Cette formation a pour objectifs:
Comprendre l’application d’un système de management de la sécurité de l’information dans le contexte d’ISO/CEI 27001: 2013
Maîtriser les concepts, approches, normes, méthodes et techniques permettant une gestion efficace d’un SMSI
Etc.
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
De nos jour, les entreprises sont plus en plus connectées tant en interne que dans le monde entier, profitant ainsi de l’évaluation des réseaux informatiques.
De ce fait, leurs système d’information est accessible de l’extérieur par leurs fournisseurs, clients, partenaires et administrateurs , on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire.
La protection de données, La classification un premier pasAlghajati
La classification de données est une problématique répandue dans le monde scientifique car elle est à l’origine de nombreuses applications. Aujourd’hui on la rencontre dans des domaines très variés, tel que le domaine médical, industriel et celui de la sécurité. Dans ce dernier domaine, on pourra citer les applications militaires, les accès sécurisés à l’information gouvernementale et à l’information confidentielle des grandes compagnies et même les PMEs. A travers cette conférence, nous proposons un modèle pour la classification des données au niveau de l’entreprise tunisienne en fonction de leur niveau de criticité. Ladite classification aidera à déterminer les contrôles de sécurité de base pour la protection des données.
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
"Savoir attaquer pour mieux se défendre", telle est la maxime de cette formation Hacking et Sécurité, dans sa version 2020, qui propose une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusions sur les réseaux et les applications.
Cette formation hacking et sécurité, l’essentiel, sera composé de 4 tomes :
- Méthodologies de Pentest, Reconnaissance Passive et Active
- Les techniques d'OSINT - L'essentiel
- Attaques Réseaux, Physiques et Clients
- Attaques AD et Web
Dans ce premier tome, nous allons pouvoir nous focaliser sur les méthodologies de pentest, reconnaissance passive mais aussi active.
La présentation des techniques d’attaques et des vulnérabilités potentielles sera effectuée sous un angle "pratique", au sein d’un lab de test de pénétration.
Cette formation vous apportera la compréhension technique et pratique des différentes formes d’attaques existantes, en mettant l’accent sur les vulnérabilités les plus critiques.
Cette formation a pour objectifs:
Comprendre l’application d’un système de management de la sécurité de l’information dans le contexte d’ISO/CEI 27001: 2013
Maîtriser les concepts, approches, normes, méthodes et techniques permettant une gestion efficace d’un SMSI
Etc.
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
De nos jour, les entreprises sont plus en plus connectées tant en interne que dans le monde entier, profitant ainsi de l’évaluation des réseaux informatiques.
De ce fait, leurs système d’information est accessible de l’extérieur par leurs fournisseurs, clients, partenaires et administrateurs , on peut pas négliger les menaces qui viennent de l’intérieur, ce sui rend la présence d’un audit de sécurité obligatoire.
La protection de données, La classification un premier pasAlghajati
La classification de données est une problématique répandue dans le monde scientifique car elle est à l’origine de nombreuses applications. Aujourd’hui on la rencontre dans des domaines très variés, tel que le domaine médical, industriel et celui de la sécurité. Dans ce dernier domaine, on pourra citer les applications militaires, les accès sécurisés à l’information gouvernementale et à l’information confidentielle des grandes compagnies et même les PMEs. A travers cette conférence, nous proposons un modèle pour la classification des données au niveau de l’entreprise tunisienne en fonction de leur niveau de criticité. Ladite classification aidera à déterminer les contrôles de sécurité de base pour la protection des données.
La sensibilisation à la cybersécurité permet de transformer vos utilisateurs en cyber héros, capables d'identifier et de déjouer les cyber menaces. Elle favorise également l'adoption d'une attitude sécuritaire et une culture qui priorise la protection des données de votre organisation.
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
"Savoir attaquer pour mieux se défendre", telle est la maxime de cette formation Hacking et Sécurité, dans sa version 2020, qui propose une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusions sur les réseaux et les applications.
Cette formation hacking et sécurité, l’essentiel, sera composé de 4 tomes :
- Méthodologies de Pentest, Reconnaissance Passive et Active
- Les techniques d'OSINT - L'essentiel
- Attaques Réseaux, Physiques et Clients
- Attaques AD et Web
Dans ce premier tome, nous allons pouvoir nous focaliser sur les méthodologies de pentest, reconnaissance passive mais aussi active.
La présentation des techniques d’attaques et des vulnérabilités potentielles sera effectuée sous un angle "pratique", au sein d’un lab de test de pénétration.
Cette formation vous apportera la compréhension technique et pratique des différentes formes d’attaques existantes, en mettant l’accent sur les vulnérabilités les plus critiques.
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationORSYS
Orsys est le premier Institut de formation aux Nouvelles Technologies de l'Informatique et l'un des acteurs les plus importants dans les domaines du Management et du Développement personnel.
Plus d’informations sur les séminaires ORSYS: http://www.seminaires-orsys.com/
Hapsis réinvente la sécurité informatique en proposant la sécurité numérique à la carte.
Cette offre permet d’offrir à nos clients le bon niveau d’intervention au meilleur prix grâce à la mise à disposition de compétences nécessaires pour les travaux à réaliser, un consultant manager dédié et une facturation à l’heure/ journée, sur devis ou par abonnement.
L’offre de Hapsis est structurée en cinq domaines :
- Stratégie
- Process
- Protection de l'infrastructure
- Volet humain
- Transformation numérique
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
Gérez la sécurité informatique et auditez ses outils !
Lors de cette formation vous allez :
- Connaître l’environnement informatique, les contrôles et les risques associés
- Détenir les techniques pour manager les risques informatiques
- Identifier les solutions pour auditer les contrôles informatiques
- Disposer d'un référentiel des contrôles informatiques sur les process achats et ventes
Suivez la formation vidéo par ici :
https://www.smartnskilled.com/tutoriel/formation-en-ligne-manager-et-auditer-les-risques-informatiques
Alors que l’adoption de DevOps pour des organisations Agile était une transition naturelle, le passage à DevSecOps a introduit de nouveaux défis. DevSecOps nécessite un changement important de mentalité et de culture d'entreprise pour intégrer les nouveaux outils et les nouvelles activités de sécurité. C’est la raison pour laquelle suivre le rythme d’Agile et la culture DevOps lors de l’introduction de la sécurité dans le cycle de développement logiciel (SDLC) est un défit pour de nombreuses entreprises.
Dans ce webinaire, Cem Nisanoglu explore le modèle opérationnel de DevSecOps et souligne l'importance de la gestion des changements, de l'automatisation, et des indicateurs de sécurité dans une transition vers DevSecOps, ainsi que la manière dont ces activités peuvent contribuer à la formation de sécurité, à des cycles de release plus rapides, et à l'optimisation des budgets de sécurité dans l’entreprise.
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
ANSSI D2IE "Référentiel pédagogique Formation à la cybersécurité des TPE / PME"
La Délégation interministérielle à l’intelligence économique (D2IE – www.intelligence-economique.gouv.fr), avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI – www.ssi.gouv.fr) vient de faire paraître un référentiel pédagogique / cahier des charges destiné à aider les organismes de formation à élaborer des offres de stage en cybersécurité au profit des TPE/PME.
LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec
Le « Security by Design » et ses multiples facettes
Conix - EBIOS Risk Manager
1. EBIOS Risk Manager :
Vers une approche « raffinée » du risque cyber
Thierry PERTUS
Février 2019
2. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Février 2019 p 2
►Avant-propos
La publication de la méthode EBIOS Risk Manager par l’ANSSI constitue une avancée majeure en matière de management du
risque cyber. En effet, cette nouvelle mouture, se voulant plus pertinente et plus agile, reflète à la fois une certaine maturité du
domaine et une réelle attente des praticiens et décideurs, aussi bien en termes de modélisation de l’écosystème et de la
menace que de partage des concepts et de vision.
Pour autant, bien que déléguant le management des risques numériques « usuels » à la conformité [au socle de sécurité],
force est de constater que la maîtrise de ces derniers n’est pas toujours au rendez-vous et que le cadre de référence applicable
reste dans certain cas à préciser selon le contexte et le périmètre d’étude.
A ce titre, une appropriation de la méthode par les praticiens s’avère indispensable, quitte à apporter des clés de lecture
adaptées, certaines étant proposées ici, tandis que certaines initiatives (label produit pour l’outillage, bases de connaissance,
référentiel de formation, …) portées par la communauté d’acteurs du management du risque numérique contribueront à enrichir
la méthode par la pratique.
3. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 3
EBIOS Risk Manager : l’émergence d’un nouveau paradigme
Février 2019
4. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
L’héritage EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité)
EBIOS constitue plus que jamais LA méthode française de référence d’appréciation et de traitement de risques
liés au numérique, et désormais plus spécifiquement le risque « cyber », sous toutes ses formes.
La création de la méthode remonte à 1995 sous l’égide de la DCSSI (rattachée alors au SGDN), devenue par la suite
l’ANSSI (rattachée au SGDSN). Une première actualisation a été opérée en 2004, puis une évolution en 2010,
déjà en collaboration communautaire avec le Club EBIOS.
Compatibilité avec le cadre normatif ISO/IEC 27005,
lui-même aligné sur l’ISO 31000
EBIOS v2 (2004)
(démarche générale en 5 étapes)
1
2 3
4
5
DCSSI
EBIOS v3 (2010)
(démarche générale en 5 modules)
1
2 3
4
5
ANSSI
5. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
EBIOS « nouvelle génération » pour franchir un nouveau palier de maturité
https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/
Aux Assises de la sécurité, lors de son discours inaugural placé sous le signe de « l’anticipation collective »,
Guillaume Poupard, le directeur général de l'ANSSI, a insisté sur la généralisation de l'analyse de risque numérique
au sein des entreprises.
« Les analyses de risques
doivent se faire avec des experts,
mais aussi avec les décideurs et les métiers »
« Cette méthode se veut accessible
et évite les écueils du tout analyser
et tout réinventer »
10 octobre 2018 : l’ANSSI publie EBIOS Risk Manager,
une méthode repensée pour l’analyse agile du risque cyber
« Le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS [avec contribution du CLUSIF] »
@club_ebios
#EBIOSRM
« Miser sur la collaboration
pour rendre la cybersécurité plus attrayante »
6. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Une démarche collaborative (pédagogique, inclusive) et agile (pragmatique, itérative) en 5 ateliers
Cadrage et
socle de sécurité
Sources
de risque
Scénarios
opérationnels
Scénarios
stratégiques
Traitement
du risque
7. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Une démarche méthodologique modulaire pour des cas d’usage multiples
Cas d’usage
8. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Adhérence de la méthode EBIOS Risk Manager avec la norme ISO 31000
EBIOS Risk Manager
(démarche itérative en 5 ateliers)
ISO 31000:2018
(processus de management du risque)
(cadre organisationnel)
9. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Méthodologie détaillée
10. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Modélisation d’un scénario de cyberattaque par décomposition analytique selon le point de vue attaque/défense
Vision stratégique
de la cyberattaque
orientée opportunité
Vision stratégique
de la cyberdéfense
orientée risque
Vision opérationnelle
de la cyber-attaque et de la cyberdéfense
orientée moindre effort
11. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 11
EBIOS Risk Manager :
des concepts novateurs et une modélisation plus visuelle
Février 2019
12. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Pyramide du management du risque numérique visant à définir le « socle de sécurité »
13. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Identification des couples sources de risques (SR) / objectifs visés (OV) les plus pertinents
14. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Cartographie des parties prenantes critiques (PPC)
15. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Sélection des mesures de sécurité stratégiques
16. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Détermination des chemins d’attaques stratégiques les plus pertinents
17. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Elaboration des scénarios opérationnels
arbre/séquences d’attaque (« cyber kill chain »)
(AE)
18. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Elaboration des scénarios opérationnels
19. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Modèle et thématiques de mesures de sécurité opérationnelles (réduction du risque)
Protection
Défense
Résilience
Gouvernance
& anticipation
Modèle de cyberdéfense
en profondeur
Facteur
organisationnel
Facteur
technologique
Facteur
humain
Facteurs de risques
et leviers d’action
20. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Synthèse des scénarios de risques et sélection des mesures de sécurité opérationnelles
21. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 21
Quel cadre de référence
en guise de socle de sécurité ?
Février 2019
22. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Niveau de cybermenace potentiel > Risque cyber
[capacité, ciblage, sophistication des cyberattaques]
OrdinaireElaboréAvancé
Approche ciblée,
par « scénarios »
Application avec discernement
du cadre légal et réglementaire,
voire normatif
Application ad hoc
des règles élémentaires
et recours aux standards
de bonnes pratiques
Approche à large spectre,
par « conformité »
au « socle de sécurité »
Niveau de cyberprotection requis
[fonction de la sensibilité SSI pondérée par l’exposition cyber]
Risquesaccidentelsetenvironnementaux
Avancé
Appréciation du risque
numérique
Sources de risque
numérique
Traitement du risque
numérique
Analyse fine
du risque cyber
Adhérence normative avec l’ISO 31000:2018
Modèle EBIOS Risk Manager « raffiné » pour une approche graduée
du management du risque numérique
Standards de bonnes pratiques :
Guide ANSSI « Hygiène informatique » (niv. std.)
Guide CNIL « sécurité des données personnelles »
Cadre normatif
(normes / labels / standards) :
ISO/IEC 27001, ISO/IEC 29100,
ISO/IEC 15408, IEC 62443,
PSCo/PASSI/PDIS/PRIS, PCI-DSS, …
Cadre règlementaire
(textes UE / nationaux / extraterritoriaux) :
LPM, NIS, GDPR, LIL, eIDAS, RGS, RGI, PSSI-E,
II901, IGI1300, HDS, SoX, ISAE-3402, …
Veille cybermenace :
cryptomalware / ransomware, cryptomining
botnets, watering hole, fileless malware,
spear phishing, scam, fake apps, …
Guides techniques spécialisés :
ANSSI, CNIL (PIA/AIPD), ENISA, CIS, NIST,
OWASP, CSA, …
23. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Niveau de cybermenace potentiel > Risque cyber
[capacité, ciblage, sophistication des cyberattaques]
OrdinaireElaboréAvancé
Risquesaccidentelsetenvironnementaux
Avancé
Appréciation du risque
numérique
Sources de risque
numérique
Traitement du risque
numérique
Adhérence normative avec l’ISO 31000:2018
Démarche hybride EBIOS Risk Manager / EBISO 2010 pour une approche différentiée puis consolidée
du management du risque cyber / risques numériques usuels
EBIOS 2010
(en mode simplifié)
Approche à large spectre,
par priorisation des mesures de sécurité
issues du « socle de sécurité »
au regard des « risques usuels »
Approche ciblée,
par modélisation de la cybermenace
via des « chemins d’attaque sophistiqués »
pertinents
24. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
I - Sensibiliser et former
II - Connaitre le système d’information
III - Authentifier et contrôler les accès
IV - Sécuriser les postes
V - Sécuriser le réseau
VI - Sécuriser l’administration
VII - gérer le nomadisme
VIII - Maintenir à jour le système d’information
IX - Superviser, auditer, réagir
X - Pour aller plus loin
Structure et thématiques du guide d’hygiène informatique (ANSSI)
25. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Politique, Organisation, Gouvernance
Ressources humaines
Gestion des biens
Intégration de la SSI dans le cycle de vie
des systèmes d’information
Sécurité physique
Sécurité des réseaux
Architecture des SI
Exploitation des SI
Sécurité du poste de travail
Sécurité du développement des systèmes
Traitement des incidents
Continuité d’activité
Conformité, audit, inspection, contrôle
Structure et thématiques de la PSSI de l’Etat
Domaine d’application : Sécurité des SI des administrations de l’Etat
26. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Protection
Défense
Résilience
Gouvernance
& anticipation
Modèle de cyberdéfense
en profondeur
Structure et thématiques de Arrêté « transposition NIS » du 14/09/2018 (règles de sécurité)
Domaine d’application : Cyber-résilience des infrastructures et services essentiels (SIE)
27. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Structure et thématiques du standard CIS Controls v7
28. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Management de la cybersécurité
(sûreté numérique face à la cybercriminalité et au risque cyber)
Management de la sécurité de l’information
(sécurité numérique organisationnelle)
SSI
QSE / RSE
Continuité
d’activité
Audit &
Risques
RH
ISO 9001
ISO 9004
ISO 45001
ISO 14001
ISO/IEC 38500
ISO/IEC 20000-xx
ISO 26000
ISO 31000
ISO Guide 73
ISO 19600
ISO 223xx
ISO 8000-xxx
ISO/IEC 38505-1
ISO/IEC 291xx
ISO 304xx
ISO/IEC 291xx
Protection
des données
personnelles
Gouvernance
des données
Gouvernance
du SI
Conformité
Cyber
-sécurité
ISO/IEC 27032ISO/IEC 27xxx
Sécurité
de l’information
Domaine d’application de la SSI global et intégré au sein d’un écosystème normatif ISO
ConfidentialitéIntégritéDisponibilité
Sécurité des systèmes d’information
Sensibilité SSI = Max (D,I,C,T)
D I C
Traçabilité
T
29. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
A5. Politiques de sécurité de l’information
A6. Organisation de la sécurité de l’information
A7. Sécurité des ressources humaines
A8. Gestion des actifs
A9. Contrôle d’accès
A10. Cryptographie
A11. Sécurité physique et environnementale
A12. Sécurité liée à l’exploitation
A13. Sécurité des communications
A14. Acquisition, développement et maintenance
des systèmes d’information
A15. Relations avec les fournisseurs
A16. Gestion des incidents liés à la sécurité de l’information
A17. Continuité de la sécurité de l’information
A18. Conformité
Structure et thématiques de la norme ISO/IEC 27001:2013 - Annexe A (SMSI/DdA**)
ou ISO/IEC 27002:2013 (code de bonne pratique) et ses « ISO-topes » sectoriels **
* Système de Management de la Sécurité de l’Information / Déclaration d’Applicabilité (SoA)
** ISO/IEC 27011 (Télécoms), 27017 (Cloud Security), 27018 (Privacy Security),
27019 (Energy Utility Industry IS),27799 (Healthcare IS), …
30. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 30
Pour aller plus loin …
Février 2019
31. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Des supports pédagogiques (supplément fiches méthode, FAQ, études de cas, retours d’expérience, …)
et des bases de connaissance communautaires (catalogues d’objets) pour faire vivre la méthode
A venir :
Un référentiel pédagogique et un kit de formation destinées aux formations certifiantes EBIOS Risk Manager
pour accompagner et développer le réseau de praticiens de la méthode
32. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Un label ANSSI pour les solutions digitales et collaboratives Cyber RM/GRC en support de la méthode
Source : https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/label-ebios-risk-manager-des-outils-pour-faciliter-le-management-du-risque-numerique/
2 plateformes phares en cours de développement parmi les solutions candidates au label :
33. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 33
Source* : Zootopia (Disney)
* Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
Eh bien figurez-vous que justement
j’étais en train de le finaliser,
Encore un peu de patience, plus qu’une ou deux
itérations et je vous envoie cela sous Word.
Dites, par rapport à mon dossier d’homologation,
c’est pas que je suis pressé,
mais j’attends votre rapport d’analyse de risques
depuis bientôt 6 mois …
Février 2019