Le commissaire aux comptes, acteur de la cybersécurité

Le coût économique des cyber-attaques n'est plus à démontrer. Avec l'essor des plateformes, l'hébergement dans le cloud des données et des applications, les entités se trouvent souvent victimes collatérales d'attaques menées par des organisations criminelles. Indisponibilité des services, exfiltrations de données, suppression d'informations critiques, les conséquences sont terribles pour les entités prises en otage. Il n'est plus nécessaire d'être une cible pour être une victime !

L'essor du télétravail, le shadow IT, le déploiement de l'IA, l'interconnexion des systèmes d'information dans la supply chain augmentent significativement les risques. Aucune entité n'est à l'abri.

Les pouvoirs publics multiplient les programmes de sensibilisation à destination des chefs d'entreprises mais la portée de ces actions reste limitée, faute de prise de conscience. L'entrée en vigueur de la directive NIS2 créé des nouvelles obligations et responsabilités pour la gouvernance d'entreprise.

Bénéficiant de la confiance des dirigeants, le commissaire aux comptes a un rôle essentiel à jouer dans la sensibilisation et dans la prévention.

Du fait de sa connaissance des systèmes d'information et des risques qui pèsent sur l'entité, et de sa maîtrise des données financières, le commissaire aux comptes est un acteur légitime de la cybersécurité. En réalisant un diagnostic cyber, il éclaire la gouvernance sur l'exposition et la maturité face aux risques d'attaques. La construction de scénarios d'attaques et l'estimation des conséquences financières probables rendent cette approche particulièrement intéressante pour les dirigeants car elle met en exergue l'intérêt d'investir dans la cyber-résilience.

L'outil CyberAUDIT, conçu par des commissaires aux comptes, permet d'aborder la question vitale de la cyber résilience des entreprises, sans nécessiter d'une expertise forte en IT. La formation sur l'outil est indispensable pour mener à bien et sécuriser vos missions de manière efficace et structurée.

• Comprendre les différents types d'attaques et les conséquences induites
• Disposer des éléments clés pour conduire un entretien avec la direction sur la cybersécurité en maîtrisant des concepts clés (identification des données et applications critiques, compréhension des rôles et des accès, gestion des actifs, protection des données, sécurisation du nomadisme, etc)
• Evaluer l'exposition et la maturité aux risques cyber d'une entité
• Elaborer des recommandations pour améliorer la maturité de l'entité
  

• Prendre connaissance des principaux vecteurs d'intrusion et des motivations des attaquants au travers de cas réels
  
• Comprendre les bonnes pratiques à mettre en place dans toute organisation (en se basant sur les mesures préconisées par l'ANSSI)
• Identifier les principes d'accès et d'utilisation de l'outil
  
• Sensibiliser ses clients sur les risques financiers significatifs et la nécessité d'investir pour protéger leurs données
  
• Savoir réaliser une mission de diagnostic dans sa globalité au moyen de l'outil CyberAUDIT :
  • Etablissement de la lettre de mission
  • Détermination des documents / informations à recueillir
  • Réalisation et formalisation des scénarios
  • Edition du compte-rendu de mission
• Etre en mesure de proposer la mission de diagnostic cyber en ayant identifié les diligences à réaliser et à formaliser sur l'outil CyberAUDIT développé par la CNCC.

• Panorama des cyberattaques (actualités, motivations, profils des attaquants)
• Impact des nouvelles organisations sur la sécurité (télétravail, cloud, Shadow IT, etc.)
• Ecosystème de la cyberdéfense et organisation des réponses (CyberMalveillance, police, gendarmerie, ANSSI)
• Quelle place pour un commissaire aux comptes dans la prévention et l'appréhension de ce risque ?
• Comment vendre cette mission ?
• Quels sont les avantages pour l'entité ?
• Pourquoi et comment mener à bien cette nouvelle mission ?
• Quelles sont les diligences à mener ?
• Quelle formalisation prévoir au sein du dossier ?
• Comment maintenir ses compétences ?
  
  

En se basant sur des cas réels d'attaques subies par les entreprises, les participants travailleront sur les conséquences opérationnelles et financières. Une méthodologie sera proposée pour conduire l'évaluation des préjudices suivant les différents scénarios d'attaques retenus.

Les supports pédagogiques sont conçus avec le plus grand soin et sont sous format dématérialisé, accessibles dans l'onglet « mes sessions » de l'espace personnel des participants (espaces.jinius.fr). Ils permettent aux participants de pouvoir revenir ultérieurement sur les thèmes abordés pendant la formation. Ils se composent :

• D'un diaporama
• De cas pratiques énoncés et corrigés
• D'une documentation pour approfondir
  

CNCC Formation apporte également le plus grand soin à l'élaboration et à la mise en œuvre des formations proposées :

• Les méthodes pédagogiques assurent aux participants une véritable progression des savoirs & savoir-faire
• Les formateurs sont rigoureusement sélectionnés : ce sont des professionnels, reconnus pour leur maîtrise technique, exerçant personnellement des missions de commissariat aux comptes ce qui leur permet une approche très pratique des sujets traités.
• La constitution des groupes, volontairement limités en nombre, fait l'objet d'un soin tout particulier afin de favoriser les échanges
• Les formations se déroulent dans des salles de formation adaptées, disposant du matériel pédagogique nécessaire (paperboard, vidéoprojecteur, etc.)
• Si l'animation devait être transposée en classe virtuelle, elle sera entrecoupée de plusieurs pauses brèves pour permettre une concentration optimale des participants. Par ailleurs, pour le bon déroulement de la formation, le participant devra disposer d'un ordinateur avec webcam, micro et une connexion Internet stable et à haut débit

A l'issue de la formation, le participant devra se rendre dans l'onglet « sessions terminées » de son espace personnel (espaces.jinius.fr) pour : 

• Evaluer l'acquisition de ses connaissances à partir d'un questionnaire à choix unique de 15 affirmations. Les connaissances seront considérées comme acquises à partir de 10 bonnes réponses sur 15. Ce test est disponible pendant 8 jours calendaires
• Télécharger son attestation de fin de formation, sous réserve d'avoir été présent
• Remplir un questionnaire d'appréciation sur la qualité de la formation. Les réponses reçues font l'objet d'une analyse attentive permettant à CNCC FORMATION d'améliorer la qualité des formations dispensées
• Accéder au support pédagogique complet

• Pour suivre cette formation, il est indispensable :
  • D'apporter votre ordinateur portable
  • D'avoir activé l'authentification forte sur votre compte et de vous munir du téléphone mobile sur lequel l'application a été installée. Pour plus d'information sur l'activation de l'authentification forte, nous vous invitons à consulter la notice détaillée.
    
  • L'accès à l'outil CyberAUDIT se fait depuis le portail de la CNCC dans l'espace « LabAUDIT Services » après connexion en tant que commissaire aux comptes. Si vous ne disposez pas d'un tel accès, nous vous invitons à consulter la fiche explicative dédiée
  • De faire une demande de jeton CyberAudit par mail, quelques jours avant la session, à l'adresse : cyberaudit@cncc.fr.
  • De vous assurer en amont de la formation que vous pourrez vous connecter à internet au cours de la journée. Il est donc conseillé de prévoir un moyen de connexion (clé 4G, partage de connexion avec votre smartphone) afin d'en garantir la stabilité et éviter d'avoir à vous connecter sur un wifi partagé
• Pour toute question relative à l'accessibilité aux personnes en situation de handicap, merci de contacter l'organisateur de la session concernée
• Les supports étant dématérialisés, nous conseillons aux participants de les télécharger préalablement. Attention, certaines tablettes ou smartphones ne permettent pas d'annoter les supports en PDF