Formation Certification ISO/IEC 27035 Manager

[Jour 1 – Matin]

Principes fondamentaux de la gestion des incidents

• Pourquoi chaque incident est une opportunité d’apprentissage ?
• Définition : incident vs événement, alerte, faille
• Objectifs et enjeux de la gestion des incidents selon ISO/IEC 27035
• Périmètre couvert par la norme
• Rôles, acteurs et gouvernance associée
• Impacts métiers et risques cyber

[Jour 1 – Après-midi]

Architecture et compréhension de la norme ISO/IEC 27035

• Vue globale des 3 parties : 27035-1, -2, -3
• Logique du cycle de vie des incidents
• Préparation vs opérations vs retour d’expérience
• Positionnement dans un SMSI global
• Atelier pratique : Cartographier les étapes d’un cycle de gestion d’incidents.

Diagnostic initial & audit de maturité

• Pourquoi mesurer la maturité du dispositif actuel
• Grille d’autoévaluation ISO/IEC 27035
• Analyse des écarts : organisation, procédures, outils
• Préparer un plan de montée en capacité

[Jour 2 – Matin]

Lien avec les autres normes et cadres réglementaires

• Articulation avec ISO/IEC 27001, 27002, 27005 et 22301
• Alignement RGPD et NIS2 : obligations de notification, responsabilités
• Exigences sectorielles (santé, finance, OSE/SE)
• Référentiels complémentaires (NIST, ENISA/ANSSI)
• Atelier pratique : Relier un plan d’incidents aux exigences RGPD/NIS2.

[Jour 2 – Après-midi]

Élaborer une politique de gestion des incidents

• Structure et contenu d’une politique ISO/IEC 27035
• Liens avec les politiques sécurité globales et la conformité RGPD
• Processus de validation, communication et mise à jour
• Gouvernance et sponsoring de la direction

Organisation opérationnelle et acteurs clés

• Composition d’un CSIRT interne : rôles et responsabilités
• Complémentarité avec SOC, DSI, métiers, conformité
• Compétences clés et ressources humaines nécessaires
• Modèle RACI et coordination inter-services
• Atelier pratique : Définir la structure opérationnelle d’un CSIRT.

[Jour 3 – Matin]

Management et gestion d’équipe de réponse aux incidents

• Leadership et pilotage d’une équipe CSIRT
• Gestion du stress, de la charge et des priorités en crise
• Communication managériale interne/externe
• Développement des compétences et gestion des conflits

[Jour 3 – Après-midi]

Triage, classification et priorisation des incidents

• Étapes de qualification d’un événement en incident
• Niveaux de criticité (impact, vraisemblance, urgence)
• Catégories d’incidents : malware, compromission, fuite de données…
• Registre des incidents : structure et éléments clés
• Introduction au référentiel MITRE ATT&CK pour la classification et l’analyse des modes opératoires
• Apport des Threat Intelligence Feeds pour enrichir la qualification et le suivi des incidents
• Atelier pratique : Simuler un triage multi-sources.

Réponse : confinement, éradication, récupération

• Techniques de confinement selon le type d’incident
• Éradication : suppression de la cause, neutralisation du vecteur
• Restauration : sauvegardes, revalidation, bascule
• Documentation continue et rôle du CSIRT
• Atelier pratique : Reconstituer un plan de réponse complet.

[Jour 4 – Matin]

Communication de crise et coordination externe

• Plan de communication interne et externe
• Interface avec la direction, le juridique, la conformité
• Obligations de notification (CNIL, clients, autorités…)
• Collaboration avec CERT/ANSSI et partenaires
• Atelier pratique : Élaborer un plan de communication de crise.

[Jour 4 – Après-midi]

Reprise d’activité et retour à la normale

• Vérifications post-restauration : intégrité, disponibilité
• Autorisation de remise en production
• Mise à jour des contrôles de sécurité
• Suivi court terme post-incident
• Documentation de la clôture d’incident

Retour d’expérience et capitalisation

• Méthodologie d’analyse post-mortem
• Rapport d’incident complet et analyse causale
• Plans d’action correctifs et suivi
• Capitalisation et amélioration continue
• Atelier pratique : Produire un rapport d’incident + plan d’amélioration.

[Jour 5 – Matin]

Pilotage, supervision et maintien en condition opérationnelle

• Choisir des KPI/KRI (MTTD, MTTR, taux de détection…)
• Tableaux de bord pour le pilotage du PGI et revues périodiques
• S’appuyer sur outils de supervision (Grafana, Kibana, etc.)
• Panorama des solutions modernes : SIEM, SOAR, XDR, Threat Intelligence, IA/ML appliqués à la détection et à la corrélation d’événements
• Exercices de simulation, tests réguliers, formation continue
• Mise à jour des scénarios de détection/traitement

[Jour 5 – Après-midi]

Auditabilité et conformité

• Exigences ISO/IEC 27001 & 27035 en matière de preuves
• Registre des incidents et traçabilité des réponses
• Alignement RGPD/NIS2 et exigences sectorielles
• Préparation à un audit (interne, externe)
• Documentation attendue lors d’un audit ISO

Préparation à l’examen

• Récapitulatif des points clés du programme
• Conseils méthodologiques (format, questions, pièges)
• Exemples de sujets d’épreuve et corrections guidées
• Orientation post-certification
• Atelier pratique : Passage d’un examen blanc et correction.