Le site des formations de la CNCC
Aide en ligneAide en ligne
Les contatcs utiles de l'organisme CNCC FormationContact

Maîtriser la cybersécurité pour apprécier les organisations des clients et accompagner les dirigeants d'entreprise

Formation Labellisée par l'ANSSI

Préambule

Cette formation vous permettra de maîtriser les risques et enjeux cyber pouvant toucher votre cabinet et vos clients et d'intégrer la sécurité numérique dans toutes vos démarches.

Vous serez en mesure de réaliser un diagnostic fonctionnel et d'estimer le degré de maturité de vos clients sur la sécurité de leurs systèmes d'information et leurs capacités de résilience.

Vos compétences seront évaluées lors de projets applicatifs et un certificat labellisé par l'ANSSI* vous sera remis attestant de la validation des acquis.

*Cette labellisation par l'ANSSI garantit la conformité et la qualité des compétences acquises auprès de toutes les structures et administrations.

Objectifs professionnels
  • Identifier les cybermenaces pouvant toucher l'entreprise et porter atteinte à son système d'information et analyser les risques inhérents
  • Appréhender les failles du système d'information (interne et/ou externe) et être en mesure d'analyser les risques
  • Etre capable de préconiser les solutions techniques, juridiques et organisationnelles à mettre en place pour préserver l'entreprise
Bénéfices Participants
  • Vous identifierez et serez capable d'analyser des problèmes de cybersécurité dans une perspective d'intelligence et de sécurité économiques chez vos client
  • Vous serez en mesure d'évaluer les menaces liées à l'utilisation de l'informatique, des réseaux internet, réseaux privés d'entreprises ou réseaux publics
  • Pour la mise en œuvre des démarches de sécurité inhérentes aux besoins fonctionnels, vous saurez préconiser les solutions techniques et juridiques à mettre en place
  • Enfin, vous serez en mesure de conseiller vos clients sur les pratiques techniques et juridiques à adopter et ainsi les prévenir sur leurs obligations et leurs responsabilités liées à la cybersécurité
Prérequis

Cette formation ne nécessite aucun prérequis.

Questions Traitées

MODULE 1 - DEUX JOURS - « CYBERSÉCURITÉ : NOTIONS DE BASES, ENJEUX ET ASPECTS JURIDIQUES »

NOTIONS DE BASE ET ENJEUX

  • Introduction
    • Intelligence économique, sécurité économique globale
    • Définition de la cybersécurité (Sécurité des SI, Cyberdéfense, Cybercriminalité)
  • Les enjeux de la sécurité des SI
    • La nouvelle économie de la cybercriminalité
    • Panorama des menaces selon une typologie
    • Les vulnérabilités
    • Focus sur l'ingénierie sociale
  • Les propriétés de sécurité
    • Présentation du principe de défense en profondeur
    • Identification et évaluation des actifs et des objectifs de sécurité
  • Le paysage institutionnel de la cybersécurité
    • La prévention
    • Rôle et missions des acteurs étatiques chargés du traitement technique et judiciaire des attaques cybers

ASPECTS JURIDIQUES

  • Cybersécurité et cybercriminalité : enjeux juridiques
    • Contexte et fondements juridiques
    • Mesures préventives
    • Rançongiciels et phishings
    • Gestion des incidents
    • Communication de crise
  • La preuve en matière pénale et en matière civile
  • Réglementations sectorielles
    • La Directive NIS 2
    • Cloud Act
  • Droit de la propriété intellectuelle appliqué aux logiciels

 

MODULE 2 - DEUX JOURS - « ORGANISATION DE LA CYBERSÉCURITÉ DANS L'ENTREPRISE »

  • L'hygiène informatique pour les utilisateurs
    • Cartographie des SI de l'entreprise
    • Le patrimoine informationnel du poste de travail
      • Identification du patrimoine
      • L'adaptation des procédures à la criticité 
    • Le réseau de partage de documents (interne ou sur internet)
    • Les mises à jour
    • Les méthodes d'authentification des utilisateurs
      • Focus mot de passe
    • Le nomadisme
  • Gestion et organisation de la cybersécurité
    • Les publications et recommandations disponibles
      • Guides de l'ANSSI
      • Recommandations de la CNIL, de la police et de la gendarmerie
      • Les clubs (CLUSIF/CESIN) et les Observatoires zonaux de la Sécurité des systèmes d'information (SSI)
      • Les CERTs (Computer Emergency Response Team)
    • La responsabilisation des collaborateurs et la diffusion des bonnes pratiques internes
      • Les messages à transmettre aux utilisateurs finaux des entreprises
      • Les chartes informatiques
    • Le rôle de l'image et de la communication dans la cybersécurité
      • Communication externe (surveillance de l'e-réputation)
      • Usage des réseaux sociaux, professionnel et personnel
    • Méthodologie d'évaluation du niveau de sécurité
    • Gestion des incidents / Procédures judiciaires
  • Protection du patrimoine informationnel et cybersécurité
    • Les modalités de protection du patrimoine immatériel de l'entreprise
      • Le dispositif de zone à régime restrictif (ZRR)
  • La cybersécurité des services externalisés
    • Les différentes formes d'externalisation
      • Les contrats de services « classiques »
      • Le Cloud Computing
      • Les Techniques de sécurité lors de l'externalisation (chiffrement des données)
    • Les critères de choix du prestataire de service
      • Les points clés, techniques et organisationnels de sécurité à bien identifier lors du choix d'un prestataire
      • La certification / qualification des produits
      • Le référentiel de l'ANSSI 
      • Maîtriser les risques de l'infogérance
    • Aspects juridiques et contractuels

 

MODULE 3 - DEUX JOURS - « ADMINISTRATION SÉCURISÉE DU SYSTÈME D'INFORMATION INTERNE D'UNE ENTREPRISE ET DE SES SITES INTERNET »

ADMINISTRATION SÉCURISÉE DU SI

  • Analyse de risque
    • Expression des besoins et identification des objectifs de sécurité - EBIOS / Méthode harmonisée d'analyse des risques - MEHARI)
  • Principes et domaines de la SSI afin de sécuriser les réseaux internes : la défense en profondeur
    • Politique et stratégie de sécurité
    • Gestion des flux, notamment réseaux sans fil / architecture réseaux (cloisonnement du réseau)
    • Gestion des comptes, des utilisateurs, des privilèges selon le besoin d'en connaître
    • Gestion des mots de passe
    • Gestion des mises à jour
    • Journalisation et analyse
    • Gestion des procédures
    • Plan de continuité d'activité (PCA) / Plan de reprise d'activité (PRA)
    • Virtualisation / cloisonnement
  • Détection des incidents
  • Gestion de crise
    • Traitement technique de l'incident
    • Procédure organisationnelle et communication
    • Reprise d'activité
  • Méthodologie de résilience de l'entreprise
  • Traitement et recyclage du matériel informatique en fin de vie (ordinateurs, copieurs, supports amovibles, etc.)
  • Responsabilité en l'absence de conformité des infrastructures

 SÉCURITÉ DES SITES GÉRÉS EN INTERNE

  • Protection des sites internet
    • Approche systémique de la sécurité (éviter l'approche par patches)
    • Configuration des serveurs et services
    • HTTPS et Infrastructure de gestion de clés (IGC)
    • Services tiers
  • Avantages et limites de l'utilisation d'un Content Management System (CMS ou Gestion des contenus) et / ou développement web
    • Sécurité des bases de données Utilisateurs et sessions
    • Obligations juridiques réglementaires
      • Le e-commerce
      • La Loi pour la confiance dans l'économie numérique (LCEN)
      • Payment Card Industry-Data Security Standard (PCI-DSS)
Moyens et méthodes pédagogiques

Les supports pédagogiques sont conçus avec le plus grand soin et sont sous format dématérialisé, accessibles dans l'espace participant du site : espaces.jinius.fr. Ils permettent aux participants de pouvoir revenir ultérieurement sur les thèmes abordés pendant la formation. Ils se composent de :

  • Diaporama
  • D'un accès direct à l'outil de la CNCC
  • Documentation pour approfondir

CNCC Formation apporte également le plus grand soin à l'élaboration et à la mise en œuvre des formations proposées :

  • Les méthodes pédagogiques assurent aux participants une véritable progression des savoirs & savoir-faire
  • Pour cette formation, le corps d'intervenants sera constitué de consultants experts en sécurité et de juristes. Des collaborateurs issus de de l'Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI), interviendront lors des modules techniques qui nécessitent une expertise spécifique de terrain.
  • La constitution des groupes, volontairement limités en nombre, fait l'objet d'un soin tout particulier afin de favoriser les échanges
  • Les formations se déroulent dans des salles de formation adaptées, disposant du matériel pédagogique nécessaire (paper-board, vidéo-projecteur, etc.)
  • Si l'animation devait être transposée en classe virtuelle, elle serait entrecoupée de plusieurs pauses brèves pour permettre une concentration optimale des participants. Par ailleurs, pour le bon déroulement de la formation, le participant devra disposer d'un ordinateur avec webcam, micro et une connexion Internet stable et à haut débit
  • Des questionnaires en ligne d'évaluation sont systématiquement remis à chacun des participants à l'issue de la formation. Ils font l'objet d'une analyse attentive qui permet à CNCC Formation d'améliorer la qualité des formations dispensées

L'acquisition des compétences sera réalisée de manière interactive en s'appuyant sur des exemples réels et sur la participation à deux ateliers de mise en situation :

  • Le premier à l'issue du module 2 : diagnostiquer les forces et faiblesses logiques et physiques d'une entreprise pour proposer des mesures dans un cadre multi-dimensionnel : principes de défense en profondeur, mesures organisationnelles, dispositions techniques en matière de sécurité du système d'information
  • Le second à l'issue du module 3 : réaliser une grille de diagnostic, et être en mesure de l'adapter sachant que les grilles ne sont jamais identiques d'une structure à l'autre mais nécessairement similaires pour des comparaisons

A l'issue de la formation, l'acquisition des connaissances sera évaluée conjointement par l'EPITA et par CNCC Formation :

  • L'EPITA soumettra au participant un quiz individuel venant compléter les appréciations du formateur afin de valider l'acquisition des compétences. La certification par l'ANSSI est obtenue quand l'examinateur jugera que les notions étudiées ont été comprises et appliquées
  • CNCC Formation évaluera le participant à partir d'un questionnaire à choix unique de 15 affirmations. Les connaissances seront considérées comme acquises à partir de 10 bonnes réponses sur 15. Ce test est ouvert pendant 8 jours calendaires
Informations Particulières
  • Vous pourrez ensuite acquérir les compétences complémentaires qui vous permettront d'utiliser l'outil CyberAUDIT avec efficacité en suivant la formation d'une journée "Le commissaire aux comptes, acteur de la cybersécurité"
  • Il  est demandé aux participants d'être munis d'un ordinateur portable pour suivre la formation
  • Pour toute question relative à l'accessibilité aux personnes en situation de handicap, merci de contacter l'organisateur de la session concernée
  • Les supports étant dématérialisés, nous conseillons aux participants de les télécharger préalablement. Attention, certaines tablettes ou smartphones ne permettent pas d'annoter les supports en PDF
  • Référence de la formation
    02SIN0034.26
    • Métier
    • CAC
    • Famille de produits
    • Formation professionnelle
    • Public Concerné
    • Commissaire aux comptes • Directeur de mission CAC • Chef de mission CAC • Collaborateur confirmé CAC
    Durée de la formation : Maîtriser la cybersécurité pour apprécier les organisations des clients et accompagner les dirigeants d'entreprise
    42h00
    • Formats :
      Présentiel
    • Référence :
      02SIN0034.26
  • Tarif indicatif3 000 € H.T*
    * Ce tarif n’inclut pas d’éventuels coûts supplémentaires liés à l’organisation.
    Sessions en présentiel
    S'inscrire

Référence de la formation
Vous souhaitez organiser cette formation dans votre cabinet ?