Réf : 280

Les fondamentaux des risques des systèmes d'informations

1 jour

Dates à définir

Prix en présentiel

861 €ht - Repas inclus / -20% en distanciel (non cumulable)

Objectifs

  • Acquérir une culture informatique au travers du concept de système d’information et de ses différentes composantes.
  • Comprendre les spécificités du système d’information (SI) bancaire.
  • Identifier, investiguer et évaluer les risques propres au système d’information.
  • Acquérir la capacité opérationnelle d’intégrer ces risques dans la réalisation des contrôles.

Animateur(s)

Teddy RAMA

Domaines d’animation et conception :
  • Risque et sécurité des si.
  • Audit.
  • Contrôle interne.

Programme

1RISQUES SPÉCIFIQUES A LA SÉCURITÉ DE L’INFORMATION ET LES DISPOSITIFS ASSOCIES

Les taches a réaliser pour identifier les risques IT.

Capacité, tolérance et appétit du risque.

Culture du risque et communication.

Les éléments du risques (facteurs, actifs, menaces, vulnérabilités…).

Concepts et principes de la sécurité de l’information :

  • Confidentialité, Intégrité et disponibilité.

Méthodes d’identification du risque :

  • Exemple d’EBIOS.

Les scénarios du risque :

  • Acteur, Type de menace, Evénement, Actif/Ressource, Eléments temporels.
  • Approche bottom up et top down.

Les techniques d’évaluation du risque :

  • Bow tie analysis, Business Impact Analysis, Analyse.

Analyse des scenarios de risque (organisation, politique, procédure)

  • Points importants à considérer pour la 3ème ligne de défense (Audit).

Changement dans l’environnement des risques IT.

Méthodologie d’analyse de risque :

  • Analyse quantitative.
  • Analyse qualitative.
  • Analyse semi-quantitative.

Documenter le risque IT dans un registre.

La politique générale de la sécurité informatique.

Alignement des risques aux objectifs opérationnels

Les options de réponse aux risques IT (Accepter, Traiter, Transférer, Eviter)

Les techniques d’analyse

La conception des contrôles IT et son implémentation :

  • Démarche et périmètre du contrôle SI de l’entreprise.
  • Typologie des points de contrôles : contrôles métiers, contrôles généraux informatiques, contrôles applicatifs.
  • Le modèle COSO pour les contrôles informatiques.

Les typologies de risques (inhérent, résiduel, actuels) :

  • Exemples de contrôles préventifs, défectifs et correctifs.

Les objectifs de contrôles (Processus, Sécurité IT, management des données, projets, cycle de vie des applications, opérations…)

L’impact des nouvelles technologies :

  • Les contrôles et bons réflexes – 1ère ligne de défense (exemple : salarié, responsable opérationnel).
  • Les contrôles et bons réflexes – 2ère ligne de défense (exemple : RSSI, Manager).
  • Locations financières (normes françaises et IFRS 16).
  • Autres.

Le plan de continuité d’activité.

Key Risk Indicator (KRI) – indicateurs clés des risques.

Key Performance Indicator (KPI) – indicateurs clés de performance.

Extraction et collecte des données pour la maitrise des risques IT.

Typologie d’évaluation des contrôles (audit, test de vulnérabilités, test d’intrusion, maitrise des sous-traitants et partenaires).

Analyse des résultats de contrôles.

2SYNTHÈSE ET CONCLUSION

Synthèse de la journée.

Évaluation de la formation.

Public et pré-requis

Participants

  • Responsables des risques opérationnels.
  • Correspondants risques opérationnels.
  • Fonction Audit-inspection et Contrôle permanent.
  • Responsables informatiques.

Supports et moyens pédagogiques

  • Documentation en power point : Elle a été adaptée pour être utilisée en distanciel :
    • Plus d’exemples ;
    • Plus d’illustrations.
  • Alternance d’illustrations et d’exercices pratiques, d’exercices sous Excel.
  • QCU, Vrai/Faux, questions/réponses pour vérifier, réviser et confirmer les acquis.

Connaissances requises

  • Aucune connaissance particulière n’est exigée.
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.