Plan du cours
ISO/IEC 27002:2022 est la dernière norme internationale fournissant des lignes directrices pratiques pour les contrôles de sécurité de l'information, conjointement avec l'ISO/IEC 27001 pour établir, mettre en œuvre et améliorer un Système de Gestion de la Sécurité de l'Information (SMSI). Cette version améliorée est alignée sur la révision de 2022 et intègre la terminologie actuelle des ressources humaines et du recrutement utilisée dans les descriptions d'emploi en sécurité de l'information.
Fondements de la sécurité de l'information, de la cybersécurité et de la vie privée
- Fondamentaux de la sécurité de l'information : confidentialité, intégrité et disponibilité (triade CIA) dans les environnements d'entreprise modernes
- Évolution des menaces cybernétiques : rançongiciels, attaques étatiques, menaces internes et compromis de la chaîne d'approvisionnement
- Vie privée dès la conception et alignement réglementaire avec le RGPD, la CCPA et les cadres mondiaux de protection des données
- Gouvernance de l'information : propriété, responsabilité et alignement des parties prenantes à travers les départements
- Gestion de la confiance et paradigme de l'architecture zéro confiance dans les environnements hybrides et cloud
Le cadre ISO/IEC 27001–27002 et la gouvernance SMSI
- Cycle de vie SMSI ISO/IEC 27001 : Planifier-Faire-Vérifier-Agir (PDCA) et voies de certification
- Relation entre ISO/IEC 27001 et le catalogue de contrôles actualisé ISO/IEC 27002:2022
- Développement de la politique de sécurité de l'information et structures de gouvernance de haut niveau
- Cartographie de la conformité réglementaire : alignement sur NIST CSF, CIS Controls, SOC 2 et HIPAA
- Métriques de sécurité de l'information, indicateurs clés de performance (KPI) et rapports d'amélioration continue
Contrôles organisationnels — Le cadre du groupe de contrôles 5
- Rôles, responsabilités et séparation des tâches en matière de sécurité de l'information à travers les niveaux organisationnels
- Programmes de renseignement sur les menaces et plateformes de gestion des informations de sécurité (SIEM, SOAR)
- Gestion de la posture de sécurité cloud (CSPM) et conformité de l'infrastructure en tant que code
- Sécurité des réseaux sociaux, BYOD et du travail à distance : gestion des appareils mobiles et protection des points de terminaison
- Surveillance, détection d'incidents et gestion des risques tiers dans des écosystèmes informatiques complexes
Contrôles humains — La main-d'œuvre de sécurité
- Sensibilisation à la sécurité, techniques de changement de comportement et programmes de simulation d'hameçonnage
- Vérification des antécédents, contrôles d'intégration et de départ du cycle de vie de l'emploi
- Résilience de la main-d'œuvre à distance et politiques d'accès sécurisé au travail flexible
- Cadres de compétences : alignement de la formation en sécurité de l'information sur les rôles à tous les niveaux
- Édifier une culture priorisant la sécurité et la collaboration interfonctionnelle en matière de gestion des risques
Contrôles physiques — Sécurité des installations et des actifs
- Conception sécurisée des installations : sécurité périmétrique, systèmes de surveillance et contrôles d'accès physiques
- Maintenance de l'équipement, assurance de la chaîne d'approvisionnement et gestion du cycle de vie des actifs
- Sécurité des centres de données : contrôles environnementaux, redondance électrique et préparation à la reprise après sinistre
- Méthodes de destruction sécurisée des supports sensibles : normes de déclassification et intégrité de la chaîne d'approvisionnement
- Menaces physiques émergentes : sécurité des appareils IoT et surfaces d'attaque des bâtiments intelligents
Contrôles technologiques et domaines avancés de la sécurité
- Contrôles cryptographiques : gestion du cycle de vie des clés, PKI et optimisation cryptographique par IA
- Sécurité des applications : SDLC sécurisé, sécurité API, intégration DevSecOps et outils SAST/DAST
- Contrôles d'architecture réseau : segmentation, micro-segmentation, pare-feu et IDS/IPS nouvelle génération
- Sécurité des courriels : anti-hameçonnage, DMARC/SPF/DKIM et défense contre la compromission des comptes professionnels (BEC)
- Intelligence artificielle et apprentissage automatique en cybersécurité : détection automatisée des menaces et atténuation de l'IA hostile
Évaluation des risques de sécurité de l'information et conformité
- Méthodologies d'évaluation des risques alignées sur ISO/IEC 27005 : identification, analyse et évaluation
- Planification du traitement des risques et déclaration d'applicabilité (SOA)
- Préparation aux audits de conformité : coordination des audits internes/externes et audit fondé sur les preuves
- Méthodologies de test de pénétration et cycle de gestion des vulnérabilités
- Menaces émergentes : risque lié à l'informatique quantique, durabilité environnementale (informatique verte) et technologies améliorant la vie privée (TEV)
Préparation à l'examen PECB et application pratique
- Structure de l'examen Fondateurs PECB ISO/IEC 27002, domaines de compétences et stratégies de préparation
- Cas d'étude types : mise en œuvre de la sécurité de l'information dans les services financiers, les soins de santé et le secteur technologique
- Éditer une sensibilisation à la sécurité de l'information et une culture organisationnelle après la certification
- Maintenance de la certification, développement professionnel et voies de carrière pour les rôles en sécurité de l'information
Résumé de la recherche
La structure actuelle sur deux jours est fortement condensée et omet l'étendue substantielle de l'ISO/IEC 27002:2022, qui a introduit 93 contrôles regroupés en quatre thèmes (Organisationnel, Humain, Physique, Technologique) — contre 114 contrôles répartis dans 14 catégories de contrôles dans la version 2013. Les tendances clés du recrutement en sécurité de l'information pour 2024–2026 incluent l'architecture zéro confiance, les opérations de sécurité pilotées par l'IA, la gestion de la posture de sécurité cloud, l'intégration DevSecOps, la sécurité de la chaîne d'approvisionnement, les technologies améliorant la vie privée, la cryptographie prête pour l'ère quantique et la gestion des risques tiers. Les offres d'emploi pour des rôles tels qu'analyste en sécurité de l'information, responsable SMSI, responsable de la conformité, spécialiste en cybersécurité et gestionnaire des risques exigent systématiquement ces compétences.
Pré requis
Aucune exigence spécifique n'est nécessaire pour suivre ce cours.
Nos clients témoignent (5)
Théorie suivie d'exemples pratiques et d'exercices. Très bien fait !
Vincenzo Delle Donne - Department of National Defence
Formation - ISO 37301 Compliance Management System
Traduction automatique
l'expertise et les connaissances du formateur
Erica DeRosa DeRosa - Aecon Group INc.
Formation - ISO 37001 Anti-Bribery Management System
Traduction automatique
Avec la formation de préparation à l'audit ISO 9001 que j'ai suivie en 2022 et le cours de rafraîchissement récemment terminé, Dereck m'a beaucoup aidé à acquérir une nouvelle perspective pratique des clauses et sections de l'ISO 9001:2015 et à comprendre comment elles s'appliquent à notre entreprise. Dereck m'a également aidé dans les deux formations pour améliorer mes communications relatives à l'ISO, tant avec les employés de notre entreprise qu'avec les auditeurs ISO externes.
Dana Foster - Corrigan Oil Company
Formation - ISO 9001 Foundation
Traduction automatique
Les quiz pour renforcer la lecture et la possibilité de poser des questions à tout moment
Jonathan
Formation - ISO 9001 Lead Auditor
Traduction automatique
Vitesse de réponse et communication
Bader Bin rubayan - Lean Business Services
Formation - ISO/IEC 27001 Lead Implementer
Traduction automatique