CATALOGUE DE FORMATION SECURITE 2020 - CATALOGUE DE FORMATION SECURITE 2020 - Sodifrance
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
CATALOGUE DE FORMATION SECURITE
2020.
CATALOGUE DE FORMATION
SECURITE 2020
0
CATALOGUE DE FORMATION SECURITE 2020
SODIFRANCE INSTITUT
VOTRE PARTENAIRE FORMATION
Sodifrance Institut est spécialisé dans les formations sur les
technologies de l’information. Grâce aux 1 300 consultants
et ingénieurs du Groupe, les formations bénéficient d’un
enrichissement permanent de leurs contenus et de retours
d'expériences.
Sodifrance Institut est un organisme de formation continue
déclaré auprès de l’Etat
N° de déclaration d’activité : 533 506 179 35
SIRET : 420 458 382 00017
NOTRE CENTRE DE FORMATION
Sodifrance Institut
Parc d’Activités « La Bretèche »
CS 26804
35768 Saint-Grégoire Cedex
Possibilité de faire les formations dans vos locaux ou dans les agences du Groupe Sodifrance.
NOS CATALOGUES DISPONIBLES
Langages et développement
Sécurité
Décisionnel
Infra-Cloud
Méthodes
Systèmes Z-Os
INFORMATIONS ET RESERVATION
Sodifrance Institut
formation@sodifrance.fr
: 02 99 23 46 51
1
CATALOGUE DE FORMATION SECURITE 2020
est enregistré et datadocké, la base de données
référençant les organismes de formation qui déclarent répondre aux 6 critères de qualité prévus
par le décret du 30 juin 2015 relatif aux actions de la formation professionnelle continue.
EN SAVOIR PLUS…
Laurent Lechat - Responsable Instituts de Formation
Tel : 02.99.23.46.63 - llechat@sodifrance.fr
Fabienne Bouvet - Assistante commerciale
Tel : 02.99.23.46.51 – fbouvet@sodifrance.fr
Pascale Briand - Assistante formation
Tel : 02.99.23.30.20 – pbriand@sodifrance.fr
2
CATALOGUE DE FORMATION SECURITE 2020
METHODES ET MOYENS PEDAGOGIQUES
Nos formations sont exclusivement en mode présentiel.
3
CATALOGUE DE FORMATION SECURITE 2020
L’OFFRE SÉCURITÉ
La sécurité de l’information est un champ d’intervention vaste et complexe qui nécessite de
s’appuyer sur des normes et des méthodologies éprouvées pour améliorer les chances de
réussites des projets.
L’ensemble de ces formations est délivré par des formateurs d’expérience apportant leurs
retours terrain.
Sodifrance propose des formations réparties en deux filières. La filière audit et la filière
mise en œuvre.
Vous trouverez ci-dessous nos principales formations, n’hésitez pas à vous rapprocher de
nous si vous souhaitez suivre une autre formation non énumérée ci-dessous.
Toutes nos formations sont aussi disponibles en intra entreprise, nous consulter pour
plus d’informations.
4
CATALOGUE DE FORMATION SECURITE 2020
L’EQUIPE SECURITE
Hervé TROALIC
Responsable du pôle SSI
Avec plus de 20 ans d’expérience dans le domaine de la Sécurité des SI, Hervé Troalic a commencé sa
carrière comme expert en Sécurité des SI pour la DGA, puis comme expert en tests d’intrusions. Par la suite,
il a piloté les activités de sécurité chez un « pure player » avant de diriger l’activité de conseil sécurité
d’Orange. Aujourd’hui, Directeur de l’activité conseil et sécurité chez SODIFRANCE, il intervient comme
expert sur divers domaines comme les analyses de risques, les politiques de sécurité ou la réponse à incident.
Il exerce régulièrement dans la santé pour y apporter son expertise dans le domaine des SIH sur des projets
comme Hôpital Numérique ou l’agrément d’Hébergeur de Données de Santé à Caractère Personnel.
Pierre CORBEL
Consultant formateur en sécurité
Certifié CIA, CISA, CISM, ISO 27001 Lead Implementer et Lead Auditor, Pierre Corbel a débuté sa carrière en
développant des formations sur la norme ISO 27001 et les analyses de risques. Il a ensuite travaillé auprès
d’organisations du secteur financier en France et au Canada tant sur les activités de contrôle et d’audit que
de mise en œuvre. Aujourd’hui, consultant sénior en sécurité chez SODIFRANCE, il accompagne des clients
de secteurs variés (santé, industrie, assurance…) dans l’évaluation et l’amélioration de leur sécurité.
Il a participé à la mise en œuvre du Système de Management de la Sécurité de l’Information de SODIFRANCE
(certifié ISO/IEC 27001 :2013) en tant que chef de projet.
Matthieu GRALL
Responsable de la sécurité des systèmes d’information (RSSI) et le délégué à la protection des données
(DPO) du groupe SODIFRANCE
Il soutient également ANTEO Trust & Security dans ses activités de conseil et de représentation.
Il est aussi Président du Club EBIOS, vice-président de la Commission nationale de sécurité des systèmes
d’information de l’Association française de normalisation (AFNOR), membre du Club des experts de la
sécurité de l'information et du numérique (CESIN) et de l'Association des réservistes du chiffre et de la
sécurité de l'information (ARCSI).
Après des études d'informatique et de sciences cognitives, Matthieu GRALL a travaillé dix ans au bureau
conseil de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et 9 ans au service de
l’expertise technologique de la Commission nationale de l’informatique et des libertés (CNIL).
5
CATALOGUE DE FORMATION SECURITE 2020
NOS PLANS DE COURS
FILIERE AUDIT ....................................................................................
ISO 27001 LEAD AUDITOR ACQUERIR LES CONNAISSANCES POUR AUDITER UN SMSI ... 8
PASSCRACKING APPRENDRE A TROUVER UN MAXIMUM DE MOTS DE PASSE EN UN
MINIMUM DE TEMPS. .................................................................................. 1
FILIERE MISE EN ŒUVRE ........................................................................
EBIOS RISK MANAGER SAVOIR REALISER OU PILOTER UNE ETUDE DES RISQUES ........ 3
SECURITE DES APPLICATIONS WEB ................................................................ 4
SECURISER ET STOCKER VOS MOTS DE PASSE ................................................... 1
ISO 27001 FOUNDATION DECOUVRIR ET COMPRENDRE LES ATTENDUS DE LA NORME
ISO 27001 .............................................................................................. 2
ISO 27001 PRACTITIONNER ACQUERIR LES COMPETENCES POUR METTRE EN OEUVRE
UN SMSI ................................................................................................. 4
ISO 27001 LEAD IMPLEMENTER ACQUERIR LES COMPETENCES POUR METTRE EN
OEUVRE UN SMSI ...................................................................................... 6
SENSIBILISER A LA SECURITE INFORMATIQUE ................................................... 1
CYBERSECURITY PRACTITIONER ACQUERIR LES CONNAISSANCES POUR METTRE EN
OEUVRE UN PROGRAMME DE CYBERSECURITE .................................................. 1
DATA PROTECTION OFFICER ACQUERIR LES CONNAISSANCES POUR S’ASSURER DE LA
CONFORMITE AU RGPD ............................................................................... 1
CONDITIONS GENERALES ET BON DE COMMANDE .........................................
CONDITIONS GENERALES ............................................................................ 4
BON DE COMMANDE................................................................................... 1
6
CATALOGUE DE FORMATION SECURITE 2020
FILIERE AUDIT
7
CATALOGUE DE FORMATION SECURITE 2020
ISO 27001 LEAD AUDITOR
ACQUERIR LES CONNAISSANCES POUR AUDITER
UN SMSI
Grâce à des exemples et des exercices concrets, le stagiaire sera amené durant la formation
à appréhender l’ensemble des étapes d’un audit de SMSI en développant ses connaissances
et son savoir-faire en techniques d’audit, ainsi que ses capacités de responsable d’audit au
travers de la gestion d'équipe et de la communication avec l’audité.
OBJECTIFS
Comprendre les principes de fonctionnement d’un SMSI selon ISO 27001
Développer les aptitudes nécessaires pour mener à bien un audit ISO 27001 dans le
respect des exigences d’ISO 19011 et les spécifications de l’ISO 17021 et l’ISO 27006
Acquérir la compétence de gestion d’une équipe d’auditeurs de SMSI
Réussir l’examen de CERTI-TRUST™
Solliciter la qualification de Certified ISO 27001 Lead Auditor selon le niveau
d’expérience.
CONTENU PEDAGOGIQUE
Jour 1 : Le SMSI tel qu’exigé par la Jour 2 : Fonctionnement du SMSI
norme ISO/CEI 27001:2013 Gestion des opérations d’un SMSI
Système de Management de la Sécurité de Surveillance du SMSI (journalisation, audit et
l’Information – concepts de base revue de direction)
Principes fondamentaux de la sécurité de Évaluation de l’efficacité des opérations et
l’information gestion des métriques
Les clauses 4 à 10 de l’ISO 27001 et l’Annexe Actions correctives et amélioration continue
A d’ISO 27001 Processus de certification ISO 27001
Le contexte du SMSI au sein de l’entreprise et Présentation de la documentation nécessaire
son champ d’application aux opérations du SMSI (toolbox)
Aspects de leardership et engagement
managérial
Examen certifiant
Planification d’un SMSI (gestion des risques,
mesures de sécurité, applicabilité, etc.)
« ISO 27001 Foundation »
Support des opérations d’un SMSI (1h – 50 questions QCM à livre fermé)
(documentation, ressources, etc.)
8
CATALOGUE DE FORMATION SECURITE 2020
Jour 3 : Préparation et démarrage Jour 5 : Clôture et suivi de l’audit
de l’audit d’un SMSI Présentation des conclusions
Concepts de base, principes et critères Réunion de clôture
d’audit selon ISO 19011 Rédaction du rapport d’audit
Déroulement général d’un audit de SMSI Suites à l’audit du SMSI (plans d’action et
Audits interne et externe suivi de ceux-ci)
Les acteurs de l’audit Audits de surveillance et de suivi
Planification et mise en œuvre d’un Présentation et utilisation des outils de
programme d’audit reporting d’un audit (via étude de cas
pratique)
Activités préparatoires à l’audit
Gestion des relations avec l’audité avant et
pendant l’audit Examen certifiant
Documentation de l’audit « ISO 27001 Lead Auditor »
Audit documentaire (audit d’étape 1) (2h – 100 questions QCM à livre fermé)
Présentation et utilisation des outils de
préparation à un audit (via étude de cas)
Jour 4 : Réalisation de l’audit sur site
d’un SMSI
Préparation de l’audit sur site (audit d’étape
2)
Approche d’audit fondée sur la preuve et les
risques
Les différentes procédures d’audit
Création de plans de test d’audit
Exercices pratiques : simulations d’entretiens
et de collecte de preuve
Aspects liés aux rapports d’audit
Revue de qualité des constats d’audit et
préparation des conclusions
Présentation et utilisation des outils de
réalisation d’un audit (via étude de cas)
Public : Auditeurs internes, Auditeurs cherchant à réaliser et à mener des audits dans
les systèmes de sécurité d'informations, Gestionnaires de projets ou consultants
souhaitant maîtriser les audits des systèmes de sécurité d'informations, Managers
responsables de la gestion TI d'une entreprise ainsi que de la gestion des risques,
Membres d'une équipe de sécurité de l'information, Consultants en technologie de
l'information, Experts techniques voulant se préparer pour un poste en sécurité de
l'information.
Pour s’inscrire : Pré-requis : Une connaissance de base de la Sécurité de l’Information et de la norme
ISO 27001 est nécessaire pour participer à ce cours.
02 99 23 46 51 Méthodes et moyens pédagogiques : alternance théorie/pratique, 8 stagiaires
maximum
formation@sodifrance.fr
Durée : 4,5 jours – 31,5 heures + 3 heures d’examen
Evaluation des acquis : Cette formation est certifiante
9CATALOGUE DE FORMATION SECURITE 2020
PASSCRACKING
APPRENDRE A TROUVER UN MAXIMUM DE MOTS
DE PASSE EN UN MINIMUM DE TEMPS.
De la recherche de fuites à la récupération des mots de passe en clair, vous apprendrez à
trouver un maximum de mots de passe en un minimum de temps.
OBJECTIFS
Acquérir les bases et les bons réflexes en termes de passcracking
Trouver et casser des listes de mots de passe
Comprendre et utiliser au mieux hashcat et ses différentes attaques
CONTENU PEDAGOGIQUE
Généralités & Rappels Extraction de données depuis des
Stockage de mots de passe fuites
Cassage de mots de passe Fichier CSV
Bases du passcracking Fichier SQL
Méthodologie de la formation Fichier non structuré
Conseils généraux Avec les outils de John The Ripper
Attaque par dictionnaires et règles de PDF, zip, …
mutation Travaux Pratiques
Attaques par masques
Fuite simple francophone
Analyse des mots de passe
Fuite salée
Génération de wordlists, scrapping
Bcrypt
Veille, récupération de données
SQL, sel & fun.
Attaques avancées Free For All
Attaques hybrides
Combinaison(s)
Fingerprinting
Génération automatique de règles
Découverte des hashcat-utils
Public : Cette formation à la sécurité informatique s’adresse à toute personne
curieuse d’approfondir le sujet, notamment les pentesters, les développeurs et les
administrateurs informatiques.
Pré-requis : Aucun
Méthodes et moyens pédagogiques : alternance théorie/pratique, 8 stagiaires
Pour s’inscrire : maximum
Durée : 2 jours - 14 heures
02 99 23 46 51
formation@sodifrance.fr Evaluation des acquis : Cette formation ne fait pas l’objet d’une évaluation des
acquis.
1CATALOGUE DE FORMATION SECURITE 2020
FILIERE MISE EN ŒUVRE
2CATALOGUE DE FORMATION SECURITE 2020
EBIOS RISK MANAGER
SAVOIR REALISER OU PILOTER UNE ETUDE DES
RISQUES
Grâce à deux jours de formation active sur la méthode EBIOS Risk Manager de l’Agence
nationale de la sécurité des systèmes d’information (ANSSI), les stagiaires seront capables
d’utiliser la méthode et ses outils pour réaliser ou piloter une étude des risques.
Un premier jour leur permettra de comprendre les principales techniques de chaque atelier
de la méthode, à l’aide d’exercices et exemples concrets. Un deuxième jour leur permettra
d’appréhender la logique globale au travers d’une étude de cas en groupes.
OBJECTIFS
Comprendre les grands principes de mise en œuvre d’EBIOS Risk Manager.
Savoir appliquer la méthode au travers des 5 ateliers d’EBIOS Risk Manager.
Être capable d’adapter la logique globale à un cas spécifique.
CONTENU PEDAGOGIQUE
Jour 1 : EBIOS Risk Manager, atelier Atelier 3 – Scénarios stratégiques
o Savoir élaborer les scénarios
par atelier stratégiques.
Concepts de la gestion des risques et grands Atelier 4 – Scénarios opérationnels
principes de mise en œuvre de la méthode
o Savoir élaborer les scénarios
EBIOS Risk Manager
opérationnels.
Atelier 1 – Cadrage et socle de sécurité
Atelier 5 – Traitement du risque
o Savoir réunir les éléments nécessaires
o Savoir choisir, planifier et suivre la
pour adapter la gestion des risques au
mise en œuvre du traitement
contexte particulier du sujet de
approprié des risques.
l'étude.
Atelier 2 – Sources de risque Jour 2 : étude de cas complète
o Savoir identifier et analyser l'origine Vérification de la bonne compréhension des
des risques : les couples source de concepts
risques / objectifs visés. Application des connaissances acquises à une
étude de cas
Public RSSI, chefs de projet, consultants en gestion des risques.
Pré-requis : Connaissances de base en informatique et sécurité de
l’information.
Méthodes et moyens pédagogiques : 1 jour d’explications et exercices morcelés,
Pour s’inscrire : 1 jour d’étude de cas en groupes, 12 stagiaires maximum
02 99 23 46 51 Durée : 2 jours
formation@sodifrance.fr Evaluation des acquis : Cette formation ne fait pas l’objet d’une évaluation des
acquis.
3CATALOGUE DE FORMATION SECURITE 2020
SECURITE DES APPLICATIONS WEB
OBJECTIFS
Comprendre et appliquer les bonnes pratiques en termes de sécurité des applications.
Apporter les clés de la protection d'un service en ligne à partir d'exemples concrets
d'attaques et de ripostes adaptées.
CONTENU PEDAGOGIQUE
Introduction Les vulnérabilités des applications
Qu'est-ce que la sécurité ? Web
Présentation des éléments à sécuriser dans un Pourquoi les applications Web sont-elles plus
SI exposées ?
Constituants d'une application Web Les risques majeurs des applications Web
selon l'OWASP (Top Ten 2010).
Les éléments d'une application N-tiers.
Les attaques " Cross Site Scripting " ou XSS -
Le serveur frontal HTTP, son rôle et ses
Pourquoi sont-elles en pleine expansion ?
faiblesses.
Comment les éviter ?
Les risques intrinsèques de ces composants.
Les attaques en injection (Commandes
Les acteurs majeurs du marché. injection, SQL Injection, LDAP injection...).
Le protocole HTTP Les attaques sur les sessions (cookie
poisonning, session hijacking...).
Rappels TCP, HTTP, persistance et pipelining.
Exploitation de vulnérabilités sur le frontal
Les PDU GET, POST, PUT, DELETE, HEAD et
HTTP (ver Nimda, faille Unicode...).
TRACE.
Attaques sur les configurations standard
Champs de l'en-tête, codes de status 1xx à
(Default Password, Directory Transversal...).
5xx.
Redirection, hôte virtuel, proxy cache et Démonstration (20min) : Exploitation d'une faille
tunneling. sur le frontal http.
Les cookies, les attributs, les options Le firewall dans la protection
associées.
Les authentifications (Basic, Improved
d'application HTTP
Digest...). Le firewall réseau
L'accélération http, proxy, le Web balancing. Le firewall applicatif
Attaques protocolaires HTTP Request Combien de DMZ pour une architecture N-
Smuggling et HTTP Response splitting. Tiers.
Démonstration (10min) : Mise en œuvre de Limites des firewalls dans la protection d'une
l'analyseur réseau Wireshark. application Web.
Sécurisation des flux avec SSL /
TLS Rappels des techniques
cryptographiques utilisées dans SSL et TLS.
Gérer ses certificats serveurs, le standard
X509.
Qu'apporte le nouveau certificat X509 EV ?
Quelle autorité de certification choisir ?
Les techniques de capture et d'analyse des
flux SSL.
Les principales failles des certificats X509.
Utilisation d'un reverse proxy pour
l'accélération SSL.
L'intérêt des cartes crypto hardware HSM.
4CATALOGUE DE FORMATION SECURITE 2020
Apache HTTPd Attaque sur les numéros de session (session
hijacking) ou sur les cookies (cookie
La configuration par défaut, le risque majeur. poisoning).
Règles à respecter lors de l'installation d'un Attaque sur les authentifications HTTPS (fake
système d'exploitation. server, sslsniff, X509 certificate exploit...).
Comment configurer Apache pour une
sécurité optimale Démonstration (si temps nécessaire) : Attaque "
Man in the Middle " sur l'authentification d'un
Apache Tomcat utilisateur et vol de session (session hijacking).
La configuration par défaut, le risque majeur. Sécurité des Web Services REST
Règles à respecter lors de l'installation d'un
Sécurisation du transport avec SSL/TLS
système d'exploitation.
Sécurisation des messages : HMAC, Doseta,
Comment configurer Apache pour une
JWS…
sécurité optimale
Les menaces STRIDE : Spoofing, Tampering,
L'authentification des utilisateurs Repudiation, Information Disclosure, Denial of
L'authentification via HTTP : Basic Service, Elevation of privilege
Authentication et Digest Authentication ou Réduction des risques : chiffrement du
par l'application (HTML form). transport, AuthN, SSL/TLS, WAF/XML
L'authentification forte : certificat X509 Gateway, chiffrement des messages JSON
client, Token SecurID, ADN digital Bonnes pratiques de développement associées
Mobilegov...
Démonstration (si temps nécessaire) : Mise à
Autres techniques d'authentification par
l’épreuve des services REST lors d’attaque
logiciel : CAPTCHA, Keypass, etc.
inopinées
Attaque sur les mots de passe : sniffing, brute
force, phishing, keylogger.
Public Développeurs, ingénieur DevOps, administrateurs réseaux ou systèmes,
Webmaster, analyste test et validation ou chef de projet Web.
Pré-requis : Connaissances de base en systèmes, réseaux et d'Internet.
Pour s’inscrire : Méthodes et moyens pédagogiques : 1 poste/stagiaire, alternance
théorie/pratique, 8 stagiaires maximum
02 99 23 46 51
formation@sodifrance.fr Durée : 1 jour - 7 heures
Evaluation des acquis : Cette formation ne fait pas l’objet d’une évaluation des
acquis.
5CATALOGUE DE FORMATION SECURITE 2020
SECURISER ET STOCKER VOS MOTS DE PASSE
En se plaçant du point de vue d’un attaquant, vous comprendrez comment sécuriser et
stocker au mieux vos mots de passe dans les applications que vous réalisez et/ou utilisez.
OBJECTIFS
Connaître les enjeux et les risques
Apprendre les bonnes pratiques de l'utilisation des mots de passe dans les applications
informatiques.
CONTENU PEDAGOGIQUE
Généralités Recommandations concernant le
Stockage de mots de passe stockage
Cassage de mots de passe Mécanismes de protections
Méthodes utilisées par les attaquants Fonctions toutes faites
Attaque par dictionnaire Point sur l’utilisation actuelle
Règles de mutation Politique des mots de passe
Attaques par force brute Politiques sur la complexité
Analyse des mots de passe Politiques de renouvellement forcé
Autres attaques
A retenir
Récapitulatif des recommandations
Conseils concernant la politique
personnelle
Recommandations générales
Gestionnaires de mots de passe
Phrases de passe
Méthodes de mémorisation
Authentification forte
Public : Cette formation à la sécurité des mots de passe s’adresse à toute personne
curieuse d’approfondir le sujet, notamment les développeurs et les administrateurs
informatiques.
Pré-requis : Aucun
Pour s’inscrire : Méthodes et moyens pédagogiques : 1 poste/stagiaire, alternance
théorie/pratique, 8 stagiaires maximum
02 99 23 46 51
Durée : 1 jour - 7 heures
formation@sodifrance.fr
Evaluation des acquis : Cette formation ne fait pas l’objet d’une évaluation des
acquis.
1CATALOGUE DE FORMATION SECURITE 2020
ISO 27001 FOUNDATION
DECOUVRIR ET COMPRENDRE LES ATTENDUS DE
LA NORME ISO 27001
Grâce à des exemples et des exercices concrets, le stagiaire sera amené durant la formation
à mieux cerner les aspects de planification, mise en œuvre, contrôle et amélioration d’un
SMSI en prenant en considération les exigences formelles de la norme et en interprétant
adéquatement celles-ci dans une perspective de maîtrise des enjeux liés à la Sécurité de
l’Information de leur organisation.
OBJECTIFS
Comprendre les enjeux du management de la sécurité de l’information et sa mise en
œuvre.
Acquérir la terminologie et les connaissances de base nécessaires pour répondre aux
exigences de l’ISO 27001 dans le contexte d’une entreprise.
Découvrir les bonnes pratiques de management de la sécurité de l’information et son
articulation avec la gestion des risques.
Réussir l’examen de CERTI-TRUST™.
Solliciter la qualification de Certified ISO 27001 Foundation.
CONTENU PEDAGOGIQUE
Jour 1 : Le SMSI tel qu’exigé par la Planification d’un SMSI (gestion des risques,
mesures de sécurité, applicabilité, etc.)
norme ISO/CEI 27001:2013 Support des opérations d’un SMSI
Système de Management de la Sécurité de (documentation, ressources, etc.)
l’Information – concepts de base
Jour 2 : Fonctionnement du SMSI
Principes fondamentaux de la sécurité de
l’information Gestion des opérations d’un SMSI
Les clauses 4 à 10 de l’ISO 27001 et l’Annexe A Surveillance du SMSI (journalisation, audit et
d’ISO 27001 revue de direction)
Le contexte du SMSI au sein de l’entreprise et
son champ d’application
Aspects de leardership et engagement
managérial
2CATALOGUE DE FORMATION SECURITE 2020
Évaluation de l’efficacité des opérations et
gestion des métriques
Examen certifiant
Actions correctives et amélioration continue
Processus de certification ISO 27001
« ISO 27001 Foundation »
Présentation de la documentation nécessaire (1h – 50 questions QCM à livre fermé)
aux opérations du SMSI (toolbox)
Public : Consultants en sécurité, Gestionnaires de risques, Responsables du traitement des
données en entreprise, Chefs de projets ou consultants souhaitant maîtriser les concepts
associés au SMSI dans une organisation, Dirigeants d'une entreprise souhaitant se familiariser
avec les aspects de Sécurité de l’Information, Membres d'une équipe projet en sécurité de
l'information, Opérateurs en technologie de l'information, Membre du personnel d’une
organisation voulant se préparer pour un poste en sécurité de l'information.
Pour s’inscrire : Pré-requis : Aucun pré-requis particulier n’est attendu pour la participation à cette
formation.
02 99 23 46 51
Méthodes et moyens pédagogiques : alternance théorie/pratique, 8 stagiaires maximum
formation@sodifrance.fr
Durée : 2 jours - 14 heures + 1 heure d’examen
Evaluation des acquis : Cette formation est certifiante
3CATALOGUE DE FORMATION SECURITE 2020
ISO 27001 PRACTITIONNER
ACQUERIR LES COMPETENCES POUR METTRE EN
OEUVRE UN SMSI
Grâce à des exemples et des exercices concrets, le stagiaire sera amené durant la formation
à appréhender l’ensemble des étapes d’un projet de mise en œuvre d’un SMSI en
développant ses connaissances et son savoir-faire en gestion de projet et en mise en œuvre
de SMSI, ainsi que ses capacités de chef de projet au travers de la gestion d'équipe et de la
communication avec les différentes parties intéressées.
OBJECTIFS
Comprendre les principes de fonctionnement d’un SMSI selon ISO 27001.
Développer les aptitudes nécessaires pour mener à bien un projet d’implémentation
ISO 27001 dans le respect des exigences de la norme et les lignes directrices des
normes ISO 27002, 27003, 27004 et 27005.
Acquérir la compétence de gestion d’une équipe projets pour lancer et maintenir un
SMSI.
Réussir l’examen de CERTI-TRUST™.
Solliciter la qualification de Certified ISO 27001 Practiionner selon le niveau
d’expérience.
CONTENU PEDAGOGIQUE
Jour 1 : Préparation et démarrage Jour 2 : Les opérations et la
d’un projet SMSI performance d’un SMSI
Les jalons et le calendrier d’un projet de SMSI Gestion des risques en Sécurité de
Planification d’un projet SMSI l’Information
Périmètre du projet et définition du champ Mesures de sécurité et sélection des contrôles
d’application du SMSI applicables
Les acteurs du projet – Rôles et responsabilités Déclaration d’Applicabilité (DdA) et Plan de
des parties prenantes traitement des risques (PTR)
Business Case et méthodologie de gestion de Rôles et responsabilités des opérateurs et des
projet parties intéressées
Obtenir le soutien des parties prenantes et de Communication, sensibilisation et formation
la direction Gestion des incidents de sécurité
Gestion des relations avec les parties Surveillance, mesure, analyse et évaluation du
intéressées durant le projet d’implémentation SMSI
Documentation du SMSI Présentation et utilisation des outils de
Politiques et procédures du SMSI réalisation et de suivi du projet (via étude de
cas)
Présentation et utilisation des outils de
préparation au projet (via étude de cas)
4CATALOGUE DE FORMATION SECURITE 2020
Jour 3 : Cycle de vie et pérennité du Présentation et utilisation des outils de suivi
du cycle de vie du SMSI (via étude de cas)
SMSI
Audit interne du SMSI, gestion de la conformité
Examen certifiant
Revue de Direction
Gestion de l’amélioration continue & actions
« ISO 27001 Practitionner »
correctives et préventives (2h – 100 questions QCM à livre fermé)
Processus de certification
Public : Consultants en sécurité, Gestionnaires de risques, Responsables du
traitement des données en entreprise, Chefs de projets ou consultants souhaitant
maîtriser la mise en œuvre et l’exploitation d’un SMSI, Managers responsables de
la gestion TI d'une entreprise ainsi que la gestion des risques, Membres d'une équipe
de sécurité de l'information, Consultants en technologie de l'information, Experts
techniques voulant se préparer pour un poste en sécurité de l'information.
Pour s’inscrire : Pré-requis : Une connaissance de base de la Sécurité de l’Information et de la
norme ISO 27001est nécessaire pour participer à ce cours.
02 99 23 46 51
Méthodes et moyens pédagogiques : alternance théorie/pratique, 8
formation@sodifrance.fr stagiaires maximum
Durée : 2,5 jours – 17,5 heures + 2 heures d’examen
Evaluation des acquis : Cette formation est certifiante
5CATALOGUE DE FORMATION SECURITE 2020
ISO 27001 LEAD IMPLEMENTER
ACQUERIR LES COMPETENCES POUR METTRE EN
OEUVRE UN SMSI
Grâce à des exemples et des exercices concrets, le stagiaire sera amené durant la formation
à appréhender l’ensemble des étapes d’un projet de mise en œuvre d’un SMSI en
développant ses connaissances et son savoir-faire en gestion de projet et en mise en œuvre
de SMSI, ainsi que ses capacités de chef de projet au travers de la gestion d'équipe et de la
communication avec les différentes parties intéressées.
OBJECTIFS
Comprendre les principes de fonctionnement d’un SMSI selon ISO 27001.
Développer les aptitudes nécessaires pour mener à bien un projet d’implémentation
ISO 27001 dans le respect des exigences de la norme et les lignes directrices des
normes ISO 27002, 27003, 27004 et 27005.
Acquérir la compétence de gestion d’une équipe projets pour lancer et maintenir un
SMSI.
Réussir l’examen de CERTI-TRUST™.
Solliciter la qualification de Certified ISO 27001 Lead Implementer selon le niveau
d’expérience.
CONTENU PEDAGOGIQUE
Jour 1 : Le SMSI tel qu’exigé par la Jour 2 : Fonctionnement du SMSI
norme ISO/CEI 27001:2013 Gestion des opérations d’un SMSI
Système de Management de la Sécurité de Surveillance du SMSI (journalisation, audit et
l’Information – concepts de base revue de direction)
Principes fondamentaux de la sécurité de Évaluation de l’efficacité des opérations et
l’information gestion des métriques
Les clauses 4 à 10 de l’ISO 27001 et l’Annexe A Actions correctives et amélioration continue
d’ISO 27001 Processus de certification ISO 27001
Le contexte du SMSI au sein de l’entreprise et Présentation de la documentation nécessaire
son champ d’application aux opérations du SMSI (toolbox)
Aspects de leardership et engagement
managérial
Planification d’un SMSI (gestion des risques,
Examen certifiant
mesures de sécurité, applicabilité, etc.) « ISO 27001 Foundation »
Support des opérations d’un SMSI (1h – 50 questions QCM à livre fermé)
(documentation, ressources, etc.)
Jour 3 : Préparation et démarrage
d’un projet SMSI
6CATALOGUE DE FORMATION SECURITE 2020
Les jalons et le calendrier d’un projet de SMSI Jour 4 : Les opérations et la
Planification d’un projet SMSI
performance d’un SMSI
Périmètre du projet et définition du champ
d’application du SMSI Gestion des risques en Sécurité de
l’Information
Les acteurs du projet – Rôles et responsabilités
des parties prenantes Mesures de sécurité et sélection des contrôles
applicables
Business Case et méthodologie de gestion de
projet Déclaration d’Applicabilité (DdA) et Plan de
traitement des risques (PTR)
Obtenir le soutien des parties prenantes et de
la direction Rôles et responsabilités des opérateurs et des
parties intéressées
Gestion des relations avec les parties
intéressées durant le projet d’implémentation Communication, sensibilisation et formation
Documentation du SMSI Gestion des incidents de sécurité
Politiques et procédures du SMSI Surveillance, mesure, analyse et évaluation du
SMSI
Présentation et utilisation des outils de
préparation au projet (via étude de cas) Présentation et utilisation des outils de
réalisation et de suivi du projet (via étude de
cas)
Jour 5 : Cycle de vie et pérennité du
SMSI
Audit interne du SMSI, gestion de la conformité
Revue de Direction
Gestion de l’amélioration continue & actions
correctives et préventives
Processus de certification
Présentation et utilisation des outils de suivi
du cycle de vie du SMSI (via étude de cas)
Examen certifiant
« ISO 27001 Lead Implementer »
(2h – 100 questions QCM à livre fermé)
Public : Consultants en sécurité, Gestionnaires de risques, Responsables du
traitement des données en entreprise, Chefs de projets ou consultants souhaitant
maîtriser la mise en œuvre et l’exploitation d’un SMSI, Managers responsables de
la gestion TI d'une entreprise ainsi que la gestion des risques, Membres d'une équipe
de sécurité de l'information, Consultants en technologie de l'information, Experts
techniques voulant se préparer pour un poste en sécurité de l'information.
Pour s’inscrire : Pré-requis : Une connaissance de base de la Sécurité de l’Information et de la
norme ISO 27001est nécessaire pour participer à ce cours.
02 99 23 46 51
Méthodes et moyens pédagogiques : alternance théorie/pratique, 8
formation@sodifrance.fr stagiaires maximum
Durée : 4,5 jours – 31,5 heures + 3 heures d’examen
Evaluation des acquis : Cette formation est certifiante
7CATALOGUE DE FORMATION SECURITE 2020
SENSIBILISER A LA SECURITE INFORMATIQUE
Cette formation sera dispensée par un expert en Sécurité des Systèmes d’Information.
OBJECTIFS
Sensibiliser aux menaces informatiques du quotidien
Comprendre les problématiques liées à la sécurité informatique
Adopter les bonnes pratiques
CONTENU PEDAGOGIQUE
Introduction Aller plus loin
Les notions indispensables à connaitre sur le La Charte informatique et la politique de
sujet sécurité de mon entreprise
Le paysage de la menace Et à la maison ?
Les principales menaces et leurs sources Synthèse
o Retours d’expérience
o Exemples sous forme de vidéos ou de
démonstrations
Comment se protéger
Les bons réflexes, que faire quand…
Les mesures « d’hygiène »
Public : Cette formation s’adresse à tout salarié au sein de l’entreprise
Pré-requis : Aucun
Méthodes et moyens pédagogiques : alternance théorie/pratique, 8
stagiaires maximum
Pour s’inscrire :
Durée : 1 jour - 7 heures
02 99 23 46 51
Evaluation des acquis : Cette formation ne fait pas l’objet d’une évaluation
formation@sodifrance.fr des acquis.
1CATALOGUE DE FORMATION SECURITE 2020
CYBERSECURITY PRACTITIONER
ACQUERIR LES CONNAISSANCES POUR METTRE
EN OEUVRE UN PROGRAMME DE CYBERSECURITE
Sur la base de labs pratiques, d’exemples réels et d'exercices concrets basés sur des
environnements à simulation technique avancée, le stagiaire sera amené durant la formation
à mener à bien un projet d’implémentation d’un programme de Cybersécurité en
développant des capacités en identification des menaces, en gestion de programmes, de
techniques de mise en œuvre et de suivi ainsi qu’en gestion d'équipe, à travers la
communication avec les différentes parties intéressées dans le Cyberspace.
OBJECTIFS
Maîtriser les concepts, approches, normes, méthodes et techniques pour participer à
la mise en œuvre et la gestion d'un programme de Cybersécurité conforme au
référentiel du NIST au sein d'une organisation
Comprendre le but, le contenu et la corrélation entre la Sécurité de l’Information et
le cadre de Cybersécurité du NIST ainsi qu'avec d'autres normes
Acquérir les connaissances nécessaires pour conseiller une organisation sur les
meilleures pratiques de gestion de la cybersécurité
Réussir l’examen de CERTI-TRUST™
Solliciter la qualification de Certified ISO 27001 Lead
Implementer selon le niveau d’expérience.
CONTENU PEDAGOGIQUE
Jour 1 : Le programme de Outils de support d’un programme de
Cybersécurité (documentation, ressources,
Cybersécurité selon le NIST etc.)
Cybersecurity Framework Jour 2 : Cyberattaques et exposition
Concepts et principes de base en des organisations
Cybersécurité
Threat Intelligence et évaluation des risques
Cadre légal et normatif en Cybersécurité
Vecteurs d’attaque communs, agents de
Le NIST Cybersecurity Framework
menaces, motifs et types d’attaques
Organisation et clarification des objectifs de la
Surveillance du programme de Cybersécurité
cybersécurité
(journalisation et audits)
Analyse du contexte existant et de l’exposition
Déclencheurs d’un programme de
Cybersécurité
1CATALOGUE DE FORMATION SECURITE 2020
Les incidents en Cybersécurité, leurs Jour 4 : Les opérations et la
conséquences et la réponse à y apporter
Gestion de crise et des urgences, niveaux de
performance du programme de
préparation Cybersécurité
Présentation de la documentation nécessaire Mesures de sécurité et sélection des contrôles
aux opérations du programme (toolbox) applicables
Options de traitement des risques majeurs et
Examen certifiant continuité opérationnelle
Rôles et responsabilités des opérateurs et des
« Cybersecurity Foundation » parties intéressées
(1h – 50 questions QCM à livre fermé) Communication, sensibilisation et formation
des acteurs
Jour 3 : Planifier et démarrer un Gestion des incidents de sécurité et
récupération (LAB)
programme de Cybersécurité Surveillance, mesure, analyse et évaluation du
Gouvernance de la Cybersécurité, meilleures programme de Cybersécurité
pratiques et cadre normatif Présentation et utilisation des outils de
Planification du programme de Cybersécurité réalisation et de suivi du programme (via LAB)
Périmètre du programme Jour 5 : Cycle de vie du programme
Structure organisationnelle de la de Cybersécurité
Cybersécurité, rôles et responsabilités
Gestion des ressources du programme de Test du programme de Cybersécurité
Cybersécurité Plans d’action, suivi des anomalies et
Gestion de la documentation du programme correction des défaillances
Politiques et procédures du programme de Gestion de l’amélioration continue du
Cybersécurité programme
Compréhension des menaces et gestion des Processus de certification
risques « cyber » (LAB) Présentation et utilisation des outils de suivi
Présentation et utilisation des outils du du cycle de vie du programme (via LAB)
programme de Cybersécurité (via LAB)
Examen certifiant
« Cybersecurity Practitioner »
(2h – 100 questions QCM à livre fermé)
Public : Consultants en sécurité, Gestionnaires de SoC, Responsables des actifs
digitaux d’une organisation, Chefs de projets ou consultants souhaitant maîtriser
la mise en œuvre d’un programme de gestion de la Cybersécurité, Managers
responsables de la gestion TI, d'une entreprise ainsi que la gestion des risques en
Cybersécurité, Membres d'une équipe de sécurité de l'information, Conseillers
experts en technologie de l'information, Experts techniques voulant se préparer
Pour s’inscrire : pour un poste en Cybersécurité
Pré-requis : Des connaissances minimales sur la sécurité de l'information et des
02 99 23 46 51 concepts connexes sont nécessaires pour la réussite du cours.
formation@sodifrance.fr Méthodes et moyens pédagogiques : alternance théorie/pratique, 8
stagiaires maximum
Durée : 4,5 jours – 31,5 heures + 3 heures d’examen
Evaluation des acquis : Cette formation est certifiante
2CATALOGUE DE FORMATION SECURITE 2020
DATA PROTECTION OFFICER
ACQUERIR LES CONNAISSANCES POUR
S’ASSURER DE LA CONFORMITE AU RGPD
Ce programme certifiant est conçu dans une double perspective, technologique et juridique,
en tenant compte de l'application pratique et des meilleures pratiques et expériences de
l'industrie dans des domaines tels que la sécurité, la protection des données personnelles et
la gouvernance informatique. Le programme de certification - Certified Data Protection
Officer a été développé pour, sur base d’exemples réels et d'exercices concrets, donner au
stagiaire les connaissances et aptitude lui permettant de mener à bien la mise en œuvre
d’un programme de conformité de la protection des données à caractère personnel au
bénéfice de son organisation.
OBJECTIFS
Acquérir une compréhension globale des concepts, des approches, des méthodes et
des techniques pour appliquer efficacement le GDPR/RGPD
Comprendre les exigences que le GDPR/RGPD impose aux organisations de l'UE et aux
organisations hors-UE et acquérir l’expertise nécessaire pour leur mise en œuvre
Savoir gérer une équipe de protection des données.
Développer les connaissances et compétences nécessaires pour conseiller les
organisations sur les meilleures pratiques en matière d’analyse et de prise de décision
concernant la gestion des données personnelles.
Réussir l’examen de CERTI-TRUST™
Solliciter la qualification de Certified Data Protection
Officer selon le niveau d’expérience.
CONTENU PEDAGOGIQUE
Jour 1 : La Protection des Données Soutien documentaire et références au RGPD
(documentation, ressources, etc.)
et le RGPD
Jour 2 : Les composants du RPGD et
Aperçu du cadre international de protection
des données les relations qu’ils entretiennent
La protection des données en Europe Mesures liées à la conformité de la protection
Cadre normatif et meilleures pratiques de des données (politiques, procédures, etc.)
management Les différents intervenants et leurs obligations
Concepts et principes fondamentaux du RGPD légales
Aspects de légitimation et droits des personnes Privacy by design & by default – aspects
principaux
Focus sur le consentement éclairé
Notification et divulgation des failles de
sécurité et des pertes de données
1CATALOGUE DE FORMATION SECURITE 2020
Le Délégué à la Protection des Données (DPD / Jour 4 : Appréciation des impacts
Data Protection Officer, DPO)
Les autorités de protection des données et
sur la protection des données (DPIA)
leur rôle Introduction au DPIA, origines, concepts et
Transferts internationaux de données caractéristiques
Lignes directrices pour l’interprétation du Mener une appréciation des impacts – aspects
RGPD (le groupe des 29, opinions du EDPB) préparatoires
Mettre en œuvre un DPIA (atelier pratique)
Examen certifiant Différences entre risques standards et risques
« GDPR Foundation » élevés pour le sujet
(1h – 50 questions QCM à livre fermé) Le rôle du Délégué à la Protection des Données
dans un DPIA
Gestion du cycle de vie de la protection des
Jour 3 : Réglementation par la données
pratique, gestion des risques et de Références, opinions et recommandations de
la conformité diverses sources
Présentation d’outils de gestion et de suivi du
Arsenal réglementaire européen en matière de DPIA (toolbox et étude de cas)
protection des données
Gestion des risques en matière de protection Jour 5 : Assurance du programme
des données à caractère personnel de conformité de la protection des
Appréciation des risques en matière de données
protection des données et mesures applicables
Mesures de protection et gestion des risques L’audit de la protection des données – aspects
résiduels généraux
Méthodologie de gestion des risques Audit des systèmes d’information et
appliquées à une étude de cas (toolbox) intégration de mesures sur la protection des
données
Aspects de conformité au RGPD
Contrôle interne et amélioration continue
Business Case & méthodologie de mise en
œuvre et de gestion d’un projet de conformité Utilisation d’outils de suivi du cycle de vie du
programme de conformité (étude de cas)
Traçabilité du modèle de conformité
Relations entre conformité au RGPD, Sécurité Examen certifiant
de l’Information et Cybersécurité « Data Protection Officer » (2h – 100
Présentation et utilisation des outils de gestion questions QCM à livre fermé)
d’un programme (étude de cas)
Public : Chefs de projet ou consultants souhaitant accompagner une organisation
dans la mise en œuvre et l'adoption des nouvelles exigences du GDPR/RGPD , Les
auditeurs qui souhaitent comprendre pleinement le processus de mise en œuvre
du GDPR/RGPD, Délégués à la Protection des Données et Managers chargés de la
protection des données personnelles d'une entreprise et de la gestion de ses
risques, Membres d'une équipe de sécurité de l'information, Avocats, juristes,
Conseillers experts en protection des données personnelles, Experts en conformité
souhaitant se préparer à un poste de délégué à la protection des données.
Pour s’inscrire : Pré-requis : Une connaissance de base du Règlement Général sur la Protection
des Données de l’UE est recommandée pour participer à ce cours.
02 99 23 46 51 Méthodes et moyens pédagogiques : 1 poste/stagiaire, alternance
formation@sodifrance.fr théorie/pratique, 8 stagiaires maximum
Durée : 4,5 jours – 31,5 heures + 3 heures d’examen
Evaluation des acquis : Cette formation est certifiante
2CATALOGUE DE FORMATION SECURITE 2020
CONDITIONS GENERALES ET BON DE
COMMANDE
3CATALOGUE DE FORMATION SECURITE 2020
CONDITIONS GENERALES
1.1.1 1 - Conditions de la formation
Nous garantissons un poste par personne pour les formations dans nos locaux ou dans les locaux de l’un de nos partenaires.
Afin de réaliser de manière optimale les formations dans vos locaux, merci de bien vouloir prévoir une salle équipée d'un
tableau ou d'un paper-board, un vidéo projecteur, ainsi qu'un matériel par participant.
Nos factures sont payables à 30 jours. Elles tiennent lieu de convention de formation professionnelle simplifiée. Une convention
séparée pourra être établie sur demande.
Les prix s’entendent hors frais de repas.
1.1.2 2 - Objet
Par le présent contrat, et moyennant le respect des stipulations ci-après, SODIFRANCE-ISIS assumera auprès du CLIENT en
contrepartie du prix les prestations de formation indiquées dans les Conditions Particulières.
Les présentes Conditions Générales ne peuvent valoir comme offre de contracter à l’égard de tous tiers. SODIFRANCE-ISIS se
réserve expressément le droit d’agréer tous tiers se proposant d’adhérer au présent contrat.
1.1.3 3 - Conditions
La prestation décrite dans les Conditions Particulières s’effectuera dans les locaux de SODIFRANCE-ISIS ou tous autres locaux
que ce dernier jugera bon de désigner. Ces locaux seront adaptés à ladite prestation. Le CLIENT s’engage donc à se déplacer
à ses frais dans lesdits locaux pour bénéficier de la prestation.
SODIFRANCE-ISIS s’engage à respecter les délais indiqués dans les Conditions Particulières pour exécuter sa prestation.
Toutefois, cette obligation n’est que de moyens.
SODIFRANCE-ISIS fixera les horaires pour exécuter sa prestation. Celle-ci aura lieu pendant les jours ouvrés entre 9h et 18h00
(7 heures de formation /jour). Le CLIENT s’engage à respecter ces horaires ou à indiquer exceptionnellement à SODIFRANCE-
ISIS, dans un délai suffisant, qu’il est dans l’impossibilité de les respecter. Dans ce dernier cas, les Parties s’efforceront de
trouver un horaire commun.
1.1.4 4 – Obligations du contrat
Le CLIENT reconnaît posséder, par lui-même ou par l’intermédiaire de son personnel bénéficiaire de la prestation, des
compétences générales nécessaires pour profiter de la prestation décrite dans les Conditions Particulières. Le cas échéant, les
Conditions Particulières indiqueront les compétences spécialement requises au préalable.
Le CLIENT s’engage à suivre de façon attentive la formation, ou à faire suivre ladite formation par un personnel attentif.
Le CLIENT ne peut prétendre à aucun remboursement en cas de non-respect de ces obligations.
Le CLIENT s’oblige à ne pas engager directement ou indirectement un collaborateur de SODIFRANCE-ISIS, présent ou à venir,
ou à le prendre à son service sous quelque statut que ce soit, même dans l’hypothèse où la sollicitation serait faite à l’initiative
dudit collaborateur.
Cette obligation de ne pas faire est valable pendant la durée du présent contrat et pendant les 12 mois qui suivront son
expiration.
Dans l’hypothèse où le CLIENT ne respecterait pas cette obligation de non sollicitation de personnel, il sera tenu de
dédommager SODIFRANCE-ISIS en lui versant une indemnité forfaitaire égale au montant brut des appointements perçus au
cours des 12 derniers mois par le collaborateur concerné. Dans l’hypothèse où ledit collaborateur n’aurait pas 12 mois
d’ancienneté, cette indemnité sera égale au montant des appointements bruts perçus par celui-ci et majorés des frais de
formation et de recrutement.
1.1.5 5 - Prix
La réalisation des obligations de SODIFRANCE-ISIS fait l’objet d’une facturation. Le CLIENT s’engage à s’acquitter du prix
indiqué dans les Conditions Particulières.
Toute prestation effectuée par SODIFRANCE-ISIS au profit du CLIENT et ne figurant pas dans les Conditions Particulières fera
l’objet d’une facturation supplémentaire au tarif en vigueur. Le CLIENT s’engage à prendre connaissance de ces tarifs avant
toute demande supplémentaire. Ces tarifs seront réputés acceptés par le CLIENT de façon irréfragable dès lors que celui-ci a
passé une nouvelle commande.
4Vous pouvez aussi lire
