LA CYBERSéCURITE POUR LES DIRIGEANTS

Jour 1

MISE EN SITUATION DE CRISE – SIMULATION – SERIOUS GAME

Introduction

Mise en situation

• Présentation du scénario de simulation (fictif mais inspiré de cas réels)
• Constitution des équipes / rôles (CEO, CISO, DRH, DAF, Communication…)
• Réalisation de l’exercice de gestion de crise

Retour d’expérience à chaud

• Bilan fictif : pertes estimées, impacts RH, image de marque, confiance
• Tour de table : ressentis, surprises, erreurs, réflexes

Apports pédagogiques

• Les spécificités de la gestion de crise cyber
• Les différents modes d’attaque et leurs impacts

MODULE 1 – MESURER LE RISQUE NUMERIQUE

Introduction

• Recueil des attentes des apprenants
• Règles et programme

Comprendre son activité numérique

• Transformation numérique et nouvelle dépendance
• Introduction du concept de valeur métier et de biens Ms
• Cartographier son système d’information et son écosystème

Le risque numérique : êtes-vous une cible ?

• La valeur de la donnée
• Attaque directe et contagion
• Les nouveaux champs de bataille

Les grands types de menace

• Notions de vulnérabilités et de chemins d’attaque
• Les motivations des attaquants
• Les événements redoutés

À quels impacts s’attendre ?

• Les différents impacts d’une attaque cyber (processus, gouvernance, physiques, financiers,

réputationnels…)

• L’évolution des impacts (choc initial, souffle et répliques)

Construire ses scénarios de risque et définir son seuil d’acceptation

• Identifier les événements redoutés et quantifier leur vraisemblance
• Identifier les scénarios critiques d’attaques cyber
• Quantifier l’impact de ces scénarios et définir son seuil d’acceptation

Mis à disposition en fin de séance : méthodologie et cadre d’étude du risque numérique
Rendu à la fin de la période d’autonomie : étude d’un risque critique

Jour 2

MODULE 2 – S’ORGANISER ET PILOTER

Introduction

• Retour sur l’étude de risque du processus critique sélectionné
• Responsabilités du dirigeant

Définir un cadre de gouvernance du risque numérique (amélioration continue)

• Rôle des RSSI / référents cyber / conseillers cyber
• La politique de sécurité des systèmes d’information (PSSI)

Développer une culture de sécurité numérique

• Placer l’humain au centre du jeu
• Former ses collaborateurs

Définir sa stratégie de sécurité numérique

• Définition des objectifs de sécurité
• Choix du référentiel
• Priorité à la sécurité ou à la résilience ?

Mettre en place des polices d’assurance adaptées

• Pourquoi assurer le risque cyber ?
• Comment choisir sa police d’assurance ?

Mis à disposition en fin de séance : Plan d’une PSSI et référentiels d’objectifs de sécurité
Rendu à la fin de la période d’autonomie : PSSI (chapitre « Objectifs »)

MODULE 3 – BÂTIR SA SÉCURITÉ NUMÉRIQUE ET LA VALORISER

Introduction

• Retour sur les PSSI
• Cadrage des objectifs de la demi-journée

Bâtir sa protection

• Construction d’un parcours progressif de sécurisation (du diagnostic initial à la conformité)
• Le choix des mesures de sécurité

Orienter sa défense

• La veille (renseignement sur la menace et les vulnérabilités) : présentation des acteurs et solutions, intégration dans la posture de sécurité
• Anticiper sa réponse : les PRA et PCA

Faire preuve de résilience en cas de cyberattaque

• La cellule de crise : composantes et dynamique
• Les relations avec l’écosystème (ACYMA, ANSSI, CERT régionaux ou sectoriels, CSIRT, autorités, assureurs)
• Le recours à des prestataires (PASSI, PAMS, PDIS, PRIS)
• L’entraînement et les exercices

Homologuer ses services numériques critiques

• Les référentiels de certification et d’homologation
• L’homologation, une expression de l’engagement raisonné du dirigeant

Valoriser ses investissements en sécurité numérique

• Le retour sur investissement : quantification financière du risque cyber
• Le développement de la confiance numérique : les preuves de confiance

Mis à disposition en fin de séance : référentiel de conformité NIS2
Rendu à la fin de la période d’autonomie : positionnement initial et stratégie de conformité (NIS2)