v2.11.0 (5687)

Cours scientifiques - CSC_5CY10_TA : Gouvernance de la sécurité

Domaine > Sciences et technologies de l'information et de la communication, Computer Science.

Descriptif

L'ambition du cours est de montrer que, au sein d'une entité, un état satisfaisant en matière de sécurité des systèmes d'information ne peut être atteint que grâce à :
  - un ensemble de méthodes d'organisation efficaces, une définition précise et un partage connu des responsabilités ;
  - une gestion rationnelle, en fonction d'objectifs fixés et partagés.

Objectifs pédagogiques

  • Être capable d'identifier les risques d'un organisme et d'un système numérique.
  • Être capable d'analyser une politique de gestion des risques.
  • Être capable de participer à la définition et au pilotage des dispositifs de sécurité.

24.5 heures en présentiel (7 blocs ou créneaux)
réparties en:
  • Modules 3A : 24.5

2 heures de travail personnel estimé pour l’étudiant.

effectifs minimal / maximal:

9/30

Diplôme(s) concerné(s)

Pour les étudiants du diplôme Diplôme d'Ingénieur de l'Ecole Nationale Supérieure de Techniques Avancées

Cryptologie (ASI331), Architecture des systèmes d'information (ASI321)

Format des notes

Numérique sur 20

Littérale/grade européen

Pour les étudiants du diplôme Inside ENSTA Paris

L'UE est acquise si Note finale >= 10
  • Crédits ECTS acquis : 1.5 ECTS

Le coefficient de l'UE est : 1

La note obtenue rentre dans le calcul de votre GPA.

Pour les étudiants du diplôme Diplôme d'Ingénieur de l'Ecole Nationale Supérieure de Techniques Avancées

Vos modalités d'acquisition :

 À définir

Le rattrapage est autorisé (Max entre les deux notes écrêté à une note seuil)
  • le rattrapage est obligatoire si :
    Note initiale < 6
  • le rattrapage peut être demandé par l'étudiant si :
    6 ≤ note initiale < 10
L'UE est acquise si Note finale >= 10
  • Crédits ECTS acquis : 1.5 ECTS
  • Scientifique acquis : 1.5

Le coefficient de l'UE est : 1

La note obtenue rentre dans le calcul de votre GPA.

L'UE est évaluée par les étudiants.

Programme détaillé

1. Introduction et généralités
- contexte cyber sécurité / défense, acteurs, organismes
- définition de la gouvernance
- vertus du management pour régler les problèmes techniques
- sécurité : approche par la maîtrise des risques vs approche par l'état de l'art
- rôle de la PSSI, système de management de la sécurité, ISO 27001 et ISO 27002, et autres normes (COBIT, ITIL)
- menaces cyber, kill chain
2. Méthodologie d'analyse et de traitement du risque
- généralités sur l'analyse et le traitement du risque
- le risque cyber au sein du risque général
- norme ISO 27005
- méthode EBIOS et autres méthodes d'analyse de risque
- l'assurance du risque cyber
3. Intégration de la SSI dans les projets (1/2)
- référentiels réglementaires (y compris aspects CNIL)
- acteurs institutionnels et acteurs au sein de l'entreprise
- cadrer et valoriser le volet sécurité au sein du projet SI
4. Réglementation cyber, zoom sur les activités d'importance vitale
- présentation du panorama "défense et sécurité nationale" (Livre Blanc de 2013, etc...)
- rôles du SGDSN, de l'ANSSI et des autres organismes étatiques
- dispositif sur la sécurité des secteurs d'activité d'importance vitale (DNS, PSO, etc...)
- Loi de programmation militaire et obligation pour les opérateurs d'importance vitale
- exigences pour les systèmes d'importance vitale
5. Intégration de la SSI dans les projets (2/2)
- la démarche d'homologation
- adaptation à une approche agile
6. Cyberdéfense
- notion de défense en profondeur
- intégration de la défense dans la PSSI, planification
- SoC, CSIRTs
- préparation, entraînement, exercices
- gestion de crise
7. Conclusion et contrôle des connaissances

Mots clés

maîtrise des risques numériques, intégration de la SSI dans les projets, approche de la sécurité par les risques, gouvernance SSI
Veuillez patienter