Cybersécurité - Gestion de risque
Gouvernance et pilotage avancé des risques cybersécurité Vision Groupe multisites
Formation créée le 21/11/2024. Dernière mise à jour le 16/06/2025.Version du programme : 1
Type de formation
Formation présentielleDurée de formation
21 heures (3 jours)Accessibilité
OuiCybersécurité - Gestion de risque
Gouvernance et pilotage avancé des risques cybersécurité Vision Groupe multisites
Cette formation de haut niveau permet aux experts SSI et risk managers d’orchestrer la gouvernance des risques cybersécurité à l’échelle d’un groupe multisites. Elle articule les référentiels ISO 27005, LPM, NIS2 et EBIOS RM avec une approche stratégique orientée décisionnel COMEX. À travers des simulations concrètes, les participants construisent un plan directeur SSI, priorisent les traitements et pilotent la résilience dans des environnements critiques.
Objectifs de la formation
- Piloter une gouvernance des risques cybersécurité à l’échelle d’un groupe multisites et multi-métiers.
- Hiérarchiser les risques critiques (SI industriels, OT, IT, fournisseurs) selon les contraintes internes et externes.
- Produire des supports de décision à destination des comités stratégiques (RSSI Groupe, COMEX, DGA).
- Arbitrer les traitements selon les priorités budgétaires, les risques systémiques et les obligations réglementaires (LPM, NIS2, ISO 27005).
- Concevoir un plan directeur pluriannuel de maîtrise des risques SSI.
Profil des bénéficiaires
Pour qui
- Responsables de la sécurité des systèmes d’information (RSSI).
- Managers et responsables d’équipes IT.
- Auditeurs en sécurité informatique.
- Toute personne impliquée dans la gestion des risques cyber au sein de son organisation.
Prérequis
- 10 à 15 ans d’expérience en cybersécurité, gouvernance SSI ou gestion de crise.
- Maîtrise des référentiels ISO 27001 / 27005, LPM, NIS2.
- Expérience en animation de dispositifs de pilotage SSI et de relations COMEX.
Contenu de la formation
Jour 1 – Gouvernance stratégique des risques SSI (7h)
- Définir une gouvernance de la gestion des risques à l’échelle Groupe
- Matrice RACI et interactions entre entités SSI, DSI, métiers, juridique
- Rôles du RSSI Groupe vs entités (centralisé, délégué, hybride)
- Étude de cas : mise en place d’un dispositif de gouvernance multi-entités EDF
- Construction d’une cartographie des risques consolidée (IT/OT, cloud, fournisseurs critiques)
- Intégration des référentiels ISO 27005, EBIOS RM, LPM, NIS2
- Arbitrages SSI : coûts / impacts / continuité / exigence réglementaire
- Atelier : simulation de consolidation des risques de plusieurs entités industrielles
Jour 2 – Analyse, traitement et pilotage multisites (7h)
- Méthodes d’évaluation de la criticité groupe (KRI, scoring avancé, dépendances croisées)
- Acceptabilité des risques : grille de tolérance par entité + arbitrage Groupe
- Priorisation et scénarisation : risque systémique, cascade d’impact
- Atelier : simulation de priorisation budgétaire des traitements SSI (multi-entités)
- Traitement des risques : mesures SSI, mesures organisationnelles, plans d’action transverses
- Suivi des risques et indicateurs : reporting COMEX, comités de pilotage SSI, anomalies
- Élaboration d’un plan directeur SSI orienté gestion des risques
- Atelier : construction d’un tableau de bord stratégique pour la direction Groupe
Jour 3 – Crise, résilience et communication stratégique (7h)
- Articulation entre gestion des risques et gestion de crise : PCA, PRA, cyber-assurance
- Retour d’expérience de crise réelle : évaluation des risques mal anticipés ou mal traités
- Gestion des risques liés aux prestataires critiques, chaînes d’approvisionnement
- Atelier : post-mortem d’un incident groupe → requalification du portefeuille de risques
- Communication des risques SSI au COMEX : posture, langage, arbitrages
- Élaboration d’un dossier de synthèse stratégique pour la gouvernance
- War game : jeu de rôle COMEX – arbitrage en situation de sous-budgétisation critique
- Clôture : grille d’auto-évaluation de maturité de pilotage des risques cybersécurité groupe
Équipe pédagogique
Professionnel expert technique et pédagogique.
Accessibilité
22 au 24 septembre 2025