Formation

{: .fr .myCard .myTblImg} Nous vous proposons des cursus de formation inter ou intra-entreprise. Certaines formations peuvent être montées sur mesure (des évènements ou des sensibilisations sont également proposés). Les thèmes couverts sont ceux de l'ISO 27001 et 27002 étendus aux systèmes électroniques ou embarqués. G-echo est enregistré en tant qu'organisme de formation: > **Organisme de formation référence 73310795531** Pour vous délivrer les meilleures formations, G-echo est partenaire [HS2](https://www.hs2.fr/). Certaines formations sont par ailleurs certifiantes, [en partenariat avec LSTI](http://lsti.fr/). {: style="float:right;max-width:300px;max-height:200px;"} ## Interview Hervé SCHAUER sur la gestion des risques ### Pourquoi suivre une formation en gestion de risques en sécurité de l'information ? {: style="float:right;max-width:300px;max-height:200px;"} Une fois que les bonnes pratiques ont été appliquées, la sécurité des systèmes d'information, ainsi que la vie privée ou la continuité d'activité, ont besoin d'être ajustées aux besoins et au contexte de chaque organisme. Partant de ce constat, les experts en sécurité ont placé la gestion des risques au coeur des processus de gestion de la sécurité, de la vie privée, et de la continuité. Aujourd'hui SMSI, homologations, SMCA et RGPD sont basés par une approche sur le risque, de même que de nombreuses certifications (ISO27001, HDS, PCI-DSS, ISO22301, etc). La gestion des risques reste pourtant une démarche peu évidente et qui conditionne souvent la réussite du système de management ou du projet associé. Quelle formation en gestion de risque ? > [ISO 27005 Risk Manager]() Méthodologie d'appréciation des risques reconnue internationalement, et conforme à la démarche ISO31000 en l'appliquant à la sécurité de l'information. ISO 27005 vise la gestion des risques dans le temps, dans la durée. Elle est préconisée pour toute appréciation des risques dans le cadre d'un SMSI. Elle peut être également utilisée pour l'appréciation des risques imposée en plus du BIA (Business Impact Analysis) dans un SMCA. ISO 27005 s'applique sur un système existant. Cette formation fait l'objet d'une certification "ISO27005 Risk Manager" par LSTI. > [Réaliser un PIA (Privacy Impact Assesment) ou Etude d'Impact sur la Vie Privée (EIVP)]() Méthodologie avec une approche pragmatique inspirée des guides CNIL pour répondre à l'exigence du RGPD et permettre de prouver sa conformité (accountability). Le PIA analyse les conséquences affectant les personnes dont l'organisme détient les données. Cette formation fait l'objet d'une certification "Privacy Impact Assessor" par HS2. > [Ebios 2010 Risk Manager]() Méthodologie d'appréciation des risques phare en France. Ebios est préconisée pour toute appréciation des risques en lien avec les référentiels de l'administration (RGS, SIIV (OIV), PIA). Elle est également préconisée pour toute appréciation des risques orientée projet et permet d'étudier les risques d'un système à construire. Cette formation fait l'objet d'une certification "Ebios 2010 Risk Manager" par LSTI. > Ebios 2018 Risk Manager Nouvelle méthodologie d'appréciation des risques de l'ANSSI, qui vise à remplacer Ebios 2010 et ses cas d'usage. Cette version apporte de nombreuses nuances par rapport à la précédente et se veut plus accessible. Ainsi, elle se combine avec une démarche conformité afin de se focaliser sur un panel réduit de risques tout en approfondissant davantage ceux-ci et en reprenant le niveau de détail qu'offrait Ebios v2. Cette version met également l'accent sur les risques liés aux parties prenantes et à l'externalisation. Elle est préconisée par l'ANSSI pour les appréciations des risques orientés projet et SMSI. Le référentiel ayant été publié en octobre 2018, cette formation ne fait pas encore l'objet d'une certification. ### Comment vous situez-vous vis-à-vis des autres méthodes existantes ? Il existe de nombreux référentiels de gestion de risques dont les plus courants sont : - [ISO 31000 Management du risque](https://www.iso.org/fr/standard/65694.html), - [ISO 27005 Management du risque pour la sécurité de l'information](https://www.iso.org/fr/standard/75281.html), - [ISO 29134 Evaluation d'impacts sur la vie privée](https://www.iso.org/fr/standard/62289.html), - [Ebios 2010](https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/), - [FAIR Factor Analysis of Information](https://publications.opengroup.org/c13g Risk), - [NIST SP-800-30 Risk Assesment Framework](https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-30r1.pdf), - [NIST SP800-37 Guide for applying the Risk Management Framework to Federal Information Systems](https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-39.pdf), - [NISR SP800-39 Managing Information Security Risk](ttps://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-39.pdf), - [NIST SP800-53 Security and Privacy Control for Federal Information Systems and Organisations](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf), - [Octave](https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=8419), - [IRAM2](https://www.securityforum.org/tool/information-risk-assessment-methodology-ira+m2/), - [Mehari](https://clusif.fr/mehari/), - [BSI IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzDownloads/itgrundschutzDownloads_node.html), - [Risk-IT (ISACA)](https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/The-Risk-IT-Framework.aspx), - [BSI-Standard 200-3](https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard203/ITGStandard203_node.html). {: class="encadree fr ombre"} Derrière des concepts communs, la plupart de ces méthodes ont évolué en s'inspirant les unes des autres tout en conservant quelques particularités. Les formations se concentrent sur une méthode mais pourront faire référence aux autres au besoin. Le nombre de certificats ISO27005 émis par LSTI est beaucoup plus important que ceux sur Ebios. HS2 forme indifféramment aux méthodes ISO27005 et Ebios, ainsi qu'au PIA. C'est à chacun de sélectionner la méthode qui répond à son contexte.

[](){: class="encadree ombre fl"}

Juridique

Droit et numérique

Nous nous appuyons sur un réseau de partenaires pour vous apporter l'expertise juridique adaptée. Ces prestations se font à travers des tickets de service qui permettent de contacter un support juridique à l'heure ou sur des sujets forfaitaires (établissement de documents, chartes, contrats, ...).

Formations

[](<{filename}/RH/Recrutement/Recrutement.md>){: class="ombre encadree fl"}

Recrutement

Nos prestations : * **Chasse et recrutement**, * Qualification de compétences et de savoir être, * Validation du parcours professionnel (Background Check). La démarche globale est en partie **calquée sur la démarche d'analyse de risques** : * Dans un premier temps, nous arrêtons avec vous une liste des 7 à 10 critères importants dans votre recrutement. * Pour chacun de ces critères, une pondération permet de qualifier son importance. * La somme des critères * pondération permet ensuite de suivre avec une note unique le positionnement de chaque candidat. Nous obtenons ainsi un tableau contenant nos critères de pilotage pour la démarche de recrutement. Notre **process de recrutement** se déroule ensuite en **4 étapes** : - Démarrage : établissement des critères de pilotage, - Phase 1 : Réalisation d'une fiche de poste, annonces et communication dans nos réseaux, utilisation de moyens de communication supplémentaires si nécessaire, approches directes si sélectionné, réalisation d'une shortlist sur la base des interviews au téléphone, - Phase 2-1 : Tests (techniques, psycho-techniques, langues, ...) et RDV avec nos consultants. A l'issue, un podium de 3 à 4 candidats vous est idéalement proposé, - Phase 2-2 : RDV avec 2 à 3 candidats en shortlist et décision finale après confrontation des résultats, - Phase 3 : phase de garantie et d'accompagnement. En option, nous proposons de compléter le recrutement avec des prestations de consultants expert sur le contrôle de références (background check), la formation, l'écriture de chartes et contrats, ...)

Formations

[](){: class="encadree ombre fl"} [](download/Formations.pdf){: class="encadree ombre fr"}