Catalogue de formation securité 2019 · SECURITE DES APPLICATIONS WEB ..... 14 ISO 27005 RISK MANAGER COMPRENDRE LES ATTENDUS DE LA NORME ISO 27005 ... 16 ISO 27005 RISK MANAGER

CATALOGUE DE FORMATION SECURITE

2019.

0

•

CATALOGUE DE FORMATION SECURITE 2019


1

SODIFRANCE INSTITUT VOTRE PARTENAIRE FORMATION

Sodifrance Institut est spécialisé dans les formations sur les

technologies de l’information. Grâce aux 1 300 consultants

et ingénieurs du Groupe, les formations bénéficient d’un

enrichissement permanent de leurs contenus et de retours

d'expériences.

Sodifrance Institut est un organisme de formation continue

déclaré auprès de l’Etat

N° de déclaration d’activité : 533 506 179 35

SIRET : 420 458 382 00017

Ingénierie de formation à la demande sur des versions

antérieures.

NOTRE CENTRE DE FORMATION

Sodifrance Institut

Parc d’Activités « La Bretèche »

CS 26804

35768 Saint-Grégoire Cedex

Possibilité de faire les formations dans vos locaux ou dans les agences du Groupe Sodifrance.

NOS CATALOGUES DISPONIBLES

• Langages et développement

• Sécurité

• Décisionnel

• Infra-Cloud

• Méthodes

• Systèmes Z-Os

INFORMATIONS ET RESERVATION

Sodifrance Institut

[email protected]

: 02 99 23 46 51

mailto:[email protected]


2

OFFRE FORMATION AU SEIN DU GROUPE SODIFRANCE

UN ACCOMPAGNEMENT AU CHANGEMENT & FORMATIONS IT

Le Groupe Sodifrance avec ses consultants du pôle Conseil en architecture et méthodes

accompagne les entreprises dans la définition de leur stratégie et des trajectoires

technologiques permettant d’aligner leur SI sur leurs enjeux métiers.

Les Consultants sont certifiés sur de nombreux domaines. Spécialistes reconnus, ils

interviennent en tant que formateurs au sein de Sodifrance Institut, permettant ainsi aux

formations de bénéficier d'un haut niveau d'expertise, complétées d’une expérience acquise

au sein des projets informatiques et validées par de nombreux cas pratiques.

est enregistré et datadocké, la base de données

référençant les organismes de formation qui déclarent répondre aux 6 critères de qualité prévus

par le décret du 30 juin 2015 relatif aux actions de la formation professionnelle continue.

EN SAVOIR PLUS…

Laurent Lechat - Responsable Instituts de Formation

Tel : 02.99.23.46.63 - [email protected]

Fabienne Bouvet - Assistante commerciale

Tel : 02.99.23.46.51 – [email protected]

Pascale Briand - Assistante formation

Tel : 02.99.23.30.20 – [email protected]

mailto:-%[email protected]




3

METHODES ET MOYENS PEDAGOGIQUES

Nos formations sont exclusivement en mode présentiel.


4

L’OFFRE SÉCURITÉ

La sécurité de l’information est un champ d’intervention vaste et complexe qui nécessite de

s’appuyer sur des normes et des méthodologies éprouvées pour améliorer les chances de

réussites des projets.

L’ensemble de ces formations est délivré par des formateurs d’expérience apportant leurs

retours terrain.

Sodifrance propose des formations réparties en deux filières. La filière audit et la filière

mise en œuvre.

Vous trouverez ci-dessous nos principales formations, n’hésitez pas à vous rapprocher de

nous si vous souhaitez suivre une autre formation non énumérée ci-dessous.

L’EQUIPE SECURITE

Hervé TROALIC Responsable du pôle SSI

Avec plus de 20 ans d’expérience dans le domaine de la Sécurité des SI, Hervé Troalic a commencé sa

carrière comme expert en Sécurité des SI pour la DGA, puis comme expert en tests d’intrusions. Par la suite,

il a piloté les activités de sécurité chez un « pure player » avant de diriger l’activité de conseil sécurité

d’Orange. Aujourd’hui, Directeur de l’activité conseil et sécurité chez SODIFRANCE, il intervient comme

expert sur divers domaines comme les analyses de risques, les politiques de sécurité ou la réponse à incident.

Il exerce régulièrement dans la santé pour y apporter son expertise dans le domaine des SIH sur des projets

comme Hôpital Numérique ou l’agrément d’Hébergeur de Données de Santé à Caractère Personnel.

Pierre CORBEL Consultant formateur en sécurité

Certifié CIA, CISA, CISM, ISO 27001 Lead Implementer et Lead Auditor, Pierre Corbel a débuté sa carrière en

développant des formations sur la norme ISO 27001 et les analyses de risques. Il a ensuite travaillé auprès

d’organisations du secteur financier en France et au Canada tant sur les activités de contrôle et d’audit que

de mise en œuvre. Aujourd’hui, consultant sénior en sécurité chez SODIFRANCE, il accompagne des clients

de secteurs variés (santé, industrie, assurance…) dans l’évaluation et l’amélioration de leur sécurité.

Il a participé à la mise en œuvre du Système de Management de la Sécurité de l’Information de SODIFRANCE

(certifié ISO/IEC 27001 :2013) en tant que chef de projet.


5

NOS PLANS DE COURS

FILIERE AUDIT .................................................................................. 6

ISO 27001 LEAD AUDITOR ACQUERIR LES CONNAISSANCES POUR AUDITER UN SMSI ... 7

ISO 22301 LEAD AUDITOR ACQUERIR LES CONNAISSANCES POUR AUDITER UN SMSI ... 9

PASSCRACKING APPRENDRE A TROUVER UN MAXIMUM DE MOTS DE PASSE EN UN

MINIMUM DE TEMPS. ................................................................................ 11

SECURISER ET STOCKER VOS MOTS DE PASSE ................................................. 12

FILIERE MISE EN ŒUVRE ................................................................... 13

SECURITE DES APPLICATIONS WEB .............................................................. 14

ISO 27005 RISK MANAGER COMPRENDRE LES ATTENDUS DE LA NORME ISO 27005 ... 16

ISO 27005 RISK MANAGER AVEC EBIOS COMPRENDRE LES ATTENDUS DE LA NORME ISO

27005 ET LA METTRE EN OEUVRE AVEC EBIOS ................................................ 18

ISO 27001 LEAD IMPLEMENTER ACQUERIR LES COMPETENCES POUR METTRE EN

OEUVRE UN SMSI .................................................................................... 20

ISO 27001 FOUNDATION DECOUVRIR ET COMPRENDRE LES ATTENDUS DE LA NORME

ISO 27001 ............................................................................................ 22

ISO 22301 FOUNDATION DECOUVRIR ET COMPRENDRE LES ATTENDUS DE LA NORME

ISO 22301 ............................................................................................ 24

SENSIBILISER À LA SÉCURITÉ INFORMATIQUE .................................................. 26

CYBERSECURITY PRACTITIONER ACQUERIR LES CONNAISSANCES POUR METTRE EN

OEUVRE UN PROGRAMME DE CYBERSECURITE ................................................. 27

DATA PROTECTION OFFICER ACQUERIR LES CONNAISSANCES POUR S’ASSURER DE LA

CONFORMITE AU RGPD ............................................................................ 29

CONDITIONS GENERALES ET BON DE COMMANDE ..................................... 31

CONDITIONS GENERALES .......................................................................... 32

BON DE COMMANDE ................................................................................ 35


6

FILIERE AUDIT


7

ISO 27001 LEAD AUDITOR ACQUERIR LES CONNAISSANCES POUR AUDITER

UN SMSI

Sur base de cas d’exemples réels issus du terrain et d'exercices concrets, le stagiaire sera

amené durant la formation à mener à bien un audit de SMSI en développant des capacités

en gestion de programmes et de techniques d'audit ainsi qu’en gestion d'équipe, à travers la

communication avec le client d’audit.

OBJECTIFS

Comprendre les principes de fonctionnement d’un SMSI selon ISO 27001

Développer les aptitudes nécessaires pour mener à bien un audit ISO 27001 dans le

respect des exigences d’ISO 19011 et les spécifications de l’ISO 17021 et l’ISO 27006

Acquérir la compétence de gestion d’une équipe d’auditeurs de SMSI

Réussir l’examen de CERTI-TRUST™

Solliciter la qualification de Certified ISO 27001 Lead Auditor selon le niveau

d’expérience.

CONTENU PEDAGOGIQUE

Jour 1 : Le SMSI tel qu’exigé par la

norme ISO/CEI 27001:2013

• Système de Management de la Sécurité de l’Information – concepts de base

• Principes fondamentaux de la sécurité de l’information

• Les clauses 4 à 10 de l’ISO 27001 et l’Annexe A d’ISO 27001

• Le contexte du SMSI au sein de l’entreprise et son champ d’application

• Aspects de leardership et engagement managérial

• Planification d’un SMSI (gestion des risques, mesures de sécurité, applicabilité, etc.)

• Support des opérations d’un SMSI (documentation, ressources, etc.)

Jour 2 : Fonctionnement du SMSI

• Gestion des opérations d’un SMSI

• Surveillance du SMSI (journalisation, audit et revue de direction)

• Évaluation de l’efficacité des opérations et gestion des métriques

• Actions correctives et amélioration continue

• Processus de certification ISO 27001

• Présentation de la documentation nécessaire aux opérations du SMSI (toolbox)

Examen certifiant « ISO 27001 Foundation »

(1h – 50 questions QCM à livre fermé)


8

Jour 3 : Préparation et démarrage

de l’audit d’un SMSI

• Concepts de base, principes et critères d’audit selon ISO 19011

• Déroulement général d’un audit de SMSI

• Audits interne et externe

• Les acteurs de l’audit

• Planification et mise en œuvre d’un programme d’audit

• Activités préparatoires à l’audit

• Gestion des relations avec l’audité avant et pendant l’audit

• Documentation de l’audit

• Audit documentaire (audit d’étape 1)

• Présentation et utilisation des outils de préparation à un audit (via étude de cas)

Jour 4 : Réalisation de l’audit sur site

d’un SMSI

• Préparation de l’audit sur site (audit d’étape 2)

• Approche d’audit fondée sur la preuve et les risques

• Les différentes procédures d’audit

• Création de plans de test d’audit

• Exercices pratiques : simulations d’entretiens et de collecte de preuve

• Aspects liés aux rapports d’audit

• Revue de qualité des constats d’audit et préparation des conclusions

• Présentation et utilisation des outils de réalisation d’un audit (via étude de cas)

Jour 5 : Clôture et suivi de l’audit

• Présentation des conclusions

• Réunion de clôture

• Rédaction du rapport d’audit

• Suites à l’audit du SMSI (plans d’action et suivi de ceux-ci)

• Audits de surveillance et de suivi

• Présentation et utilisation des outils de reporting d’un audit (via étude de cas

pratique)

Examen certifiant « ISO 27001 Lead Auditor »


Public : Auditeurs internes, Auditeurs cherchant à réaliser et à mener des audits dans

les systèmes de sécurité d'informations, Gestionnaires de projets ou consultants

souhaitant maîtriser les audits des systèmes de sécurité d'informations, CxO et

managers responsables de la gestion TI d'une entreprise ainsi que la gestion des risques,

Membres d'une équipe de sécurité de l'information, Conseillers experts en technologie

de l'information, Experts techniques voulant se préparer pour un poste en sécurité de

l'information.

Pré-requis : Une connaissance de base de la Sécurité de l’Information et de la norme

ISO 27001 est nécessaire pour participer à ce cours.

Méthodes et moyens pédagogiques : alternance théorie/pratique, 8 stagiaires

maximum

Durée : 4,5 jours – 31,5 heures + 3 heures d’examen

Evaluation des acquis : Cette formation est certifiante

Pour s’inscrire :

02 99 23 46 51

[email protected]

Cette formation est aussi disponible en intra entreprise, nous consulter pour plus d’informations.


9

ISO 22301 LEAD AUDITOR ACQUERIR LES CONNAISSANCES POUR AUDITER

UN SMSI

Sur la base de cas d’exemples réels issus du terrain et d'exercices concrets, le stagiaire sera

amené durant la formation à mener à bien un audit de SMCA en développant des capacités

en gestion de programmes et de techniques d'audit ainsi qu’en gestion d'équipe, à travers la

communication avec le client d’audit.

OBJECTIFS

Comprendre les principes de fonctionnement d’un SMCA selon ISO 22301

Développer les aptitudes nécessaires pour mener à bien un audit ISO 22301 dans le

respect des exigences d’ISO 19011 et les spécifications de l’ISO 17021

Acquérir la compétence de gestion d’une équipe d’auditeurs de SMCA


Solliciter la qualification de Certified ISO 22301 Lead Auditor selon le niveau

d’expérience.

CONTENU PEDAGOGIQUE

Jour 1 : Le SMCA tel qu’exigé par la


• Système de Management de la Continuité d’Activité – concepts de base

• Principes fondamentaux de la continuité d’activité

• Les clauses 4 à 10 de l’ISO 22301 et les lignes directrices de l’ISO 22313

• Le contexte du SMCA au sein de l’entreprise et son champ d’application


• Planification d’un SMCA (bilan d’impact sur les activités, mesures applicables, etc.)

• Support des opérations d’un SMCA (documentation, plans, ressources, etc.)


10

Jour 2 : Fonctionnement du SMCA

• Stratégies de continuité d’activité et gestion des opérations d’un SMCA

• Surveillance du SMCA (journalisation, audit et revue de direction)

• Évaluation de l’efficacité des opérations, des tests et gestion des métriques

• Tests de continuité, actions correctives et amélioration continue


• Présentation de la documentation nécessaire aux opérations du SMCA (toolbox)




de l’audit d’un SMCA

• Concepts de base, principes et critères d’audit selon ISO 19011

• Déroulement général d’un audit de SMCA

• Audits interne et externe

• Les acteurs de l’audit

• Planification et mise en œuvre d’un programme d’audit

• Activités préparatoires à l’audit

• Gestion des relations avec l’audité avant et pendant l’audit

• Documentation de l’audit

• Audit documentaire (audit d’étape 1)

• Présentation et utilisation des outils de préparation à un audit (via étude de cas)

Jour 4 : Réalisation de l’audit sur

site d’un SMCA

• Préparation de l’audit sur site (audit d’étape 2)

• Approche d’audit fondée sur la preuve et les risques

• Les différentes procédures d’audit

• Création de plans de test d’audit

• Exercices pratiques : simulations d’entretiens et de collecte de preuve

• Aspects liés aux rapports d’audit

• Revue de qualité des constats d’audit et préparation des conclusions

• Présentation et utilisation des outils de réalisation d’un audit (via étude de cas)

Jour 5 : Clôture et suivi de l’audit

• Présentation des conclusions

• Réunion de clôture

• Rédaction du rapport d’audit

• Suites à l’audit du SMCA (plans d’action et suivi de ceux-ci)

• Audits de surveillance et de suivi

• Présentation et utilisation des outils de reporting d’un audit (via étude de cas pratique)

Examen certifiant « ISO 22301 Lead Auditor »


Public : Auditeurs internes, Auditeurs cherchant à réaliser et à mener des audits dans

les systèmes de sécurité d'informations, Gestionnaires de projets ou consultants

souhaitant maîtriser les audits des systèmes de continuité d’activité, CxO et managers

responsables de la gestion TI d'une entreprise ainsi que la gestion des risques, Membres

d'une équipe de continuité d’activité, Conseillers experts en technologie de

l'information, Experts techniques voulant se préparer pour un poste en continuité

d’activité

Pré-requis : Une connaissance de base de la continuité d’activité et de la norme ISO

22301 est nécessaire pour participer à ce cours.


maximum



Pour s’inscrire :

02 99 23 46 51

[email protected]



11

PASSCRACKING APPRENDRE A TROUVER UN MAXIMUM DE MOTS

DE PASSE EN UN MINIMUM DE TEMPS.

De la recherche de fuites à la récupération des mots de passe en clair, vous apprendrez à

trouver un maximum de mots de passe en un minimum de temps.

OBJECTIFS

Acquérir les bases et les bons réflexes en termes de passcracking

Trouver et casser des listes de mots de passe

Comprendre et utiliser au mieux hashcat et ses différentes attaques

CONTENU PEDAGOGIQUE

Généralités & Rappels

• Stockage de mots de passe

• Cassage de mots de passe

Bases du passcracking

• Méthodologie de la formation

• Conseils généraux

• Attaque par dictionnaires et règles de mutation

• Attaques par masques

• Analyse des mots de passe

• Génération de wordlists, scrapping

• Veille, récupération de données

Attaques avancées

• Attaques hybrides

• Combinaison(s)

• Fingerprinting

• Génération automatique de règles

• Découverte des hashcat-utils

Extraction de données depuis des

fuites

• Fichier CSV

• Fichier SQL

• Fichier non structuré

• Avec les outils de John The Ripper

• PDF, zip, …

Travaux Pratiques

• Fuite simple francophone

• Fuite salée

• Bcrypt

• SQL, sel & fun.

• Free For All

Public : Cette formation à la sécurité informatique s’adresse à toute personne

curieuse d’approfondir le sujet, notamment les pentesters, les développeurs et les

administrateurs informatiques.

Pré-requis : Aucun


maximum

Durée : 2 jours - 14 heures

Evaluation des acquis : Cette formation ne fait pas l’objet d’une évaluation des

acquis.

Pour s’inscrire :

02 99 23 46 51

[email protected]



12

SECURISER ET STOCKER VOS MOTS DE PASSE

En se plaçant du point de vue d’un attaquant, vous comprendrez comment sécuriser et

stocker au mieux vos mots de passe dans les applications que vous réalisez et/ou utilisez.

OBJECTIFS

Connaître les enjeux et les risques

Apprendre les bonnes pratiques de l'utilisation des mots de passe dans les applications

informatiques.

CONTENU PEDAGOGIQUE

Généralités

• Stockage de mots de passe

• Cassage de mots de passe

Méthodes utilisées par les attaquants

• Attaque par dictionnaire

• Règles de mutation

• Attaques par force brute

• Analyse des mots de passe

• Autres attaques

• Récapitulatif des recommandations

Conseils concernant la politique

personnelle

• Recommandations générales

• Gestionnaires de mots de passe

• Phrases de passe

• Méthodes de mémorisation

• Authentification forte

Recommandations concernant le

stockage

• Mécanismes de protections

• Fonctions toutes faites

• Point sur l’utilisation actuelle

Politique des mots de passe

• Politiques sur la complexité

• Politiques de renouvellement forcé

A retenir

Public : Cette sensibilisation à la sécurité informatique s'adresse à tout salarié au

sein de l'entreprise

Pré-requis : Aucun

Méthodes et moyens pédagogiques : 1 poste/stagiaire, alternance

théorie/pratique, 8 stagiaires maximum

Durée : 1 jour - 7 heures


acquis.

Pour s’inscrire :

02 99 23 46 51

[email protected]



13

FILIERE MISE EN ŒUVRE


14

SECURITE DES APPLICATIONS WEB

OBJECTIFS

Comprendre et appliquer les bonnes pratiques en termes de sécurité aux applications

déployées

Apporter les clés de la protection d'un service en ligne à partir d'exemples concrets

d'attaques et de ripostes adaptées.

CONTENU PEDAGOGIQUE

Introduction

• Qu'est-ce que la sécurité ?

• Présentation des éléments à sécuriser dans un SI

Constituants d'une application Web

• Les éléments d'une application N-tiers.

• Le serveur frontal HTTP, son rôle et ses faiblesses.

• Les risques intrinsèques de ces composants.

• Les acteurs majeurs du marché.

Le protocole HTTP

• Rappels TCP, HTTP, persistance et pipelining.

• Les PDU GET, POST, PUT, DELETE, HEAD et TRACE.

• Champs de l'en-tête, codes de status 1xx à 5xx.

• Redirection, hôte virtuel, proxy cache et tunneling.

• Les cookies, les attributs, les options associées.

• Les authentifications (Basic, Improved Digest...).

• L'accélération http, proxy, le Web balancing.

• Attaques protocolaires HTTP Request Smuggling et HTTP Response splitting.

Démonstration (10min) : Mise en œuvre de l'analyseur réseau Wireshark.

Sécurisation des flux avec SSL /

TLS Rappels des techniques

cryptographiques utilisées dans SSL et TLS.

• Gérer ses certificats serveurs, le standard X509.

• Qu'apporte le nouveau certificat X509 EV ?

• Quelle autorité de certification choisir ?

• Les techniques de capture et d'analyse des flux SSL.

• Les principales failles des certificats X509.

• Utilisation d'un reverse proxy pour l'accélération SSL.

• L'intérêt des cartes crypto hardware HSM.

Les vulnérabilités des applications

Web

• Pourquoi les applications Web sont-elles plus exposées ?

• Les risques majeurs des applications Web selon l'OWASP (Top Ten 2010).

• Les attaques " Cross Site Scripting " ou XSS - Pourquoi sont-elles en pleine expansion ? Comment les éviter ?

• Les attaques en injection (Commandes injection, SQL Injection, LDAP injection...).

• Les attaques sur les sessions (cookie poisonning, session hijacking...).

• Exploitation de vulnérabilités sur le frontal HTTP (ver Nimda, faille Unicode...).

• Attaques sur les configurations standard (Default Password, Directory Transversal...).

Démonstration (20min) : Exploitation d'une faille sur le frontal http.

Le firewall dans la protection

d'application HTTP

• Le firewall réseau

• Le firewall applicatif

• Combien de DMZ pour une architecture N-Tiers.

• Limites des firewalls dans la protection d'une application Web.


15

Apache HTTPd

• La configuration par défaut, le risque majeur.

• Règles à respecter lors de l'installation d'un système d'exploitation.

• Comment configurer Apache pour une sécurité optimale

Apache Tomcat

• La configuration par défaut, le risque majeur.

• Règles à respecter lors de l'installation d'un système d'exploitation.

• Comment configurer Apache pour une sécurité optimale

L'authentification des utilisateurs

• L'authentification via HTTP : Basic Authentication et Digest Authentication ou

par l'application (HTML form).

• L'authentification forte : certificat X509 client, Token SecurID, ADN digital Mobilegov...

• Autres techniques d'authentification par logiciel : CAPTCHA, Keypass, etc.

• Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger.

• Attaque sur les numéros de session (session hijacking) ou sur les cookies (cookie

poisoning).

• Attaque sur les authentifications HTTPS (fake server, sslsniff, X509 certificate exploit...).

Démonstration (si temps nécessaire) : Attaque " Man in the Middle " sur l'authentification d'un utilisateur et vol de session (session hijacking).

Sécurité des Web Services REST

• Sécurisation du transport avec SSL/TLS

• Sécurisation des messages : HMAC, Doseta, JWS…

• Les menaces STRIDE : Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of privilege

• Réduction des risques : chiffrement du transport, AuthN, SSL/TLS, WAF/XML Gateway, chiffrement des messages JSON

• Bonnes pratiques de développement associées

Démonstration (si temps nécessaire) : Mise à l’épreuve des services REST lors d’attaque inopinées

Public : Administrateurs réseaux, systèmes, Webmaster

Pré-requis : Connaissances de base en systèmes, réseaux et d'Internet.





acquis.

Pour s’inscrire :

02 99 23 46 51

[email protected]



16

ISO 27005 RISK MANAGER COMPRENDRE LES ATTENDUS DE LA NORME ISO

27005

OBJECTIFS

Comprendre la relation entre la gestion des risques en sécurité de l’information et

les mesures de sécurité associées

Assurer une gestion efficace des risques, à travers les concepts, approches, méthodes

et techniques selon l’ISO 27005

Développer des aptitudes sur les meilleures pratiques en matière de gestion des

risques liés à la sécurité de l'information


Solliciter la qualification de Certified ISO 27005 Risk Manager selon le niveau

d’expérience.

CONTENU PEDAGOGIQUE

Jour 1 : Programme de gestion des

risques selon la norme ISO/CEI

27005:2011

• Gestion des risques en sécurité de l’information – concepts & principes fondamentaux

• Le cadre normatif de la gestion des risques

• La norme ISO/CEI 27005:2011

• Planification de la gestion des risques

• Le contexte de l’organisation et le périmètre de gestion des risques

• Mise en œuvre d’un programme de gestion des risques

• Approches de la gestion des risques

• Présentation de différentes méthodes de gestion des risques (toolbox)

Jour 2 : Appréciation et traitement

du risque en sécurité de

l'information

• Identification des risques

• Analyse des risques

• Évaluation des risques

• Traitement du risque

• Relations entre ISO 27005 et ISO 27001

• Présentation et utilisation d’outils pratiques de gestion des risques (via étude de cas)


17

Jour 3 : Activités de soutien et de

surveillance des risques

• Documentation de la gestion des risques

• La communication sur le risque

• Les métriques d’évaluation de l’efficacité de la gestion des risques

• La réévaluation du risque

• L’amélioration continue de la gestion du risque

• Présentation et utilisation d’outils pratiques de gestion des risques (via étude de cas)

Examen certifiant « ISO 27005 Risk Manager »


Public : Security Officers, Gestionnaires de risques, Responsables du traitement des

données en entreprise, Chefs de projets ou consultants souhaitant maîtriser la mise en œuvre

d’un système de management de la Sécurité de l'Information, CxO et managers responsables

de la gestion TI d'une entreprise ainsi que la gestion des risques, Membres d'une équipe de

sécurité de l'information, Conseillers experts en technologie de l'information, Experts

techniques voulant se préparer pour un poste en sécurité de l’information.

Pré-requis : Une connaissance de base de la Sécurité de l’Information et de la norme ISO



maximum



Pour s’inscrire :

02 99 23 46 51

[email protected]



18

ISO 27005 RISK MANAGER AVEC EBIOS COMPRENDRE LES ATTENDUS DE LA NORME ISO 27005 ET LA METTRE EN OEUVRE AVEC EBIOS

OBJECTIFS

Comprendre la relation entre la gestion des risques en sécurité de l’information et

les mesures de sécurité associées

Assurer une gestion efficace des risques, à travers les concepts, approches, méthodes

et techniques selon l’ISO 27005 et la méthode EBIOS

Développer des aptitudes sur les meilleures pratiques en matière de gestion des

risques liés à la sécurité de l'information

Réussir les examens de CERTI-TRUST™

Solliciter les qualifications de Certified ISO 27005 Risk Manager et Certified EBIOS

Risk Manager selon le niveau d’expérience.

CONTENU PEDAGOGIQUE

Jour 1 : Programme de gestion des

risques selon la norme ISO/CEI

27005:2011

• Gestion des risques en sécurité de l’information – concepts & principes fondamentaux

• Le cadre normatif de la gestion des risques

• La norme ISO/CEI 27005:2011

• Planification de la gestion des risques

• Le contexte de l’organisation et le périmètre de gestion des risques

• Mise en œuvre d’un programme de gestion des risques

• Approches de la gestion des risques

• Identification des risques

Jour 2 : Appréciation, traitement et

surveillance des risques



• Traitement du risque

• Relations entre ISO 27005 et ISO 27001

• Documentation de la gestion des risques

• La communication sur le risque

• Les métriques d’évaluation de l’efficacité de la gestion des risques

• La réévaluation du risque

• L’amélioration continue de la gestion du risque


19

Jour 3 : Introduction à la méthode

EBIOS

• La méthode EBIOS – Introduction, principes et concepts de base

• Les 5 phases de la méthode EBIOS

• Définition du cadre de la gestion des risques

• Identification des menaces, vulnérabilités, biens essentiels et biens de support

• Critères de sécurité et échelles de besoins, gravité et vraisemblance

• Appréciation des scénarios de menace

Jour 4 : Réalisation de l’appréciation

des risques avec EBIOS



• Identification des objectifs de sécurité

• Choix des options de traitement du risque

• Relations entre ISO 27005 et EBIOS

• Formalisation des mesures de sécurité à mettre en œuvre

Jour 5 (matin) : Activités de soutien

et de surveillance des risques

• Exécution des traitements sur les risques

• Mise en oeuvre des mesures de sécurité

• Élaboration des plans d’action

• Analyse des risques résiduels

• Homologation de sécurité

• Cas pratique de gestion des risques (via étude de cas complète)

Examen certifiant « ISO 27005 Risk Manager »


Examen certifiant « EBIOS Risk Manager Avancé »


Public : Security Officers, Gestionnaires de risques, Responsables du traitement des

données en entreprise, Chefs de projets ou consultants souhaitant maîtriser la mise en

œuvre d’un système de management de la Sécurité de l'Information, CxO et managers

responsables de la gestion TI d'une entreprise ainsi que la gestion des risques, Membres

d'une équipe de sécurité de l'information, Conseillers experts en technologie de

l'information, Experts techniques voulant se préparer pour un poste en sécurité

del'information.

Pré-requis : Une connaissance de base de la Sécurité de l’Information et de la norme ISO



maximum

Durée : 4,5 jours – 31,5 heures +4 heures examen


Pour s’inscrire :

02 99 23 46 51

[email protected]



20

ISO 27001 LEAD IMPLEMENTER ACQUERIR LES COMPETENCES POUR METTRE EN

OEUVRE UN SMSI

Sur la base d’exemples réels et d'exercices concrets, le stagiaire sera amené durant la

formation à mener à bien un projet d’implémentation de SMSI en développant des capacités

en gestion de programmes et de techniques de mise en œuvre et de suivi ainsi qu’en gestion

d'équipe, à travers la communication avec les différentes parties intéressées.

OBJECTIFS

Comprendre les principes de fonctionnement d’un SMSI selon ISO 27001

Développer les aptitudes nécessaires pour mener à bien un projet d’implémentation

ISO 27001 dans le respect des exigences de la norme et les lignes directrices des

normes ISO 27002, 27003, 27004 et 27005

Acquérir la compétence de gestion d’une équipe projets pour lancer et maintenir un

SMSI


Solliciter la qualification de Certified ISO 27001 Lead Implementer selon le niveau

d’expérience.

CONTENU PEDAGOGIQUE




















21


d’un projet SMSI

• Les jalons et le calendrier d’un projet de SMSI

• Planification d’un projet SMSI

• Périmètre du projet et définition du champ d’application du SMSI

• Les acteurs du projet – Rôles et responsabilités des parties prenantes

• Business Case et méthodologie de gestion de projet

• Obtenir le soutien des parties prenantes et de la direction

• Gestion des relations avec les parties intéressées durant le projet d’implémentation

• Documentation du SMSI

• Politiques et procédures du SMSI

• Présentation et utilisation des outils de préparation au projet (via étude de cas)

Jour 4 : Les opérations et la

performance d’un SMSI

• Gestion des risques en Sécurité de l’Information

• Mesures de sécurité et sélection des contrôles applicables

• Déclaration d’Applicabilité (DdA) et Plan de traitement des risques (PTR)

• Rôles et responsabilités des opérateurs et des parties intéressées

• Communication, sensibilisation et formation

• Gestion des incidents de sécurité

• Surveillance, mesure, analyse et évaluation du SMSI

• Présentation et utilisation des outils de réalisation et de suivi du projet (via étude de

cas)

Jour 5 : Cycle de vie et pérennité du

SMSI

• Audit interne du SMSI, gestion de la conformité

• Revue de Direction

• Gestion de l’amélioration continue & actions correctives et préventives

• Processus de certification

• Présentation et utilisation des outils de suivi du cycle de vie du SMSI (via étude de cas)

Examen certifiant « ISO 27001 Lead Implementer »


Public : Security Officers, Gestionnaires de risques, Responsables du traitement

des données en entreprise, Chefs de projets ou consultants souhaitant maîtriser la

mise en œuvre d’un système de management de la Sécurité de l'Information, CxO

et managers responsables de la gestion TI d'une entreprise ainsi que la gestion des

risques, Membres d'une équipe de sécurité de l'information, Conseillers experts en

technologie de l'information, Experts techniques voulant se préparer pour un poste

en sécurité de l'information.

Pré-requis : Une connaissance de base de la Sécurité de l’Information et de la

norme ISO 27001est nécessaire pour participer à ce cours.

Méthodes et moyens pédagogiques : alternance théorie/pratique, 8

stagiaires maximum



Pour s’inscrire :

02 99 23 46 51

[email protected]



22

ISO 27001 FOUNDATION DECOUVRIR ET COMPRENDRE LES ATTENDUS DE

LA NORME ISO 27001

Sur la base de cas d’exemples et d'exercices pratiques, le stagiaire sera amené durant la

formation à mieux cerner les aspects de planification, mise en œuvre, contrôle et

amélioration d’un SMSI en prenant en considération les exigences formelles de la norme et

en interprétant adéquatement celles-ci dans une perspective de maîtrise des enjeux liés à

la Sécurité de l’Information de leur organisation.

OBJECTIFS

Comprendre les enjeux du management de la sécurité de l’information sa mise en

œuvre

Acquérir la terminologie et les connaissances de base nécessaires pour répondre aux

exigences de l’ISO 27001 dans le contexte d’une entreprise

Découvrir les bonnes pratiques de management de la sécurité de l’information et son

articulation avec la gestion des risques


Solliciter la qualification de Certified ISO 27001 Foundation.

CONTENU PEDAGOGIQUE











23










Public : Security Officers, Gestionnaires de risques, Responsables du traitement

des données en entreprise, Chefs de projets ou consultants souhaitant maîtriser

les concepts associés au SMSI dans une organisation, Dirigeants d'une entreprise

souhaitant se familiariser avec les aspects de Sécurité de l’Information, Membres

d'une équipe projet en sécurité de l'information, Opérateurs en technologie de

l'information, Membre du personnel d’une organisation voulant se préparer pour

un poste en sécurité de l'information.

Pré-requis : Aucun pré-requis particulier n’est attendu pour la participation à

cette formation.


stagiaires maximum

Durée : 2 jours - 14 heures + 1 heure d’examen


Pour s’inscrire :

02 99 23 46 51

[email protected]



24

ISO 22301 FOUNDATION DECOUVRIR ET COMPRENDRE LES ATTENDUS DE

LA NORME ISO 22301

Sur la base de cas d’exemples et d'exercices pratiques, le stagiaire sera amené durant la

formation à mieux cerner les aspects de planification, mise en œuvre, contrôle et

amélioration d’un SMCA en prenant en considération les exigences formelles de la norme et

en interprétant adéquatement celles-ci dans une perspective de maîtrise des enjeux liés à

la continuité d’activité au sein de leur organisation.

OBJECTIFS

Comprendre les enjeux du management de la continuité d’activité et sa mise en

œuvre

Acquérir la terminologie et les connaissances de base nécessaires pour répondre aux

exigences de l’ISO 22301 dans le contexte d’une entreprise

Découvrir les bonnes pratiques de management de la sécurité de l’information et son

articulation avec la gestion des risques


Solliciter la qualification de Certified ISO 22301 Foundation.

CONTENU PEDAGOGIQUE

Jour 1 : Le SMCA tel qu’exigé par la


• Système de Management de la Continuité d’Activité – concepts de base

• Principes fondamentaux de la continuité d’activité

• Les clauses 4 à 10 de l’ISO 22301 et les lignes directrices de l’ISO 22313

• Le contexte du SMCA au sein de l’entreprise et son champ d’application


• Planification d’un SMCA (bilan d’impact sur les activités, mesures applicables, etc.)

• Support des opérations d’un SMCA (documentation, ressources, etc.)


25


• Gestion des opérations d’un SMCA

• Surveillance du SMCA (journalisation, audit et revue de direction)




• Présentation de la documentation nécessaire aux opérations du SMCA (toolbox)



Public : Business Continuity Manager, Responsable ou collaborateurs des services

généraux d’une entreprise, Chefs de projets ou consultants souhaitant maîtriser

les concepts associés au SMCA dans une organisation, Dirigeants d'une entreprise

souhaitant se familiariser avec les aspects de Continuité d’Activité, Membres d'une

équipe projet en continuité d’activité, Opérateurs en technologie de l'information,

Membre du personnel d’une organisation voulant se préparer pour un poste en

continuité d’activité

Pré-requis : Aucun pré-requis particulier n’est attendu pour la participation à

cette formation.


stagiaires maximum

Durée : 2 jours - 14 heures + 1 heure d’examen


Pour s’inscrire :

02 99 23 46 51

[email protected]



26

SENSIBILISER À LA SÉCURITÉ INFORMATIQUE

Cette formation sera dispensée par un expert en Sécurité des Systèmes d’Information.

OBJECTIFS

Sensibiliser aux menaces informatiques du quotidien

Comprendre les problématiques liées à la sécurité informatique

Adopter les bonnes pratiques

CONTENU PEDAGOGIQUE

Introduction

• Les notions indispensables à connaitre sur le sujet

Le paysage de la menace

• Les principales menaces et leurs sources

o Retours d’expérience

o Exemples sous forme de vidéos ou de démonstrations

Comment se protéger

• Les bons réflexes, que faire quand…

• Les mesures « d’hygiène »

Aller plus loin

• La Charte informatique et la politique de sécurité de mon entreprise

• Et à la maison ?

Synthèse

Public : Cette formation s’adresse à tout salarié au sein de l’entreprise

Pré-requis : Aucun


stagiaires maximum


Evaluation des acquis : Cette formation ne fait pas l’objet d’une évaluation

des acquis.

Pour s’inscrire :

02 99 23 46 51

[email protected]



27

CYBERSECURITY PRACTITIONER ACQUERIR LES CONNAISSANCES POUR METTRE

EN OEUVRE UN PROGRAMME DE CYBERSECURITE

Sur la base de labs pratiques, d’exemples réels et d'exercices concrets basés sur des

environnements à simulation technique avancée, le stagiaire sera amené durant la formation

à mener à bien un projet d’implémentation d’un programme de Cybersécurité en

développant des capacités en identification des menaces, en gestion de programmes, de

techniques de mise en œuvre et de suivi ainsi qu’en gestion d'équipe, à travers la

communication avec les différentes parties intéressées dans le Cyberspace.

OBJECTIFS

Maîtriser les concepts, approches, normes, méthodes et techniques pour participer à

la mise en œuvre et la gestion d'un programme de Cybersécurité conforme au

référentiel du NIST au sein d'une organisation

Comprendre le but, le contenu et la corrélation entre la Sécurité de l’Information et

le cadre de Cybersécurité du NIST ainsi qu'avec d'autres normes

Acquérir les connaissances nécessaires pour conseiller une organisation sur les

meilleures pratiques de gestion de la cybersécurité


Solliciter la qualification de Certified ISO 27001 Lead

Implementer selon le niveau d’expérience.

CONTENU PEDAGOGIQUE

Jour 1 : Le programme de

Cybersécurité selon le NIST

Cybersecurity Framework

• Concepts et principes de base en Cybersécurité

• Cadre légal et normatif en Cybersécurité

• Le NIST Cybersecurity Framework

• Organisation et clarification des objectifs de la cybersécurité

• Analyse du contexte existant et de l’exposition

• Déclencheurs d’un programme de Cybersécurité

• Outils de support d’un programme de Cybersécurité (documentation, ressources, etc.)

Jour 2 : Cyberattaques et exposition

des organisations

• Threat Intelligence et évaluation des risques

• Vecteurs d’attaque communs, agents de menaces, motifs et types d’attaques


28

• Surveillance du programme de Cybersécurité (journalisation et audits)

• Les incidents en Cybersécurité, leurs conséquences et la réponse à y apporter

• Gestion de crise et des urgences, niveaux de préparation

• Présentation de la documentation nécessaire aux opérations du programme (toolbox)

Examen certifiant « Cybersecurity Foundation »


Jour 3 : Planifier et démarrer un

programme de Cybersécurité

• Gouvernance de la Cybersécurité, meilleures pratiques et cadre normatif

• Planification du programme de Cybersécurité

• Périmètre du programme

• Structure organisationnelle de la Cybersécurité, rôles et responsabilités

• Gestion des ressources du programme de Cybersécurité

• Gestion de la documentation du programme

• Politiques et procédures du programme de Cybersécurité

• Compréhension des menaces et gestion des risques « cyber » (LAB)

• Présentation et utilisation des outils du programme de Cybersécurité (via LAB)

Jour 4 : Les opérations et la

performance du programme de

Cybersécurité

• Mesures de sécurité et sélection des contrôles applicables

• Options de traitement des risques majeurs et continuité opérationnelle

• Rôles et responsabilités des opérateurs et des parties intéressées

• Communication, sensibilisation et formation des acteurs

• Gestion des incidents de sécurité et récupération (LAB)

• Surveillance, mesure, analyse et évaluation du programme de Cybersécurité

• Présentation et utilisation des outils de réalisation et de suivi du programme (via LAB)

Jour 5 : Cycle de vie du programme

de Cybersécurité

• Test du programme de Cybersécurité

• Plans d’action, suivi des anomalies et correction des défaillances

• Gestion de l’amélioration continue du programme

• Processus de certification

• Présentation et utilisation des outils de suivi du cycle de vie du programme (via LAB)

Examen certifiant « Cybersecurity Practitioner »


Public : IT Security Officers, Gestionnaires de SoC, Responsables des actifs

digitaux d’une organisation, Chefs de projets ou consultants souhaitant maîtriser

la mise en œuvre d’un programme de gestion de la Cybersécurité, Managers

responsables de la gestion TI, d'une entreprise ainsi que la gestion des risques en

Cybersécurité, Membres d'une équipe de sécurité de l'information, Conseillers

experts en technologie de l'information, Experts techniques voulant se préparer

pour un poste en Cybersécurité

Pré-requis : Des connaissances minimales sur la sécurité de l'information et des

concepts connexes sont nécessaires pour la réussite du cours.


stagiaires maximum



Pour s’inscrire :

02 99 23 46 51

[email protected]



29

DATA PROTECTION OFFICER ACQUERIR LES CONNAISSANCES POUR

S’ASSURER DE LA CONFORMITE AU RGPD

Ce programme certifiant est conçu dans une triple perspective, technologique et juridique,

en tenant compte de l'application pratique et des meilleures pratiques et expériences de

l'industrie dans des domaines tels que la sécurité, la protection des données personnelles et

la gouvernance informatique. Le programme de certification - Certified Data Protection

Officer a été développé pour, sur base d’exemples réels et d'exercices concrets, donner au

stagiaire les connaissances et aptitude lui permettant de mener à bien la mise en œuvre

d’un programme de conformité de la protection des données à caractère personnel au

bénéfice de son organisation.

OBJECTIFS

Acquérir une compréhension globale des concepts, des approches, des méthodes et

des techniques pour appliquer efficacement le GDPR/RGPD

Comprendre les exigences que le GDPR/RGPD impose aux organisations de l'UE et aux

organisations hors-UE et acquérir l’expertise nécessaire pour leur mise en œuvre

Savoir gérer une équipe de protection des données.

Développer les connaissances et compétences nécessaires pour conseiller les

organisations sur les meilleures pratiques en matière d’analyse et de prise de décision

concernant la gestion des données personnelles.


Solliciter la qualification de Certified Data Protection

Officer selon le niveau d’expérience.

CONTENU PEDAGOGIQUE

Jour 1 : La Protection des Données

et le RGPD

• Aperçu du cadre international de protection des données

• La protection des données en Europe

• Cadre normatif et meilleures pratiques de management

• Concepts et principes fondamentaux du RGPD

• Aspects de légitimation et droits des personnes

• Focus sur le consentement éclairé

• Soutien documentaire et références au RGPD (documentation, ressources, etc.)

Jour 2 : Les composants du RPGD et

les relations qu’ils entretiennent

• Mesures liées à la conformité de la protection des données (politiques, procédures, etc.)

• Les différents intervenants et leurs obligations légales


30

• Privacy by design & by default – aspects principaux

• Notification et divulgation des failles de sécurité et des pertes de données

• Le Délégué à la Protection des Données (DPD / Data Protection Officer, DPO)

• Les autorités de protection des données et leur rôle

• Transferts internationaux de données

• Lignes directrices pour l’interprétation du RGPD (le groupe des 29, opinions du EDPB)

Examen certifiant « GDPR Foundation »


Jour 3 : Réglementation par la

pratique, gestion des risques et de

la conformité

• Arsenal réglementaire européen en matière de protection des données

• Gestion des risques en matière de protection des données à caractère personnel

• Appréciation des risques en matière de protection des données et mesures applicables

• Mesures de protection et gestion des risques résiduels

• Méthodologie de gestion des risques appliquées à une étude de cas (toolbox)

• Aspects de conformité au RGPD

• Business Case & méthodologie de mise en œuvre et de gestion d’un projet de conformité

• Traçabilité du modèle de conformité

• Relations entre conformité au RGPD, Sécurité de l’Information et Cybersécurité

• Présentation et utilisation des outils de gestion d’un programme (étude de cas)

Jour 4 : Appréciation des impacts

sur la protection des données (DPIA)

• Introduction au DPIA, origines, concepts et caractéristiques

• Mener une appréciation des impacts – aspects préparatoires

• Mettre en œuvre un DPIA (atelier pratique)

• Différences entre risques standards et risques élevés pour le sujet

• Le rôle du Délégué à la Protection des Données dans un DPIA

• Gestion du cycle de vie de la protection des données

• Références, opinions et recommandations de diverses sources

• Présentation d’outils de gestion et de suivi du DPIA (toolbox et étude de cas)

Jour 5 : Assurance du programme

de conformité de la protection des

données

• L’audit de la protection des données – aspects généraux

• Audit des systèmes d’information et intégration de mesures sur la protection des données

• Contrôle interne et amélioration continue

• Utilisation d’outils de suivi du cycle de vie du programme de conformité (étude de cas)

Examen certifiant « Data Protection Officer » (2h – 100

questions QCM à livre fermé)

Public : Chefs de projet ou consultants souhaitant accompagner une organisation

dans la mise en œuvre et l'adoption des nouvelles exigences du GDPR/RGPD , Les

auditeurs qui souhaitent comprendre pleinement le processus de mise en œuvre

du GDPR/RGPD, Délégués à la Protection des Données et CxO chargés de la

protection des données personnelles d'une entreprise et de la gestion de ses

risques, Membres d'une équipe de sécurité de l'information, Avocats, juristes,

Conseillers experts en protection des données personnelles, Experts en conformité

souhaitant se préparer à un poste de délégué à la protection des données.

Pré-requis : Une connaissance de base du Règlement Général sur la Protection

des Données de l’UE est recommandée pour participer à ce cours.





Pour s’inscrire :

02 99 23 46 51

[email protected]



31

CONDITIONS GENERALES ET BON DE COMMANDE


32

CONDITIONS GENERALES

1. - Conditions de la formation

Nous garantissons un poste par personne pour les formations dans nos locaux ou dans les locaux de l’un de nos partenaires.

Afin de réaliser de manière optimale les formations dans vos locaux, merci de bien vouloir prévoir une salle équipée d'un

tableau ou d'un paper-board, un vidéo projecteur, ainsi qu'un matériel par participant.

Nos factures sont payables à 30 jours. Elles tiennent lieu de convention de formation professionnelle simplifiée. Une convention

séparée pourra être établie sur demande.

Les prix s’entendent hors frais de repas.

2. - Objet

Par le présent contrat, et moyennant le respect des stipulations ci-après, SODIFRANCE-ISIS assumera auprès du CLIENT en contrepartie du prix les prestations de formation indiquées dans les Conditions Particulières.

Les présentes Conditions Générales ne peuvent valoir comme offre de contracter à l’égard de tous tiers. SODIFRANCE-ISIS se réserve expressément le droit d’agréer tous tiers se proposant d’adhérer au présent contrat.

3. - Conditions

La prestation décrite dans les Conditions Particulières s’effectuera dans les locaux de SODIFRANCE-ISIS ou tous autres locaux que ce dernier jugera bon de désigner. Ces locaux seront adaptés à ladite prestation. Le CLIENT s’engage donc à se déplacer

à ses frais dans lesdits locaux pour bénéficier de la prestation.

SODIFRANCE-ISIS s’engage à respecter les délais indiqués dans les Conditions Particulières pour exécuter sa prestation.

Toutefois, cette obligation n’est que de moyens.

SODIFRANCE-ISIS fixera les horaires pour exécuter sa prestation. Celle-ci aura lieu pendant les jours ouvrés entre 9h et 18h00 (7 heures de formation /jour). Le CLIENT s’engage à respecter ces horaires ou à indiquer exceptionnellement à SODIFRANCE-ISIS, dans un délai suffisant, qu’il est dans l’impossibilité de les respecter. Dans ce dernier cas, les Parties s’efforceront de trouver un horaire commun.

4. – Obligations du contrat

Le CLIENT reconnaît posséder, par lui-même ou par l’intermédiaire de son personnel bénéficiaire de la prestation, des compétences générales nécessaires pour profiter de la prestation décrite dans les Conditions Particulières. Le cas échéant, les

Conditions Particulières indiqueront les compétences spécialement requises au préalable.

Le CLIENT s’engage à suivre de façon attentive la formation, ou à faire suivre ladite formation par un personnel attentif.

Le CLIENT ne peut prétendre à aucun remboursement en cas de non-respect de ces obligations.

Le CLIENT s’oblige à ne pas engager directement ou indirectement un collaborateur de SODIFRANCE-ISIS, présent ou à venir, ou à le prendre à son service sous quelque statut que ce soit, même dans l’hypothèse où la sollicitation serait faite à l’initiative

dudit collaborateur.

Cette obligation de ne pas faire est valable pendant la durée du présent contrat et pendant les 12 mois qui suivront son

expiration.

Dans l’hypothèse où le CLIENT ne respecterait pas cette obligation de non sollicitation de personnel, il sera tenu de dédommager SODIFRANCE-ISIS en lui versant une indemnité forfaitaire égale au montant brut des appointements perçus au cours des 12 derniers mois par le collaborateur concerné. Dans l’hypothèse où ledit collaborateur n’aurait pas 12 mois d’ancienneté, cette indemnité sera égale au montant des appointements bruts perçus par celui-ci et majorés des frais de

formation et de recrutement.

5. - Prix

La réalisation des obligations de SODIFRANCE-ISIS fait l’objet d’une facturation. Le CLIENT s’engage à s’acquitter du prix indiqué dans les Conditions Particulières.

Toute prestation effectuée par SODIFRANCE-ISIS au profit du CLIENT et ne figurant pas dans les Conditions Particulières fera l’objet d’une facturation supplémentaire au tarif en vigueur. Le CLIENT s’engage à prendre connaissance de ces tarifs avant


33

toute demande supplémentaire. Ces tarifs seront réputés acceptés par le CLIENT de façon irréfragable dès lors que celui-ci a passé une nouvelle commande.

Le prix est payable net et sans escompte à la date indiquée dans les Conditions Particulières, et à défaut d’indication, à

l’achèvement de la prestation.

Les ristournes et rabais éventuels sont indiqués dans les Conditions Particulières. A défaut, ils sont réputés ne pas exister.

En cas de retard de paiement, SODIFRANCE-ISIS pourra de plein droit et sans sommation demander le paiement de :

• une pénalité de retard de 1.5% fois le taux légal à compter du jour suivant la date de règlement prévue ;

• une somme forfaitaire de 15 € HT correspondant aux frais de dossier ;

• tous les frais autres, directs et indirects, liés à une procédure de recouvrement, amiable ou judiciaire, éventuellement diligentée contre le CLIENT.

6. – Propriété intellectuelle

SODIFRANCE-ISIS fournira au CLIENT tous les documents nécessaires à la réalisation de sa prestation, notamment les supports de cours. Le CLIENT pourra conserver lesdits supports à l’issue du contrat.

Toutefois, ces documents ne sont remis au CLIENT que pour la stricte exécution du présent contrat et sont réservés à son usage personnel. Ainsi, le CLIENT n’acquiert aucun droit de propriété intellectuelle sur lesdits documents. Il s’interdit donc notamment de les représenter ou de les reproduire, à titre gratuit ou onéreux, en tout ou partie, et même pour son usage personnel, sans l’autorisation préalable et écrite de SODIFRANCE-ISIS. Le CLIENT s’interdit donc notamment d’en faire profiter tous tiers, y compris ses filiales éventuelles, à des fins personnelles ou professionnelles, sous quelque façon que ce soit. Le

CLIENT reconnaît être informé des sanctions de la contrefaçon.

7. - Responsabilité

SODIFRANCE-ISIS n’est tenu envers le CLIENT à aucune conséquence – directe ou indirecte – liée à l’exécution du présent contrat.

La responsabilité de SODIFRANCE-ISIS est limitée à deux fois le montant total HT du contrat dans l’hypothèse où celle-ci est recherchée pour l’inexécution des obligations contractuelles.

Dans tous les cas, la responsabilité de SODIFRANCE-ISIS ne pourra pas être recherchée en cas de force majeure. Seront assimilés

à un cas de force majeure pour l’application du présent contrat les faits de grève du personnel de SODIFRANCE-ISIS.

8. – Sous-Traitance / cession du contrat

SODIFRANCE ISIS se réserve la possibilité à tout moment de faire sous-traiter tout ou partie des prestations prévues dans le présent contrat.

De même, SODIFRANCE-ISIS pourra céder à un tiers tout ou partie de sa qualité de cocontractant au présent contrat. Le CLIENT est réputé accepter par avance irrévocablement ladite cession. Le CLIENT ne pourra plus alors demander à la société SODIFRANCE-ISIS d’exécuter le présent contrat et la tiendra quitte pour l’avenir. Le CLIENT devra alors s’adresser directement au cessionnaire. Le CLIENT dispense SODIFRANCE-ISIS et le cessionnaire à effectuer les formalités prévues par l’article 1690 du Code civil.

Le CLIENT ne pourra pas céder tout ou partie de ses droits issus du présent contrat.

9. - Annulation

SODIFRANCE-ISIS pourra annuler de plein droit la prestation prévue au présent contrat sous réserve de l’envoi d’une lettre recommandée avec accusé de réception respectant un préavis de 15 jours et sous réserve de fournir au CLIENT un motif suffisant, comme par exemple un manque imprévu de personnel qualifié. En ce cas, SODIFRANCE-ISIS remboursera au CLIENT les sommes éventuellement déjà perçues sans être tenu à aucune autre conséquence, directe ou indirecte.

Le CLIENT pourra annuler sa demande sous réserve de l’envoi d’une lettre recommandée avec accusé de réception respectant un préavis de 10 jours calendaires minimum.

En ce cas, le CLIENT ne devra aucune somme à SODIFRANCE-ISIS. Dans l’hypothèse où ce préavis ne serait pas respecté, SODIFRANCE-ISIS pourra prétendre au paiement de l’intégralité des sommes dues en vertu du présent contrat.


34

10. 1– Suspension du contrat / résolution / résiliation

SODIFRANCE-ISIS pourra de plein droit et sans sommation refuser d’exécuter sa prestation ou la suspendre selon le cas, dans

l’hypothèse où tout ou partie du prix n’a pas été acquitté par le CLIENT à la date prévue.

Toutefois en ce cas, SODIFRANCE-ISIS pourra de plein droit et sans sommation préférer exiger la résolution ou la résiliation du

présent contrat.

Dans l’hypothèse où SODIFRANCE-ISIS applique au CLIENT l’une des sanctions décrites ci-dessus, SODIFRANCE-ISIS pourra de plein droit réclamer le paiement de la totalité des sommes que le CLIENT aurait dû verser au titre du contrat suspendu, résolu

ou résilié, outre des dommages & intérêts éventuels.

Si le CLIENT fait l’objet d’une procédure collective, le CLIENT s’engage à en informer SODIFRANCE-ISIS dans les meilleurs délais. SODIFRANCE-ISIS pourra de plein droit et sans sommation résilier le présent contrat, sous réserve du respect des dispositions d’ordre public de l’article L.621-28 du Code du commerce.

11. - Renonciation

La renonciation à un droit issu du présent contrat dont est titulaire SODIFRANCE-ISIS ne peut résulter que d’un écrit signé par un représentant dûment habilité. Cette clause est formulée à titre de validité de ladite renonciation. Toute tolérance de

SODIFRANCE-ISIS ne peut valoir renonciation.

12. - Litige

En cas de litige et à défaut d’accord amiable, le Tribunal de commerce de RENNES (35) sera seul compétent.

La loi applicable est le droit français.

13. - Primauté des présentes conditions générales et des conditions particulières

Dans l’ordre de priorité suivant, les présentes Conditions Générales et les Conditions Particulières forment l’intégralité des accords des Parties. Aucun autre document n’a vocation à entrer dans le champ contractuel, sauf avenant écrit et signé des Parties. Tout autre document, notamment les Conditions Générales qu’applique éventuellement le CLIENT à ses prestataires, est inopposable à SODIFRANCE-ISIS.

Toutefois le cas échéant, la proposition commerciale adressée par SODIFRANCE-ISIS et acceptée par le CLIENT pourra tenir lieu de Conditions Particulières pour l’application du présent contrat dès lors qu’il n’existe entre les Parties aucun autre document intitulé « Conditions Particulières ».

BON DE COMMANDE

Merci de retourner ce bon de commande par mail : [email protected] Ou de nous contacter au 02.99.23.46.51

Cordonnées du client final

Société

Nom du contact Prénom

Fonction Département

Téléphone ligne directe Téléphone portable

E-mail

Lieu où va se dérouler la formation

❑ Site du client ❑ Site Sodifrance Si oui lequel :

Adresse de la formation à préciser

Adresse de facturation si différence de celle de la société

Informations concernant les formations

Intitulé de la formation

Durée de la formation Nombre de stagiaires

Dates de la formation

Prix de la session en € HT € HT Frais de déplacement du formateur

€

Prix de la formation € TTC € TTC

CONDITIONS DE FACTURATION ET DE REGLEMENT

Facturation émise dès la fin de la formation. Le règlement de la facture s’effectuera à 30 Jours à compter de la date de réception de la facture.

Bon pour Accord client (Cachet + Signature)


Accompagnement au changement & formations IT

02.99.23.46.51 [email protected]

www.sodifrance.fr/formations

http://www.sodifrance.fr/formations

Documents

Catalogue de formation securité 2019 · SECURITE DES APPLICATIONS WEB ..... 14 ISO 27005 RISK MANAGER COMPRENDRE LES ATTENDUS DE LA NORME ISO 27005 ... 16 ISO 27005 RISK MANAGER