Logo de l'organisme de formation
Représentation de la formation : Certification ESD-ISM (Information Security Manager) : Devenez manager de la cybersécurité - e-learning

Certification ESD-ISM (Information Security Manager) : Devenez manager de la cybersécurité - e-learning

Formation à distance
Formation certifiante
CPF #
Accessible
Durée : 244 heures
0/10
(0 avis)
Durée :244 heures
HT

Éligible CPF

S'inscrire
Durée :244 heures
HT

Éligible CPF

S'inscrire
Durée :244 heures
HT

Éligible CPF

S'inscrire

Formation créée le 11/04/2025. Dernière mise à jour le 02/06/2025.

Version du programme : 1

Programme de la formation

La certification ESD-ISM vise à former les professionnels à la gestion de la sécurité de l'information dans une approche intégrée, couvrant la gouvernance, la gestion des risques, la conformité, et l'intégration des principes de sécurité dans les cycles de développement (DevSecOps). Ce programme regroupe trois blocs de compétences complémentaires : - Mise en œuvre de la norme ISO/IEC 27001:2022 - Gestion des risques selon ISO/IEC 27005:2022 - Management du DevSecOps

Objectifs de la formation

  • Comprendre les concepts de base de la sécurité de l’information, les normes ISO/IEC 27001 et ISO/IEC 27005.
  • Savoir identifier les actifs et les menaces liés à la sécurité de l’information et évaluer les risques associés.
  • Connaître les différentes méthodes de gestion des risques et savoir les appliquer dans la pratique.
  • Savoir établir un plan de traitement des risques de sécurité de l’information, y compris la détermination des mesures de sécurité appropriées.
  • Acquérir les compétences pour mener une évaluation des risques de sécurité de l’information de manière efficace et efficiente.
  • Savoir communiquer les résultats de l’évaluation des risques aux parties prenantes concernées.
  • Être capable de passer l’examen de certification ISO/IEC 27005 avec succès.
  • Appliquer les connaissances et les compétences acquises dans leur travail quotidien pour renforcer la sécurité de l’information au sein de leur organisation.
  • Comprendre la norme ISO/IEC 27001 et son intégration avec le SMSI
  • Identifier les différentes étapes de la mise en place d’un SMSI
  • Comprendre l’approche basée sur les risques dans la mise en place d’un SMSI
  • Savoir réaliser des audits de conformité avec la norme ISO/IEC 27001
  • Évaluer la performance du SMSI et proposer des améliorations
  • Comprendre le rôle du SMSI dans la gestion de la sécurité de l’information et sa contribution à la conformité réglementaire
  • Comprendre les concepts de DevOps et DevSecOps ainsi que leurs avantages et leurs limites
  • Comprendre l’impact de la sécurité sur les pipelines DevOps et comment intégrer la sécurité dès le début du cycle de vie du développement logiciel
  • Comprendre les différents outils, processus et techniques utilisés dans le cadre de DevSecOps
  • Savoir mettre en place et gérer des processus DevSecOps efficaces pour les équipes de développement
  • Comprendre les pratiques de conformité, de gouvernance et de conformité réglementaire en matière de DevSecOps
  • Savoir communiquer et collaborer efficacement avec les équipes de développement, de sécurité et de gestion pour assurer une approche cohérente de la sécurité dans l’ensemble de l’organisation

Profil des bénéficiaires

Pour qui
  • Manager en sécurité de l’information
  • Consultant en sécurité de l’information, risk manager
  • Consultant en sécurité de l’information, risk manager
Prérequis
  • Connaissances généralistes en sécurité de l’information, gestion des risques, conformité SSI
  • Connaissances générales en sécurité des systèmes d’information
  • Connaissances générales en sécurité des systèmes d’information

Contenu de la formation

  • Section 1 – Fondamentaux de la gestion des risques
    • Définition du risque (dictionnaire, ISO/IEC 27005:2022, EBIOS Risk Manager)
    • Composantes d’un risque (actif, vulnérabilité, menace, scénario, calcul du risque)
    • Interaction entre les composantes d’un risque
    • Exercice 1 : Composer un risque
    • Étude des risques – méthodes et normes
    • Norme vs méthodologie
    • Rappel d’une norme ISO/IEC
    • Lien entre l’ISO 27001 et 27005
    • Gouvernance, risque, ISO/IEC 27005:2022, lien avec l’ISO/IEC 27001
    • Développer un programme de gestion des risques
  • Section 2 – Présentation de la norme ISO/IEC 27005:2022
    • Présentation de l’ISO/IEC 27005:2022 (clauses)
    • Structure de la norme ISO/IEC 27005:2022
    • Cycle de la norme
    • PDCA (roue de Deming)
    • Approche processus
    • Évolution ISO/IEC 27005:2011 vs 2022
  • Section 3 – La phase de contexte par ISO/IEC 27005:2022
    • Définition d’une organisation, appétit du risque
    • Identification des exigences de base des parties prenantes
    • Exercice 2 : Établir le contexte d’une organisation
    • Identifier les objectifs, cycle d’itération
    • Considérer la gestion des risques dans une organisation
    • Critères d’acceptation des risques
    • Critère d’évaluation des risques
    • Critères pour la conséquence
    • Critères pour la probabilité
    • Critères de détermination du niveau de risque
    • Exercice 3 : Établir les critères d’une organisation
  • Section 4 – Cycle d’analyse
    • Définition du cycle d’analyse
    • Approche par événements / par actif
  • Section 5 – Phase d’identification des risques
    • Identification des actifs
    • Identification des vulnérabilités
    • Identification des menaces
    • Identification des conséquences
    • Exercice 4 : Identifier les actifs, les événements et les porteurs de risque
    • Identifier les sources de risques et les objectifs visés
    • Exercice 5 : Identifier les sources de risques et les objectifs visés
    • Identification des parties prenantes
    • Exercice 6 : Identifier les parties prenantes et les chemins d’attaque
    • Valeur et liens entre les actifs
    • Exercice 7 : Identifier les actifs supports
    • Identifier les scénarios opérationnels
    • Exercice 8 : Identifier les scénarios opérationnels
  • Section 6 – Phase d’estimation et d’évaluation des risques
    • Approche qualitative vs quantitative
    • Les différentes méthodes de calcul des risques
    • Estimer le niveau de sévérité de la conséquence
    • Exercice 9 : Estimer la sévérité de la conséquence
    • Estimer la probabilité d’occurrence
    • Exercice 10 : Estimer la probabilité d’occurrence
    • Déterminer le niveau de risque
    • Exercice 11 : Déterminer le niveau de risque
    • Comparer le résultat de l’estimation des risques avec les critères de risque
    • Prioriser les risques
    • Exercice 12 : Prioriser les risques
    • Établir un plan de traitement des risques
  • Section 7 – Phase de traitement et d’acceptation des risques
    • Les différentes options de traitement du risque
    • Déterminer les contrôles nécessaires à la mise en œuvre des options de traitement
    • Comparer les contrôles avec ceux de l’annexe A ISO/IEC 27001
    • Exercice 13 : Comparer les contrôles avec l’annexe A de l’ISO/IEC 27001
    • Produire une déclaration d’applicabilité (DDA)
    • Mettre en place un plan de traitement des risques
    • Exercice 14 : Mettre en place un plan de traitement des risques
    • Notions de risques bruts, nets, résiduels
    • Évaluer le risque résiduel
    • Approuver par les porteurs de risques
  • Section 8 – Communication et surveillance
    • Établir un plan de communication
    • Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA
  • Section 9 – Alignement au SMSI
    • Contexte de l’organisation
    • Leadership et engagement
    • Phase de communication
    • Créer une matrice de communication
    • Exercice 15 : Créer une matrice de communication
    • Communiquer les risques résiduels au PCA et la réponse à incident
    • Phase de documentation
    • Informations documentées sur les processus
    • Informations documentées sur les résultats
    • Surveillance et révision des facteurs influençant les risques
    • Exemple du SFDT (source-function-destination-trigger)
    • Exercice 16 : Créer un scénario de surveillance
    • Action corrective
    • Amélioration continue
  • Section 1 – Introduction à l’ISO/IEC 27001:2022
    • Compréhension de la norme ISO/IEC 27001:2022
    • Définition d’un système de management de la sécurité de l’information
    • Présentation de la structure de la norme
    • Les bénéfices de la norme ISO/IEC 27001:2022
    • SMSI et stratégie d’entreprise
  • Section 2 – Champ gravitationnel de la norme ISO/IEC 27001:2022
    • Vision normative vs méthode
    • Norme vs réglementation
    • Les autres normes ISO liées à la sécurité de l’information (ISO 27002, 27003, 27004, 27005, 27006, 27007, 27035, 27037)
    • Exercice 1 : Système de management intégré
  • Section 3 – Préparation et séquençage du projet “ISO/IEC 27001”
    • Logique de l’implémentation
    • Orchestration d’un système de management de la sécurité de l’information
    • Les erreurs courantes
  • Section 4 – Initialisation du projet
    • Contexte
    • Exigences applicables
    • Recensement des parties intéressées ainsi que leurs attentes
    • État des lieux (Gap analysis)
    • Étude des options disponibles (validation du domaine d’application)
    • Définition des objectifs de sécurité de l’information
    • Exercice 2 : Contexte, exigences applicables, parties intéressées leurs attentes/besoins
    • Exercice 3 : Étude des écarts “Gap analysis” et domaine d’application
  • Section 5 – Planification et conception du SMSI
    • Établissement d’un plan de traitement des risques
    • Conception du SMSI
    • Gestion de la documentation
    • Communication interne et externe
    • Éducation, formation et sensibilisation
    • Exercice 4 : Planification et conception du SMSI
  • Section 6 – Mise en œuvre et opération du SMSI
    • Ressources, rôles et responsabilités
    • Gestion des compétences
    • Gestion des biens
    • Contrôle opérationnel
    • Gestion des incidents et de la continuité des activités
    • Surveillance, mesure, analyse et évaluation
    • Exercice 5 : Mise en œuvre et opération du SMSI
  • Section 7 – Audit interne et revue de direction
    • Audit interne
    • Revue de direction
    • Exercice 6 : Audit interne et revue de direction
  • Section 8 – Amélioration continue
    • Gestion des non-conformités et des actions correctives
    • Amélioration continue du SMSI
    • Exercice 7 : Amélioration continue
  • Section 9 – Examen et évaluation
    • Examen et évaluation du SMSI
    • Certification
    • Exercice 8 : Examen et évaluation du SMSI
  • Section 10 – Conclusion
    • Bilan de la formation
    • Perspectives d’avenir
  • Section 1 – Les enjeux du DevSecOps pour les organisations
    • Comprendre le DevOps et ses enjeux
    • Différences entre DevOps et modèle classique
    • Les bénéfices du DevSecOps
    • La philosophie de l’agile
  • Section 2 – Les problèmes de compréhension du DevSecOps par les managers de la SSI
    • Le modèle de sécurité DevSecOps
    • L’intégration du DevSecOps dans un SMSI
    • Les approches de défense en profondeur
  • Section 3 – Les problèmes de compréhension du DevSecOps par les techniciens de la SSI
    • La perception de la sécurité de l’information comme une contrainte
    • Donner un sens à la sécurité de l’information
  • Section 4 – Intégrer le DevSecOps dans la gouvernance d’une organisation
    • Les missions principales d’un manager en sécurité de l’information
    • Approche par les risques
    • Conformité avec le socle normatif
    • La mise en condition de sécurité (MCS)
  • Section 5 – Quel modèle, référentiel choisir pour le DevSecOps
    • Présentation des différents modèles et référentiels
    • Microsoft SDL
    • OWASP SAMM
    • BSIMM
    • OWASP ASVS
  • Section 6 – Phase 1 : Préparer un SDLC adapté
    • Activité 1.1 : Budgétiser un SDLC
    • Activité 1.2 : Identifier une équipe pour le SDLC
  • Section 7 – Phase 2 : Former l’équipe au DevSecOps
    • Activité 2.1 : Créer une formation “tous les profils”
    • Activité 2.2 : Créer une formation “technique”
  • Section 8 – Phase 3, Analyser les risques
    • Fonctionnement d’une analyse de risque
    • Activité 3.1 : Obtenir les besoins de sécurité et les scénarios graves STRIDE et DIC(T) Spoofing, tampering, repudiation, information disclosure, denial of service, elevation of privilege
    • Adapter les méthodes d’analyses de risques classiques au DevSecOps avec le Bugs bar
    • Activité 3.2 : Modéliser les menaces Qu’est-ce que la modélisation des menaces (Threat modeling) Créer un diagramme Identifier les menaces Utilisation de Microsoft Threat modeling tools
    • Obtenir la vraisemblance des risques avec la modélisation des menaces
    • Construire la matrice des risques via les objectifs de sécurité et la vraisemblance des menaces
    • Activité 3.3 : Calcul des risques
    • Activité 3.4 : Choisir une option de traitement
    • Activité 3.5 : Créer un plan de traitement des risques
    • Ne pas oublier les données à caractère personnel
  • Section 9 – Phase 4, Mise en conformité et intégration d’outils
    • Aller plus loin avec l’implémentation d’un référentiel de conformité adapté au DevSecOps
    • Activité 4.1 : Identifier les référentiels, normes, lois
    • Activité 4.2 : Appliquer l’analyse des écarts
    • L’OWASP AVSV
    • Activité 4.3 : Intégration d’un SAST
    • Activité 4.4 : Intégration d’un DAST
  • Section 10 – Phase 5, Auditer et améliorer la sécurité
    • Activité 5.1 : Planifier un test d’intrusion
    • Activité 5.2 : Adapter le système de suivi des bugs du SDLC à STRIDE
    • Activité 5.3 : Préparer un tableau de bord
    • Activité 5.4 : Préparer un plan de réponse à incident
    • Activité 5.5 : Aller plus loin avec un modèle de maturité
    • Activité 5.6 : Veille SSI
Équipe pédagogique

L'équipe pédagogique de l'ESD Cybersecurity Academy est composée de professionnels expérimentés dans divers domaines de la cybersécurité, incluant : Experts en sécurité offensive et défensive : Spécialistes des tests d'intrusion, de la gestion des incidents et de la réponse aux cybermenaces. Formateurs expérimentés : Des enseignants ayant une solide expérience pratique et pédagogique, capables de transmettre des connaissances complexes de manière claire et engageante. Praticiens de l'industrie : Actifs dans le secteur de la cybersécurité, apportant des perspectives et des exemples concrets issus de leur expérience professionnelle.

Suivi de l'exécution et évaluation des résultats
  • Progression des candidats : La progression des candidats est suivie à travers des évaluations régulières et des exercices pratiques tout au long de la formation.
  • Sessions de feedback : Des sessions de feedback sont organisées régulièrement pour discuter des points forts et des axes d'amélioration pour chaque participant.
  • Utilisation d'une plateforme LMS (Learning Management System) : Un système de gestion de l'apprentissage est utilisé pour suivre les participations, les résultats des tests, et l'engagement des apprenants.
  • Tests et examens : Des tests périodiques et des examens finaux sont utilisés pour évaluer la compréhension théorique des participants.
  • Certifications : À la fin de la formation, les participants peuvent passer des examens de certification pour obtenir des attestations reconnues dans le domaine de la cybersécurité.
  • Retour d'expérience : Des questionnaires de satisfaction et des évaluations post-formation sont recueillis pour mesurer la satisfaction des participants et l'impact de la formation sur leurs compétences professionnelles.
  • Analyse des performances : Les performances des participants sont analysées pour identifier les domaines nécessitant une révision ou une amélioration continue.
Ressources techniques et pédagogiques
  • Environnements virtuels : Des environnements de simulation et des laboratoires virtuels permettant aux participants de pratiquer les concepts appris en toute sécurité.
  • Outils de cybersécurité : Accès à divers outils et logiciels professionnels de cybersécurité, tels que Metasploit, Wireshark, OpenVAS, et autres pour des exercices pratiques.
  • Manuels et documents PDF : Des manuels complets et des documents PDF couvrant les différents modules de la formation sont fournis aux participants pour une étude approfondie.
  • Manuels et documents PDF : Des manuels complets et des documents PDF couvrant les différents modules de la formation sont fournis aux participants pour une étude approfondie.
  • Diapositives de présentation : Des diapositives utilisées lors des sessions de formation sont mises à disposition pour faciliter la révision et l'apprentissage.
  • Webinaires et vidéos : Sessions enregistrées et webinaires en direct pour approfondir certains sujets ou pour revoir des concepts présentés pendant les cours.
  • Articles et livres blancs : Sélection d’articles récents et de livres blancs sur les dernières tendances et les meilleures pratiques en cybersécurité.
  • Études de cas : Études de cas réels pour analyser les incidents de sécurité et les réponses apportées, permettant une compréhension pratique des défis rencontrés dans le domaine.
  • Groupes de discussion en ligne : Plateformes de discussion où les participants peuvent échanger des idées, poser des questions et partager des expériences avec leurs pairs et les formateurs.
  • Sessions de Q&A : Sessions de questions-réponses avec les experts pour clarifier les doutes et approfondir les connaissances.
  • Learning Management System (LMS) : Une plateforme en ligne où les participants peuvent accéder aux cours, aux ressources supplémentaires, soumettre des devoirs, et suivre leur progression.

Accessibilité

https://esdacademy.eu/accueil-et-handicap/