Le modèle européen : Network Information Security 2 (NIS 2)
- Nouvelle guerre froide Est/Ouest, USA/Chine Occident/Russie.
- Hackers organisés, rôle des agences de renseignements.
- APT (Advanced Persistent Threat), les ransomwares, les risques ciblés.
- Cartographie des référentiels : du spécialiste au généraliste.
- Les enjeux européens de la cybersécurité.
- Domaines d’application EE, EI, OSE, FSN, les nouveaux critères d’éligibilité.
- Pour quels écosystèmes - Nouveaux secteurs d’activité et ESN/IT enrôlées.
- Les principales mesures de sécurité : à partir des 23 règles de la NIS 1 et bien plus…
- Le processus de gouvernance par le risque et d’homologation maîtrisée.
- Le système de sanctions gradué sur le CA, comme le RGPD.
Etude de cas
Déployer un projet NIS 2, à partir de NIS v1, avec pour objectif son homologation.
Le modèle américain : NIST CSF 2.0
- Le core avec son ensemble de catégories et sous-catégories.
- La nouvelle fonction GOVERN et son intérêt pour une gouvernance stratégique cyber.
- Les guides de mises en œuvre de la série 800 et 1800 en support du CSF.
- Les niveaux de mise en œuvre du cadre : tiers 1 à 4.
- Apprendre à graduer sa sécurité en fonction de ses objectifs et de la criticité des activités.
- Intégrer le développement sécurisé avec le framework complémentaire SSDF.
- Créer son profil à partir des objectifs de sécurité des métiers ainsi que des exigences de parties prenantes.
- Construire un profil en rapport aux menaces cyber sur l’écosystème.
Etude de cas
Déployer un profil de gouvernance avec le nouveau NIST CSF 2.0
Le modèle universel ISO 27001:2022
- La norme ISO 27001 dans une démarche système de management (roue de Deming/PDCA).
- La gouvernance par le risque de l’ISO : ISO 31000/ISO 27005.
- L’élaboration du plan de traitement des risques et de la déclaration d’applicabilité.
- Les bonnes pratiques universelles de la norme ISO 27002:2022.
- Les domaines de la sécurité et les attributs associés aux 93 mesures.
- Construire une gestion documentaire et une base de preuves.
- Appréhender le processus d’audit du SMSI (première partie et tierce partie).
Etude de cas
Déployer une dynamique d’amélioration continue avec l’ISO 27001.
Un modèle IT cloud SecNumCloud
- La vision de l’informatique sécurisée en mode cloud par l’ANSSI et ses dernières évolutions 2023.
- Les principales bonnes pratiques de protection/défense des hébergements de confiance.
- Un label de sécurité englobant l’ISO 27001 et l’ISO 27017/27018 pour un cloud souverain.
- Les critères de protection vis-à-vis des lois extra-européennes.
- Vers une qualification européenne de prestataires de services informatiques en nuage EUCS ?
Un modèle pour la santé : HDS (hébergeurs de données de santé)
- Le référentiel HDS : l’ISO 27001 comme socle.
- Les données de santé : exigences de protection et lien avec le RGPD.
- Les exigences complémentaires.
- Cadre de la certification des hébergeurs.
Un modèle pour la finance/paiement : PCI DSS v4
- L’industrie du paiement par carte PCI et ses référentiels d’exigences.
- Les principaux acteurs du secteur : marques, banques, marchands, PSP.
- L’écosystème des acteurs PCI : QSA, ASV, éditeurs certifiés…
- Les cybermenaces spécifiques sur les données CB : vol, skimming.
- La gestion d’un projet jusqu’à sa mise en conformité, premiers pas avec le SAQ.
La sécurité selon COBIT®, ITIL®
- COBIT®: un cadre pour aligner la gouvernance IT avec les objectifs de l’entreprise.
- Les processus de maîtrise des risques selon COBIT®.
- Les modèles organisationnels et RH.
- Les principes de sécurité selon COBIT®.
- Les templates de contrôle de la sécurité.
- ITIL® : un cadre de travail pour la délivrance des services IT.
- Les processus ITIL®.
- Le processus Information Security Management.
- ITIL® et ses liens avec l’ISO 27001.
Quels choix de stratégie ?
- Avantages et inconvénients de chacun des référentiels.
- Comparatifs et critères de choix.
- Les approches hybrides et complémentaires.
- Les coûts comparés et les alignements multiréférentiels.