Formation ISO 27001/27003 : Piloter un SMSI

Introduction à la cybersécurité et aux normes ISO 27000

• Comprendre le paysage actuel des cybermenaces
• Panorama des acteurs de la menace & principaux types de cyberattaques
• Pourquoi un cadre normatif international ?
• Présentation générale de la famille des normes ISO 27000

La cybersécurité en entreprise et les SMSI

• Prendre connaissance des enjeux majeurs pour les entreprises et secteurs critiques
• Identification des actifs critiques (systèmes, réseaux, données)
• Introduction au concept de SMSI (Système de Management de la Sécurité de l’Information)
• Appréhender le rôle de l’ISO 27001 dans une stratégie globale de cybersécurité

ISO 27001 : prendre connaissance de ses exigences et de sa structure

• Présentation des principes et objectifs de la norme
• Les 10 chapitres de l’ISO 27001 (contexte, leadership, planification, support, opérations, évaluation et amélioration)
• Synthèse de l’annexe A et des 93 mesures de sécurité (contrôles)
• Focus sur la gestion des risques de sécurité de l’information

Contexte réglementaire et articulation ISO / Réglementations (DORA, NIS2, RGPD)

• Comprendre de quelle manière se positionne l’ISO 27001 vis-à-vis des exigences européennes
• Comment ISO 27001 facilite la conformité DORA & NIS2
• Identifier les différences entre le cadre normatif (ISO) et réglementaire (UE)

ISO 27003 : guide de mise en œuvre d’un SMSI

• Découvrir les objectifs et utilité de la norme ISO 27003
• Assimiler les grandes étapes de mise en place d’un SMSI
• Exemples concrets de planification et d’organisation du projet
• Aligner gestion de projet et gouvernance d’entreprise : les bonnes pratiques

Gérer les incidents et mettre en place une politique d’amélioration continue

• Définir des processus de gestion des incidents adaptés et conformes à son entreprise
• Anticiper et gérer la communication de crise
• Assimiler les rôles et responsabilités des parties prenantes
• Structurer les efforts d’amélioration continue via le PDCA
• Plan, Do, Check, Act

Elaborer une stratégie d’atténuation des risques alignée ISO 27001

• Méthodologie d’évaluation et de traitement des risques (identification, analyse, traitement, suivi)
• Définition d’objectifs de sécurité mesurables
• Faire le choix des mesures de sécurité adaptées (Annexe A)

Intégration avec d’autres référentiels et cadres

• Comparaison rapide avec le NIST Cybersecurity Framework
• S’assurer de la complémentarité ISO 27001 / ISO 22301 (continuité d’activité)