Catalogue Formations Cyber 2020
Sécurité des systèmes d'informationSécurité technique, juridique, organisationnelle et continuité d'activité
« Le client au cœur de notre système »
01 Nous nous appliquons à satisfaire nos clients en répondant à leurs demandes.• Formations en adéquation avec les exigences de nos clients• La satisfaction de nos clients, notre priorité première, consolidée par un suivi de nos clients• Un système de management pour une amélioration constante
Satisfaire
Nous nous appliquons à fournir à nos clients un service unique et différenciateur.• Des formations certifiantes, labellisées ou préparatoires à une certification officielle
toujours dispensées par deux consultants• Des formateurs certifiés sur les sujets proposés• Un processus de mise à jour rigoureux pour un contenu toujours actualisé
02 Se distinguer
Nous nous employons à fournir des formations de qualité avec des formateurs expérimentés.• Des formateurs développant leur expertise grâce au métier de consultant• Des formations reconnues à l'échelle internationale et innovantes• De nouvelles formations, de nouveaux sujets à l'initiative des formateurs
03 Cultiver notre différence
Notre politique qualité
Catalogue Deloitte Cyber Academy 2020 3
• Deloitte Cyber Academy propose et conçoit un ensemble de formations à la pointe de l’état de l’art dans le domaine de la sécurité des systèmes d’information.
• Pour nous, une formation est un moment de partage, qui favorise le transfert de compétences et d’expériences.
• Nos formations alternent l’équilibre entre :
- le management (comment faire) ;
- le leadership (pourquoi le faire) ;
- le savoir être (les qualités personnelles adaptées à l’environnement humain, technologique et écologique).
• Nous dispensons des formations officielles et accréditées par les principaux organismes :
- (ISC)² ;
- LSTI ;
- PECB ;
- EC-Council.
• L’Office Professionnel de Qualification de la Formation (OPQF - www.opqf.com) a qualifié notre centre formation depuis le 26 octobre 2011 pour ses formations.
• Nous proposons chacune de nos formations en inter-entreprise et en intra-entreprise, dans nos locaux ou sur le site du client, en France et à l’étranger. Certaines de nos formations sont également proposées à distance.
Toute notre équipe est à votre disposition pour vous renseigner. Nous serons ravis de vous compter parmi nous très prochainement.
Michaël Bittan, Associé responsable des activités Cyber RiskRomain Hennion, Directeur Cyber Academy | Risk AdvisoryEmilie Bozzolo, Responsable formation Cyber Academy
Les formations Deloitte Cyber Academy
Les formations Deloitte Cyber Academy, une histoire de passion !
Vos contacts formation :
• Emilie Bozzolo, [email protected], +33 (0)7 72 88 28 28, +33 (0)1 40 88 71 46
• Brice Brindejonc, [email protected], +33 (0)1 40 88 75 51
• Léa Wagner, [email protected], +33 (0)1 55 61 68 64
4 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Organismes de certification
Grâce au soutien de cinq organismes renommés, Deloitte Cyber Academy propose aux stagiaires de présenter les certifications les plus reconnues dans le monde :
• Des formations incontournables :- CISSP (Certified Information Systems Security Professional) qui
atteste de la connaissance de l'ensemble des sujets liés à la sécurité des systèmes d'information.
- CCSP (Certified Cloud Security Professional) qui montre que vous disposez des compétences pour concevoir, gérer et sécuriser les données, les applications et l’infrastructure dans le cloud.
• L’organisme spécialisé dans la sécurité informatique considéré comme le plus renommé au monde.
• Deloitte Cyber Academy est partenaire officiel de l’(ISC)² depuis le 1er janvier 2014.
• Formation : Certification DPO.
• Un organisme de certification spécialisé dans le domaine de la sécurité des systèmes d'information.
• Le seul organisme de certification français en SSI.• Des certifications mondialement reconnues et détenues par plus de
3 000 professionnels francophones.
• Deloitte Cyber Academy est le plus ancien partenaire de LSTI, depuis octobre 2005.
Catalogue Deloitte Cyber Academy 2020 5
• Des formations organisationnelles incontournables :- ISO 27001 Lead Auditor, Lead Implementer- ISO 27005 Risk Manager, Ebios Risk Manager- ISO 22301 Lead Auditor, Lead ImplementerEt bien d’autres.
• Deloitte Cyber Academy est partenaire officiel de PECB depuis Septembre 2018.
• Plus de 230 formations en phase avec les évolutions les plus récentes des normes ISO.
• Des formations techniques mondialement reconnues :- CEH (Certified Ethical Hacker)
- CIH (Certified Incident Handler)
• Organisation spécialisée dans la formation de haut-niveau en cyber sécurité.
• La Cyber Academy est accréditée par EC Council depuis Septembre 2018 et propose les formations officielles.
• Des formations :- Techniques : SECU1, SECARC, SECWEB
- Juridiques : Droit de la SSI, GDPR- Organisationnelles : RSSI, RPCA
• Leader mondial des services professionnels
• Depuis 2016, Deloitte délivre des certifications dans le domaine de la cybersécurité.
6 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelleManagement de la sécurité
Formation CISSP, (ISC)² CISSP 41 5
Formation CCSP, (ISC)² CCSP 42 5
Formation RSSI RSSI 43 5
Formation CISA CISA 44 5
Initiation au secret défense SECDEF 45 2
Digitalisation et archivage électronique, Lead Manager DIGIT&ARCHI 46 5
Gestion de crise IT/SSI Crise IT/SSI 47 1
Encadrer un test d'intrusion ENCINT 48 2
Code Page Durée (jours)
Sécurité techniqueIntrusion
Hacklihood (serious game) HACKLIHOOD 8 1/2
CEH : Certified Ethical Hacker CEH 9 5
CIH : Certified Incident Handler CIH 10 3
Techniques de hacking : fondamentaux HACK1 11 5
Techniques de hacking avancées HACK2 12 5
Python pour test d’intrusion PYTHON 13 3
Test d'intrusion sur les réseaux WIFI SECWIFI 14 3
Introduction à la sécurité des systèmes d'information
Essentiels techniques de la SSI ESSI 15 2
Fondamentaux techniques de la SSI SECU1 16 5
Lead SCADA Security Manager SCADA 17 5
Architectures réseaux sécurisées SECARC 18 3
Inforensique
Investigation numérique réseaux (network forensics) INVRES 19 3
Investigation numérique Web (Web forensics) INVWEB 20 2
Investigation numérique Windows (Windows forensics) INVWIN 21 3
Surveillance, défense et analyse
Intégration d'un SOC SOC 22 5
Sécurité des serveurs et applications Web SECWEB 23 5
Durcissement sécurité Windows SECWIN 24 4
Sécurité devOps pour les managers du SI DEVOPS 25 3
Dev Sec : développement sécurisé DEVSEC 26 3
Analyse des malwares : fondamentaux MALWARES 28 3
Formations Amazon Web Services (AWS)
Démarrage technique sur AWS DEMTECH 29 1
Architecture sur AWS – Niveau 1 ARCHI 30 3
Administration et support AWS ADSUP 31 3
CryptologieCryptanalyse CRYPTO1 32 3
Cryptograhie : approfondissement CRYPTO2 33 3
Sécurité et juridiqueDroit de la Sécurité des Systèmes d'Information (SSI) Droit SSI 34 3
RGPD : essentiel de la conformité RGPD 35 3
Protection des données personnelles et RGPD – Conformité et mise en œuvre pratique Cursus RGPD 36 3 x 8 = 24
Certification DPO Cert DPO 38 5
Réaliser un PIA (étude d'impact sur la vie privée) PIA 39 2
Protection des données de santé et vie privée Données de santé 40 2
Sommaire
Catalogue Deloitte Cyber Academy 2020 7
Code Page Durée (jours)
Sécurité organisationnelleManagement de la sécurité avec les normes ISO
Fondamentaux ISO 27001 & ISO 27002 27001&27002 50 2
ISO 27001 Lead Auditor 27001 LA 51 5
ISO 27001 Lead Implementer 27001 LI 52 5
ISO 27005 Risk Manager 27005 RM 53 3
EBIOS Risk Manager 2018 EBIOS RM 54 3
Indicateurs et tableaux de bord SSI / ISO 27004 27004 55 1
ISO 27032 Lead Cybersecurity Manager 27032 LCM 56 5
ISO 27034 Lead Implementer 27034 LI 57 5
ISO 27035 Introduction 27035 58 1
ISO 27035 Lead Incident Manager 27035 LIM 59 5
ISO 31000 Risk Manager 31000 RM 60 3
Continuité d'activitéFormation RPCA RPCA 61 5
Management de la continuité avec les normes ISO 2230
ISO 22301 Lead Auditor 22301 LA 62 5
ISO 22301 Lead Implementer 22301 LI 63 5
Référentiels et méthodesItil v4 Foundation ITIL 64 3
Itil Practitioner ITIL PRAC 64 2
Prince2 Foundation PRINCE2 66 3
Prince2 Practitioner PRINCE2 PRAC 66 2
Agile Scrum Master AGILE 68 2
Lean Six Sigma - Yellow Belt LEAN6 69 5
TOGAF Foundation TOGAF 70 3
Développement personnelManager efficacement - 71 1
Accompagner le changement - 71 1
Gérer son temps et ses priorités - 72 1
Manager à l'ère du digtial - 72 1
Manager à distance - 73 1
Conduire un entretien annuel - 73 1
Animer avec succès une réunion, un atelier, une formation - 74 1
Manager efficacement en couleurs - 75 1
Manager Agile - 76 1
Agilité comportementale - 77 1
Coaching - 78
Informations pratiquesCalendrier des formations 82
Compte personnel de formation 86
Bulletin d'inscription 87
Modalité d'inscription 88
Conditions générales de vente 89
8 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
350€ hors taxes1/2 journée Réf. : HACKLIHOOD • 20 mars• 26 juin
• 2 octobre• 27 novembre
Au travers de l’utilisation du serious game « Hacklihood », les participants se mettent dans la position d’un hacker chargé de mener à bien des missions de cyber-attaque comme la prise de contrôle ou la compromission du système d’information d’une entreprise. Ce jeu permet aux participants de découvrir les méthodes utilisées par les attaquants, d’en comprendre les impacts et d’appréhender le concept de risques cyber. Il permet également aux personnes en charge de la protection des SI dans leur entreprise de remettre en question les stratégies de défense mises en place.
Hacklihood (serious game)
Vous allez apprendre
• Connaître les méthodes de cyber-attaque utilisées
• Prendre conscience des conséquences que peut avoir une attaque informatique
• Comprendre le rôle des mécanismes de protection informatique
• Savoir se prémunir d’une attaque informatique.
• Découvrir le concept de risque cyber
Public visé
• Tous les employés d’une société
Prérequis
• Aucun
Certification
• Aucune
Programme
1/2 journée
• Présentation de « Hacklihood » et des règles du jeu
• Session de jeu avec un premier scénario d’attaque
• Explications théoriques au fur et à mesure des scénarii
• Débrief entre les différentes équipes
• Lancement des autres scénarios
• Conclusion
Catalogue Deloitte Cyber Academy 2020 9
Sécurité technique
Le Certified Ethical Hacker (C|EH v10) est une formation reconnue et respectée, dont chaque professionnel de la sécurité aura besoin. Depuis sa création en 2003, le Certified Ethical Hacker est largement diffusé dans le monde entier, c’est une certification respectée et accréditée en conformité ANSI 17024, ce qui ajoute de la crédibilité et de la valeur aux membres certifiés.Le cours en est maintenant à sa 10e version, il a été mis à jour afin de vous apporter les outils et techniques utilisés par les pirates et les professionnels de la sécurité, susceptibles de pénétrer dans n’importe quel système d’informations.Ce cours va vous plonger dans « l’état d’esprit du Hacker » dans le but de vous enseigner à penser comme un pirate afin de mieux vous défendre.
CEH – Certified Ethical Hacker
Vous allez apprendre
• Comment scanner, tester, hacker et sécuriser un système visé
• Le cours couvre les cinq phases de l’Ethical Hacking : reconnaissance, obtention d’accès, énumération, maintien de l’accès et dispari-tion des traces
• Les outils et techniques de chacune de ces cinq phases sont présentés dans les moindres détails, aucune autre formation ne vous offrira autant de ressources d’apprentissage, de labs, d’outils et de techniques que le C|EH v10
Public visé
• Ce cours s'adresse particulièrement aux responsables sécurité, aux auditeurs, aux professionnels de la sécurité, aux administra-teurs de site et à toute personne concernée par la stabilité des systèmes d'information
Méthode pédagogique
• Cours magistral• Travaux pratiques• Formation dispensée en français
Matériel
• Support papier en anglais
Certification
• Les étudiants devront passer l'examen sur la plateforme en ligne ECC exam avec la possi-bilité d’utiliser ProctorU, ou dans un centre d’examen VUE pour obtenir la certification. L'examen doit être passé dans les un an après réception du voucher.
Titre de l'examen : Certified Ethical Hacker (ANSI)Code de l'examen : 312-50Nombre de questions : 125Durée : 4 heuresDisponibilité : ECCEXAM / VUEOption : ProctorU
Programme
1. Introduction au hacking éthique
2. Prise d'empreintes (Footprinting) et Reconnaissance
3. Scanning des réseaux
4. Enumération
5. Analyse des vulnérabilités
6. Hacking du système
7. Les menaces de type malware
8. Renifleur du réseau (Sniffing)
9. Ingénierie sociale (social Engineering)
10. Déni de service (Denial of Service)
11. Détournement de session (Session Hijacking)
12. Evading IDS, Pare-feu (firewals) et Post de miel (HoneyPot)
13. Piratage de serveur Web
14. Piratage d'application Web
15. Injection SQL
16. Piratage de réseau sans fil
17. Piratage de plates-formes mobiles
18. Piratage IoT Internet des objets
19. Cloud Computing
20. Chiffrement
• 16 au 20 mars • 22 au 26 juin • 16 au 20 nov.3 950€ hors taxesRéf. : CEH5 jours / 35 heures
10 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
3 950€ hors taxes • 6 au 10 avril • 5 au 9 octobre Réf. : CIH 5 jours / 35 heures
Ce programme aborde toutes les étapes du processus de gestion et de réponse aux incidents. Il permet aux candidats de développer et de réellement valoriser leurs compétences dans ce domaine. Cette approche rend la certification ECIH la plus complètes dans le domaine de gestion et réponse aux incidents. Les compétences acquises dans le programme ECIH sont de plus en plus recherchées, à la fois par les professionnels de la cybersécurité mais également par les employeurs, et ce dans le monde entier.
CIH : Certified Incident Handler
Vous allez apprendre
Le programme E CIH propose une approche complète qui couvre de nombreux concepts autour de la réponse et de la gestion des incidents. Cela va de la préparation et la plani-fication du processus de réponse à incident, jusqu'à la restauration du service et la récu-pération des actifs critiques de l'organisation après un incident de sécurité. Dans l'objectif de protéger les organisations, ces concepts sont désormais essentiels pour répondre aux futures menaces et attaques et les gérer.
Public visé
Gestionnaires d’incidents, tout membre des équipes de gestion de la sécurité et des risques IT, pen-testers, forensic et cyber-enquêteurs judiciaires, administrateurs de systèmes / réseaux /BdD, ingénieurs SI, administrateurs de pare-feu, responsables de réseaux, responsa-bles IT, et toutes les personnes intéressées par la gestion et la réponse aux incidents.
Pré-requis
Connaissances générales en réseau, sécurité
Méthode pédagogique
• Cours magistral• Travaux pratiques• Formation dispensée en français
Matériel
Supports papiers en anglais
Certification
A l'issue de cette formation, le stagiaire a la possibilité de passer l’examen ECIH 212-89. Les étudiants passent l'examen sur la plateforme en ligne ECC exam avec la possibilité d’utiliser ProctorU(surveillance à distance) ou dans un centre d’examen Pearson VUE pour obtenir la certification
Programme
1. Introduction à la gestion et aux réponses aux incidents
2. Processus de gestion et de réponse aux incidents
3. Forensic Readiness et First Response
4. Gestion et réponse aux incidents de sécurité liés aux Malwares
5. Gestion et réponse aux incidents de Messagerie électronique
6. Gestion et réponse aux incidents de sécurité réseau
7. Gestion et réponse aux incidents de sécurité des applications Web
8. Gestion et réponse aux incidents de sécurité du Cloud Computing
9. Gestion et réponse aux incidents liés aux menaces internes
Catalogue Deloitte Cyber Academy 2020 11
Sécurité technique
Public visé• Décideurs, responsables DSI, responsables
sécurité du SI, chefs deprojets IT
Pré-requis
• Connaître le fonctionnement d'un réseau, maîtriser des connaissances dans la gestion des données et de leur circulation
Méthode pédagogique
• Cours magistral• Travaux pratiques• Formation dispensée en français
Matériel
• Ordinateurs portables mis à disposition des stagiaires
• Supports intégralement en français
Certification
• A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification INTRU1 Deloitte Cyber Academy.
ProgrammeJour 1Section 1 - Histoire et chiffres• Qu’est ce que la cybersécurité ?• Histoire de la cybersécurité• Impacts suite à une cyber-attaque• Les types d’attaquants (White hat...)• Qu’est ce que le hacking ?• Les types d’attaques (Malware, MITM, SE...)• Les différentes phases d’une attaque (Cyber
Kill-Chain)• Les métiers de la Cybersécurité• Les différentes lois & référentiels (PTES,
OWASP, Article 323, Les normes ISO 27000, MITRE : ATT&CK, Scoring CVSS)
• TD / Technique d’intrusion hardware (Bypass de sessions Windows et Linux)
Jour 2 Section 2 - Reconnaissance passive & active• Utilisation d’outils publiques pour obtenir
des informations sur une cible (Google Dorks, OSINT Framework, Social Engineering, Maltego..)
• TP 1 / Reconnaissance passive d’une entreprise.
• TD / Création de dictionnaire (Crunch, cupp.py, Top probable)
• TP 2 / Technique d’attaque par dictionnaire• Présentation des outils de reconnaissance
active (Nmap, Hping3) et leur signature (Wireshark)
• Banner grabbing : Description des services d’une cible
• Présentation des outils d’analyse (NmapSE, Metasploit)
• Analyse de vulnérabilités (Nessus, OpenVas, ExploitDB, CVE, CWE, CAPEC, NVD, ...)
• TP 2 / Récupération d’informations sur une infrastructure virtualisée
Jour 3 Section 3 - Attaques réseau• Liste des protocoles les plus vulnérables• Compréhension et utilisation des techniques
de “l’homme du milieu” (MITM)• Attaques sur les protocoles réseaux (IDLE
Scan, LLMNR, WPAD, DoS, ARP, usurpation d’IP & MAC, DHCP, DNS)
• TP 3 / Mise en pratique des techniques MITM• Description des Protocoles 802.11 et attaques
associées• TD / Evil-Twin, brute-force WPA2
Section 4 - Attaques web• Présentation du TOP 10 OWASP• Apprentissage et compréhension des
injections• Exploitation de failles Cross-Site Scripting (XSS)• Exploitation des mauvaises configurations de
sécurité• Reconnaissance et utilisation des références
directes non sécurisées à un objet
Jour 4• TD / Démonstration Injection et XSS• Cross-Site Request Forgery (CSRF)• Exploitation de vulnérabilités connues• TP 5 / Top 10 OWASP
Section 5 - Exploitation• Présentation et prise en main des frameworks
offensifs (Metasploit, Empire)• Recherche et obtention d’accès via une
vulnérabilité identifiée• TD / Utilisation de la faille “Eternalblue”• Création d’une charge (Payload)• TP 6 / Création d’une charge malveillante
Jour 5 Section 6 - Post-Exploitation• TD / Démonstration du module Meterpreter• Objectifs de la phase de post-exploitation• Identification des modules de
post-exploitation• Pour aller plus loin…• TP 7 / Création d’une persistance ou d’une
porte dérobée sur une machine compromise • Examen pour l’obtention d’un badge ESD
academy (https://badges.esdacademy.eu)
Détecter les fragilités d'un système par la connaissance des différentes cibles d'un piratage - Appliquer des mesures et des règles basiques pour lutter contre le hacking - Comprendre le mécanisme des principales attaques.
Techniques de Hacking : fondamentaux
• 25 au 29 mai • 19 au 23 octobre3 300€ hors taxesRéf. : HACK15 jours / 35 heures
12 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
3 500€ hors taxes • 7 au 11 décembre5 jours / 35 heures Réf. : HACK2
Public visé
• Étudiant, administrateur système, consultant en sécurité de l’information
Pré-requis
• Connaissances générales en système, réseau, développement, et test d’intrusion
Programme
Jour 1Section 1 - 2019 : Menaces sur les SI• Les Modèles SI (Questions, Cloud Privé, C2 :
Command & Control)• Statistiques (Blocage des malwares par
type de contenu, Domaines les plus diffi-ciles à défendre, Vulnérabilités / Attaques, Motivations)
• Failles Connues et 0day (exploit.in)• Étude des séquences d’exploitation
Section 2 - Préparation et initialisation des phases à l’exploitation• Terminologie• Présentation de différents framework et outils
offensifs (Metasploit, Empire, Powershell)• Création de différents types de charges pour
l’exploitation• Intégrer de nouveaux Exploits dans Metasploit• Différents types de connexions (Bind, Reverse)• Focus sur les stagers (TCP, SSH, DNS, HTTP,
HTTPS)• TP 1 / Prise en main des outils - Création et
intégration d’un payload
Jour 2Section 3 - Positionnement - Attaquant Externe• Social Engineering (Techniques de “Phishing”,
Clone de page d’authentification, SPF)• Fichier malicieux (Macros Office, PDF, HTML,
APK)• TP 2 / Clone d’une page d’authentification• Étude et exploitation réseaux Wi-Fi
environnant• Recherche d’identifiants sur les bases de
“Leak”
• TD / Compréhension de menaces et attaques physique (Rubber Ducky, Bash Bunny, Packet Squirrel, Lan Turtle LAN/3G)
• Les attaques Cloud (Office 365, Azure, AWS)
Section 4 - Positionnement - Attaquant Interne• Analyse et compréhension des vulnérabilités
protocolaires (DHCP, DNS, NTP...)• Étude des différents processus
d’authentification Microsoft (Kerberos, LAN Manager, Smart card)
• Gestion des identifiants en mémoire au travers des SSP & SSPI (NTLM, Kerberos, Digest SSP, TSPKG, LiveSSP)
• Credential Guard• Présentation de l’outil ‘Mimikatz”• TP 3 / Lister différentes techniques
d’utilisation de l’outil Mimikatz sans que celui-ci ne soit détecté. Sélectionner la technique qui semble la plus efficace, expliquer pourquoi, et la mettre en pratique.
Jour 3• Obtention d’un accès avec identifiants
(Tentative de propagation, Listing des permissions ACL / AD / SQL, Recherche de délégations)
• Obtention d’un accès sans identifiants (Identification de vulnérabilités, Tentative d’utilisation d’exploits communs, Zoom sur la vulnérabilité MS17-010, LLMNR & NBT-NS Poisoning, Étude et crack des hashes, Attaque par “Relais” SMB, Attaques de type “Man In The Middle”, SPN, Kerberoasting, Tentative de propagation)
• TP 4 / Attaque de type relais LLMNR & NBT-NS
Section 5 - Phases de Post-Exploitation• Enumération Post-Exploitation (GPP, Listing
des permissions ACL / AD, Recherche des délégations de droits, Extraction des profils Wi-Fi, Récupération de certificats, Identification de fichiers intéressants par clas-sification inversée)
• Présentation d’un outil de base de données relationnelle (BloodHound)
• Obtention d’identifiants supplémentaires (Extraction des identifiants en cache, Extraction des hashes de la base SAM, Extraction des identifiants stockés dans les logiciels, Étude des droits associés aux comptes de services)
• Pivoting (Accès aux ressources internes, Accès aux réseaux restreints type “SCADA”, Exfiltration des données via le montage d’un proxy socks4a)
• TP 5 / Cas d’étude : Collecter des données pour Bloodhound et identifier le plus court chemin vers un compte à hauts privilèges
Jour 4Section 6 - Escalade de privilèges et mouve-ments latéraux• Tentative d’escalade des privilèges Verticale
(Modification de démarrage via le BIOS, Exploits, Mauvaise configuration)
• Tentative d’escalade des privilèges Horizontale (Identification des accès locaux distants, Pass-the-hash, Pass-the-ticket, VSS, DCSync, WinRM/WMI)
• TP 6 / Cas d’étude : Atteindre le compte précédemment identifié via les différentes techniques enseignées (cf. TP 5)
Section 7 - Autres techniques• Évasion des systèmes de défense (Détection
des signatures, Évasion des systèmes antivirus, Obfuscation de code avec Powershell, Désactivation des systèmes d'événements, AMSI Bypass, Applocker Bypass)
• TP 7 / Cas pratique : Trouver un moyen d’exécuter un script powershell dans un envi-ronnement sécurisé
Jour 5• Persistence (Registre, Tâches planifiées, DLL
Hijacking, Hidden Process)• Exfiltration de données via canaux cachés
(DNS, BSSID)• Bonus : Pentester Tips• Examen pour l’obtention d’un badge ESD
academy (https://badges.esdacademy.eu)
Faire l’état des lieux des menaces récentes et des faiblesses d’infrastructure courantes. Comprendre et expérimenter destechniques de hacking avancées. Appréhender des méthodes offensives dans la pratique.
Techniques de Hacking : avancées
Catalogue Deloitte Cyber Academy 2020 13
Sécurité technique
• 21 au 23 septembre1 980€ hors taxesRéf. : PYTHON3 jours / 21 heures
Public visé
• Développeurs• Administrateurs• Pentesters
Prérequis
• Connaissances généralistes en programmation
Programme
Jour 1Section 1 - Introduction
• Introduction à Python et à la cybersécurité
• Environnement Python et mise création du “lab”
• Rappel des bases python et différentes API
• Monter un exécutables en Python
Section 2 - Réseau
• Gestion des sockets
• Création d’un scan de ports
• Introduction à la bibliothèque SCAPY
• Mise en place d’ ARP poisoning (MITM) avec Scapy
• Subprocess : Reverse Shell
• TP / Exfiltration de données
Jour 2Section 3 - Système
• Win32ClipBoard : Manipuler le presse-papier
• Programme auto-répliquant
• Cryptographie : Ransomware
• Détection et protection en temps réel d’un ransom
• Fonctionnement d’un Keylogger
• Exfiltration (type, protocole)
• Exfiltration FTP : Screenshots
• TP / Création d'un RAT
Jour 3 Section 3 - Web
• Introduction aux bibliothèques WEB (BeautilfulSoup, Request)
• Protocole HTTP et fonctionnement
• Requêtes HTTP(s)
• BeautifulSoup : Crawler
• Injection dans le DOM
• MITMproxy : Frame Injection
• API Web : Shodan
• TP / C&C Twitter
• Examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)
Acquérir les compétences nécessaires en scripting pour créer ses propres outils en python pour un test d’intrusion
Python pour test d’intrusion
14 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
Public visé• Responsables de sécurité• Responsables informatique• Administrateurs réseaux et sécurité• Chefs de projet
Pré-requis
• Connaissances indispensable des réseaux et des protocoles TCP/IP
Programme
Jour 1Section 1 - Introduction aux réseaux sans-fil• Contraintes juridiques• Contexte (avantages et inconvénients)• Les différentes Normes Wi-Fi
Section 2 - 802.11 - Principes• Les canaux et fréquences des réseaux sans-fil• Différentes topologies de réseau• Analyse des diverses trames Wi-Fi
Section 3 - Menaces et Attaques sur les réseaux sans-fils• Matériel et outils courants• Contexte de la menace• TD / Mise en place et contournement d’un
filtrage par adresse MAC• Attaques contre l’infrastructure & le client• Attaques des protocoles de chiffrement• TD / Découverte des outils Wi-Fi• Exercice 1 / Découverte des outils Wi-Fi (Mode
monitoring)
Jour 2 Section 4 - Les protocoles de sécurité• Authentification basée sur WEP (Principe de
fonctionnement, Faiblesses et vulnérabilités, Attaques spécifiques)
• TD / Attaque contre le protocol WEP• Exercice 2 / Attaque contre le protocol WEP• Authentification basée sur WPA/WPA2
(Principe de fonctionnement, Différentes normes et configurations, Faiblesses & Attaques spécifiques)
• TD / Attaque contre le protocol WPA• Exercice 3 / Attaque contre le protocol WPA• Authentification basée sur WPA3 (Présentation
du protocole, Faiblesses & Attaques spécifiques)
• Fonctionnalité WPS pour la connexion (Principe de fonctionnement, Faiblesses & Attaques)
Jour 3Section 5 - Architecture Wi-Fi sécurisée• 802.1X (Introduction à la norme, Principe
du contrôle d’accès, Chiffrement & Authentification pour les accès)
• Sonde de détection d’intrusion Wi-Fi (ChellamV2)
• Problématiques et préconisations• Bonnes pratiques (Configuration des postes
clients, Configuration centralisée des équipe-ments, Gestion des invités et des externes)
• TD / Mise en place d’un Contrôle d’accès basé sur RADIUS
• Exercice 4 / Mise en place d’un Contrôle d’accès basé sur RADIUS
Acquérir la compréhension globale du fonctionnement d’un réseau sans-fil, en appréhender les risques, les attaques courantes, et les méthodes de sécurisation.
Tests d’intrusion sur réseaux Wi-Fi
Réf. : SECWIFI3 jours / 21 heures • 27 au 29 avril • 12 au 14 octobre2 100€ hors taxes
Catalogue Deloitte Cyber Academy 2020 15
Sécurité technique
1 400€ hors taxes • 28 au 29 septembreRéf. : ESSI2 jours / 14 heures
Vous allez apprendre à
• Identifier les points faibles des systèmes d'information
• Définir les règles de sécurité fondamentales pour sécuriser un périmètre
• Comprendre la portée des attaques informatiques
Public visé
• Personnel ayant besoin d'engranger de nouvelles connaissances en sécurité
• Administrateurs systèmes ou réseaux
Pré-requis
Une connaissance informatique de base ainsi que des bases en réseaux TCP/IP
Méthode pédagogique
• Cours magistral• Démonstrations
Matériel
• Supports au format papier en français
Certification
• Formation non certifiante
Programme
Jour 1Introduction• Contexte, objectifs et enjeux
Risques et impacts métier• Fuite d'information• Atteinte à l'image• Risques juridiques
Typologie des attaques, sources de menaces• Cybercriminalité• Espionnage
Rappels techniques• Protocoles réseau (IP, TCP, UDP, ICMP, IPsec)• Protocoles "lien" (Ethernet, ARP, 802.x, LAN,
VPN, MPLS)• Exemple de protocole applicatif : HTTP
Jour 2Sécurité des réseaux et firewalls (grands principes)• Cloisonnement et filtrage IP, relayage appli-
catif, architecture sécurisée :- Objectifs, enjeux et principes- Equipements et limites
• Architecture sécurisée :- DMZ : les bonnes pratiques- Equipements et limites
Sécurité des applications Web• Attaques classiques et retour d'expérience
Deloitte Cyber Academy : fonctionnement des attaques Web classiques (injections SQL, XSS)
• Attaques spécifiques : sécurité du navigateur (vulnérabilités Flash, Adobe, ActiveX)
Sécurisation• Gestion des droits et des accès• Stockage des mots de passe : exemple
Deloitte Cyber Academy d'attaque réussie• Fédération des identités (SSO)• Bonnes pratiques de développement• Veille en vulnérabilité• Gestion des vulnérabilités techniques
Critères de choix d’une solution de sécurité• Panorama du marché et vocabulaire du
marketing• Comprendre et utiliser un rapport de test
intrusif ou d'audit technique de sécurité• Audits de sécurité et conformité• La gestion de la sécurité dans le temps• Gestion des tiers (fournisseurs de services,
prestataires, clients et partenaires)
Conclusion
Formation théorique à la sécurité des systèmes d’information, ce cours apportera au personnel technique et aux chefs de projet une approche d'un système d'information sous l'angle des attaquants et donnera les bonnes pratiques pour sécuriser et maintenir un niveau de sécurité correct dans vos systèmes d’information. Connaître les principales attaques et les contre-mesures adéquates est devenu primordial pour toute entreprise utilisant l'informatique et les réseaux comme support de travail.
Essentiels techniques de la SSI
16 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
• 23 au 27 mars • 14 au 18 septembre3 600€ hors taxes5 jours / 35 heures Réf. : SECU1
Vous allez apprendre à
• Maîtriser le vocabulaire et la théorie de la sécurité de l’information
• Elaborer la sécurité des réseaux informatiques• Capitaliser sur de nombreux concepts de
défense• Maîtriser la sécurité des systèmes
d’exploitation et des applications
Public visé
• Personnel technique souhaitant se reconvertir dans la sécurité des systèmes d’information
• Administrateurs systèmes ou réseaux • Professionnels de la sécurité
Pré-requis
Une réelle connaissance informatique est nécessaire.
Méthode pédagogique
• Cours magistral• Travaux pratiques
Matériel
• Ordinateurs portables mis à disposition des stagiaires
• Supports en français
Certification
• Cette formation prépare à l'examen de certification SECU1 délivrée par Deloitte Cyber Academy. Toutes les questions de l'examen sont issues des supports de cours de la formation. L'examen se déroule le dernier jour de la formation.
Programme
Jour 1 Introduction• Contexte• Sources de menaces• Anatomie d'une attaque• Risques et impacts métiers• Concepts fondamentaux
Rappels sur les réseaux IP• Couches OSI• Adressage• ARP• DNSEquipements réseaux
Jour 2Cryptographie• Symétrique et modes, asymétrique : hashage,
signature, VPN, PKI, TLS, PGP, IPSec• Contrôle d'accès : gestion des utilisateurs,
authentification et autorisation
Jour 3Sécurité des réseaux• Equipements réseau• Segmentation• Filtrage• Relayage• Architecture (ANSSI)
Gestion d'incidents• Processus• Veille• Journalisation• Investigation
Jour 4 Linux• Système de fichiers• Authentification et comptes utilisateurs• Sécurisation des services• Journalisation• Pare-feu local• Modules de sécurité
Windows• Active directory• PowerShell• Scénarios d'attaques classiques• Solutions pratiques• Durcissement réseau
Jour 5Sécurité des applications• HTTP• Gestion de l'authentification• Gestion des cookies• Gestion des sessions• Présentation des principales attaques : SQLI,
XSS, CSRF, Directory traversal, RCE, RFI/LFI
Examen de certification
Formation initiale à la sécurité des systèmes d’information, la SECU1 permettra d’apporter au personnel technique les connaissances nécessaires à l’implémentation et au maintien de la sécurité dans vos systèmes d’information. Savoir implémenter les bonnes mesures de sécurité est devenu pour tout ingénieur ou administrateur système ou réseau un enjeu primordial permettant d’assurer la sécurité des SI.
Fondamentaux techniques de la SSI
Catalogue Deloitte Cyber Academy 2020 17
Sécurité technique
• 9 au 13 mars • 12 au 16 octobre3 600€ hors taxesRéf. : SCADA5 jours / 35 heures
A quoi vous servira cette formation ?
La formation Lead SCADA Security Manager a été conçue par des experts du secteur munis d’une expérience approfondie de la sécurité des SCADA et SCI. Contrairement aux autres formations, celle-ci se concentre spécifique-ment sur les connaissances et compétences nécessaires à un professionnel qui se destine à offrir une expertise-conseil sur les risques associés aux systèmes et aux environne-ments SCADA, ou à gérer les risques en question. Compte tenu de la haute visibilité et des impacts considérables associés à de tels environnements, il convient d’adopter une approche professionnelle globale en matière de sécurité, et c'est exactement ce que cette formation est destinée à offrir.On y présente non seulement les connais-sances techniques dont a besoin un directeur de la sécurité SCADA, mais également une méthodologie exhaustive de mise en œuvre d’un programme de sécurité SCADA. À la fin de cette formation, vous aurez acquis des connaissances qui vous permettront de mettre en œuvre de façon efficace un programme de sécurité pour des SCADA ou SCI. Après avoir maîtrisé toutes les notions de la sécurité SCADA, vous pouvez vous présenter à l’examen et postuler pour la désignation « PECB Certified Lead SCADA Security Manager ». En étant titulaire d'un certificat « PECB Lead SCADA Security Manager », vous serez en mesure de démontrer que vous possédez les connais-sances pratiques et les capacités profession-nelles nécessaires pour soutenir et diriger une équipe de management de la sécurité SCADA.
Public visé
• Professionnels de la sécurité désirant acquérir des compétences
• Professionnels en sécurité SCADA• Professionnels des TI qui souhaitent améliorer
leurs compétences et leurs connaissances techniques
• Responsables des TI et du risque qui désirent acquérir une compréhension plus appro-fondie des SCI et SCADA
• Développeurs SCADA• Ingénieurs et utilisateurs de SCADA• Professionnels des TI des SCADA
Pré-requis
Une compréhension fondamentale de la sécurité des SCADA.
Méthode pédagogique
• Cours magistral avec exemples pratiques.
Matériel
• Supports papier en français
Examen
• L’examen « PECB Certified Lead SCADA Security Manager » satisfait entièrement les exigences du programme d’examen et de certification (PEC) de PECB. L’examen couvre les domaines de compétences suivants : - Domaine 1 – Notions et principes fondamen-
taux des SCADA et de la sécurité SCADA- Domaine 2 – Organisation dans les milieux
industriels- Domaine 3 – L'architecture SCADA- Domaine 4 – Les vulnérabilités du WEB- Domaine 5 – Les protocoles vulnérables
Certification
• Après avoir réussi l’examen, les participants peuvent demander la qualification « PECB Lead SCADA Security Manager ».
Programme
Jour 1 Automates PLC/Télétransmetteurs RTU/Automates de sécurité SIS• Objectifs et structure du cours• Principes et notions fondamentaux des
SCADA et de la sécurité SCADA• État de l'art de la sécurité SCADA• Les architectures SCADA• Services couramment présents• Vulnérabilités rencontrées• Protocoles courants• Déni de service/robustesse des automates
Jour 2 IHM (Interfaces homme-machine)/Système d'exploitation Windows• Vulnérabilités rencontrées• Top 10 OWASP• Windows dans les environnements SCADA• Vulnérabilités courantes
Jour 3 Les vulnérabilités des protocoles• S7• Modbus• ICCP/TASE
Jour 4 Les systèmes SCADA distants• VPN• Boitiers de télétransmission• Sans fil (Wi-Fi, liaisons radio)• Problèmes des automates et IHM exposés sur
Internet (exemples avec shodan)• Conclusion de la formation
Jour 5 Examen final
Lead SCADA Security Manager
La formation « Lead SCADA Security Manager » vous permet d’acquérir l’expertise nécessaire pour planifier, concevoir et mettre en œuvre un programme efficace de protection des systèmes d’acquisition et de contrôle de données (SCADA). Vous parviendrez également à comprendre les menaces, vulnérabilités et risques touchant les systèmes de contrôles industriels (SCI) les plus communs, ainsi que les techniques employées pour gérer ces risques. Cette formation met l’accent sur divers aspects du management de la sécurité et sur les compétences relatives à la sécurité SCADA/SCI.
18 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
• 27 au 29 avril • 26 au 28 octobre 2 250€ hors taxesRéf. : SECARC3 jours / 21 heures
Vous allez apprendre
• Les caractéristiques d'une architecture sécurisée et comment les prendre en compte dans le cadre d'architectures spécifiques
• A sécuriser les architectures communément mises en œuvre dans les entreprises
• A évaluer la sécurité d'une architecture donnée
• A identifier les choix structurant l'architecture de vos prochaines solutions
• A prendre en compte la sécurité dans les choix d'architecture et connaître les points d'attention qui y sont liés
Public visé
• Toutes les personnes confrontées à la sécurité des architectures des systèmes d'information : architectes des réseaux, archi-tectes applicatifs, chefs de projets informa-tiques, responsables informatique ou sécurité, équipes informatique ou sécurité, consultants et auditeurs techniques ou de SMSI, gestion-naires de risques
Pré-requis
• Avoir une culture générale en informatique avec une connaissance de base des réseaux et du fonctionnement des TCP/IP
Méthode pédagogique
• Cours magistral interactif avec des exemples et des travaux pratiques sur la conception et l'évaluation d'architectures
Matériel
• Supports intégralement en français
Certification
• Cette formation prépare à l'examen de certification SECARC. Toutes les questions de l'examen sont issues des supports de cours de la formation. L'examen se déroule le dernier jour de la formation.
En partenariat avec Atexio
Programme
IntroductionPrincipes de sécurisation, éléments sensibles, objectifs de sécurité Architecture d'administration et d'authentification• Protocoles d'administration et usages : RDP,
WinRM, SSH, VNC• Authentification centralisée : LDAP, NTLM,
RADIUS, Kerberos• Référentiels centralisés : OpenLDAP, Active
Directory• Authentification forte : principes, OAuth, U2F,
ActivCard• Administrateurs et services : Forêts, LAPS,
bastionsRéseaux et segmentation• IPv4, IPv6• Composants : concentrateur, pare-feu, diode,
NIDS/NIPS…• Segmentation physique : ports RJ45 et
consoles, 802.1x• Segmentation réseau, découpage vertical :
VLAN, 802.1Q, VxLAN, VRF, PVLAN• Routage : statique vs dynamique, OSPF, RIPE,
BGP, BATMAN• Filtrage : règles fondamentales, matrice de
flux, local vs central• Software-defined network• Relais applicatifs et inversesArchitecture générale• Systèmes autonomes• Segmentation horizontale et administration
"out-of-band"• Positionnement des éléments de sécuritéConnexion distanteConnexion à distance et interconnexion multi-sites : MPLS, VPN IPSec, TLS Postes de travailVirtualisation, VDI, BYOD vs. COPEArchitecture WindowsArchitecture de domaines, DC et RODC, appro-bation et délégation Architectures applicatives• Accès Internet• Architectures 2-tiers, 3-tiers ; requêtes RPC
• Stockage : SAN, NAS, partages réseaux SMB, NFS, EDI, ETL, ERP
Architecture des fonctions d'infrastructure et de sécurité• DHCP et usage• DNS : interne, public, DNSSEC• SMTP : émission interne, réception• Journalisation et SIEM / supervision• Mise à jour ; configuration et déploiement :
GPO, Puppet, Ansible• Cryptographie : PKI, authentification des
serveurs, CRL vs OCSP, HSMContinuité et haute disponibilité• Notion de SPOF• Réseau : agrégation, clusters, adresses IP
virtuelles, boucles• Equipements simples : répartition de charge,
réplication de données• Sauvegarde : Push vs pull• Continuité d'activité : interdépendance des
composants, infrastructure de crise, architec-tures temporaires, reprise et bascule
Réaliser des choix d'architecture• Loi et réglementation : classifié défense, PDIS,
LPM et SIIV, PCI DSS• Cloud : IAAS / PAAS / SAAS et intégration à
l'architecture existante• Virtualisation• Existant et rétro-compatibilité• Utilisation de cadricielsArchitectures spécifique• Environnements (hors) production• Imprimantes et scanneurs• Audio (VoIP) et vidéo• Interconnexion filiales / partenaires• Infrastructure virtuelle• Réseaux wi-fi• Réseaux libre-service• Architectures industrielles• IoT ; appareils mobiles• Grid, architectures n-tiers, distribuées :
Hadoop, P2P• Mainframes / Sécurité physique• Exploration des limites du cloisonnementExamen
Wi-Fi, Cloud, BYOD, IoT. Derrière chacune de ces vagues marketing successives, il y a des choix de conception à faire. Des choix qui doivent tenir compte des nouvelles possibilités et des contraintes spécifiques à ces technologies. Les concepteurs sont confrontés aux problématiques d'authentification et de gestion des accès utilisateurs, de résilience de l'infrastructure et de son maintien.
Architectures réseaux sécurisées
Catalogue Deloitte Cyber Academy 2020 19
Sécurité technique
3 jours / 21 heures • 3 au 5 juin • 2 au 4 décembre1 980€ hors taxesRéf. : INVRES
Public visé
• Administrateur, analyste SOC, ingénieur sécurité
Prérequis
• Connaissance sur l’OS Windows, TCP/IP, Linux
Programme
Jour 1Section 1 - Introduction à la cybersécurité• La “cybersécurité” d’avant• Présentation du programme Creeper• Présentation du projet Rabbit• La cybersécurité d’aujourd’hui et ses risques
(Wannacry, Stuxnet)• La dangerosité des données numériques• Qui sont les responsables ? quelles motiva-
tions ont-ils?• Classification des risques selon le
gouvernement français
Section 2 - Le monde de l’investigation• Introduction et approche du forensique• Présentation de la timeline historique• Les objectifs en infosec• Définition et étymologie du terme• Présentations des dérivés de la discipline• Les organismes référents en la matière, tels
que l’ENISA et le SANS• Présentation des cinq principes
fondamentaux• Définition de la méthodologie OSCAR• Liaisons avec le computer forensic• Liaisons avec le memory forensic• Liaisons avec le mobil forensic
Section 3 - Enregistrement et surveillance• Sources utiles d’analyse basées sur l’hôte• Sources utiles d’analyse basées sur le réseau• La technologie SIEM (SEM / SIM)
Section 4 - Les différents types de données• Définitions des données volatiles et non
volatiles• Les données complètes• Les données de session• Les données d’alerte• Les Métadonnées
Section 5 - Acquisition des preuves et sondes• Approche légale• Les différents types d’acquisitions• Les acquisitions par câble et les sondes• Les acquisitions sans fil et les modes de
capture• Les acquisitions offensives
Section 6 - Rappel des bases réseau• Rappels sur le modèle OSI• Rappels sur le modèle TCP/IP• Les différents matériels réseau• Définitions et exemples d’ IPS / IDS / WIDS• Rappels sur les protocoles DHCP, DNS, ARP,
HTTP / HTTPS
Section 7 - Présentation des outils connus• Les outils de capture de paquets, tels que
TCPDump / Dumpcap• SIEM : Détection prévention d’intrusion tel que
AlienVault• Les analyseurs de flux, tels que Argus• Network Incident Detection System, tel que
Snort• Les outils d’analyse à grande échelle, tels que
Moloch et Wireshark
Section 8 - TD / WireShark• Présentation de l’interface de Wireshark• Les différentes options de capture• Présentation de la barre d’outil Wireshark• Les règles de coloration sous Wireshark• Exercice / Créer ses propres règles de
coloration• Les filtres d’affichage• Exercice / créer ses propres filtres rapides• Les profils sous wireshark• Exercice / créer de profils adaptés aux besoins• Effectuer des recherches avancées• Les filtres de capture• Les filtres Berkeley Packets Filter• Les boutons raccourcis de Wireshark• Exercice / Créer ses propres boutons• Export des données et enregistrement de
fichier• Le bouton de pré-analyse WireShark• Utilisation des statistiques
Jour 2Section 9 - TD / Mise en pratique• Exercice / Prise en main Wireshark• Exercice / Lancement des investigations (TP1,
TP2)
Section 10 - Le rapport d’investigation• Comprendre le déroulé d’une attaque avec le
MITRE - ATT&CK• Rédaction du contexte• Création de schéma de la typologie réseau• Présentation des preuves et hash d’intégrité• Rédaction des processus d’analyse• Edition de la timeline des événements• Rédaction de la conclusion• Émettre des recommandations
Section 11 - TP / Analyse réseau• Identifier une erreur de type ARP Storm• Identifier une attaque DHCP Starvation• Identifier une attaque ARP spoofing• Identifier un Scan réseau• Identifier une exfiltration de données• Identifier un téléchargement via torrent
Jour 3Section 12 - Cas réels d’entreprise TP• Etude de cas réels d’entreprise• Analyse de captures réseau• Utilisations des outils, méthodes et techniques• Rédaction d’un rapport forensique en réponse
aux problèmes posés
Section 13 - TD / Installation / Utilisation et détection via SIEM• Mise en place du LAB ;• Installation de AlienVault ;• Configuration de l’OSSIM ;• Détection / configuration des hôtes ;• Mise en place d’agents sur les clients ;• Détection de vulnérabilités ;• Détection d’une attaque par exploit• Examen pour l’obtention d’un badge ESD
academy (https://badges.esdacademy.eu)
En partenariat avec ESD
Acquérir les compétences et la méthodologie pour une investigation numérique sur du réseau TCP/IP.
Investigation numérique réseaux (network forensics)
20 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
1 320€ hors taxes • 18 au 19 mai • 1 au 2 octobreRéf. : INVWEB2 jours / 14 heures
Public visé
• Développeurs / Pentesters
Prérequis
• Programmation web / bash / Système / Linux
Programme
Jour 1Section 1 - Introduction• Chiffres• Rappels• Panorama des attaques web (Top 10 OWASP)• Le monde de l’investigation• Le contexte spécifique au web
Section 2 - De la méthodologie à la pratique• La méthode / Approche• Temporalité (MAC times et timezones)• Créer un arbre d’attaque• Capturer un environnement webTD / Première intervention
Section 3 - Principaux artefacts• Les process• Logs• Inspection base de données• Inspection du système de fichiers• Analyse statique• Désobfuscation de chargeT P / Collecte et examen d’artefacts
Section 4 - Regex• Principes• Création d’outils• Parser des logsTP / Analyse de logs
Jour 2Section 5 - Scénario d’attaques• TD / Brute force SSH• TD / WebShell• TD / File inclusion• TD / XSS / Frames• TD / Injection SQL
Section 6 - Rédaction d’un rapport• Eléments clés• Méthodologie• Réponse à incident• Examen pour l’obtention d’un badge ESD
academy (https://badges.esdacademy.eu)
En partenariat avec ESD
Analyser de façon méthodique un serveur web compromis.
Investigation numérique Web (Web forensics)
Catalogue Deloitte Cyber Academy 2020 21
Sécurité technique
• 15 au 17 juin • 2 au 4 novembre1 980€ hors taxesRéf. : INVWIN3 jours / 21 heures
Public visé
• Administrateur, analyste SOC, ingénieur sécurité
Prérequis
• Connaissance sur l’OS Windows, TCP/IP, Linux
Programme
Jour 1Section 1 - Etat de l’art de l’investigation numérique• Objectif du cours• Introduction à l’investigation numérique• Lien entre les différentes disciplines Forensics• Méthodologie d'investigation légale (Chaîne de
custody, rapport, méthode OSCAR)• Vocabulaire, taxonomie• Les différents OS Windows
Section 2 - Les fondamentaux Windows• Fondamentaux Windows
- Système de fichiers / Arborescence- Séquence de boot Windows- Base de registre- Logs (evtx, log pilotes, etc)- Variables d’environnements
• Services et les différents accès (services.exe, Powershell)
• Fondamentaux FAT32• Fondamentaux NTFS• TD / Analyse d’un disque• Questionnaire participatif
Section 3 - Collecte des données• Les outils du marché (SleuthKit)• Présentation du framework ATT & CK du
MITRE et points d’entrées des Cyberattaques• Arbres d’attaque• Les signes de compromissions (Corrélation
ATT&CK)• Collecte des données physique et
virtualisation• Présentation du Lab• TD / Collecte de données
Jour 2Section 4 - Artefacts• Différents artefacts internet
- Pièces jointes- Open/Save MRU- Flux ADS Zone.Identifier- Téléchargements- Historique Skype- Navigateurs internet- Historique- Cache- Sessions restaurées- Cookies- TD / Recherche d’un spearshiphing
• Différents artefacts exécution- UserAssist- Timeline Windows 10- RecentApps- Shimcache- Jumplist- Amcache.hve- BAM/DAM- Last-Visited MRU- Prefetch- TD / Retracer l’exécution d’un programme
• Différents artefacts fichiers/dossiers- Shellbags- Fichiers récents- Raccourcis (LNK)- Documents Office- IE/Edge Files
• Différents artefacts réseau- Termes recherchés sur navigateur- Cookie- Historique- SRUM (ressource usage monitor)- Log wifi- TD / Découverte d’un reverse shell
• Différents artefacts comptes utilisateur- Dernières connexions- Changement de mot de passe- Echec/Réussite d’authentification- Évènement de service (démarrage)- Evènement d’authentification- Type d’authentification- Utilisation du RDP- TD / Analyse eternal blue
• Différents artefacts USB- Nomination des volumes- Evénement PnP (Plug & Play)- Numéros de série
• Différents artefacts fichiers supprimés- Tools (recurva...)- Récupération de la corbeille- Thumbcache- Thumb.db- WordWheelQuery
• TP / Première investigation
Jour 3 Section 5 - Techniques avancées• VSS• Carving• Anti-forensic et Timestomping• Spécificités Active DIrectory
Section 6 - Introduction à volatility• Données volatiles• Analyse d’un dump mémoire• Extraction et analyse des process• Examen pour l’obtention d’un badge ESD
academy (https://badges.esdacademy.eu)
En partenariat avec ESD
Acquérir les compétences et la méthodologie pour uneinvestigation numérique sur le système d’exploitation Windows.
Investigation numérique Windows
22 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
•20 au 24 avril • 14 au 18 décembre3 000€ hors taxesRéf. : SOC5 jours / 35 heures
Public visé
• Étudiant en sécurité informatique, administra-teur système, Pentester, RSSI, consultant en sécurité de l’information
Prérequis
• Connaissances générales en système, réseau, et développement
Programme
Jour 1Section 1 - Introduction à la cybersécurité• Histoire de la cybersécurité• Présentation du programme Creeper• Présentation du projet Rabbit• La cybersécurité aujourd’hui et ses risques• La dangerosité des données numériques• Quels sont les responsables ? quelles motiva-
tions ont-ils?• Classification des risques selon le
gouvernement français
Section 2 - Définition et approche stratégique• Terminologie du monde SOC• Qu’est ce qu’un SOC• Présentation des objectifs d’un SOC• Législation, réglementation et conformité• Recommandation de la CNIL• Référentiels exigence de l’ANSSI
Section 3 - Les concepts fondamentaux• Les différences entre SOC et CSIRT• Les différentes types de SOC• Terminologie (journaux, événements,
incidents, alertes...)• Approche sur la gouvernance, protec-
tion, détection/réaction, remédiation/reconstruction
Section 4 - La technologie SIEM• Qu’est ce qu’un SIEM• Les objectifs d’un SIEM• Comprendre le SIEM au sein d’un SOC• Le fonctionnement d’un SIEM• Section 5 - Le LAB• Présentation du lab de formation• Explications des outils intégrés au LAB• Préparation du LAB
Jour 2Section 6 - Mise en place de Windows Server• Installation de Windows server R2• Configuration du serveur• Activation et configuration du domaine• Activation et configuration du service Active
Directory
Section 7 - Le Firewall• Généralités sur les FireWall• Fonctionnement d’un FireWall• Les types de filtrages• Les types de FireWall• Présentation de PfSense
Section 8 - Mise en place du Firewall• TP 1 / Installation de Pfsense• TD / Configuration des interfaces réseau• TD / Accès à Pfsense (par Wan et Lan)• Rappel sur le protocole DHCP• TP 2 / Configuration du DHCP• Présentation du portail d’authentification• TP 3 / Portail Captif (proxy)• Présentation du protocole SNMP• Les différents modules SNMP avec Pfsense• TP 4 / Configuration SNMP , Eyes of Network• TD / Mise à jour, Backup et restauration• TP 5 / Les packages (installation de Suricata)
Jour 3Section 9 - Présentation des types de détections systèmes• Définition de l’Intrusion detection system• Définition d’un Network IDS• Définition d’un Wireless IDS• Définition d’un hybride IDS
Section 10 - Mettre en place son IDS Suricata• Présentation de Suricata• TP 6 /- Installation et dépendances• TD / Les commandes de bases• Les différents modes d'exécution• TD / Configuration via suricata.yml• Approche théorique : les formats de règles
Suricata• Les options de règles• TD / La gestion des règles sur Suricata• TD / Donner du sens aux alertes
Jour 4Section 11 - Présentation de ELK• Présentation de la suite ELK• Découverte de Elasticsearch• Découverte de logstash• Découverte de Kibana
Section 12 - ElasticSearch• Approche théorique : Terminologie• TD / Présentation de la solution Cloud• TP 7 / Installation de ElasticSearch• TD / Configuration du fichier .yml• Application Full REST et utilisation Section 13
- Logstash• Approche théorique : fonctionnement de
logstash• TD / Installation de logstash
Jour 5Section 14 - Kibana• Installation et configuration• TP 8 / Installation de Kibana• TD / Configuration de Kibana• Utilisation de l’interface Discover• Visualize et les différentes visualisations• Création d’alertes• Exporter en PDF les données dashboard• Optimisation de la sécurité de Kibana
Section 15 - Détection d’intrusion et remontée d’alertes sur l’active directory• Présentation du scénario et de l’objectif• Approche théorique sur l’agent WinlogBeat• TD / Mise en place de WinlogBeat• TD / Configurer le Dashboard sur Kibana• TP 9 / Détecter une intrusion administrateur
dans l’active directory
Section 16 - TP final• TP 10 / Détecter une intrusion Pfsense et
remonter l’alerte dans le dashboard.
En partenariat avec ESD
Compréhension, implémentation et manipulation d’un SOC dans un environnement complet.
Intégration d’un SOC
Catalogue Deloitte Cyber Academy 2020 23
Sécurité technique
• 29 juin au 3 juil. • 30 nov. au 4 déc.3 600€ hors taxesRéf. : SECWEB5 jours / 35 heures
Vous allez apprendre
• Les enjeux de la sécurité web• Les méthodes d’attaque sur le web et
comment s’en protéger • Les bases de la cryptographie, quand et
comment l’utiliser• Les méthodes d’authentification web• Les bonnes pratiques de développement
sécurisé• Les techniques de protection des serveurs
Public visé
• Développeur web• Architecte d’application web ou de solutions
de sécurité web (pare-feu applicatif…)• Administrateur systèmes• Pentester débutant
Pré-requis
• Avoir une expérience dans le développement web ou des connaissances en réseaux et systèmes sont un plus
Méthode pédagogique
• Cours magistral illustré et approfondi par des travaux pratiques. Formation dispensée en français
Matériel• Ordinateur portable mis à disposition du
stagiaire• Supports de cours papier en français
Certification
• A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certifica-tion SECWEB Deloitte Cyber Academy.
Programme
Introduction• La sécurité informatique• Cadre normatif et législatif• Les différents types de menace et leurs
évolutions• Comprendre l’attaquant pour mieux se
protéger
L’infrastructure web• Architecture matérielle• Architecture applicative• Découverte de l’environnementTravaux pratiques : collecte d’information, scan réseau, transfert de zone, protection
Les protocoles du web• Le protocole HTTP : - Les méthodes de base - Les entêtes - Cookie et session - Les failles du HTTP• Les autres protocoles sur HTTPTravaux pratiques : Proxy, exploitation d’un analyseur de réseau, configuration d’entêtes, attaques sur sessions
Sécurisation des données et des flux• Eléments de cryptographie• Chiffrement des flux de données• Signature électronique, certificats• Chiffrement des donnéesTravaux pratiques : récupération de mots de passes
L’authentification• Méthodes d'authentification http : - Basic - Digest - Formulaire HTML• Méthodes d’authentification forte : - Token PKI - Certificat - Autres méthodes• Modèles de délégation• Principes d'infrastructure Single Sign On
Les applications Web• Les attaques par injection : - Côté serveur (Commandes, LDAP, SQL…) - Côté client (XSS)• Les attaques par inclusion : - Inclusions de fichiers locaux - Inclusions de fichiers distants• Durcissement des serveurs et des OS : - Principes généraux sous Windows - Principes généraux sous Linux• Développement sécuriséTravaux pratiques : configuration d’un serveur web, attaques courantes et contremesures
Les applications web constituent le point le plus vulnérable au sein des entreprises. Il n’est pas rare que des failles de sécurité donnent lieu, par exemple, à des vols de millions de numéros de cartes de crédit, à des dommages financiers, à d’importants impacts sur l’image, voire même à la compromission de milliers de machines d’internautes consultant le site web piraté. Cette formation présente les vulnérabilités classiques du Web à travers les tests d’intrusion et les moyens d’y remédier.
Sécurité des serveurs et applications web
24 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
4 jours / 28 heures Réf. : SECWIN 2 400€ hors taxes • 16 au 19 novembre
Durcissement sécurité Windows
Sensibilisation aux menaces courantes pesant sur les systèmes d’information, en vue de l’implémentation de mesures de sécurité adaptées (organisationnelles et techniques).
Public visé
• Étudiant BAC+3, administrateur système, consultant en sécurité de l’information
Prérequis
• Connaissances générales en système et réseau
Programme
Jour 1Section 1 - Introduction sur l’écosystème actuel• L’évolution des systèmes d’information et
leurs ouvertures sur le monde• Les menaces courantes pesant sur les
systèmes d’information• Les menaces récentes• Chronologie et évolutions majeures des
systèmes d’exploitation Windows• TP 1 / Questionnaire sur les fonctionnalités
Windows et les risques SI
Section 2 - Une défense alignée aux attaques• Compréhension de la défense par rapport à
un scénario d’attaque• Segmentation des phases d’un attaquant• Étudier les outils et méthodes d’attaque par
phases avec la Cyber Kill-Chain (ATT&CK)• Les attaques courantes dans un domaine
Windows• TP 2 / Mener une étude Cyber Kill-Chain
Jour 2Section 3 - Durcissement des domaines Windows• Stratégies de contrôle d’applications
(AppLocker)• TP 3 / Implémentation de AppLocker via les
stratégies de groupe• Cohérence et défauts de conception de la
structure Active Directory (ACL)• Recommandations de sécurité pour ActiveDirectory (Bonnes pratiques)• TD / Comment LAPS réduit les chances de
réussite de mouvements latéraux• TP 4 / Implémentation de LAPS pour les clients
d’un domaine Windows
Jour 3• Utilisation d’une infrastructure de clés
publiques (PKI) pour la création de stratégies de sécurité réseau (NPS, Radius)
• TD / Implémentation d’un contrôle d’accès Radius
• Sécurité des réseaux Wi-Fi• TD / Implémentation d’un contrôle d’accès
Wi-Fi basé sur Radius• Sécurisation de l’administration du domaine
(WinRM, RPC, WMI, RDP)• Sécurité des services et comptes de services
managés (MSA)• Classification et marquage de l’information
pour les systèmes de prévention de pertes de données (DLP)
• Audit et centralisation des journaux d'événements Windows
• Présentation d’une solution d’analyse de menaces avancées (ATA)
• Sécurité des environnements Azure (Identity Protection, RMS, Bonnes pratiques)
• TP 5 / Implémentation de Radius pour un contrôle d’accès VPN
Jour 4 Section 4 - Durcissement des serveurs et postes clients• Sécurisation du démarrage (Secure Boot
- UEFI)• Chiffrement des disques durs (Bitlocker, TPM,
Agent de récupération)• Pare-feu Windows (configuration, règles)• Contrôler l’élévation de privilèges (UAC)• TD / Élévation de privilèges avec et sans UAC• Sécurisation des contenus web (Smartscreen)• Windows Defender• Fonctionnalités antivirales (Device Guard,
Credential Guard, AMSI)• Augmentation de la maîtrise de Powershell
(Scripts signés, Just Enough Administration, Journalisation)
Section 5 - Durcissement des protocoles• Les bases de l’authentification Microsoft
(Authentification de Domaine, NTLM, Processus de « Défi-Réponse », NTLMv2, Kerberos)
• Analyse des protocoles actifs sur le domaine (Netstat, Wireshark)
• Étude des protocoles et services faillibles• TP 6 / Renforcement d’infrastructure et
simulationd’intrusion
Jour 5 Section 6 - Mécanismes de Défense avancée• Les éditeurs de sécurité (Cyberark, Hexatrust)• Défenses spécifiques à l’attaque Kerberoasting• Mesures de détection pour l’attaque
DCShadow• TP 7 / Génération d’un rapport de sécurité
ActiveDirectory (Ping Castle) - Implémentation d’une basede données relationnelle (Bloodhound)
• Examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)
En partenariat avec ESD
Catalogue Deloitte Cyber Academy 2020 25
Sécurité technique
• 14 au 16 septembre 2 100€ hors taxesRéf. : DEVOPS3 jours / 21 heures
Public visé
• Développeurs / Pentesters
Prérequis
• Connaissances généralistes en programma-tion web
Programme
Jour 1Section 1 - Introduction• Le DevOPS aujourd'hui• Quel système d’information• Agile VS Waterfall• L’industrialisation des infrastructures
Section 2 - Le modèle SI classique• Rappels sur les normes• Le modèle Bastion• Les guides d’hygiènes et référentiels• Une analyse de risque• Système de management de sécurité de
l’information• PSSI• PCA/PRA
Jour 2Section 3 - Concevoir sécurisé• Réduction des attaques de surface• Les bases du respect des données
personnelles• Défense en profondeur• Séparation des privilèges• Sécurisation par défaut
Section 4 - Les modèles de sécurité pour le DevOPS• Les différents frameworks (SDL, OWASP
CLASP)• Mettre en place des formations adaptées• Définir les besoins en sécurité• Établir des micro analyses de risques• Modéliser les menaces• Ajouter les services de sécurité automatisés• Adapter les bug trackers• Créer un tableau de bord
Section 5 - Tester et pentester une application• Fuzzing• Analyse de code• Faiblesse cryptographique & système• Sécurité des CMS & Framework• Ouverture avec l’OWASP testing guide, ASVS
Section 6 - Mettre en place un modèle de maturité• Les approches de l’OPENSAMM• Maîtriser les scorecards• Les activités de l’OPENSAMM• Les approches BSIMM• Fonctionnement et gestion des scorecards• Ajout des indicateurs• Maîtriser son tableau de bord
En partenariat avec ESD
Sécuriser efficacement un serveur web / une application, gérer la sécurité au travers d’un projet informatique, mettre en place des outils liés à la sécurité applicative, gestion des risques applicatifs.
Sécurité DevOps pour les managers du SI
26 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
2 jours = 1 450€ hors taxes
3 jours = 2 150€ hors taxes
2 jours + 3 jours = 3 500€ hors taxes
2 jours / 14 heures3 jours / 21 heures
Réf. : DEVSEC
Vous allez apprendre à
• Comprendre le développement logiciel en tenant compte dès sa spécification :- des contraintes de sécurité, des exigences
normatives et des standards appliqués au contexte ;
- des contraintes hardware sur lesquels les logiciels vont fonctionner ;
- des contraintes liées aux langages utilisés (notamment le C/ C++) ;
- des contraintes liées au pipeline de production (environnements de développement, intégration, préproduction et production).
• Comprendre l’intérêt des concepts de Secure Coding et Secure by Design
• Connaitre et appliquer des techniques de conception et de développement en vue de protéger les logiciels, les systèmes hôtes et leur environnement
• Savoir identifier et détecter des failles de sécurité et éviter leur(s) conséquence(s)
• Mettre en place des pratiques d’audit et de tests en vue d’identifier au plus tôt des vulnérabilités de code
• Savoir réduire les surfaces d’attaques d’un système
• Connaitre les recommandations CERT, OWASP quant aux bonnes pratiques de développement C/C++
• Savoir consulter le classement CVE des vulnérabilités en lien avec les développements C/C++
Public visé
• Niveau fondation : toute personne impliquée dans le développement et la mise en production d’applications
• Niveau avancé : personnes avec des connaissances en programmation en pratiques de développement, en tests et en architecture logiciel.
Le langage utilisé en cours est le C/C++ car ce dernier est le plus utilisé au monde après Java. Le formateur donne également des exemples en C#, Java et Python.
Prérequis
• Ce programme de formation décrit un chemin d’apprentissage basé sur un module de 2 jours correspondant à un niveau fondation suivi d’un module avancé de 3 jours. Ce cours fait l’objet d’une certification délivrée par Deloitte Cyber Academy.
• Niveau fondation : examen de type QCM • Niveau avancé : une étude de cas sur 3h Pédagogie
Le cours s’appuie sur les standards actuels. Chaque thématique est illustrée d’exemples expliqués réels et récents.Dans le but de comprendre les concepts et de s’exercer efficacement, les parties pratiques s’appuient sur la réalisation d’exploitations de vulnérabilités et leur analyse, et sur l’audit de codes. Cette formation mettra le focus sur l’importance de faire collaborer les parties prenantes au développement. Il sera alors envisageable de travailler en groupes dans le but de mixer les compétences. L’objectif est de favoriser l’échange, le partage d’informations et de connaissances.
Programme
Niveau fondation / 2 joursIntroduction aux enjeux et perspectives de la sécurité logicielle• Définition de la cybersécurité• La protection des données et des
infrastructures – Concept de confidentialité, intégrité et disponibilité
• Le logiciel : vecteur d’attaque• La complexité de l’environnement logiciel :
- Couches successives, interfaces, architec-tures, virtualisation et cloud computing, etc.
- L’interopérabilité et la standardisation- L’Open source
• Les acteurs de la sécurité des développements logiciels
• Les standards de la sécurité en développement logiciel
• Analyse d’attaques récentes et de leurs conséquences
Les principales failles de sécurité(1) et contre-mesures• Classement du MITRE CWE/SANS des erreurs
logicielles les plus dangereuses• Les principales sources de vulnérabilités
- Gestion des entrées/sorties (chaînes de caractères, des fichiers et des entiers)
- Gestion des pointeurs- Gestion dynamique de la mémoire- Concurrence des threads- Lisibilité du code
• Exploitation et conséquences- Buffer overflow (heap et stack) - Les attaques par chaînes malformées- Injection de code malveillant- Le TOCTOU - Les backdoors
(1) Module spécifique en fonction du langage
Dev Sec : développement sécurisé
La sécurité applicative est une préoccupation permanente qui couvre l’intégralité du cycle de vie du produit.Le développement sécurisé consiste à protéger d’une part les applications et les environnements sur lesquels elles s’exécutent, mais aussi d’intégrer dans les pratiques de développement de produits la sécurité comme une responsabilité de chacun des contributeurs, comme des éléments de spécification du produit et enfin les bonnes pratiques de développement. Pour être efficace, il est primordial que l’organisation bascule dans une démarche de production logicielle sécurisée en adoptant des cultures telle que le DevSecOps. Les équipes quant à elles doivent intégrer les différents acteurs engagés dans les projets (les équipes de développeurs mais aussi les SI, les experts sécurité et les concepteurs des solutions hardware qui embarquerons le logiciel) dans un cycle de développement adapté tel que le S-SDLC (Secured Software Development Life Cycle). Dans cette formation, nous présentons et expliquons les principales sources de vulnérabilités présentes dans les applications, et notamment dans les applications développées en C et C++. Nous nous appuyons sur les recommandations d’organismes référents tels que le SEI ou le MITRE. L’objectif est de sensibiliser et former les participants à la défense en profondeur, à la sécurité par le design et au développement sécurisé.
Catalogue Deloitte Cyber Academy 2020 27
Sécurité technique
• 23 au 27 mars • 26 au 30 octobre
Le cycle de développement logiciel sécurisé• Les différentes approches de développement
logiciel• L’agilité et le développement sécurisé (Scrum,
Extrem Programming, DevSecOps, etc.)• Le S-SDLC• Le concept de défense en profondeur –
l’importante de travailler conjointement sur le logiciel et le matériel
Les pratiques recommandées• La formation à la sécurité des personnes• L’analyse de risques intégrée dans un cycle de
développement• Les spécifications des exigences de sécurité
liées aux spécifications du logiciel• Les choix de design du logiciel• L’implémentation du logiciel• La vérification : l’importance du test dans le
développement et la maintenance• Le déploiement sécurisé des applications• Introduction au secure coding
Examen• QCM de 40 questions, en une heure. Livres
fermés.• Certification délivrée par Deloitte Cyber
Academy.
Niveau avancé / 3 jours Introduction• Rappels sur le compilateur• Rappels sur l’assembleur • Rappels sur les processeurs Les attaques sur les tampons• Stack overflow• Heap overflow• La gestion des pointeurs• Les différents mécanismes de protection (bit
NX, ASLR, …) et leurs limites• Cas pratiques : Heartbleed ou autre exemple
La programmation parallèle• La gestion des threads• La concurrence des threads • Les bonnes pratiques de développement• Cas pratiques : TOCTOU ou autre exemple
La gestion des entrées/sorties• La gestion des chaines de caractères• La gestion des fichiers• La gestion des entiers• Cas pratiques : analyse de codes vulnérables
et application de correctifs, attaque de type injection
La protection du logiciel et du code• L’isolement des processus• La gestion des interruptions• L’obfuscation du code• Le reverse engineering• Cas pratique : reverse engineering
d’application
Les pratiques de développement• Le développement piloté par les tests (TDD,
ATDD, test de sécurité…) • La pratique des tests de vulnérabilité • Les tests statiques et dynamiques • Audit de code• Le pipeline de production sécurisé• Cas pratique : déroulé de tests ou d’un audit
de code
Examen• Etude de cas, 3h, livres ouverts.• Certificat fourni par Deloitte Cyber Academy.
28 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
Réf. : MALWARES 2 250€ hors taxes • 23 au 25 novembre3 jours / 21 heures
Public visé
• Développeurs• Pentesters• Administrateurs • Analystes
Prérequis
• Connaissances généralistes en programmation et système / réseaux
Programme
Jour 1Section 1 - Etat de l'art• Introduction• Historique• Vecteurs d'infection• Compromission• Impacts business• Défenses classiques
Section 2 - Bases système• Séquence de boot• Dissection d’un processus• Dissection d’un exécutable• Gestion de la mémoire• Techniques communes• Obfuscation, packers, encoders (évasion)
Section 3 - Environnement• Infrastructure• Bonnes pratiques et création d’un lab
TP / Dépacking et désobfuscation d’une charge
Section 4 - Outils d’analyse• Analyse statique• Analyse dynamique• Présentation des outils d’analyse• Découverte de la suite Sysinternals• Introduction à la suite FLARE Mandiant
TD / Analyse d’un PDFTD / Analyse Meterpreter / Unicorn / Macros
• Sandbox• VirusTotal• Cuckoo• AnyRun
TD / Analyse d’une charge dans une SandBox
• Signatures• YARA• Création de règles• Implémentation YARA• Plateformes d’échangesTD / Signer des malwares
Jour 2TP / Etude de cas - Analyse d’une attaque et rédaction d’un rapport
Section 5 - Analyse de dumps mémoire• Acquisition• Volatility• Processus• DLLs• Ruches• Injections• Connections
TP / Analyse de dumps mémoire
Section 6 - Introduction à l’assembleur (ia-32)• Introduction• Registres• Flags• Instructions• La pile
TD / Premiers programmes
• Hello World (Write)• Boucles• Execve (/bin/sh)
Jour 3Section 7 - Shellcoding• Introduction à GDB• Commandes utiles• Shellcode méthode stack• Shellcode méthode Jmp-Call-Pop• Les encoders• Les stagers
TP / Création d’un encodeur XORTP / Création d’un stager
• Où trouver des shellcodes• Encoder des shellcodes existants (Metasploit)
TP / Reverse d’une charge
• Examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)
En partenariat avec ESD
Acquérir des connaissances généralistes sur le fonctionnement des malwares / Découverte d’une méthodologie d’analyse statique et dynamique / Création de charges encodées
Analyse de Malwares – Les fondamentaux
Catalogue Deloitte Cyber Academy 2020 29
Sécurité technique
1 jour / 7 heures Réf. : DEMTECH 670€ hors taxes • 2 mars • 7 septembre
Vous allez apprendre
À la fin de ce cours, vous aurez acquis les compétences suivantes : • Compréhension des concepts de base pour la
conception de centres de données. • Reconnaissance de la terminologie et des
concepts en rapport avec la plate-forme AWS, et navigation dans AWS Management Console.
• Compréhension des services d'infrastructure fondamentaux, notamment Amazon Virtual Private Cloud (VPC), Amazon Elastic Compute Cloud (EC2), Amazon Elastic Black Store (EBS), Amazon Simple Storage Service (53), Auto Scaling et Elastic Load Balancing (ELB).
• Compréhension des mesures de sécurité proposées par AWS et des concepts clés d' AWS ldentity and Access Management (1AM). Compréhension des services de bases de données AWS, notamment Amazon DynamoDB et Amazon Relational Database Service (RDS). Compréhension des outils de gestion AWS, notamment Amazon CloudWatch et AWS Trusted Advisor.
Public visé
• Personnes chargées de promouvoir les avantages techniques offerts par les services AWS pour les clients
• Personnes souhaitant découvrir comment commencer à utiliser AWS Administrateurs SysOps, architectes de solutions
• Développeurs intéressés par l'utilisation des services AWS
Prérequis
• Aucun
Application pratique
• Ce cours vous permet de tester de nouvelles compétences et d'appliquer vos connaissances à votre environnement de travail grâce à différents exercices pratiques.
Examen
• Cette formation ne prépare pas à un examen de certification
Programme
• Introduction et histoire d'AWS
• Services d'infrastructure sur AWS (Instances, Stockage, Réseau) AWS Security, Identité et gestion des accès
• Services de bases de données sur AWS
• Services complémentaires et outillage sur AWS
Le cours AWS Technical Essentials vous présente les produits, services et solutions courantes d' AWS. Il vous fournit les notions de base vous permettant de mieux identifier les services AWS afin que vous puissiez prendre des décisions éclairées concernant les solutions informatiques en fonction des besoins de votre entreprise, et commencer à travailler sur AWS.
Démarrage technique sur AWS
30 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
• 16 au 18 mars • 5 au 7 octobre1 980€ hors taxesRéf. : ARCHI3 jours / 21 heures
Vous allez apprendre
À la fin de ce cours, vous aurez acquis les compétences suivantes : • Prendre des décisions architecturales
conformément aux bonnes pratiques et aux principes architecturaux recommandés par AWS. Exploiter les services AWS pour rendre votre infrastructure évolutive, fiable et hautement disponible.
• Exploiter les services gérés AWS pour conférer davantage de flexibilité et de résilience à une infrastructure.
• Optimiser l'efficacité d'une infrastructure basée sur AWS afin d'améliorer les perfor-mances et de diminuer les coûts.
• Utiliser le Well-Architected Framework pour améliorer les architectures grâce aux solutions AWS.
Public visé
• Architectes de solutions • Ingénieurs conception de solutions
Prérequis
• Avoir suivi le cours : AWS Technical Essentials• Savoir exploiter les systèmes distribués • Maîtriser les concepts généraux de la mise en
réseau • Savoir exploiter les architectures à plusieurs
niveaux • Maîtriser les concepts du Cloud Computing
Examen
• Cette formation permet de préparer le passage de l'examen Architecte sur AWS niveau associé. Le passage de l'examen n'est pas compris dans le cadre de la formation.
Application pratique
• Ce cours vous permet de tester de nouvelles compétences et d'appliquer vos connais-sances à votre environnement de travail grâce à différents exercices pratiques.
Programme
Jour 1 • Introduction au métier de I' Architecte AWS• Concevoir une architecture simple • Ajouter une couche de traitement
computationnel • Ajouter une couche de traitement de base de
données • Concevoir des architectures réseaux -
1re partie
Jour 2• Concevoir des architectures réseaux -
2e partie • Gestion des identités et des accès (1AM)• Élasticité, Haute Disponibilité et supervision• Automatisation
Jour 3• Gestion des caches (Web et Databases) • Bâtir des architectures découplées • Architectures en micro-services et
Architectures Serverless • Planification du recouvrement d'urgence et
points de restauration • Optimisations et revue
Le cours Architecting on AWS v5 aborde les bases de la création d'une infrastructure informatique sur AWS. Ce cours est conçu pour montrer aux architectes de solutions comment optimiser l'utilisation du cloud AWS grâce à la compréhension des services AWS et de leur intégration dans des solutions basées sur le cloud. Étant donné que les solutions architecturales peuvent varier selon le secteur, le type d'application et la taille de l'entreprise, ce cours met l'accent sur les bonnes pratiques relatives au cloud AWS et les modèles de conception recommandés afin d'aider les étudiants à réfléchir au processus de conception de solutions informatiques optimisées sur AWS. Il présente également des études de cas expliquant comment certains clients AWS ont conçu leurs infrastructures et présentant les stratégies et services qu'ils ont implémentés. Il propose également des possibilités de création d'une grande variété d'infrastructures en recourant à une approche orientée et pratique.
Architecture sur AWS - Niveau 1
Catalogue Deloitte Cyber Academy 2020 31
Sécurité technique
• 25 au 27 mai • 23 au 25 novembre1 980€ hors taxesRéf. : ADSUP3 jours / 21 heures
Vous allez apprendre
À la fin de ce cours, vous aurez acquis les compétences suivantes : • Utiliser les fonctionnalités d'infrastructure
standard telles que Amazon VPC, Amazon EC2, ELB et AWS Auto Scalling en AWS CLI (Command Line Interface)
• Utiliser AWS Cloud Formation et les autres technologies d'automatisation pour produire des piles de ressources AWS
• Bâtir des réseaux privés avec Amazon VPC • Déployer des instances Amazon EC2 en
utilisant des appels en ligne de commande et savoir dépanner les problèmes les plus fréquemment rencontrés avec les instances
• Superviser la santé des instances Amazon EC2 et des autres services AWS
• Gérer l'identité, les permissions AWS et la sécurité dans le Cloud AWS Gérer la consommation des ressources dans un compte AWS en utilisant les tags, Amazon CloudWatch et AWS Trusted Advisor
• Savoir déterminer la meilleure stratégie pour créer des instances Amazon EC2 réutilisables
• Configurer un jeu d'instances Amazon EC2 à lancer derrière un load balancer
• Savoir dépanner une définition de pile de ressources basique créée à partir de AWS CloudFormation
Public visé
• Administrateurs système• Responsables des opérations • Personnes en charge du support opérationnel
sur la plate-forme AWS
Prérequis
Pour assister à ce cours, il est recommandé : • d'avoir suivi le cours Notions de base AWS ou
de posséder des connaissances équivalentes ; • de bien connaître l'administration des
systèmes ; • de maîtriser les concepts du Cloud
Computing ; • d'avoir de l'expérience avec les lignes de
commande Linux ou Windows.
Examen• Cette formation permet de préparer le
passage de l'examen Administrateur SysOps certifié AWS niveau associé. Le passage de l'examen n'est pas compris dans le cadre de la formation.
Application pratique
• Ce cours vous permet de tester de nouvelles compétences et d'appliquer vos connaissances à votre environnement de travail grâce à différents exercices pratiques.
Programme
Jour 1 • Présentation des opérations systèmes sur
AWS • Outillage et Automatisation • Services computationnels (Serveurs) • Services computationnels (Élasticité et
résolution de noms)
Jour 2• Services computationnels (Serverless et
Conteneurs) • Services computationnels (Services de bases
de données) • Administration des réseaux • Administration du stockage et de l'archivage
Jour 3• Supervision et sécurité • Gérer la consommation des ressources • Création de déploiements automatisés et
reproductibles
Le cours consacré aux opérations système sur AWS a pour but de vous aider à exploiter une infrastructure hautement disponible et évolutive sur la plate-forme AWS. Dans ce cours, nous vous expliquons comment gérer et prendre en charge efficacement les ressources AWS. Nous abordons différents concepts, notamment la mise en service de l'infrastructure, le déploiement d'applications, le suivi des coûts et la surveillance de l'utilisation, ainsi que la création de sauvegardes.
Administration et support AWS
32 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité technique
• 10 au 12 juin2 100€ hors taxesRéf. : CRYPTO13 jours / 21 heures
Vous allez apprendre à
• Connaître les grandes approches de la cryptanalyse moderne
• Proposer des contre-mesures
Public visé
• Ingénieurs de recherche• Experts en sécurité / CSO
Prérequis
• Notions de cryptographie et de sécurité
Programme
Jour 1 • Survol historique rapide, one time pad• Sécurité prouvée, niveau de sécurité, calculer
la taille des clés ; exemples• Que signifie « casser » ? De quoi dispose
l’attaquant ? Modèles de sécurité• Les enjeux de l’« aléatoire » ; exemples
Jour 2• Quelques techniques de cryptanalyse
symétrique (linéaire, différentielle, impossible) ; exemples
• Canaux auxiliaires en cryptographie ; exemples
• Attaques par fautes en cryptographie ; exemples
Jour 3• Mauvais modes de chiffrement ; exemples• Cryptanalyse de schémas à clé publique ;
exemples
L’objectif du cryptographe est de protéger l’information – l’objectif du cryptanalyste est de la révéler. Pour évaluer le niveau de sécurité d’un cryptosystème, pour identifier un dysfonctionnement, ou pour fixer les paramètres d’une politique de sécurité, il est important d’avoir une vision sur les techniques utilisables par des attaquants pour affaiblir ou annuler l’usage de la cryptographie.
Cryptanalyse
Catalogue Deloitte Cyber Academy 2020 33
Sécurité technique
• 18 au 20 novembre2 100€ hors taxesRéf. : CRYPTO23 jours / 21 heures
Cryptographie : approfondissement
Cette formation s’adresse à des personnes ayant déjà de solides connaissances en cryptographie, notamment dans le contexte de la clé publique, et qui souhaitent s’intéresser aux directions récentes du domaine. Il s’agira notamment de discuter les enjeux et les difficultés des nouvelles constructions (lattices, etc.) qui d’une part permettent le développement de cryptosystèmes enrichis (IBE, ABE, fonctionnels, homomorphes…) et d’autre part constituent de sérieux candidats post-quantiques.
Vous allez apprendre à
• Comprendre les enjeux actuels et futurs de la cryptographie
• Comprendre les difficultés théoriques et pratiques autour du déploiement de ces technologies
• Compléter ses connaissances avec les nouvelles primitives
• Réfléchir aux possibilités offertes par les cryptosystèmes modernes
Public visé
• Ingénieurs de recherche• Experts en sécurité / CSO
Prérequis
• Savoir ce que sont et à quoi servent les algorithmes de signature numérique, le chiffrement hybride, et une fonction de hachage.
Programme
Jour 1Fondations• Rappels des bases théoriques : sécurité
prouvée, hypothèses (RSA, DLP, factorisation, PRP/PRF), modèles adversariaux, courbes elliptiques
• Les limites et difficultés des cryptosystèmes existants (exemples avec RSA et ECDSA)
• Niveau de sécurité
Jour 2Vers l’homomorphisme• Premiers homomorphismes : RSA, Paillier• Accouplements sur courbes elliptiques
et applications (MOV, BLS, IBE), « groupes bilinéaires »
• Les réseaux euclidiens (lattices), leurs applications (LLL, FHE, mmaps) et les hypothèses (SVP, LWE)
• Applications de l’homomorphisme (ABE, FE, MPC...)
• Algorithmes quantiques de Grover et Shor
Jour 3Au-delà du quantique• Isogénies de courbes elliptiques (SIDH, CSIDH)• Cryptographie à base de codes (McEliece),
de polynômes, de fonctions de hachage (Lamport)
• Questions et défis
34 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité juridique
• 1er au 3 avril • 12 au 14 octobre2 250€ hors taxesRéf. : Droit SSI3 jours / 21 heures
Vous allez apprendre à
• Connaître la signification pratique des règles juridiques
• Comment appliquer les règles juridiques de façon concrète et pragmatique
• Comment renforcer efficacement le niveau de conformité de votre organisme
Public visé
Toutes les personnes impliquées dans la sécurité informatique :• RSSI• DSI• Administrateurs systèmes et réseaux• Astreintes opérationnelles• Maîtrises d'oeuvre de la SSI• Chefs de projet• Responsables de comptes• Consultants
Pré-requis
• Aucun. Il n'est pas nécessaire de disposer de connaissances en droit ou en informatique pour suivre cette formation
Méthode pédagogique
• Explication des notions juridiques en langage courant
• Cours magistral totalement interactif• Formation dispensée en français
Matériel
• Support de cours en français au format papier
Certification
• A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h00 à 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification DSSI Deloitte Cyber Academy.
Programme
Notions juridiques essentielles Consulter les règles applicables et suivre l’actualité – Informatique et libertés – RGPD• Champ d’application de la loi• Principes fondamentaux• Accountability, privacy by design & by default • Registre et PIA • Droits des personnes concernées• Obligations de sécurité• Sous-traitance et transferts hors Union
européenne• Les risques : sanction de la CNIL, sanction
civile, sanction pénale -Commerce électronique
• La prospection commerciale• Les cookies et autres traceurs de connexion• Le futur règlement e-privacy
Communications électroniques• Notions fondamentales• Secret des correspondances• Cryptologie• Brouillage des communications• Contrôles de sécurité sur les opérateurs• Filtrage
Conservation des traces• Données relatives au trafic• Données d'identification des créateurs de
contenus• Accès administratif aux données de connexion• Autres traces
Atteintes aux STAD• Cadre juridique• Réagir à une atteinte• Conséquences en droit social
Surveillance des salariés• Pouvoir de contrôle de l'employeur• Respect de la vie privée « résiduelle »• Courriers électroniques• Fichiers• Navigation web• Accès à l'ordinateur du salarié
Administrateurs systèmes et réseaux
Charte informatique
La conformité juridique est aujourd'hui un aspect essentiel de la sécurité de l'information. Or, les obligations à respecter sont nombreuses et pas toujours faciles à comprendre et à respecter. « Droit de la SSI » propose aux professionnels d'acquérir une connaissance pratique, concrète et pragmatique de la matière. La formation leur permettra d'évaluer et de renforcer le niveau de conformité de leur organisme.
Droit de la SSI
Catalogue Deloitte Cyber Academy 2020 35
Sécurité juridique
• 17 au 19 fév.• 20 au 22 avril
• 15 au 17 juin• 28 au 30 sep.
• 2 au 4 déc. 2 250€ hors taxesRéf. : RGPD3 jours / 21 heures
Vous allez apprendre
• Les principaux points clés du RGPD et leurs implications opérationnelles
• Les chantiers à mettre en place pour la mise en conformité
• Les bons réflexes dans la pratique quotidi-enne de la protection des données
Public visé
• Futurs DPO ou DPO débutants• Directions• Juristes souhaitant se spécialiser et/ou avoir
une vision globale du RGPD• RSSI ou techniciens souhaitant renforcer leurs
connaissances juridiques en la matière• Chefs de projet et MOE/maîtrise d’œuvre• Auditeur ou toute personne travaillant dans la
maitrise des risques
Prérequis
• Aucun pré-requis, néanmoins avoir déjà parcouru le RGPD est un plus
Certification
• À l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h00 à 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification GDPR Deloitte Cyber Academy.
Programme
Introduction• Fondamentaux juridiques• Historique et avenir du règlement européen• Enjeux de la protection des données
personnelles
Quelles sont les enjeux fondamentaux du RGPD ?• Champ d’application du règlement• Principes fondamentaux• Notions essentielles et acteurs• Responsabilités (responsabilité du DPO, du
sous-traitant, responsabilité conjointe, etc.) • Les risques de non-conformité
Comment assurer la conformité de son organisme ? • Piloter la protection des données person-
nelles avec un DPO• Gérer les risques avec l’analyse d’impact (PIA :
Privacy impact assessment)• Cartographier avec le registre des activités de
traitements• Veiller aux données particulières (données
sensibles, judiciaires, protection des mineurs, etc.)
• Assurer la sécurité des données• Gérer les droits des personnes concernées• Veiller aux transferts de données en dehors
de l’UE• Se préparer à un contrôle• Coopérer avec les autorités
Quels sont les outils permettant d’assurer la conformité ?• Certifications et codes de conduite• Methodologies de conformité • Veille• Références
Le règlement européen sur la protection des données personnelles est venu refondre le cadre juridique en matière « informatique et libertés ». Le RGPD couvre tout un panel d’obligations pour les responsables de traitement et les sous-traitants. Il touche également tous les métiers au sein des organismes, aussi bien la sécurité de l’information que la maîtrise des risques. RGPD : essentiel de la conformité est une formation indispensable pour connaître tous les points clés du RGPD. Elle appréhende le texte d’un point de vue pratique et opérationnel, elle s’adresse aussi bien aux profils techniques que juridiques et peut être suivie par toute personne curieuse de la matière.
RGPD : essentiel de la conformité
36 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité juridique
• 19 au 21 février• 18 au 20 mars
• 20 au 22 avril• 13 au 15 mai
Réf. : CURSUS RGPDFormation longue
Public visé• DPO désignés ou pressentis, quelle que soit
leur expérience • Profils cherchant à devenir DPO • Profils cherchant à développer leurs
compétences en protection des données • Relais « informatique et libertés » • Personnes souhaitant se préparer à la
certification DPO de la CNIL
Pré-requis• Aucun. Il n'est pas nécessaire de disposer de
connaissances en droit ou en informatique pour suivre cette formation
Méthode pédagogique• Explication des notions juridiques en langage
courant• Cours totalement interactif• Nombreux exercices pratiques et mises en
situation• Retours d’expérience• Suivi des inscrits sur plusieurs mois
Matériel• Support de cours en français• Support d'exercices et de corrections
Certification• Cette formation prépare à la certification DPO
de la CNIL.
Programme
Introduction
Module 1 – Découverte et notions essentielles
• Cadre de relations, esprit général dans lequel se déroule la formation
• Les origines de la protection de la vie privée• Les enjeux du cadre « informatique et libertés »
pour les citoyens, les organisations et la société• Le cadre juridique de la protection des données
personnelles (RGPD, loi « informatique et libertés », directive ePrivacy, etc.)
• Les concepts fondamentaux: donnée personnelle, traitement, fichier, etc.
• Les acteurs en présence : responsables de traitement, coresponsables, sous-traitants, DPO, CNIL, etc.
• Le champ d'application territorial et matériel des textes
• Les risques associés au non-respect des exigences (image, sanctions par la CNIL, sanctions pénales, actions civiles, incapacités juridiques, etc.)
• Vue d'ensemble des obligations « informatique et libertés »
• Présentation de la démarche de conformité et des outils
• Les principales sources d'information et de veille (sites web, associations, etc.)
Module 2 – Les principes fondamentaux
• Identifier la base juridique des traitements• Assurer la licéité, la loyauté et la transparence
des traitements• Limiter les finalités des traitements• Assurer la minimisation des données, mettre en
place et contrôler des champs « bloc-notes » • Garantir l'exactitude des données
• Déterminer la durée de conservation des données, gérer les sauvegardes et l'archivage
• Garantir l'intégrité et la confidentialité des données : première approche de la sécurité
• Identifier les données « sensibles » et veiller à leurs conditions de traitement
• Focus : vidéosurveillance, surveillance des salariés, contrôle d'accès biométrique, cloud computing, réseaux sociaux, prospection, casier judiciaire, numéros de carte bancaire, prise de décision automatisée, intelligence artificielle, données de santé, numéros de sécurité sociale
Module 3 – La démarche de conformité
• Le principe de responsabilité (accountability) et la gestion de la documentation nécessaire pour prouver la conformité de l'organisme
• Les principes de « Privacy by design » et de « Privacy by default » et l'identification des mesures de protection des données
• Le DPO, acteur central de la conformité : profil, désignation, statut, missions officielles et officieuses, moyens et outils, traçabilité et suivi des activités, relations, responsabilité
• La méthodologie de conformité pas à pas en pratique
• Mettre en place la gouvernance de la conformité
• Etablir des documents et des modèles opérationnels
• Elaborer, mettre en œuvre et dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes
• Les techniques d’audit, réaliser et acheter des audits de conformité
• Faire valider et reconnaître la conformité de l'organisme : codes de conduite, certifications, labels et marques
Depuis le 25 mai 2018, les enjeux de la conformité « informatique et libertés » ont pris une nouvelle dimension.Aujourd’hui, les responsables de la protection des données personnelles, en particulier les DPO (Data Protection Officers), doivent maîtriser des sujets complexes et interdépendants et faire preuve d’une véritable expertise dans la mise en œuvre pratique des obligations juridiques. La traduction opérationnelle des textes (RGPD, loi informatique et libertés, etc.), des jurisprudences et des recommandations des autorités (CNIL, CEPD, etc.) constitue un challenge majeur. Ce n’est pour autant pas tout : disposer d’une bonne connaissance du fonctionnement des systèmes d’information et des contraintes techniques, organisationnelles et métiers affectant la conformité, et développer ses qualités pédagogiques, stratégiques et humaines, sont autant de facteurs clés de réussite pour qui vise une mise en conformité sereine et pragmatique, en pleine conscience des véritables risques.Nous avons conçu cette formation pour vous apporter l’ensemble de ces compétences, et vous permettre de les démontrer au travers d’une certification reconnue. Par ailleurs, notre offre inclut en option un coaching personnalisé afin de vous accompagner dans votre pratique quotidienne.
Protection des données personnelles et RGPDConformité et mise en œuvre pratique
Catalogue Deloitte Cyber Academy 2020 37
Sécurité juridique
• 10 au 12 juin• 16 au 18 septembre
• 14 au 16 octobre• 18 au 20 novembre
Module 4 – La sécurité des données personnelles
• Présentation générale de la sécurité des données (confidentialité, intégrité, disponibilité, continuité d'activité, etc.)
• L'obligation de sécurité des données (périmètre, niveau d'exigence, normes, référentiels, recommandations et guides, bonnes pratiques, état de l'art, etc.)
• Le rôle du DPO en matière de sécurité et ses relations avec le RSSI
• Appréciation des risques et identification des mesures de sécurité appropriées
• Confidentialité des données personnelles et accès par des tiers (police, huissiers, etc.)
• La notion de violation de données personnelles et sa raison d'être
• Identifier les violations de données personnelles et évaluer le risque associé
• La notification des violations de données personnelles à l'autorité de contrôle
• La communication des violations de données personnelles aux personnes concernées
• La documentation des violations de données personnelles
• Gérer les incidents de sécurité et s'organiser pour optimiser la réaction
Module 5 – Les relations avec les personnes concernées
• Principes généraux• L'information des personnes lors de la collecte
directe ou indirecte de données personnelles (mesures appropriées, délais, contenu de l'information, etc.)
• L'information relative aux directives concernant le devenir des données personnelles après le décès
• Focus : les cookies et les mentions d'information en pratique
• Le droit d'accès• Le droit de rectification• Le droit à la portabilité• Le droit à l'effacement et le droit d'opposition• Le droit au déréférencement• Le droit à la limitation du traitement• Répondre aux demandes d'exercice des droits
en pratique• Mettre en place des procédures de gestion des
demandes d'exercice des droits• Gérer les réclamations des personnes
concernées• Premier examen blanc et correction
Module 6 – Les relations avec les sous-traitants – Les transferts en dehors de l'Union européenne et les aspects internationaux
• Approfondissement de la distinction entre responsable de traitement et sous-traitant
• La chaîne de sous-traitance : exigences et points d'attention en pratique
• Le contrat de sous-traitance (clauses obligatoires, clauses types, renégociation, etc.)
• Les responsabilités dans une relation de sous-traitance
• Identifier les transferts en dehors de l'Union européenne
• Le principe de libre circulation des données au sein de l'Union européenne
• Les instruments juridiques susceptibles de permettre un transfert en dehors de l'Union européenne (décisions d'adéquation, Privacy Shield, clauses contractuelles, règles internes/BCR, etc.)
• Les clauses contractuelles types• Elaboration et mise en œuvre de BCR (règles
internes de protection des données)• Mettre en œuvre des traitements à l'échelle
internationale : droit applicable, juridictions compétentes, précautions pratiques, etc.
• Aperçu de la protection des données personnelles dans le monde
Module 7 – Le registre des activités de traitement et l'analyse d'impact (PIA)
• La raison d'être du registre et du PIA• Le registre du responsable de traitement
(obligation, contenu, forme, etc.)• Le registre du sous-traitant (obligation, contenu,
forme, transmission au responsable de traitement, etc.)
• L'étude préalable permettant de déterminer si un PIA est nécessaire
• Méthodologie générale de réalisation d'un PIA• Les mesures techniques et organisationnelles
pouvant être adoptées à l'occasion d'un PIA• Dispenser des conseils et vérifier l'exécution
d'un PIA• La communication du PIA à l'autorité de
contrôle• Réalisation pratique d'un PIA à l'aide de l'outil
de la CNIL• Le rôle du DPO dans l'élaboration du registre
et du PIA• La transition avec les anciennes formalités
préalables (déclarations, demandes d'autorisation, etc.)
Module 8 – Les relations avec l'autorité de contrôle - Synthèse globale
• Le cadre commun des autorités de contrôle (compétence territoriale, statut, missions, etc.)
38 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité juridique
• 24 au 28 fév.• 6 au 10 avril
• 25 au 29 mai• 7 au 11 sep.
• 26 au 30 oct.• 7 au 11 déc.
3 500€ hors taxesRéf. : Cert DPO5 jours* / 40 heures
Vous allez apprendre
• Comment exercer efficacement le métier de DPO
• Comment mettre en œuvre les obligations « informatique et libertés » de façon concrète et pragmatique
• Le droit des données personnelles, son inter-prétation et son application en pratique
• Se préparer à l'examen de certification LSTI
Public visé
• DPO désignés, quelle que soit leur expérience• Futurs DPO• Relais « informatique et libertés »• Personnes souhaitant se préparer à l'examen
de certification LSTI « Certification DPO »
Pré-requis
• Aucun. Il n'est pas nécessaire de disposer de connaissances en droit ou en informatique pour suivre cette formation
Méthode pédagogique
• Explication des notions juridiques en langage courant
• Cours magistral totalement interactif• Nombreux exercices pratiques• Mise en situation d'une demi-journée• Formation dispensée en français
Matériel
• Support de cours en français au format papier• Support d'exercices et de corrections au
format papier
Certification
• Cette formation prépare à l'examen de certi-fication LSTI « Certification DPO » (ex Privacy Implementer).
Programme
• Notions essentielles• Démarche de conformité• Principes fondamentaux• Information et droits des personnes
concernées• Formalités préalables (registre, DPIA)• Sécurité des données• Transferts en dehors de l'Union européenne• Sous-traitants• Délégué à la protection des données (DPO)• Instruments de conformité• Autorités de contrôle• Contentieux et contrôles• Eléments de veille• Examen de certification (conçu, surveillé et
corrigé par LSTI)
Note : le niveau d’approfondissement des différents thèmes est plus élevé dans cette formation que dans la formation « RGPD : Essentiel de la conformité » sur 3 jours. Les exercices sont également plus nombreux.
La protection des données personnelles est devenue une préoccupation majeure des citoyens. Avec l'entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018, les organismes doivent se mettre en conformité avec des règles nouvelles, souvent complexes et assorties de sanctions renforcées.« Certification DPO » a pour but de présenter ce nouveau cadre d'un point de vue opérationnel et d’en appréhender les risques. Cette formation certifiante donne aux participants les clés pratiques pour piloter une mise en conformité puis pour maintenir celle-ci dans la durée.
Certification DPO
* Prévoir une demi-journée d'examen en fin de formation, soit un stage de 40 heures réparties en 34 heures de cours, 3 heures d'examen chez Deloitte et 3 heures de travail individuel sur les exercices chez soi. Cette durée de 40 heures est nécessaire pour être conforme au règlement de certification LSTI.
Catalogue Deloitte Cyber Academy 2020 39
Sécurité juridique
2 jours / 14 heures Réf. : PIA 1 400€ hors taxes • 26 au 27 mars • 5 au 6 nov.
Vous allez apprendre à
• Construire une démarche PIA (procédures et outillage)
Public visé
• DPO débutants ou souhaitant se perfectionner
• RSSI ou techniciens souhaitant renforcer leurs connaissances juridiques du PIA et/ou appréhender leur rôle sur le volet technique
• Juristes impliqués dans la gouvernance ou la gestion de projet
• Responsables MOA • Toute personne susceptible de mener des
études d’impact sur la vie privée
Pré-requis
• Connaître les principes juridiques fondamentaux de la protection des données personnelles est un plus non négligeable
• Avoir des bases en appréciation des risques de sécurité est un plus
• Avoir suivi les formations « Certification DPO » ou « GDPR/RGPD » est un plus
Méthode pédagogique
Présentation théorique et mises en pratique sur chaque partie du cours
Matériel
• Fourniture de clés USB • Etude de cas réalisé sur PC
Programme
I/ Introduction• Cadre légal et réglementaire de la protection
des données à caractère personnel• Retour sur les notions fondamentales de la
protection des données à caractère personnel• Rappel des principes de l’analyse de risques• Enjeux de la protection des données à
caractère personnel au regard du PIA• Présentation des normes et référentiels sur le
sujet (CEPD, ISO 29134, etc.)
II/ Qu’est-ce qu’un PIA ?• Définition du risque sur la vie privée• Les acteurs impliqués• Les objectifs du PIA• Les enjeux du PIA• Les traitements mis en œuvre avant le 25 mai
2018• Les risques liés à la non réalisation d’un PIA
III/ Quand réaliser un PIA ? • Le PIA dans un projet (Privacy by design)• Le déroulé d’une étude préalable• Les 9 critères du CEPD • La liste des traitements soumis au PIA • La liste des traitements dispensés de PIA
IV/ Comment réaliser un PIA ? • Etude du contexte et du périmètre• Analyse des risques sur le respect des
principes fondamentaux du RGPD• Appréciation des risques sur la vie privée liées
à la sécurité des données• Validation et révision du PIA • Communiquer sur son PIA
V/ Présentation des outils • Benchmark d’outils disponibles pour la
réalisation d’un PIA
Exigence du RGPD, le PIA (Privacy Impact Assessment / Etude d’Impact sur la Vie Privée) doit être mené sur tout projet impliquant des données à caractère personnel et susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Outil essentiel de l'accountability et gage de confiance pour les clients, le PIA est au cœur de la protection des données personnelles.Si de récentes normes s'y consacrent, mener un PIA peut se révéler fastidieux. La formation « Réaliser un PIA » permet de se former à la mise en place de cette étude d’impact tout en bénéficiant d’un rappel sur les notions essentielles de la protection des données personnelles et de l’analyse de risques. Ainsi, après une présentation du PIA dans le RGPD et des outils existants, les formateurs présenteront une de leurs méthodes au travers d’une étude de cas.
Réaliser un PIA (étude d'impact sur la vie privée)
40 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité juridique
• 16 au 17 mars • 16 au 17 nov.1 400€ hors taxesRéf. : Données de santé2 jours / 14 heures
Vous allez apprendre
• Les exigences de sécurité en matière de :- Protection des données personnelles de
santé (RGPD, LIL, Code de la santé publique)- Interopérabilité des systèmes d’information
de santé (CISIS)- Sécurité des systèmes d’information de
santé (PGSSI-S, CPS, RGS, LPM)- Hébergement des données de santé (certifi-
cation HDS)
Public visé
• RSSI ou techniciens souhaitant avoir une vision synthétique du sujet
• Juristes souhaitant se spécialiser• DPO débutants ou confirmés• Toute personne confrontée à la gestion d’un
système d’information de santé• Acteurs du secteur médico-social • Hébergeurs de données
Pré-requis
• Avoir une culture générale en sécurité des systèmes d’information et/ou en droit est un plus
Méthode pédagogique
• Cours magistral avec échanges interactifs• Retours d’expérience et applications pratiques
Matériel
• Support de cours en français au format papier
Certification
• Cette formation n'est pas certifiante.
Programme
Hébergement des données de santé• Exigences légales en matière d’hébergement• Référentiel de certification HDS et démarches
pratiques associées :- ISO 27001- Obligations spécifiques aux hébergeurs de
données de santé
Droits des patients et secret médical• Droits des patients : confidentialité de leurs
données de santé, information et accès aux données, droit d’accès et d’opposition, etc.
• Secrets professionnel, médical, partagé
Gestion des données personnelles de santé• Licéité des traitements de données
personnelles• Collecte des données de santé• Accountability : PIA et registre des activités de
traitement• Conservation, suppression, anonymisation et
archivage des données
La loi Santé de 2019 et le partage de données de santé• L’espace numérique de santé (DMP et autres)• La télémédecine et le télésoin, la réalisation
des activités traitant des données de santé à distance
• La nouvelle plateforme des données de santé (Health Data Hub)
Sécurité du système d'information de santé• Obligations légales de sécurité de données et
systèmes d’information de santé• Enjeux de la sécurité du SI-S : confidenti-
alité, intégrité, disponibilité, traçabilité et imputabilité
PGSSI-S, Gestion des risques• Objectifs, principes et structure de la PGSSI-S • Mesures de sécurité opérationnelles :
- Gestion des accès, identification, authentification
- Classification et chiffrement- Sécurité des échanges- Anonymisation et pseudonymisation- Etc.
Gestion des incidents et notification aux autoritésSpécificités liées à certains acteurs de la santé• OIV : Loi de Programmation Militaire (LPM) et
eIDAS- OSE : Directive NIS
• Autorités administratives : Référentiel Général de Sécurité (RGS)
La protection des données personnelles de santé en France regroupe un large corpus de textes juridiques et techniques. La complexité des obligations, surtout dans le domaine de la santé, y étant liée complique la mise en conformité des organismes. Cette formation a pour but d’analyser, structurer et souligner les points d’attention juridiques et techniques autour de la protection des données de santé. Il s’agit d’un droit mouvant et transverse, touchant aussi bien à la sécurité technique qu’organisationnelle. La formation vous mettra à jour des dernières évolutions en la matière et des enjeux autour de l’utilisation des nouvelles technologies appliquées au domaine de la santé (Big Data, IA, blockchain et objets connectés).
Protection des données de santé et vie privée
Catalogue Deloitte Cyber Academy 2020 41
Sécurité organisationnelle
• 2 au 6 mars• 11 au 15 mai
• 29 juin au 3 jui.• 21 au 25 sep.
• 2 au 6 nov.•14 au 18 déc.
5 jours / 35 heures Réf. : CISSP 4 100€ hors taxes dont 650€ hors taxes de coupon d'examen
Objectif
• Réussir l'examen de certification CISSP d'ISC²
Public visé• Toute personne souhaitant obtenir une
certification reconnue en sécurité • Consultants en sécurité devant démontrer
leur expertise acquise et enrichir leur CV• Juristes
Pré-requis
• Avoir lu le CBK (Common Body of Knowledge), livre officiel de l’ISC²
Méthode pédagogique
• Un consultant expert pour chaque thème du CBK
• Des questions et des explications à chaque réponse inexacte
• Formation dispensée en français
Matériel
• Support officiel de l'(ISC)² en anglais au format papier
• Livre CBK officiel de l'ISC² envoyé sur demande uniquement à réception des documents de confirmation d'inscription
• Un livre de révision de l'ISC² pour l'ensemble des chapitres comprenant : - Des fiches de révision et résumés des
chapitres- Des questions d'entraînement- Un examen blanc
Certification
• Cette formation prépare à l'examen de certification CISSP de l'ISC². Partenaire officiel d'ISC² en France, Deloitte Cyber Academy est un des rares organismes de formation à être habilité à vendre l'examen CISSP. L'examen se déroule dans un centre Pearsonvue (www.pearsonvue.com).
Programme
Les 8 thèmes officiels du CBK :• Security & Risk Management• Asset Security• Security Engineering• Communications & Network Security• Identity & Access Management• Security Assessment & Testing• Security Operations• Security in the Software Development Life
Cycle
CISSP (Certified Information Systems Security Professional) est la certification professionnelle internationale la plus connue dans le monde de la sécurité des systèmes d’information. Le programme de certification géré par ISC² (International Information Systems Security Certification Consortium) est réparti en 8 thèmes qui couvrent tous les aspects de la sécurité des systèmes d’information.
Formation CISSP
42 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelle
• 12 au 16 octobre4 100€ hors taxes dont 650€ hors taxes de coupon d'examen
Réf. : CCSP5 jours / 35 heures
Public visé
• Architecte d’entreprise• RSSI, Officier de sécurité• Administrateur sécurité• Architecte sécurité• Consultant en sécurité• Ingénieur sécurité• Chef de projet et manager sécurité• Architecte système, ingénieur système
Certification
• Pour être titulaire de la certification CCSP, les candidats doivent d’une part réussir l’examen CCSP, d’autre part, disposer de cinq années d’expérience professionnelle en technologies de l’information, dont trois ans en sécurité de l’information, ainsi qu’au moins une année dans un ou plus des six domaines du CCSP Common Body of Knowledge (CBK®) de (ISC)2.
Les six domaines couverts par le CCSP
Domaine 1 - Exigences et concepts en termes de conception en architecture Cloud computing
• Les concept du Cloud computing• Les architectures de référence du Cloud
computing• Les concepts de sécurité associés au cloud
computing• Les principes de conception de sécurité du
Cloud de Computing• L’identification des services de cloud
computing de confiance
Domaine 2 - La sécurité des données dans le cloud computing
• Le cycle de vie des données du cloud computing
• Conception et déploiement des architectures de stockage en cloud computing
• Conception et application des stratégies de sécurité des données
• Connaissances et déploiement des technolo-gies de classification et de découverte des données
• Conception et mise en œuvre des exigences légales de sécurité des données concernant l’identification des informations personnelles (PII)
• Conception et déploiement du Data Rights Management
• Planification et mise en œuvre des politiques de rétention, de suppression et d’archivage des données
• Conception et déploiement des démarches d’audit, de détection et de démontrabilité
Domaine 3 - La sécurité des infrastructures et des plates-formes de cloud computing
• Les composants de l’infrastructure du cloud computing
• Evaluation des risques de l’infrastructure du cloud computing
• Conception et planification des contrôles de sécurité
• Conception et déploiement de plan de reprise et de continuité des services et des métiers
Domaine 4 - La sécurité des applications de cloud computing • Formation et sensibilisation de la sécurité
autour des services du Cloud computing• Validation et assurance des solutions
logicielles du Cloud computing• Utilisation des logiciels vérifiés, approbation
des API• SDLS : cycle de vie du développement de la
sécurité logicielle• Les architectures applicatives du Cloud
computing• Conception et déploiement d’une solution
d’IAM(Identity & Access Management)
Domaine 5 - Gestion des opérations
• Planification des processus de conception du data Center
• Développement et mise en œuvre d’une infra-structure physique du Cloud
• Gestion opérationnelle et maintenance d’une infrastructure physique de Cloud computing
• Conception, maintenance et gestion d’une infrastructure logique de Cloud computing
• Conformité avec les normes de type ISO 20000-1 ou des référentiels comme ITIL
• Evaluation des risques d’une infrastructure logique et physique du Cloud Computing
• Collecte et conservation des preuves numér-iques (forensic)
• Communication avec les parties prenantes
Domaine 6 - Les exigences légales et la conformité
• Risques et exigences légales d’un environne-ment de Cloud Computing
• La gestion de la vie privée, diversité des exigences légales en fonction des pays
• Méthodes et processus d’audit d’un envi-ronnement de cloud computing
• La gestion des risques au niveau de l’entreprise d’un écosystème cloud computing
• Conception et gestion des contrats, notamment dans le cadre d’une démarche d’externalisation
• Gestion des fournisseurs du Cloud Computing
Formation CCSP
Le cloud computing bouscule les organisations, d’une part par son approche technique, d’autre part par la démarche organisationnelle qu’il implique. Ainsi, le Cloud permet à de nombreuses organisations de développer leurs activités en termes d'efficacité, de rentabilité et de croissance, tout en contribuant à réduire les coûts de production et le time to market. Cependant, suite au succès du Cloud, il est indispensable de comprendre et d’étudier ses implications en termes de sécurité, pour réussir sa mise en œuvre et la rentabilité de la démarche sur le long terme d’une entreprise. Pour cela, les entreprises doivent s’appuyer sur des professionnels expérimentés et compétents, dotés des connaissances et compétences solides en matière de sécurité du Cloud. La certification CCSP (Cloud Computing Security Professional) apporte une réponse, en attestant de connaissances et de compétences approfondies dans tout l’éco système Cloud (organisationnel, technique, juridique). Cette certification est soutenue par la Cloud Security Alliance (CSA) et l’(ISC)2.
Catalogue Deloitte Cyber Academy 2020 43
Sécurité organisationnelle
• 9 au 13 mars• 8 au 12 juin
• 21 au 25 sep.• 23 au 27 nov.
3 600€ hors taxesRéf. : RSSI5 jours / 35 heures
Vous allez apprendre
• Les bases pour la mise en place d’une bonne gouvernance de la sécurité des systèmes d’information
• Les connaissances techniques de base indis-pensables à la fonction de RSSI
• Pourquoi et comment mettre en œuvre un SMSI en s’appuyant sur la norme ISO 27001
• L’état du marché de la sécurité informatique• Les méthodes d’appréciation des risques • Les enjeux de la SSI au sein des organisations• Les stratégies de prise de fonction et des
retours d’expérience de RSSI
Public visé
• Nouveaux ou futurs RSSI souhaitant se remettre à niveau et échanger
• RSSI expérimentés souhaitant se remettre à niveau et échanger sur les bonnes pratiques du métier avec d’autres RSSI
• Ingénieurs en sécurité des systèmes d’information souhaitant rapidement acquérir toutes les compétences leur permettant d’évoluer vers la fonction de RSSI
• Directeurs des systèmes d’information ou auditeurs en systèmes d’information souhaitant connaître les contours de la fonction et les rôles du RSSI
Pré-requis
• Expérience au sein d’une direction infor-matique en tant qu’informaticien ou bonne connaissance générale des systèmes d’information
• Des notions de base en sécurité appliquée aux systèmes d’information constituent un plus
Méthode pédagogique
• Cours magistral dispensé par des consultants et des experts de chaque domaine: organisa-tionnel, technique, commercial et juridique
• Formation dispensée en français
Matériel
• Support de cours en français au format papier
Certification
• A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certifica-tion RSSI Deloitte Cyber Academy.
Programme
Introduction
• Accueil • Présentation de la fonction de RSSI avec mise
en perspective par rapport à tous les aspects de son environnement
• Production, direction, métiers, conformité, juridique, etc.
Aspects organisationnels de la sécurité
• Panorama des référentiels du marché • Politiques de sécurité • Rédaction • Politiques globales, sectorielles,
géographiques • Conformité • Gouvernance de la sécurité • Indicateurs sécurité • Gestion des incidents • Aspects techniques de la sécurité • Sécurité du système d'exploitation • Sécurité des applications (sessions, injections
SQL, XSS) • Sécurité réseau (routeurs, firewalls) • Sécurité du poste de travail
Systèmes de management de la sécurité de l'information (norme ISO 27001)
• Bases sur les SMSI • Panorama des normes de type ISO 27000 • Bases sur ISO 27001 et ISO 27002 Préparation à l'audit • Formation et communication • Audit à blanc • Documents à préparer • Considérations pratiques • Réception des auditeurs
(SoX, Cour des comptes, Commission bancaire, etc.)
Gestion de risques • Méthodologies d'appréciation des risques : - EBIOS - MEHARI - ISO 27005 • Analyse des risques • Evaluation des risques • Traitement des risques • Acceptation des risques Aspects juridiques de la SSI • Informatique et libertés • Communications électroniques • Conservation des traces • Contrôle des salariés • Atteintes aux STAD • Charte informatique • Administrateurs
Acteurs du marché de la sécurité • Gestion des relations avec les partenaires • Infogérance • Prestataires en sécurité
Stratégies de prise de fonction du RSSI • Rôles du RSSI • Relations avec les métiers, la DSI, la DG, les
opérationnels • Retour d'expérience • Questions / Réponses avec les stagiaires
La formation RSSI Deloitte Cyber Academy apporte au nouveau responsable sécurité des SI ou au nouveau manager d'un RSSI un panorama complet de ses fonctions et des attentes des organisations sur son rôle. Les connaissances indispensables à la prise de fonction du RSSI et un retour d'expérience sur les chantiers et la démarche à mettre en œuvre dans le rôle sont détaillés par des consultants expérimentés et d'anciens RSSI.
Formation RSSI
44 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelle
Formation CISA Préparation à l'examen
Le CISA (Certified Information Systems Auditor) est la certification internationale des auditeurs des systèmes d'information.Cette certification est régulièrement exigée auprès des auditeurs informatique et sécurité. Elle est éditée par l'Association internationale des auditeurs informatique ISACA (www.isaca.org/).
Objectif
• Préparer à la réussite de l'examen CISA de l'ISACA
Public visé
• Consultants en organisation, consultants en systèmes d'information, consultants en sécurité
• Auditeurs • Informaticiens • Responsables informatique • Chefs de projets, urbanistes, managers
Pré-requis• Connaissance générale de l'informatique,
de ses modes d'organisation et de son fonctionnement
• Connaissance des principes généraux des processus SI et des principes de base de la technologie des SI et des réseaux
Méthode pédagogique
• Cours magistraux par des consultants certifiés CISA
• Exercices pratiques par des questions à l'issue de chaque exposé
• Examen blanc de 100 questions et explica-tions à chaque réponse inexacte
• Formation dispensée en français
Matériel
• Supports de cours en français au format papier
• Livre officiel de l'ISACA CRM « Cisa Review Manual » – en anglais ou « Manuel de préparation au CISA » en français – envoyé sur demande uniquement à réception des documents de confirmation d'inscription
Certification• Cette formation prépare à l'examen de certi-
fication CISA de l'ISACA. Coupon d'examen disponible uniquement sur le site de l'ISACA.
Programme
Le stage est organisé sur 4 journées de révision des 5 thématiques de la certification CISA associées à des séries de questions illustratives.Les 5 domaines abordés (repris dans le CRM et le support de cours) :• Le processus d'audit des SI : méthodologie
d'audit, normes, référentiels, la réalisation de l'audit, les techniques d'autoévaluation
• La gouvernance et la gestion des SI : pratique de stratégie et de gouvernance SI, politiques et procédures, pratique de la gestion des SI, organisation et comitologie, gestion de la continuité des opérations
• L'acquisition, la conception et l'implantation des SI : la gestion de projet, l'audit des études et du développement, les pratiques de main-tenance, contrôle applicatifs
• L'exploitation, l'entretien et le soutien des SI : l'audit de la fonction information et des opérations, l'audit des infrastructures et des réseaux
• La protection des actifs informationnels : audit de sécurité, gestion des accès, sécurité des réseaux, audit de management de la sécurité, sécurité physique, sécurité organisationnelle
La dernière journée du stage est consacrée à un exposé de pratiques destiné à la prépa-ration de l'examen (QCM de 4h), suivi d'un examen blanc de 100 questions (2h) et d'une revue des réponses des stagiaires
5 jours / 35 heures Réf. : CISA 3 500€ hors taxes • 5 au 9 octobre
Catalogue Deloitte Cyber Academy 2020 45
Sécurité organisationnelle
Initiation au Secret Défense
• 18 au 19 mai • 19 au 20 octobre1 400€ hors taxesRéf. : SECDEF2 jours
Public visé
Toute personne travaillant dans une organisa-tion ou une entreprise qui traite ou sous-traite des informations secret défense, dont la valeur est particulièrement sensible, et le degré de protection très élevé.
Pré requis
Une connaissance a minima de la sécurité des systèmes d’information est souhaitée. Une certification de type ISO, CISA ou CISSP serait un plus.
Méthode pédagogique
Le cours est conçu comme un état de l’art, s’appuyant l’expérience professionnelle du formateur. Les échanges, interactions, exemples et retours d’expérience font la richesse de ce cours.
Matériel de cours
Support de cours et documents complémen-taires : études, livres, etc.
Organisation
Ce cours est généralement dispensé en inter entreprise. Il peut être adapté au contexte pour être dispensé en intra, dans nos locaux, ou sur le site du client.
Programme
1) Le Secret de Défense, l’État
• Historique • Autorités Étatiques responsables du Secret de
défense • La protection du secret (décrets et instruc-
tions ministérielles)
2) Niveaux de Secret et de Marquage
• TSD • SD • CD • DR • SF
3) Le secret de défense et les entreprises
• Contrats avec l’état • Contrats avec sous-traitants
4) Le secret de défense à l’international
• OTAN/NATO • UE • Accords Généraux de Sécurité (AGS) &
Équivalences
5) Habilitations
• Personne morale • Personne physique • Durée • Processus d’habilitation • Levée d’habilitation • Formulaire 94A • Rôles et responsabilités : SGDSN, DRSD &
DGA
6) La levée du secret de défense
7) Contrats et Annexes de sécurité (avec ou sans détention d’ISC)
8) Gestion des Supports et Informations classifiés (ISC)
• Officiers de Sécurité (OCS et OCSSI) • Niveaux de secrets • Marquages • ACSSI • Habilitation • Enregistrements • Inspections • Homologations (ATAP et ATAI) • Incidents de sécurité /Compromission
9) Protection Physique du Secret de défense
• Principes généraux (protection, détection, intervention)
• Analyse de risque • Zones Protégées (ZP) • Zones Réservées (ZR) • Zones Temporaires • Zonage « Tempest » (Signaux
Compromettants)
10) Protection du secret de défense / Traitement des Supports
• Informations classifiées • Mesures de protection organisationnelles • Systèmes CD / Systèmes SD • Mesures de protection techniques • Mesures de défense en profondeur • Chiffre : données et réseaux • Habilitation des administrateurs systèmes et
réseaux • Homologation et DSSI (fiches P, R) • Cas particulier des ACSSI • Protection du « Diffusion Restreinte »
11) Protection du patrimoine scientifique et technique de la Nation
• Zones à régimes restrictifs • SI en ZRR
12) Internationnal / export
• Licences d’exportation / d’Importation • PASI
13) Evolution de la réglementation
• Emphase sur la dématérialisation des informations
• Meilleure cohérence à l’international
Les informations secrets Défense constituent une cible privilégiée pour des individus ou des organisations étrangères qui cherchent à nuire ou déstabiliser la société et l’Etat. En effet, ces informations sont associées aux intérêts fondamentaux et vitaux de la Nation concernant les secteurs de la Défense, de la sécurité intérieure et de la protection des activités financières, économiques ou industrielles, de la protection du patrimoine scientifique et culturel de la France.Leur protection fait l’objet d’une attention spécifique, car leur diffusion doit impérativement rester sous contrôle.Cette formation de deux jours passe en revue les principes des informations secrets défense : leur définition, leur classification, leur gestion et leur protection.La formation est dispensée par Jean-René Spagnou, consultant en cybersécurité, ex RSSI de la DCNS.
46 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelle
• 19 au 23 octobre3 600€ hors taxesRéf. : DIGIT & ARCHI5 jours / 35 heures
Vous allez apprendre à
• Maîtriser les informations et données essen-tielles à connaître pour aborder un projet de digitalisation avec méthode et efficacité
• Maîtriser les grands principes des techniques de sécurisation des données numériques et les notions de preuves électroniques
• Maîtriser les trois piliers de tout projet de digi-talisation que sont la signature électronique, la conservation/archivage de données numér-iques et la gestion des flux ou cycle de vie des documents numériques
• Maîtriser l’identification des risques d’un projet de digitalisation
• Maîtriser les étapes clés et les bonnes pratiques des projets de digitalisation, y compris les aspects contractuels et l’établissement d’un corpus documentaire juridico-technique
• Maîtriser l’identification des contraintes techniques, économiques, organisationnelles, légales et règlementaires qui portent sur les processus dématérialisés
• Maîtriser des techniques/méthodes permet-tant de choisir objectivement une solution
Public visé
• Aux chefs de projet en matière de digitalisa-tion et d’archivage électronique
• Aux consultants, aux responsables de la sécurité, aux responsables informatiques, aux juristes et aux archivistes amenés à gérer des projets de digitalisation et d’archivage électronique
• Aux responsables de la gouvernance de l’information, aux responsables de la gestion des risques
• A toutes les personnes désireuses de mieux comprendre les enjeux du numérique dans le cadre de la digitalisation des processus métier et de la conservation de données numériques, voire de la transformation numérique en
générale, par exemple et sans que cette liste soit limitative :- conseillers experts en technologie de
l'information- les agents de sécurité de l'information- les responsables de la sécurité de
l'information- tout professionnel de l'informatique- CTO, CIO et CISO
Pré-requis
• Avoir une bonne connaissance des processus informationnels (flux d’information) et une vision d’ensemble de ce que représente un système d’information. Des notions sur la sécurité des systèmes sont également souhaitables.
Méthode pédagogique
• Cette formation est basée à la fois sur la théorie et les meilleures pratiques utilisées dans la mise en œuvre d’un projet de digi-talisation et de conservation/archivage de données numériques
• Les différents concepts présentés sont illustrés par des exemples basés sur des cas réels
• Une étude de cas permet de bien identifier le type de questions à se poser sachant que les réponses aux questions sont apportées tout au long de la formation
• Les tests pratiques sont similaires à l'examen de certification
Certification
Après avoir réussi l’examen, les participants peuvent demander la qualification « PECB Certified Lead Digitalization and Electronic Archiving Manager ».
Programme
Jour 1 Sensibilisation au domaine de la digitalisation des processus et à la conservation/archivage des données numériques
Jour 2 et 3Aspects méthodologiques d’un projet de digitalisation
Jour 4 Solutions et corpus documentaire
Jour 5Evolutions et examen de certification
Cette formation vous permet d’acquérir les éléments indispensables pour aborder, comprendre, gérer et réussir un projet de digitalisation et de conservation/archivage de données numériques, en particulier les techniques de sécurisation, la recherche et l’analyse des risques, l’identification des enjeux légaux et règlementaires, sans oublier les aspects contractuels et assuranciels. Un ensemble d’outils méthodologiques fait également partie des thèmes traités, permettant de réaliser efficacement la digitalisation de tout processus et de choisir une solution adaptée sans pour autant entrer dans le détail des technologies associées. Enfin sont proposés quelques axes de réflexions sur l’évolution du numérique et les nouvelles technologies à prendre en considération afin de poursuivre la démarche en vue d’instaurer une véritable gouvernance de l’information.
Digitalisation et Archivage électronique, Lead Manager
Catalogue Deloitte Cyber Academy 2020 47
Sécurité organisationnelle
• 5 Juin • 1er décembre700€ hors taxesRéf. : Crise IT/SSI1 jour / 7 heures
Vous allez apprendre à
• Mettre en place une organisation adaptée pour répondre efficacement aux situations de crise
• Elaborer une communication cohérente en période de crise
• Eviter les pièges induits par les situations de crise
• Tester votre gestion de crise SSI
Public visé
• Directeurs ou responsables des systèmes d'information
• Responsables de la sécurité des systèmes d'information
• Responsables de la gestion de crise• Responsables des astreintes• Responsables de la gestion des incidents
Pré-requis
• Cette formation ne nécessite pas de pré-requis
Méthode pédagogique
• Cours magistral avec des exemples basés sur le retour d'expérience
Matériel
• Support de cours en français au format papier
Certification
• Cette formation n'est pas certifiante
Programme
Enjeux et Objectifs de la gestion de crise• Vocabulaire• Qu'est-ce que la gestion de crise SSI ?
Rappel des fondamentaux sur la gestion des incidents de sécurité basée sur l'ISO 27035
Analogies avec les autres processus• La gestion des incidents de sécurité• La continuité d'activité• La gestion de crise stratégique
Analyse forensique
L'organisation de gestion de crise SSI• Acteurs et instances de la crise• Rôles et responsabilités• Préparation de la logistique• Documentation et canevas• Outils de communication
Processus de gestion de crise SSI• Détection et alerte• Evaluation et décision• Activation• Réagir• Pilotage de la crise• Retour à la normale• Tirer les enseignements
Le facteur humain et les effets du stress
Tests et exercices de crise SSI• Enjeux et objectifs• Types d'exercices et tests• Scénarios de crise• Préparation d'un exercice de crise SSI• Les outils et moyens
Cas pratiques de gestion de crise SSI
Les méthodes proactives demeurent limitées et quiconque est confronté un jour à une crise due à des incidents informatiques ou un problème de sécurité. Il faut donc maîtriser cette réaction d'urgence et s'y préparer.
Gestion de crise IT/SSI
48 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelle
• 30 au 31 mars • 28 au 29 septembreRéf. : ENCINT 1 320€ hors taxes2 jours / 14 heures
Vous allez apprendre
• Un test d'intrusion bien mené nécessite une méthode rigoureuse afin de rédiger unrapport de test qui ne se contente pas d'énumérer les vulnérabilités détectées chez le client. À ce titre, l'accent a été mis sur la définition des règles de pré engagement, la réglementation et sur la rédaction du rapport afin qu'il soit clair et en adéquation avec les craintes et les motivations du client. La méthode PTES et l'OWASP testing guide pour le WEB sont étudiés avec la matérialisation d'une méthode technique et fonctionnelle pour un test d'intrusion. La fin de l'exercice consiste en une présentation du rapport de test d'intrusion au client. Des études de cas et des labs servent de support à la pédagogie. Ce cours est donc dédié à des chefs de projet en sécurité, RSSI, voire des Pentester désirant monter en compétences sur du fonctionnel.
Public visé
• Étudiant en sécurité informatique• Administrateur système• Pentester• RSSI• Consultant en sécurité de l’information
Prérequis
• Connaissances générales en système, réseau, et développement
Programme Jour 1 matinSection 1 - Contexte actuel• Statistiques récentes• Terminologie• Principes de la sécurité de l’information• Les différentes phases d’une attaque• Définition d’un test d’intrusion• Aspects légaux et réglementaires liés aux tests
d’intrusion• Méthodes & Frameworks pour un test
d’intrusion (OSSTMM, OWASP testing guide, PTES, CVSS)
• Etudes Threat modeling et ATT&CK• TP 1 / Threat Modeling
Jour 2 matinSection 2 - Cadrage et objectifs• Identification des objectifs• Collecte d’informations• Définition du périmètre• Gestion et affectation des ressources• Suivi des objectifs du test• Règles de pré-engagement (RoE)• TP 2 / Rédaction d’un contrat de
pré-engagement
Section 3 - Analyse et rédaction de rapport• Etude et analyse des résultats• Mise en perspective des résultats• Rédaction de rapport• Restitution de livrables exploitable par un
CODIR• Recommandations, plan d’action et suivi• TP 3 / Rédaction d’un rapport de pentest
En partenariat avec ESD
Comprendre les différentes phases composant un test d’intrusion, les aspect juridiques et contractuels, et être en capacité de diriger les actions des profils techniques intervenant
Encadrer un test d'intrusion
Catalogue Deloitte Cyber Academy 2020 49
Sécurité organisationnelle
Présentation des formations ISO
Vous souhaitez Vous devez suivre Page
• Avoir une introduction au SMSI• Acquérir les fondamentaux de la norme ISO 27001• Comprendre les mesures de sécurité et apprendre à les gérer (élaborer, améliorer et créer des
enregistrements et des indicateurs)
Fondamentaux des normes ISO 27001 & ISO 27002
50
• Auditer un SMSI• Devenir auditeur interne ou auditeur de certification pour les SMSI
ISO 27001 Lead Auditor 51
• Implémenter un SMSI• Devenir responsable de mise en œuvre d’un SMSI
ISO 27001 Lead Implementer
52
• Apprendre à réaliser une gestion des risques avec la méthode ISO 27005 ISO 27005 Risk Manager 53
• Apprendre à réaliser une gestion de risque avec la méthode EBIOSEBIOS Risk Manager : 2018
54
• Définir ce qu’est un indicateur• Réaliser un indicateur exploitable• Tirer des leçons de l’indicateur pour surveiller et améliorer le SMSI
Indicateurs et tableaux de bord SSI / ISO 27004
55
• Protéger les données et la confidentialité d’une organisation contre les menaces cybernétiques• Renforcer vos compétences dans la mise en place et la maintenance d'un programme de cybersécurité• Développer les bonnes pratiques pour gérer les politiques de cybersécurité• Améliorer le système de sécurité de l'organisation et assurer sa continuité d'activité• Réagir et récupérer plus rapidement en cas d'incident
ISO 27032 Lead Cybesecurity Manager
56
• Accompagner une organisation lors de l’établissement, la mise en œuvre, la gestion et la tenue à jour de la sécurité des applications en conformité avec la norme ISO/CEI 27034
ISO 27034 Lead Implementer
57
• Appréhender les éléments fondamentaux pour mettre en œuvre un plan de gestion des incidents et gérer les incidents de sécurité de l’information
ISO 27035 Foundation 58
• Accompagner une organisation lors de la mise en œuvre d'un plan de gestion des incidents de sécurité de l’information selon la norme ISO/CEI 27035
ISO 27035 Lead Incident Manager
59
• Acquérir des connaissances approfondies sur les principes fondamentaux, le cadre et les processus de management du risque conforme à la norme ISO 3100
ISO 31000 Risk Manager 60
50 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelle
• 18 au 19 juin • 2 au 3 novembre1 400€ hors taxesRéf. : 27001 & 27002 2 jours / 14 heures
Vous allez apprendre à
• Connaître les concepts, approches, méthodes et techniques permettant de mettre en œuvre un Système de management de la sécurité de l'information
• Comprendre les éléments fondamentaux d’un Système de management de la sécurité de l'information
• Connaître les normes relatives à la sécurité de l’information et les bonnes pratiques de management de la sécurité de l’information permettant de mettre en œuvre et de gérer les mesures de la sécurité de l’information
• Comprendre les mesures de sécurité néces-saires pour gérer les risques de la sécurité de l’information
Public visé
• Les personnes intéressées par le manage-ment de la sécurité de l'information
• Les personnes souhaitant acquérir des connaissances relatives aux principaux processus du Système de management de la sécurité de l'information
Prérequis
• Aucun
Certification
Cette formation n’est pas certifiante
Matériel
Un manuel de cours contenant plus de 100 pages d’informations et d’exemples pratiques est fourni aux participants
Programme
Jour 1 • Introduction aux concepts du Système de
management de la sécurité de l’information (SMSI), tels que définis par la norme ISO/CEI 27001
Jour 2 • Introduction aux mesures de sécurité de
l’information, telles que définies par la norme ISO/IEC 27002
La formation d’introduction à la norme ISO/IEC 27001 vous permettra d’appréhender les concepts fondamentaux d’un Système de management de la sécurité de l'information.La formation d’introduction à la norme ISO/IEC 27002 vous permettra d’appréhender les systèmes de management de la sécurité de l’information et les mesures de sécurité de l’information telles que définies par la norme ISO/IEC 27002.En participant à la formation d’introduction ISO/IEC 27001 & 27002, vous allez comprendre l’importance d’un SMSI et des mesures de la sécurité de l’information et les avantages que peuvent en tirer les entreprises, la société et le gouvernement.
Formation ISO 27001 & 27002 Introduction
Catalogue Deloitte Cyber Academy 2020 51
Sécurité organisationnelle
• 30 mars au 3 avril
• 22 au 26 juin• 14 au 18 sep.
• 26 au 30 oct.• 7 au 11 déc.
3 500€ hors taxesRéf. : 27001 LA5 jours/35 heures
Vous allez apprendre à
• Comprendre le fonctionnement d’un Système de management de la sécurité de l’information (SMSI) conforme à la norme ISO /CEI 27001
• Expliquer la corrélation entre la norme ISO/CEI 27001 et la norme ISO/CEI 27002, ainsi qu’avec d’autres normes et cadres réglementaires
• Comprendre le rôle d’un auditeur : planifier, diriger et assurer le suivi d’un audit de système de management conformément à la norme ISO 19011
• Savoir diriger un audit et une équipe d’audit • Savoir interpréter les exigences d’ISO/CEI
27001 dans le contexte d’un audit du SMSI • Acquérir les compétences d’un auditeur dans
le but de : planifier un audit, diriger un audit, rédiger des rapports et assurer le suivi d’un audit, en conformité avec la norme ISO 19011
Public visé• Auditeurs SMSI• Responsables ou consultants SMSI• Toute personne responsable du maintien de
la conformité aux exigences du SMSI • Experts techniques désirant préparer un audit
du Système de management de la sécurité de l’information
• Conseillers spécialisés SMSI
Pré-requis
Une bonne connaissance de la norme ISO/CEI 27001 et des connaissances approfondies sur les principes de l’audit.
Méthode pédagogique
• Cette formation est basée à la fois sur la théorie et sur les meilleures pratiques utilisées dans l’audit du SMSI
• Les cours magistraux sont illustrés par des exemples basés sur une étude de cas
• Les exercices pratiques sont basés sur une étude de cas qui inclut des jeux de rôle et des présentations orales
• Les tests pratiques sont similaires à l’examen de certification
Matériel
• Support de cours en français au format papier• Annexes associées en français et/ou anglais
Certification
Cette formation prépare à l’examen de certification « PECB Certified ISO/CEI 27001 Lead Auditor ».
Programme
Jour 1 – Introduction à la norme ISO/CEI 27001 et initialisation d’un SMSI• Objectifs et structure de la formation• Cadres normatifs et règlementaires• Système de management de la sécurité de
l’information• Principes et concepts fondamentaux du
Système de management de la sécurité de l’information
• Initialisation de la mise en œuvre du SMSI• Compréhension de l’organisation et
clarification des objectifs de sécurité de l’information
• Analyse du système de management existant
Jour 2 – Planification de la mise en œuvre d’un SMSI• Leadership et approbation du projet du SMSI• Périmètre du SMSI• Politiques de sécurité de l’information• Appréciation du risque• Déclaration d’applicabilité et décision de la
direction pour la mise en œuvre du SMSI• Définition de la structure organisationnelle de
la sécurité de l’information
Jour 3 – Mise en œuvre d’un SMSI• Définition d’un processus de gestion de la
documentation• Conception des mesures de sécurité et
rédaction des procédures et des politiques spécifiques
• Plan de communication • Plan de formation et de sensibilisation• Mise en œuvre des mesures de sécurité• Gestion des incidents• Gestion des activités opérationnelles
Jour 4 – Surveillance, mesure, amélioration continue et préparation de l’audit de certification du SMSI• Surveillance, mesure, analyse et évaluation• Audit interne• Revue de direction• Traitement des non-conformités• Amélioration continue• Préparation de l’audit de certification• Compétence et évaluation des «
implementers »• Clôture de la formation
Jour 5 – Examen de certification
La formation ISO/CEI 27001 Lead Auditor vous permettra d’acquérir l’expertise nécessaire pour réaliser des audits de Systèmes de Management de la sécurité de l’information (SMSI) en appliquant les principes, les procédures et les techniques d’audit généralement reconnues. Durant cette formation, vous acquerrez les connaissances et les compétences nécessaires pour planifier et réaliser des audits internes et externes, en conformité avec la norme ISO 19011 et le processus de certification d’ISO/CEI 17021-1. Grâce aux exercices pratiques, vous serez en mesure de maîtriser les techniques d’audit et disposerez des compétences requises pour gérer un programme d’audit, une équipe d’audit, la communication avec les clients et la résolution de conflits. Après avoir acquis l’expertise nécessaire pour réaliser cet audit, vous pouvez vous présenter à l’examen et postuler au titre de « PECB Certified ISO/CEI 27001 Lead Auditor ». Le certificat PECB atteste que vous avez acquis les capacités nécessaires pour l’audit des organismes selon les meilleures pratiques d’audit.
ISO 27001 Lead Auditor
52 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelle
ISO 27001 Lead Implementer
La formation ISO/CEI 27001 Lead Implementer vous permettra d’acquérir l’expertise nécessaire pour accompagner une organisation lors de l’établissement, la mise en œuvre, la gestion et la tenue à jour d’un Système de management de la sécurité de l’information (SMSI) conforme à la norme ISO/CEI 27001. Cette formation est conçue de manière à vous doter d’une maîtrise des meilleures pratiques en matière de Systèmes de management de la sécurité de l’information pour sécuriser les informations sensibles, améliorer l’efficacité et la performance globale de l’organisation. Après avoir maîtrisé l’ensemble des concepts relatifs aux Systèmes de management de la sécurité de l’information, vous pouvez vous présenter à l’examen et postuler au titre de « PECB Certified ISO/CEI 27001 Lead Implementer ». En étant titulaire d’une certification PECB, vous démontrerez que vous disposez des connaissances pratiques et des compétences professionnelles pour mettre en œuvre la norme ISO/CEI 27001 dans une organisation.
Vous allez apprendre à
• Comprendre la corrélation entre la norme ISO/CEI 27001 et la norme ISO/CEI 27002, ainsi qu’avec d’autres normes et cadres réglementaires
• Maîtriser les concepts, approches, méthodes et techniques nécessaires pour mettre en œuvre et gérer efficacement un SMSI
• Savoir interpréter les exigences de la norme ISO/CEI 27001 dans un contexte spécifique de l’organisation
• Savoir accompagner une organisation dans la planification, la mise en œuvre, la gestion, la surveillance, et la tenue à jour du SMSI
• Acquérir l’expertise nécessaire pour conseiller une organisation sur la mise en œuvre des meilleures pratiques relatives au Système de management de la sécurité de l’information
Public visé
• Responsables ou consultants impliqués dans le management de la sécurité de l’information
• Conseillers spécialisés désirant maîtriser la mise en œuvre d’un Système de management de la sécurité de l’information
• Toute personne responsable du maintien de la conformité aux exigences du SMSI
• Membres d’une équipe du SMSI
Pré-requis
Une bonne connaissance de la norme ISO/CEI 27001 et des connaissances approfondies des principes de mise en œuvre
Méthode pédagogique
• Cette formation est basée à la fois sur la théorie et sur les meilleures pratiques utilisées pour la mise en œuvre du SMSI
• Les cours magistraux sont illustrés par des exemples basés sur une étude de cas
• Les exercices pratiques sont basés sur une étude de cas qui inclut des jeux de rôle et des présentations orales
• Les tests pratiques sont similaires à l’examen de certification
Matériel
• Support de cours en français au format papier• Annexes associées en français et/ou anglais
Certification
Cette formation prépare à l’examen de certification « PECB Certified ISO/CEI 27001 Lead Implementer »
Programme
Jour 1 – Introduction à la norme ISO/CEI 27001 et initialisation d’un SMSI• Objectifs et structure de la formation• Cadres normatifs et règlementaires• Système de management de la sécurité de
l’information• Principes et concepts fondamentaux du
Système de management de la sécurité de l’information
• Initialisation de la mise en œuvre du SMSI• Compréhension de l’organisation et
clarification des objectifs de sécurité de l’information
• Analyse du système de management existant
Jour 2 – Planification de la mise en œuvre d’un SMSI• Leadership et approbation du projet du SMSI• Périmètre du SMSI• Politiques de sécurité de l’information• Appréciation du risque• Déclaration d’applicabilité et décision de la
direction pour la mise en œuvre du SMSI• Définition de la structure organisationnelle de
la sécurité de l’information
Jour 3 – Mise en œuvre d’un SMSI• Définition d’un processus de gestion de la
documentation• Conception des mesures de sécurité et
rédaction des procédures et des politiques spécifiques
• Plan de communication • Plan de formation et de sensibilisation• Mise en œuvre des mesures de sécurité• Gestion des incidents• Gestion des activités opérationnelles
Jour 4 – Surveillance, mesure, amélioration continue et préparation de l’audit de certification du SMSI• Surveillance, mesure, analyse et évaluation• Audit interne • Revue de direction• Traitement des non-conformités• Amélioration continue• Préparation de l’audit de certification• Compétence et évaluation des
« implementers »• Clôture de la formation
Jour 5 Examen de certification
• 27 au 31 jan.• 2 au 6 mars• 20 au 24 avril
• 8 au 12 juin• 7 au 11 sep.• 19 au 23 oct.
• 14 au 18 déc.3 500€ hors taxesRéf. : 27001 LI5 jours / 35 heures
Catalogue Deloitte Cyber Academy 2020 53
Sécurité organisationnelle
3 jours / 21 heures • 22 au 24 jan.• 16 au 18 mars• 27 au 29 avril
• 15 au 17 juin• 28 au 30 sep.• 4 au 6 nov.
• 2 au 4 déc.2 150€ hors taxes Réf. : 27005 RM
ISO 27005 Risk Manager
Vous allez apprendre à
• Comprendre la relation entre la gestion des risques de la sécurité de l’information et les mesures de sécurité
• Comprendre les concepts, approches, méthodes et techniques permettant un processus de gestion des risques efficace conforme à la norme ISO/CEI 27005
• Savoir interpréter les exigences de la norme ISO/CEI 27001 dans le cadre du management du risque de la sécurité de l'information
• Acquérir les compétences pour conseiller efficacement les organisations sur les meilleures pratiques en matière de gestion des risques liés à la sécurité de l'information
Public visé
• Responsables de la sécurité d’information• Membres d’une équipe de sécurité de
l’information• Tout individu responsable de la sécurité
d’information, de la conformité et du risque dans une organisation
• Tout individu mettant en œuvre ISO/CEI 27001, désirant se conformer à la norme ISO/CEI 27001 ou impliqué dans un programme de gestion des risques
• Consultants des TI • Professionnels des TI • Agents de la sécurité de l’information• Agents de la protection des données
personnelles
Prérequis
Des connaissances fondamentales de la norme ISO/IEC 27005 et des connaissances approfondies sur l’appréciation du risque et la sécurité de l’information
Méthode pédagogique
• Cette formation est basée à la fois sur la théorie et sur les meilleures pratiques utilisées dans la gestion des risques liés à la sécurité de l’information
• Les cours magistraux sont illustrés par des exemples basés sur une étude de cas
• Les exercices pratiques sont basés sur une étude de cas qui inclut des jeux de rôle et des présentations orales
• Les tests pratiques sont similaires à l’examen de certification
Certification
Après avoir réussi l’examen, les participants peuvent demander la qualification « PECB Certified ISO 27005 Risk Manager »
Programme
Jour 1 – Introduction au programme de gestion des risques conforme à la norme ISO/CEI 27005• Objectifs et structure de la formation• Concepts et définitions du risque• Cadres normatifs et règlementaires • Mise en œuvre d’un programme de gestion
des risques• Compréhension de l’organisation et de son
contexte
Jour 2 – Mise en œuvre d’un processus de gestion des risques conforme à la norme ISO/CEI 27005• Identification des risques• Analyse et évaluation des risques• Appréciation du risque avec une méthode
quantitative• Traitement des risques• Acceptation des risques et gestion des risques
résiduels• Communication et concertation relatives aux
risques en sécurité de l'information• Surveillance et revue du risque
Jour 3 – Aperçu des autres méthodes d’appréciation des risques liés à la sécurité de l’information et examen de certification• Méthode OCTAVE• Méthode MEHARI• Méthode EBIOS• Méthodologie harmonisée d'EMR• Clôture de la formation
La formation « ISO/CEI 27005 Risk Manager » vous permettra de développer les compétences pour maîtriser les processus liés à tous les actifs pertinents pour la sécurité de l’information en utilisant la norme ISO/CEI 27005 comme cadre de référence. Au cours de cette formation, nous présenterons également d'autres méthodes d'appréciation des risques telles qu’OCTAVE, EBIOS, MEHARI et la méthodologie harmonisée d'EMR. Cette formation s'inscrit parfaitement dans le processus de mise en œuvre du cadre SMSI selon la norme ISO/CEI 27001.
54 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelle
• 23 au 25 mars • 5 au 7 octobre 2 150€ hors taxesRéf. : EBIOS RM3 jours / 21 heures
Vous allez apprendre à
• Comprendre les concepts et les principes fondamentaux relatifs à la gestion du risque selon la méthode EBIOS
• Comprendre les étapes de la méthode EBIOS afin de poursuivre l'achèvement des études (pilote, contrôle, reframe) en tant que maître de travail
• Comprendre et expliquer les résultats d'une étude EBIOS et ses objectifs clés
• Acquérir les compétences nécessaires afin de mener une étude EBIOS
• Acquérir les compétences nécessaires pour gérer les risques de sécurité des systèmes d'information appartenant à un organisme
• Développer les compétences nécessaires pour analyser et communiquer les résultats d'une étude EBIOS
Public visé• Personnes souhaitant apprendre les concepts
fondamentaux du management des risques• Personnel participant aux activités
d'appréciation des risques selon la méthode EBIOS
• Responsables désirant comprendre les techniques d'appréciation des risques basées sur la méthode EBIOS
• Responsables souhaitant maîtriser les techniques d'analyse et de communication des résultats d’appréciation des risques selon la méthode EBIOS
Pré-requis
Une connaissance en gestion du risque est recommandée Méthode pédagogique
• Cette formation est basée à la fois sur la théorie et sur les bonnes pratiques d’appréciation du risque avec la méthode EBIOS
• Les cours magistraux sont illustrés par des exemples basés sur une étude de cas
• Les exercices pratiques sont basés sur une étude de cas qui inclut des jeux de rôle et des présentations orales
• Les tests pratiques sont similaires à l’examen de certification
Matériel
• Support de cours en français au format papier• Annexes associées en français et/ou anglais
Certification
Cette formation prépare à l’examen de certification « PECB Certified EBIOS Risk Manager ».
Programme
Jour 1 Introduction à la méthode d’appréciation des risques EBIOS
Jour 2 Réaliser l’appréciation des risques selon la méthode EBIOS
Jour 3 Atelier avec études de cas et examen de certification
La formation EBIOS vous permettra d’acquérir les connaissances et développer les compétences nécessaires pour maîtriser les concepts et les éléments de management des risques liés à tous les actifs pertinents pour la sécurité de l'information en utilisant la méthode EBIOS. Grâce aux exercices pratiques et aux études de cas, vous acquerrez les connaissances et les compétences nécessaires pour réaliser une appréciation optimale des risques liés à la sécurité de l'information et pour gérer les risques dans les temps par la connaissance de leur cycle de vie. Cette formation s'inscrit parfaitement dans le cadre d'un processus de mise en œuvre de la norme ISO/CEI 27001.Après avoir maitrisé l’ensemble des principes relatifs à l’appréciation des risques avec la méthode EBIOS, vous pouvez vous présenter à l’examen et faire une demande de certification « PECB Certified EBIOS Risk Manager ». En étant titulaire d’une certification PECB, vous démontrerez que vous disposez des connaissances pratiques et des compétences professionnelles pour soutenir un organisme durant la réalisation d’une appréciation du risque basée sur la méthode EBIOS.
Ebios Risk Manager : 2018
Catalogue Deloitte Cyber Academy 2020 55
Sécurité organisationnelle
• 30 novembre700€ hors taxesRéf. : 270041 jour / 7 heures
Vous allez apprendre à
• Définir ce qu’est un indicateur• Réaliser un indicateur exploitable• Tirer des leçons de l’indicateur pour surveiller
et améliorer le SMSI
Public visé
• RSSI• Consultants• Ingénieurs sécurité
Pré-requis
• Connaître la norme ISO 27001
Méthode pédagogique • Cours magistral• Exercices pratiques
Matériel
• Support de cours en français au format papier
Certification
• Cette formation n'est pas certifiante
Programme
Introduction
Indicateurs et tableaux de bord en SSI• Besoins du RSSI : - Conformité - Sécurité - Communication• Selon la littérature : - CLUSIF - ANSSI - Deloitte Cyber Academy• Propriétés des indicateurs• Démarche• Risques sur les indicateurs• Erreurs à éviter• Questions pratiques• Exemples de présentation• Tableaux de bord• Exemples sur des mesures de sécurité
Norme ISO 27004• Contexte, vocabulaire, structure• Modèle de mesurage• Responsabilité de la direction• Développement, exploitation, analyse• Evaluation• Spécifications• Exemples
Ressources
Exercices sur des cas pratiques
Les indicateurs et tableaux de bord permettent au responsable sécurité de piloter son activité et de communiquer avec sa direction et les équipes opérationnelles. Dans une organisation de la SSI conforme à l'ISO 27001, les indicateurs sont un des mécanismes de surveillance imposés qui obligent à anticiper les résultats escomptés et les actions à entreprendre.
Indicateurs et tableaux de bord SSI / ISO 27004
56 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelle
• 10 au 14 février3 500€ hors taxesRéf. : 27034 LCM5 jours / 35 heures
Vous allez apprendre à
• Acquérir des connaissances approfondies sur les éléments et les activités d’un programme de cybersécurité, conformément à la norme ISO/IEC 27032 et au cadre de cybersécurité du NIST
• Reconnaître la corrélation entre la norme ISO/CEI 27032, le cadre de cybersécurité du NIST et d’autres normes et cadres d’exploitation
• Maîtriser les notions, les approches, les normes, les méthodes et les techniques utilisées pour concevoir, mettre en œuvre et gérer efficacement un programme de cyber-sécurité au sein d’un organisme
• Apprendre à interpréter les lignes directrices de la norme ISO/IEC 27032 dans le contexte particulier d’un organisme
• Acquérir l’expertise nécessaire pour planifier, mettre en œuvre, gérer, contrôler et maintenir un programme de cybersécurité, comme spécifié dans la norme ISO/IEC 27032 et le cadre de cybersécurité du NIST
• Acquérir l’expertise nécessaire pour conseiller un organisme sur les pratiques d’excellence du management de la cybersécurité
Public visé
• Professionnels de la cybersécurité• Experts en sécurité de l’information• Professionnels cherchant à gérer un
programme de cybersécurité• Personnes responsables de la conception
d'un programme de cybersécurité• Spécialistes de la TI• Conseillers-experts en technologie de
l’information• Professionnels de la TI qui cherchent à
améliorer leurs compétences et leurs connais-sances techniques
Examen
• L’examen « PECB Certified ISO/IEC 27032 Lead Cybersecurity Manager » satisfait entièrement les exigences du programme d’examen et de certification de PECB (PEC). L’examen couvre les domaines de compétences suivants :
- Domaine 1 - Principes fondamentaux et notions de la cybersécurité
- Domaine 2 - Rôles et responsabilités des parties prenantes
- Domaine 3 - Management du risque en cybersécurité
- Domaine 4 - Mécanismes d’attaque et mesures de contrôle de cybersécurité
- Domaine 5 - Partage et coordination de l’information
- Domaine 6 - Intégration du programme de cybersécurité dans le management de la continuité des activités
- Domaine 7 - Management des incidents de cybersécurité et mesure de la performance
Certification
• Après avoir réussi l’examen, les participants peuvent demander la qualification « PECB Certified ISO/IEC 27032 Lead Cybersecurity Manager ».
Programme
Jour 1Introduction à la cybersécurité et aux notions connexes, selon la recommandation de la norme ISO/IEC 27032• Objectifs et structure du cours• Normes et cadres réglementaires• Notions fondamentales de la cybersécurité• Programme de cybersécurité• Lancer un programme de cybersécurité• Analyser l’organisme• Leadership
Jour 2Politiques de cybersécurité, management du risque et mécanismes d’attaque• Politiques de cybersécurité• Gestion du risque de la cybersécurité• Mécanismes d’attaque
Jour 3Mesures de contrôle de cybersécurité, partage et coordination de l’information• Mesures de contrôle de cybersécurité• Partage et coordination de l’information• Programme de formation et de sensibilisation
Jour 4Gestion des incidents, suivi et amélioration continue• Continuité des activités• Management des incidents de cybersécurité• Intervention et récupération en cas d’incident
de cybersécurité• Conclusion de la formation• Tests en cybersécurité• Mesure de la performance• Amélioration continue
Jour 5Examen de certification
La formation ISO/IEC 27032 Lead Cybersecurity Manager vous permet d’acquérir l’expertise et les compétences nécessaires pour soutenir un organisme dans la mise en œuvre et le management d’un programme de cybersécurité basé sur la norme ISO/IEC 27032 et le cadre de cybersécurité du NIST. Au cours de cette formation, vous acquerrez des connaissances approfondies sur la cybersécurité, la relation entre la cybersécurité et d’autres types de sécurité informatique, et du rôle des parties prenantes dans la cybersécurité.Après avoir maîtrisé toutes les notions de cybersécurité nécessaires, vous pouvez vous présenter à l’examen et postuler pour une attestation « PECB Certified ISO/IEC 27032 Lead Cybersecurity Manager ». En étant titulaire d'un certificat PECB Lead Cybersecurity Manager, vous serez en mesure de démontrer que vous possédez les connaissances pratiques et les capacités professionnelles nécessaires pour soutenir et diriger une équipe dans le management de la cybersécurité.
ISO 27032 Lead Cybersecurity Manager
Catalogue Deloitte Cyber Academy 2020 57
Sécurité organisationnelle
• 11 au 15 mai3 500€ hors taxesRéf. : 27034 LI5 jours / 35 heures
Vous allez apprendre à
• Comprendre la corrélation entre la norme ISO/CEI 27034 et les autres normes et cadres réglementaires
• Maîtriser les concepts, approches, méthodes et techniques nécessaires pour mettre en œuvre et gérer efficacement la sécurité des applications
• Savoir interpréter les lignes directrices de la norme ISO/CEI 27034 dans un contexte spéci-fique de l’organisation
• Savoir accompagner une organisation dans la planification, la mise en œuvre et la gestion de la sécurité des applications
• Acquérir l’expertise nécessaire pour conseiller une organisation sur la mise en œuvre des meilleures pratiques relatives à la sécurité des applications
Public visé
• Responsables ou consultants impliqués dans la sécurité des applications
• Conseillers spécialisés désirant maîtriser la mise en œuvre des techniques de la sécurité des applications
• Toute personne responsable du maintien de la conformité aux exigences relatives à la sécurité des applications d’une organisation
• Membres d’une équipe chargée de la sécurité des applications
• Développeurs des applications• Analystes de la sécurité des applications• Conseillers spécialisés impliqués dans les
activités de la sécurité des applications
Examen
• L’examen « PECB Certified ISO/CEI 27034 Lead Implementer » remplit les exigences relatives au programme d’examen et de certification de PECB. L’examen couvre les domaines de compétences suivants :
- Domaine 1 - Principes et concepts fondamen-taux de la sécurité des applications
- Domaine 2 - Contrôles de la sécurité des applications et autres bonnes pratiques de la sécurité des applications
- Domaine 3 - Planification de la mise en œuvre d’un projet de SA selon la norme ISO/CEI 27034
- Domaine 4 - Mise en œuvre d’un projet de SA conforme à la norme ISO/CEI 27034
- Domaine 5 - Évaluation de la performance, surveillance et mesure d’un projet de SA selon la norme ISO/CEI 27034
- Domaine 6 - Amélioration continue d’un projet de SA conforme à la norme ISO/CEI 27034
- Domaine 7 - Préparation de l’audit de la SA
Certification
• Après avoir réussi l’examen, les participants peuvent postuler à la certification « PECB Certified ISO/CEI 27034 Lead Implementer ».
Programme
Jour 1Introduction aux techniques de la sécurité des applications• Objectifs et structure de la formation• L’ISO et les normes internationales• ISO/CEI 27034 - Sécurité des applications• ISO 27034 SA - Vue d'ensemble et concepts• ISO/CEI 27034 - Cadre de sécurité des
applications
Jour 2Planification de la mise en œuvre des techniques de sécurité des applications conformes à la norme ISO/CEI 27034 (niveau de projet)• Processus de management de la sécurité des
applications
Jour 3Mise en œuvre des techniques de sécurité des applications selon la norme ISO/CEI 27034 (niveau organisationnel)• Mise en œuvre de la sécurité des applications
selon l'ISO/CEI 27034 (Niveau organisationnel)• Lignes directrices pour la sécurité des organi-
sations et des applications spécifiques• Composants du CNO
Jour 4Validation et certification de la sécurité des applications, les protocoles et la structure des données des contrôles de la sécurité des applications selon la norme ISO/CEI 27034• Validation et certification de sécurité des
applications• Validation et certification de sécurité des
applications• Compétence et évaluation des
« implementers »
Jour 5Examen de certification
La formation ISO/CEI 27034 Lead Implementer vous permettra d’acquérir l’expertise nécessaire pour accompagner une organisation lors de l’établissement, la mise en œuvre, la gestion et la tenue à jour de la sécurité des applications en conformité avec la norme ISO/CEI 27034. Cette formation est conçue de manière à vous doter d’une maîtrise des meilleures pratiques en matière de techniques de sécurité des applications et à développer vos aptitudes à identifier et éviter les vulnérabilités courantes des applications. Après avoir maîtrisé l’ensemble des concepts relatifs aux techniques de la sécurité des applications, vous pouvez vous présenter à l’examen et postuler au titre de « PECB Certified ISO/CEI 27034 Lead Implementer ». En étant titulaire d’une certification PECB, vous démontrerez que vous disposez des connaissances pratiques et des compétences professionnelles pour mettre en œuvre la norme ISO/CEI 27034 dans une organisation.
ISO 27034 Lead Implementer
58 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelle
• 1er octobre700€ hors taxesRéf. : 270351 jour / 7 heures
Vous allez apprendre à
• Connaître les concepts, approches, méthodes et techniques permettant de gérer les incidents de sécurité de l’information
• Comprendre les bonnes pratiques de la gestion des incidents de sécurité de l’information
Public visé
• Les personnes intéressées par la gestion des incidents de sécurité de l’information
• Les personnes souhaitant acquérir des connaissances relatives aux principaux processus de la gestion des incidents de sécurité de l’information
Pré-requis
• Aucun
Méthode pédagogique
• Cours magistral avec échanges interactifs
Matériel
• Support de cours en français au format papier
Certification
• Cette formation n'est pas certifiante
Programme
Introduction • Contexte• Enjeux et ISO 27001• Vocabulaire
Norme ISO 27035 • Concepts• Objectifs• Bienfaits de l'approche structurée• Phases de la gestion d'incident
Planification et préparatifs (planning and preparation) • Principales activités d'une équipe
de réponse aux incidents de sécurité (ISIRT)• Politique de gestion des incidents de sécurité• Interactions avec d'autres référentiels ou
d'autres politiques• Modélisation du système de gestion des
incidents de sécurité• Procédures• Mise en œuvre de son ISIRT• Support technique et opérationnel• Formation et sensibilisation• Test de son système de gestion des incidents
de sécurité
Détection et rapport d'activité (Detection and Reporting) • Activités de l'équipe opérationnelle de
détection des incidents de sécurité de l'information
• Détection d'événements• Rapport d'activité sur les événements
Appréciation et prise de décision (Assessment and decision) • Activités de l'équipe opérationnelle d'analyse
des incidents de sécurité• Analyse immédiate et décision initiale• Appréciation et confirmation de l'incident
Réponses (Responses) • Principales activités d'une équipe opération-
nelle de réponse aux incidents de sécurité• Réponse immédiate• Réponse a posteriori• Situation de crise• Analyse inforensique• Communication• Escalade• Journalisation de l'activité et changement
Mise à profit de l'expérience (« Lessons Learnt ») • Principales activités d'amélioration de l'ISIRT• Analyse inforensique approfondie• Retours d'expérience• Identification et amélioration : - des mesures de sécurité - de la gestion des risques - de la revue de direction - du système de gestion des incidents
Mise en pratique • Documentation• Exemple d'incidents de sécurité de
l'information : - Déni de service (DoS) et déni de service
réparti (DDoS) - Accès non autorisé - Code malfaisant - Usage inapproprié - Collecte d'informations• Catégories d'incidents de sécurité• Méthodes de classement ou de typologie
d'incidents de sécurité : - CVSS - ISO27035• Enregistrement des événements de sécurité• Fiche de déclaration des événements de
sécurité
Aspects légaux et réglementaires de la gestion d'incidents
La formation d’introduction à la norme ISO/CEI 27035 vous permettra d’appréhender les concepts fondamentaux de la gestion desincidents de la sécurité de l’information.En participant à la formation d’introduction ISO/CEI 27035, vous allez comprendre l’importance de la gestion des incidents de sécurité de l’information et les avantages que peuvent en tirer les entreprises, la société et le gouvernement.
ISO 27035 Introduction
Catalogue Deloitte Cyber Academy 2020 59
Sécurité organisationnelle
• 29 juin au 3 juillet • 16 au 20 novembre3 500€ hors taxesRéf. : 27035 LIM5 jours / 35 heures
Vous allez apprendre à
• Maîtriser les concepts, les approches, les méthodes, les outils et les techniques qui permettent une gestion efficace des incidents de sécurité de l'information selon l’ISO/CEI 27035
• Connaître la corrélation entre la norme ISO/CEI 27035 et les autres normes et cadres réglementaires
• Acquérir l'expertise nécessaire pour accom-pagner une organisation durant la mise en œuvre, la gestion et la tenue à jour d’un plan d'intervention en cas d'incident de la sécurité de l'information
• Acquérir les compétences pour conseiller de manière efficace les organismes en matière de meilleures pratiques de gestion de sécurité de l'information
• Comprendre l'importance d’adopter des procédures et des politiques bien structurées pour les processus de gestion des incidents
• Développer l'expertise nécessaire pour gérer une équipe efficace de réponse aux incidents
Public visé
• Gestionnaires des incidents de sécurité de l’information
• Responsables des TIC• Auditeurs des technologies de l’information• Responsables souhaitant mettre en place une
équipe de réponse aux incidents• Responsables souhaitant apprendre
davantage sur le fonctionnement efficace d’une équipe de réponse aux incidents
• Responsables des risques liés à la sécurité de l’information
• Administrateurs professionnels des systèmes informatiques
• Administrateurs professionnels de réseau informatique
• Membres de l'équipe de réponse aux incidents
• Personnes responsables de la sécurité de l’information au sein d’une organisation
Examen
• L’examen « PECB Certified ISO/CEI 27035 Lead Incident Manager » remplit les exigences relatives au programme d’examen et de certification de PECB. L’examen couvre les domaines de compétences suivants :- Domaine 1 - Principes et concepts fonda-
mentaux relatifs à la gestion des incidents liés à la sécurité de l’information
- Domaine 2 - Meilleures pratiques de la gestion des incidents liés à la sécurité de l’information selon la norme ISO/CEI 27035
- Domaine 3 - Conception et développement d'un processus de gestion des incidents organisationnels selon l'ISO/CEI 27035
- Domaine 4 - Préparation aux incidents de sécurité de l'information et mise en œuvre d'un plan de gestion des incidents
- Domaine 5 - Lancement du processus de gestion des incidents et traitement des incidents liés à la sécurité de l’information
- Domaine 6 - Surveillance et mesure de la performance
- Domaine 7 - Améliorer les processus et les activités de gestion des incidents
Certification
• Après avoir réussi l’examen, les partici-pants peuvent demander la qualification « PECB Certified ISO/CEI 27035 Lead Incident Manager ».
Programme
Jour 1 - Introduction aux concepts relatifs à la gestion des incidents de sécurité de l’information, tels que définis par l'ISO/CEI 27035• Objectifs et structure de la formation• Cadres normatifs et réglementaires
• Gestion des incidents liés à la sécurité de l’information
• Processus de base de la norme ISO/CEI 27035• Principes fondamentaux de la sécurité de
l'information• Corrélation avec la continuité des activités• Questions légales et déontologiques
Jour 2 - Conception et préparation d'un plan de gestion des incidents de sécurité de l’information• Lancement d’un processus de gestion des
incidents de sécurité de l'information• Compréhension de l’organisation et clarifica-
tion des objectifs de la gestion des incidents de sécurité de l'information
• Planifier et préparer• Rôles et fonctions• Politiques et procédures
Jour 3 - Lancement d’un processus de gestion des incidents et traitement des incidents de sécurité de l’information• Planification de la communication• Premières étapes de la mise en œuvre• Mise en place des éléments de support• Détection et rapport• Évaluation et décisions• Réponses• Leçons apprises• Transition aux opérations
Jour 4 - Suivi et amélioration continue du plan de gestion des incidents liés à la sécurité de l’information• Analyse supplémentaire• Analyse des leçons apprises• Mesures correctives• Compétence et évaluation des gestionnaires
d'incidents• Clôture de la formation
Jour 5 - Examen de certification
La formation ISO/CEI 27035 Lead Incident Manager vous permettra d’acquérir l’expertise nécessaire pour accompagner une organisation lors de la mise en œuvre d'un plan de gestion des incidents de sécurité de l’information selon la norme ISO/CEI 27035. Durant cette formation, vous acquerrez une connaissance approfondie sur le modèle de processus permettant de concevoir et de développer un plan de gestion des incidents des organisations. La compatibilité de cette formation avec l’ISO/CEI 27035 prend également en charge l'ISO/CEI 27001 en offrant des lignes directrices pour la gestion des incidents de sécurité de l'information. Après avoir maîtrisé l’ensemble des concepts relatifs à la gestion des incidents de sécurité de l’information vous pouvez vous présenter à l’examen et postuler au titre de « PECB Certified ISO/CEI 27035 Lead Incident Manager ». En étant titulaire d’une certification Lead Incident Manager de PECB, vous démontrerez que vous disposez des connaissances pratiques et des compétences professionnelles nécessaires pour soutenir et diriger une équipe dans la gestion des incidents de sécurité de l’information.
ISO 27035 Lead Incident Manager
60 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Sécurité organisationnelle
• 15 au 17 avril 2 150€ hors taxesRéf. : 31000 RM3 jours / 21 heures
Vous allez apprendre à
• Comprendre les concepts et les processus fondamentaux relatifs au management du risque
• Connaître la corrélation entre la norme ISO 31000 et la norme CEI/ISO 31010, ainsi qu’avec d’autres normes et cadres règlementaires
• Comprendre les approches, les méthodes et techniques utilisées pour gérer le risque dans un organisme
• Savoir interpréter les principes et les lignes directrices de la norme ISO 31000
Public visé
• Gestionnaires ou consultants chargés du management efficace du risque dans un organisme
• Toute personne désirant acquérir des connaissances approfondies sur les concepts, processus et principes de management du risque
• Conseillers impliqués dans le management du risque
Examen
• L’examen « PECB Certified ISO 31000 Risk Manager » remplit les exigences relatives au programme d’examen et de certification de PECB. L’examen couvre les domaines de compétences suivants :
- Domaine 1- Principes et concepts fondamen-taux relatifs au management du risque
- Domaine 2 - Processus et cadre organisa-tionnel de management du risque
- Domaine 3 - Techniques d'évaluation des risques conformes à la norme CEI/ISO 31010
Certification
• Après avoir réussi l’examen, les participants peuvent demander la qualification « PECB Certified ISO 31000 Risk Manager ».
Programme
Jour 1Introduction aux principes et au cadre organisationnel de l’ISO 31000• Objectifs et structure de la formation• Cadres normatifs et règlementaires• Introduction aux principes et aux concepts de
la norme ISO 31000• Cadre organisationnel de management du
risque• Mise en œuvre du processus de management
du risque• Établissement du contexte
Jour 2Processus de management du risque conforme à la norme ISO 31000Identification des risques• Analyse du risque• Évaluation du risque• Traitement du risque• Acceptation du risque• Communication et concertation relatives aux
risques• Surveillance et revue du risque
Jour 3Techniques d’appréciation du risque conformes à la norme CEI/ISO 31010 et examen de certification• Méthodologies de gestion du risque,
conformes à la norme ISO 31010 (partie 1)• Méthodologies de gestion du risque,
conformes à la norme ISO 31010 (partie 2)• Compétence, évaluation et clôture de la
formation
La formation ISO 31000 Risk Manager vous permettra d’acquérir des connaissances approfondies sur les principes fondamentaux, le cadre et les processus de management du risque conforme à la norme ISO 31000. Cette formation est conçue de manière à vous doter d’une maîtrise des meilleures pratiques en matière de management du risque et à développer vos aptitudes pour les mettre en œuvre dans un organisme afin de mettre en œuvre efficacement un processus de management du risque.Après avoir appréhendé les concepts nécessaires du management du risque, vous pouvez vous présenter à l’examen et postuler au titre de « PECB Certified ISO 31000 Risk Manager ». En étant titulaire d’une certification PECB, vous démontrerez que vous disposez des connaissances et des compétences pratiques pour gérer efficacement un processus du risque dans un organisme.
ISO 31000 Risk Manager
Catalogue Deloitte Cyber Academy 2020 61
Continuité d'activité
• 9 au 13 mars • 12 au 16 octobre 3 500€ hors taxesRéf. : RPCA5 jours / 35 heures
Vous allez apprendre à
• Acquérir les compétences indispensables à l'exercice de la fonction de responsable PCA, à savoir :
- Fondamentaux de la continuité d'activité - Contexte réglementaire et juridique - Etat du marché de la continuité (aspects
techniques) - Apprécier les enjeux et les risques métiers - Formaliser un PCA efficient - Mon PCA fonctionne-t-il ? - Gérer une crise - Stratégies de prise de fonction.
Public visé
• Toute personne amenée à exercer la fonction de responsable du plan de continuité d'activité : RPCA, futur RPCA, RSSI, ingénieurs sécurité assistant un RPCA, responsables sécurité à la production.
• Les techniciens devenus RPCA souhaitant obtenir une culture de management.
• Les managers confirmés manquant de la culture technique de base en matière de continuité d'activité ou ne connaissant pas les acteurs du marché.
• Toute personne amenée à assurer une fonction de correspondant local Continuité d'activité ou une fonction similaire.
Pré-requis
Cette formation ne demande pas de préalable juridique, mais une expérience opérationnelle de la SSI et de l'exercice des responsabilités est souhaitée.
Méthode pédagogique
• Cours magistral comportant de nombreux exemples pratiques basés sur le retour d'expérience d'ATEXIO et de Deloitte Cyber Academy et de ses clients, agrémenté d'exercices pratiques à l'issue de chaque partie importante
• Formation dispensée en français
Matériel
• Support de cours et annexes en français au format papier
Certification
Cette formation n'est pas certifiante.
Programme
Introduction - Fondamentaux de la continuité d’activité• Accueil• Présentation de la fonction de RPCA en la
mettant en perspective par rapport à tous les aspects de son environnement
• Interactions : RSSI, RM, Production, Direction, Métiers, Services généraux, Conformité, Juridique, RH, etc.
• Stratégies de prise de fonction du RPCA• Présentation de la terminologie
Contexte réglementaire et juridique• Panorama des référentiels du marché (lois,
règlement, normes et bonnes pratiques)• Normalisation ISO 22300 et 27000• Informatique et libertésAspects techniques de la continuité• Sauvegarde et restauration• Réplication ou redondance• Réseaux et télécoms
Apprécier les enjeux et les risques métiers• Appréciation des risques en continuité
d’activité• Processus critiques : bilan d'impact sur
l’activité (BIA)
Acteurs du marché de la continuité• Gestion des relations avec les partenaires• Externaliser vers un prestataire• Comment choisir ?
Formaliser un PCA efficient• Projet PCA (prérequis, gouvernance, délais,
livrables, etc.)• PGC : plan Gestion de Crise• PCOM : plan de communication (interne et
externe)• PRM : plan de reprise métier• PCIT : plan de continuité informatique et
télécoms• PRN : plan de retour à la normale
Mon PCA fonctionne-t-il ?• Exercices et tests• Importance du rôle d’observateur• Audit du PCA• Maintien en condition opérationnelle (MCO)• Outils de gouvernance, gestion, pilotage du
PCA
Gérer une crise• Activer tout ou partie du PCA• Communiquer pendant la crise• Assurer le retour à la normale• Intégrer les retours d’expérience (RETEX)
Témoignage d'un RPCA (en fonction des disponibilités)
Examen
En partenariat avec Atexio
Quel que soit leur secteur d'activité, être capable d'assurer la continuité des activités est plus que jamais au cœur des préoccupations des entreprises. Et ne nous y trompons pas : si la dimension « informatique » est (souvent) primordiale en continuité d'activité, autant elle n'est pas tout ! Si l'on veut que le plan de continuité d'activité (PCA) soit efficace, alors la dimension « métier » doit en être le cœur. La formation proposée par Deloitte Cyber Academy a précisément été conçue dans le but d'apporter au responsable du plan de continuité d'activité tous les éléments dont il a besoin pour assurer ses fonctions.
Formation RPCA
62 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Continuité d'activité
• 21 au 25 septembre 3 500€ hors taxes22301 LA5 jours / 35 heures
Vous allez apprendre à
• Comprendre le fonctionnement d’un Système de management de la continuité d’activité (SMCA) conforme à la norme ISO 22301
• Expliquer la corrélation entre la norme ISO 22301 et les autres normes et cadres réglementaires
• Comprendre le rôle d’un auditeur : planifier, diriger et assurer le suivi d’un audit de système de management conformément à la norme ISO 19011
• Savoir diriger un audit et une équipe d’audit • Savoir interpréter les exigences d’ISO 22301
dans le contexte d’un audit du SMCA • Acquérir les compétences d’un auditeur dans
le but de : planifier un audit, diriger un audit, rédiger des rapports et assurer le suivi d’un audit, en conformité avec la norme ISO 19011
Public visé
• Auditeurs souhaitant réaliser et diriger des audits de certification du Système de manage-ment de la continuité d’activité
• Responsables ou consultants désirant maîtriser le processus d’audit du Système de management de la continuité d’activité
• Toute personne responsable du maintien de la conformité aux exigences du SMCA
• Experts techniques désirant préparer un audit du Système de management de la continuité d’activité
• Conseillers spécialisés en management de la continuité d’activité
Prérequis
• Une bonne connaissance de la norme ISO 22301 et des connaissances approfondies sur les principes de l’audit
Méthode pédagogique
• Cette formation est basée à la fois sur la théorie et sur les meilleures pratiques utilisées dans l’audit du SMAC
• Les cours magistraux sont illustrés par des exemples basés sur une étude de cas
• Les exercices pratiques sont basés sur une étude de cas qui inclut des jeux de rôle et des présentations orales
• Les tests pratiques sont similaires à l’examen de certification
Matériel
• Support de cours en français au format papier• Annexes associées en français et/ou anglais
Certification
• Cette formation prépare à l’examen de certification « PECB Certified ISO 22301 Lead Auditor »
Programme
Jour 1 – Introduction au Système de management de la continuité d’activité et à la norme ISO 22301• Objectifs et structure de la formation• Cadres normatifs et règlementaires• Processus de certification • Principes fondamentaux du Système de
management de la continuité d’activité• Système de management de la continuité
d’activité
Jour 2 – Principes, préparation et déclenchement de l’audit• Principes et concepts fondamentaux d’audit• Approche d'audit fondée sur les preuves• Déclenchement de l’audit• Étape 1 de l’audit• Préparation de l’étape 2 de l’audit (audit sur
site)• Étape 2 de l’audit (première partie)
Jour 3 – Activités d’audit sur site• Étape 2 de l’audit (deuxième partie)• Communication pendant l’audit• Procédures d’audit• Rédaction des plans de tests d'audit• Rédaction des constats d’audit et des rapports
de non-conformité
Jour 4 – Clôture de l’audit• Documentation de l’audit et revue de qualité
de l’audit• Clôture de l’audit• Évaluation des plans d’actions par l’auditeur• Avantages de l’audit initial• Management d’un programme d’audit interne• Compétence et évaluation des auditeurs• Clôture de la formation
Jour 5 – Examen de certification
La formation ISO 22301 Lead Auditor vous permettra d’acquérir l’expertise nécessaire pour réaliser des audits de Système de management de la continuité d’activité (SMCA) en appliquant les principes, les procédures et les techniques d’audit généralement reconnues. Durant cette formation, vous acquerrez les connaissances et les compétences nécessaires pour planifier et réaliser des audits internes et externes, en conformité avec la norme ISO 19011 et le processus de certification d’ISO/CEI 17021-1. Grâce aux exercices pratiques, vous serez en mesure de maîtriser les techniques d’audit et disposerez des compétences requises pour gérer un programme d’audit, une équipe d’audit, la communication avec les clients et la résolution de conflits. Après avoir acquis l’expertise nécessaire pour réaliser cet audit, vous pouvez vous présenter à l’examen et postuler au titre de « PECB Certified ISO 22301 Lead Auditor ». Le certificat PECB atteste que vous avez acquis les capacités nécessaires pour l’audit des organisations selon les meilleures pratiques d’audit.
ISO 22301 Lead Auditor
Catalogue Deloitte Cyber Academy 2020 63
Continuité d'activité
• 11 au 15 mai • 23 au 27 novembre 3 500€ hors taxes22301 LI5 jours / 35 heures
Vous allez apprendre à
• Comprendre la corrélation entre la norme ISO 22301 et les autres normes et cadres réglementaires
• Maîtriser les concepts, approches, méthodes et techniques nécessaires pour mettre en œuvre et gérer efficacement un SMCA
• Savoir interpréter les exigences de la norme ISO 22301 dans un contexte spécifique de l’organisation
• Savoir accompagner une organisation dans la planification, la mise en œuvre, la gestion, la surveillance et la tenue à jour du SMCA
• Acquérir l’expertise nécessaire pour conseiller une organisation sur la mise en œuvre des meilleures pratiques relatives au Système de management de la continuité d’activité
Public visé
• Responsables ou consultants impliqués dans le management de la continuité d’activité
• Conseillers spécialisés désirant maîtriser la mise en œuvre d’un Système de management de la continuité d’activité
• Toute personne responsable du maintien de la conformité aux exigences du SMCA
• Membres d’une équipe du SMCA
Pré-requis
Une bonne connaissance de la norme ISO 22301 et des connaissances approfondies des principes de sa mise en œuvre
Méthode pédagogique
• Cette formation est basée à la fois sur la théorie et sur les meilleures pratiques utilisées pour la mise en œuvre du SMCA
• Les cours magistraux sont illustrés par des exemples basés sur une étude de cas
• Les exercices pratiques sont basés sur une étude de cas qui inclut des jeux de rôle et des présentations orales
• Les tests pratiques sont similaires à l’examen de certification
Matériel
• Support de cours en français au format papier• Annexes associées en français et/ou anglais
Certification
Cette formation prépare à l’examen de certi-fication « PECB Certified ISO 22301 Lead Implementer »
Programme
Jour 1 – Introduction à la norme ISO 22301 et initialisation d’un SMCA • Objectifs et structure de la formation• Cadres normatifs et règlementaires• Système de management de la continuité
d’activité• Principes et concepts fondamentaux du
Système de management de la continuité d’activité
• Initialisation de la mise en œuvre du SMCA• Compréhension de l’organisme• Analyse du système de management existant• Périmètre du SMCA
Jour 2 – Planification de la mise en œuvre d’un SMCA• Leadership et engagement• Politiques du SMCA• Structure organisationnelle• Informations documentées • Compétences et sensibilisation• Analyse d’impacts sur les activités (BIA)• Appréciation du risque
Jour 3 – Mise en œuvre d’un SMCA• Stratégie de continuité d’activité• Mesures de protection et d’atténuation• Procédures et plans de la continuité d’activité• Plan de réponse aux incidents• Plan d’intervention d’urgence • Plan de gestion de crise• Plan de reprise informatique• Plan de restauration• Plan de communication
Jour 4 – Surveillance, mesure, amélioration continue et préparation de l’audit de certification du SMCA• Tests et exercices• Mesure et surveillance du SMCA• Audit interne• Revue de direction• Traitement des non-conformités• Amélioration continue• Préparation de l’audit de certification• Compétence et évaluation des
« implementers »• Clôture de la formation
Jour 5 – Examen de certification
La formation ISO 22301 Lead Implementer vous permettra d’acquérir l’expertise nécessaire pour accompagner une organisation lors de l’établissement, la mise en œuvre, la gestion et la tenue à jour d’un Système de management de la continuité d’activité (SMCA) conforme à la norme ISO 22301. Cette formation est conçue de manière à vous doter d’une maîtrise des meilleures pratiques en matière de Systèmes de management de la continuité d’activité et à développer vos aptitudes à fournir un cadre qui permet à l’organisation de continuer ses activités durant les crises. Après avoir maîtrisé l’ensemble des concepts relatifs aux Systèmes de management de la continuité d’activité, vous pouvez vous présenter à l’examen et postuler au titre de « PECB Certified ISO 22301 Lead Implementer ». En étant titulaire d’une certification PECB, vous démontrerez que vous disposez des connaissances pratiques et des compétences professionnelles pour mettre en œuvre la norme ISO 22301 dans une organisation.
ISO 22301 Lead Implementer
64 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Référentiels et méthodes
1 590€ hors taxes Réf. : ITIL3 jours / 21 heures
Objectifs de la formation
• Réussir la certification ITIL 4 Foundation.• Comprendre l’approche holistique de la
co-création de valeur avec les clients et les autres parties prenantes sous forme de produits et de services.
• Identifier les principes directeurs de ITIL4.• Acquérir les quatre dimensions de la gestion
des services.• Comprendre les Concepts clés de Lean IT,
Agile, DevOps, et pourquoi ils sont impor-tants pour permettre la creation de valeur opérationnelle.
• Comprendre comment les pratiques décrites dans ITIL 4 permettent de maintenir la valeur.
• Identifier l’importance fournie par les processus actuels tout en élargissant leur intégration à différents domaines de la gestion des services.
• Préparer, Réviser et Acquérir les trucs et astuces pour réussir l'examen officiel ITIL 4 Foundation.
Public visé
• Toute personne qui voudrait obtenir sa certifi-cation ITIL 4 Foundation
• Toute personne qui voudrait connaitre l'une des meilleures pratiques pour la gestion d'un parc informatique
• Les responsables d’exploitation, directeurs ou chefs de projets, experts qualité, toute personne souhaitant maitriser les concepts d’ITIL 4
Prérequis
• Il n'y a pas de pré-requis nécessaire pour suivre et réussir les objectifs de cette formation. Il est seulement préférable que le participant soit familiarisé avec les termes techniques lié au métier de l'informatique en général.
Certification
• Cette formation ITIL prépare à l'examen de certification Itil v4 Foundation.
Programme
• Les concepts clés de la gestion des services
• Les concepts clés de ITIL v4
• ITIL 4 « service value system »
• ITIL 4 « service value chain »
• Les 7 principes directeurs de ITIL 4
• Introduction aux ITIL 4 practices
• Description de 13 services management practices
• Description de 1 technical practice
• Révision générale des points principaux nécessaires au programme de l’examen
• Préparation à l’examen de certification ITIL 4 Foundation
• Passage de l’examen de certification ITIL 4 Foundation
Le contexte de ITIL, avec la sortie de ITIL 4 est maintenant beaucoup plus large, met l’accent sur le monde des affaires et de la technologie, comment il fonctionne aujourd’hui, et comment il fonctionnera à l’avenir avec Agile, DevOps et la transformation numérique.
Formation Itil v4 Foundation
• 6 au 8 jan.• 20 au 22 jan.• 3 au 5 fév.• 17 au 19 fév.• 2 au 4 mars• 16 au 18 mars• 30 mars au
1er avril
• 20 au 22 avril• 11 au 13 mai• 25 au 27 mai• 8 au 10 juin• 22 au 24 juin• 6 au 8 juil.• 20 au 22 juil.• 17 au 19 août
• 7 au 9 sep.• 14 au 16 sep.• 28 au 30 sep.• 12 au 14 oct.• 26 au 28 oct.• 16 au 18 nov.• 23 au 25 nov.• 7 au 9 déc.
Référentiels et méthodes
Catalogue Deloitte Cyber Academy 2020 65
1 290€ hors taxesRéf. : ITIL PRAC2 jours / 14 heures
Objectifs de la formation
• Réussir la certification ITIL Practitioner et devenir Certifié ITIL Practitioner
• Mettre en pratique les concepts abordés lors du module Foundation
• Mettre en œuvre les bonnes pratiques du référentiel ITIL
• Réaliser l’adaptation du modèle ITIL à son organisation
• Préparer, Réviser et Acquérir les trucs et astuces pour réussir l'examen officiel ITIL Practitioner
Public visé
• Les responsables de processus• Les chefs de projet et responsables d’équipe
en charge de planifier et d'implémenter les processus IT
• Les responsables qualité en charge de l'évolution des référentiels internes
• Toute personne détentrice de la certification ITIL Foundation et qui souhaiterait se spécialiser et décrocher les certifications ITIL des niveaux Intermediate, dont fait partie la certification ITIL Practitioner passée à la fin de cette formation.
Prérequis
• L'obtention de la certification ITIL Foundation est un pré-requis pour suivre cette formation.
Certification
• Cette formation ITIL prépare à l'examen de certification ITIL Practitioner v4.
Programme
Jour 1• Introduction à l’amélioration continue• Application des principes directeurs de
gestion des services dans un contexte spécifique
• Approche d’amélioration continue CSI• Mesures et métriques : les catalyseurs de
toute initiative d’amélioration
Jour 2• Communication efficace sur l’initiative
d’amélioration• Importance de la gestion du changement
organisationnel dans une initiative CSI• Préparation à l’examen de certification ITIL
Practitioner• Passage de l’examen
Le niveau ITIL Practitioner prouve auprès des organisations auxquelles le participant voudrait participer ses connaissances dans l'application concrète de base des Pratiques ITIL. Cette certification ITIL Practitioner ouvre également la porte au cycle de certification Expert ITIL.
Formation Itil Practitioner
• 9 au 10 jan.• 23 au 24 jan.• 6 au 7 fév.• 20 au 21 fév.• 5 au 6 mars• 19 au 20 mars• 2 au 3 avril• 23 au 24 avril
• 14 au 15 mai• 28 au 29 mai• 11 au 12 juin• 25 au 26 juin• 9 au 10 juil.• 23 au 24 juil.• 20 au 21 août• 10 au 11 sep.
• 17 au 18 sep.• 1er au 2 oct.• 15 au 16 oct.• 29 au 30 oct.• 19 au 20 nov.• 26 au 27 nov.• 10 au 11 déc.
66 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Référentiels et méthodes
1 590€ hors taxes Réf. : PRINCE23 jours / 21 heures
Objectifs de la formation
• Réussir la certification Prince2 Foundation• Distinguer les différents composants de
gestion de Prince2• Utiliser les sept lignes directrices de Prince2
constituant un référentiel de bonnes pratiques
• Présenter les thèmes et processus clés formant le cœur de Prince2
• Intégrer les éléments Prince2 pour visualiser la structure de la méthode
Public visé
• Toute personne qui veut obtenir sa certifica-tion Prince2 et/ou qui veut connaitre l'une des meilleures pratiques pour la gestion de projet.
Prérequis
• Il n'y a pas de prérequis nécessaire pour suivre et réussir les objectifs de cette formation. Il est seulement préférable que le participant soit familiarisé avec la conduite de projet, ou qu'il soit dans un environnement de travail en mode projet. La lecture des documents de préformation est recommandée : ils vous seront envoyés une semaine avant votre formation au plus tard, avec votre convocation.
Certification
• Cette formation Lean prépare à l'examen de certification Prince2 Foundation.
Programme
Pourquoi Prince2 ?• Définition d'un projet et caractéristiques• Les 6 aspects de performance d'un projet et
les principales causes d'échec• Prince2 et la gestion de projet• Présentation des 4 éléments intégrés de
Prince2 : les principes, les thèmes, les processus et l'adaptation de Prince2
• La place des fournisseurs et clients dans un projet Prince2
• Les bénéfices liés à l'usage de Prince2
Structure de Prince 2• Niveaux d'organisation• Le contrôle du projet• Pourquoi une méthode de gestion ?• Le langage commun• Les acteurs, les rôles et les responsabilités
d'un projet
Les sept thèmes de Prince2• Business Case• Organisation• Qualité• Plans• Risque• Changement• Progression
Les sept processus de Prince2• Elaborer le projet• Diriger le projet• Initialiser le projet• Contrôler une séquence• Gérer la livraison des produits• Gérer une limite de séquence• Clore le projet
Etude de cas & passage de la certification
Prince2 (PRojet IN Controlled Environments) est une méthode de gestion de projet structurée née au début des années 80 au Royaume-Uni qui s’appuie sur 3 axes principaux : la gestion, l’organisation et le contrôle du projet.
Prince2 Foundation
• 13 au 15 jan.• 10 au 12 fév.• 9 au 11 mars• 6 au 8 avril• 11 au 13 mai
• 8 au 10 juin• 29 juin au
1er juil.• 20 au 22 juil.• 24 au 26 août
• 7 au 9 sep.• 21 au 23 sep.• 19 au 21 oct.• 16 au 18 nov.• 14 au 16 déc.
Référentiels et méthodes
Catalogue Deloitte Cyber Academy 2020 67
Prince2 (PRojet IN Controlled Environments) est une méthode de gestion de projet structurée née au début des années 80 au Royaume-Uni qui s’appuie sur 3 axes principaux : la gestion, l’organisation et le contrôle du projet.
1 490€ hors taxes Réf. : PRINCE2 PRAC2 jours / 14 heures
Objectifs de la formation
• Réussir la certification Prince2 Foundation• Distinguer les différents composants de
gestion de Prince2• Utiliser les sept lignes directrices de Prince2
constituant un référentiel de bonnes pratiques
• Présenter les thèmes et processus clés formant le cœur de Prince2
• Intégrer les éléments Prince2 pour visualiser la structure de la méthode
Public visé
• Toute personne qui veut obtenir sa certifica-tion Prince2 et/ou qui veut connaitre l'une des meilleures pratiques pour la gestion de projet.
Prérequis
• Il n'y a pas de prérequis nécessaire pour suivre et réussir les objectifs de cette formation. Il est seulement demandé de posséder au préalable la certification Prince2 Foundation. La lecture des documents de préformation est recommandée : ils vous seront envoyés une semaine avant votre formation au plus tard, avec votre convocation.
Certification
• Cette formation Lean prépare à l'examen de certification Prince2 Practitioner.
Programme
Rappels sur Prince2• Définition d'un projet et caractéristiques• Les 6 aspects de performance d'un projet et
les principales causes d'échec.• Prince2 et la gestion de projet.• Présentation des 4 éléments intégrés de
Prince2 : les principes, les thèmes, les processus et l'adaptation de Prince2.
• La place des fournisseurs et clients dans un projet Prince2.
• Les bénéfices liés à l'usage de Prince2.
Structure de Prince2
Les sept thèmes de Prince2
Les sept processus de Prince2
Approfondissement de la méthode Prince2• Détail des processus et les thèmes.• Détail des exemples élaborés de produits
Prince2 applicables aux projets.• Travailler sur les relations entre processus,
thèmes et produits de Prince2.• Statuer sur quels produits de management
constituent les entrées/sorties des sept processus.
• Définir l'objectif essentiel et les éléments clés des principaux produits de management.
• Appliquer Prince2 pour lancer et gérer un projet dans l'environnement Prince2.
• Initialiser le projet, le planifier, le diriger, le contrôler et le clôturer.
• Revue des acteurs. Relations entre les processus, les livrables, les rôles et la dimension managériale d'un projet.
Etude de cas & passage de la certification Prince2 practitioner
Prince2 Practitioner
• 16 au 17 jan.• 13 au 14 fév.• 12 au 13 mars• 9 au 10 avril• 14 au 15 mai
• 11 au 12 juin• 2 au 3 juil.• 23 au 24 juil.• 27 au 28 août• 10 au 11 sep.
• 24 au 25 sep.• 22 au 23 oct.• 19 au 20 nov.• 17 au 18 déc.
68 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Référentiels et méthodes
1 290€ hors taxesRéf. : AGILE 2 jours / 14 heures
Objectifs de la formation
• Réussir la certification PSM Scrum Master et devenir Certifié Agile Scrum Master
• Identifier son rôle au sein de l'équipe• Comprendre les fondamentaux et les
éléments du framework SCRUM• Apprendre la gestion de projets agiles• Apprendre à gérer les relations au sein d’une
équipe agile• Apprendre à faciliter efficacement des
réunions agiles• Préparer au passage de la certification PSM
niveau I
Public visé
• Futurs Scrum Masters• Futurs Managers Agiles
Prérequis
• Il n'y a pas de prérequis nécessaire. Notions d'anglais.
• La lecture des documents de préformation est recommandée : ils vous seront envoyés une semaine avant votre formation au plus tard, avec votre convocation.
Certification
• Cette formation prépare à l'examen de certifi-cation Agile Scrum Master, PSM niveau 1.
Programme
Introduction à l’agilité• Constats• Approches traditionnelles VS approches agiles• Historique et Manifeste Agile• Frameworks agiles• Bénéfices et freins• FRAMEWORK SCRUM• Principes fondamentaux• Sprint• Rôles• Artefacts• Evénements• Scrum à l’échelle
Rôle du scrum master• Un nouveau métier• Ses responsabilités• Un rôle multi-casquettes
La casquette de leader – serviteur• Guider le lancement de projet• Guider le cadrage de projet• Guider le développement de projet
La casquette d’enseignant• Enseigner l’estimation• Enseigner le suivi et le pilotage
La casquette de facilitateur• L’art de la facilitation• Faciliter dans Scrum• Faciliter une rétrospective
Apparues dans les années 90, les méthodes Agiles (inspirées par Lean) ont radicalement changé la façon de réaliser un projet. Elles privilégient l’implication des personnes et leurs interactions, et sont focalisées sur la production de valeur métier (business value) plutôt que sur la consommation d’un budget.Parmi les méthodes agiles, Scrum s'est montrée la plus convaincante pour gérer des projet complexes du domaine informatique. Si ce framework est léger et simple à comprendre, il est difficile à maîtriser. C’est pourquoi il définit un responsable de sa bonne mise en œuvre : le Scrum Master. Ce rôle est essentiel à la bonne marche d’une équipe Scrum. Sans lui, l’équipe perd sa boussole agile et risque grandement de dériver et de perdre du temps.
Agile Scrum Master (PSM)
• 9 au 10 jan.• 23 au 24 jan.• 6 au 7 fév.• 20 au 21 fév.• 5 au 6 mars• 19 au 20 mars• 2 au 3 avril• 23 au 24 avril
• 14 au 15 mai• 28 au 29 mai• 11 au 12 juin• 25 au 26 juin• 9 au 10 juil.• 23 au 24 juil.• 20 au 21 août• 10 au 11 sep.
• 17 au 18 sep.• 1 au 2 oct.• 15 au 16 oct.• 29 au 30 oct.• 19 au 20 nov.• 26 au 27 nov.• 10 au 11 déc.
Référentiels et méthodes
Catalogue Deloitte Cyber Academy 2020 69
2 790€ hors taxesRéf. : LEAN65 jours / 35 heures
Objectifs de la formation
• Réussir la certification Lean Six Sigma Yellow Belt (IASSC).
• Connaître les différentes phases de la méthode DMAIC Lean Six Sigma et plus particulièrement : Phase Define, Phase Measure, Phase Control.
Public visé
Cette formation s'adresse aux :• Techniciens• Responsables de production• Equipes qualité• Responsables de processus• Chefs de projets• Consultants
Prérequis
• Il n'y a pas de Pré-requis pour suivre cette formation Lean Six Sigma Yellow Belt (1er niveau).
Certification
• Cette formation Lean prépare à l'examen de certification Lean six sigma Yellow Belt.
Programme
Phase « Define » Durant cette phase, le projet d'amélioration est sélectionné parmi les projets recensés et un plan est conçu pour son déroulé. On formalise la problématique en se focalisant sur la voix du client et on constitue les équipes qui vont travailler sur le projet d'amélioration. C'est également le moment de regarder les gaspillages qui peuvent rapidement être évités, quelle est la vue macroscopique du processus et signer un mandat de projet d'amélioration avec les parties prenantes et le sponsor du projet.
Phase « Measure » Durant la phase « Measure », on construit un modèle du processus et on identifie les facteurs influents qui aideront à son amélioration. On identifie les facteurs importants qui influent sur le résultat du processus à améliorer. C'est également le moment où on s'assure que le système de mesure est capable de la précision nécessaire pour traiter le problème.
Phase « Control » Lors de la dernière phase du projet DMAIC, l'effort est porté sur la duplication des solutions mises en œuvre et leur déploiement à l'échelle de toute l'entreprise. La capabilité du processus est augmentée et toutes les étapes du processus sont mises sous contrôle pour s'assurer de la pérennité des mesures prises. Des plans de contrôle sont réalisés dans ce but. La documentation du processus est mise à jour et le transfert du projet aux équipes opérationnelles est réalisé. On capitalise également les expériences pour améliorer le processus DMAIC lui-même dans l'entreprise.
Passage de la certification.
Cette formation permet d'appréhender la méthodologie Lean Six-Sigma Yellow Belt qui définit une organisation favorisant l'amélioration continue comme culture d'entreprise. Dans cette organisation, le Yellow Belt accompagne les projets d'amélioration de processus. Il comprend la méthodologie DMAIC et est capable de suivre les projets d'amélioration.
Lean six sigma – Yellow Belt
• 13 au 17 jan.• 24 au 28 fév.• 6 au 10 avril• 13 au 17 avril
• 25 au 29 mai• 29 juin au 3 juil.• 17 au 21 août• 21 au 25 sep.
• 2 au 6 nov.• 14 au 18 déc.
70 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Référentiels et méthodes
2 590€ hors taxesRéf. : TOGAF3 jours / 21 heures
Objectifs de la formation
• Connaître les différents types d'architectures d'entreprise et identifier la nécessité de l'alignement business et technique
• Découvrir les bénéfices liés à l'utilisation de Togaf en tant que référentiel de développe-ment de l'architecture
• Connaître les grands principes de Togaf et le référentiel de développement d'architecture ADM
• Maîtriser les différentes étapes des phases de développement de l'architecture
• Acquérir une collection de techniques et de meilleures pratiques pour appliquer l'ADM dans leur entreprise
• Identifier les types d'architectures gérées par Togaf
• Intégrer Togaf dans la gouvernance des systèmes d'information
Public visé
Cette formation s'adresse aux :• Architectes• Chefs de projet• Responsables de l'architecture• Ingénieurs• Consultants
Prérequis
• Il n'y a pas de prérequis pour suivre cette formation Togaf Foundation.
Certification
• Cette formation Lean prépare à l'examen de certification Togaf Foundation.
Programme
• Introduction
• Concepts principaux
• Terminologie
• Le continuum de l’entreprise et des outils de Togaf
• Les phases de l’ADM
• L’ADM et ses techniques
• Gouvernance de l’architecture
• Points de vue et parties-prenantes
• Building blocks
• Modèles de référence Togaf
• Passage de la certification
Cette formation vise à préparer le passage de la certification Togaf 9 Foundation. Elle fournit une vue d'ensemble du référentiel et de ses différents concepts. Togaf est le référentiel traitant de l'architecture des systèmes d'informations en tant qu'actif stratégique aligné sur l'architecture d'entreprise. La formation reprend les définitions de l'architecture d'entreprise, des bénéfices business liés à l'exploitation d'une architecture d'entreprise efficiente, de la déclinaison en architecture des systèmes d'information, le tout étant intégré à un référentiel de construction et d'évolution nommé ADM (Architecture Development Method). Cette méthode permet le développement continuel de l'architecture informatique en droite ligne avec les besoins business et la stratégie de l'entreprise.
Togaf Foundation
• 13 au 15 jan.• 23 au 25 mars
• 8 au 10 juin• 17 au 19 août
• 19 au 21 oct.
Développement personnel
Catalogue Deloitte Cyber Academy 2020 71
Public
• Chefs de service, directeurs général, cadres administratifs ou techniques, managers ou responsables hiérarchiques
Animation
• Une formation animée par un opérationnel, non financier, sociologue et spécialiste du développement de la coopération. Une pédagogie tonique fondée sur des mises en situation.
Prérequis
• Aucun
Le +
• Un module très interactif pour optimiser son efficacité managériale
Programme
• Comprendre plus clairement sa mission et son positionnement en tant que managers.
• Organiser, planifier et diriger efficacement le travail de ses collaborateurs.
• Savoir fixer des objectifs pertinents à ses collaborateurs.
• Mesurer leur niveau de motivation.
• Savoir réaliser un feedback constructif.
• Faire grandir ses collaborateurs.
• Savoir déléguer efficacement.
Maîtriser les fondamentaux du management et développer son efficacité managériale.
Manager efficacement
• Formation intra entreprise sur demande
• Formation intra entreprise sur demande
950€ hors taxes
950€ hors taxes
1 jour
1 jour / 7 heures
Public
• Responsables hiérarchiques, chefs de projet et de service, organisateurs, consultants, managers et cadres administratifs ou techniques
Animation
• Une formation animée par un opérationnel, non financier, sociologue et spécialiste du développement de la coopération
Prérequis
• Aucun
Le +
• Un module pragmatique pour s’exercer sans risque à conduire le changement
• Une pédagogie tonique fondée sur des mises en situation
Programme
• Prendre conscience des leviers concrets du changement.
• Mettre en perspective la formation avec leur projet.
• Mettre en avant la vision du manager pour porter les changements.
• Identifier les jeux d’acteurs pour réussir le changement.
• Connaître les outils 2.0 de la conduite du changement.
Comprendre et utiliser efficacement les outils et les leviers de la conduite du changement.
Accompagner le changement
72 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Développement personnel
Public
• Managers qui souhaitent gagner du temps en améliorant leur gestion du temps personnelle et collective
Animation
• Une formation animée par un opérationnel, non financier, sociologue et spécialiste du développement de la coopération. Une pédagogie tonique fondée sur des mises en situation.
Prérequis
• Connaissances générales en gestion et organisation des ressources humaines
Programme
• Analyser l’utilisation de son temps
• Identifier des tendances naturelles en matière d’organisation du temps
• Recenser les principes d’utilisation du temps dans le cadre professionnel (passé, perdu, prescrit, perçu, gagné…)
• Optimiser son organisation et celle de son équipe
• Appréhender les outils efficaces pour développer une meilleure qualité de vie professionnelle :- atteindre son BUT (Bilan d’Utilisation du
Temps),- démasquer 16 voleurs de temps,- arbitrer en fonction de la matrice
d’Eisenhower (important / pas important / urgent / pas urgent),
- utiliser Outlook au service de la maîtrise du temps,
- découvrir « à quoi on dit Oui quand on dit Non »,
- comprendre les 5 styles de délégation et leur impact sur la gestion du temps,
- s’approprier 10 réflexes « chrono donnés ».
Comprendre l’utilisation de son temps, détecter ses « voleurs de temps » et proposer des outils concrets pour mieux maîtriser l’organisation de son propre temps et celui de son équipe.
Gérer son temps et ses priorités
Public
• Managers
Animation
• L’animateur de ce module de formation est expert de la conduite du changement stra-tégique et de la digitalisation du monde du travail
Prérequis
• Aucun
Programme
Matin
• Introduction : Les contours de la révolution digitale au sein de l’entreprise :- les enjeux économiques et sociétaux,- les défis organisationnels et sociaux.
• Les nouveaux paradoxes du management à l’ère du digital
• Les compétences essentielles pour le manager à l’ère du digital- Exercices de co-construction.
• Etes-vous un manager agile ?
- Auto-diagnostic.
Après midi
• Le manager dans son rôle de porteur de sens : - Comment construire et partager une vision
mobilisatrice dans un environnement incertain ?
- Etude de cas.
• Le manager dans son rôle d’animateur des équipes et du changement : - Comment responsabiliser et dynamiser ses
équipes ?- Comment construire et animer une équipe
autonome ? - Comment favoriser la collaboration ?- Etude de cas.
Appréhender l’impact de la « troisième révolution industrielle » sur les contours et les pratiques du management d’équipe et du pilotage de la performance.
Manager à l’ère du digital - Transformation agile et management 3.0
• Formation intra entreprise sur demande
• Formation intra entreprise sur demande
950€ hors taxes
950€ hors taxes
1 jour
1 jour / 7 heures
Développement personnel
Catalogue Deloitte Cyber Academy 2020 73Catalogue Deloitte Cyber Academy 2020 73
Public
• Managers qui gèrent tout ou une partie de son équipe à distance de manière permanente ou occasionnelle
Animation
• Une formation animée par un opérationnel, non financier, sociologue et spécialiste du développement de la coopération
Prérequis
• Aucun
Le +
• Un module qui allie conseils pratiques et prise de recul sur sa pratique managériale. Une pédagogie tonique fondée sur des mises en situation
Programme
• Comprendre les différents impacts managé-riaux et organisationnels du travail à distance, depuis le télétravail jusqu’au nomadisme.
• Identifier les meilleures pratiques opération-nelles, en distinguant ce qui relève :- de la maîtrise des outils de communication ;- des règles de vie commune que le manager
propose à l’équipe : points de rencontre et
temps de partage informels, disponibilité du télétravailleur ;
- de l’organisation opérationnelle des activités : adaptation des processus, respect des contraintes des « clients » externes ;
- de l’adaptation des pratiques managériales : fixation d’objectifs, contrôle et mesure de la performance, animation d’équipe, équité de traitement entre ceux « qui ne sont pas là » et les présents, développement de la polyvalence et de la coopération entre les membres de l’équipe.
• Permettre une prise de recul sur son propre style de management face au travail à distance : capacité à déléguer, confiance en soi et en son équipe.
S’approprier les bonnes pratiques opérationnelles de management de collaborateurs à distance.
Manager à distance
Public
• Managers, responsables de service
Animation
• L’animateur de ce module de formation est expert en management et en conduite du changement
Prérequis
• Aucun
Programme
• Les enjeux et difficultés de l’entretien annuel (travail de groupe)
• Définir des objectifs SMART• Conduire l’entretien annuel :
- 1re mise en situation,- apports techniques sur la préparation
(objectifs collectifs vs objectifs individuels, comment préparer l’entretien ?).
• Conduire l’entretien annuel : - 2e mise en situation, - apports techniques sur la conduite
d’entretien (écoute, questionnement, recherche d’accord sur les résultats obtenus, négociation d’objectifs...).
• Conduire l’entretien annuel : - 3e mise en situation, - apports techniques sur le suivi de l’entretien
(plan de développement des compétences, gestion du parcours professionnel, suivi au quotidien...).
Situer la place de l’entretien annuel d’évaluation dans l’ensemble du champ du management.Etre capable de mener un entretien, de fixer des objectifs en accord avec le collaborateur. Faire de l’entretien annuel un véritable outil de management. Mobiliser les collaborateurs pour atteindre leurs objectifs.
Conduire un entretien annuel
• Formation intra entreprise sur demande
• Formation intra entreprise sur demande
950€ hors taxes
950€ hors taxes
1 jour
1 jour / 7 heures
74 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Développement personnel
Public
• Toute personne amenée à animer une réunion, un atelier, une formation
Animation
• L’animateur de ce module de formation est expert en animation et en formation des adultes
Prérequis
• Aucun
Programme
• Le rôle de l’animateur• Les formats d’animation : réunion, formation,
atelier• Etre un bon orateur• Se préparer à l’animation : principes et outils.• Faire une ouverture de session réussie• Gérer la session et les situations difficiles :
principes et outils• Zoom sur la prise de décision dans le cadre
d’une réunion, d’un atelier• Clôturer une réunion, une formation, un
atelier• Mises en situation couvrant toutes les étapes
de l’animation• Synthèse des principaux enseignements
Appréhender le rôle d’animateur et comprendre les modalités d’une réunion, d’un atelier de travail et d’une session de formation. Découvrir et apprendre à maîtriser les techniques de gestion de l’avant, du pendant et de l'après. Apprendre à gérer les différents comportements individuels et s’entraîner à l’animation.
Animer avec succès une réunion, un atelier, une formation
• Formation intra entreprise sur demande950€ hors taxes1 jour / 7 heures
Développement personnel
Catalogue Deloitte Cyber Academy 2020 75
Public
• Directeurs de projet et responsables de projet
Animation
• L’animateur est expert dans la conduite de projet et certifié Arc-en-Ciel©
Prérequis
• Aucun
Modalités
• Minimum 8 participants
Le +
Ce module permet aux chefs de projet de :• renforcer la performance à travers la mise
en œuvre d’outils permettant de développer l’efficience humaine,
• dépasser les situations de blocage ou de conflit dans le projet par une meilleure maîtrise du fonctionnement de l’équipe,
• approfondir ses connaissances suite à la formation, à travers un programme d’accompagnement individuel sur la base de séances de 2h chacune,
• établir un profil d’équipe.
Un rapport individuel Arc-en-Ciel© leur sera également transmis avec un support de plan d’actions
Programme
Jour 1 : matin• Présentation du modèle Arc-en-Ciel© : langage
des couleurs• Style naturel & style adapté
Jour 1 : après-midi• Jeu : mieux se connaître soi-même et mieux
comprendre l’autre• Motivations & valeurs• Atelier d’approfondissement d’Arc-en-ciel© :
Quadrant d’Offman• Distribution des profils individuels• Repérage d’un ou plusieurs axes de progrès• Travail sur le plan d’action et de
développement
Jour 2 : matin• Réveil pédagogique• Brainstorming, partage d’expériences sur les
équipes projet• Stratégie des acteurs en conduite de projet :
Herbemont, carte des partenaires• Exercices de mise en situation• Lien entre Arc-en-Ciel© et Herbemont
Jour 2 : après-midi• Débriefing profil d’équipe• Caractéristiques d’une équipe de projet
gagnante• Savoir gérer les dysfonctionnements d’une
équipe à travers la pyramide de la confiance• Repérage d’un ou plusieurs axes de progrès• Travail sur le plan d’action et de
développement
Apporter aux chefs de projet la possibilité de mieux se connaître, de comprendre leur mode de fonctionnement, leurs forces et axes de progrès.Comprendre et optimiser les modes d’interaction parmi les membres d’un groupe projet : les convergences et divergences, la communication avec les membres de l’équipe et les stratégies spécifiques aux acteurs .Développer une efficacité optimale dans un projet en y intégrant les éléments de contexte, en couleurs.
Manager une équipe projet en couleurs (Arc-en-Ciel©)
• Formation intra entreprise sur demande950€ hors taxes2 jours / 14 heures
76 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Développement personnel
Public
• Directeurs, managers de managers et managers
Animation
• L’animateur est expert dans l’agilité des entreprises
Prérequis
• Aucun
Le +
• Du manager encadrant au manager facilita-teur et développeur de talents, ce module vous donne les clés des nouvelles postures managériales à adopter dans un environne-ment agile
Programme
Jour 1 • Postures d’agilité managériale : décliner les 6
postures agiles :- Empathie systémique- Synchronisation- Intelligence de situation- Proaction- Rébellion constructive- Pédagogie relationnelle
Activer ses postures managériales agiles en adoptant des pratiques issues du management 3.0 :
- Management Agile : contribution du manager dans une organisation agile
- Science des systèmes complexes : la pensée complexe pour gérer l’incertitude, organisa-tion en tant que système complexe
- Motiver ses équipes : motivateurs extrin-sèques et intrinsèques, lesquels sont impor-tants pour vos équipes
- Responsabiliser ses équipes : faire fonc-tionner une équipe autonome et faire face aux défis associés
- Aligner les contraintes du système : la vision et le sens pour guider les équipes sans les freiner
Jour 2 • Adapter ces modèles de développement et
d’organisation au management 3.0 :- Développer les compétences : 7 modèles
de développement des compétences de ses collaborateurs pour améliorer leur perfor-mance et leur motivation
- Croissance de l’organisation : organisation fractale en réseau et collaboration
- Gérer le changement : les 4 facettes d’un changement agile pour se mettre en mouvement
• Faire évoluer son comportement : actions personnelles et actions sur l’environnement :- Développer spécifiquement son agilité
managériale en fonction de son profil d’agilité : lien entre pratiques managériales et postures d’agilité
- Faire évoluer le modèle opérationnel pour gagner en agilité : processus, gouvernance, organisation
Apporter aux managers les clés pour mieux gérer l’incertitude et les changements permanents.Apprendre à libérer les énergies de ses collaborateurs.Favoriser l’innovation et l’amélioration continue.
Manager agile
• Formation intra entreprise sur demande950€ hors taxes1 jour / 7 heures
Développement personnel
Catalogue Deloitte Cyber Academy 2020 77
Public
• Directeur, manager, collaborateur
Animation
• L’animateur est expert dans l’agilité des entreprises
Pré-requis
• Aucun
Le +
• Un module qui permet d’améliorer son agilité comportementale, vrai vecteur d’amélioration pour une transformation agile
Programme
• Quel besoin d’agilité dans les organisations ?• S’appuyer sur les 4 leviers d’action et sur les
caractéristiques d’une organisation agile• Adopter des postures d’agilité : agilité compor-
tementale et prise de conscience du besoin• Adopter les 6 postures d’agilité comportemen-
tale et Agile Profile : - empathie systémique- synchronisation- intelligence de situation - proaction - rébellion constructive- pédagogie relationnelle
• Analyser le besoin d’agilité dans son envi-ronnement de travail
• Etudier ses propres postures d’agilité : prise de conscience, débrief en trinôme
• Pratiques et postures agiles : faire le lien compétence / comportement
• Développer son agilité après la formation : actions individuelles et collectives
Optimiser la performance globale en améliorant son agilité comportementaleAgir sur ses postures et sur son environnement pour améliorer les comportementsDévelopper la performance d’un groupe en alignant les comportements individuels sur les besoins d’agilité du groupe.
Agilité comportementale
• Formation intra entreprise sur demande950€ hors taxes1 jour / 7 heures
78 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Développement personnel
Réf. : SS INDIV
Améliorer la performance grâce à une démarche de questionnement, de réflexion et de réalisation des objectifs fixés au travers des actions planifiées. Grâce au coaching, le « coaché » identifie ses propres réponses pour se développer.
Coaching individuel « Soft skills »
Parcours
1. Entretien préalable de cadrage.
2. Sessions de coaching (nombre à définir en début de parcours).
3. Entretien de clôture et bilan.
Mise en place d’une relation basée sur la confiance, la communication sincère et la confidentialité.
Cible
Tous collaborateurs ou dirigeants dans le cadre d’un besoin de :
• développement des compétences ;
• et/ou renforcement du leadership ;
• et/ou résolution de problème.
Coachs
Nos coachs sont certifiés, affiliés à différentes instances reconnues (ICF…) et accrédités pour vous faire profiter d’une large palette d’outils de coaching (Mediat Coaching, Arc-en-Ciel©, Business Chemistry…). Ils partagent une forte vision éthique et professionnelle du coaching.
Modalités
• En présentiel et de préférence hors de l’entreprise (sessions de 1h30 à 2h).
• Et/ou en visio coaching pour un coaching agile (aide à la décision, situation immédiate).
La forme et la durée seront à définir conjointement avec le commanditaire.
Ce parcours est mis en œuvre dans le cadre d’un « contrat moral » entre le coach, le « coaché » et si possible son responsable hiérarchique.
Possibilité de coupler un coaching individuel avec un coaching de groupe.
Quelques exemples de thèmes
• Management.
• Efficacité et gestion des priorités.
• Confiance en soi et intelligence sociale.
• Projection profes-sionnelle au sein de l’entreprise.
• Prise de parole en situation d’enjeu.
• Leadership.
• Gestion du stress.
• Transition professionnelle.
• Formation intra entreprise sur demande
Développement personnel
Catalogue Deloitte Cyber Academy 2020 79
Réf. : SS COLL
Le coaching collectif stimule les différentes ressources du groupe pour améliorer les résultats dans une dimension collective. Il agit en véritable accélérateur de la transformation.
Coaching collectif « Soft skills »
Parcours
1. Entretien de cadrage avec le responsable d’équipe ou le dirigeant.
2. Sessions de travail.
3. Session de bilan.
Le coach agit sur :
• l’effet miroir pour mettre en lumière les fonctionnements de l’équipe, les potentiels d’évolution ;
• le catalyseur pour dégager les potentiels individuels et collectifs et développer des synergies.
Cible
Collaborateurs ou équipe dans le cadre d’un besoin de développement des compétences, de la dynamique collective, de la conduite du changement et/ou de la résolution de problème spécifique.
Coachs
Nos coachs sont certifiés, affiliés à différentes instances reconnues (ICF…) et accrédités pour vous faire profiter d’une large palette d’outils de coaching (Mediat Coaching, Arc-en-Ciel©, Business Chemistry…). Ils partagent une forte vision éthique et professionnelle du coaching. Des experts complémentaires pourront intervenir en fonction des besoins.
Modalités
En présentiel, sessions de 2 à 3h.
Mise en place d’une relation basée sur la confiance, la communication sincère et la confidentialité.
Quelques exemples de thèmes
• Renforcer la cohésion et l’efficacité de son équipe de direction et identifier des stra-tégies d’amélioration adaptées à ses objectifs.
• Optimiser le « travailler ensemble ».
• Clarifier le rôle et la responsabilité de chaque membre de l’équipe, et valoriser la solidarité et l’identité du groupe.
• Mettre en œuvre davantage de trans-versalité entre les entités au service de la feuille de route globale de la direction et des transforma-tions souhaitées.
Possibilité de créer des parcours de développement intégrant un programme de coaching collectif, enrichi de sessions de coaching individuel pour tout ou partie des membres de l’équipe.
• Formation intra entreprise sur demande
80 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Développement personnel
Améliorer sa posture, ses compétences métiers et appréhender/utiliser les dernières évolutions.
Coaching individuel « Métiers »
Parcours
1. Entretien préalable de cadrage.
2. Sessions de coaching (nombre à définir en début de parcours).
3. Entretien de clôture et bilan.
Mise en place d’une relation basée sur la confiance, la communication sincère et la confidentialité.
Cible
Tous collaborateurs ou dirigeants dans le cadre d’un besoin de développement/perfectionnement des compétences métiers et/ou d’amélioration de sa posture et/ou de la connaissance des dernières évolutions (digital, outils, meilleures pratiques).
Coachs
Nos coachs métiers sont très expérimentés et ont plaisir à accompagner les coachés dans leurs compétences opérationnelles et techniques métiers.
Modalités
• En présentiel et de préférence hors de l’entreprise (sessions de 1h30 à 3h maximum).
• En visio coaching pour un coaching bref et agile (aide à la décision, situation immédiate).
La forme et la durée seront à définir conjointement avec le commanditaire.
Possibilité de créer des parcours individuels ou collectifs mixant les développements métiers et le coaching « soft skills ».
Réussir ses 100 premiers jours de...
• DAF,• DRH,• Directeur de la
Stratégie,• DSI,• Directeur Contrôle
interne,• Directeur fiscal,• Directeur Digital,• Directeur Marketing,• Directeur commercial,• Directeur de la
Communication, etc.
Faire évoluer sa fonction de...
• DAF,• DRH,• Directeur de la
Stratégie,• DSI,• Directeur Contrôle
interne,• Directeur fiscal,• Directeur Digital,• Directeur Marketing,• Directeur commercial,• Directeur de la
Communication, etc.
Réf. : METIER • Formation intra entreprise sur demande
Développement personnel
Catalogue Deloitte Cyber Academy 2020 81
Catalogue Deloitte Formation 2019 81
Appréhender les comportements et compétences à acquérir pour accompagner les collaborateurs dans le cadre d’un coaching managérial. S’entraîner aux techniques d’entretien et de questionnement qui sont au cœur des séances d’accompagnement.
Appréhender les méthodes de coaching managérial
Public
Toute personne souhaitant s’initier aux méthodes de coaching managérial.
Animation
L’animateur de ce module de formation est expert en management et en conduite du changement. Il/elle a suivi le parcours HEC Executive Coaching.
Pré-requis
Aucun.
Programme
Jour 1
Le déroulement d’un accompagnement individuel.
Le rôle de l’accompagnateur.
Les techniques de communication.
L’écoute active.
Le questionnement.
La reformulation.
Le feedback.
Jour 2Le cadre de référence.
Exemples de grilles de lecture :• l’analyse transactionnelle,• l’approche systémique,• l’analyse des motivations.
Exercice de connaissance de soi.
Les situations apprenantes.
Situations apprenantes : exercice d’identification de situations.
Réf. : MANA • Formation intra entreprise sur demande
82 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Calendrier des formationsau premier semestre 2020
Ce planning est susceptible d’être complété ou modifié. Retrouvez les dates de nos sessions de formation en temps réel au 01 40 88 71 46.
Sécurité technique Janvier Février Mars Avril Mai Juin Juillet
Hacklihood (serious game) 20 26
CEH : Certified Ethical Hacker 16 au 20 22 au 26
CIH : Certififed Incident Handler 6 au 8
Techniques de hacking : fondamentaux 25 au 29
Techniques de hacking avancées
Test d'intrusion sur les réseaux WIFI 27 au 29
Python pour test d'intrusion
Essentiels techniques de la SSI
Fondamentaux techniques de la SSI 23 au 27
Lead SCADA Security Manager 9 au 13
Architectures réseaux sécurisées 27 au 29
Investigation numérique réseaux (network forensics) 3 au 5
Investigation numérique Web (Web forensics) 18 au 19
Investigation numérique Windows (Windows forensics) 15 au 17
Intégration d'un SOC 20 au 24
Sécurité des serveurs et applications Web
Durcissement sécurité Windows
Sécurité devOps pour les managers du SI
Dev Sec : développement sécurisé 23 au 27
Analyse des malwares : fondamentaux
Démarrage technique sur AWS 2
Architecture sur AWS - Niveau 1 16 au 18
Administration et support AWS 25 au 27
Cryptanalyse 10 au 12
Cryptograhie : approfondissement
29/06 au 3/07
Référentiels et méthodes Janvier Février Mars Avril Mai Juin Juillet
Agile Scrum Master 9 au 1023 au 24
6 au 720 au 21
5 au 619 au 20
2 au 323 au 24
14 au 1528 au 29
11 au 1225 au 26
9 au 1023 au 24
Itil v4 Foundation + Itil Practitioner 6 au 1020 au 24
3 au 717 au 21
6 au 1016 au 20
20 au 24 11 au 15
25 au 298 au 12
22 au 266 au 10
20 au 24
Prince2 Foundation + Prince2 Practitioner 13 au 17 10 au 14 9 au 13 6 au 10 11 au 15 8 au 12 20 au 24
Lean Six Sigma - Yellow Belt 13 au 17 24 au 28 6 au 10 25 au 29
TOGAF Foundation 13 au 15 23 au 25 8 au 10
30/03 au 3/04
29/06 au 3/07
Catalogue Deloitte Cyber Academy 2020 83
Sécurité juridique Janvier Février Mars Avril Mai Juin Juillet
Droit de la Sécurité des Systèmes d'Information (SSI) 1er au 3
RGPD : essentiel de la conformité 17 au 19 20 au 22 15 au 17Protection des données personnelles et RGPD – Conformité et mise en œuvre pratique
19 au 21 18 au 20 20 au 22 13 au 15 10 au 12
Certification DPO 24 au 28 6 au 10 25 au 29
Réaliser un PIA (étude d'impact sur la vie privée) 26 au 27
Protection des données de santé et vie privée 16 au 17
Continuité d'activité Janvier Février Mars Avril Mai Juin Juillet
Formation RPCA 9 au 13
ISO 22301 Lead Auditor
ISO 22301 Lead Implementer 11 au 15
Ce planning est susceptible d’être complété ou modifié. Retrouvez les dates de nos sessions de formation en temps réel au 01 40 88 71 46.
Sécurité organisationnelle Janvier Février Mars Avril Mai Juin Juillet
Formation CISSP, (ISC)² 2 au 6 11 au 15
Formation CCSP, (ISC)²
Formation RSSI 9 au 13 8 au 12
Formation CISA
Initiation au secret défense 18 au 19
Digitalisation et archivage électronique, Lead Manager
Gestion de crise IT/SSI 5
Encadrer un test d'intrusion 30 au 31
Fondamentaux ISO 27001 & ISO 27002 18 au 19
ISO 27001 Lead Auditor 22 au 26
ISO 27001 Lead Implementer 27 au 31 2 au 6 20 au 24 8 au 12
ISO 27005 Risk Manager 22 au 24 16 au 18 27 au 29 15 au 17
EBIOS Risk Manager 2018 23 au 25
Indicateurs et tableaux de bord SSI / ISO 27004
ISO 27032 Lead Cybersecurity Manager 10 au 14
ISO 27034 Lead Implementer 11 au 15
ISO 27035 Introduction
ISO 27035 Lead Incident Manager
ISO 31000 Risk Manager 15 au 17
29/06 au 3/07
29/06 au 3/07
30/03 au 3/04
84 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Calendrier des formationsau second semestre 2020
Ce planning est susceptible d’être complété ou modifié. Retrouvez les dates de nos sessions de formation en temps réel au 01 40 88 71 46.
Sécurité technique Août Septembre Octobre Novembre Décembre
Hacklihood (serious game) 2 27
CEH : Certified Ethical Hacker 16 au 20
CIH : Certififed Incident Handler 5 au 9
Techniques de hacking : fondamentaux 19 au 23
Techniques de hacking avancées 7 au 11
Test d'intrusion sur les réseaux WIFI 12 au 14
Python pour test d'intrusion 21 au 23
Essentiels techniques de la SSI 28 au 29
Fondamentaux techniques de la SSI 14 au 18
Lead SCADA Security Manager 12 au 16
Architectures réseaux sécurisées 26 au 28
Investigation numérique réseaux (network forensics) 2 au 4
Investigation numérique Web (Web forensics) 1er au 2
Investigation numérique Windows (Windows forensics) 2 au 4
Intégration d'un SOC 14 au 18
Sécurité des serveurs et applications Web
Durcissement sécurité Windows 16 au 19
Sécurité devOps pour les managers du SI 14 au 16
Dev Sec : développement sécurisé 26 au 30
Analyse des malwares : fondamentaux 23 au 25
Démarrage technique sur AWS 7
Architecture sur AWS - Niveau 1 5 au 7
Administration et support AWS 23 au 25
Cryptanalyse
Cryptograhie : approfondissement 18 au 20
30/11 au 4/12
Référentiels et méthodes Août Septembre Octobre Novembre Décembre
Agile Scrum Master20 au 21 10 au 11
17 au 181 au 2
15 au 1629 au 30
19 au 2026 au 27
10 au 11
Itil v4 Foundation + Itil Practitioner 17 au 217 au 11
14 au 1828 au 2/10
12 au 1626 au 30
16 au 2023 au 27 7 au 11
Prince2 Foundation + Prince2 Practitioner 24 au 28 7 au 1121 au 25 19 au 23 16 au 20 14 au 18
Lean Six Sigma - Yellow Belt 17 au 21 21 au 25 2 au 6 14 au 18
TOGAF Foundation 17 au 19 19 au 21
Catalogue Deloitte Cyber Academy 2020 85
Sécurité juridique Août Septembre Octobre Novembre Décembre
Droit de la Sécurité des Systèmes d'Information (SSI) 12 au 14
RGPD : essentiel de la conformité 28 au 30 2 au 4Protection des données personnelles et RGPD – Conformité et mise en œuvre pratique
16 au 18 14 au 16 18 au 20
Certification DPO 7 au 11 26 au 30 7 au 11
Réaliser un PIA (étude d'impact sur la vie privée) 5 au 6
Protection des données de santé et vie privée 16 au 17
Continuité d'activité Août Septembre Octobre Novembre Décembre
Formation RPCA 12 au 16
ISO 22301 Lead Auditor 21 au 25
ISO 22301 Lead Implementer 23 au 27
Ce planning est susceptible d’être complété ou modifié. Retrouvez les dates de nos sessions de formation en temps réel au 01 40 88 71 46.
Sécurité organisationnelle Août Septembre Octobre Novembre Décembre
Formation CISSP, (ISC)² 21 au 25 2 au 6 14 au 18
Formation CCSP, (ISC)² 12 au 16
Formation RSSI 21 au 25 23 au 27
Formation CISA 5 au 9
Initiation au secret défense 19 au 20
Digitalisation et archivage électronique, Lead Manager 19 au 23
Gestion de crise IT/SSI 1er
Encadrer un test d'intrusion 28 au 29
Fondamentaux ISO 27001 & ISO 27002 2 au 3
ISO 27001 Lead Auditor 14 au 18 26 au 30 7 au 11
ISO 27001 Lead Implementer 7 au 11 19 au 23 14 au 18
ISO 27005 Risk Manager 28 au 30 4 au 6 2 au 4
EBIOS Risk Manager 2018 5 au 7
Indicateurs et tableaux de bord SSI / ISO 27004 30
ISO 27032 Lead Cybersecurity Manager
ISO 27034 Lead Implementer
ISO 27035 Introduction 1er
ISO 27035 Lead Incident Manager 16 au 20
ISO 31000 Risk Manager
86 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Le compte personnel de formation
Qu’est-ce que le CPF ?
Qui peut bénéficier du CPF ?
Quelles sont les démarches pour une formation CPF ?
Comment fonctionne le CPF ?
Quelles sont les formations éligibles au CPF ?
Quelles sont les étapes pour mobiliser son CPF ?
Le Compte Personnel de Formation existe depuis le 1er janvier 2015 et a remplacé le DIF (Droit Individuel à la Formation). Ce compte permet de cumuler des euros qui seront utilisés pour financer une formation professionnelle éligible au CPF.
• Salariés du droit privé• Agents de la fonction publique• Travailleurs non-salariés• Actif en intérim (actif de 16 ans au moins)• Actif en CDD (actif de 16 ans au moins)• Alternants et apprentis
• Formation CPF hors temps de travail : vous n’êtes pas obligé d’informer votre employeur et n’avez pas besoin de son autorisation.
• Formation CPF sur temps de travail : vous devez faire une demande auprès de votre employeur au moins 60 jours avant le début de la formation si la durée de la formation est inferieur 6 mois et au moins 120 jours avant si la durée de la formation excède 6 mois.
Vous pouvez trouver l’intégralité des formations éligibles au CPF sur le site https://www.moncompteactivite.gouv.fr/ dans la rubrique « Espace professionnel » puis « Listes de certifications éligibles ».Nos formations : EBIOS Risk Manager, ISO 27005 Risk Manager, ISO 27001 Lead Implementer, ISO 27001 Lead Auditor, ISO 22301 Lead Implementer, ISO 22301 Lead Auditor.
1. Rendez-vous sur https://www.moncompteactivite.gouv.fr/2. Pour connaître le nom de votre OpCo, renseignez-vous auprès de votre service RH.
Attention : 2019 étant une année de transition pour la formation professionnelle, le nom de votre OPCA est nécessaire.
3. Choisissez votre formation éligible au CPF et contactez l’organisme de formation.4. L’organisme de formation vous retourne un devis selon vos souhaits de formation.5. Ouvrez un dossier de formation sur votre compte CPF. Un numéro d’identifiant vous sera
attribué, gardez-le précieusement.6. Transmettez le devis à votre entreprise ou OpCo selon votre prise en charge. Vous pourrez
indiquer votre numéro d’identifiant à votre employeur, ou au cas échéant à votre OpCo.
Depuis le 1er Janvier 2019, le CPF se crédite en euros à raison de 500€/an (montant total plafonné à 5 000€) et 800€/an pour les actifs n’ayant pas un niveau V de qualifica-tion (plafonnement à 8 000€). Les heures accumulées avant 2019 sont automatiquement converties à raison de 15€ TTC/heure (soit 12,5€ HT/heure).Le CPF est alimenté au prorata des heures travaillées.
Bulletin de pré-inscription
RESPONSABLE FORMATION
Nom et prénom : ..................................................................................................................................................................................................................................................................................................................................................................................................
Fonction : ...................................................................................................................................................................... Société : ........................................................................................................................................................................................................................
Adresse : ............................................................................................................................................................................................................................................................................................................................................................................................................................
...........................................................................................................................................................................................................................................................................................................................................................................................................................................................
Code postal : ......................................................................................................................................................... Ville : ..................................................................................................................................................................................................................................
Tél. : ..................................................................................................................................................................................... Fax : ...................................................................................................................................................................................................................................
Courriel : ............................................................................................................................................................................................................................................................................................................................................................................................................................
Souhaite inscrire la ou les personne(s) suivante(s) au(x) stage(s) mentionné(s) :
Nom et prénom : ..................................................................................................................................................................................................................................................................................................................................................................................................
Fonction : ............................................................................................................................................................................................................................................................................................................................................................................................................................
Tél. : ................................................................................................................... Fax : ................................................................................................................. Courriel : .....................................................................................................................................................
Intitulé de la formation choisie : ....................................................................................................................................................................................................................................................................................................................................................
Date de session : ...................................................................................................................................................................................................................................................................................................................................................................................................
Pour les formations certifiantes, présentation à l'examen : oui non
Nom et prénom : ..................................................................................................................................................................................................................................................................................................................................................................................................
Fonction : ..........................................................................................................................................................................................................................................................................................................................................................................................................................
Tél. : ................................................................................................................... Fax : ................................................................................................................. Courriel : .....................................................................................................................................................
Intitulé de la formation choisie : ....................................................................................................................................................................................................................................................................................................................................................
Date de session : ...................................................................................................................................................................................................................................................................................................................................................................................................
Pour les formations certifiantes, présentation à l'examen : oui non
Nom et prénom : ..................................................................................................................................................................................................................................................................................................................................................................................................
Fonction : ............................................................................................................................................................................................................................................................................................................................................................................................................................
Tél. : ............................................................................................... Fax : ................................................................................................................. Courriel : .....................................................................................................................................................
Intitulé de la formation choisie : ....................................................................................................................................................................................................................................................................................................................................................
Date de session : ...................................................................................................................................................................................................................................................................................................................................................................................................
ADRESSE DE FACTURATION (SI DIFFÉRENTE)
Société : ..............................................................................................................................................................................................................................................................................................................................................................................................................................
Adresse : ............................................................................................................................................................................................................................................................................................................................................................................................................................
...........................................................................................................................................................................................................................................................................................................................................................................................................................................................
Code postal : ......................................................................................................................................................... Ville : ..................................................................................................................................................................................................................................
Nom du correspondant : .................................................................................................................... Tél. : .....................................................................................................................................................................................................................................
Courriel : ............................................................................................................................................................................................................................................................................................................................................................................................................................
Date : Cachet et signature de l’employeur :
Merci de retourner ce bulletin à : Deloitte Cyber Academy Formation - 6, place de la Pyramide – 92800 Puteaux-Paris La Défense Par courriel à : [email protected]
Conformément à l’article 13 du Règlement 2016/679 du 27 avril 2016 et relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD), nous vous informons que les données collectées par ce bulletin de pré-inscription sont appelées à faire l’objet d’un traitement de données à caractère personnel à des fins de gestion administrative, financière et commerciale de nos formations. Le responsable de traitement est HSC filiale Deloitte dont le siège social se situe 6 place de la Pyramide, 92908 Paris La Défense. Ce traitement est nécessaire aux fins des intérêts légitimes poursuivis par Deloitte, en tant qu’organisme de formation, de recueillir ces informations logistiques permettant la gestion administrative, financière et commerciale de nos formations. Vos données sont conservées jusqu’à l’envoi d’un devis pour l’une des formations d’HSC filiale Deloitte. Ces données sont transmises et traitées par le service formation de Deloitte. Vous disposez d’un droit d’accès, de rectification, d’effacement, d’opposition et de limitation pour les données qui vous concernent. Nous vous informons par ailleurs que vous pouvez définir des directives relatives au sort de vos données après votre décès, conformément à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Pour exercer vos droits, vous pouvez nous contacter à l’adresse suivante : [email protected]. Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL), 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07. Numéro de déclaration d’activité en tant qu’organisme de formation : 11921448592
Modalités pratiques d’organisation :
• Formations dispensées dans nos locaux à La Défense au 6, place de la Pyramide, La Défense 9 – 92800 Puteaux-Paris La Défense
• Accueil café – viennoiseries tous les jours. Déjeuners pris en commun offerts.
Pour plus d’information, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Catalogue Deloitte Cyber Academy 2020 87
88 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Modalités d’inscription
Pour toute inscription aux formations HSC (une entité du réseau Deloitte), vous devez nous transmettre par courriel à [email protected] ou par téléphone au 01 40 88 71 46 : les noms et prénoms du ou des participants, la ou les sessions de formation choisies, l'adresse postale de votre société et votre numéro de TVA intracommunautaire. Ces renseignements nous permettront d’établir une convention de formation.
Cette convention de formation devra nous être retournée tamponnée, signée et accompagnée d’un bon de commande de votre organisme. Le bon de commande devra indiquer votre adresse de facturation et le respect de nos conditions de règlement : il devra également être tamponné et signé par l’autorité compétente. La facture sera établie à la fin de la formation. L’inscription sera confirmée dès réception de ces documents. Une convocation sera envoyée par mail deux semaines avant le début de la formation, accompagnée de notre règlement intérieur.
HSC (une entité du réseau Deloitte) est enregistré comme centre de formation sous le n°11921448592 auprès du préfet de la région Île-de-France.
Si le client souhaite effectuer une demande de prise en charge par l'OPCA dont il dépend, il lui appartient :• de faire une demande de prise en charge dans les délais requis et
de s’assurer de la bonne fin de cette demande ;
• de l’indiquer explicitement au moment de l’inscription.
Si l’acceptation de la prise en charge OPCA n’est pas arrivée chez Deloitte Cyber Academy (HSC) au plus tard une semaine avant le début de la formation, la demande de subrogation ne pourra être prise en compte par Deloitte Cyber Academy (HSC). Le client aura alors la possibilité :
• soit d’annuler ou de reporter l’inscription ;
• soit de produire, avant la formation, un bon de commande en bonne et due forme par lequel il s’engage à régler le coût de la formation à Deloitte Cyber Academy (HSC).
Nos formations sont principalement dispensées à Paris La Défense.
Certaines de nos formations peuvent être dispensées en intra entreprise sous conditions (nous consulter).
Vos contacts formation :
• Emilie Bozzolo, [email protected], +33 (0)7 72 88 28 28, +33 (0)1 40 88 71 46
• Brice Brindejonc, [email protected], +33 (0)1 40 88 75 51
• Léa Wagner, [email protected], +33 (0)1 55 61 68 64
Catalogue Deloitte Cyber Academy 2020 89
Sécurité technique Conditions Générales de Ventes
1. Objet et dispositions générales Les présentes conditions générales de vente s’appliquent aux commandes de formation interentreprises passées auprès de la société HSC (une entité du réseau Deloitte). Cela implique l’acceptation sans réserve par l’acheteur et son adhésion pleine et entière aux présentes conditions générales de vente et prévalent sur toutes conditions générales d’achat. Deloitte Cyber Academy (HSC) informe du niveau requis pour suivre les stages qu'elle propose. Il appartient au client d’évaluer ses besoins et de vérifier si ses collabo-rateurs ont le niveau de pré-requis attendu pour suivre les formations Deloitte Cyber Academy (HSC).
2. Inscription L'inscription à un stage ne devient effective qu'après réception par nos services d'un bon de commande et de la convention de formation ou du devis, dûment renseigné et portant le cachet du client. Pour les formations en régions et à l'étranger, les documents devront parvenir à HSC 15 jours avant le début de la formation.
Deloitte Cyber Academy (HSC) adressera par courriel, deux semaines avant le début de la formation, une convocation récapitulant les détails pratiques : date, lieu, horaires et accès, aux contacts indiqués dans les documents d’inscription. HSC filiale Deloitte ne peut être tenu responsable de la non-réception de la convocation quels qu’en soient le ou les destinataire(s) chez le client, notamment en cas d’absence du ou des stagiaires à la formation. A l’issue de la formation, une attesta-tion individuelle de stage sera adressée par courrier, accompagnée de la facture correspondante.
Une commande n'est valable qu'après acceptation par HSC filiale Deloitte sous huitaine. Toute modification ultérieure apportée par le client devra faire l’objet d’un accord écrit de la part de HSC filiale Deloitte.
3. Modification, annulation et reportToute annulation ou report d’inscription doit être signalé par téléphone et confirmé par écrit à HSC filiale Deloitte. Pour les formations proposées en régions, à l'étranger ou hors de nos locaux (à Paris ou en région parisienne), si l'annulation ou le report intervient dans les trente jours ouvrés précédant le début de la formation, HSC filiale Deloitte facturera la totalité de la formation.
Pour les formations proposées dans nos locaux de La Défense (92), si le report ou l’annulation intervient :• dans les 30 jours ouvrés précédant le début de la formation,
HSC filiale Deloitte facturera à hauteur de 50% du coût total de la formation ;
• dans les 15 jours ouvrés précédant le début de la formation, HSC filiale Deloitte facturera la formation en totalité.
Toutefois, lorsqu'un participant ne peut pas assister à une formation à laquelle il est inscrit, il peut être remplacé par un collaborateur de la même entreprise.
Le nom et les coordonnées de ce nouveau participant doivent être confirmés par écrit à HSC filiale Deloitte. En cas d'absence du stagiaire pour un cas de force majeure communément admis par les tribunaux, à titre exceptionnel et après validation de caractère de force majeure de la situation, HSC filiale Deloitte accepte que le client puisse, dans les 12 mois maximum suivant son absence, choisir une date future pour la même formation.
HSC filiale Deloitte se réserve le droit d'annuler ou de reporter sans indemnités une formation, si le nombre de participants n'est pas suffisant ou en cas de force majeure. Le client peut alors choisir une autre date dans le calendrier des formations. HSC filiale Deloitte ne pourra être tenu responsable des frais ou dommages consécutifs à l'annulation d'un stage ou à un report à une date ultérieure.
4. Tarifs – FacturationLes frais de participation comprennent : la participation à la formation, les supports de cours et les pauses café. Les déjeuners sont offerts par HSC filiale Deloitte. Toute formation commencée est due en totalité.
La facture est établie à l’issue de la formation.
L’échéance est mentionnée en clair sur la facture. Tout défaut de paiement (en tout ou en partie) par le client à l’échéance et ce, sauf report sollicité par le client et accordé par HSC filiale Deloitte de manière formelle, entraînera automatiquement, sans qu'aucun rappel ne soit nécessaire et dès le jour suivant la date de règlement figurant sur la facture, l'application de pénalités de retard fixées à trois fois le taux d'intérêt légal. HSC filiale Deloitte pourra également exiger le paiement de l'indemnité forfaitaire pour frais de recouvrement, d’un montant de quarante (40) euros, ainsi que, le cas échéant, le paiement d’une indemnisation complémentaire, sur justification.
Prise en charge par un OPCA : Si le client souhaite effectuer une demande de prise en charge par l’OPCA dont il dépend, il lui appartient :• de faire une demande de prise en charge dans les délais requis et
de s’assurer de la bonne fin de cette demande ;• de l’indiquer explicitement au moment de l’inscription.
Si l’acceptation de la prise en charge OPCA n’est pas arrivée chez HSC filiale Deloitte au plus tard une semaine avant le début de la formation, la demande de subrogation ne pourra être prise en compte par HSC filiale Deloitte. Le client aura alors la possibilité :• soit d’annuler ou reporter l’inscription, • soit de produire, avant la formation, un bon de commande en bonne
et due forme par lequel il s’engage à régler le coût de la formation à HSC filiale Deloitte.
5. Propriété intellectuelleChaque formation comprend la fourniture de documentation destinée à l'usage interne du client. Toute reproduction, modification ou divulgation à des tiers de tout ou partie des supports de formation ou documents, sous quelque forme que ce soit, est interdite sans l'accord préalable écrit de HSC filiale Deloitte.
6. Arbitrage en cas de litigeLes présentes conditions générales de vente sont régies par les lois françaises. Tout litige découlant de leur interprétation ou de leur application ressort de la compétence exclusive des tribunaux des Hauts-de-Seine (92).
90 Pour plus d'informations, contactez le service formation par téléphone au 01 40 88 71 46 ou par courriel à [email protected]
Notes
Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche Tohmatsu Limited (« DTTL »), son réseau mondial de cabinets membres et leurs entités liées. DTTL (également appelé « Deloitte Global ») et chacun de ses cabinets membres sont des entités indépendantes et juridiquement distinctes. DTTL ne fournit pas de services à des clients. Pour en savoir plus : www.deloitte.com/about. En France, Deloitte SAS est le cabinet membre de Deloitte Touche Tohmatsu Limited, et les services professionnels sont rendus par ses filiales et ses affiliés.
Deloitte6, place de la Pyramide – 92908 Paris-La Défense Cedex
© Octobre 2019 Deloitte SAS – Membre de Deloitte Touche Tohmatsu Limited Tous droits réservés – Studio Design France
Top Related