Nouveau

Maîtriser la cybersécurité pour apprécier les organisations des clients et accompagner les dirigeants d’entreprise

Formation Labellisée par l'ANSSI

Cette formation vous permettra de maîtriser les risques et enjeux cyber pouvant toucher votre cabinet et vos clients et d’intégrer la sécurité numérique dans toutes vos démarches.

Vous serez en mesure de réaliser un diagnostic fonctionnel et d'estimer le degré de maturité de vos clients sur la sécurité de leurs systèmes d’information et leurs capacités de résilience.

Vos compétences seront évaluées lors de projets applicatifs et un certificat labellisé par l’ANSSI* vous sera remis attestant de la validation des acquis.

*Cette labellisation par l’ANSSI garantit la conformité et la qualité des compétences acquises auprès de toutes les structures et administrations.

Vous êtes concernés

  • Commissaires aux comptes
  • Directeurs de mission
  • Chefs de mission
  • Collaborateurs confirmés

Objectifs

Cette formation a pour objectif de vous donner toutes les compétences pour être en mesure d’évaluer les risques cyber chez vos clients et d’en mesurer les enjeux.

Questions traitées

- MODULE 1 - DEUX JOURS - « CYBERSÉCURITÉ : NOTIONS DE BASES, ENJEUX ET ASPECTS JURIDIQUES »

NOTIONS DE BASE ET ENJEUX

  • Introduction
    • Intelligence économique, sécurité économique globale
    • Définition de la cybersécurité (Sécurité des SI, Cyberdéfense, Cybercriminalité)
  • Les enjeux de la sécurité des SI
    • La nouvelle économie de la cybercriminalité
    • Panorama des menaces selon une typologie
    • Les vulnérabilités
    • Focus sur l’ingénierie sociale
  • Les propriétés de sécurité
    • Présentation du principe de défense en profondeur
    • Identification et évaluation des actifs et des objectifs de sécurité
  • Le paysage institutionnel de la cybersécurité
    • La prévention
    • Rôle et missions des acteurs étatiques chargés du traitement technique et judiciaire des attaques cybers

ASPECTS JURIDIQUES

  • La preuve
    • Le droit de la preuve : la preuve en droit civil/la preuve en droit pénal
    • Préservation de la preuve
  • La LPM et la Directive NIS
  • Gestion des incidents / Le traitement des cyberattaques et les procédures judiciaires
  • Droit de la propriété intellectuelle lié aux outils informatiques
  • Les responsabilités
    • Responsabilité des dirigeants
    • Responsabilité en l’absence de conformité des infrastructures
    • Les assurances

 

- MODULE 2 - DEUX JOURS - « ORGANISATION DE LA CYBERSÉCURITÉ DANS L’ENTREPRISE »

  • L’hygiène informatique pour les utilisateurs
    • Cartographie des SI de l’entreprise
    • Le patrimoine informationnel du poste de travail
      • Identification du patrimoine
      • L’adaptation des procédures à la criticité à la criticité
    • Le réseau de partage de documents (interne ou sur internet)
    • Les mises à jour
    • Les méthodes d’authentification des utilisateurs
      • Focus mot de passe
    • Le nomadisme
  • Gestion et organisation de la cybersécurité
    • Les publications et recommandations disponibles
      • Guides de l’ANSSI
      • Recommandations de la CNIL, de la police et de la gendarmerie
      • Les clubs (CLUSIF/CESIN) et les Observatoires zonaux de la Sécurité des systèmes d’information (SSI)
      • Les CERTs (Computer Emergency Response Team)
    • La responsabilisation des collaborateurs et la diffusion des bonnes pratiques internes
      • Les messages à transmettre aux utilisateurs finaux des entreprises
      • Les chartes informatiques
    • Le rôle de l’image et de la communication dans la cybersécurité
      • Communication externe (surveillance de l’e-réputation)
      • Usage des réseaux sociaux, professionnel et personnel
    • Méthodologie d’évaluation du niveau de sécurité
    • Gestion des incidents / Procédures judiciaires
  • Protection du patrimoine informationnel et cybersécurité
    • Les modalités de protection du patrimoine immatériel de l’entreprise
      • Le dispositif de zone à régime restrictif (ZRR)
  • La cybersécurité des services externalisés
    • Les différentes formes d’externalisation
      • Les contrats de services « classiques »
      • Le Cloud Computing
      • Les Techniques de sécurité lors de l’externalisation (chiffrement des données…)
    • Les critères de choix du prestataire de service
      • Les points clés, techniques et organisationnels, de sécurité à bien identifier lors du choix d’un prestataire
      • La certification / qualification des produits
      • Le référentiel de l’ANSSI Maîtriser les risques de l’infogérance
    • Aspects juridiques et contractuels

 

- MODULE 3 - DEUX JOURS - « ADMINISTRATION SÉCURISÉE DU SYSTÈME D’INFORMATION INTERNE D’UNE ENTREPRISE ET DE SES SITES INTERNET »

ADMINISTRATION SÉCURISÉE DU SI

  • Analyse de risque

Expression des besoins et identification des objectifs de sécurité -EBIOS / Méthode harmonisée d’analyse des risques - MEHARI)

  • Principes et domaines de la SSI afin de sécuriser les réseaux internes : la défense en profondeur
    • Politique et stratégie de sécurité
    • Gestion des flux, notamment réseaux sans fil / architecture réseaux (cloisonnement du réseau)
    • Gestion des comptes, des utilisateurs, des privilèges selon le besoin d’en connaître
    • Gestion des mots de passe
    • Gestion des mises à jour
    • Journalisation et analyse
    • Gestion des procédures
    • Plan de continuité d’activité (PCA) / Plan de reprise d’activité (PRA)
    • Virtualisation / cloisonnement
  • Détection des incidents
  • Gestion de crise
    • Traitement technique de l’incident
    • Procédure organisationnelle et communication
    • Reprise d’activité
  • Méthodologie de résilience de l’entreprise
  • Traitement et recyclage du matériel informatique en fin de vie (ordinateurs, copieurs, supports amovibles, etc.)
  • Responsabilité en l’absence de conformité des infrastructures

 

SÉCURITÉ DES SITES GÉRÉS EN INTERNE

  • Protection des sites internet
    • Approche systémique de la sécurité (éviter l’approche par patches)
    • Configuration des serveurs et services
    • HTTPS et Infrastructure de gestion de clés (IGC)
    • Services tiers

 Avantages et limites de l’utilisation d’un Content Management System (CMS ou Gestion des contenus) et / ou développement web

  • Sécurité des bases de données
  • Utilisateurs et sessions
  • Obligations juridiques réglementaires
    • Le e-commerce
    • La Loi pour la confiance dans l’économie numérique (LCEN),
    • Payment Card Industry-Data Security Standard (PCI-DSS)

Pré-requis

  • Aucun prérequis nécessaire pour suivre cette formation

Bénéfices participants

Vous identifierez et serez capable d’analyser des problèmes de cybersécurité dans une perspective d’intelligence et de sécurité économiques chez vos clients.

Vous serez en mesure d’évaluer les menaces liées à l’utilisation de l’informatique, des réseaux internet, réseaux privés d’entreprises ou réseaux publics.

Pour la mise en œuvre des démarches de sécurité inhérentes aux besoins fonctionnels, vous saurez préconiser les solutions techniques et juridiques à mettre en place.

Enfin, vous serez en mesure de conseiller vos clients sur les pratiques techniques et juridiques à adopter et ainsi les prévenir sur leurs obligations et leurs responsabilités liées à la cybersécurité.

Informations particulières

  • Il  est demandé aux participants d’être muni d’un ordinateur portable pour suivre la formation
  • Pour toute question relative aux modalités d’accès des personnes en situation de handicap, merci de contacter l’organisateur de la session concernée
  • Les supports étant dématérialisés, nous conseillons aux participants de les télécharger préalablement. Attention, certaines tablettes ou smartphones ne permettent pas d’annoter les supports en PDF

Moyens pédagogiques

Les supports pédagogiques sont conçus avec le plus grand soin et sont sous format dématérialisé, accessibles dans l’espace personnel des participants du site des formations de la CNCC ou de l'IRF organisateur. Ils permettent aux participants de pouvoir revenir ultérieurement sur les thèmes abordés pendant la formation. Ils se composent de :

  • Diaporama
  • D'un accès direct à l'outil de la CNCC
  • Cas pratiques énoncés et corrigés
  • Documentation pour approfondir

 

L’acquisition des compétences sera réalisée de manière interactive en s’appuyant sur des exemples réels et sur la participation à deux ateliers de mise en situation :

  • Le premier à l’issue du module 2 : diagnostiquer les forces et faiblesses logiques et physiques d’une entreprise pour proposer des mesures dans un cadre multi-dimensionnel : principes de défense en profondeur, mesures organisationnelles, dispositions techniques en matière de sécurité du système d'information
  • Le second à l’issue du module 3 : réaliser une grille de diagnostic, et être en mesure de l’adapter sachant que les grilles ne sont jamais identiques d’une structure à l’autre mais nécessairement similaires pour des comparaisons.

 

A l’issue de la formation, l'acquisition des connaissances sera évaluée conjointement par l’ANSSI et par CNCC Formation :

  • L’ANSSI soumettra au participant un quiz individuel venant compléter les appréciations du formateur afin de valider l’acquisition des compétences.
    La certification par l'ANSSI est obtenue quand l’examinateur jugera que les notions étudiées ont été comprises et appliquées.
  • CNCC formation évaluera le participant à partir d'un questionnaire à choix unique de 15 affirmations. Les connaissances seront considérées comme acquises à partir de 10 bonnes réponses sur 15.  

 

CNCC Formation apporte également le plus grand soin à l’élaboration et à la mise en oeuvre des formations proposées :

  • Les méthodes pédagogiques assurent aux participants une véritable progression des savoirs & savoir-faire
  • Pour cette formation, le corps d’intervenants sera constitué de consultants experts en sécurité et de juristes. Des collaborateurs issus de de l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) et qui travaillent avec nous sur leur temps libre, interviendront lors des modules techniques qui nécessitent une expertise spécifique de terrain.
  • La constitution des groupes, volontairement limités en nombre, fait l’objet d’un soin tout particulier afin de  favoriser les échanges
  • Les formations se déroulent dans des salles de formation adaptées, disposant du matériel pédagogique nécessaire (paper-board, vidéo-projecteur, etc.)
  • Des questionnaires en ligne d’évaluation sont systématiquement remis à chacun des participants à l’issue de la formation. Ils font l’objet d’une analyse attentive qui permet à CNCC Formation d’améliorer la qualité des formations dispensées