EBIOS Risk Manager : Maîtriser la méthode officielle de l’ANSSI

Introduction et concepts clés de Analyse de risque Ebios 2018 L’écosystème de la méthode EBIOS RM et son positionnement vis-à-vis de l’ISO 27005. Le vocabulaire officiel : sources de risques, objectifs visés, événements redoutés, menaces de haut niveau. Atelier 1 : Cadrage et socle de sécurité Définition du périmètre de l’étude : système ciblé, missions et contraintes. Identification des événements redoutés et évaluation de leur niveau de gravité pour l’activité. Définition du socle de sécurité réglementaire applicable : PSSI, guides de l’ANSSI, exigences légales. Atelier 2 : Sources de risques (L’Écosystème) Identification et caractérisation des sources de risques : cybercriminels, États, concurrents, internes. Définition des objectifs visés par les attaquants : gain financier, vol de données, déstabilisation. Cartographie de l’écosystème de l’organisation et identification des maillons faibles : sous-traitants, partenaires. Atelier 3 : Scénarios stratégiques Construction des chemins d’attaque macroscopiques reliant les sources de risques aux événements redoutés. Évaluation des niveaux de menace et de la vulnérabilité globale de l’écosystème. Définition des mesures de sécurité stratégiques pour rompre les chemins d’attaque identifiés. Atelier 4 : Scénarios opérationnels Modélisation des modes opératoires techniques des attaquants : exploitation de failles, ingénierie sociale. Évaluation de la vraisemblance des attaques à partir des vulnérabilités critiques des composants du système d’information. Mise en situation pratique et exercices de simulation d’attaques complexes. Atelier 5 : Traitement des risques Synthèse des risques résiduels et validation de la cartographie globale. Élaboration du plan d’action cyber : choix des mesures de remédiation, chiffrage et calendrier. Mise en place des indicateurs de suivi du niveau de risque et de l’amélioration de la posture cyber (KPIs). Fin de sesion et evaluation QCM Inclus dans la formation L’accès à l’ensemble du matériel pédagogique et aux cas pratiques. Le kit de livrables et matrices d’analyse « prêts à l’emploi » pour votre entreprise Autres formations complementaires : ISO 27035 Gestion des incidents de sécurité ISO27701 Privacy Information Management System PIA ISO 29134