Le métier de RSSI - responsable de la sécurité des systèmes d'information

Rechercher une formation

Source : Carif Ile-de-France

Fiche originale

Partager sur :

Objectifs, programme, validation de la formation

Objectifs

Acquérir les compétences indispensables à l’exercice de la fonction responsable de la sécurité des systèmes d’information, à savoir :
o Bases de la cybersécurité
o Enjeux de la SSI au sein des organisations
o Connaissances techniques de base
o Sécurité organisationnelle et normes ISO27001
o Méthodes d’appréciation des risques
o Bases juridiques
o Stratégies de prise de fonction.

Description, programmation

Accueil
Enjeux et organisation de la sécurité :
- Critères de sécurité (disponibilité, intégrité, confidentialité, auditabilité)
- Fonction de RSSI, rôles du RSSI
- Environnement du RSSI (production, direction, métiers, conformité, juridique, etc)
- Panorama des référentiels
- Politiques de sécurité
- Conformité
- Indicateurs et tableaux de bord SSI
- Gestion des incidents de sécurité
- Sensibilisation
- Ecosystème de la SSI

Aspects techniques de la sécurité :
- Sécurité du système d’exploitation
- Minimisation et durcissement des systèmes
- Contrôle d’accès
- Gestion des utilisateurs
- Gestion des moyens d’authentification
- Sécurité des applications (sessions, injection SQL, XSS)
- Validation des données (en entrées, traitées, en sortie)
- Développement et environnements de test
- Accès au code source
- Sécurité réseau (routeurs, firewalls)
- Cloisonnement et contrôle d’accès
- Messagerie
- Sécurité du poste de travail, mobilité, télétravail
- Gestion des opérations, gestion des vulnérabilités techniques
- Surveillance, sauvegardes
- Conformité technique
- Typologie des tests d’intrusion et audits de sécurité
- Protection des outils d’audits et des données d’audits

Système de Management de la Sécurité de l’Information (normes ISO 27001) :
- Bases sur les systèmes de management
- Panorama des normes ISO 270xx
- Bases sur ISO 27001 et ISO 27002 et utilisations possibles
- Domaine d’application
- Engagement de la direction
- Surveillance (réexamen régulier, audit interne, revue de direction)
- Amélioration continue

Audit :
- Typologie des audits (technique, organisationnel, de conformité, de certification)
- Conséquences (inconvénients et objectifs)
- Vocabulaire (basé sur ISO 19011)
- Préparation à l’audit
- Considérations pratiques (formation, communication, intendance, audit à blanc, préparation)
- Démarche d’audit (ISO 19011)
- Avant l’audit, pendant l’audit, après l’audit
- Livrable
- Actions correctives entreprises et suivi
- Réception des auditeurs (maison-mère, ISO27001/HDS, ISAE3401/SOC2, Cour des Comptes, Commission bancaire, etc.)

Gestion de risques :
- Méthodologies d’appréciation des risques (ISO27001, EBIOS, Mehari)
- Vocabulaire
- Identification et valorisation d’actifs
- Menace, source des risques, vulnérabilités
- Analyse de risque
- Estimation des risques
- Vraisemblance et conséquences d’un risque
- Évaluation du risque
- Traitement des risques (réduction, partage, maintien, refus)
- Notion de risque résiduel
- Acceptation du risque

Aspects juridiques de la SSI :
- RGPD et Informatique et libertés
- Communications électroniques
- Conservation des traces
- Contrôle des salariés
- Atteintes aux STAD
- Charte informatique
- Comptes à privilège
- Gestion des relations avec les partenaires.

Validation et sanction

Attestation d’acquis ou de compétences ;Attestation de suivi de présence

Type de formation

Perfectionnement, élargissement des compétences

Niveau de sortie sans niveau spécifique

Métiers visés

M1802 :

M1803 :

Durée, rythme, financement

Durée 35 heures en centre
Durée indicative : 4 jours

Modalités de l'alternance Cours du jour : 35 h

Conventionnement Non

Conditions d'accès

Modalités de recrutement et d'admission Entretien

Niveau d'entrée niveau I (supérieur à la maîtrise)

Conditions spécifiques et prérequis - Il est préférable d'avoir une expérience au sein d'une direction informatique en tant qu'informaticien ou bonne culture générale des systèmes d'information. - Avoir des notions de base en sécurité appliquées au système d'information constitue un plus.