Objectifs :

Durée : 21 heures / 3 jours

PROGRAMME

► Appréhender le contexte d’un audit des risques   JOUR 1

Connaître l’encadrement règlementaire et normatif

• Le concept d’audit : principes et mise en œuvre.
• La norme ISO 19011 : 2018 : audit des systèmes de management.
• Le logiciel PIA (CNIL).
• Acquérir les bases de la conduite d’audit d’un système de management.

Connaître le cadre d’un audit des risques informatiques

• La norme ISO 27001 : sécurisation des données sensibles.
• La gouvernance du SI.
• La méthode EBIOS.
• Connaître les outils et acteurs de l’audit des risques IT .

Zoom sur le référentiel COBIT

• Les principes et objectifs de la démarche : le pilotage des risques.
• Le cadre de référence et les guides.
• Maîtriser les outils de mise en œuvre de la méthode COBIT.

► L’audit des risques : identifier les menaces   JOUR 2

Savoir identifier les vulnérabilités

• Recensement des failles et menaces via le système CVE.
• Analyse du système, applications, données, canaux cachés, ….
• La boucle d’analyse.
• Les outils de diagnostic à mobiliser.
• Être en mesure de réaliser une cartographie du réseau.

Savoir reconnaître et anticiper les attaques du système

• La théorie de Shannon : théorie de l’information.
• Définition des niveaux de sécurité.
• Analyse des modèles d’attaque : simples, complexes et ciblés .
• Être en mesure de classifier des attaques.

► L’audit des risques : analyser et réagir   JOUR 3

Savoir mobiliser le processus de Markov

• Les chaînes de Markov : discrètes, abstraites.
• Les probabilités de transition.
• Les files d’attente.
• Être en mesure d’utiliser la méthode markovienne.

Savoir mobiliser le modèle GSPN

• Les réseaux de Petri stochastiques.
• La modélisation des systèmes.
• Évaluation prévisionnelle de la sûreté.


• Acquérir la méthodologie inhérente au modèle GSPN.

Assurer le suivi des menaces

• La réponse à la menace.
• La démarche d’amélioration continue.
• Être en mesure d’assurer la continuité des activités.