Afges

Risques des systèmes d’information

Par Afges

Objectifs

  • Acquérir une culture informatique au travers du concept de système d’information et de ses différentes composantes.
  • Comprendre les spécificités du système d’information (SI) bancaire.
  • Identifier, investiguer et évaluer les risques propres au système d’information.
  • Acquérir la capacité opérationnelle d’intégrer ces risques dans la réalisation des contrôles.

Programme

1. RISQUES SPÉCIFIQUES A LA SÉCURITÉ DE L’INFORMATION ET LES DISPOSITIFS ASSOCIES

  • Les taches a réaliser pour identifier les risques IT
  • Capacité, tolérance et appétit du risque
  • Culture du risque et communication
  • Les éléments du risques (facteurs, actifs, menaces, vulnérabilités…)
  • Concepts et principes de la sécurité de l’information :
  • Confidentialité, Intégrité et disponibilité.
  • Méthodes d’identification du risque
  • Exemple d’EBIOS
  • Les scénarios du risque
  • Acteur, Type de menace, Evénement, Actif/Ressource, Eléments temporels.
  • Approche bottom up et top down.
  • Les techniques d’évaluation du risque :
  • Bow tie analysis, Business Impact Analysis, Analyse
  • Analyse des scenarios de risque (organisation, politique, procédure)
  • Points importants à considérer pour la 3ème ligne de défense (Audit).
  • Changement dans l’environnement des risques IT
  • Méthodologie d’analyse de risque
  • Analyse quantitative.
  • Analyse qualitative.
  • Analyse semi-quantitative.
  • Documenter le risque IT dans un registre.
  • La politique générale de la sécurité informatique.
  • Alignement des risques aux objectifs opérationnels
  • Les options de réponse aux risques IT (Accepter, Traiter, Transférer, Eviter)
  • Les techniques d’analyse
  • La conception des contrôles IT et son implémentation :
  • Démarche et périmètre du contrôle SI de l’entreprise.
  • Typologie des points de contrôles : contrôles métiers, contrôles généraux informatiques, contrôles applicatifs.
  • Le modèle COSO pour les contrôles informatiques.
  • Les typologies de risques (inhérent, résiduel, actuels)
  • Exemples de contrôles préventifs, défectifs et correctifs.
  • Les objectifs de contrôles (Processus, Sécurité IT, management des données, projets, cycle de vie des applications, opérations…)
  • L’impact des nouvelles technologies
  • Les contrôles et bons réflexes – 1ère ligne de défense (exemple : salarié, responsable opérationnel).
  • Les contrôles et bons réflexes – 2ère ligne de défense (exemple : RSSI, Manager).
  • Locations financières (normes françaises et IFRS 16).
  • Autres.
  • Le plan de continuité d’activité.
  • Key Risk Indicator (KRI) – indicateurs clés des risques.
  • Key Performance Indicator (KPI) – indicateurs clés de performance.
  • Extraction et collecte des données pour la maitrise des risques IT.
  • Typologie d’évaluation des contrôles (audit, test de vulnérabilités, test d’intrusion, maitrise des sous-traitants et partenaires).
  • Analyse des résultats de contrôles.
  • Support Powerpoint.
  • Cas pratique : Identifier de plusieurs scénarios de risque cyber criminel.
  • Cas pratique : Questionnaire du contrôle interne lié à l’audit issu de la certification CRISC (Cerified Risk Information System & Controls).
  • Support PowerPoint.
  • Cahier d’exercices :
  • Prêt à terme.
  • Emprunt à terme.
  • Support Powerpoint illustré avec les contrôles niveau 1 et niveau attendus.
  • Cas pratique de typologie des contrôles :
  • Contrôles généraux et applicatifs.
  • Contrôles préventifs, détectifs et correctifs.
  • Contrôles de gestion, technique et physique.
  • Cas pratique de l’analyse des flux.
  • Support Powerpoint illustré.
  • Cas pratique des indicateurs et des stratégies de contrôles à mettre en place à partir d’un sujet d’audit.
  • Cas pratique d’identifications de KRI et et KPI à partir d’un objectif stratégique.

2. SYNTHÈSE ET CONCLUSION

  • Synthèse de la journée.
  • Évaluation de la formation.
  • Évaluation des connaissances.
  • Questions/réponses.
  • Attestation d’acquis de compétences.
  • Fiches d’évaluation.

Pédagogie

  • Documentation en PowerPoint.
  • Alternance d’illustrations et d’exercices pratiques.
  • QCU, synthèses, questions/réponses pour vérifier, réviser et confirmer les acquis.

Formations de la même catégories (5)

Feel Europe
Etat de l'art de la sécurité des systèmes d'informationPar Feel Europe
  • Comprendre les menaces sur les équipements de l'infrastructure
  • Mettre en place une politique interne (technologique et humaine) de sécurité des informations
  • Choisir les dispositifs et emplacements de sécurité
  • Concevoir le Plan de Sécurité
Demos
ISO 27001 - Lead ImplementerPar Demos
  • acquérir les connaissances et les compétences nécessaires pour définir et mettre en place un système de management de la sécurité de l’information conforme ISO 27001
  • devenir certifié Lead Implementer
Arkesys
Compétence 8 - Traiter un incident dans un centre de services et participer au suivi du parcPar Arkesys

Cette formation peut être suivie de manière autonome ou dans le cadre du cursus préparatoire au titre professionnel de « Technicien d’Assistance en Informatique ».

SQLI Institut
Gestion des identités & sécurité des accèsPar SQLI Institut
  • Identifier les enjeux de la gestion d'identité
  • Déterminer les apports de la gestion d'identité à partir d'un SI centralisé : la sécurité d'accès aux applications, la modélisation des processus, la valorisation du portail d'entreprise et l'ouverture de son SI par la fédération d'identité
SLTI
Sécurité Informatique : bons usages du poste informatique avec certificationPar SLTI

Dans un monde hyper-connecté, il n'est plus envisageable de ne pas maîtriser les enjeux de la sécurité informatique. Etes-vous bien au fait des menaces et des solutions à mettre en place pour y échapper ?