RNSI – RÉFÉRENTIEL NATIONAL DE SÉCURITÉ DES SYSTÈMES D’INFORMATION

Partager cette formation
Détails de la formation
  • Date de début
    19 - 01 - 2025
  • Date de fin
    23 - 01 - 2025

Le Référentiel National de Sécurité de l’Information (RNSI) 2020 (publié en 2021) est un cadre réglementaire et normatif destiné à renforcer la sécurité des systèmes d'information des organisations publiques. Le RNSI vise à protéger les infrastructures critiques, les données sensibles et à garantir la continuité des services en cas de cybermenaces.

Le RNSI met un accent particulier sur la gouvernance de la sécurité des systèmes d'information. Il établit des directives claires pour la gestion et la supervision des politiques de sécurité à tous les niveaux de l'organisation. Ce volet de gouvernance comprend plusieurs aspects clés :

- Responsabilités et rôles clairs :
Définir des rôles et des responsabilités spécifiques pour les parties prenantes impliquées dans la gestion de la sécurité, y compris les dirigeants, les administrateurs et les utilisateurs.

- Élaboration et mise en œuvre des politiques de sécurité :
Développer des politiques de sécurité solides et les mettre en œuvre de manière cohérente à travers toute l'organisation. Ces politiques doivent être alignées avec les objectifs stratégiques de l'entreprise.

- Surveillance et évaluation continue :
Mettre en place des mécanismes de surveillance et d'évaluation continue pour s'assurer que les politiques de sécurité sont efficaces et conformes aux normes établies. Cela inclut des audits réguliers, des évaluations de risques et des tests de pénétration.

- Gestion des risques :
Identifier, évaluer et gérer les risques liés à la sécurité des systèmes d'information. Cette approche proactive permet de minimiser les impacts potentiels des cybermenaces.

- Conformité réglementaire :
S'assurer que les organisations se conforment aux lois et réglementations nationales et internationales en matière de sécurité des informations. Le RNSI fournit un cadre pour atteindre et maintenir cette conformité.

- Formation et sensibilisation :
Promouvoir une culture de la sécurité au sein de l'organisation par le biais de programmes de formation et de sensibilisation. Les employés doivent être régulièrement formés aux meilleures pratiques de sécurité et être conscients des menaces potentielles.

- Planification de la continuité des activités :
- Développer et maintenir des plans de continuité des activités et de reprise après sinistre pour garantir que les opérations essentielles peuvent se poursuivre en cas de perturbation majeure.

En mettant l'accent sur la gouvernance, le RNSI assure que la sécurité des systèmes d'information n'est pas seulement une question technique, mais aussi une priorité stratégique et organisationnelle. Cela renforce la résilience des systèmes d'information, protège les actifs critiques et maintient la confiance des parties prenantes dans la capacité de l'organisation à gérer les risques de sécurité de manière efficace et efficiente.

Le RNSI 2020 comprend vingt (20) domaines :

- Gestion des actifs
- Protection des données à caractère personnel
- Gestion et contrôle des accès
- Sécurité des appareils mobiles
- Sécurité des réseaux
- Sécurité des systèmes d’information
- Sécurité liée à l’exploitation
- Sécurité des Systèmes d’Information Critiques
- Sécurité des Services Cloud
- Cryptographie
- Sécurité Physique
- Internet des Objets – Internet Of Things (IoT)
- Surveillance et Journalisation
- Gestion des Incidents de sécurité
- Gestion de la continuité des activités
- Ressources humaines
- Sécurité liée à l’usage des Réseaux Sociaux
- Intégration de la sécurité durant le cycle de vie de Développement des logiciels
- Exigences de Sécurité pour les projets de technologie de l’information (TIC)
- Relation avec les tierces parties

Cette formation de 5 jours vise à fournir aux participants une compréhension approfondie du Règlement National de la Sécurité des Systèmes d'Information (RNSI) et à les équiper avec les compétences nécessaires pour appliquer efficacement les exigences du règlement dans leurs organisations.

Les objectifs spécifiques de la formation sont les suivants :

1. Comprendre le Cadre du RNSI
• Contexte et Objectifs du RNSI : Acquérir une compréhension approfondie des origines, du contexte réglementaire et des objectifs stratégiques du RNSI. Cela inclut la reconnaissance de son importance pour la protection des infrastructures critiques en Algérie.
• Portée et Exigences : Identifier les principales exigences et obligations imposées par le RNSI, ainsi que les secteurs et types d’organisations concernés.

2. Développer une Gouvernance Efficace de la Sécurité des Systèmes d'Information
• Structuration de la Gouvernance : Apprendre à établir une structure de gouvernance solide pour la sécurité des systèmes d’information, incluant la définition des rôles, responsabilités et processus décisionnels.
• Élaboration de Politiques et Procédures : Développer des politiques de sécurité adaptées aux exigences du RNSI et mettre en place des procédures opérationnelles pour leur application.
• Rôles et Responsabilités : Clarifier les rôles des parties prenantes, de la direction aux équipes opérationnelles, et veiller à l’engagement de chacun dans la mise en œuvre des pratiques de sécurité.

3. Maîtriser les 20 Domaines du RNSI
• Domaine par Domaine : Examiner en détail chacun des 20 domaines de sécurité couverts par le RNSI, tels que la sécurité des réseaux, la gestion des incidents, la protection des données, …
• Mise en Pratique : Apprendre à appliquer les exigences spécifiques de chaque domaine au sein de l’organisation, à travers des études de cas et des ateliers pratiques.
• Évaluation des Pratiques Actuelles : Comparer les pratiques de sécurité existantes avec les exigences du RNSI et identifier les lacunes à combler.

4. Identifier, Évaluer et Gérer les Risques
• Analyse des Risques : Maîtriser les méthodologies d’analyse des risques pour identifier et évaluer les menaces potentielles et les vulnérabilités.
• Planification des Réponses aux Risques : Développer des plans de gestion des risques et des mesures de traitement appropriées pour minimiser les impacts sur les systèmes d’information.
• Gestion des Incidents : Mettre en place des procédures efficaces pour la gestion des incidents de sécurité, incluant la détection, la réponse et la récupération après un incident.

5. Préparer et Conduire un Audit de Conformité RNSI
• Préparation à l’Audit : Se familiariser avec les exigences d’audit et les critères de conformité du RNSI. Préparer des documents et des preuves nécessaires pour les audits de sécurité.
• Amélioration Continue : Apprendre à utiliser les résultats des audits pour améliorer en continu les politiques de sécurité et les pratiques de gestion des risques.

6. Promouvoir une Culture de Sécurité au Sein de l’Organisation
• Sensibilisation et Formation : Développer des programmes de sensibilisation à la cybersécurité pour tous les niveaux de l’organisation afin de renforcer la culture de sécurité.
• Engagement des Parties Prenantes : Encourager l’implication active des parties prenantes et la communication efficace sur les questions de sécurité.

Ces objectifs détaillés permettent aux participants de non seulement comprendre les exigences du RNSI mais aussi de les appliquer de manière pratique au sein de leur organisation, tout en développant une approche proactive pour gérer la cybersécurité et la conformité.

Jour 1 : Introduction au RNSI et Gouvernance de la Sécurité

• Contexte et Objectifs du RNSI :
o Présentation du cadre réglementaire algérien en matière de cybersécurité.
o Objectifs stratégiques du RNSI pour protéger les infrastructures critiques.
o Importance du RNSI dans le contexte global de la cybersécurité.
• Portée et Exigences du RNSI :
o Examen des secteurs concernés et des types d’organisations visées.
o Identification des principales obligations imposées par le règlement.
• Structuration de la Gouvernance :
o Élaboration d’une stratégie de sécurité de l'information.
o Mise en place des structures de gouvernance, incluant les rôles et responsabilités.
o Définition des processus décisionnels et de communication.
• Élaboration de Politiques et Procédures de Sécurité :
o Rédaction et mise en œuvre de politiques de sécurité.
o Développement de procédures opérationnelles et de gestion des incidents.
o Intégration des exigences réglementaires dans les politiques internes.
• Découverte des Normes et Référentiels Internationaux :
o ISO 27001 : Gestion de la sécurité de l'information
o ISO 27005 : Gestion des risques
o ISO 22301 : Gestion la continuité d’activité
o ISO 27701 : Gestion de la vie privée.
o NIST : Framework pour la cybersécurité, ses exigences et ses meilleures pratiques.
o CIS : Contrôles de sécurité recommandés par le Center for Internet Security.
o NIS2 : Directive européenne sur la cybersécurité pour les réseaux et systèmes d'information

Jour 2 : Les 20 Domaines du RNSI - Partie 1 (Domaines 1 à 10)

• Gouvernance de la Sécurité (Domaine 1) :
o Stratégie de Sécurité : Développement d'une stratégie alignée sur les objectifs de l'organisation.
o Rôles et Responsabilités : Mise en place de structures et rôles clairs pour la gouvernance de la sécurité.
• Gestion des Risques (Domaine 2) :
o Introduction à la Gestion des Risques : Concepts clés et cadre général.
• Protection des Informations (Domaine 3) :
o Sécurisation des Données : Techniques de chiffrement, sauvegardes, et contrôles d'accès.
o Études de Cas : Analyse de violations de données et des mesures correctives.
• Gestion des Incidents (Domaine 4) :
o Plan de Réponse aux Incidents : Élaboration et mise en œuvre de plans pour la gestion des incidents.
o Gestion des Incidents : Processus de détection, notification, et réponse initiale.
• Sécurité des Réseaux (Domaine 5) :
o Sécurisation des Réseaux : Techniques pour protéger les réseaux internes et externes.
o Contrôles d'Accès : Mise en place de contrôles d'accès et de protections contre les attaques.
• Sécurité des Systèmes (Domaine 6) :
o Sécurisation des Systèmes : Techniques pour protéger les systèmes d'exploitation et les serveurs.
o Exemples de Mise en Œuvre : Application des pratiques de sécurité dans des environnements réels.

• Gestion des Identités et des Accès (Domaine 7) :
o Contrôles d'Accès : Mise en place de mécanismes de contrôle d'accès efficaces.
o Gestion des Identités : Techniques pour gérer les identités et les permissions des utilisateurs.
• Sécurité des Applications (Domaine 8) :
o Pratiques Sécurisées : Développement et déploiement sécurisé des applications.
o Tests de Vulnérabilités : Identification et gestion des vulnérabilités dans les applications.
• Sécurité Physique et Environnementale (Domaine 9) :
o Protection Physique : Mesures pour protéger les infrastructures physiques.
o Contrôles Environnementaux : Surveillance et protection des installations.
• Gestion des Changements (Domaine 10) :
o Contrôles des Changements : Techniques pour gérer les changements dans les systèmes et configurations.
o Validation des Changements : Méthodes pour valider les modifications avant leur mise en œuvre.

Jour 3 : Les 20 Domaines du RNSI - Partie 2 (Domaine 11 à 20)

• Sécurité des Communications (Domaine 11) :
o Protection des Communications : Techniques pour sécuriser les communications internes et externes.
o Cryptage des Données : Méthodes pour protéger les données en transit.
• Formation et Sensibilisation (Domaine 12) :
o Développement de Programmes : Création de programmes de formation en cybersécurité.
o Sensibilisation du Personnel : Techniques pour sensibiliser les employés aux risques de sécurité.
• Conformité et Audit (Domaine 13) :
o Processus d'Audit : Mise en place de processus d'audit interne pour vérifier la conformité.
o Préparation pour les Audits Externes : Préparation des documents nécessaires et gestion des audits externes.
• Plan de Continuité des Activités (Domaine 14) :
o Élaboration des Plans : Création de plans de continuité et de reprise après sinistre.
o Tests et Exercices : Simulation de scénarios pour tester les plans de continuité.
• Gestion des Fournisseurs (Domaine 15) :
o Sécurisation des Relations : Techniques pour sécuriser les relations avec les fournisseurs et partenaires.
o Évaluation des Fournisseurs : Méthodes pour évaluer la sécurité des fournisseurs.
• Sécurité des Dispositifs Mobiles (Domaine 16) :
o Protection des Dispositifs : Techniques pour sécuriser les dispositifs mobiles et les données.
o Gestion des Risques Associés : Identification et gestion des risques liés aux dispositifs mobiles.
• Gestion des Données Personnelles (Domaine 17) :
o Conformité aux Réglementations : Respect des réglementations sur la protection des données personnelles.
o Techniques de Protection : Méthodes pour protéger les données personnelles.
• Surveillance et Contrôle (Domaine 18) :
o Surveillance des Systèmes : Techniques pour surveiller les systèmes et détecter les menaces.
o Contrôles de Sécurité : Mise en place de contrôles pour garantir la sécurité continue des systèmes.
• Analyse des Vulnérabilités (Domaine 19) :
o Identification des Vulnérabilités : Techniques pour identifier les vulnérabilités dans les systèmes.
o Gestion des Vulnérabilités : Méthodes pour gérer et remédier aux vulnérabilités.
• Gestion des Exigences Légales et Contractuelles (Domaine 20) :
o Respect des Exigences : Conformité avec les exigences légales et contractuelles en matière de sécurité.
o Élaboration des Documents : Création et gestion des documents nécessaires pour prouver la conformité.

Jour 4 : Gestion des Risques et Réponse aux Incidents

• Normes et méthodes de gestion des risques
o Identification des Risques : Techniques pour identifier menaces et vulnérabilités.
o Évaluation des Risques : Méthodes pour évaluer la probabilité et l'impact des risques.
o Traitement des Risques : Élaboration de stratégies de traitement des risques.
o Exercices Pratiques : Cas pratiques pour appliquer les concepts appris.
• Développement de Plans de Gestion des Risques :
o Élaboration des Plans : Création de plans de gestion des risques détaillés, y compris les stratégies de prévention, de détection, de réponse, et de récupération.
o Intégration dans la Stratégie de Sécurité : Alignement des plans de gestion des risques avec les stratégies globales de sécurité de l’organisation.
• Planification et Mise en Œuvre de la réponse aux incidents :
o Création de Procédures de Réponse : Élaboration de procédures détaillées pour la gestion des incidents de sécurité, y compris les étapes de réponse et de récupération.
o Simulation d’Incidents : Exercices pratiques de simulation d'incidents pour tester la réactivité et l'efficacité des procédures mises en place.
• Détection, Réponse et Récupération :
o Techniques de Détection : Méthodes pour identifier rapidement les incidents de sécurité et les signes de compromission.
o Réponse Initiale : Processus pour la réponse immédiate aux incidents, y compris la containment, l’éradication, et la récupération.
o Analyse Post-Incident : Analyse après incident pour évaluer les causes, l’impact, et les leçons apprises pour améliorer les procédures de réponse.

Jour 5 : Conformité et Préparation à l’Audit

• Critères et Exigences d'Audit :
o Compréhension des Exigences : Détail des critères d'audit pour la conformité avec le RNSI et les normes internationales pertinentes.
o Préparation des Documents : Élaboration et organisation des documents nécessaires pour les audits de conformité, y compris les preuves de mise en œuvre des politiques et procédures.
• Simulation d’Audit :
o Exercice Pratique : Simulation d’un audit pour préparer les participants aux attentes des auditeurs et aux processus d’audit.
o Évaluation des Résultats : Analyse des résultats de la simulation d’audit et recommandations pour les améliorations nécessaires.

• Utilisation des Résultats des Audits pour l’Amélioration Continue :
o Application des Recommandations : Mise en œuvre des recommandations issues des audits pour renforcer les politiques et pratiques de sécurité.
o Mécanismes de Retour d’Expérience : Création de mécanismes pour recueillir et appliquer les retours d’expérience afin de maintenir et améliorer la conformité.
• Discussion et Clôture :
o Réflexion sur l’Application Pratique : Discussion sur l’application des compétences et connaissances acquises dans les environnements de travail des participants

Pour les entreprises intéressées, voici les informations pratiques relatives à la formation :

Le formateur : Cette formation est animée par un expert senior en sécurité et protection des données, ayant plus de 25 ans d'expérience internationale dans le domaine. Il est accrédité en tant qu'instructeur officiel pour le RGPD CDPO (Certified Data Protection Officer), ISO 27001, ISO 27002, ISO 27005 Risk Manager, EBIOS Risk Manager, ISO 27032 Lead Cyber Security Manager, ISO 27035 Lead Incident Manager, ISO 22301, UCISO.
Son expertise approfondie et sa maîtrise des normes et réglementations liées à la protection des données garantissent un enseignement de qualité et une compréhension approfondie du sujet.


Détails de la formation
  • Date de début
    19 - 01 - 2025
  • Date de fin
    23 - 01 - 2025