Objectifs :

  • Maîtriser le contexte règlementaire de l’audit des risques.
  • Savoir mobiliser les outils et modèles adéquats pour conduire un audit.
  • Savoir identifier les risques et y répondre.

Durée : 21 heures / 3 jours


PROGRAMME

► Appréhender le contexte d’un audit des risques   JOUR 1

Connaître l’encadrement règlementaire et normatif

  • Le concept d’audit : principes et mise en œuvre.
  • La norme ISO 19011 : 2018 : audit des systèmes de management.
  • Le logiciel PIA (CNIL).
  • Acquérir les bases de la conduite d’audit d’un système de management.

Connaître le cadre d’un audit des risques informatiques

  • La norme ISO 27001 : sécurisation des données sensibles.
  • La gouvernance du SI.
  • La méthode EBIOS.
  • Connaître les outils et acteurs de l’audit des risques IT .

Zoom sur le référentiel COBIT

  • Les principes et objectifs de la démarche : le pilotage des risques.
  • Le cadre de référence et les guides.
  • Maîtriser les outils de mise en œuvre de la méthode COBIT.

► L’audit des risques : identifier les menaces   JOUR 2

Savoir identifier les vulnérabilités

  • Recensement des failles et menaces via le système CVE.
  • Analyse du système, applications, données, canaux cachés, ….
  • La boucle d’analyse.
  • Les outils de diagnostic à mobiliser.
  • Être en mesure de réaliser une cartographie du réseau.

Savoir reconnaître et anticiper les attaques du système

  • La théorie de Shannon : théorie de l’information.
  • Définition des niveaux de sécurité.
  • Analyse des modèles d’attaque : simples, complexes et ciblés .
  • Être en mesure de classifier des attaques.

► L’audit des risques : analyser et réagir   JOUR 3

Savoir mobiliser le processus de Markov

  • Les chaînes de Markov : discrètes, abstraites.
  • Les probabilités de transition.
  • Les files d’attente.
  • Être en mesure d’utiliser la méthode markovienne.

Savoir mobiliser le modèle GSPN

  • Les réseaux de Petri stochastiques.
  • La modélisation des systèmes.
  • Évaluation prévisionnelle de la sûreté.

  • Acquérir la méthodologie inhérente au modèle GSPN.

Assurer le suivi des menaces

  • La réponse à la menace.
  • La démarche d’amélioration continue.
  • Être en mesure d’assurer la continuité des activités.