Enseignant
Christian Geffcken
Chef du service de la sécurité de l’information et de la protection des données, RÉPUBLIQUE ET CANTON DE GENÈVE Département des infrastructures (DI)
Gestion des risques de l’information
Module 12
Objectifs du cours
- Initier les étudiants à effectuer une démarche de management des risques selon différentes méthodes.
- Décrire le processus standard de management des risques, y compris les différentes étapes du processus et leurs inputs/outputs respectifs.
- Établir un panorama de diverses méthodes de management des risques. Décrire en détail certaines méthodes et démontrer leur conformité avec les normes ISO.
- Amener les étudiants à savoir choisir une méthode apropriée en regard du contexte de l’entreprise.
Contenu du cours
- Le système de management de la sécurité de l’information selon ISO 27001, et le rôle du management des risques
- Les principes de la gestion des risques
- Les normes internationales de management des risques (ISO 27005, ISO 31000)
- Le processus de management des risques
– L’établissement du contexte
– Différentes approches pour l’identification et l’analyse des risques
– L’évaluation et le traitement du risque
- La diversité des méthodes et approches orientées « risque », notamment celles applicables à la sécurité des systèmes d’information (ISO 27005, la famille OCTAVE, CORAS, EBIOS, MEHARI, COBIT for Risk, etc.)
- Mise en pratique de méthodes compatibles avec ISO 27005
Les compétences acquises par les participant(e)s à l’issue du module
- Maîtriser les concepts et le vocabulaire du management des risques, notamment dans le domaine de la sécurité de l’information.
- Connaître les particularités de diverses méthodes de management des risques.
- Choisir une méthode appropriée et l’adapter au contexte et à la culture de l’entreprise.
- Piloter et appliquer en pratique une méthode complète de management des risques compatible avec ISO 27005. Travailler en équipe et communiquer avec les parties prenantes.
- Valoriser le rôle du management des risques dans l’entreprise, notamment en rapport avec l’informatique et la sécurité des systèmes d’information.
Pré-requis
Module 11 : optique sécurité, le développement des applications, l’approche systémique, ISO 27001
Evaluation
- Travail pratique individuel et par groupe de 2-3 personnes, mettant en pratique une méthode formelle d’appréciation des risques de sécurité de l’information. Travail écrit et présentation orale 50%
- Examen QCM 50%
Fomule pédagogique
- Présentations de concepts, de normes et de méthodes ; retours d’expérience de praticiens
- Mise en pratique par le biais de travaux pratiques
Références importantes
- ISO 27000 : Systèmes de management de la sécurité de l’information – Vue d’ensemble et vocabulaire
- ISO 27001 : Systèmes de management de la sécurité de l’information – Exigences
- ISO 27002 : Code de bonne pratique pour le management de la sécurité de l’information
- ISO 27005 : Gestion des risques liés à la sécurité de l’information
- ISO 31000 : Management du risque – Principes et lignes directrices
- ISO Guide 73 : Management du risque – Vocabulaire / Risk management – Vocabulary
ASSOCIATION ALUMNI
Certifications
