En bref :
- Formation de 3 jours conforme à la norme ISO/IEC 27005 et aux exigences PECB
- Couvre 4 domaines de compétence officiels : principes fondamentaux, mise en œuvre, processus ISO/IEC 27005, méthodes alternatives
- Inclut manuel de plus de 350 pages, exercices pratiques et examen de certification PECB
- Aucun prérequis obligatoire pour suivre cette formation
- Examen couvrant les méthodes OCTAVE, EBIOS, MEHARI et méthodologie harmonisée EMR
- Certification reconnue par PECB pour démontrer les compétences en gestion des risques SMSI
Qu’est-ce que la certification ISO/IEC 27005 Risk Manager ?
La certification PECB Certified ISO/IEC 27005 Risk Manager atteste la maîtrise des processus d’appréciation et de gestion des risques liés à la sécurité de l’information. Elle se fonde sur la norme ISO/IEC 27005, référence internationale pour le management des risques dans le cadre d’un SMSI conforme à ISO/IEC 27001.
Cette certification valide la capacité à réaliser une appréciation optimale des risques et à gérer les risques de sécurité de l’information dans les délais requis. Elle démontre une expertise reconnue par PECB pour conseiller les organisations sur les meilleures pratiques en gestion des risques.
Quels sont les objectifs pédagogiques de cette formation ?
La formation poursuit quatre objectifs principaux alignés sur les exigences PECB :
- Comprendre la relation entre gestion des risques et mesures de sécurité : articulation entre appréciation des risques et contrôles ISO/IEC 27001
- Maîtriser les concepts et méthodes ISO/IEC 27005 : approches, techniques et processus conformes à la norme
- Interpréter les exigences ISO/IEC 27001 : application spécifique au contexte de la gestion des risques de sécurité de l’information
- Acquérir les compétences de conseil : capacité à conseiller efficacement les organisations sur les meilleures pratiques
Qui devrait suivre cette formation ISO/IEC 27005 Risk Manager ?
Cette formation s’adresse à tout professionnel impliqué dans le traitement ou la protection de l’information au sein d’une organisation :
- Responsables de la sécurité de l’information
- Membres d’équipe de sécurité de l’information
- Responsables de la conformité et du risque
- Professionnels mettant en œuvre ISO/IEC 27001 ou impliqués dans un programme de gestion des risques
- Consultants en technologies de l’information
- Professionnels des TI
- Agents de la sécurité de l’information
- Agents de la protection des données personnelles
Aucun prérequis formel n’est exigé pour suivre cette formation.
Quelles méthodes d’appréciation des risques sont couvertes ?
La formation aborde la norme ISO/IEC 27005 comme cadre de référence principal, complétée par quatre méthodes d’appréciation alternatives reconnues :
- OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) : méthode centrée sur les actifs critiques développée par le SEI
- EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) : méthode française de gestion des risques publiée par l’ANSSI
- MEHARI (Méthode Harmonisée d’Analyse de Risques) : méthode développée par le CLUSIF pour l’analyse et le traitement des risques
- Méthodologie harmonisée EMR (Enterprise Model Risk) : approche harmonisée de gestion des risques au niveau entreprise
Comment se déroule le programme de formation sur 3 jours ?
Quel est le contenu du Jour 1 ?
Le premier jour introduit le programme de gestion des risques conforme à ISO/IEC 27005. Les participants découvrent les principes et concepts fondamentaux relatifs à la gestion des risques liés à la sécurité de l’information.
Cette journée établit les bases théoriques nécessaires pour comprendre le cadre ISO/IEC 27005 et son articulation avec ISO/IEC 27001.
Que couvre le Jour 2 de la formation ?
Le deuxième jour se concentre sur la mise en œuvre d’un processus de gestion des risques conforme à ISO/IEC 27005. Les participants travaillent sur des exercices pratiques basés sur des études de cas réels.
Cette journée développe les compétences opérationnelles pour déployer un programme de gestion des risques dans une organisation.
Qu’est-ce qui est prévu le Jour 3 ?
Le troisième jour présente un aperçu des autres méthodes d’appréciation des risques (OCTAVE, EBIOS, MEHARI, EMR) et se termine par l’examen de certification PECB.
Les participants passent l’examen PECB Certified ISO/IEC 27005 Risk Manager qui valide leurs compétences acquises.
Quels sont les domaines de compétence évalués à l’examen PECB ?
L’examen PECB Certified ISO/IEC 27005 Risk Manager couvre quatre domaines de compétence définis par le programme de certification PECB :
| Domaine | Contenu évalué |
|---|---|
| Domaine 1 | Principes et concepts fondamentaux relatifs à la gestion des risques liés à la sécurité de l’information |
| Domaine 2 | Mettre en œuvre un programme de gestion des risques liés à la sécurité de l’information |
| Domaine 3 | Processus et cadre de gestion des risques conformes à la norme ISO/IEC 27005 |
| Domaine 4 | Autres méthodes d’appréciation des risques de la sécurité de l’information |
L’examen remplit les exigences officielles du programme d’examen et de certification de PECB.
Quelle est la démarche pédagogique utilisée ?
La formation alterne théorie et pratique selon quatre modalités complémentaires :
- Séances de lectures théoriques : illustrées par des exemples de cas réels d’organisations
- Exercices pratiques : basés sur des études de cas concrètes de gestion des risques
- Exercices de révision : préparation ciblée à l’examen de certification PECB
- Examen de pratique : similaire à l’examen de certification pour évaluer sa préparation
Le nombre de participants est limité afin de garantir la qualité des exercices pratiques et l’accompagnement individuel.
Quels documents et ressources sont fournis ?
Les participants reçoivent un manuel de l’étudiant contenant plus de 350 pages d’informations théoriques et d’exemples pratiques. Ce manuel couvre l’ensemble des domaines de compétence évalués à l’examen PECB.
Les frais d’examen et de certification PECB sont compris dans le prix de la formation. Aucun coût additionnel n’est requis pour passer l’examen et obtenir la certification.
Quelle est la relation entre ISO/IEC 27005 et ISO/IEC 27001 ?
La norme ISO/IEC 27005 constitue un guide d’application spécifique pour la gestion des risques dans le cadre d’un SMSI conforme à ISO/IEC 27001. Elle détaille les processus d’appréciation et de traitement des risques exigés par ISO/IEC 27001.
Cette formation s’inscrit dans le processus de mise en œuvre du cadre SMSI selon ISO/IEC 27001. Elle répond aux exigences de la clause 6.1.2 d’ISO/IEC 27001 relative à l’appréciation des risques de sécurité de l’information.
La maîtrise d’ISO/IEC 27005 permet d’interpréter correctement les exigences ISO/IEC 27001 en matière de gestion des risques et d’assurer la conformité du SMSI.
Questions fréquentes
Quels sont les prérequis pour suivre la formation ISO/IEC 27005 Risk Manager ?
Aucun prérequis formel n’est exigé pour suivre cette formation. Elle est accessible à tout professionnel impliqué dans la sécurité de l’information, la conformité ou la gestion des risques, quelle que soit son expérience préalable en gestion des risques.
Quelle est la durée de validité de la certification PECB ISO/IEC 27005 Risk Manager ?
La certification PECB Certified ISO/IEC 27005 Risk Manager suit le programme de maintien de certification de PECB. Les professionnels certifiés doivent accumuler des crédits de formation continue (CPD) pour maintenir leur certification active selon les règles PECB.
Quelles sont les différences entre OCTAVE, EBIOS et MEHARI ?
OCTAVE se concentre sur les actifs critiques et l’évaluation opérationnelle. EBIOS, développée par l’ANSSI française, suit une approche par scénarios de risques. MEHARI, créée par le CLUSIF, offre une analyse quantitative détaillée. La formation compare ces trois méthodes à ISO/IEC 27005.
Le manuel de formation de 350 pages est-il disponible en français ?
Le manuel de l’étudiant contenant plus de 350 pages d’informations et d’exemples pratiques est distribué aux participants. La langue de disponibilité dépend de l’organisme de formation PECB qui dispense le cours. Vérifiez auprès de l’organisme concerné.
Cette formation prépare-t-elle à l’audit des risques selon ISO/IEC 27001 ?
Cette formation prépare à gérer les risques selon ISO/IEC 27005, ce qui inclut la compréhension des exigences ISO/IEC 27001 en matière de gestion des risques. Pour l’audit SMSI complet, une formation ISO/IEC 27001 Lead Auditor distincte est recommandée.
Combien de questions comporte l’examen PECB Certified ISO/IEC 27005 Risk Manager ?
L’examen remplit les exigences du programme d’examen et de certification de PECB. Le format, le nombre de questions et la durée sont définis par les standards PECB. Contactez votre organisme de formation accrédité PECB pour les détails spécifiques de l’examen.
Pour plus d’information à cet égard, veuillez consulter le Fifalde-ISO27005-Risk-Manager-Course-Description–FR-V1.1.PDF
Fifalde Conseil Inc. est un organisme de formation agréé (OFA) accrédité par :
®* PECB est une marque déposée du Groupe PECB Inc. et est utilisée sous licence.
