MSRI

CQP Manager de la Sécurité et des Risques de l’Information

Un CQP porté par la branche du numérique, en prise directe avec l’actualité professionnelle

Durée

  • 9 mois en part-time (1 semaine de cours par mois)

Coût

  • 9180 €

Type de formation

  • longue

Code de formation

  • Code CPF: 200652

Programme

Objectifs

Les objectifs de ce diplôme post Bac +5 sont multiples : 

  • Définir et organiser la gouvernance des risques liés à l’information au sein de l’entreprise et de l’entreprise élargie
  • Définir et piloter le dispositif de maîtrise des risques liés à l’information
  • Définir et superviser le dispositif de gestion des incidents et des crises
  • Evaluer régulièrement le dispositif de gestion des risques liés à l’information
  • Diffuser la culture de prévention des risques liés à l’information

Contenu

BLOC 1

Définir et organiser la gouvernance des risques liés à l’information au sein de l’entreprise et de l’entreprise élargie

 

UNITÉ 1 : LES ENJEUX DE LA SECURITE ET DES RISQUES DE L’INFORMATION

 

Objectifs :

  • Comprendre les enjeux de la sécurité et des risques de l’information, et définir une politique alignée avec ces enjeux.
  • Disposer d’un panorama des référentiels, normes et méthodes de gestion des risques.
  • Appréhender les principaux risques liés à l’information.

 

  • Approche générale sur la définition des enjeux et objectifs en matière de sécurité de l’information
  • Les enjeux métiers : base pour une bonne maitrise des risques
  • Cycle de vie de l’information digitale : de l’indentification  du patrimoine informationnel à la classification de l’information digitale.
  • Maîtrise de l’information digitale : quels sont les différents moyens ?
  • Ouverture sur les aspects réglementaires et les risques de l’information digitale
  • Approche générale sur les conformités légales, réglementaire et contractuelles
  • SSI et responsabilités : la typologie des responsabilités
  • SSI et loi Informatique et Libertés
  • Aspects légaux et réglementaires
  • Acteurs et instances officielles de la sécurité de l’information
  • Approche générale sur les référentiels, modèles et normes en matière de management et gouvernance  du SIR
  • Présentation des référentiels de gestion des systèmes d’information
  • Normes et méthodes de management des risques
  • ISO 27000 : Système de management de la sécurité de l’information
  • L’approche SMSI basée sur le risque
  • Principes généraux sur les notions de vulnérabilité, de menaces et des risques
  • Panorama des menaces et des vulnérabilités : typologie et caractéristiques
  • Risques liés au développement des NTIC et aux systèmes spécifiques
  • Exemples de moyens et outils de protection
  • Approches méthodologiques
  • Mise en place d’un SMSI : Les normes ISO 2700x
  • Démarche de sécurité : tableaux de  bord et indicateurs
  • Démarche préconisée : de l’indentification du périmètre au plan d’amélioration
  • Outils d’analyse des risques

 

UNITÉ 2 : LA GOUVERNANCE DE LA SECURITE ET DES RISQUES DE L’INFORMATION

Objectifs :

  • Comprendre les métiers de la filière sécurité et risques liés à l’information.
  • Établir et mettre en œuvre un modèle de gestion et d’amélioration continue de la sécurité et des risques liés à l’information où les rôles et les responsabilités sont clairement attribués à tous les niveaux de l’organisation.
  • Approche organisationnelle de la SSI
  • La sécurité des SI : Les acteurs et leur positionnement
  • Les instances de contrôle et de maitrise des risques
  • Métiers de la sécurité de l’information
  • Métiers de l’audit et du contrôle interne
  • Organisation interne de la gouvernance des risques
  • Fonctions et rôles du RSSI
  • Organisation de la filière SSI
  • Activités et processus SSI
  • Organisation opérationnelle de la SSI
  • Les 14 domaines de la SSI : Etude détaillée, exemples de mesures, documents et politiques thématiques
  • ISO 27002 code de bonnes pratiques pour le management de la SSI
  • Cadre de management du risque conforme à l’ISO 31000
  • Méthodologies d’appréciation du risque
  • Activités d’un processus de management des risques

 

BLOC 2

Définir et piloter le dispositif de maîtrise des risques liés à l’information

 

UNITÉ 3 : LA GESTION DE LA SECURITE ET DES RISQUES LIES A L’INFORMATION

Objectifs :

  • Identifier les risques liés à l’information, les évaluer et disposer d’une cartographie.
  • Définir un plan de traitement des risques, le mettre en œuvre et le suivre.
  • Approche générale sur la gestion et le management du risque
  • Gestion des actifs : concepts de base
  • Processus de gestion des risques : du contexte à l’évaluation du risque
  • Méthode EBIOS : outillage pour l’appréciation du risque
  • Introduction sur la notion de traitement du risque
  • Différentes stratégies de traitement du risque
  • Méthode EBIOS : Traitement du risque
  • Mise en place d’un processus d’amélioration continue

 

BLOC 3 

Définir et superviser le dispositif de gestion des incidents et des crises

 

UNITE N°4 : LA GESTION DES INCIDENTS ET LA GESTION DE CRISE

Objectifs :

  • Comprendre le processus de gestion des incidents, et les principes d’escalade associés.
  • Comprendre le processus de gestion de crise, et les dispositifs à mettre en œuvre.
  • Approche terminologique liée à la gestion des incidents
  • Processus de gestion des incidents (acteurs et activités du processus, indicateurs, tableaux de bord, RACI…)
  • Procédure de gestion des incidents de sécurité
  • Méthodologie organisationnelle (CSIRT, CERT)
  • Approche terminologique liée à la gestion des crises
  • Gestion de crise : organisation et processus
  • La gestion de crise en pratique : les différentes phases
  • Rappel des fondamentaux sur la gestion de la sécurité et des risques liés à l’information
  • Démarche d’application d’une mesure corrective
  • Plan de continuité d’activité : de la stratégie globale aux tests du PCA et MCO
  • Fondamentaux liés à la communication de crise
  • Technique de communication de crise
  • Principes de la communication de crise
  • Organisation en situation de crise
  • Règles de la communication interne et externe

 

BLOC 4

Evaluer régulièrement le dispositif de gestion des risques liés à l’information

 

UNITE N°5 : LE CONTROLE INTERNE ET L’AMELIORATION

Objectifs :

  • Mettre en place des mécanismes de contrôle interne et assurer le pilotage des risques liés à l’information
  • Introduction sur la notion du contrôle et d’audit interne
  • Présentation de la norme ISO 19011
  • Contrôle et Audit interne : rôles, processus
  • Contrôle permanent SSI : day to day, indicateurs, tableaux de bord, PTR
  • Evaluation des performances : LE CHECK
  • Rappels : démarche PDCA, ACT de l’ISO 27001
  • Les mesures d’amélioration : de l’identification des non-conformités au suivi de la mise en œuvre des mesures
  • Exemple d’action d’amélioration : intégration de la sécurité dans les projets
  • Introduction sur la notion de référentiel de pilotage
  • Référentiel de pilotage des risques de l’information
  • Outils de pilotage

 

BLOC 5

Diffuser la culture de prévention des risques liés à l’information

 

UNITE 6 : LA DIFFUSION DE LA CULTURE DE PREVENTION DES RISQUES

Objectifs :

  • Structurer et organiser la culture de prévention des risques liés à l’information
  • Enjeux de la culture de prévention des risques
  • Démarche de prévention des risques
  • Stratégie et plans de communication
  • Socle documentaire de la prévention
  • La jurisprudence « NIKON » parachevée
  • La charte, à la fois outil de régulation interne et d’information
  • Sensibilisation des acteurs

 

COMPETENCES TRANSVERSES A L’ENSEMBLE DES BLOCS

Manager la gestion des risques et de la sécurité liés à l’information au sein de l’entreprise et dans l’entreprise élargie

UNITE 0 - TRANSVERSE

Objectifs :

  • Comprendre la gestion de projet, et l’appliquer à des cas concrets.
  • Maitriser les techniques de communication et de management.
  • Gérer son stress, résoudre les conflits et travailler en équipe.
  • Les spécificités des projets informatiques
  • Les méthodes de planification des projets
  • Les outils de planification
  • Le dispositif de pilotage
  • Le manuel de survie du chef de projet
  • Synthèse des bonnes pratiques
  • Introduction à la notion de communication
  • Gestion efficace des moyens, ressources et délais du projet
  • Les clés de la réussite de sa communication
  • Introduction à la notion de conflit
  • Types de conflit et leurs caractéristiques
  • Résolution efficacement des conflits : attitudes, analyse et modes de résolution
  • Les étapes de résolution des conflits en pratique : du repérage des enjeux à la résolution de conflits.

 

EVALUATION FINALE

L’évaluation finale porte sur  la rédaction  et la soutenance par le stagiaire devant un jury délégué de professionnels du métier  habilité par le CPNEFP, d’une note de synthèse qui porte sur l’analyse globale de gestion des risques et de la sécurité à partir d’une situation d’entreprise fictive.

Pour quels métiers ?

  • Manager de la Sécurité et des Risques de l’Information

Inscription

Pré-requis

Le CQP MSRI s’adresse aux candidats :

  • Titulaires d’un diplôme ou d’un titre de niveau I (bac + 5) selon la nomenclature des niveaux de formation de 1969 (ou expérience équivalente) issus d’un cursus scientifique, de commerce, de management ou juridique
  • Et avec une expérience professionnelle de 5 années minimum, soit dans le domaine de la Sécurité, soit de la Production ou des études informatiques, soit d’une Direction des risques / de la qualité, ou encore ayant un poste de management au sein d’une Direction métier.

 

Les candidats doivent également justifier d’une maîtrise de l’anglais en contexte professionnel. Ce niveau peut être apprécié par l’apport d’une attestation de type TOIEC (entre 605 et 780) ou équivalent ou bien par la réalisation d’un test d’entrée.

Modalité d'inscription

Dossier de candidature et entretien

Date des sessions

Du 02/10/2017 au 29/06/2018

Méthodes pédagogiques

  • Présentation, selon une approche participative des principales thématiques abordées, illustrée par des exemples et/ou des supports visuels.
  • Acquisition des capacités et des compétences par la réalisation des exercices pratiques, des jeux de rôle et des études de cas  en petits groupes qui portent sur des situations contextualisées.
  • Mise en œuvre d’une pédagogie inversée dans laquelle le stagiaire est acteur et auteur de sa formation.
  • Elaboration collective des synthèses sur chaque thématique qui seront annexées aux supports pédagogiques, stockées  et accessibles sur la plateforme MOODLE.

 

Moyens pédagogiques

  • La plateforme Pentest : plateforme de test d’intrusion et d’audit technique dans le domaine de la Cybersécurité technique.
  • Une salle configurée en « Ilots » équipée d’une connexion WIFI.
  • Matériels mobiles en prêt (PC, tablette)
  • Une plateforme MOODLE (e-learning) avec accès dédiés à chaque formateur et chaque stagiaire
  • Les outils Google pour lesquels ITESCIA détient le certificat
LES +
  • Une formation éligible au Compte Personnel de Formation
  • Un diplôme post Bac+5 reconnu par l’Etat
  • Un dispositif qui permet de se former, tout en restant en activité professionnelle dans son entreprise
  • Des formateurs-consultants experts dans leur domaine d’intervention
  • Un CQP en prise directe avec l’actualité professionnelle (cas réels d’entreprise) porté par la branche du numérique, ingénierie, conseil et études et métiers de l’événement

Contacts

picto-diplome-pedago.png
Andréa Fallourd
Conseillère en formation continue

Plus d’infos

Le Manager de la Sécurité et des Risques de l’Information (MSRI) est en charge de la définition de la politique de gestion des risques liés à l'information dans l'entreprise, du déploiement et de l'animation du dispositif de gestion des risques. Ce dispositif intègre des actions anticipatrices de pesée des vulnérabilités et des actions correctrices de défaut de sécurité de l'information.
Il est le garant de la mise en place de bonnes pratiques au sein de l’organisation dans un souci permanent de sensibilisation du personnel (interne ou de l’entreprise élargie) aux risques.

 

  • Le diplôme est obtenu lorsque tous les modules et la note de synthèse sont validés.
  • Il est possible de ne suivre qu’un ou plusieurs modules et d’obtenir le certificat de compétences correspondant
  • Le bénéfice de chaque bloc de compétences validé peut être conservé pendant 5 ans, en vue de l’obtention du diplôme.
  • Le volume de formation est de 364 heures (1 semaine par mois en présentiel).