Formation certification ISSMP – Information Systems Security Management Professional

Programme de formation ISSMP – Information Systems Security Management Professional

[Jour 1 – Matin]

Fondamentaux et rôle du manager sécurité

• Positionnement de l’ISSMP vs CISSP et autres certifications ISC²
• Rôle stratégique du manager sécurité : alignement métier
• Le référentiel officiel de compétences (CBK) ISSMP et la logique de domaines
• Compétences clés : gouvernance, leadership, communication
• Atelier pratique : Autoévaluation des compétences et gap analysis.

[Jour 1 – Après-midi]

Gouvernance et alignement avec l’organisation

• Vision, mission, objectifs sécurité alignés aux objectifs business
• Rôles et responsabilités, comités, chartes
• Cadres de gouvernance : ISO 27014, COBIT, ITIL
• Mesure de maturité et pilotage par les indicateurs
• Atelier pratique : Cartographier la gouvernance sécurité de l’entreprise.

Politiques, normes et procédures

• Hiérarchie : politiques, standards, procédures, guidelines
• Cycle de vie documentaire et approbations
• Diffusion des politiques, formation des équipes et vérification de leur application effective.
• Auditabilité et conformité
• Atelier pratique : Rédiger une politique sécurité conforme ISO 27001.

[Jour 2 – Matin]

Gestion des risques : méthodes et mise en œuvre

• Processus : identification, analyse, traitement, acceptation
• Référentiels : ISO 31000, NIST RMF, EBIOS/FAIR
• Cartographie des risques et appétence au risque
• Plans de remédiation et suivi
• Atelier pratique : Réaliser une analyse de risques complète.

[Jour 2 – Après-midi]

Conformité et exigences réglementaires

• Panorama : RGPD, SOX, HIPAA, PCI DSS, ISO 27001
• Privacy by design et registres de traitement
• Mécanismes de contrôle et audits
• Gestion des écarts et plans d’actions
• Atelier pratique : Mini-audit conformité et plan de correction.

Architecture et gouvernance technique

• Cadres : SABSA, TOGAF, NIST CSF
• Gestion des actifs, configurations et obsolescence
• Sécurité physique, logique, réseau : vues intégrées
• Patterns de défense en profondeur
• Atelier pratique : Cartographier l’architecture sécurité cible.

[Jour 3 – Matin]

Cycle de vie des systèmes

• Intégration de la sécurité dans le SDLC
• Exigences, conception, validation, mise en service
• Changements, décommissionnement et destruction
• Assurance qualité et traçabilité : validation, vérification et preuves de conformité des livrables
• Atelier pratique : Check-list sécurité pour projets critiques.

[Jour 3 – Après-midi]

Opérations de sécurité et pilotage

• Processus SOC : supervision, détection, triage
• Gestion des vulnérabilités et correctifs
• Gestion des accès et IAM, journalisation, SIEM
• Externalisation et fournisseurs managés
• Atelier pratique : Définir des KPI/KRI opérationnels SOC.

Gestion de la performance : KPI, KRI et tableaux de bord

• Choisir des indicateurs utiles pour le COMEX
• Mesure de l’efficacité des contrôles
• Amélioration continue et revue de direction
• Storytelling et data visualisation sécurité
• Atelier pratique : Concevoir un tableau de bord cybersécurité.

[Jour 4 – Matin]

Continuité d’activité, résilience et PRA

• Concepts : RTO, RPO, MTTR, criticité
• PCA/PRA : conception, tests, maintien
• Chaîne d’escalade et communication de crise
• Résilience organisationnelle et dépendances
• Atelier pratique : Exercice de crise et post-mortem.

[Jour 4 – Après-midi]

Gestion des fournisseurs et tiers

• Due diligence et questionnaires sécurité
• Clauses contractuelles, SLA/SLO, droits d’audit
• Surveillance continue et risques supply chain
• Gestion des incidents tiers
• Atelier pratique : Revue d’un contrat fournisseur critique.

Légal, éthique et conformité internationale

• Responsabilités du manager et éthique
• Vie privée, transferts et localisations de données
• Preuves, e-discovery, conservation
• Cyberassurance et aspects contractuels
• Atelier pratique : Gestion d’une violation de données personnelles selon le RGPD.

[Jour 5 – Matin]

Réponse aux incidents et gestion de crise

• Plans IR : préparation, détection, contenance, éradication
• Rôles, cellule de crise et communication
• Coordination partenaires/autorités
• Retour d’expérience et leçons apprises
• Atelier pratique : Simulation d’un incident majeur.

[Jour 5 – Après-midi]

Leadership et management des équipes sécurité

• Culture sécurité et conduite du changement
• Organisation, responsabilités, montée en compétences
• Motivation, conflits, collaboration inter-Directions
• Plan de carrière et rétention des talents
• Atelier pratique : Plan de développement d’une équipe SOC.

Préparation à l’examen ISSMP

• Format, domaines, pondérations et stratégies d’examen
• Gestion du temps, techniques de réponse et pièges courants
• Révision ciblée des points sensibles du CBK
• Atelier pratique : Passage de l’examen blanc + correction.