Formations -> Compétences -> Certifications -> Métiers -> Emplois

Cartographier les systèmes d'information

Item

Libelle

Cartographier les systèmes d'information

Code

RNCP37346BC01

Liste des compétences

Définir les objectifs et les enjeux du projet de cartographie pour répondre aux besoins opérationnels de sécurité numérique de l'organisation. Réaliser un listing exhaustif des composantes du système d'information incluant notamment l'écosystème qui gravite autour du SI, les processus métiers de l'organisme avec les acteurs qui y participent, les périmètres et les niveaux de privilèges des utilisateurs/administrateurs, les logiciels et les équipements physiques utilisés, pour appréhender les risques potentiellement encourus par les systèmes d'information. Réaliser une revue des droits d'accès pour identifier les accès obsolètes, incomplets ou non autorisés. Déterminer par degré de criticité les accès sensibles, cibles privilégiées par les cyberattaquants, de sorte à prioriser les actions en matière de gestion des risques et de s'assurer que les accès aux éléments sensibles soient maitrisés. Evaluer les risques engendrés par chaque traitement pour mesurer l'impact relatif que pourraient avoir ces menaces sur l'organisation. Elaborer la cartographie des systèmes d'information dans une démarche d'amélioration continue, à la fois incrémentale (enrichissement par de nouvelles vues) et itérative (affinement des vues déjà constituées), pour identifier les systèmes les plus critiques et les plus exposés, anticiper les chemins d'attaque possibles sur ces systèmes et mettre en place des mesures adéquates pour assurer leur protection, réagir plus efficacement en cas d'incident, identifier les activités clés de l'organisme afin de définir un plan de continuité d'activité. Maintenir la cartographie à jour pour garantir une synchronisation entre les évolutions du système d'information et leur représentation dans l'inventaire et les vues tout en veillant à la bonne conformité de l'organisation avec les nouvelles exigences en matière de sécurité numérique. Mettre en œuvre les exigences réglementaires relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces datas, aux mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union Européenne, pour inscrire la sécurisation des données, des réseaux et des systèmes de l'entreprise dans le cadre légal et juridique. Utiliser les outils de veille cybersécuritaire, juridique, technique, concurrentielle, stratégique et mobiliser les ressources expertes (ANSSI) pour maintenir à l'état de l'art sa connaissance relative à la sécurité des systèmes d'information.

Modalités d'évaluation

Etude de cas réel d'entreprise. Cartographie des SI. Production écrite. Le candidat a, à sa disposition, une présentation littéraire et chiffrée de l'entreprise, de ses activités, des méthodes utilisées pour sécuriser les systèmes d'information ainsi, que des comptes rendus d'entretien des salariés de l'entreprise impliqués dans les services informatiques. Dans le respect du cadre juridique et légal relatif à la protection des systèmes d'information, le candidat doit à partir de ces informations : 1. Identifier les objectifs pour l'entreprise et analyser les besoins de sécurité, 2. Etablir une liste des ressources du système et identifier chaque partie prenante pouvant accéder à ce dernier. 3. Elaborer une cartographie du système d'information afin de recenser les vulnérabilités. 4. Identifier les scénarii de risques et leurs impacts sur l'organisation. 5. Classer par criticité les événements redoutés. 6. Définir les mesures de sécurité permettant de limiter les risques.