CQP Manager de la Sécurité et des Risques de l’Information
/!\ Depuis le 17 novembre 2020, cette formation fait partie du nouvel univers de formation de la CCI Paris Ile-de-France
sous la marque ESIEE IT.
Un CQP porté par la branche du numérique, en prise directe avec l’actualité professionnelle
Durée
9 mois en part-time (1 semaine de cours par mois)
Lieu
Coût
- 9180 €
Type de formation
- longue
Code de formation
- Code CPF: 200652
Programme
Objectifs
Les objectifs de ce diplôme post Bac +5 sont multiples :
- Définir et organiser la gouvernance des risques liés à l’information au sein de l’entreprise et de l’entreprise élargie
- Définir et piloter le dispositif de maîtrise des risques liés à l’information
- Définir et superviser le dispositif de gestion des incidents et des crises
- Evaluer régulièrement le dispositif de gestion des risques liés à l’information
- Diffuser la culture de prévention des risques liés à l’information
Contenu
BLOC 1
Définir et organiser la gouvernance des risques liés à l’information au sein de l’entreprise et de l’entreprise élargie
UNITÉ 1 : LES ENJEUX DE LA SECURITE ET DES RISQUES DE L’INFORMATION
Objectifs :
- Comprendre les enjeux de la sécurité et des risques de l’information, et définir une politique alignée avec ces enjeux.
- Disposer d’un panorama des référentiels, normes et méthodes de gestion des risques.
- Appréhender les principaux risques liés à l’information.
Séquence 1 - Enjeux et objectifs en matière d’information digitale
- Approche générale sur la définition des enjeux et objectifs en matière de sécurité de l’information
- Les enjeux métiers : base pour une bonne maitrise des risques
- Cycle de vie de l’information digitale : de l’indentification du patrimoine informationnel à la classification de l’information digitale.
- Maîtrise de l’information digitale : quels sont les différents moyens ?
- Ouverture sur les aspects réglementaires et les risques de l’information digitale
Séquence 2 - Les exigences réglementaires et les instances officielles
- Approche générale sur les conformités légales, réglementaire et contractuelles
- SSI et responsabilités : la typologie des responsabilités
- SSI et loi Informatique et Libertés
- Aspects légaux et réglementaires
- Acteurs et instances officielles de la sécurité de l’information
Séquence 3 - Panorama des référentiels, normes et méthodes
- Approche générale sur les référentiels, modèles et normes en matière de management et gouvernance du SIR
- Présentation des référentiels de gestion des systèmes d’information
- Normes et méthodes de management des risques
- ISO 27000 : Système de management de la sécurité de l’information
- L’approche SMSI basée sur le risque
Séquence 4 - Panorama des risques et état de l’art des solutions
- Principes généraux sur les notions de vulnérabilité, de menaces et des risques
- Panorama des menaces et des vulnérabilités : typologie et caractéristiques
- Risques liés au développement des NTIC et aux systèmes spécifiques
- Exemples de moyens et outils de protection
Séquence 5 - Stratégie et politique générale de sécurité et des risques de l’information
- Approches méthodologiques
- Mise en place d’un SMSI : Les normes ISO 2700x
- Démarche de sécurité : tableaux de bord et indicateurs
- Démarche préconisée : de l’indentification du périmètre au plan d’amélioration
- Outils d’analyse des risques
UNITÉ 2 : LA GOUVERNANCE DE LA SECURITE ET DES RISQUES DE L’INFORMATION
Objectifs :
- Comprendre les métiers de la filière sécurité et risques liés à l’information.
- Établir et mettre en œuvre un modèle de gestion et d’amélioration continue de la sécurité et des risques liés à l’information où les rôles et les responsabilités sont clairement attribués à tous les niveaux de l’organisation.
Séquence 6 - Les métiers de la filière sécurité et risque
- Approche organisationnelle de la SSI
- La sécurité des SI : Les acteurs et leur positionnement
- Les instances de contrôle et de maitrise des risques
- Métiers de la sécurité de l’information
- Métiers de l’audit et du contrôle interne
Séquence 7 - L’organisation de la gouvernance des risques
- Organisation interne de la gouvernance des risques
- Fonctions et rôles du RSSI
- Organisation de la filière SSI
- Activités et processus SSI
Séquence 8 - Les politiques opérationnelles
- Organisation opérationnelle de la SSI
- Les 14 domaines de la SSI : Etude détaillée, exemples de mesures, documents et politiques thématiques
- ISO 27002 code de bonnes pratiques pour le management de la SSI
Séquence 9 - Le système de management des risques
- Cadre de management du risque conforme à l’ISO 31000
- Méthodologies d’appréciation du risque
- Activités d’un processus de management des risques
BLOC 2
Définir et piloter le dispositif de maîtrise des risques liés à l’information
UNITÉ 3 : LA GESTION DE LA SECURITE ET DES RISQUES LIES A L’INFORMATION
Objectifs :
- Identifier les risques liés à l’information, les évaluer et disposer d’une cartographie.
- Définir un plan de traitement des risques, le mettre en œuvre et le suivre.
Séquence 10 - L’identification et l’évaluation des risques
- Approche générale sur la gestion et le management du risque
- Gestion des actifs : concepts de base
- Processus de gestion des risques : du contexte à l’évaluation du risque
- Méthode EBIOS : outillage pour l’appréciation du risque
Séquence 11 - Le traitement et la réduction des risques
- Introduction sur la notion de traitement du risque
- Différentes stratégies de traitement du risque
- Méthode EBIOS : Traitement du risque
- Mise en place d’un processus d’amélioration continue
BLOC 3
Définir et superviser le dispositif de gestion des incidents et des crises
UNITE N°4 : LA GESTION DES INCIDENTS ET LA GESTION DE CRISE
Objectifs :
- Comprendre le processus de gestion des incidents, et les principes d’escalade associés.
- Comprendre le processus de gestion de crise, et les dispositifs à mettre en œuvre.
Séquence 12 - La gestion des incidents
- Approche terminologique liée à la gestion des incidents
- Processus de gestion des incidents (acteurs et activités du processus, indicateurs, tableaux de bord, RACI…)
- Procédure de gestion des incidents de sécurité
- Méthodologie organisationnelle (CSIRT, CERT)
Séquence 13 - La gestion des crises
- Approche terminologique liée à la gestion des crises
- Gestion de crise : organisation et processus
- La gestion de crise en pratique : les différentes phases
Séquence 14 - Les mesures correctives
- Rappel des fondamentaux sur la gestion de la sécurité et des risques liés à l’information
- Démarche d’application d’une mesure corrective
- Plan de continuité d’activité : de la stratégie globale aux tests du PCA et MCO
Séquence 15 - Communication de crise
- Fondamentaux liés à la communication de crise
- Technique de communication de crise
- Principes de la communication de crise
- Organisation en situation de crise
- Règles de la communication interne et externe
BLOC 4
Evaluer régulièrement le dispositif de gestion des risques liés à l’information
UNITE N°5 : LE CONTROLE INTERNE ET L’AMELIORATION
Objectifs :
- Mettre en place des mécanismes de contrôle interne et assurer le pilotage des risques liés à l’information
Séquence 16 - Le contrôle interne (permanent et audit)
- Introduction sur la notion du contrôle et d’audit interne
- Présentation de la norme ISO 19011
- Contrôle et Audit interne : rôles, processus
- Contrôle permanent SSI : day to day, indicateurs, tableaux de bord, PTR
- Evaluation des performances : LE CHECK
Séquence 17 - Les actions d’amélioration
- Rappels : démarche PDCA, ACT de l’ISO 27001
- Les mesures d’amélioration : de l’identification des non-conformités au suivi de la mise en œuvre des mesures
- Exemple d’action d’amélioration : intégration de la sécurité dans les projets
Séquence 18 - Le référentiel de pilotage des risques
- Introduction sur la notion de référentiel de pilotage
- Référentiel de pilotage des risques de l’information
- Outils de pilotage
BLOC 5
Diffuser la culture de prévention des risques liés à l’information
UNITE 6 : LA DIFFUSION DE LA CULTURE DE PREVENTION DES RISQUES
Objectifs :
- Structurer et organiser la culture de prévention des risques liés à l’information
Séquence 19 - Définir la culture de prévention des risques
- Enjeux de la culture de prévention des risques
- Démarche de prévention des risques
- Stratégie et plans de communication
- Socle documentaire de la prévention
Séquence 20 - Diffuser de la culture de prévention des risques
- La jurisprudence « NIKON » parachevée
- La charte, à la fois outil de régulation interne et d’information
- Sensibilisation des acteurs
COMPETENCES TRANSVERSES A L’ENSEMBLE DES BLOCS
Manager la gestion des risques et de la sécurité liés à l’information au sein de l’entreprise et dans l’entreprise élargie
UNITE 0 - TRANSVERSE
Objectifs :
- Comprendre la gestion de projet, et l’appliquer à des cas concrets.
- Maitriser les techniques de communication et de management.
- Gérer son stress, résoudre les conflits et travailler en équipe.
Séquence 21 : La gestion de projet ou d’activité (gestion financière et comptable -notion de finance d’entreprise - et assurance)
- Les spécificités des projets informatiques
- Les méthodes de planification des projets
- Les outils de planification
- Le dispositif de pilotage
- Le manuel de survie du chef de projet
- Synthèse des bonnes pratiques
Séquence 22 : Les techniques de communication et de management
- Introduction à la notion de communication
- Gestion efficace des moyens, ressources et délais du projet
- Les clés de la réussite de sa communication
Séquence 23 : Les techniques pour résoudre des situations de tension
- Introduction à la notion de conflit
- Types de conflit et leurs caractéristiques
- Résolution efficacement des conflits : attitudes, analyse et modes de résolution
- Les étapes de résolution des conflits en pratique : du repérage des enjeux à la résolution de conflits.
EVALUATION FINALE
L’évaluation finale porte sur la rédaction et la soutenance par le stagiaire devant un jury délégué de professionnels du métier habilité par le CPNEFP, d’une note de synthèse qui porte sur l’analyse globale de gestion des risques et de la sécurité à partir d’une situation d’entreprise fictive.
Si vous souhaitez être recontacté, merci de compléter le
Pour quels métiers ?
- Manager de la Sécurité et des Risques de l’Information
Inscription
Pré-requis
Le CQP MSRI s’adresse aux candidats :
- Titulaires d’un diplôme ou d’un titre de niveau I (bac + 5) selon la nomenclature des niveaux de formation de 1969 (ou expérience équivalente) issus d’un cursus scientifique, de commerce, de management ou juridique
- Et avec une expérience professionnelle de 5 années minimum, soit dans le domaine de la Sécurité, soit de la Production ou des études informatiques, soit d’une Direction des risques / de la qualité, ou encore ayant un poste de management au sein d’une Direction métier.
Les candidats doivent également justifier d’une maîtrise de l’anglais en contexte professionnel. Ce niveau peut être apprécié par l’apport d’une attestation de type TOIEC (entre 605 et 780) ou équivalent ou bien par la réalisation d’un test d’entrée.
Modalité d'inscription
Dossier de candidature et entretien
Date des sessions
Intervenants dans la formation
Méthodes pédagogiques
- Présentation, selon une approche participative des principales thématiques abordées, illustrée par des exemples et/ou des supports visuels.
- Acquisition des capacités et des compétences par la réalisation des exercices pratiques, des jeux de rôle et des études de cas en petits groupes qui portent sur des situations contextualisées.
- Mise en œuvre d’une pédagogie inversée dans laquelle le stagiaire est acteur et auteur de sa formation.
- Elaboration collective des synthèses sur chaque thématique qui seront annexées aux supports pédagogiques, stockées et accessibles sur la plateforme MOODLE.
Moyens pédagogiques
- La plateforme Pentest : plateforme de test d’intrusion et d’audit technique dans le domaine de la Cybersécurité technique.
- Une salle configurée en « Ilots » équipée d’une connexion WIFI.
- Matériels mobiles en prêt (PC, tablette)
- Une plateforme MOODLE (e-learning) avec accès dédiés à chaque formateur et chaque stagiaire
- Les outils Google pour lesquels ITESCIA détient le certificat
- Une formation éligible au Compte Personnel de Formation
- Un diplôme post Bac+5 reconnu par l’Etat
- Un dispositif qui permet de se former, tout en restant en activité professionnelle dans son entreprise
- Des formateurs-consultants experts dans leur domaine d’intervention
- Un CQP en prise directe avec l’actualité professionnelle (cas réels d’entreprise) porté par la branche du numérique, ingénierie, conseil et études et métiers de l’événement
Contacts
Plus d’infos
Le Manager de la Sécurité et des Risques de l’Information (MSRI) est en charge de la définition de la politique de gestion des risques liés à l'information dans l'entreprise, du déploiement et de l'animation du dispositif de gestion des risques. Ce dispositif intègre des actions anticipatrices de pesée des vulnérabilités et des actions correctrices de défaut de sécurité de l'information.
Il est le garant de la mise en place de bonnes pratiques au sein de l’organisation dans un souci permanent de sensibilisation du personnel (interne ou de l’entreprise élargie) aux risques.
- Le diplôme est obtenu lorsque tous les modules et la note de synthèse sont validés.
- Il est possible de ne suivre qu’un ou plusieurs modules et d’obtenir le certificat de compétences correspondant
- Le bénéfice de chaque bloc de compétences validé peut être conservé pendant 5 ans, en vue de l’obtention du diplôme.
- Le volume de formation est de 364 heures (1 semaine par mois en présentiel).
ITESCIA choisie par le FAFIEC pour former au CQP
Alors que la cybercriminalité ne cesse de croître, paralysant de nombreuses grandes entreprises victimes de rançongiciels, ITESCIA a été choisie par le FAFIEC pour proposer une nouvelle formation.