Catalogue des formations 2013 - ISACA des formations... · 5 PREPARATION AUX EXAMENS DE CERTIFICATION ISACA ... CISA 1, le CISM 2, ... 1 Certified Information Systems Auditor

171 bis Avenue Charles de Gaulle . 92200 Neuilly sur Seine Tél : 01 40 88 11 92/ Fax :. 01 40 88 11 99 E-mail : [email protected]. web : http://www.afai.fr

Catalogue des formations 2013

Référence : CF2013 Juin 2013


Sommaire

1 TECHNIQUES DE BASE ............................................................................................................................ 2

1.1 TECHNOLOGIES DES SYSTEMES D’INFORMATION ................................................................................... 2 1.2 INITIATION A L’AUDIT INFORMATIQUE ...................................................................................................... 4 1.3 INITIATION A LA SECURITE ET AUX RESEAUX INFORMATIQUES ............................................................... 5

2 COBIT ET GOUVERNANCE ...................................................................................................................... 7

2.1 AUDIT DE LA GOUVERNANCE DU SI......................................................................................................... 7 2.2 COBIT 5 FOUNDATION COURSE ............................................................................................................ 8 2.3 COBIT IMPLEMENTATION COURSE ...................................................................................................... 10 2.4 COBIT 5 : PRESENTATION DES NOUVEAUX CONCEPTS ....................................................................... 11 2.5 COBIT, ITIL, CMMI, ISO : QUELS REFERENTIELS CHOISIR ? ............................................................ 12 2.6 POUR UNE MISE EN PLACE EFFICACE DES REFERENTIELS DE GOUVERNANCE .................................... 14 2.7 CONTROLE INTERNE DES SYSTEMES D’INFORMATION.......................................................................... 15 2.8 L’ARCHITECTURE D’ENTREPRISE POUR LES MANAGERS DU SI ............................................................ 17 2.9 ARCHITECTURE D’ENTREPRISE, MISE EN ŒUVRE OPERATIONNELLE ................................................... 19

3 AUDIT INFORMATIQUE ........................................................................................................................... 20

3.1 MODELISATION ET OPTIMISATION DES PROCESSUS METIERS .............................................................. 20 3.2 ANALYSE DES DONNEES ET CONTROLES AUTOMATISES ...................................................................... 22 3.3 AUDIT DU MANAGEMENT DE LA SECURITE DES SI ................................................................................ 24 3.4 AUDIT DE LA FONCTION INFORMATIQUE................................................................................................ 26 3.5 AUDIT SAP............................................................................................................................................ 28 3.6 AUDIT DES APPLICATIONS INFORMATIQUES.......................................................................................... 30 3.7 AUDIT DES PROJETS INFORMATIQUES .................................................................................................. 32

4 SECURITE DES SI ET RISK MANAGEMENT ...................................................................................... 34

4.1 MANAGEMENT DE LA SECURITE DES SI ................................................................................................ 34 4.2 METHODES DE LUTTE CONTRE LA FRAUDE INFORMATIQUE ................................................................. 36 4.3 L’ESSENTIEL DU MANAGEMENT DES RISQUES INFORMATIQUES ........................................................... 39 4.4 REFERENTIEL ET GUIDE UTILISATEUR RISK IT : CONTENU ET MISE EN ŒUVRE ................................... 40

5 PREPARATION AUX EXAMENS DE CERTIFICATION ISACA ........................................................ 41

5.1 FORMATION PREPARATOIRE A L’EXAMEN DU CISA.............................................................................. 41 5.2 FORMATION PREPARATOIRE A L’EXAMEN DU CISM ............................................................................. 43 5.3 FORMATION PREPARATOIRE A L’EXAMEN DU CGEIT ........................................................................... 44 5.4 FORMATION PREPARATOIRE A L’EXAMEN DU CRISC........................................................................... 45

6 PREPARATION AUX CERTIFICATIONS ISO ET ITIL ....................................................................... 46

6.1 ISO 27001 : LEAD AUDITOR................................................................................................................. 46 6.2 ISO 27005 : CERTIFIED RISK MANAGER .............................................................................................. 49 6.3 ITIL : FONDATIONS ............................................................................................................................... 51

7 CONDITIONS GENERALES DE VENTE ET TARIFS ......................................................................... 52

7.1 FORMATION INTER-ENTREPRISES ........................................................................................................... 52 7.2 FORMATION INTRA-ENTREPRISES........................................................................................................... 52 7.3 RENSEIGNEMENTS ADMINISTRATIFS ET BANCAIRES : ............................................................................. 53

8 CALENDRIER JUILLET – DECEMBRE 2013 ...................................................................................... 53

Tarifs Bulletin d’inscription

Catalogue des formations 2013 Page 1 / 53


L’AFAI, Association Française de l'Audit et du Conseil Informatiques, a pour mission de développer les compétences, les techniques et les méthodes visant à accroître la maîtrise des systèmes d'information. Chapitre français de l'ISACA, association internationale comptant plus de 100 000 membres dans 80 pays, l’AFAI diffuse en France et dans le monde francophone le référentiel COBIT® de gouvernance des systèmes d’information, récemment refondu en intégrant notamment VAL IT® et Risk IT®. Nous avons la conviction que la formation est un vecteur majeur pour diffuser les référentiels – tels que COBIT – et les bonnes pratiques, qu’elle permet d’illustrer par des cas concrets, et bien sûr pour préparer les professionnels à l’obtention d’une reconnaissance internationale, via les certifications. L’offre de formation de l'AFAI est organisée autour de quatre thèmes majeurs : • les techniques de base, • les référentiels de gouvernance des systèmes d’information, et les processus • l’audit informatique, • la sécurité des systèmes d’informations. En outre, L’AFAI dispense des formations préparatoires à l’obtention du diplôme des certifications professionnelles que sont le CISA1, le CISM2, le CGEIT3, le CRISC4 dont les examens se déroulent en France cette année les 12 juin et 11 décembre prochain. Animées par des professionnels, praticiens qui peuvent tous témoigner d’une expérience significative dans leurs domaines respectifs, ces formations sont aussi des lieux d’échanges entre participants et contribuent ainsi au partage des connaissances. Je puis vous assurer que l’équipe de permanents de l’AFAI ainsi que l’ensemble des formateurs mettront tout en œuvre pour que ces sessions vous apportent le meilleur de l’état de l’art de nos métiers, contribuant ainsi aux progrès de vos équipes… et de vos systèmes d’information ! Pascal Antonini Président

1 Certified Information Systems Auditor 2 Certified Information Security Manager 3 Certified in Governance of Enterprise Information Technology 4 Certified in Risk and Information Systems Control



1 TECHNIQUES DE BASE

1.1 TECHNOLOGIES DES SYSTEMES D’INFORMATION

Ce séminaire permet à de futurs auditeurs en système d’information, non spécialistes des technologies informatiques, d’acquérir les bases de technologie des systèmes d'information pour suivre efficacement d’autres séminaires plus spécialisés comme les formations à l'audit informatique ou les formations de préparation aux examens de certification.

Objectifs:

• Assimiler les concepts technologiques de base dans les SI d’aujourd’hui. • Assimiler le vocabulaire et principes de technologie nécessaires à un audit.

Participants :

Auditeurs ou consultants non spécialisés en informatique

Pré-requis :

Aucun

Programme :

Le programme comprend 8 domaines :

• Architecture et technologie des SI

o Architecture des ordinateurs : serveurs, postes clients. o Présentation des technologies :

� Des unités de calculs. � Des unités de mémorisation : disque durs, lecteurs de bandes,… . � Des unités d’affichage et d’impression. � De sécurisation d’accès.

o Principes des interfaces d’un serveur et d’un poste client. o Technologie des réseaux de stockage, virtualisation.

• Réseaux et communications

o Principes de base des réseaux : l’architecture en couches o L’exemple du protocole TCP-IP et du réseau Ethernet o Internet et intranet : VPN et accès distant. o Les équipements de réseaux. o La sécurité sur les réseaux.



• Sécurité

o Principes de confidentialité, d’intégrité, d’authentification d’une information. o Notion sur la sécurité d’un SI : sécurité physique et logique, gestion des accès. o Les virus : principes et approches de protection. o Principes du chiffrement et de la protection des données.

• Logiciels et bases de données

o Les applications logicielles : logiciels, progiciels, ERP, logiciels système, logiciels de télécommunication : principes de fonctionnement, environnement d’utilisation.

o Principes des contrôles applicatifs et traçabilité. o Base de données : administration, sécurité, maintenance. o Les obligations légales de conservation de données.

• Gestion des projets informatiques

o Problématique de la gestion de projet informatique : méthodologies et approches. o La planification et le management des risques : le pilotage du projet et son suivi. o La maîtrise de la qualité.

• Support et maintenance informatique

o Principes du support utilisateurs : méthodologie, ITIL o Principes de la maintenance des systèmes d’information. o Infogérance et aspects contractuels.

• Gouvernance et contrôle des systèmes d’information

o Principes de la Gouvernance informatique o Les référentiels : COBIT, ….

• Audit et normes des Systèmes d’Information

o Principes et approches de l’audit d’un SI. o Normes et cadres de référence : COBIT, ISO 27001, Sarbanes Oxley, SAS70.

Durée : 2 jours

Référence : FAA008



1.2 INITIATION A L’AUDIT INFORMATIQUE

L'audit informatique a pour but de s'assurer que les systèmes d'information de l'entreprise et les processus de gestion de l'informatique sont maîtrisés.

Objectifs :

• Donner une vue globale de l'audit informatique et en présenter les spécificités� • Identifier les points-clés de la démarche d'audit appliquée à l'informatique et aux systèmes d'information, • Permettre à des auditeurs et à de futurs auditeurs informatiques d'apprécier les possibilités offertes par

cette démarche.

Participants :

Auditeurs, experts comptables, commissaires aux comptes, consultants et informaticiens désireux de s'orienter vers l'audit informatique.

Prérequis :

Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement

Programme détaillé :

• Les concepts de base de l'audit et le référentiel COBIT

• L'audit de la planification du système d'information • L’audit de la fonction informatique • L'audit de la conduite de projet • L’audit des études • L’audit de l’informatique décentralisée (audit du parc micros) • L'audit d'un centre de production • L’audit des réseaux et des communications • L'audit de la sécurité • L'audit des applications opérationnelles • La conduite d’une mission d’audit informatique

Durée : 2 jours Référence : FAA001



1.3 INITIATION A LA SECURITE ET AUX RESEAUX INFORMATIQUES

Ce séminaire est destiné aux non spécialistes de la sécurité des systèmes d'informations et réseaux informatiques.

Objectifs:

• Connaître les principes de base de la sécurité informatique • Connaître le fonctionnement des réseaux informatiques, • Acquérir le vocabulaire relatif aux réseaux et à la sécurité des systèmes informatisés.

Participants :

Auditeurs, consultants non spécialisés en sécurité du système d'information.

Pré-requis:

Aucun

Programme détaillé:

• La sécurité des systèmes d'information o Panorama des vulnérabilités des systèmes d'information o Principales menaces et risques associés o La culture sécurité des organisations o La cryptologie o Les systèmes Pare-Feux (Firewalls) et Proxy o Systèmes de détection d'intrusion (IDS)

• Les réseaux informatiques: o Concepts fondamentaux o Principes des réseaux numériques o Le modèle ISO o Le protocole TCP/IP o Le réseau Internet o Architecture des protocoles TCP/IP o Adressage o La couche liaison d'Internet, Le protocole IP, Les protocoles TCP et UDP o Les applications o Outils communs d'utilisation d'un réseau sous Unix o Langages pour le Web o Intranet et Extranet

• Mise en place d'une politique de sécurité

• Principales méthodes • Technologies utilisées pour les contrôles de sécurité • Surveillance du système d'information

• Principales normes et certifications

• Principaux organismes spécialisés.



Durée : 2 jours

Référence : FIA002

Ce séminaire peut également être suivi par les candidats à l'examen du CISA en préalable à la formation de préparation de cet examen (voir § 5.1).



2 COBIT ET GOUVERNANCE

2.1 AUDIT DE LA GOUVERNANCE DU SI

L'IFACI, l'AFAI (Association Française de l'Audit et du conseil informatique) et le CIGREF (Club Informatique des Grandes Entreprises Françaises) ont élaboré, en 2011, à l'attention des auditeurs internes, des contrôleurs internes, et des DSI, un guide pratique d'audit adressant, sous un angle managérial et non pas technique, la problématique globale de la gouvernance du SI. Découvrez comment utiliser ce guide lors de cette formation.

PREREQUIS

Avoir suivi le séminaire : "Conduire une mission d'audit interne : la méthodologie" ou connaître la méthodologie de l'audit.

PUBLIC VISE

Responsables de l'audit interne, Responsables du contrôle interne, Manager Responsables DSI, Responsables financiers, Contrôleurs de Gestion.

ORGANISATION

Cette formation est co-organisée par les associations AFAI et IFACI. L'inscription se fait par la procédure habituelle sur ce site (bulletin d'inscription à renvoyer signé à l'AFAI). Le secrétariat de l'AFAI vous mettra en rapport avec le secrétariat de l'association organisatrice selon les sessions.

PROGRAMME

Cette formation vous permettra de :

• comprendre les enjeux de Gouvernance du SI dans la maîtrise des activités de leurs organisations ;

• connaître les meilleures pratiques en matière de Gouvernance du SI et le guide d'audit AFAI / CIGREF / IFACI ;

• mettre en oeuvre une méthodologie rigoureuse d'évaluation et d'autoévaluation.

Cette formation est co-organisée par l'IFACI.

Durée : 1 jour Référence : FAG008 NB : tarif particulier (685 € HT pour les adhérents et 770 € HT pour les non adhérents).



2.2 COBIT 5 FOUNDATION COURSE COBIT 5 est le référentiel exhaustif orienté métier, conçu pour aider les entreprises à atteindre leurs objectifs de gouvernance et de management de l'information et des actifs technologiques. Dit simplement, il aide les entreprises à créer la valeur optimale des technologies de l’information en assurant un équilibre entre la réalisation de profits, l'optimisation des niveaux de risque et l'utilisation efficace des ressources.

COBIT 5 permet de gouverner et de gérer l’informatique d'une manière globale au niveau de toute l'entreprise. COBIT 5 est générique et utile pour les entreprises de toutes tailles, qu'elles soient commerciales, sans but lucratif ou du secteur public.

Objectifs :

• Découvrir un référentiel efficace pour fournir au métier la valeur des systèmes d’information. • Présenter de manière pratique et opérationnelle les différents composants du référentiel COBIT 5. • Valider son apprentissage par l’obtention de la certification COBIT® 5 Foundation, délivrée par l’ISACA.

Participants :

Auditeurs, consultants, responsables informatiques, managers.

Prérequis :

Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement.


Présentation générale de COBIT 5 et de la famille des publications

Présentation détaillée des différents composants de COBIT 5 :

• Principes • Facilitateurs • Domaines, Processus et Activités • Critères d’évaluation

Liens avec les autres référentiels existant en matière de systèmes d’information.

Introduction à l'implémentation de COBIT 5

Introduction au modèle d'évaluation de capacités de COBIT 5 (PAM)

Préparation à l'examen

• Trucs et astuces pour le passage de l'examen • Examen blanc et correction en groupe

Passage de l'examen officiel COBIT® 5 Foundation Exam



NB : l’exposé s’appuie sur de nombreuses illustrations pratiques et offre la possibilité aux participants d’intervenir largement.

Durée : 3 jours

Référence : FIC001

Le tarif proposé inclue les frais d'inscription à l'examen et le support de cours.

NB : l’exposé s’appuie sur de nombreuses illustrations pratiques et offre la possibilité aux participants d’intervenir largement.

Ce séminaire sera complété par un séminaire pratique de 2 jours, consacré à la mise en œuvre opérationnelle de COBIT, la préparation et le passage de l'examen certifiant " COBIT® 5 Implementation", proposé par l'ISACA, (voir § 2.3).



2.3 COBIT IMPLEMENTATION COURSE

Comment utiliser COBIT pour améliorer la gouvernance du SI ? Comment développer un projet COBIT ?

Obtenez des informations pratiques sur comment appliquer COBIT 5 dans une organisation, analyser les processus et les scénarios de risque. Apprenez comment mettre en oeuvre COBIT 5 dans votre entreprise et comment l'utiliser au mieux.

Objectifs :

• Analyser les valeurs de l'entreprise • Analyser les défis, les conditions de succès et les risques • Analyser les processus et leur maturité • Définir un plan d'amélioration • Identifier les écueils potentiels

Participants :

Auditeurs, consultants, managers, spécialistes informatiques.

Prérequis :

Avoir obtenu la certification COBIT 5 (voir la formation COBIT Foundation Course § 2.2)


La formation consiste essentiellement en des études de cas et des exercices pratiques. Les participants apprennent à appliquer l'approche d'amélioration continue proposée par COBIT 5 de façon à analyser les besoins, définir et mettre en oeuvre une approche de gouvernance et de management de l'informatique. A l'issue de la formation, les participants passent l'examen de certification COBIT 5 Implementation Exam, examen certifiant.

Durée : 2 jours


Le tarif proposé inclut les frais d'inscription à l'examen et la fourniture du support de cours.



2.4 COBIT 5 : PRESENTATION DES NOUVEAUX CONCEPTS

Objectifs :

• Présenter de manière synthétique les concepts qui sous-tendent le référentiel COBIT 5. • Présenter la bibliothèque de documents COBIT 5 parus et à venir. • Présenter les différences avec le référentiel COBIT 4.1.

Participants :

• Les utilisateurs actuels de COBIT 4.1 • Les nouveaux utilisateurs de COBIT comme référentiel de gouvernance. • Les professionnels des SI tant dans le domaine de l’audit, du contrôle que de la gestion de la

gouvernance, du risque SI et de la sécurité.

Prérequis :

Principes généraux de COBIT et des référentiels de gouvernance.

Programme :

• Présentation générale de COBIT 5, ses principes, son historique et les documents de référence • Présentation des principes de management de SI et de leurs impacts sur l’organisation générale. • Présentation des principes de la gouvernance du SI d’entreprise : expliquer la différence entre

management et gouvernance. • Présentation de l’approche COBIT 5 et la mise en œuvre des 5 principes, des 7 activateurs de

gouvernance et le modèle de référence des processus. • Présentation des principes d’implémentation de COBIT 5 • Présentation des différences entre COBIT 4.1 et COBIT 5 et comment envisage la transition. • Les plus de COBIT 5 pour l’entreprise, les managers du SI.

Durée : 1 jour




2.5 COBIT, ITIL, CMMI, ISO : QUELS REFERENTIELS CHOISIR ?

La gouvernance des systèmes d’information comporte de multiples facettes, ce qui explique la prolifération de référentiels (standards, bonnes pratiques, normes) qui s’y rapportent.

Objectifs :

• Présenter les trois référentiels majeurs : COBIT, ITIL, CMMI, • Comprendre les possibilités d’application des référentiels et leurs articulations, • Pouvoir démarrer ou progresser sur la mise en œuvre de ces référentiels dans un esprit de convergence

des approches.

Participants :

Auditeurs informatiques, responsables informatiques.

Prérequis :



• Introduction

• Les cadres de référence, leurs limites et leur articulation, • Identification des principales préoccupations d’une DSI : la conduite des projets et le bon

fonctionnement des opérations, la gouvernance d’ensemble. • Nécessité d’avoir des approches adaptées au cas par cas qui convergent afin d'être efficaces

• COBIT

• Comment COBIT peut contribuer à l'organisation de la gouvernance des systèmes d'information ? • Le cadre de référence et les grands principes de COBIT • Le guide de management COBIT • Auto-évaluation du contrôle et de la maturité des processus de contrôle • Le guide de mise en œuvre de COBIT • Qui devrait utiliser COBIT et comment ? • Un cas pratique, afin de s’exercer sur les points précédents.

• ITIL

• ITIL, présentation, périmètre d’application • Le service desk, au centre du référentiel ITIL • Les processus de support des services • Les processus de fourniture des services • La mise en œuvre d’ITIL • Un cas pratique, afin de s’exercer sur les points précédents.



• CMMi

• De CMM à CMMi, historique et positionnement • Les modèles de maturité focalisés sur les processus • Les domaines couverts par le CMMi: Ingénierie des logiciels et des systèmes, développement

intégré, choix des fournisseurs • 25 processus et 5 niveaux de maturité • La démarche de mise en œuvre du CMMi dans une organisation, le choix de la représentation • Les risques et enseignements du CMMi

• Synthèse

• Un exemple concret de convergence des référentiels sur une étude de cas pratique.

Durée : 2 jours

Référence : FAC001



2.6 POUR UNE MISE EN PLACE EFFICACE DES REFERENTIELS DE GOUVERNANCE

Le développement des référentiels de gouvernance du SI répond à une attente forte d’industrialisation et de contrôle du SI. Toutefois, il ne s 'agit pas pour les DSI de construire "à côté" des processus existants, mais bien de viser l'excellence opérationnelle.

Objectifs :

• Comprendre les leviers et limites des référentiels de gouvernance dans une démarche d’amélioration de la performance,

• Analyser la valeur ajoutée d’un processus, • Maîtriser les outils fondamentaux d’optimisation, • Apprendre à construire en quelques jours un processus optimisé, sur la base de cas pratiques, • Connaître les leviers pour soutenir durablement la performance d’un processus.

Participants :

• DSI et managers SI • Directeurs de projet • Auditeurs informatiques • Consultant en informatique et en organisation

Pré-requis :

Connaissance de base des référentiels de gouvernance (COBIT, ITIl, CMMi, ISO)


• Apports et limites des référentiels de gouvernance • Fondamentaux de l’efficacité opérationnelle • Optimiser un processus en 5 jours • Soutenir la dynamique d’amélioration continue de la performance • Cas pratiques :

o Emergence d’un projet SI o Demande de changement

Durée : 1 jour




2.7 CONTROLE INTERNE DES SYSTEMES D’INFORMATION

Au-delà de la reconnaissance du support quotidien que les systèmes d’information apportent aux activités métiers et à leurs processus, il est indispensable de comprendre comment ils impactent la maîtrise et le contrôle interne des activités d’une organisation.

Dans une approche d’optimisation et de recherche d’efficacité, il est nécessaire d’identifier et de mettre en place les leviers s’appuyant sur ces systèmes d’information pour renforcer cette maîtrise des opérations, mais également de surveiller efficacement leur pérennité dans le temps.

Objectifs :

• Identifier les enjeux du contrôle interne des systèmes d’information. • Comprendre l’articulation entre les contrôles apportés aux processus métiers par les systèmes

d’information et la maîtrise des processus de gestion des systèmes d’information, généralement opérés par la direction des systèmes d’information.

• Appréhender en détail les différents dispositifs de contrôle. • Aborder les démarches d’évaluation, de surveillance (monitoring) et d’optimisation du contrôle interne du

système d’information.

Nous nous appuierons sur l’expérience de nos animateurs et les différents référentiels existants sur ces sujets, dont notamment :

• COBIT 4.1, publié par l’ISACA, • COBIT and Application Controls, publié en 2009 par l’ISACA, • Monitoring Internal Control Systems and IT, publié en 2010 par l’ISACA, • « Le contrôle interne du système d’information des organisations : guide opérationnel d’application de

référence AMF relatif au contrôle interne », publié conjointement par l’IFACI et le CIGREF

Participants :

Auditeurs généralistes, auditeurs informatiques, consultants, responsables contrôle interne et contrôle interne informatique, opérationnels et responsables métiers, responsables des systèmes d'information.

Prérequis :

Notions de contrôle interne, Expérience des processus, Connaissances minimales en gestion des systèmes d’information.


• Les dispositifs de contrôle interne liés aux systèmes d’information

• Contrôle interne des processus métiers et Systèmes d’information :

• le rôle des systèmes d’information et des applications informatiques dans le support des processus métiers

• les contrôles spécifiques disponibles pour améliorer la maîtrise des processus • les risques spécifiques liés à l’utilisation de systèmes d’information • les responsabilités en matière de définition et de mise en œuvre des contrôles liés au SI

dans les processus • focus sur certains domaines fonctionnels



• Contrôle interne des processus de gestion des systèmes d’information :

• le rôle fondamental du contrôle interne des processus de gestion des systèmes d’information

• es différents objectifs et dispositifs de contrôle au sein des différents processus et les rôles et responsabilité des différents acteurs : Management des SI, Planification et Organisation, Développement et gestion des changements, Exploitation et gestion des incidents, Sécurité, Gestion des projets

NB : le cas particulier des activités gérées à l’extérieur de l’organisation sera spécifiquement abordé : externalisation, cloud computing…

• La gestion du contrôle interne lié aux systèmes d’information : évaluer et optimiser :

• mesurer l’efficacité opérationnelle du contrôle interne • identifier les acteurs et les différentes approches possibles • quelques pistes pour optimiser son dispositif de contrôle interne

• Mettre en place un monitoring des contrôles pour gagner en efficacité

• la notion de monitoring des contrôles o les principes et étapes o la comparaison avec les autres modes d’évaluation

• les objectifs et bénéfices d’un monitoring des contrôles sur o la responsabilité des acteurs des processus o les cycles d’évaluation o les modes opératoires

• les contrôles éligibles à un suivi par monitoring et les conditions préalables indispensables o la définition du périmètre o les prérequis et conditions indispensables : organisation, information, …

• les étapes de la mise en place d’un monitoring efficace, de l’évaluation des risques jusqu’à la mise en œuvre




2.8 L’ARCHITECTURE D’ENTREPRISE POUR LES MANAGERS DU SI

Objectifs :

• Présenter de manière pratique et opérationnelle la démarche et les principes de l’architecture d’entreprise. • Présenter les approches de l’architecture d’entreprise au niveau des métiers et du système d’information.

Participants :

Responsables informatiques, managers, consultants.

Prérequis :

Principes généraux de management des systèmes d’information.


1. Les enjeux et les opportunités de l’Architecture d’entreprise

• Enjeux pour les managers du SI • Enjeux, Tendances de long terme des technologies de l'information • Un levier d’alignement des visions du SI • Un levier pour réutiliser et mutualiser • Gérer les risques et saisir les occasions

2. Faire de l’architecture pour décider

• Faire des scénarios • Développer une vision systémique de l'entreprise • Faire des scénarios stratégiques, des scénarios tactiques, donner corps à l'alignement • Donner le pouvoir de décider • Décider pour le long terme • Les décisions tactiques

3. L'architecture et les métiers de l’entreprise

• Une intégration agile du métier • Saisir les occasions favorables • Optimiser les processus métiers • Engranger les bénéfices des bonnes pratiques

4. L'architecture et le Système d’Information

• Les usages du Système d’Information, les exigences d'alignement • Factoriser les scénarios de solutions • Concevoir un Système d’Information qui maximise l'utilité métier • Réutiliser : les aller-retours entre le conceptuel, le logique et le physique • La maîtrise des risques • L’architecture des données



5. L'architecture d’entreprise, un pilier de la gouvernance du SI

• L'architecture d’entreprise et les projets • L'architecture et la gestion du portefeuille de projets • L'architecture au sein du dispositif de gouvernance du SI

6. Les référentiels d’Architecture et les autres référentiels de gouvernance du SI

• Les référentiels d’Architecture d’Entreprise : ZACHMAN, EAF, FEAF,… • Les référentiels de gouvernance : ITIL, COBIT, VAL-IT

7. Synthèse et Bilan

• Revue des notions présentées • Feedback des participants

Durée : 1 jour

Référence : FAG004



2.9 ARCHITECTURE D’ENTREPRISE, MISE EN ŒUVRE OPERATIONNELLE Objectifs :

• Présenter de manière pratique et opérationnelle la démarche et les principes de l’architecture d’entreprise.

Participants :

• Responsables informatiques, managers, consultants.

Prérequis :

• Principes généraux de management des systèmes d’information.

Programme

A - Les principes de l'architecture d'entreprise 1. Les enjeux et les opportunités de l’Architecture d’entreprise 2. Faire de l’architecture pour décider 3. L'architecture et les métiers de l’entreprise -

4. L'architecture et le Système d’Information B - Les cas pratiques sur 3 1/2 journées C - Synthèse et feed-back stagiaires

Durée : 2 jours

Référence : FAG005



3 AUDIT INFORMATIQUE

3.1 MODELISATION ET OPTIMISATION DES PROCESSUS METIERS

Les processus sont au cœur des évolutions actuelles de nos organisations. Le développement du contrôle interne et des bonnes pratiques, le renforcement de la réglementation et le souci d'efficacité les rendent incontournables. Il est nécessaire de les analyser, de les maîtriser et ensuite de les optimiser.

Objectifs :

• Comprendre la dynamique des processus, • Maîtriser les outils d’audit et d’optimisation de processus, • Identifier et valoriser les risques en fonction des exigences des parties prenantes de l’entreprise (client,

réglementaire, actionnaire, etc.), • Réaliser un diagnostic rapide d’un processus et présenter un plan d’action d’amélioration par percée.

Participants :

Auditeurs, consultants, responsables des systèmes d’information.

Prérequis :

Aucun


• Introduction à la mise en performance d’un processus :

• Historique et état de l’art • Retour d’expérience • Techniques de modélisation : BPMN,-Turbo post-it

• Présentation des démarches d’audit et de rationalisation

• Optimiser un processus en 5 jours avec les événements Kaizen • Comment mettre en œuvre une démarche d’audit et de rationalisation permanente • Mettre en œuvre un modèle de maturité dans son entreprise • Monter un plan d’action dans un environnement budgétaire contraint • Sélectionner les domaines à optimiser en priorité

• La boîte à outils pour optimiser un processus

• Analyser la valeur d’un processus de service et identifier les sources de gaspillages,écouter la voix du client

• Configurer le traitement des opérations au plus juste, • Piloter la performance des processus de production de services, • Analyser des causes d’anomalie et recherche de solutions, • Réduire et analyser les risques avec AMDEC, • Comment standardiser et rationaliser les échanges et les stockages d’information dans les

services,



• Rendre visible l’invisible avec le management visuel, • Mettre en place des systèmes anti erreur dans le processus administratif, • Optimiser les ressources et les moyens, • Accélérer le traitement des opérations avec la mise en place d’un système à flux tendu

• Les infrastructures informatiques pour accroitre l’efficacité

• Les systèmes de gestion de processus • Principe de mise en œuvre

• S’organiser durablement autour des processus :

• Management par les processus • Pilotage des processus

Durée : 2 jours




3.2 ANALYSE DES DONNEES ET CONTROLES AUTOMATISES

Mettre en place des contrôles dans les applications opérationnelles, nécessite de disposer d’outils automatisés, afin d'analyser efficacement les données et de fournir les éléments de contrôle aux responsables de processus

Objectifs :

• Proposer un panorama de l'ensemble des outils disponibles pour les auditeurs et plus particulièrement ceux d’analyse de données,

• Comprendre les enjeux et la valeur ajoutée de l’analyse de données, • Acquérir une méthodologie de travail adaptée, • Initier une pratique efficace de quelques outils d’analyse de données.

Participants : Auditeurs, experts comptables, commissaires aux comptes, contrôleurs de gestion.

Prérequis :

Notion de fichiers et de bases de données.


• Les enjeux. L'analyse des données est une démarche incontournable pour tout auditeur, qu'il soit généraliste ou auditeur informatique

• L’analyse de données et l'audit d’application o Les points de contrôle de l’audit d’application o Présentation des grandes familles d'outils disponibles, les logiciels les plus diffusés, leurs

avantages et leurs limites

• Les tableurs. C'est la solution la plus fréquente. Est-ce une bonne approche ? • Les bases de données. Il existe des outils de requêtes puissants permettant d'analyser les

données • Les logiciels d’audit

• La valeur ajoutée de l’analyse de données dans la démarche d’audit. Son positionnement dans une démarche d'audit

• Quelques exemples d'utilisation dans le cadre de mission d'audit financier ou d'audit opérationnel. Leur utilisation dans le cadre d'amélioration de dispositifs de contrôle interne

• Les critères clés pour choisir un produit adapté à vos besoins

• Démarche pour effectuer un audit des données

• Définir une démarche sûre et efficace

• Les différents fichiers et les bases de données utilisables. Comment choisir les bases les plus intéressantes et quels types de requêtes effectuer.

• Les différentes étapes de travail d'audit. Les étapes clés de l'analyse des données et la sécurisation des conclusions



• Mise en œuvre de l’analyse de données. Étude de différents exemples

• Mise en œuvre de contrôles avec : analyse du cycle ventes facturation

• Synthèse o L'essentiel à retenir, o Les facteurs clés de succès.

Durée : 2 jours




3.3 AUDIT DU MANAGEMENT DE LA SECURITE DES SI

Il revient à des professionnels spécialisés d’imaginer, d’implémenter et de contrôler les solutions de sécurité. Mais c’est au management de s’approprier la politique de sécurité de l’information, et d’en aligner les orientations sur sa stratégie métier. Le rôle de l'auditeur est alors d'évaluer l'ensemble du dispositif.

Objectifs :

• Comprendre la place de la sécurité de l’information et les risques, • Définir le périmètre de la sécurité de l’information et comprendre son articulation avec la culture

d’entreprise, • Positionner l’usage des principaux référentiels, normes et guides de bonnes pratiques, • Présenter les différentes approches de l’audit de sécurité de l’information.

Participants :

Auditeurs, consultants spécialisés en sécurité, responsables sécurité des systèmes d'information, risk managers, responsables informatiques.

Prérequis :

Ne pas avoir d’idées préconçues sur la complexité apparente de la sécurité de l’information.


• Introduction

• Les enjeux de la sécurité de l’information et l’évolution des menaces, • Les contraintes et les risques qui pèsent sur l’entreprise, • Le cadre de gestion de la sécurité de l’information.

• Une histoire de référentiel

• La sécurité de l’information dans des référentiels, normes, guides de bonnes pratiques comme COBIT V4, ISO 17799:2005, ISO 27001, ITIL,

• "Aligning COBIT, ITIL and ISO 17799 for Business Benefit”.

• Commanditer et réaliser un audit de sécurité

• Les questions auxquelles se doivent de répondre les audits de sécurité de l’information, • La typologie des audits, de l’audit de la politique de sécurité au test d’intrusion en passant par

l’audit du plan de continuité des activités, • La démarche d’audit, • Petit guide de survie des audits de sécurité du système d’information :

• Qui est le commanditaire ? • Qui seront les destinataires ? • Qui seront les auditeurs ? • Quel sera le périmètre ? • Quelles méthodes, quels référentiels utiliser ? • Quel résultat ? … • Les risques d’un audit de sécurité.



• Les grands principes de la sécurité des systèmes d’ information

• Politique, organisation et administration de la sécurité, • Sécurité physique, • Sécurité logique, • Sécurité des réseaux et des échanges.

Durée : 2 jours




3.4 AUDIT DE LA FONCTION INFORMATIQUE Les décideurs s’interrogent de plus en plus sur l’adéquation et la performance de leur organisation informatique, et sur le contrôle et le pilotage de leurs systèmes d’information.

Objectifs :

• Donner une vue globale de l’audit de la fonction informatique vue sous ses différents aspects (audit des risques, audit des organisations, audit de la performance),

• Identifier les enjeux, les risques et les bonnes pratiques de management des systèmes d’information.

Participants :

Auditeurs, consultants, responsables des systèmes d'information.

Prérequis : Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement Programme détaillé:

Le programme de ce séminaire est articulé autour de trois thèmes principaux :

1. Audit de l’organisation, de la planification et du pilotage des systèmes d’information 2. Audit de la fonction études informatiques 3. Audit de la fonction production informatique

Pour chaque thème, les quatre points suivants seront systématiquement étudiés:

• Définitions et éléments de connaissance. Il est important de bien comprendre le contexte, de connaître d'état de l'art du domaine et de positionner les grandes évolutions technologiques.

• Risques et enjeux. Avant d'auditer un domaine, il est nécessaire d'évaluer les risques de façon à se concentrer sur les points à enjeux.

• Bonnes pratiques. Il est nécessaire de connaître les bonnes pratiques du domaine audité reconnues par tous les professionnels.

• Guide d’audit et points de contrôle.

Plan détaillé :

• Introduction :

• Nature et objectif des audits de fonction informatique, • Démarche d’audit et phases préliminaires.

• Audit de l’organisation, de la planification et du pilotage des systèmes d’information

• Rôle et positionnement de l’informatique dans l’entreprise • La planification stratégique • Budget et suivi des coûts informatiques • Mesure et suivi de la performance informatique • Organisation et structure de la DSI



• Audit des études informatiques

• Organisation, rôle et responsabilités de la fonction études informatiques • Développement et maintenance des applications • Planification et suivi de l’activité d'études

• Audit de la production informatique

• Enjeux, engagements de service et suivi de la performance • Organisation de la fonction production • Gestion de l’exploitation et des livraisons en production • Procédures de sauvegarde et de reprise • Maintenance du matériel et du logiciel de base

• Conclusion

• Les points clés dans une démarche d'audit de la fonction informatique




3.5 AUDIT SAP Le progiciel intégré SAP est largement diffusé dans les entreprises; une démarche d'audit adaptée doit être mise en oeuvre pour en évaluer sa maîtrise et son impact sur les processus métiers supportés. Objectifs :

• Donner une vue globale de l’audit en environnement SAP, • Apprendre et maîtriser une démarche d'audit adaptée au contexte SAP.

Participants :

Auditeurs, experts comptables, commissaires aux comptes, consultants et informaticiens désireux de s'orienter vers l'audit informatique.

Prérequis :

Bases de comptabilité et de finance ; connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement.


• Introduction • Qu’est ce que SAP ?

• Présentation générale du progiciel de gestion intégré • Les parts de marché

• Présentation fonctionnelle détaillée du progiciel S AP : o Les concepts de base

• Les principaux flux : achats, ventes.

• Identification et évaluation des différents types de risques auxquels doit faire face l’entreprise qui utilise SAP

• Les risques liés à l‘environnement • Les risques liés à la gestion de projet • Les risques liés à l’organisation • Les risques liés à l’architecture fonctionnelle • Les risques liés à l’architecture technique

• Démarche d’audit en environnement SAP

• Présentation d’une démarche d’audit adaptée aux risques identifiés • Revue de pré-implémentation / Revue de post-implémentation : où comment positionner une revue

SAP ? • Outils et méthodologies existants • Exemple d'audit d’un projet SAP : illustration au travers d’exemples tirés de la pratique



• Modalité de revue des points clefs de contrôles inte rnes sur les principaux flux

• Rappels sur le dispositif Sarbanes-Oxley • Démarche d’analyse du contrôle interne au travers des flux • Exemples tirés de la pratique

• Audit de sécurité en environnement SAP

• Présentation des concepts • Démarche d’audit

• Mode d’organisation autour de SAP. o Qu’est ce qu’un centre de compétences ?

Durée : 2 jours




3.6 AUDIT DES APPLICATIONS INFORMATIQUES

Les applications informatiques sont le support incontournable des processus métiers ou fonctionnels.

Savoir les comprendre, les analyser, en mesurer les risques et le degré de maîtrise est indispensable à qui veut mesurer la fiabilité du processus supporté.

Objectifs :

• Initier à l'audit des applications informatiques et des contrôles automatisés. • Identifier les enjeux de l'audit des contrôles automatisés et les différents contextes. • Proposer une démarche et des outils. • Identifier les limites de la démarche ou les compléments nécessaires.

Nous nous appuierons sur l’expérience de ce type d’audit et les référentiels récemment publiés sur le sujet :

• COBIT and Application Controls, publié en 2009 par l’ISACA,

• Guide d’audit des applications informatiques, co-publié par le chapitre Suisse de l’ISACA et l'AFAI en novembre 2008,

• Global Technology Audit Guide (GTAG) n° 8 – Auditing Application Controls, publié par l’Institute of Internal Auditors (juillet 2007) et traduit par l’Institut Français de l’Audit et du Contrôle Interne (IFACI) sous le titre Audit des contrôles applicatifs.

Participants :

Auditeurs généralistes, auditeurs informatiques, consultants, responsables contrôle interne et contrôle interne informatique, responsables des systèmes d'information désireux de s'orienter vers l'audit informatique.

Prérequis :

Expérience des processus et des applications, notions de contrôle interne.


• Enjeux de l'audit des applications et contexte :

• le rôle des applications informatiques dans le support des processus métiers : mise en évidence de l’importance des applications dans l’efficacité des processus métiers, détail des opportunités, risques et contraintes associes ;

• les contrôles automatisés : définition de la notion de contrôle automatisé (ou contrôle programmé) et nombreux exemples. Bénéfices et limites de ce type de contrôle (sur le processus lui-même ou sur son contrôle a posteriori). Criticité des contrôles ;

• les types d'audit d'application : présentation des différents types d’audits d’application, de leur apport selon la situation ou les objectifs poursuivis ;

• les référentiels : présentation des différents référentiels existants, de leurs apports et de leurs limites, de la façon de les utiliser.



• Méthode d'audit des applications :

• les différentes étapes : décomposition d’un audit d’application, et notamment les méthodes d’investigation, l’analyse des risques, l’identification et l’évaluation des contrôles applicatifs, les tests des contrôles applicatifs ;

• les techniques de documentation : rappel des différents modes de documentation et de leur apport en termes de méthodologie et de support du raisonnement de l’audit ;

• les techniques de test : présentation des différentes techniques de test disponibles pour un auditeur, avec leurs points clés, leurs avantages et les pré-requis nécessaires.

• Audits d’application en cours d'implémentation : contexte spécifique de ce type d’intervention, les bénéfices propres, les risques et les nécessaires adaptations à la méthode.

Durée : 2 jours

Référence : FAS004



3.7 AUDIT DES PROJETS INFORMATIQUES

Les entreprises sont de plus en plus souvent conduites à évaluer leurs projets informatiques en cours de mise en œuvre, du fait de leur complexité accrue et des risques afférents.

Objectifs :

• Connaître les bonnes pratiques en matière de gestion de projet informatique, • Acquérir les connaissances nécessaires pour effectuer le diagnostic d’un projet informatique notamment

au plan de ses risques.

Participants :

Auditeurs, consultants, chefs de projets

Prérequis:

• Pratique de la gestion de projet informatique, • Connaissance des phases du cycle de vie d’un projet et des structures de conduite de projet.

Programme détaillé:

• Les préoccupations en matière de projet o Les questions clés posées par des décideurs o Certains décideurs ont plus de mal o Grandes tendances et préoccupations des dirigeants o L’état de l’art en matière de projet informatique

• Les préalables de l’audit de projet

• La notion de projet • Les particularités des projets informatiques • Tenir les délais et les budgets • Évaluation des risques liés au projet • Les risques de la non-qualité, les dérapages des coûts et des délais • Nécessité de mettre en place un dispositif de pilotage efficace

• Les bonnes pratiques en matière de gestion de proje t

• Existence d’une méthodologie de conduite des projets • Conduite du projet par étapes • Le respect des phases du projet • Maîtrise du processus de développement • Conformité des projets aux objectifs généraux de l’informatique et à ceux de l’entreprise • Note de cadrage • Qualité des études amont : expression des besoins, cahier des charges • Importance des tests, notamment des tests utilisateurs



• Les différentes approches de l’audit des projets

• Les grandes règles de l'audit de projet • COBIT : le PO 10 et les autres référentiels d'audit

• Démarches d'audit des projets

• Les objectifs et les points de contrôle : • Évaluation du processus de développement • Existence de processus, de méthodes et de standards • Vérification de l’application de la méthodologie • Compréhension les causes de dérives des projets • Adéquation des fonctions aux besoins des utilisateurs • Autres objectifs de contrôle

• Audit des projets aux différentes phases du projet

• Étude de faisabilité (dossier d’expression des besoins, étude d’opportunité,...) • Cahier des charges (analyse fonctionnelle, conception générale,…) • En cours de réalisation (analyse détaillée, programmation, paramétrage, tests unitaires,…) • Tests (tests d’intégration, tests de performance, recette,…) • Application opérationnelle

• Les différents types d’audit des projets

• Les grands projets • Les projets stratégiques • La mise en œuvre d’un ERP • Le déploiement sur de nombreux sites • Les petits projets • Les projets en PME

• Exemples de mission d’audit de projet

• Audit d’un projet en phase amont • Audit d’un grand projet à la fin du cahier des charges • Audit d’un projet moyen en mode client-serveur • Audit d’un projet en RAD

• Traitement en groupe d'un cas

• L'audit d'un projet au stade de la faisabilité • L'audit d'un projet à la fin de l'analyse fonctionnelle

Durée : 2 jours




4 SECURITE DES SI ET RISK MANAGEMENT

4.1 MANAGEMENT DE LA SECURITE DES SI La sécurité des systèmes d'information est un sujet critique pour lequel il convient de mettre en œuvre les bonnes pratiques de gouvernance, via un management efficace.

Objectifs :

• Connaître les démarches permettant de mettre en œuvre des dispositifs de sécurité efficaces, • En identifier les points-clés, • Prendre en compte les règles et les pratiques de management permettant d’améliorer de manière

significative le niveau de sécurité des SI.

Participants :

Auditeurs, consultants spécialisés en sécurité, responsables sécurité des systèmes d'information, risk managers.

Prérequis :



• Analyse de risques et politique de sécurité

• Analyse et gestion des risques informatiques • Les méthodes existantes (Mehari, etc.) • Utilisation des normes ISO17799 et ISO27001 • Politique et organisation de la sécurité • Les schémas directeurs et plans de sécurité

• Le cadre juridique de la sécurité informatique

• La CNIL, la loi Godfrain, et les principes de la propriété intellectuelle • La signature électronique • La LSQ, l’économie numérique • Les problèmes propres à l’infogérance • Le droit des contrats : les contrats de travail et les contrats avec les prestataires • La surveillance des salariés • L’élaboration des chartes • La « Privacy »



• La mise en œuvre de la sécurité

• Les tableaux de bord • L’élaboration du budget • La sécurité dans les projets informatiques • La conduite de projet • La sensibilisation et la formation • La conduite du changement • La mesure et les contrôles • La politique de veille

• La gestion de la crise

• La gestion des incidents • Le plan de continuité des activités • Le plan de secours • La communication

Durée : 4 jours




4.2 METHODES DE LUTTE CONTRE LA FRAUDE INFORMATIQUE

Les moyens des fraudeurs se multiplient avec l’évolution des techniques. Il est de plus en plus difficile, sans avoir des connaissances suffisantes, de déterminer rapidement les faiblesses d'une organisation, et trouver les parades adaptées.

Objectifs :

• Donner une vision globale de la fraude et de ses implications, • Permettre aux auditeurs de réagir suffisamment vite et de conseiller les décideurs sur les dispositifs de

sécurité à mettre en œuvre pour éviter les fraudes, • Identifier les points-clés de la démarche d'audit appliquée à la détection des fraudes.

Participants :

Auditeurs, consultants, responsables sécurité des systèmes d'information, risk mananagers, responsables informatiques

Prérequis :

Connaissances générales concernant l'informatique et notamment les communications.


• 1ère partie – La fraude classique

• Définitions et inventaires – L'arbre des fraudes • « Quid » de la fraude • Caractéristiques de la fraude • Buts recherchés • Environnement de la fraude • Les supports de la fraude • La méthode applicable • La mécanisation des recherches • Les aspects juridiques

• 2ème partie – La fraude informatique

• Les réseaux • Les communications • Internet – Intranet – Extranet • L’administration de la sécurité • La piste d’audit adaptée à l’informatique • Les grands classiques informatiques

• La fraude applicative • La fraude à partir du système d’exploitation • La fraude en production • La fraude via les réseaux • Le « craquage » des mots de passe



• Quelques spécificités

• Fraude sur les ERP (achats et ventes), • Fraudes sur cartes bancaires • Les « pourriciels »

• 1ère Etude de cas : « le salami »

• Les cyber fraudes • Le « sniffing » • Le « spoofing » • Le chantage aux fichiers cryptés (technique PGPxx) • Le « flooding » • Le « TCP-SYN Flooding » • Le « smurf » • Le débordement de tampon • Les virus, vers, chevaux de Troie • Les bombes logiques • Les « hoax » • Les « backdoors » • L’ingénierie sociale • Mascarade et piratage de sites… • Autres aspects de la fraude informatique

• La technique dite du Salami • Le piratage de logiciels • Les logiciels d’attaque et de piratage • Captage et découplage…

• 3ème partie – Méthode de lutte contre la fraude inf ormatique – Indicateurs

• Indicateurs • Les contrôles (accusés réception automatiques,…) • Les liens entre cartographie applicative, cartographie des risques, cartographie des réseaux • Les « règles du jeu » • L’obligation d’inventaire des contrôles automatisés • La séparation des tâches informatiques (la matrice des habilitations) • Benford • La cryptologie et la cryptanalyse • 2ème étude de cas : Matrice des habilitations

• La documentation – sa conservation (historisation) • Protection des sauvegardes • Les fiches techniques de détection et prévention de la fraude (FTDF)

• 3ème Etude de cas – Etablissement d’une FTDF fraude informatique



• 4ème partie – Les auditeurs et la gestion de la fraude o Les points d’accroche o Méthodologie o 1ère phase : Identification – qualification – recherches complémentaires – coûts financiers o 2ème phase : Analyse et coordination o 3ème phase : Communication et rapport

• Conclusion – Stratégie de lutte contre la fraude

• Lutte contre les pourriciels et la manipulation des comptes, • La place des auditeurs dans la stratégie de lutte, • Le rôle du secteur « risk management », • Le rôle des autres organes de l’entreprise, • L’excellence du contrôle interne classique et informatisé.

Durée : 2 jours




4.3 L’ESSENTIEL DU MANAGEMENT DES RISQUES INFORMATIQUES

Objectifs :

• Connaître les concepts et principes du management des risques • Découvrir les principales normes et les référentiels majeurs de management des risques informatiques • Connaître les principes, processus et activités de management des risques informatiques • Appréhender les points clés du management des risques informatiques

Participants :

Responsables de la gestion des risques, du contrôle interne, de la sécurité, auditeurs, consultants, informaticiens.

Prérequis :

Aucun. Cependant la connaissance de l'informatique et de son fonctionnement permet de tirer pleinement profit du séminaire.


• Le risque : définitions • Les risques liés à l’informatique : définitions et caractéristiques • Composantes du risque et éléments du vocabulaire du management des risques • Management des risques : définition et composantes • Gouvernance des SI et risques informatiques • Principales normes et référentiels majeurs de management des risques :

o Modèle FERMA, COSO ERM, ISO 31000 o Risk IT o ISO 27000, CRAMM, EBIOS, MEHARI, OCTAVE o Autres référentiels (ITIL, PMBOK)

• Risk IT : contenu et structure • Principes, processus et activités de management des risques informatiques :

o Gouvernance o Appréciation o Traitement o Surveillance o Communication

• Outils intégrés de management des risques • Synthèse des points clés du management des risques informatiques • La certification CRISC

Durée : 1 jour

Les participants à cette formation bénéficient d'une réduction de 15% pour l'achat du Référentiel Risk IT et du Guide utilisateur Risk IT en français.

Référence : FIR001



4.4 REFERENTIEL ET GUIDE UTILISATEUR RISK IT : CONTENU ET MISE EN ŒUVRE

Objectifs :

• Appréhender de manière exhaustive le référentiel et le guide utilisateur Risk IT • Aider à la mise en œuvre de Risk IT

Participants :

Responsables de la gestion des risques, du contrôle interne, de la sécurité, consultants, informaticiens et responsables métier.

Pré-requis :

• Connaissance de l’informatique et de son fonctionnement. • Connaissance des principes, processus et activités de management des risques (ces éléments sont

présentés dans le séminaire L’essentiel du management des risques informatiques (voir § 4.3) dont le contenu est supposé acquis).

• Connaissance de COBIT et de Val IT.


• Le risque lié à l’informatique : définitions et caractéristiques • Positionnement de Risk IT par rapport aux principales normes et référentiels majeurs de management des

risques • Référentiel Risk IT et Guide utilisateur Risk IT : contenu et structure • Présentation détaillée des 3 domaines, 9 processus et 47 bonnes pratiques de Risk IT basées sur COBIT

et Val IT • Mise en œuvre de Risk IT : guide utilisateur et outils complémentaires • Analyse critique de Risk IT • Traitement de cas pratiques.

Durée : 2 jours

Les participants à cette formation bénéficient d'une réduction de 15% pour l'achat du Référentiel Risk IT et du Guide utilisateur Risk IT en français.

Référence : FIR002



5 PREPARATION AUX EXAMENS DE CERTIFICATION ISACA

5.1 FORMATION PREPARATOIRE A L’EXAMEN DU CISA

Cette formation a pour but de préparer les candidats à l'examen du CISA.

Attention :

• Elle n’est en aucun cas une formation à l’audit du système d’information. • L'inscription à cette formation est totalement indépendante de celle à l'examen qui doit se faire sur le site

de l'ISACA. (www.isaca.org)

Objectifs : • • Analyser les différents domaines du programme sur lequel porte l’examen. • • Assimiler le vocabulaire et les idées directrices de l’examen. • • S’entraîner au déroulement de l’épreuve et acquérir les stratégies de réponse au questionnaire.

Participants :

Auditeurs confirmés ou informaticiens qui souhaite obtenir la certification CISA (Certified Information System Auditor) délivrée par l'ISACA, et préparer l'examen. Celui-ci dure 4 heures et utilise un questionnaire constitué de 200 questions portant sur l’ensemble des domaines relevant de l’audit du système d’information

Programme :

Le programme du séminaire suit les 6 domaines définis pour l'examen :

• Domaine 1 : Processus d’audit des SI

• Les standards d’audit • L’analyse de risque et le contrôle interne • La pratique d’un audit SI

• Domaine 2 : Gouvernance des SI

• Stratégie de la gouvernance du SI • Procédures et Risk management • La pratique de la gouvernance des SI • L’audit d’une structure de gouvernance

• Domaine 3 : Gestion du cycle de vie des systèmes et de l’infrastructure

• Gestion de projet : pratique et audit • Les pratiques de développement • L’audit de la maintenance applicative et des systèmes • Les contrôles applicatifs



• Domaine 4 : Fourniture et support des services

• Audit de l’exploitation des SI • Audit des aspects matériels du SI • Audit des architectures SI et réseaux

• Domaine 5 : Protection des avoirs informatiques

• Gestion de la sécurité : politique et gouvernance • Audit et sécurité logique et physique • Audit de la sécurité des réseaux • Audit des dispositifs nomades

• Domaine 6 : Plan de continuité et plan de secours informatique.

• Les pratiques des plans de continuité et des plans de secours • Audit des systèmes de continuité et de secours.

Dans chaque exposé, l’accent sera mis sur les éléments organisationnels et technologiques fondamentaux et leurs impacts sur la stratégie d’audit en termes de validité et d’exhaustivité des éléments audités conformément à l’approche ISACA.

Méthode :

• Un questionnaire d’auto-évaluation sur les différents domaines vous est proposé avant votre inscription à l’examen pour vous permettre d’évaluer éventuellement vos lacunes et y remédier en suivant une formation sur la sécurité, la sécurité des réseaux et Internet que vous propose l’AFAI

• Ensemble d’exposés couvrant chaque domaine du programme de l’examen. • A la fin de chaque exposé, les participants doivent s’entraîner à répondre à un ensemble de questions

portant sur le thème de l’exposé. Ces questions sont issues des précédentes sessions du CISA (ou d’examens comparables).

• Simulation partielle de l’examen (examen blanc) effectuée en fin de formation.

Il est vivement recommandé aux auditeurs peu habitués à la problématique des réseaux et de la sécurité ou sécurité des réseaux/Internet de suivre au préalable le séminaire Initiation à la sécurité et aux réseaux informatiques (voir § 1.3).

Il est vivement conseillé aux candidats à l'examen d'acquérir avant leur participation à la formation la documentation de préparation de l'examen (CISA review manual 2013 en anglais ou Manuel de révision CISA en français).qu'ils peuvent acquérir auprès de l'ISACA (www.isaca.org).

Durée : 5 jours

Référence : FIA001



5.2 FORMATION PREPARATOIRE A L’EXAMEN DU CISM Cette formation a pour but de préparer les candidats à l'examen du CISM (Certified Information System Manager), la certification internationale délivrée par l’ISACA, examen qui se déroule chaque année en juin et décembre. Attention : Cette formation n’est pas une formation au management de la sécurité. L'inscription à cette formation est totalement indépendante de celle à l'examen, qui se fait sur le site de l'ISACA (www.isaca.org). Objectifs :

• Analyser les différents domaines du programme sur lequel porte l’examen. • Assimiler le vocabulaire et les idées directrices de l’examen. • S’entraîner au déroulement de l’épreuve et acquérir les stratégies de réponse au questionnaire.

Participants : Ingénieurs Sécurité, RSSI, consultants en sécurité. Pré-requis : Expérience en matière de management de la sécurité des systèmes d'information. Programme :

• Gouvernance de la sécurité • Risk Management • Gestion des plans de sécurité • Gestion des activités de sécurité • Réponse aux incidents • Questionnaire d’entraînement

Méthode :

• Ensemble d’exposés couvrant chaque domaine du programme de l’examen. • A la fin de chaque exposé, les participants doivent s’entraîner à répondre à un ensemble de questions

portant sur le thème de l’exposé. Ces questions sont issues des précédentes sessions du CISA (ou d’examens comparables).

• Simulation partielle de l’examen (examen blanc) effectuée en fin de formation.

Il est vivement conseillé aux candidats à l'examen d'acquérir avant leur participation à la formation la documentation de préparation de l'examen (CISM review manual 2013) qu'ils peuvent acquérir auprès de l'ISACA (www.isaca.org). Durée : 3 jours Référence : FIM001



5.3 FORMATION PREPARATOIRE A L’EXAMEN DU CGEIT

Cette formation a pour but de préparer les candidats à l'examen du CGEIT (Certified in Governance of Enterprise Information Technology), la certification internationale délivrée par l’ISACA, examen qui se déroule chaque année en juin et décembre.

Attention : Cette formation n’est en aucun cas une formation à la gouvernance du système d’information. L'inscription à cette formation est totalement indépendante de celle à l'examen qui doit se faire sur le site de l'ISACA (www.isaca.org).

Objectifs :

Se préparer à l’examen bi-annuel de la certification CGEIT de l’ISACA. Cet examen se déroule en France 2 fois par an, exclusivement en anglais . Celui-ci dure 4 heures et utilise un questionnaire constitué de 120 questions portant sur l’ensemble des domaines relevant des domaines de la gouvernance des SI.

Participants :

Auditeurs, Consultants, Responsables Informatiques, Managers.

Prérequis :

Connaissance de l'informatique, de ses modes d'organisation et de son fonctionnement. Connaissance des principes généraux de la gouvernance et de COBIT.


Le programme du séminaire suit les 6 domaines définis pour l'examen :

• Le cadre de référence et les grands principes de la gouvernance. • L’alignement stratégique. • La fourniture de valeur. • Le risk management. • Le management des ressources. • La mesure de la performance du SI.

Pour chaque domaine, seront détaillés les principes de mise en place de la gouvernance du SI selon l’ISACA et les documents et informations de référence. La préparation à l’examen CGEIT sera associée à des examens blancs sur chacun des domaines (20 questions par domaine).

• La pratique de l’examen : déroulement, gestion du temps.

Il est vivement conseillé aux candidats à l'examen d'acquérir avant leur participation à la formation la documentation de référence qu'ils peuvent acquérir auprès de l'ISACA ; celle-ci comprend notamment : COBIT, Val IT, Board briefing on IT Governance, IT Governance domains and practices, etc. Certains de ses documents sont accessibles en téléchargement gratuits. (voir sur www.isaca.org) : CGEIT Exam reference materials). Durée : 3 jours Référence : FIG001



5.4 FORMATION PREPARATOIRE A L’EXAMEN DU CRISC Cette formation a pour but de préparer les candidats à l'examen du CRISC. Attention : Elle n’est en aucun cas une formation au management des risques informatiques. L'inscription à cette formation est totalement indépendante de celle à l'examen qui doit se faire sur le site de l'ISACA.

Objectifs :

• Analyser les différents domaines du programme sur lequel porte l’examen. • Assimiler le vocabulaire et les idées directrices de l’examen. • S’entraîner au déroulement de l’épreuve et acquérir les stratégies de réponse au questionnaire.

Nota : L’examen a lieu deux fois par an en France. Exclusivement en anglais, il consiste à répondre à 200 questions à choix multiples en 4h.

Il est vivement conseillé aux candidats à l'examen d'acquérir avant leur participation à la formation la documentation de référence qu'ils peuvent se procurer auprès de l'ISACA

Participants :

Professionnels de l’informatique, professionnels de la gestion des risques, analystes métier spécialisés en risques, directeurs de projets, responsables de la conformité, professionnels métier qui souhaitent obtenir la certification CRISC (Certified in Risk and Information Systems Control) délivrée par l'ISACA, et préparer l'examen.

Pré-requis :

Bonne connaissance de l’informatique, des risques liés à l’informatique et de la façon de les maîtriser ainsi que du référentiel Risk IT. Il est conseillé d’avoir suivi préalablement la formation Risk IT : contenu et mise en œuvre (voir § 4.4).

Programme :

Le programme du séminaire couvre les 5 domaines définis pour l'examen et comprend une simulation partielle de l’examen. • Domaine 1 : Identification, Appréciation et Évaluation des risques • Domaine 2 : Traitement des risques • Domaine 3 : Surveillance des risques • Domaine 4 : Conception et mise en place du contrôle des SI • Domaine 5 : Surveillance et suivi du contrôle des SI Pour chaque domaine, seront détaillés les principes de management des risques informatiques selon l’ISACA (documents et informations de référence de l’ISACA). La pratique de l’examen : déroulement, gestion du temps Simulation partielle de l’examen (examen blanc) effectuée en fin de formation. Durée : 3 jours Référence : FIR001



6 PREPARATION AUX CERTIFICATIONS ISO ET ITIL

6.1 ISO 27001 : LEAD AUDITOR

Ce cours intensif de cinq jours permet aux participants d’acquérir les connaissances nécessaires et de développer l’expertise pour :

• planifier et effectuer des audits de la conformité d’un système de management de la sécurité de l’information par rapport aux exigences de la norme ISO 27001;

• manager une équipe d’auditeurs en appliquant les principes, procédures et techniques d’audits communément reconnus.

A partir d’exercices pratiques basés sur un cas d’étude, le stagiaire sera mis en situation de développer les compétences (maîtrise des techniques d’audit) et les aptitudes (gestion d’équipes et d’un programme d’audit, communication avec les clients, résolution de conflits, etc.) nécessaires à la conduite d’un audit.

La formation est basée sur les lignes directrices d’audit de système de management (ISO 19011:2002) ainsi que les meilleures pratiques internationales d’audit. Elle se compose de :

• Cours magistraux illustrés de cas concrets,

• Exercices pratiques, réalisés seul ou en groupe (jeux de rôles), tirés de missions réelles, en lien direct avec la préparation à l’examen.

Objectifs:

• Comprendre les principes d’application de l’ISO 27001:2005 dans la construction d’un système de management de la sécurité de l’information,

• Comprendre la relation entre le système de management de la sécurité de l’information, le management des risques, les mesures, et les différentes parties prenantes,

• Comprendre les principes, procédures et techniques d’audit de l’ISO 19011 :2002, et comment les appliquer dans le cadre d’un audit selon l’ISO 27001,

• Comprendre l’application des obligations légales, statutaires, réglementaires ou contractuelles pertinentes lors de l’audit d’un SMSI,

• Acquérir les compétences nécessaires pour effectuer un audit de façon efficace, et les techniques de gestion d’une équipe d’audit, préparer et compléter un rapport d’audit ISO 27001.

Prérequis:

Une connaissance préalable des normes ISO 27001 et ISO 27002 est recommandée.

Participants:

• Personnes désirant diriger des audits de certification ISO 27001 en tant que responsable d’une équipe d’audit,

• Consultants désirant préparer et accompagner une organisation lors d’un audit de certification ISO 27001, • Auditeurs internes désirant préparer et accompagner leur organisation vers l’audit de certification ISO

27001, • Responsables de la sécurité de l’information ou de la conformité, • Conseillers experts en technologies de l’information.



Programme:

Jour 1 : Introduction à la gestion d’un système de management de la sécurité de l’information selon ISO 27001

• Objectifs et structure du cours • Cadre normatif et réglementaire • Processus de certification ISO 27001 • Principes fondamentaux de la sécurité de l’information et de la gestion du risque • Système de management de la sécurité de l’information (SMSI) • Présentation des clauses 4 à 8 de l’ISO 27001

Jour 2 : Démarrer un audit ISO 27001

• Concepts et principes fondamentaux d’audit • Éthique et déontologie de l’audit • L’approche d’audit fondée sur la preuve et sur le risque • Préparation d’un audit de certification ISO 27001 • L’audit documentaire • Préparation du plan d’audit • Conduite d’une réunion d’ouverture

Jour 3 : Conduire un audit ISO 27001

• Communication durant l’audit • Les procédures d’audit (observation, entrevue, techniques d’échantillonnage) • Rédaction des conclusions d’audit et des rapports de non-conformité

Jour 4 : Conclure un audit ISO 27001

• Documentation de l’audit • Revue des notes d’audit • Conclusion d’un audit ISO 27001 • Gestion d’un programme d’audit • La compétence et l’évaluation des auditeurs • Clôture de la formation

Jour 5 : Examen

• Examen

Examen et certification:

L’examen ISMS - ISO 27001 Lead Auditor est certifié par le RABQSA et répond aux critères du ‘RABQSA Training Provider Examination Certification Scheme’ (TPECS), dont il couvre les unités de compétence:

• RABQSA – IS (sécurité de l’information), • RABQSA – AU (Techniques d’audit), • RABQSA –TL (Techniques d’auditeur principal).

L’examen ISMS - ISO 27001 Lead Auditor est disponible en français, en anglais et en espagnol.



Un certificat est remis aux participants ayant réussi l’examen.

Le certificat de réussite d’examen RABQSA est reconnu par l’IRCA et répond aux critères de certification IRCA/2016.

Le participant ayant réussi l’examen pourra s’inscrire auprès de l’IRCA ou du RABQSA, et prétendre, selon son expérience de l’audit, au titre d’auditeur provisoire ISO 27001, d’auditeur ISO 27001, d’auditeur principal ISO 27001, ou de Lead Auditor ISO 27001.

Documentation fournie aux participants:

• Une copie papier de la norme ISO/CEI 27001 :2005 • Une attestation de participation de 35 CPE (Continuing Professional Education), • Une trousse à outils d’audit ainsi qu’un manuel de l’étudiant (plus de 400 pages d’informations et

d’exemples pratiques)

Durée:

La durée de la session est de 5 jours : 4 jours de cours et une demi-journée d'examen, soit un stage de 40 heures réparties en 32 heures de cours, 5 heures de travail individuel à réaliser le soir après les cours, et 3 heures d'examen.

Cette durée de 40 heures répond à une exigence de la norme ISO 19011:2002.

Coût:

Le coût de l'examen est inclus dans le tarif spécifique de cette formation.

Référence : FCS001



6.2 ISO 27005 : CERTIFIED RISK MANAGER a formation ISO 27005 Certified Risk Manager permet de maîtriser les éléments fondamentaux relatifs à la gestion des risques reliés à l’information. Objectifs: En réalisant des exercices pratiques basés sur des études de cas, par des démonstrations et des débats, les participants acquièrent la capacité d’apprécier les risques sur la sécurité de l’information, de les gérer et de les contrôler, d’effectuer des évaluations sur la sécurité de l’information, et de développer des plans de maîtrise des risques, tenant compte des éléments stratégiques, administratifs, technologiques et organisationnels. Cette formation comprend une présentation comparée des différentes méthodes d’analyses de risques compatibles à la norme ISO 27005. Cette formation à la maîtrise des risques s'inscrit parfaitement dans le cadre d'un processus d'implémentation d’un système de management de la sécurité de l’information selon la norme ISO 27001. Prérequis: Une connaissance de base des principes de la sécurité de l’information, et de la continuité des activités est recommandée. Participants:

• Collaborateurs affectés à la maîtrise des risques de leur organisation et en charge de conduire une analyse des risques

• Consultants en sécurité des systèmes d’information désirant compléter leurs connaissances dans la gestion des risques et/ou accompagnant des organisations dans leur analyse des risques.

Programme:

• Concept de base en gestion des risques • Les normes et cadres de référence en gestion des risques • Mise en œuvre d’un programme de gestion des risques • Classification des actifs • Identification et analyse des risques • Approche quantitative et qualitative de l’évaluation des risques • Traitement du risque • Gestion des risques résiduels • Gestions des risques de projets • Gouvernance et gestion des risques • Présentation des principales méthodologies de gestion des risques : EBIOS, MEHARI, OCTAVE, CRAMM,

Microsoft Security Compliance Management • Examen ISO 27005 Certified Risk Manager (2 heures)

Documentation remise aux participants:

• Une copie de la norme ISO 27005, • Le manuel de l’étudiant, • Un certificat de participation valant 14 points CPE (continuing professional education).



Examen et certification : L’examen ISO 27005 Certified Risk Manager est en cours de certification par le RABQSA et répond aux critères du ‘RABQSA Training Provider Examination Certification Scheme’ (TPECS) et couvre l’unité de compétences : RABQSA – IS (Sécurité de l’information). L’examen ISO 27005 Certified Risk Manager est disponible en français et en anglais Durée de l’examen : 2 heures Un certificat sera remis aux participants suite à la réussite de l’examen. Durée: 3 jours. Coût: Le coût de l'examen est inclus dans le tarif spécifique de cette formation. NB : D'autres formations certifiantes relatives à ISO 27005 sont susceptibles d'être proposées par l'AFAI. Si vous êtes intéressé(e)s, merci d'adresser un e-mail à [email protected]. Référence : FCS002



6.3 ITIL : FONDATIONS

Ce cours d’introduction à ITIL offre aux participants la possibilité d’acquérir les connaissances de base sur la gestion de service informatique selon ITIL.

Objectifs :

Comprendre la structure ITIL afin de fournir la base des concepts clés, de la terminologie, des processus et des fonctions proposées par ITIL.

Prérequis:

Aucun pré-requis n’est exigé ni recommandé

Participants:

Auditeur, consultant, gestionnaire TI, personnel TI ou toute personne désirant se familiariser avec ITIL

Documentation:

• Une copie du livre « an introduction to ITIL » sera remise aux participants • Une copie des notes de cours est remise aux participants • Un examen de pratique sera remis aux participants • Un certificat de participation de 21 CPE (continuing professional education) sera remis aux participants

Programme:

• Présentation d’ITIL • La gestion de service en tant que pratique • Introduction du concept de cycle de vie • Stratégie de service • Conception de service • Transition de service • Exploitation de service • Amélioration continue de service • Considérations technologiques

Examen et certification:

La certification de niveau « fondations » est obtenue suite à la réussite à un examen composé de quarante (40) questions à choix multiple à réaliser dans un délai de soixante (60) minutes.

Durée: 3 jours

Coût:

Le coût de l'examen est inclus dans le tarif spécifique de cette formation.

NB : D'autres formations certifiantes relatives à ITIL sont susceptibles d'être proposées par l'AFAI. Si vous êtes intéressé(e)s, merci d'adresser un e-mail à [email protected].

Référence : FCT001



7 CONDITIONS GENERALES DE VENTE ET TARIFS

7.1 FORMATION INTER-ENTREPRISES Inscriptions Les inscriptions aux formations inter-entreprises sont effectuées en utilisant exlclusivement le bulletin d’inscription (voir § 0). L'envoi à l'AFAI du bulletin vaut inscription et engage l'entreprise. Un accusé de réception est adressé par e-mail au participant et au responsable de formation par l'AFAI. Horaires et lieux Les formations se déroulent de 9h30 à 12h30 et de 14h à 18h. Les déjeuners sont pris au restaurant. Un petit déjeuner d'accueil est servi à partir de 9h. Ces formations se déroulent à Paris ou proche banlieue. Le lieu et les moyens d'accès sont communiqués aux participants par messagerie électronique. Frais d’inscription Pour l’application de la tarification consentie aux membres de l’AFAI, la qualité d’adhérent est contrôlée lors de l’établissement de la facture, à l’issue de la formation. Toute formation commencée est due en totalité. Si la formation est prise en charge par un OPCA, la demande de prise en charge doit être effectuée directement par l'entreprise et mentionnée impérativement sur le bulletin d'inscription. Annulations / remplacements Toute inscription peut être librement annulée au plus tard 10 jours avant le début du séminaire ; au-delà de ce délai, elle est considérée comme définitive et ne pourra être remboursée. En cas de désistement, le remplacement par un autre participant est accepté à tout moment. Conventions de formation Les factures tiennent lieu de convention professionnelle simplifiée. Une convention séparée peut être délivrée sur demande. Décomptes d’heures de formation Le décompte des heures de formation (DIF et CPE) est de 7 heures par jour de formation. Une attestation de présence est délivrée aux participants à l’issue de la formation. Tarifs Voir annexe Règlements Pour les entreprises françaises, le règlement de la prestation est payable à réception de facture, émise à l'issue de la formation. Pour les entreprises étrangères, le règlement doit être effectué au moment de l'inscription. Sur demande, un devis peut être émis par l'AFAI. Les entreprises de l'Union Européenne doivent impérativement fournir à l'AFAI leur numéro de TVA intracommunautaire; à défaut, la facture inclut le montant de la TVA française.

7.2 FORMATION INTRA-ENTREPRISES Toutes nos formations peuvent être délivrées en intra-entreprise, sur demande.



7.3 RENSEIGNEMENTS ADMINISTRATIFS ET BANCAIRES : N° d’agrément de l’AFAI en tant qu’organisme de formation : 11921720092 N° SIRET : 335 277 562 000 47 N° TVA intracommunautaire : FR253 352 775 62 Banque : HSBC France - Agence Centrale 103 avenue des Champs Elysées - 75008 PARIS RIB : 30056 00148 01485409551 37 IBAN : FR76 3005 6001 4801 4854 0955 137 Code swift /BIC : CCFRFRPP

8 CALENDRIER JUILLET – DECEMBRE 2013 Référence Titre Dates des sessions Audit de la Gouverance du SI 18 juillet FIC001 COBIT 5 Foundation Course 16-18 septembre

4-6 novembre FAA009 Pour une mise en place efficace des référentiels de

gouvernance 13 septembre

FAA004 Audit SAP 14-15 octobre FAS004 Audit des applications informatiques 9-10 octobre FAA002 Audit des projets informatiques 16-17 octobre FAS002 Management de la sécurité des SI 4-8 novembre FIR002 Référentiel et guide utilisateur Risk IT : contenu et mise en

œuvre 2-3 novembre

FIA001 Formation préparatoire à l’examen du CISA 8- 12 juillet 21-25 octobre 18-22 novembre 25-29 novembre

FIM001 Formation préparatoire à l’examen du CISM 28-30 octobre FIG001 Formation préparatoire à l’examen du CGEIT 25-27 novembre FIR003 Formation préparatoire à l’examen du CRISC 13-15 novembre

Tarif des formations inter-entreprises


Tarifs (en € HT) Référence Titre Tarif adhérent

€HT Tarif non-adhérent

€ HT FAA008 Technologies des SI 1 200 € 1 600 € FAA001 Initiation à l’audit informatique 1 200 € 1 600 € FIA002 Initiation à la sécurité et aux réseaux informatiques 1 200 € 1 600 € FAG008 Audit de la gouvernance des SI 665 € 770 € FIC001 COBIT Foundation Course 1 800 € 2 400 € FIC004 COBIT Implementation Course 1 200 € 1 600 € FIC007 COBIT 5 : présentation et nouveaux concepts 600 € 800 € FAC001 COBIT, ITIL, CMMi, ISO : quels référentiels choisir 1 200 € 1 600 € FAA009 Pour une mise en place efficace des référentiels de gouvernance 600 € 800 € FAA010 Contrôle interne des systèmes d’information 1 200 € 1 600 € FAG004 L’architecture d’entreprise pour les managers du SI 600 € 800 € FAG005 Architecture d’entreprise : mise en œuvre opérationnelle 1 200 € 1 600 € FAA007 Modélisation et optimisation des processus métier 1 200 € 1 600 € FAA006 Analyse de données et contrôle automatisé 1 200 € 1 600 € FAA005 Audit du management de la sécurité des SI 1 200 € 1 600 € FAA003 Audit de la fonction informatique 1 200 € 1 600 € FAA004 Audit SAP 1 200 € 1 600 € FAS004 Audit des applications informatiques 1 200 € 1 600 € FAA002 Audit des projets informatiques 1 200 € 1 600 € FAS002 Management de la sécurité des SI 2 400 € 3 200 € FAS001 Méthode de lutte contre la fraude informatique 1 200 € 1 600 € FIR001 L’essentiel du management des risques informatiques 600 € 800 € FIR002 Référentiel et guide utilisateur Risk IT : contenu et mise en oeuvre 1 200 € 1 600 € FIA001 Formation préparatoire à l’examen du CISA 3 000 € 4 000 € FIM001 Formation préparatoire à l’examen du CISM 1 800 € 2 400 € FIG001 Formation préparatoire à l’examen du CGEIT 1 800 € 2 400 € FIR003 Formation préparatoire à l’examen du CRISC 1 800 € 2 400 € FCS001 ISO 27001 : Lead Auditor 3 000 € 4 000 € FCS002 ISO 27005 : Certified Risk Manager 1 800 € 2 400 € FCT001 ITIL : Fondations 1 800 € 2 400 €

Page 1 / 3


Bulletin d’inscription Les champs marqués d'une * sont obligatoires. Formation choisie : *Référence : _______________________ *Session : du ____/____/____ au ______/______/_____ *Libellé :___________________________________________________________________________ Vos coordonnées *Nom : ______________________________ *Prénom : ___________________________

*Société : ___________________________________________________________________

*Fonction :__________________________________________________________________

*Adresse : __________________________________________________________________

___________________________________________________________________________

*Code postal : _________________*Ville :_________________________________________

*Pays :_______________________________________________________

*Tél : ___________________________________ *Fax : _____________________________

*Email : ___________________________________________________________________

Les coordonnées de votre responsable de formation *Nom : ______________________________ *Prénom : ___________________________

*Société : ___________________________________________________________________

*Fonction :__________________________________________________________________

*Adresse : __________________________________________________________________

___________________________________________________________________________


*Pays :_______________________________________________________

*Tél : ___________________________________ *Fax : _____________________________

*Email : ___________________________________________________________________

Page 2 / 3


Facturation N° TVA intracommunautaire : ___________________________________________________________

*Contact :___________________________________________________________________________________

*Société : ___________________________________________________________________

*Fonction :__________________________________________________________________

*Adresse : __________________________________________________________________

___________________________________________________________________________


*Pays :_______________________________________________________

*Tél : ___________________________________ *Fax : _____________________________

*Email : ___________________________________________________________________

Si la procédure interne de votre entreprise nécessi te un bon de commande, merci d'en renseigner le

numéro : N° de bon de commande : _________________________________________________

Prise en charge par un OPCA Si votre formation est prise en charge par un OPCA, merci de nous en indiquer les coordonnées *Société : ___________________________________________________________________

*Adresse : __________________________________________________________________

___________________________________________________________________________


*Pays :_______________________________________________________

*Tél : ___________________________________ *Fax : _____________________________

Renseignements complémentaires N° adhérent ISACA/AFAI : ___________________________________________________

Page 3 / 3


Conditions générales de vente

Je reconnais accepter les conditions générales de vente Signature

Cachet de l’entreprise

A retourner à l’AFAI, signé et tamponné

Documents

Catalogue des formations 2013 - ISACA des formations... · 5 PREPARATION AUX EXAMENS DE CERTIFICATION ISACA ... CISA 1, le CISM 2, ... 1 Certified Information Systems Auditor