Ebios Risk Manager (DLT-EBIOS)

EBIOS (Expression des besoins et identification des objectifs de sécurité) s'est imposée comme la méthodologie phare en France pour apprécier les risques dans le secteur public. Elle est recommandée par l'ANSSI pour l'élaboration de PSSI et schémas directeurs, pour l'homologation de téléservices dans le cadre du RGS, dans le guide GISSIP ; par la CNIL pour réaliser des analyses d'impacts sur les données nominatives (PIA ou Privacy Impact Assessment). EBIOS possède des caractéristiques uniques qui  permettent son usage  dans tous  les  secteurs  de la sécurité, bien au-delà de la SSI.  EBIOS permet d'identifier les risques  d'un système en construction  qui n'existe pas encore et demeure idéale pour la rédaction de cahier des charges.
 
Vous allez apprendre
  • Appréhender la méthode EBIOS 2010 et ses différents cas d'utilisation
  • Maîtriser la construction d'un processus de gestion des risques
  • Donner les moyens au stagiaire de piloter et réaliser une appréciation des risques EBIOS
  • Communiquer les ressources et les outils disponibles afin de réaliser une appréciation des risques optimale
  • Préparer l'apprenant à l'examen
 
Public visé
  • CIL (DPO)
  • RSSI
  • Chefs de projet SI
  • Consultants sécurité
  • Toute personne connaissant d'autres méthodes comme ISO 27005, MEHARI ou EBIOS v2 (ancienne version d'EBIOS) et souhaitant maîtriser EBIOS 2010
 
Pré-requis
Des connaissances de base en sécurité informatique sont recommandées
 
Méthode pédagogique
  • Cours magistral basé sur le référentiel EBIOS, des références aux normes ISO 27005, ISO 31000 et ISO 31010 pourront être faites
  • Bon usage des normes et méthodes à disposition (norme ISO 27002, méthodes   d'analyse des risques ISO 27005 et MEHARI...)
  • Construction d'un tableau d'appréciation des risques exploitable à partir d'un tableur de type Excel
  • Des exemples et études de cas tirés de cas réels
  • Des exercices réalisés seul ou en  groupe, y compris un exercice chaque soir à faire chez soi
 
Matériel
  • Support de cours en français au format papier
  • Méthode EBIOS 2010
 
Certification
Cette formation prépare à l'examen de certification LSTI à la méthode EBIOS (EBIOS Risk Manager).
 
Afficher les détails
 
Programme
Introduction
  • EBIOS
  • Historique
  • Les autres méthodes
  • Différence entre EBIOS V2 et V2010
  • Le vocabulaire du risque selon EBIOS 2010
    • Biens essentiels et biens supports
    • Propriétaire, dépositaire et RACI
    • Sources de menaces et événements redoutés
    • Menaces et vulnérabilités et scénarios de menaces
    • Identification du risque et formulation sous forme de scénarios
  • Estimation des risques
  • Vraisemblance et gravité d'un risque
  • Évaluation des risques
  • Les différents traitements du risque
  • Notion de risque résiduel
  • Homologation de sécurité

La démarche EBIOS
  • Introduction
  • La modélisation EBIOS
    • Alignement avec le modèle ISO 27005
  • Communication et concertation relative aux risques
  • Surveillance et réexamen du risque
  • Étude du contexte
  • Étude des événements redoutés
  • Étude des scénarios de menace
  • Étude des risques
  • Étude des mesures de sécurité
  • Étapes facultatives
  • Applications spécifiques
    • Conception d'une politique de sécurité et/ou d'un schéma directeur
    • Présentation de la FEROS
    • Appréciation de risques dans le cadre de l'intégration de la sécurité dans un projet (cas particulier du RGS, en vue de la rédaction d'un cahier des charges)

Exercices
Mise en situation : étude de cas
  • Réalisation d'une étude EBIOS complète
  • Travail de groupe
  • Simulation d'entretien avec un responsable de processus métier
  • Mise à disposition d'un ordinateur portable pour mener l'étude
  • Présentation orale des résultats par chaque groupe
  • Revue des résultats présentés

Recommandations HSC by Deloitte
  • Les erreurs courantes : les connaître et s'en prémunir
  • L'étude de cas @rchimed
  • Intérêts et limites
  • Logiciel EBIOS 2010
  • Pratique du logiciel
  • Intérêts / Limites
  • Utilisation des bases de connaissances
  • Préparation à l'examen