1

Le modèle européen : Network Information Security 2 (NIS 2)

• Nouvelle guerre froide Est/Ouest, USA/Chine Occident/Russie.
• Hackers organisés, rôle des agences de renseignements.
• APT (Advanced Persistent Threat), les ransomwares, les risques ciblés.
• Cartographie des référentiels : du spécialiste au généraliste.
• Les enjeux européens de la cybersécurité.
• Domaines d’application EE, EI, OSE, FSN, les nouveaux critères d’éligibilité.
• Pour quels écosystèmes - Nouveaux secteurs d’activité et ESN/IT enrôlées.
• Les principales mesures de sécurité : à partir des 23 règles de la NIS 1 et bien plus…
• Le processus de gouvernance par le risque et d’homologation maîtrisée.
• Le système de sanctions gradué sur le CA, comme le RGPD.

2

Le modèle américain : NIST CSF 2.0

• Le core avec son ensemble de catégories et sous-catégories.
• La nouvelle fonction GOVERN et son intérêt pour une gouvernance stratégique cyber.
• Les guides de mises en œuvre de la série 800 et 1800 en support du CSF.
• Les niveaux de mise en œuvre du cadre : tiers 1 à 4.
• Apprendre à graduer sa sécurité en fonction de ses objectifs et de la criticité des activités.
• Intégrer le développement sécurisé avec le framework complémentaire SSDF.
• Créer son profil à partir des objectifs de sécurité des métiers ainsi que des exigences de parties prenantes.
• Construire un profil en rapport aux menaces cyber sur l’écosystème.

3

Le modèle universel ISO 27001:2022

• La norme ISO 27001 dans une démarche système de management (roue de Deming/PDCA).
• La gouvernance par le risque de l’ISO : ISO 31000/ISO 27005.
• L’élaboration du plan de traitement des risques et de la déclaration d’applicabilité.
• Les bonnes pratiques universelles de la norme ISO 27002:2022.
• Les domaines de la sécurité et les attributs associés aux 93 mesures.
• Construire une gestion documentaire et une base de preuves.
• Appréhender le processus d’audit du SMSI (première partie et tierce partie).

4

Un modèle IT cloud SecNumCloud

• La vision de l’informatique sécurisée en mode cloud par l’ANSSI et ses dernières évolutions 2023.
• Les principales bonnes pratiques de protection/défense des hébergements de confiance.
• Un label de sécurité englobant l’ISO 27001 et l’ISO 27017/27018 pour un cloud souverain.
• Les critères de protection vis-à-vis des lois extra-européennes.
• Vers une qualification européenne de prestataires de services informatiques en nuage EUCS ?

5

Un modèle pour la santé : HDS (hébergeurs de données de santé)

• Le référentiel HDS : l’ISO 27001 comme socle.
• Les données de santé : exigences de protection et lien avec le RGPD.
• Les exigences complémentaires.
• Cadre de la certification des hébergeurs.

6

Un modèle pour la finance/paiement : PCI DSS v4

• L’industrie du paiement par carte PCI et ses référentiels d’exigences.
• Les principaux acteurs du secteur : marques, banques, marchands, PSP.
• L’écosystème des acteurs PCI : QSA, ASV, éditeurs certifiés…
• Les cybermenaces spécifiques sur les données CB : vol, skimming.
• La gestion d’un projet jusqu’à sa mise en conformité, premiers pas avec le SAQ.

7

La sécurité selon COBIT®, ITIL®

• COBIT®: un cadre pour aligner la gouvernance IT avec les objectifs de l’entreprise.
• Les processus de maîtrise des risques selon COBIT®.
• Les modèles organisationnels et RH.
• Les principes de sécurité selon COBIT®.
• Les templates de contrôle de la sécurité.
• ITIL® : un cadre de travail pour la délivrance des services IT.
• Les processus ITIL®.
• Le processus Information Security Management.
• ITIL® et ses liens avec l’ISO 27001.

8

Quels choix de stratégie ?

• Avantages et inconvénients de chacun des référentiels.
• Comparatifs et critères de choix.
• Les approches hybrides et complémentaires.
• Les coûts comparés et les alignements multiréférentiels.