Ec-council | Learning

Définir, mettre en œuvre, gérer et maintenir un programme de gouvernance de la sécurité de l'information

1. Forme d'organisation d'entreprise
2. Secteur d'activité
3. Maturité organisationnelle

Facteurs moteurs de la sécurité de l'information

Établir une structure de gestion de la sécurité de l'information

1. Structure organisationnelle
2. Position du CISO dans la structure organisationnelle
3. Le CISO exécutif
4. Le CISO non exécutif

Lois, réglementations et normes comme moteurs de la politique, des standards et des procédures

Gérer un programme de conformité en sécurité de l'information

Politique de sécurité

1. Nécessité d'une politique de sécurité
2. Défis liés à la politique de sécurité

Contenu de la politique

1. Types de politiques
2. Mise en œuvre de la politique

Structure de rapport

Normes et meilleures pratiques

Leadership et éthique

Code d'éthique EC-Council

Introduction à la gestion des risques

1. Structure organisationnelle
2. Position du CISO dans la structure organisationnelle
3. Le CISO exécutif
4. Le CISO non exécutif

Contrôles de sécurité de l'information

Identifier les besoins en sécurité de l'information de l'organisation

1. Identifier le cadre optimal
2. Concevoir les contrôles
3. Gestion du cycle de vie des contrôles
4. Classification des contrôles
5. Sélection et mise en œuvre
6. Catalogue des contrôles
7. Maturité des contrôles
8. Surveillance des contrôles
9. Correction des déficiences
10. Maintien des contrôles
11. Rapport sur les contrôles
12. Catalogue des services de sécurité

Gestion de la conformité

Lois, règlements et statuts

1. FISMA

Réglementations

1. GDPR

Normes

1. ASD — Manuel de sécurité
2. Bâle III
3. FFIEC
4. Famille ISO 00
5. NERC-CIP
6. PCI DSS
7. Publications spéciales NIST
8. SSAE 16

Directives et bonnes pratiques

CIS

1. OWASP

Gestion des audits

Attentes et résultats

Pratiques d'audit en sécurité

1. Guide ISO/IEC
2. Audits internes vs externes
3. Collaboration avec l'audit
4. Processus d'audit
5. Normes générales
6. Audits basés sur la conformité
7. Audits basés sur les risques
8. Gestion de la documentation
9. Réalisation d'un audit
10. Évaluation et rapport
11. Correction des constatations
12. Utilisation de logiciels GRC

Résumé

Gestion du programme

Définir une charte, les objectifs, exigences, parties prenantes et stratégies

1. Charte du programme
2. Objectifs
3. Exigences
4. Parties prenantes
5. Élaboration de la stratégie

Exécution d'un programme de sécurité

Définir, développer, gérer et surveiller le programme

1. Définir le budget
2. Élaborer le budget
3. Gérer le budget
4. Surveiller le budget

Définir et développer les besoins en personnel

Gestion des équipes

1. Résolution des problèmes de personnel
2. Formation et certifications
3. Parcours professionnels
4. Sensibilisation des utilisateurs

Gestion de l'architecture et de la feuille de route

1. Architecture du programme
2. Feuille de route

Gestion de projet et gouvernance

1. Pratiques de gestion de projet
2. Gestion des parties prenantes
3. Mesure de l'efficacité des projets

Gestion de la continuité d'activité (BCM) et planification DRP

Sauvegarde et récupération des données

Stratégie de sauvegarde

Normes BCM ISO

1. BCM
2. DRP

Continuité des opérations de sécurité

1. Intégration du modèle CIA

Test du plan BCM

Test du DRP

Planification de contingence et programmes de tests pour atténuer les risques et respecter les SLA

Réponse aux incidents informatiques

1. Outils de réponse aux incidents
2. Gestion des incidents
3. Communication en cas d'incident
4. Analyse post-incident
5. Test des procédures de réponse

Criminalistique numérique

1. Gestion de crise
2. Cycle de vie de la criminalistique

Résumé

Contrôle d'accès

1. Authentification, autorisation et audit
2. Authentification
3. Autorisation
4. Audit
5. Restrictions d'accès utilisateur
6. Gestion du comportement d'accès
7. Types de modèles de contrôle
8. Élaboration d'un plan de contrôle
9. Administration des accès

Sécurité physique

Concevoir, mettre en œuvre et gérer un programme de sécurité physique

1. Évaluation des risques physiques
2. Considérations sur l'emplacement
3. Obstacles et prévention

Conception d'installations sécurisées

1. Centre d'opérations de sécurité
2. Salle d'information classifiée
3. Laboratoire de criminalistique
4. Centre de données

5. Préparation aux audits de sécurité physique

Sécurité réseau

1. Évaluations et planification de la sécurité réseau
2. Défis d'architecture réseau
3. Conception de la sécurité réseau

Normes, protocoles et contrôles

1. Normes de sécurité réseau
2. Protocoles

Sécurité sans fil (Wi-Fi)

1. Contrôles de sécurité réseau

Sécurité des terminaux

1. Menaces sur les terminaux
2. Vulnérabilités des terminaux
3. Sensibilisation des utilisateurs
4. Renforcement des dispositifs
5. Journalisation des dispositifs

Sécurité des appareils mobiles

1. Risques mobiles
2. Contrôles mobiles

Sécurité de l'Internet des objets (IoT)

1. Protection des dispositifs IoT

Sécurité des applications

1. Modèle SDLC sécurisé
2. Séparation des environnements (dev, test, prod)
3. Approches de tests de sécurité
4. DevSecOps
5. Méthodologie Waterfall et sécurité
6. Méthodologie Agile et sécurité
7. Autres approches de développement
8. Renforcement des applications
9. Technologies de sécurité applicative
10. Gestion des versions et mises à jour
11. Sécurité des bases de données
12. Renforcement des bases de données
13. Bonnes pratiques de codage sécurisé

Technologies de chiffrement

1. Chiffrement et déchiffrement

Cryptosystèmes

1. Blockchain
2. Signatures numériques et certificats
3. PKI
4. Gestion des clés

7. Hachage
8. Algorithmes de chiffrement

Stratégie de chiffrement

1. Identification des données critiques
2. Décider quoi chiffrer
3. Définir les exigences
4. Sélection et gestion des technologies

Sécurité de la virtualisation

1. Vue d'ensemble de la virtualisation
2. Risques liés à la virtualisation
3. Problèmes de sécurité
4. Contrôles pour la virtualisation
5. Modèle de référence

Sécurité du cloud computing

1. Vue d'ensemble du cloud
2. Services cloud de sécurité et résilience
3. Problèmes de sécurité dans le cloud
4. Contrôles de sécurité cloud
5. Considérations de protection

Technologies transformatrices

1. Intelligence artificielle
2. Réalité augmentée
3. SOC autonome
4. Déception dynamique
5. Cybersécurité définie par logiciel

Résumé

Planification stratégique

Comprendre l'organisation

1. Comprendre la structure de l'entreprise
2. Définir et aligner les objectifs commerciaux et de sécurité
3. Identifier les sponsors, parties prenantes et influenceurs
4. Comprendre les finances de l'organisation

Créer un plan stratégique de sécurité

1. Bases de la planification stratégique
2. Alignement avec la stratégie organisationnelle
3. Définir des objectifs tactiques à court, moyen et long terme
4. Communication de la stratégie
5. Créer une culture de sécurité

Conception, développement et maintien d'un programme de sécurité d'entreprise

1. Assurer une base solide pour le programme
2. Vues architecturales
3. Création de mesures et de métriques
4. Balanced Scorecard
5. Suivi continu et rapports
6. Amélioration continue
7. ITIL – Amélioration continue (CSI)

Comprendre l'architecture d'entreprise (EA)

Types d'EA

1. Cadre Zachman
2. TOGAF
3. SABSA
4. FEAF

Finances

Comprendre le financement des programmes de sécurité

Analyser, prévoir et développer un budget

1. Besoins en ressources
2. Définir les métriques financières
3. Renouvellement technologique
4. Financement de nouveaux projets
5. Fonds de contingence

Gestion du budget de sécurité

1. Obtenir des ressources financières
2. Allouer les ressources
3. Suivi et contrôle budgétaire
4. Rapports aux sponsors et parties prenantes
5. Équilibrer le budget

Approvisionnement

Notions et concepts du programme d'approvisionnement

1. Déclaration des objectifs (SOO)
2. Cahier des charges (SOW)
3. Coût total de possession (TCO)
4. Demande d'information (RFI)
5. Demande de proposition (RFP)
6. Contrat-cadre (MSA)
7. Accord sur les niveaux de service (SLA)
8. Termes et conditions (T&C)

Comprendre le programme d'approvisionnement

1. Politiques, processus et exigences internes
2. Exigences externes ou réglementaires
3. Exigences locales vs globales

Gestion des risques liés à l'approvisionnement

1. Langage contractuel standard

Gestion des fournisseurs

Comprendre les politiques d'acquisition

1. Cycle de vie de l'approvisionnement

Application de l'analyse coûts-avantages (CBA) lors de l'approvisionnement

Politiques de gestion des fournisseurs

Administration des contrats

1. Métriques de prestation de services et de contrats
2. Rapports de livraison
3. Demandes de modification
4. Renouvellement
5. Clôture des contrats

Assurance de la livraison

1. Validation du respect des exigences contractuelles
2. Audits formels de livraison
3. Audits aléatoires périodiques
4. Services d'attestation tiers (TPRM)

Résumé