Intégrer la sécurité numérique dans les projets SI de l’état
CI90-6-013 / 5-008
Besoin d’adapter cette formation à vos besoins ?
N’hésitez pas à nous contacter afin d’obtenir un devis sur mesure !
Formation créée le 05/11/2024. Dernière mise à jour le 06/03/2025.
Version du programme : 2
Programme de la formation Version PDF
L’actualité ne cesse de relater des incidents de sécurité impactant les organisations et les personnes. La sécurité est aujourd´hui au cœur des préoccupations des entreprises et des administrations, ce qui se traduit par l’identification de besoins de sécurité dès les premières phases des projets. Cette formation a pour objectif de fournir les éléments qui vous permettront de prendre en compte ces exigences dans vos projets SI, quel que soit le Framework utilisé. Cette formation a pour but d'amener les apprenants à un niveau SAME "Application" et d'enrichir les compétences : * Superviser les différents aspects (performances, coûts, délais, qualité, risques, sécurité) du Système d’information afin de garantir sa pérennité * Identifier les risques et mesurer leurs impacts * Maîtriser le développement d’une solution informatique, répondant aux besoins du SI en faisant les choix adaptés des technologies, des matériels et des logiciels
Objectifs de la formation
- Comprendre les risques, menaces, vulnérabilités sur les systèmes et applications afin de définir des exigences de sécurité dans les projet
- Intégrer les résultats d’une analyse de risque dans la spécification des exigences des projets SI
- Se familiariser avec le SDLC (System Development LifeCycle)
Profil des bénéficiaires
- Directeurs de programme/projet, managers opérationnels MOA et MOE, chefs de projet, toute personne impliquée dans un projet SI
- Des connaissances en gestion de projet
- Aucune connaissance technique particulière n’est nécessaire
Contenu de la formation
-
Introduction
- Rappel des enjeux de sécurité dans les SI
- Etat des lieux sur les menaces de sécurité d’un SI
- Réglementation et normes en vigueur (RGPD, RGS, normes ISO 27k, autres référentiels)
- Qu’est-ce qu’un projet SI
- Concept de base de la sécurité : la triade CID (Confidentialité, Intégrité, Disponibilité) et traçabilité
-
Analyse et gestion du risque : phase préalable au projet
- Définition des actifs selon la norme ISO 27005
- La valorisation et la classification des actifs
- Gestion du risque par une approche systémique
- Les apports de la norme ISO27002 dans le contexte de la réduction des risques
- Les outils méthodologiques : Ebios, Mehari
-
La gestion de la sécurité de bout en bout
- Les 3 principes du « Security by design » : réduction de la surface d’attaque, les moindres privilèges, la défense en profondeur, la sécurité par l’obscurité
- L’apport des méthodes de développement et les tests de sécurité dès la phase de conception : o Le guide d’intégration de la SSI dans les projets (GISSIP) de l’ANSSI o Les tests continus de type ATDD dans Scrum : Test Acceptance Driven Development o Le manifeste de DevSecOps
- Introduction au Secure SDLC (System Development LifeCycle)
- Intégrer la sécurité dans les approches projet (classique, agile, spirale, etc.)
- Les enjeux de sécurité liés aux COTS, au cloud et à l’open source
-
La sécurité dans le cycle de vie du projet
-
Initialisation et planification des activités de sécurité
- Etablir les exigences de l’utilisateur : déterminer les exigences de sécurité
- Identification des options et alternatives : analyse des risques
- Sélectionner l’approche projet (classique, agile, etc.) : définition de la stratégie de sécurité
-
Définition des exigences fonctionnelles
- Etablir les exigences de sécurité, préparation de l’analyse de risques et du plan de contingence
- Définition des critères de tests de sécurité
-
Spécifications détaillées de la conception du système
- Spécification de sécurité
- Mise à jour des plans de test
- Conception et documentation de la « Baseline »
-
Développement et implémentation
- Développement du système : développement et assemblage sécurisés
- Tests unitaires et évaluations : évaluation du code et du matériel sécurisés
- Documentation du système : documentation du code et du matériel
-
Test, acceptation et transition vers les activités de sécurité de la production
- Composants systèmes : test des composants de sécurité
- Performance du système : validation, sécurité du système intégré
- Tests d’acceptation : certification des opérations sécurisées
- Système intégré : mise en production du code et du matériel sécurisés
- Documentation du projet : contrôles de sécurité de la documentation et des manuels
- Système : acceptation
- Planification, conception et déroulement de la formation
-
Post installation : opérations de support et de maintenance
- Early Life Support, gestion des incidents de sécurité, support utilisateur
- Monitoring de la performance
- Assurer la continuité des opérations
- Redondance, détection des failles de sécurité
- Test des backups, des procédures de restauration
- Test de l’efficacité des contrôles de sécurité, analyse des risques en continu
- Gestion des changements : classification des actifs, achat ou remplacement du matériel ou du logiciel, gestion des interfaces, etc.
- Feuilles de présence.
- Quiz
- Exercices pratiques
- Formulaires d'évaluation de la formation.
- Certificat de réalisation de l’action de formation.
- Alternance de concepts (50%) et de travaux pratiques (50%)
- La pédagogie active est priorisée : mise en situation sous forme d’ateliers et cas pratiques, exercices, analyses collectives d’exemples ou de situations, le cas échéant, rencontrées par les participants…
- Apports du formateur au regard de son expérience opérationnelle