1

Introduction

• Rappels. Terminologie ISO 27000 et ISO Guide 73.
• Définitions : menace, vulnérabilité, protection.
• La notion de risque (conséquence, impact, vraisemblance).
• La classification minimale CID (Confidentialité, Intégrité, Disponibilité).
• La gestion du risque (réduction, maintien, refus, partage).
• Analyse de la sinistralité. Tendances. Enjeux.
• Les réglementations de sécurité (métiers, juridiques, …) exemple PCI-DSS, NIST, LPM/NIS. Pour qui ? Pourquoi ?
• L’alignement ISO avec Gouvernance / Protection / Défense / Résilience.

2

Les normes ISO 2700x

• Historique des normes de sécurité vues par l’ISO.
• Les standards BS 7799, leurs apports à l’ISO.
• Les normes actuelles (ISO 27001, 27002).
• Les normes complémentaires (ISO 27005, 27004, 27003...).
• La convergence avec les normes qualité 9001 et environnement 14001.
• L’apport des qualiticiens dans la sécurité.

3

La norme ISO 27001:2022

• Définition d'un Système de management de Sécurité de l’Information (ISMS).
• Objectifs à atteindre par votre SMSI.
• L'approche "amélioration continue" comme principe fondateur, le modèle PDCA (roue de Deming).
• La norme ISO 27001 intégrée à une démarche globale de gouvernance de la SSI.
• Détails des phases Plan-Do-Check-Act.
• De la spécification du périmètre SMSI au SoA (Statement of Applicability).
• Les recommandations de l'ISO 27001 pour le management des risques.
• De l'importance de l'appréciation des risques. Choix d'une méthode type ISO 27005:2018 / ISO 31000
• L’apport des méthodes publiées (exemple EBIOS) dans leur démarche d’appréciation.
• L’adoption de mesures de sécurité techniques et organisationnelles efficientes.
• Les audits internes obligatoires du SMSI. Construction d’un programme d’audit.
• L’amélioration SMSI. La mise en œuvre d’actions correctives et préventives.
• L’annexe A comme support référentiel - lien avec la norme 27002.

4

Les bonnes pratiques, référentiel ISO 27002:2022

• La structuration du premier niveau : mesures organisationnelles, liées aux personnes, d'ordre physique, technologiques.
• Les thèmes et attributs (#Prévention, #Détection, #Correction).
• Les concepts de cybersécurité (#Identification, #Protection, #Détection, #Traitement, #Récupération).
• Les capacités opérationnelles (#Gouvernance, #Gestion_des_actifs, Protection_des_informations...)
• Les domaines de sécurité ((#Gouvernance_et_écosystème, #Protection, #Défense, #Résilience).
• La norme ISO 27002:2022 : aperçu des 93 bonnes pratiques.
• Les nouvelles bonnes pratiques ISO 27002:2022, les mesures supprimées de la norme ISO 27001:2017. Les modifications
• Exemples d'application du nouveau référentiel à son organisme : les mesures de sécurité clés indispensables.

5

La mise en œuvre de la sécurité dans un projet SMSI

• Des spécifications sécurité à la recette sécurité.
• Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
• De l'analyse de risques à la construction de la déclaration d'applicabilité.
• Intégration de mesures de sécurité au sein des développements spécifiques.
• Les règles à respecter pour l'externalisation.
• Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
• Les rendez-vous "Sécurité" avant la recette.
• Intégrer le cycle PDCA dans le cycle de vie du projet.
• La recette du projet, comment la réaliser ? Quels types d’audit ?
• Préparer les indicateurs. Indicateurs d’efficacité et de conformité.
• Mettre en place un tableau de bord de gouvernance. Exemples.
• L’apport de la norme 27004 :2016 dans la construction des métriques.

6

La certification ISO de la sécurité du SI : le certificat SMSI

• Intérêt de cette démarche, la recherche du "label".
• Les critères de choix du périmètre. Domaine d’application. Implication des parties intéressées.
• L’ISO : complément indispensable des cadres réglementaires et standards ?
• Les enjeux business et/ou réglementaires escomptés.
• Organismes certificateurs, choix en France et dans le monde.
• Démarche d'audit, étapes et charges de travail.
• Normes ISO 17021 et ISO 27006, obligations pour les certificateurs.
• Coûts de la certification, ROI.

7

Préparation et passage de l’examen

• Les normes nécessaires : ISO 27000, ISO 27001, ISO 27002, ISO 27005, ISO 19011, ISO 17021, ISO 27006.
• Le déroulement de l'examen en ligne sera présenté la première journée de formation : contenu et règles à respecter.
• Les pré requis techniques pour l’examen en ligne (webcam activée, connexion Internet).
• Cet examen se déroule sur la plate forme d’examen en ligne TESTWE (testwe.eu).
• Si cet examen est passé dans les locaux d’Orsys, Orsys prend en charge la préparation du poste de travail du candidat.
• Le passage de l'examen chez Orsys s’accompagne du prêt au format papier des normes décrites durant la formation.
• Pour passer cet examen en mode distanciel, le candidat doit acquérir lui-même l’ensemble de ces normes au format papier.