MODULE - 1 : KICK-OFF | Serious game de simulation de crise cyber

MODULE 2- Mesurer le risque 
Objectif :

Prendre conscience du risque numérique et connaître les divers modes d’attaques et leurs impacts. 

Contenu détaillé :

Introduction

Objectif : adapter le cadre de la formation aux attentes des apprenants.

• Recueil des attentes des apprenant
• Règles et programme

1.1.  Comprendre son activité numérique

Objectif : Prendre conscience de la dépendance au numérique de l’activité économique.

• Transformation numérique et nouvelle dépendance
• Introduction du concept de valeur métier et de biens supports
• Cartographier son système d’information et son écosystème
• Identifier ses propres dépendances technologiques (cloud, SaaS, IAG, télétravail, etc.) 

1.2.  Se situer dans le paysage réglementaire sectoriel 

Objectif : Prendre conscience de sa place dans le paysage réglementaire   

• Identifier et cartographier ses obligations by design 
• Connaître son statut (opérateur essentiel, fournisseur IT, etc.)
• Évaluer son exposition réglementaire comme facteur de risque 

1.3.   Le risque numérique : êtes-vous une cible ?

Objectif : Comprendre l’économie de la malveillance numérique et des motivations des attaquants.

• La valeur de la donnée
• Identifier ses actifs à protéger (savoir-faire, actifs immatériels, etc.) 
• Attaque directe et contagion
• Les nouveaux champs de bataille : IAG, cryptographie post-quantique, etc.
• Les risques d’une cybersécurité sous-évaluée 

1.4.   Les grands types de menace

Objectif : Connaître les différentes tactiques, techniques et procédures des attaquants.

• Notions de vulnérabilités et de chemins d’attaque
• Les motivations des attaquants
• Les événements redoutés
• Comprendre les différentes menaces internes et externes

1.5.   À quels impacts s’attendre

Objectif : Mesurer les impacts d’une attaque cyber sur l’activité de l’entreprise.

• Les différents impacts d’une attaque cyber (processus, gouvernance, physiques, financiers,réputationnels…)
• L’évolution des impacts (choc initial, souffle et répliques)
• L’impact réglementaire (contrôles CNIL, ANSSI, sanctions administratives, pénales et civiles)
• L’enjeu réputationnel et l’importance de la communication de crise 

1.6.   Construire ses scénarios de risque et définir son seuil d’acceptation

Objectif : Être en capacité de décrire au moins un risque critique dans toutes ses dimensions (valeur et bien support,scénario...).

• Identifier les événements redoutés et quantifier leur vraisemblance
• Identifier les scénarios critiques d’attaques cyber
• Quantifier l’impact de ces scénarios et définir son seuil d’acceptation

Mis à disposition en fin de séance : méthodologie et cadre d’étude du risque numérique

Rendu à la fin de la période d’autonomie : étude d’un risque critique

MODULE 3 – S’organiser et piloter  

Objectif :

Être en capacité de mettre en place une organisation adaptée aux risques cyber.

Contenu détaillé :

Introduction

• Retour sur l’étude de risque du processus critique sélectionné
• Responsabilités du dirigeant

2.1.   Définir un cadre de gouvernance du risque numérique (amélioration continue)

Objectif : Piloter le risque cyber.

• Rôle des RSSI / référents cyber / conseillers cyber / DPO 
• La politique de sécurité des systèmes d’information (PSSI)
• Les obligations réglementaires, les référentiels et la conformité (NIS2, RGPD, etc.)
• Les outils de gouvernance juridique :  charte informatique, charte d’usage de l’IA, délégations de pouvoir, dialogue social technologique …

2.2.   Développer une culture de sécurité numérique

Objectif : Faire vivre la politique de sécurité numérique dans l’organisation.

• Placer l’humain au centre du jeu
• Former ses collaborateurs
• Institutionnaliser la synergie entre DPO/RSSI/RH
• Transformer le risque en levier stratégique et outil concurrentiel 

2.3.   Définir sa stratégie de sécurité numérique

Objectif : Construire ses objectifs de sécurité en fonction des risques.

• Définition des objectifs de sécurité selon la sensibilité des actifs et le secteur 
• Choix du référentiel
• Priorité à la sécurité ou à la résilience ?
• Stratégie contractuelle : intégrer les bonnes clauses cyber dans ses contrats 
• Stratégie de conformité : comprendre l’approche par les risques 

2.4.   Mettre en place des polices d'assurance adaptées

Objectif : Partager le risque cyber résiduel.

• Pourquoi assurer le risque cyber ?
• Comment choisir sa police d’assurance ?
• Identifier les clauses sensibles des polices d’assurance 
• Les enjeux de couverture du risque ( loi LOPMI ) 

2.5.   Gérer et prévenir les litiges

Objectif : intégrer la conformité réglementaire dans la gouvernance cyber, anticiper les audits et limiter les responsabilités juridiques.

• Mettre en place une veille réglementaire active
• Intégrer la conformité dans le pilotage stratégique (revues de conformité régulières)
• Anticiper les contrôles : se doter de preuves, procédures, registres
• Prévenir les litiges : documentation des mesures prises, preuve de diligence
• Gouverner la sous-traitance IT 
• Créer sa propre checklist de bonnes pratiques 
• Instaurer une culture de la gestion de risques pro active 

Mis à disposition en fin de séance : Plan d’une PSSI et référentiels d’objectifs de sécurité, modèle de cellule de crise, charte d’usage de l’IA. 

Rendu à la fin de la période d’autonomie : PSSI (chapitre « Objectifs »)

MODULE 4 – Bâtir sa Sécurité Numérique et la Valoriser
Objectif :

Mettre en place les mesures de sécurité adaptées et faire preuve de résilience en cas d’attaque ou de crise d’origine cyber.

Contenu détaillé :

Introduction

• Retour sur les PSSI
• Cadrage des objectifs de la demi-journée

3.1.   Bâtir sa protection

Objectif : Construire le volet opérationnel de sa politique de sécurité.

• Construction d’un parcours progressif de sécurisation (du diagnostic initial à la conformité)
• Le choix des mesures de sécurité
• Le rôle de l’AIPD comme outil de conformité et de prévention 

3.2.   Orienter sa défense

Objectif : Comprendre la nécessité de l’évolution des postures de sécurité.

• La veille (renseignement sur la menace et les vulnérabilités) : présentation des acteurs et solutions, intégration dans la posture de sécurité
• Anticiper sa réponse : les PRA et PCA
• Savoir utiliser les outils de détection de fuites de données (OSINT, IA, threat intelligence, etc.) 

3.3.   Faire preuve de résilience en cas de cyberattaque

Objectif : S’approprier les méthodes de gestion de crise d’origine cyber.

• La cellule de crise : composantes et dynamique
• Les relations avec l’écosystème (ACYMA, ANSSI, CERT régionaux ou sectoriels,
• CSIRT, autorités, assureurs)
• Le recours à des prestataires (PASSI, PAMS, PDIS, PRIS)
• L’entraînement et les exercices
• Comprendre et appliquer les procédures internes de notification CNIL/ANSSI (délais et formalités)

3.4.   Homologuer ses services numériques critiques

Objectif : Décrire les processus d’homologation et leur importance.

• Les référentiels de certification et d’homologation
• L’homologation, une expression de l’engagement raisonné du dirigeant

3.5.   Valoriser ses investissements en sécurité numérique

Objectif : Souligner l’importance de la confiance numérique au sein de la chaîne de valeur.

• Le retour sur investissement (ROI) : quantification financière du risque cyber
• Le développement de la confiance numérique : les preuves de confiance (audits, documentation, certifications, mécanismes by design)
• La Tech Due Diligence (TDD) comme outil de valorisation (levée de fonds, partenariat, etc.)            

Mis à disposition en fin de séance : référentiel de conformité NIS2, guide de conformité au RGPD, guide de sensibilisation à l’AI Act

Rendu à la fin de la période d’autonomie : positionnement initial et stratégie de conformité (NIS2)