Objectifs: Maîtriser les techniques et méthodes d’identification, d’évaluation et de gestion des risques en fonction des objectifs de l’organisation. Ce cours mettra l’accent sur exemples les applications de l’analyse de risques dans les domaines d’affaires, la sécurité des TI, les projets d’entreprise et dans la continuité des affaires. Évaluation individuelle (70 % de la note finale)

• Deux (2) travaux pratiques 20%
• Un quiz 20%
• Un examen final 30%

Travaux d’équipes (30 % de la note finale)

• Une analyse de risque 30%

Séance 1. Introduction

• Présentation du plan, des objectifs et des principaux modules du cours;
• Présentation de l’évaluation, des travaux et de l’examen final.
• Introduction d’un vocabulaire et de définitions
• La sécurité de l’information
• Le risque informationnel
• La gestion du risque informationnel.
• Présentation KeyNote pour le cours sur iWorks
• Version PDF de la présentation sur Google Docs
• Lien vers le eBook pour cette section

Séance 2. Gestion du risque

Développer une compréhension de haut niveau de la gestion du changement, de la résistance au changement, ainsi que des facteurs humains, culturels et organisationnels:

• La perception et le risque
• Le changement et le risque
• Principaux concepts de la gestion du risque
• Lien vers le eBook pour cette section
• Lien vers la présentation de ce chapitre sur iWorks
• Version PDF de la présentation sur Google Docs

Travail pratique individuel 1: Création de dix (10) scénarios de risque en utilisant le formulaire Word disponible en ligne.

Séance 3. Les menaces

Habiliter les étudiants à participer aux activités d’identification des menaces et des vulnérabilités technologiques;

• Qu’est-ce que l’identification des menaces?
• Toponymie des menaces informatiques;
• Cybercriminalité
• Lien vers le eBook pour cette section
• Lien vers la présentation de ce chapitre sur iWorks
• Version PDF de la présentation sur Google Docs

Séances 4. Identification des vulnérabilités

• Qu’est-ce que l’identification des vulnérabilités?
• Typonomie des vulnérabilités
• Les NVAS
• Lien vers le eBook pour cette section
• Lien vers la présentation de ce chapitre sur iWorks
• Version PDF de la présentation sur Google Docs

Séances 5. Impact et utilité attendue

Comprendre la mesure de l’impact de la matérialisation des risques et le point de vue de l’utilité attendue comme alternative à la mesure de l’impact seulement sur la base de pertes monétaires.

• Impacts
• Utilité attendue
• Transfert du risque, extériorisation des coûts et assurance
• Lien vers le eBook pour cette section
• Lien vers la présentation de ce chapitre sur iWorks
• Version PDF de la présentation sur Google Docs

Séances 6. Identification, priorisation et mobilisation des ressources pour un traitement adéquat du risque

Développer une compréhension des problématiques reliées à l’identification, la priorisation et la mobilisation des ressources organisationnelles nécessaires pour un traitement adéquat du risque;

• Le modèle I-P-M
• Les options de traitement du risque
• Les trois P (Prévention, protection, punition)
• Lien vers le eBook pour cette section
• Lien vers la présentation de ce chapitre sur iWork’s
• Version PDF de la présentation sur Google Docs
• Jeu Le banquier en ligne
• Tableau pour l’activité avec le jeu du Banquier sur Google Docs

TP 2 : Analyse de vulnérabilités

Séance 7. Méthodologies d’analyse de risque

Introduire les étudiants aux méthodologies d’analyse de risque;

• Octave, Méhari, EBIOS
• Le choix d’une méthode
• Son application sur le terrain

Séance 8. ISO 27005

• Quiz
• Développer une expertise fonctionnelle d’ISO 27005

Séance 9. Création d’un cadre de gestion de risque

Introduire les étudiants au processus de création d’un cadre de gestion de risque dans le cadre d’un projet de recherche empirique en se basant sur le projet de recherche CIGALE.

TP Final : Analyse de risque en utilisant les scénarios du TP1

Séance 10. Gestion des risques informationnels dans les projets

Développer une expertise de haut niveau en gestion des risques informationnels dans les projets qui les habilite à la pratique professionnelle;

Séance 11. Gestion des risques informationnels dans les partenariats et les situations d’impartition

Développer une expertise de haut niveau en gestion des risques informationnels dans les partenariats et les situations d’impartition TI qui les habilite à la pratique professionnelle.

Séance 12. Gestion des risques informationnels dans les processus d’affaires

Développer une expertise de haut niveau en gestion des risques informationnels dans les processus d’affaires qui les habilite à la pratique professionnelle.

Séance 13. Gestion des risques informationnels en infonuagique (cloud)

Développer une expertise de haut niveau en gestion des risques informationnels dans les environnements dématérialisés (Cloud computing) qui les habilite à la pratique professionnelle.

Séance 14. Révision

Révision des principaux concepts et préparation pour l’examen.

Séance 15. Examen