Institut de formation NBS System

Presentation des formations en sécurité des systèmes d'information (ISO 27001-27002)

Introduction à nos formations

• NBS System vous propose de partager son expérience de 9 années en sécurité des systèmes d'information.
• Une formation pragmatique, déjà dispensée au sein de grands groupes, de PME et de collectivités locales.
• Une expertise unique, permettant au futur RSSI d'acquérir rapidement une compétence de haut niveau.
• Des programmes adaptés à chacun pour une meilleure assimilation et une pédagogie adaptée pour une formation réussie.

Nos Formations ISO 27001-2

• Formation au poste de RSSI - Mise à niveau, création de poste, évolution de carrière, certification ISO2700x
• Formation des équipes techniques - Mise en ouvre ou application de procédures, responsabilisation, appui du DSI et du RSSI par un reporting factuel
• Formation utilisateurs - Sensibilisation
• Formation par modules - Organisationnels, technique, etc. En fonction de votre besoin une partie de nos programmes peut être extraite pour réaliser une formation spécifique

Formation au poste de RSSI

La fonction de Responsable de la Sécurité des Systèmes d'Information

Le RSSI à un rôle différent en fonction des entreprises. Cette fonction découlant du besoin, il convient de se poser la question de ce qui est le plus important pour votre entreprise ou futur entreprise. Les plans, le savoir faire, la production, les clients, l'image ...

  Le RSSI doit avoir un fort potentiel technique pour mettre en place les barrières technologiques et humaines évitant la fuite d'information sous toutes ses formes. Il doit travailler en collaboration avec la DSI et les RH afin de mettre en place la sécurité du SI et superviser celle-ci. Il est important aussi qu'il sache vulgariser une information technique, rédiger les chartes utilisateurs et communiquer par des actions de formation du personnel.

  Son rôle est également de garantir la continuité d'activité de la production et une nouvelle fois ses fortes compétences techniques doivent lui permettre de mettre en place les redondances nécessaires dans le SI et de vérifier que les points sensibles et goulots d'étranglements sont maitrisés. Selon la vision et l'expérience de NBS System en la matière, nous recommandons l'indépendance du RSSI qui conseil de façon réaliste et non idéaliste la DSI. Il est autonome et à un rôle de conseil, il doit être impliqué dans les projets et y apporter une critique constructive et préparer le référentiel des bonnes pratiques que vont appliquer les utilisateurs et les membres de la DSI.

  Dans le cadre de structure de taille moyenne ou de PME, le RSSI est aussi être capable d'implémenter des solutions de sécurité lui même, tout comme de mener des audits ponctuels précis. Si la structure est à dimension internationale, le rôle de RSSI impose également de disposer de bonnes qualités relationnelles et rédactionnelles afin de faire passer synthétiquement les messages à la DSI, à la DG et à ses éventuels homologues internationaux.

  Enfin, le Rôle de RSSI offre une protection légale indirecte à l'entreprise qui l'emploie. En effet, le RSSI portera la responsabilité juridique s'il ne mène pas sa mission alors qu'il lui en a été donné les moyens, dans le cadre de la norme ISO 27001

Objectif de la formation

La formation professionnelle à la fonction de RSSI a pour objectif de mettre à niveau/sélectionner/faire évoluer un collaborateur pour qu'il prenne en charge la sécurité du système d'information. Elle est avant tout une formation de manager permettant d'optimiser la prise de décision et la conduite du changement.

  Cette formation à un caractère professionnalisant permettant d'acquérir un savoir-faire spécifique lié à la SSI mais aussi un savoir-être (management, gestion de projet.) permettant de faire évoluer le collaborateur concerné vers une vision plus globale de l'entité dans laquelle il travaille et de lui permettre par ce biais d'avoir une démarche logique, proactive et stratégique.

  Au terme de ce cycle de formation, le RSSI ou nouveau RSSI sera pleinement à même de gérer la sécurité de son SI et connaitra les responsabilités qui incombent à sa nouvelle fonction, il sera certifié ISO 27001.

Démarche de formation

Etape 1 : Préparation de la formation

Toute bonne formation débute par le recueil des besoins liés à la personne à former. Une étude du profil doit être faite pour estimer les points à aborder et leur durée pour atteindre le niveau nécessaire à la prise de fonction. En effet, chaque personne n'a pas les mêmes qualités techniques et organisationnelles et la formation doit tenir compte de ces spécificités.

  Cette étape de recueil des besoins et de définition du périmètre sera la source de la formation et permettra de statuer sur la progression du professionnel formé ainsi que de juger de son bilan en fin de formation.

  Suite à cette phase préliminaire, une réunion sera organisée avec le futur RSSI ainsi que sa direction pour valider le périmètre et le niveau auquel le RSSI devra répondre en fin de formation.

Etape 2 : Formation initiale

Cette étape à pour but de donner au futur RSSI les compétences que recouvre cette fonction et de lui donner des pistes de réflexion qu'il aura à approfondir et à faire valider par les formateurs. Il sera convié à des séances de formation au sein de nos locaux. Ces séances auront une durée d'une journée et entre chaque séance il aura à réaliser des recherches et de la veille dans le but de valider la séance précédente et de préparer la séance future.

Deux formules sont possibles pour répartir ce temps de formation :

En cas de choix de la formation initiale de niveau 1, les 5 jours restants de formation seront répartis sur les projets correspondants aux problématiques spécifique de l'entreprise.

Ces deux cycles ne définissent pas le contenu de la formation. Le programme sera de toute manière abordé, mais suivant l'option de formation initiale, le nombre de jours passés en accompagnement (étape 3) ne sera pas le même, un transfert de compétence plus approfondi ayant été fait en formation initiale de cycle 2. 

Etape 3 : Accompagnement projet (optionnel)

Au cours de cette seconde étape, le futur RSSI sera accompagné tout d'abord pour valider la pertinence des projets et définir leur priorité, puis lors de la mise en ouvre des projets à raison de quelques jours par projet suivant la taille, les enjeux et la technicité de chacun de ces projets.

Ces journées d'accompagnement seront :

• (Formation niveau 1) Des journées de formations initiales correspondantes aux projets mis en place,
• source d'un transfert de compétence spécifiquement lié au contexte de votre entreprise,
• des points de validation et d'orientation dans la façon d'aborder la gestion du projet,
• au cour de la redéfinition du model décisionnel que le futur RSSI mettra en place dans sa politique de sécurité des systèmes d'information.

Hormis les journées de formation initiale, les autres journées d'accompagnement sont optionnelles et ne sont en aucun cas une obligation. Elles ne résulteront que de besoins précis émis par la direction, le RSSI ou futur RSSI.

Etape 4 : Formations techniques avancées (optionnel)

En fonction du nombre de projets et du niveau technique d'origine de votre collaborateur, des séances techniques complémentaires pourront être nécessaires. Le choix de faire ces formations complémentaires sera fait à la demande du futur RSSI en fonction des besoins qu'il estimera durant la mise en ouvre des projets.

Ces formations peuvent-être :

• Structure d'une forme d'attaque spécifique.
• Test d'intrusion
• Audit de sécurité
• Comment définir les bonnes trappes SNMP lors de la supervision du réseau ?
• Comment définir un processus spécifique lors de l'utilisation de plateformes de qualification ?
• Etude de normes.
• Etc...

Programme de formation RSSI

• Point 1 : Le rôle du RSSI au sein de sa société
• Point 2 : La RSSI et ses collaborateurs
• Point 3 : Chartes utilisateurs
• Point 4  : Cadres réglementaires & normes
• Point 5  : Sécurité réseau
• Point 6  : Sécurité système
• Point 7 : Sécurité applicative
• Point 8  : Sécurité physique
• Point 9  : Inventaires, contrôles & supervision
• Point 10 : Tests, sauvegardes, continuité et reprise d'activité
• Point 11 : Gestion de crises
• Point 12 : Gestion des projets de sécurité
• Point 14 : ANNEXES

Point 1 : Le rôle du RSSI au sein de sa société

• Définition de la fonction de RSSI
• Moyens nécessaires
• Identifier & classer les points sensibles de l'activité (*)
• Responsabilités

Ce chapitre sert au RSSI à identifier les points critiques de l'activité de son entreprise en fonction du domaine dans lequel elle évolue. Il définit à la fois les attentes légitimes de la direction de l'entreprise envers son RSSI ainsi que les moyens qu'elle doit mettre à sa disposition pour qu'il puisse remplir ses fonctions. Parmi les thèmes abordés le RSSI verra notamment comment identifier les menaces réelles auxquels il doit faire face, il apprendra à classifier les centres nerveux de l'entreprise et comment les protéger. Enfin, les responsabilités qui sont lié à la fonction de RSSI seront exposées.

Point 2 : La RSSI et ses collaborateurs

• Relation avec la DSI & la DG
• Le reporting (*)
• Participer aux projets impliquant la sécurité
• Impliquer les participants et faire accepter ses projets

Le RSSI est un maillon de la chaine de sécurité de l'entreprise. Il n'est en aucun cas un élément isolé qui peut ouvrer sans sa direction générale, éventuellement sa direction directe (informatique s'il y est rattaché) d'une part et les utilisateurs d'autre part. Sa communication envers la direction doit être simple et claire pour que ses projets soient compris et surtout leurs enjeux. Ses décisions et les implications de celles-ci doivent être adressées aux personnes travaillant avec l'outil informatique dans l'entreprise. On ne peut pas faire de la sécurité « contre » son milieu professionnel, un mode de travail participatif et communicatif est donc nécessaire. Le RSSI devra donc tout à la fois savoir faire preuve de pédagogie envers les utilisateurs, envers sa direction et de diplomatie avec la cellule informatique qui à des impératifs de productions qui peuvent diverger de ses besoins.

Point 3 : Chartes utilisateurs

• Définir d'une PSSI (*)
• Mettre en place les chartes d'utilisation du SI
• Aspect RH (*)
• Etablir un guide des procédures

La fonction de RSSI implique de normaliser les comportements informatique et donc de faire vivre un référentiel documentaire associé à ce travail. Les utilisateurs doivent s'engager à utiliser de façon correcte l'outil informatique, la cellule informatique doit elle aussi respecter de bons usages qu'il met en place. Le RSSI doit donc formaliser ses actions, sa politique, l'adapter à l'entreprise et à son milieu. Il est amener à rédiger et faire vivre tous ces documents et ce chapitre est fait pour l'aider dans cette tache.

Point 4  : Cadres réglementaires & normes

• Législation française & jurisprudences
• Sarbane Oxley Act (SOX) (quand la société le souhaite)
• Les normes ISO (quand la société le souhaite)

En dehors des aspects directement terrain, le RSSI doit mettre en conformité son système selon plusieurs cadres réglementaires. Ceci sont différents selon les pays mais la majorité des RSSI aura à connaître les points du droit Français qui l'impacte et éventuellement les lois internationale de sécurité financière comme Sarbane Oxley. Les normes ISO quand à elles sont un référentiel de bonnes pratiques qui l'aideront dans son travail quotidien.

Point 5  : Sécurité réseau

• Bases techniques sur le fonctionnement des réseaux
• Sécurité des différents éléments actifs
• Division & Filtrage du réseau
• Les attaques réseaux
• Les systèmes défenses existants

Comprendre la sécurité sur un plan technique est indispensable et c'est même la pierre angulaire d'une sécurité informatique bien conçue et entretenue. Le RSSI doit donc maîtriser les réseaux et leurs architectures pour prendre les décisions adaptées à son entreprise. Plus son savoir est précis dans le domaine, plus il peut apporter des solutions aux problèmes qu'il soulève, ce qui lui apporte de la crédibilité et fait qu'il est considéré de façon positive par ses collègues de l'informatique qui auront à implémenter ses décisions. Ce chapitre est donc très tourné vers la technique et appuyé par de nombreux TP, TD et tests pratiques.

Point 6  : Sécurité système

• Sécurité des systèmes Windows
• Sécurité des systèmes Unix

Le système est également une partie indispensable à la réalisation d'une sécurité fine et efficace. Les attaques portées par d'éventuels assaillants seront probablement portées par le réseau mais toucheront à coup sûr le système à terme. Le RSSI doit donc comprendre et connaître deux architectures, deux familles d'OS fondamentaux, pour savoir où et comment agir. Les systèmes Windows et Unix présentent des vulnérabilités différentes et doivent donc être protégés d'une manière adaptée à chacun. Le chapitre Sécurité Système revient donc en détail sur les faiblesses connues de ces OS et les moyens de parer les attaques systèmes.

Point 7 : Sécurité applicative

• Sécurité des applications génériques
• Sécurité des applications spécifiques
• Spécificité de la sécurité des applications Web

Au-delà des serveurs, stations de travail et équipement réseau, les applications offrent une toute nouvelle surface d'attaque aux pirates. En premier lieu les extranets, site Webs, intranet, E-shop et autres activités en lignes sont les nids de nouvelles attaques très spécifiques. Elles permettent parfois de corrompre une supply-chain, de commander gratuitement des projets, de vandaliser l'image d'une société ou de récupérer ses clients par exemple. Les réponses tout comme les problèmes sont spécifiques à un nouveau domaine : la sécurité applicative. Le RSSI doit maîtriser ces aspects pour pouvoir conseiller les développeurs, l'équipe technique et être à même de proposer des défenses adaptées sans remettre en cause des projets intéressants.

Point 8  : Sécurité physique

• Gestion des accès (*)
• Système de sécurité des locaux
• Système de sécurité des salles machines & télécom (*)
• Gestion de la surveillance

Une machine à laquelle on a un accès physique est forcément compromise à terme. Il est donc important de contrôler qui accède, comment, où et selon quel protocole. Pour ce faire il faut connaître les systèmes défensifs et les normes de sécurité qui permettent par exemple de ne pas être victime d'un incendie. Certains gaz oxyvores anti-incendie sont par exemple interdits de nos jours et d'autres nécessitent des précautions particulières. La vidéo surveillance est autorisée mais dans certaine limites tandis que les accès biométriques imposent d'autres normes.

Point 9  : Inventaires, contrôles & supervision

• Inventorier quoi et comment (*)
• Détecter les variations et délimitations des périmètres (*)
• Contrôles à mettre en place
• Supervision de l'activité du SI (*)

Connaître son parc en permanence, son état et savoir repérer un changement voulu ou non pour le qualifier est un point important. Le RSSI doit savoir comment contrôler un parc, comment détecter les anomalies et repérer les points qui lui semblent anormaux avant d'enquêter et apporter des solutions. Les consoles de supervision automatisées l'aident dans cette tâche mais il lui faut savoir interpréter les informations et partir d'un référentiel exact afin de pouvoir être efficace. Une attaque détectée à temps pourra être enrayée et des logs pertinents permettront de poursuivre la piste des assaillants.

Point 10 : Tests, sauvegardes, continuité et reprise d'activité

• Identifier les risques de son activité (*)
• Gestion de sauvegardes
• Tester sa sécurité (*)
• Etablir une redondance de services PCA (*)
• Mettre en place les procédures de PRA
• Eprouver un PCA et un PRA

Le risk management est dans le cadre de la sécurité informatique, l'un des points cruciaux. Le fait d'anticiper sur un problème, une crise et d'avoir un plan posant les bases des réactions adéquates est plus que primordiale en particulier lorsqu'une entreprise possède une supply-chain ne pouvant subir d'arrêts ou dommages au risque de subir un fort impact financier. Il sera donc question ici pour le RSSI de savoir prévoir et créer des modèles garantissant, la sureté des informations, la continuité de la production même lors de mises à jour ou d'évolutions technologique et d'avoir une ressource permettant de répondre de façon adaptée à un problème d'activité.

Point 11 : Gestion de crises

• Actions de détection
• Parades pour bloquer les attaques (*)
• Collecte de preuves valides
• Actions Juridiques
• Gestion des crises liées à l'image, la production ou les biens (*)

Cette partie du programme n'a pas pour but de faire du RSSI un juriste ou un expert en recherche de preuve, même si ce module contient un ensemble de loi à connaitre pour permettre de mettre en place des solutions techniques adaptées à celles-ci. Ce module à pour principal objectif de l'orienter vers les choix techniques permettant de protéger son système tout en stockant des données permettant de recourir à la justice si nécessaire le cas échéant.

Il sera donc formé à mettre en place des outils permettant de stocker les mouvements sur le réseau, et d'y coupler les éléments de supervision qui auront été mis en place. Il sera aussi formé à réagir en cas de crise aussi bien dans la manière d'abordé son équipe et ses dirigeants que dans la façon de gérer techniquement celle-ci et d'appliquer le PRA préalablement défini.

Point 12 : Gestion des projets de sécurité

• Vérifier l'ensemble des projets du SI
• La mise en place des bons jalons de validation
• Les moyens de contrôle

Le RSSI doit jouer un rôle dans chaque projet touchant au système d'information. Il sera le garde fou ou au contraire le moteur de la prise de décision. Son action ne se limite pas à participer à la réflexion, il est aussi responsable du contrôle des méthodes et du respect des bonnes pratiques de conception. Il doit ainsi pour chaque projet en connaitre les tenants et les aboutissants en termes de sécurité et proposer des méthodes de travail cohérentes aussi bien en termes de sécurité que de production. Il sera aussi responsable de définir les points de validation lié à la sécurité permettant de suivre le projet et de le faire avancer sans perturbation.

Point 14 : ANNEXES

• Annexe 1 : Les 10 règles d'or du RSSI
• Annexe 2 : Tables des risques & solutions
• Annexe 3 : Glossaire
• Annexe 4 : Notions d'Intelligence Economique appliquées au rôle de RSSI

Au terme de cette formation initiale, le RSSI sera évalué de manière à juger de son assimilation et de son évolution.

Un premier bilan sera fait pour pouvoir organiser des formations complémentaires au cours de la phase d'accompagnement et si les projets de votre entreprise correspondent, de développer la formation durant des journées d'accompagnement.

En fin de formation initiale, un calendrier des projets sera établit par le RSSI et sa direction, celui-ci permettant de prévoir l'étape 3 d'accompagnement.

Formation technique des équipes du SI

Contexte de la formation

Une sécurité saine repose sur une équipe performante

Cette formation vise uniquement le personnel technique de votre entreprise et est un condensé de sensibilisation à la sécurité des systèmes d'informations et des points de formation technique qui seront dispensés au RSSI.

La formation est très orientée métier et technologies, elle vise à donner aux équipes techniques une connaissance permettant d'être à la fois en veille quant à la sécurité du système d'information, d'avoir une démarche proactive auprès du DSI/RSSI si une question de sécurité venait à se poser, et enfin de pouvoir être une base de vigilance quant au comportement des utilisateurs.

Démarche de formation

Groupe: 5 personnes minimum et 10 personnes maximum, profils techniques.

La formation a pour but de sensibiliser les personnels techniques et de faire un transfert de compétence sur les points qu'ils souhaiteront particulièrement aborder en fonction de leur environnement de travail.

Il existe deux types de formation :

Le choix entre ces deux formations dépend principalement :

• Du niveau de compétence souhaité
• des besoins en interne pour répondre à la mise en ouvre de certains projets.

Le programme sera le même en formation niveau 1 et 2, seul l'approfondissement des différents points sera différent.

Programme de formation

Programme adapté aux administrateurs réseau

Point 1 : Sécurité réseau

Point technique sur le fonctionnement détaillé des réseaux (*)

• Sécurité des différents éléments actifs (*)
• Division & Filtrage du réseau (*)
• Les attaques réseaux (*)
• Les systèmes défenses existants (*)

Point 2 : Sécurité système

• Sécurité des systèmes Windows
• Sécurité des systèmes Unix

(*) Accompagné de TP ou TD

Programme adapté aux developpeurs

Point 2 : Sécurité applicative

• Sécurité des applications génériques
• Sécurité des applications spécifiques
• Spécificité de la sécurité des applications Web

En fonction de votre gestion d'équipe le point 3 peut-être aussi dédié aux administrateurs si vous souhaitez que ce pôle soit le garant des développements et centralise la sécurité sous contrôle du RSSI.

Formation de sensibilisation des utilisateurs à l'ingénierie sociale (IS)

Contexte de la formation

La sécurité ne tient que par son maillon le plus faible.

La plupart des pirates, qu'ils soient des mercenaires ou des indépendants, choisissent d'exploiter les faiblesses humaines, une stratégie qui est souvent très rapidement payante.

Dans la majorité des cas, 72 H après le début des opérations, aucune information ne reste hors de la portée des pirates. Au bout de cents ou deux cents heure de travail, les pirates disposent du contrôle complet du système d'information et des mots de passes des utilisateurs.

Il est possible d'éviter ce type de périls ou en tout cas de très fortement les limiter en sensibilisant les utilisateurs.
La sécurité d'un réseau informatique, quelques soient les moyens mis en ouvre, peut être compromise par une seule erreur humaine. Les réseaux de votre entreprise peuvent être très bien protégés contre les attaques externes mais les techniques les plus efficaces reposent sur des pièges classiques tendus par les pirates aux utilisateurs du système d'information.

Groupe : 10 personnes minimum et 25 personnes maximum tous profils confondus.

Durée :2 heures.

Elle a pour but de promouvoir la sécurité au sein de l'entreprise et de faciliter l'adhésion des utilisateurs à la mise en place d'une politique de sécurité renforcée.

Les points abordés seront :

• Pourquoi un pirate rentre dans un réseau ?
• Comment un pirate fait il pour pénétrer un réseau ?
• L'implantation d'un cheval de Troie et l'ingénierie sociale.
• Les Fichiers exécutables (aussi appelés programmes).
• Repérer les pièges et les éviter, les règles d'or.
• Que faire en cas doute ?

Un support sera fourni aux participants et ils pourront poser toutes les questions qu'ils jugeront nécessaires à leur compréhension, en particulier si ils souhaitent faire des parallèles avec des aspects de leur vie privée (connexion sur des sites bancaires, ligne internet personnelle,.).

Tarification de nos formations