Cours 8 : La maturation de la gestion des risques En termes de sciences de gestion, la maturation d'un processus ou d'une pratique consiste à prendre des mesures positives au fil du temps pour le rendre plus fiable, plus reproductible et plus efficace. En pratique, cela signifie qu'il faut s'améliorer chaque jour, tout en montrant les mesures qui démontrent l'amélioration et suggèrent d'autres possibilités d'amélioration. Comme nous l'avons vu dans les chapitres 1 et 2, la gestion des risques pour les organisations à forte intensité d'information fonctionne mieux lorsque l'on utilise un raisonnement fondé sur des preuves pour identifier, caractériser et prendre les mesures nécessaires pour résoudre les problèmes. Le huitième cours regroupera de nombreux thèmes intrinsèquement liés à la gestion des risques associés aux systèmes d'information. Nous savons également que la cyberattaque est un risque pour toutes les organisations. Dans ce cours, nous nous attacherons à rassembler ces idées dans un contexte de modélisation, de mesure et de contrôle continus de la maturité. L'alignement des risques fonctionne mieux au niveau de la planification stratégique à long terme. En revanche, la maturation des risques peut être plus efficace lorsqu'elle est prise en compte dans les activités quotidiennes de l'entreprise. C'est ce que l'on appelle parfois l'opérationnalisation de l'approche de la gestion et de la maturation des risques. L'opérationnalisation de la gestion des risques nous demande de prendre les modèles de cycle de vie des systèmes, des logiciels et des données et de les relier ou de les faire pivoter autour des opérations de l'entreprise. Nous adopterons le point de vue des travailleurs qui utilisent la logique commerciale et les systèmes ou des personnes qui supervisent la robotique et l'internet des objets dans l'usine ou l'entrepôt et nous verrons comment chacune des différentes disciplines de sécurité leur apporte quelque chose. Ce cours comporte cinq modules. Le premier module porte sur la gestion du changement et révèle comment ce processus détaillé et administrativement intense joue un rôle primordial dans la protection des systèmes d'information. Nous examinerons également ses contributions vitales à la réponse aux incidents et à la remédiation. Le deuxième module montre comment les principes de conception de la sécurité physique sont utilisés pour surveiller et contrôler le flux d'objets physiques entrant et sortant de différentes zones de sécurité. Ce module examine également les effets opérationnels de la planification et de la préparation de la sécurité sur les personnes et les biens, ainsi que sur la disponibilité et l'intégrité des systèmes et des informations. Le troisième module propose une attitude et un état d'esprit différents en ce qui concerne l'autonomisation et l'habilitation des personnes au sein de l'organisation afin qu'elles deviennent des contributeurs et des promoteurs plus efficaces de la sécurité de l'information. Les programmes de formation à la sécurité n'ont pas réussi à aider les personnes à accomplir leur travail en toute sécurité. De nouveaux concepts tels que le micro-chaînage démontrent que l'éducation et la sensibilisation à la sécurité peuvent ajouter de la valeur au processus de sécurité. Le module quatre nous montre que l'évaluation de la sécurité des systèmes doit être une tâche permanente. La sécurité a toujours impliqué une vigilance et une intégrité permanentes. Les audits formels et informels démontrent l'efficacité des contrôles de sécurité d'une organisation. Les audits formels et informels démontrent l'efficacité des contrôles de sécurité d'une organisation, et le processus de maturation de ces contrôles permet d'en améliorer les performances. Le cinquième module rassemble un grand nombre de ces idées et concepts dans le cadre de la planification de la continuité des activités et de la reprise après sinistre. L'accent sera mis sur le soutien opérationnel de ces tâches, tant au niveau de la planification que de l'exécution. Nous avons préparé les bases pour que vous puissiez intégrer les concepts abordés jusqu'à présent dans un contexte opérationnel quotidien cohérent.
Maturité de la gestion des risques
Ce cours fait partie de praticien certifié en sécurité des systèmes (ISC)² (SSCP)
Enseigné en Anglais
Certains éléments de contenu peuvent ne pas être traduits
Instructeur : (ISC)² Education & Training
3 850 déjà inscrits
Cours
(51 avis)
Expérience recommandée
Compétences que vous acquerrez
- Catégorie : Gestion des risques
Détails à connaître
Ajouter à votre profil LinkedIn
12 quizzes
Cours
(51 avis)
Expérience recommandée
Découvrez comment les employés des entreprises prestigieuses maîtrisent des compétences recherchées
Élaborez votre expertise du sujet
- Apprenez de nouveaux concepts auprès d'experts du secteur
- Acquérez une compréhension de base d'un sujet ou d'un outil
- Développez des compétences professionnelles avec des projets pratiques
- Obtenez un certificat professionnel partageable
Obtenez un certificat professionnel
Ajoutez cette qualification à votre profil LinkedIn ou à votre CV
Partagez-le sur les réseaux sociaux et dans votre évaluation de performance
Il y a 6 modules dans ce cours
Une fonction importante du service informatique est de maintenir les systèmes d'information et de les mettre à niveau, de les améliorer et de les réviser si nécessaire. Les systèmes d'information sont soumis à de nombreux changements et modifications en raison de correctifs, de nouvelles technologies ou fonctionnalités, de la correction d'erreurs de processus ou de défaillances du système. Le service informatique doit être en mesure de gérer le changement afin de soutenir les activités de l'entreprise et de garantir la sécurité des systèmes.le problème est que le changement représente un risque important pour l'organisation. En raison des changements, les systèmes peuvent tomber en panne, des fonctionnalités peuvent être perdues, des failles de sécurité peuvent être introduites et l'intégrité des données peut être compromise. Il est donc nécessaire d'élaborer et de mettre en œuvre un processus de gestion du changement qui implique la documentation, le test et l'approbation de tous les changements - et qui permet ainsi d'éviter toute interruption de l'activité.
Inclus
5 vidéos4 lectures1 quiz
La sécurité physique et environnementale relève souvent de la responsabilité de services autres que l'informatique, tels que le service de sécurité physique ou le groupe de gestion des installations. Ces départements jouent un rôle important dans la fourniture d'informations fiables et résistantes à d'autres secteurs de l'organisation, y compris l'informatique. Le professionnel de la sécurité peut être amené à travailler avec ces autres départements pour s'assurer que les systèmes d'information bénéficient d'une alimentation électrique, d'une protection contre les incendies, d'une sécurité d'accès physique, d'une surveillance et d'une protection contre les menaces telles que le vol, le vandalisme et les catastrophes naturelles.on peut même dire que la sécurité physique devrait être plus prioritaire que la plupart des autres formes de sécurité telles que les mots de passe, les pare-feu et les procédures. Si un adversaire peut accéder physiquement à une salle de serveurs, il peut contourner toutes les autres formes de contrôle et les défenses de sécurité. Un adversaire dans une salle de serveurs ou un placard de câblage peut installer un dispositif sans fil ou un renifleur, couper ou réacheminer des câbles ou désactiver des équipements, entre autres choses.
Inclus
7 vidéos8 lectures2 quizzes
L'expérience montre qu'il est relativement facile d'établir et de maintenir un programme d'éducation, de sensibilisation et de formation à la sécurité pour presque toutes les organisations. La difficulté d'un tel programme est d'en démontrer l'efficacité de manière mesurable.deux conflits majeurs se présentent lorsque l'équipe de sécurité tente de s'engager auprès des utilisateurs finaux dans leur ensemble. Le premier est enraciné dans la perception que les mesures de sécurité coûtent à l'utilisateur final du temps et des efforts pour s'y conformer. Selon ce point de vue, le travail pourrait être effectué beaucoup plus rapidement et facilement s'il n'était pas nécessaire de franchir sans cesse tous ces obstacles supplémentaires en matière de sécurité. La seconde reflète la perception qu'ont les utilisateurs que la plupart des formations à la sécurité sont une perte de temps supplémentaire. Ces deux perceptions s'opposent à l'adoption effective des contrôles de sécurité par les utilisateurs finaux et les dissuadent de prendre la responsabilité de leur propre apprentissage et donc de tirer le meilleur parti possible de la formation qui leur est dispensée.comme pour le contrôle d'accès et la gestion des identités, il est peut-être plus que temps d'introduire une bonne dose d'apprentissage juste à temps dans le domaine de la sécurité. Les consultants en formation à la sécurité et les entreprises spécialisées ont considérablement modifié leur approche pour aider les utilisateurs à apprendre ce dont ils ont besoin et quand ils en ont besoin.la microformation, par exemple, décompose l'expérience de formation en étapes qui peuvent durer moins d'une minute. Pendant cette minute, la microformation engage l'apprenant-utilisateur, lui fait faire des actions liées à la façon dont il effectue son travail normal, mais est structurée comme faisant partie du processus d'enseignement et d'apprentissage.la mesure de l'efficacité d'un programme de formation a également souffert d'un manque d'innovation et de maturation. Cela peut changer. Les outils de modélisation et d'analyse du comportement des utilisateurs peuvent recueillir des données qui mettent en évidence le moment où des utilisateurs individuels ou des groupes d'utilisateurs ont besoin d'opportunités spécifiques de remise à niveau.voyons comment de telles idées peuvent être mises en pratique et comment nous pouvons évaluer leur efficacité
Inclus
3 vidéos1 lecture3 quizzes
L'évaluation de la sécurité permet de déterminer si les contrôles mis en œuvre pour réduire les risques ont été mis en œuvre comme prévu, s'ils fonctionnent comme prévu et s'ils permettent d'obtenir le résultat escompté.cette assurance peut résulter de l'évaluation de l'environnement de contrôle par des organismes extérieurs ou de mesures prises par l'organisation elle-même pour évaluer la performance des contrôles.l'évaluation de la sécurité s'effectue par le biais d'inspections, d'audits et de tests.en outre, les résultats des enquêtes sur les anomalies et les incidents de sécurité peuvent également fournir des informations précieuses dans le cadre d'un processus d'évaluation de la sécurité.les processus d'évaluation et de test doivent être réalisés de manière cohérente et les résultats doivent être communiqués de manière appropriée afin que la direction de l'organisation comprenne les risques auxquels elle est confrontée.les audits de sécurité ou de contrôle sont des évaluations formelles qui sont normalement effectuées pour garantir aux évaluateurs externes que les contrôles d'une organisation répondent aux attentes en matière de conformité.en fin de compte, les résultats des activités d'audit, d'évaluation et de test permettront à l'organisation d'identifier les lacunes et les inefficacités en matière de contrôle.ces informations serviront de point de départ à des activités d'amélioration continue des processus.le professionnel de la sécurité doit connaître les stratégies, les techniques et les processus qui permettent de définir, d'évaluer et d'améliorer les attentes de l'organisation en matière de contrôle.il doit être en mesure d'expliquer le flux de base des activités d'audit et d'évaluation et de décrire les outils et les artefacts qui soutiennent la prise de décision fondée sur les données.collectivement, ces informations devraient permettre au professionnel de la sécurité de développer un programme d'évaluation adapté à l'organisation.il est tentant de penser qu'une grande partie de la charge d'évaluation et de test de la sécurité a lieu pendant la phase de développement du cycle de vie d'un système logiciel majeur. Deux facteurs, cependant, nous montrent que ce serait une hypothèse peu judicieuse et peu sûre pour les professionnels de la sécurité ou les propriétaires de systèmes.le premier est que de nombreux systèmes sont remis aux utilisateurs opérationnels alors que les tests fonctionnels effectués sont inadéquats. L'expérience montre que de nombreux projets de développement de systèmes prennent du retard, et comme ce sont les dernières tâches du calendrier qui subissent la pression des économies, les tests sont souvent précipités, abrégés ou ignorés.d'autre part, de nombreux systèmes commerciaux sont développés avec une vision moins solide des besoins en matière de sécurité, de sûreté, de résilience et de protection des données que ce qui est nécessaire pour se défendre contre les menaces sophistiquées d'aujourd'hui.ces deux facteurs signifient que de nombreuses organisations échouent aujourd'hui aux évaluations de sécurité, aux audits et aux examens de conformité ou ne parviennent pas à gagner de nouvelles opportunités commerciales, en raison de l'élaboration de leurs processus commerciaux à partir d'une base de logiciels et de systèmes non sécurisés.cela signifie également que les professionnels de la sécurité sont souvent confrontés à des systèmes déployés, en cours d'utilisation, qui nécessitent une évaluation approfondie de la sécurité, y compris des tests, afin de répondre à l'évolution des besoins de l'entreprise et du paysage des menaces. Cela commence (comme ce module) par la compréhension des objectifs d'une évaluation de la sécurité, qui conduit à l'élaboration de la stratégie qui guidera son accomplissement.ce module fournit le cadre des évaluations de vulnérabilité et les techniques de test utilisées pour les réaliser.cela inclut une plongée plus profonde dans les tests de sécurité des réseaux sans fil.les tests éthiques de pénétration peuvent et doivent faire partie intégrante de l'évaluation de la sécurité et du plan opérationnel de presque toutes les organisations. Nous examinerons de plus près ce qui rend ces tests uniques et précieux, et comment les testeurs de pénétration éthiques travaillent avec les dirigeants de l'organisation et ses équipes techniques et de sécurité pour préserver l'intégrité des tests tout en perturbant le moins possible les activités quotidiennes de l'organisation. Les audits, formels et informels, constituent un moyen structuré d'examiner tous les systèmes de contrôle que l'organisation a mis en place. Nombre d'entre eux sont connus sous le nom de contrôles internes sur les rapports financiers (ICOFR ou ICFR) ; à l'heure où les attaques par rançongiciel sont devenues une activité commerciale importante, les professionnels de la sécurité doivent être beaucoup plus au fait de la manière dont le flux d'informations sur le flux d'argent doit être protégé
Inclus
14 vidéos5 lectures3 quizzes
Le processus de triage des incidents (décrit dans le module 1) peut permettre de déterminer qu'un événement particulier ou un ensemble d'événements nécessite plus que le simple processus de réponse à l'incident pour être géré. Deux types de plans spécifiques sont généralement utilisés pour définir ces réponses, préparer l'organisation et guider les équipes dans la gestion de ces événements.il est facile de penser que les plans de reprise après sinistre (PRS) sont vastes et exhaustifs et qu'ils traitent de la reprise après un tremblement de terre, un ouragan, un incendie ou une cyberattaque majeure ; en réalité, le champ d'application des PRS est beaucoup plus restreint.les PRD et leurs activités portent sur la restauration des systèmes et technologies d'information et de communication qui répondent à des besoins urgents de l'entreprise ou de l'organisation.(Il ne serait pas surprenant que les organisations qui s'appuient sur des systèmes IoT, SCADA ou de contrôle des processus commencent à remodeler leurs PRD classiques pour prendre également en compte leurs systèmes et capacités critiques en matière d'OT)c'est le plan de continuité d'activité (PCA) qui prend en compte la portée beaucoup plus large des activités requises pour maintenir une organisation en vie et en activité, alors qu'elle se remet à la fois des effets immédiats d'un incident perturbateur et du rétablissement des services et activités non critiques afin de pouvoir aller de l'avant. Voyons comment le professionnel de la sécurité pourrait soutenir ces plans, tant au cours de leur élaboration que de leur activation et de leur utilisation opérationnelles.
Inclus
14 vidéos2 lectures2 quizzes
Le chapitre 8 a rassemblé de nombreux aspects différents de la sécurité des systèmes d'information, en les reliant par plusieurs idées importantes.tout d'abord, les systèmes doivent être gérés si l'on veut les protéger et les maintenir en sécurité.l'une des formes de gestion est la gestion de la configuration, qui permet de s'assurer que les changements ne sont effectués que lorsqu'ils sont autorisés ; lorsqu'ils sont efficaces, les systèmes de gestion de la configuration peuvent faire partie de l'arsenal des capacités de détection des intrusions.les mesures de sécurité physique ont été placées dans le contexte de la protection et du maintien de l'organisation, de ses systèmes et de son personnel.dans de nombreuses organisations, ces systèmes de contrôle de la sécurité physique sont pilotés par les données et donc étroitement intégrés aux capacités globales d'IAAA et de détection des incidents.sUNBURST et d'autres attaques récentes contre des systèmes SCADA, ICS et d'autres technologies opérationnelles ont mis en évidence la nécessité pour de nombreuses organisations et professionnels de la sécurité d'élargir leurs horizons pour inclure des éléments situés au-delà des limites des réseaux TCP/IP, des bases de données et des pages web de l'organisation et du paysage des menaces.nous avons également constaté qu'une gestion efficace des systèmes nécessite des mesures, des observations, des tests et des analyses afin de connaître la situation actuelle en matière de sécurité et de déterminer où, quand et comment améliorer cette situation. Les inspections, les évaluations, les audits et les tests de pénétration éthiques ont tous été envisagés dans ce contexte.deux autres thèmes majeurs - la continuité des activités et l'éducation, la formation et la sensibilisation à la sécurité - se rejoignent de manière surprenante. Beaucoup d'entre nous qui ont servi dans l'armée, la police ou les services d'urgence de notre pays savent que, dans des situations très perturbées, les humains doivent souvent faire appel à leur formation pour rester calmes, ne pas paniquer et faire face à la situation de manière réfléchie, étape par étape.la microformation en est un excellent exemple. En faisant apparaître un simulacre d'attaque par phishing ou par logiciel malveillant au moment où l'utilisateur final s'y attend le moins, la microformation lui donne l'occasion soit de retomber dans ses habitudes sans réfléchir, soit de s'arrêter, d'observer, de s'orienter vers un problème de sécurité potentiel et de prendre ensuite des décisions. Les efforts de sensibilisation, de formation et d'éducation peuvent fournir aux employés les compétences et l'état d'esprit dont ils ont besoin pour faire face aux perturbations, quelle que soit leur ampleur et qu'elles soient simulées ou réelles.comme pour d'autres aspects de la sécurité des systèmes d'information, la continuité des opérations et la reprise après sinistre nécessitent une préparation approfondie, et l'une des tâches les plus importantes consiste à préparer le personnel à s'adapter et à surmonter l'épreuve en équipe.
Inclus
1 lecture1 quiz1 évaluation par les pairs
Instructeur
Offert par
Recommandé si vous êtes intéressé(e) par Sécurité
Pour quelles raisons les étudiants sur Coursera nous choisissent-ils pour leur carrière ?
Avis des étudiants
Affichage de 3 sur 51
51 avis
- 5 stars
88,46 %
- 4 stars
11,53 %
- 3 stars
0 %
- 2 stars
0 %
- 1 star
0 %
Révisé le 31 mai 2023
Ouvrez de nouvelles portes avec Coursera Plus
Accès illimité à plus de 7 000 cours de renommée internationale, à des projets pratiques et à des programmes de certificats reconnus sur le marché du travail, tous inclus dans votre abonnement
Faites progresser votre carrière avec un diplôme en ligne
Obtenez un diplôme auprès d’universités de renommée mondiale - 100 % en ligne
Rejoignez plus de 3 400 entreprises mondiales qui ont choisi Coursera pour les affaires
Améliorez les compétences de vos employés pour exceller dans l’économie numérique
Foire Aux Questions
L'accès aux cours et aux devoirs dépend de votre type d'inscription. Si vous suivez un cours en mode audit, vous pourrez consulter gratuitement la plupart des supports de cours. Pour accéder aux devoirs notés et obtenir un certificat, vous devrez acheter l'expérience de certificat, pendant ou après votre audit. Si vous ne voyez pas l'option d'audit :
Il se peut que le cours ne propose pas d'option d'audit. Vous pouvez essayer un essai gratuit ou demander une aide financière.
Le cours peut proposer l'option "Cours complet, pas de certificat" à la place. Cette option vous permet de consulter tous les supports de cours, de soumettre les évaluations requises et d'obtenir une note finale. Cela signifie également que vous ne pourrez pas acheter un certificat d'expérience.
Lorsque vous vous inscrivez au cours, vous avez accès à tous les cours du certificat et vous obtenez un certificat lorsque vous terminez le travail. Votre certificat électronique sera ajouté à votre page de réalisations. De là, vous pourrez l'imprimer ou l'ajouter à votre profil LinkedIn. Si vous souhaitez uniquement lire et visualiser le contenu du cours, vous pouvez auditer le cours gratuitement.
Si vous vous êtes abonné, vous bénéficiez d'une période d'essai gratuite de 7 jours pendant laquelle vous pouvez annuler votre abonnement sans pénalité. Après cette période, nous ne remboursons pas, mais vous pouvez résilier votre abonnement à tout moment. Consultez notre politique de remboursement complète.