Thèmes > Gestion des risques et Bâle II
Formation: Risques des systèmes d'information
Homologation CNCC 11F0048
Objectif général
- Acquérir une culture informatique au travers du concept de système d’information et de ses différentes composantes.
- Comprendre les spécificités du SI bancaire.
- Identifier, investiguer et évaluer les risques propres au système d’information
- Acquérir la capacité opérationnelle d’intégrer ces risques dans la réalisation des contrôles.
Supports et moyens pédagogiques
- Documentation en power point.
- Alternance d’illustrations et d’exercices pratiques.
- QCU, tests, questions/réponses pour vérifier, réviser et confirmer les acquis.
Participants
- Responsables des risques opérationnels.
- Correspondants risques opérationnels.
- Fonction Audit et Contrôle permanent et périodique.
- Responsables informatique.
Connaissances requises
- Aucune connaissance particulière n’est exigée.
| Durée: | 1 jour |
| Référence: | 419 |
| Prix: | 914.94 € TTC (Repas inclus) |
| Conception: | Alain LE CORRE |
| Homologation CNCC | |
| Début: | 22/05/2012 |
| Fin: | 22/05/2012 |
| Animateurs: | Alain LE CORRE |
| Lieu: | Paris |
| Début: | 24/10/2012 |
| Fin: | 24/10/2012 |
| Animateurs: | Alain LE CORRE |
| Lieu: | Paris |
Programme:
Risques des systèmes d’information
1. Le concept de système d’information et de ses différentes composantes
- La gouvernance du SI et les bonnes pratiques associés (ITIL Cobit).
- La démarche stratégique du SI.
- La mise en place d’un schéma directeur.
- Le plan d’urbanisation.
- Les principaux processus métier du SI.
- Rôle de la maîtrise d’ouvrage (MOA) et de la maîtrise d’oeuvre (MOE).
- Rôle du responsable micro et bureautique.
- Rôle du responsable réseau.
- Rôle du responsable système.
- Rôle du responsable sécurité, …
- Les architectures (1 tiers, 2 tiers, 3 tiers, n-tiers).
- Le client, les serveurs d’applications, le mode connecté et déconnecté.
- Les notions de contexte, transaction, middleware, composants, objets.
- Le découpage des architectures.
2. Risques spécifiques aux systèmes d’information et dispositifs de maîtrise associés
- La notion de risque (potentialité, impact, gravité).
- Les types de risques SI (accident, erreur, malveillance, vols, destruction de données ou de matériel, captations d’information, indisponibilité du système, etc.).
- La classification : Disponibilité, Intégrité, Confidentialité,
- Preuve et Auditabilité.
- La gestion du risque (prévention, protection, report de risque, externalisation).
- Les acteurs incontournables dans la gestion des risques SI.
- Les réglementations (Bâle II, Loi de Sécurité Financière, CRBF 2004-02).
- Les obligations légales vis-à-vis des données, du système et des personnes.
- Les enjeux juridiques liés aux SI.
- L’identification et la classification des risques.
- Les risques opérationnels, physiques/logiques.
- Les bases de connaissances.
- Les méthodes en activité (EBIOS, MEHARI, ISO 27005...) ; avantages/limites méthode par méthode.
Cahier d’exercices :
- Cas pratique : à partir d’un cas concret de mission d’audit, chaque participant identifie la démarche à adopter, évalue les risques et positionne les principales recommandations associées.
- La gestion des accès aux ressources du SI (habilitation, authentification…).
- La sécurité des informations et des systèmes du SI.
- La sauvegarde du SI.
- La gestion des incidents du SI.
- Le contrôle de la bonne utilisation du système d’information par les salariés.
- Le recours à la sous-traitance.
- Le plan de communication et de sensibilisation.
- La gestion des actifs et des biens du SI.
- La sécurité physique et environnementale du SI.
- La gestion et l’exploitation du SI.
- La maintenance du SI.
- Les plans de secours, de continuité, de reprise et de gestion de crise du SI.
- La professionnalisation de la filière SI.
Cahier d’exercices
- Cas pratique : à partir d’un cas concret, intégration des risques dans la réalisation des contrôles.
3. Synthèse et conclusion
- Synthèse de la journée.
- Quiz et correction orale.
- Évaluation de la formation.
