Formation - Homologation de la sécurité - Référentiel Général de Sécurité (RGS) 2.0

1 - Introduction

• Cadre juridique du RGS (ordonnance du 8 décembre 2005 et arrêtés d'application)
• Périmètre d'éligibilité au RGS (organismes concernés par le RGS, ...)
• Historique de la sécurité des systèmes d'information
• Principes généraux relatifs à la protection des données à caractère personnel (Informatique et Libertés)

2 - Les principes généraux du Référentiel Général de Sécurité

• Démarche de mise en oeuvre du RGS pour tous les nouveaux téléservices
• Mise en conformité des téléservices opérationnels avant la parution du RGS
• L'homologation de la sécurité des systèmes d'information
• Les prestataires de services de confiance (PSCO)
• Les produits de sécurité labellisés ou certifiés
• Les fonctions techniques de sécurité
• La prise en compte de la sécurité dans les démarches projets

3 - La mise en place d'une filière sécurité au sein de l'autorité administrative

• Les instances de décisions
• L'autorité d'homologation
• Les acteurs de la filière SSI (RSSI, CIL, Référents SSI, ....)
• Les rôles et responsabilités collectives et individuelles de tous les personnels de l'autorité administrative
• Exemple de modèle organisationnel
• Exemple de document décrivant les rôles et les responsabilités

4 - L'homologation de la sécurité

• Le rôle du chef de projet dans le processus d'homologation
• La création du dossier de sécurité d'un nouveau projet informatique
• La présentation du dossier de sécurité à l'autorité d'homologation

5 - L'appréciation des risques et la définition des objectifs de sécurité

• Présentation du guide méthodologique de la CNIL
• Présentation de la méthode EBIOS de l'ANSSI
• Appréciation des risques dans le cadre d'un téléservice
• Analyse de la maturité du SI – présentation du guide de maturité de l'ANSSI
• Étude de cas basé sur l'utilisation du logiciel SCORE Priv@vy

6 - L'audit de la sécurité des systèmes d'information

• Les catégories d'audit
• Les exigences relatives aux choix d'un prestataire d'audit
• Les métriques d'audit et la présentation des résultats
• Présentation du guide de l'auditeur de l'ANSSI

7 - La formalisation de la PSSI

• Les objectifs de la PSSI, son périmètre
• Les sujets à aborder dans le cadre de la politique de sécurité
• La structure document d'une politique de sécurité
• Les chartes à destination des personnels internes ou externes
• Exemple de directives de sécurité, de PSSI et de chartes

8 - La sensibilisation des personnels

• La démarche de sensibilisation
• Construire son plan de sensibilisation
• Exemple de support et d'outils de sensibilisation
• Le suivi de la sensibilisation

9 - La prise en compte de la SSI dans les nouveaux projets

• Présentation du guide GISSIP de l'ANSSI
• Les livrables de sécurité attendus à chaque étape d'un nouveau projet
• La formalisation d'un dossier de sécurité
• Exemple de création d'un dossier de sécurité en utilisant le logiciel SCORE Priv@cy

10 - Les fonctions techniques de sécurité informatique

• Les règles relatives à la cryptographie
• Les règles relatives à la protection des échanges électroniques
• Les règles relatives aux accusés d'enregistrement et aux accusés de réception

11 - Le plan de traitement des incidents et de reprise d'activité

• Principes généraux relatifs à la gestion des incidents
• Introduction à la mise en oeuvre d'un PCA / PRA (basé sur la norme ISO 22301)
• Procédures d'alertes et de gestion d'un cyber-crise on

12 - La maintenance et le suivi de la sécurité des systèmes d'information

• La mise en place d'une démarche d'amélioration continue basée sur la norme ISO 27001
• La veille technique et juridique de la sécurité des systèmes d'information
• Les tableaux de bord de suivi de la sécurité des systèmes d'information