ISO/IEC 27005:2022

Objectifs pédagogiques

• Comprendre les concepts fondamentaux de la gestion des risques
• Pouvoir maîtriser des scénarios de risques par évènement et actifs.
• Pouvoir formaliser les phases de communication et surveillance des risques

Contenu de la formation

• Section 1 – Fondamentaux de la gestion des risques
• Définition du risque (dictionnaire, ISO/IEC 27005:2022, EBIOS Risk Manager)
• Composantes d'un risque (actif, vulnérabilité, menaces, scénario, calcul du risque)
• Interaction entre les composantes d'un risque
• Exercice 1 : composer un risque
• Étude des risques - Méthodes et normes
• Norme vs méthodologie
• Rappel d'une norme ISO/IEC
• Lien entre l'ISO 27001 & 27005
• La gouvernance, risque, ISO/IEC 27005:2022, lien avec l'ISO/IEC 27001
• Développer un programme de gestion des risques
• Section 2 – Présentation de la norme ISO/IEC 27005:2022
• Présentation de l'ISO/IEC 27005:2022 (clauses)
• Structure de la norme ISO/IEC 27005:2022
• Cycle de la norme
• PDCA (roue de Deming)
• Approche processus
• Évolution ISO/IEC 27005:2022 vs 2022
• Section 3 – La phase de contexte par ISO/IEC 27005:2022
• Définition d'une organisation, appétit du risque
• Identification des exigences de base des parties prenantes
• Exercice 2 : établir le contexte d'une organisation
• Identifier les objectifs, cycle d'itération
• Considérer la gestion des risques dans une organisation
• Critères d'acceptation des risques
• Critère d'évaluation des risques
• Critères pour la conséquence
• Critères pour la probabilité
• Critères de détermination du niveau de risque.
• Exercice 3 : établir les critères d'une organisation
• Section 4 – Cycle d'analyse
• Définition du cycle d'analyse
• Approche par événements / par asset
• Section 5 – Phase d'identification des risques
• Identification des actifs
• Identification des vulnérabilités
• Identification des conséquences
• Exercice 4 : identifier les actifs, les événements et les porteurs de risque
• Identifier les sources de risques et objectifs visés
• Exercice 5 : identifier sources de risques et les objectifs visés
• Identification des parties prenantes
• Exercice 6 : identifier les parties prenantes et des chemins d'attaque
• Valeur et liens entre les actifs
• Exercice 7 : identifier les actifs supports
• Identifier les scénarios opérationnels
• Exercice 8 : identifier les scénarios opérationnels
• Section 6 – Phase d'estimation et d'évaluation des risques
• Approche qualitative vs quantitative
• Les différentes méthodes de calcul des risques
• Estimer le niveau de sévérité de la conséquence
• Exercice 9 : estimer la sévérité de la conséquence
• Estimer la probabilité d'occurrence
• Exercice 10 : estimer la probabilité d'occurrence
• Déterminer le niveau de risque
• Exercice 11 : déterminer le niveau de risque
• Comparer le résultat de l'estimation des risques avec les critères de risque
• Prioriser les risques
• Exercice 12 : prioriser les risques
• Établir un plan de traitement des risques
• Section 7 – Phase de traitement et d'acceptation des risques
• Les différentes options de traitement du risque
• Déterminer les contrôles nécessaires à la mise en œuvre des options de traitement
• Comparaison les contrôles avec ceux de l'annexe a iso/iec 27001
• Exercice 13 : comparer les contrôles avec l'annexe a de l'ISO/IEC 27001
• Produire une déclaration d'applicabilité (dda)
• Mettre en place un plan de traitement des risques
• Exercice 14 : mettre en place un plan de traitement des risques
• Notions de risques bruts, nets, résiduels
• Évaluer le risque résiduel
• Approuver par les porteurs des risques
• Section 8 – Communication et surveillance
• Établir un plan de communication
• Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA
• Section 9 – Alignement au SMSI (suite)
• Informations documentées sur les processus
• Informations documentées sur les résultats
• Surveillance et révision des facteurs influençant les risques
• Exemple du sfdt (source-function-destination-trigger)
• Exercice 16 : créer un scénario de surveillance
• Action corrective
• Amélioration continue

Suivi de l'exécution et évaluation des résultats

• Feuilles de présence.
• Questions orales ou écrites (QCM).
• Mises en situation.
• Formulaires d'évaluation de la formation.

Diplôme visé par la formation

Certification compétences ESD-ISO27005 - Certification (dont CQP) ou habilitation enregistrée au répertoire spécifique (RS)

Obtentions par certification Examen en ligne

120 minutes avec une étude de cas et un rapport à rendre. La certification est en ligne et surveillée. Examen OPENBOOK avec le droit aux supports de formation Le candidat a accès pendant 90 jours à une plateforme d'entraînement avant de planifier son examen. Un diplôme numérique et physique est attribué au candidat.

Certification associée : ESD-ISO27005

Durée de validité

3 années