Introduction à la cybersécurité des entreprises et des associations

Note attribuée par les bénéficiaires : 4.7/5

Mise à jour : 15 janvier 2025

Personnes concernées :

Chefs d’entreprises, fonctions cadres, fonctions supports, responsables communication / digital / marketing ; mais également : dirigeants, salariés et bénévoles des associations.

PRÉ-REQUIS :

La participation à cette formation ne nécessite pas de prérequis spécifique au regard du public auquel elle s’adresse.

Présentation et points forts :

Désormais omniprésente, la menace cyber a considérablement évolué ces dernières années.

Elle concerne désormais tous les types de structures, dans tous les secteurs de l’activité économique : associations, TPE et PME ne sont pas épargnées.

Au cœur de ce risque, l’accès et la compromission des données économiques et des données personnelles que les structures collectent et traitent apparaissent désormais comme l’objectif prioritaire – devenu financier – des cyber attaquants. Cybersécurité et protection des données personnelles ne peuvent donc plus s’analyser ni s’envisager l’une sans l’autre.

Le cadre légal est plus que jamais renforcé, et avec lui, la responsabilité des personnes morales et de leurs représentants légaux.

Dans ce contexte et dans l’objectif de comprendre, connaître, et prévenir le risque, il est désormais devenu essentiel de se former, et de former ses équipes à ces enjeux.

Points forts de cette formation :

• Une formation accessible aux non-techniciens / non-informaticiens

• Une formation adaptée aux petites structures et sur mesure

• Une formation à jour des dernières évolutions législatives françaises et européennes

• Des moyens et outils pratiques à implémenter directement dans sa structure pour limiter lerisque

• Des analyses de cas et témoignages de chefs d’entreprises

• Des mises en situation professionnelle

objectifs DE LA FORMATION :

• Décrire et expliquer l’état de la cybermenace en France et dans l’Union Européenne

• Comprendre et identifier les points d’entrée des attaquants dans son entité

• Comprendre et distinguer les différents types d’attaques cyber (phishing, malwares, vulnérabilités, force brute, DOS et DDOS…)

• Saisir l’étendue du risque et du coût pour son entité, ses partenaires, ses fournisseurs, prestataires, salariés, clients et/ou bénéficiaires

• Identifier et comprendre le rôle et les compétences des différents acteurs français et européens de la cybersécurité et de la protection des données personnelles

• Connaître et transmettre les règles de base de la « cyberhygiène »

• Analyser et améliorer ses propres pratiques et celles de ses collaborateurs en matière de cyberhygiène et de protection des données personnelles

• Comprendre et connaître le cadre légal général de la cybersécurité et de la protection des données personnelles

• Analyser l’étendue de ses propres obligations et de sa responsabilité au regard de la directive européenne « NIS 2 » et du RGDP

• Intégrer et mettre en œuvre les bon réflexes de notification en cas de vol de données personnelles et/ou d’attaque cyber.

Programme :

• Avant la formation :

  • Questionnaire de positionnement sur les sujets abordés pendant le stage

  • Ajustement du contenu de la formation si besoin

• Introduction :

  • Présentation du formateur et des stagiaires

  • Point sur les attentes et objectifs de la formation

  • Présentation du cadre de la formation

• Comprendre les enjeux et faire le lien entre cybersécurité et protection des données personnelles (2h00) :

  • Vidéo-témoignage : « cybersécurité, ça n’arrive pas qu’aux autres » (entreprise Somagic-71)

  • Présentation et analyse des dernières données disponibles : rapport annuel « COMCYBER-MI », OpinionWay pour CESIN, « Shielding the Future » de Cloudfare

  • Infographie de l’écosystème cybercriminel

  • Analyse du coût de la cybersécurité en France : étude Asterès

  • Quelles menaces à l’horizon 2030 ? (rapport ENISA, European Union Agency for Cybersecurity)

  • Le changement de paradigme normatif : RGPD, NIS 2, Règlements CRA et DORA

• Panorama de la menace : principaux risques et types d’attaques cyber (2h30) :

  • Le phishing, le spearphishing et les fraudes dites « sociales » (faux ordres de virements, fraudes au président) à l’ère de l’Intelligence Artificielle

  • L’exploitation des vulnérabilités : adopter les bons réflexes

  • Les tentatives de connexion forcées et attaques par mot de passe : les 6 mantras de la gestion de vos mots de passe et l’authentification multifacteur

  • Les attaques par déni de service (DoS) et par déni de service distribué (DDoS)

  • Les malwares, ransomwares et wipers : points d’entrée, avancées technologiques et risques pour les données

  • Autres types d’attaques et multiplicité des facteurs de risque à l’ère de l’IA et de l’automatisation : injection SQL, XSS, Man in the Middle

  • Comprendre les objectifs des attaquants : exemples locaux

• Repérer les risques, prévenir et réagir (2h30) :

  • Repérer les risques : sur les postes de travail, sur vos comptes, sur les réseaux, bandes passantes et sites web

  • Réagir à une attaque : qui contacter et notifier ? quelles obligations légales ?

  • Focus : la nouvelle directive NIS 2, quel champ d’application ? Quelles obligations légales ?

  • Déployer les règles et outils de la cyberhygiène dans mon entité : 11 réflexes à adopter pour sécuriser mon environnement de travail

• Conclusion :

  • Aller plus loin et faire une veille : ressources disponibles et gratuites, abonnements et sites d’information utiles.

  • Quizz : évaluation des connaissances acquises au cours de la journée

  • Réflexion sur les applications concrètes que chacun peut mettre en œuvre

  • Bilan oral de la session et conseils personnalisés du formateur

• Après la formation : pendant les 3 mois qui suivent la formation, les participants bénéficient d’un suivi par courriel auprès du formateur. Le support pédagogique leur est transmis.