyser
3. Le service informatique pour les utilisateurs (ISO 20’001)
   • Processus de fourniture des services
   • Processus de gestion des relations entre clients et fournisseurs (Service Desk)
   • Processus de résolution de problèmes
   • Processus de maintien pour le contrôle des systèmes d’informations
   • Processus de mise en production
4. La sécurité de l’information (ISO 27’001)
   • Sélection et établissement des contrôles principaux selon l’annexe A
   • Implémentation des contrôles retenus
   • Vérification régulière et maintien des contrôles (audits)
   • Gestion des non-conformité et plans d’actions (remédiation)
5. La protection des données personnelles
   • Les grandes lignes du RGPD
   • Les grandes lignes de la LPD
   • Comment les implémenter en pratique
   • Quelques exemples de cas concrets de jurisprudence
6. Les contrôles techniques NIST SP800
   • Présentation du framework NICE
   • Gestion des contrôles et des risques TI
   • Mesure de la performance
   • Bonnes pratiques pour l’identité numérique
   • Algorithmes de chiffrement et de hachage
   • Listes de contrôles pour Cloud Computing, containers, SDN
   • Gestion des incidents de sécurité
7. La gouvernance TI selon l’ITGI
   • L’alignement stratégique
   • La fourniture de valeur
   • La gestion des risques 
   • La gestion des ressources
   • La mesure des performances
8. Notions de sécurité informatique
   • Formations aux développeurs et administrateurs système (Top 10 OWASP)
   • Les 6 piliers majeurs:
     • Confidentialité
     • Authenticité
     • Intégrité
     • Disponibilité
     • La traçabilité
     • La non-répudiation
   • Centre national de cybersécurité
   • Les pratiques courantes
9. Conclusion
   • Communiquer la stratégie TI
   • Savoir répondre à un audit TI
   • Documenter les processus
   • Test des connaissances acquises

Le cours est dérivé de la norme COBIT, tout en intégrant les principes directeurs des normes ISO 27’001 (Sécurité de l’information), ISO 20’001 (Management des systèmes d’informations) et de NIST SP800. Il aborde également les principaux éléments de la LPD et du RGPD.

Ce cours s’adresse aux directeurs des technologies de l’information, aux responsables informatiques et à toute personne désirant formaliser et faire progresser les processus de gestion des TI au sein d’une PME.

Aucune connaissance préalable n’est requise, toutefois les participants devront avoir au moins 2 ans d’expérience à un poste de responsabilité dans le domaine informatique tel que directeur des technologies de l'information ou responsable informatique.