Protection des données et Gestion de crise

• 1.        Introduction et présentation des participants
•  
• 2.        Continuité d'activité : genèse et objectifs. Réglementations.
•  
• 3.        Le Bilan d'Impacts sur Activité (BIA)
• a.        -L'indisponibilité des systèmes d'information
• b.        -L'indisponibilité des données
• c.        -L'indisponibilité des locaux
• d.        -L'indisponibilité des compétences
•  
• 4.        Cas 
•  
• 5.        Présentation des résultats de l'exercice par les différents groupes

Modalités d’évaluation : réalisation d'un cas décliné de situations réelles.

1.        Recherche de solutions de continuité :
a.       - Solutions internes et externes à l'entreprise
b.       -Avantages et contraintes de chacune

2.        Définir et présenter une stratégie de continuité à l'échelon de l'entreprise

3.        Intégration des PCA/PRA/PSI dans le dispositif de crise, de sécurité, de gestion de projets et de management de l'entreprise

4.        Cas : 
a.        Préparation de la stratégie de continuité (en groupes)
b.        Préparation du plan d'actions afférent (en groupes)
c.        Présentation des résultats (répartie sur chaque membre de chaque groupe)

5.       Remarques sur le traitement du cas

6.        Synthèse et conclusion

Méthode d'évaluation : réalisation d'un cas décliné de situations réelles

Module 1 – Les enjeux de la sécurité des systèmes d’information
Description : Initiation aux réseaux et aux systèmes d’information et remise en contexte de la cyber-sécurité et ses enjeux pour les particuliers, les institutions et les entreprises. 
-        Internet et les réseaux de télécommunications
-        Évolutions de nos modes de communication et nouveaux cas d’usages
-        La sensibilisation à la cybersécurité, une nécessité pour les particuliers et les entreprises

Module 2 – Culture du risque
Description : Les menaces informatiques nous obligent à acquérir et promouvoir une du risque, explication de ce phénomène et des nouveaux facteurs introduits par l’évolution de nos usages.
-        Le risque et la culture du risque cyber
-        La menace permanente des attaques informatiques
-        Les nouveaux facteurs de risques
-        Les 3 enjeux pour les entreprises

Module 3 – L’âge informationnel
Description : Panorama des données et de leur impact sur la cybersécurité.  
-        Les données, nouvel or noir du XXIème siècle
-        Panorama des données et des métadonnées
-        La maîtrise de ses actifs immatériels
-        La bataille de la confiance et de l’attention
-        L’apport des évolutions technologiques

Module 4 – Panorama des menaces
Description : A l’heure où les cyber-attaques augmentent ce module apporte un éclairage sur les cyber-attaquants et leurs motivations. Ce module présentera reviendra sur les cyber-attaques les plus répandues. 
-        Panorama des acteurs et de leurs motivations
-        L’ingénierie sociale
-        Les rançongiciels, fléaux dévastateurs
-        Les tentatives d’hameçonnage
-        Les dénis de service massifs
-        Les vulnérabilités logicielles
-        Les vulnérabilités liées au Cloud
-        La violation de données

Module 5 – Évolution des menaces et attribution
Description : Projection sur l’évolution des cyber-attaques 
-        Top 5 des tendances en matière de cyber-menace
-        L’avènement des conflits asymétriques
-        L’attribution des cyber-attaques

Modalité d'évaluation : Un questionnaire d'évaluation sera soumis aux auditeurs reprenant l'ensemble du programme et des cas pratiques à résoudre.

Module 1 – Hygiène numérique
-        Sécurité du poste de travail
-        Reconnaitre les différents outils de sécurité 
-        Gestion de l’identité numérique
-        Politique de mots de passe (avec cas pratique)
-        Initiation au chiffrement (avec cas pratique)
-        Récupération et destruction sécurisées de données (avec cas pratique)
-        Stratégie de sauvegarde

Module 2 – Les communications sécurisées
-        Maîtriser sa navigation sur Internet
-        Gérer sa connectivité en tous lieux
-        Panorama des messageries instantanées 

Module 3 – Reconnaitre la menace
-        Reconnaitre les tentatives d’hameçonnage
-        Reconnaitre les tentatives de fraudes au président
-        Reconnaitre les tentatives de fraudes par téléphone 
 
Module 4 – Que faire en cas d’attaques
-        Gestes à adopter en cas d’attaques informatique
-        Comment devenir ambassadeur de la sécurité dans son entreprise

Modalité d'évaluation : Un questionnaire d'évaluation sera soumis aux auditeurs reprenant l'ensemble du programme et des cas pratiques à résoudre.

Module 1-les principes de la protection des données a caractère personnel

1. Origines et contexte historique de la législation relative a la protection des données personnelles 
1.1 fondement de la protection des données personnelles 
1.2 Premières lois et réglementation 
1.3 le règlement général sur la protection des données
1.4 législation et réglementation associée

2.Champ d'application et notions de la réglementation relative a la protection des données personnelles 
2.1 Champ d'application temporel
2.2 Champ d'application matériel : notions (données personnelles, anonymisation, traitement, personne concernée, responsable de traitement et sous-traitant...)
2.3 Champ d'application territorial et extraterritorialité 

3.Principes relatifs au traitement des données 
3.1 Limitation de la finalité
3.2 licéité du traitement 
3.3 Minimisation des données
3.4 Exactitude 
3.5 Limitation de la conservation
3.6 Transparence et loyauté
3.7 Intégrité et confidentialité
3.8 Accountability

4.Transparence et droits des personnes concernées
4.1 Droit a l'information
4.2 Droit d'accès
4.3 Droit de rectification
4.4 Droit d'effacement (droit a l'oubli)
4.5 Droit de restriction de traitement 
4.6 Droit de portabilité des données
4.7 Droit de s'opposer
4.8 Droit de ne pas être soumis a une prise de décision automatisée
4.9 Droit a la mort numérique 
4.10 Restrictions des droits des personnes concernées

5.Risques et opportunités de la conformité a la protection des données a caractère personnel 
5.1 Contrôle et sanctions de la CNIL
5.2 Sanctions pénales et indemnités civiles et contractuelles 
5.3 Conséquences réputationnelles 
5.4 Opportunités 

Modalités d’évaluation : QCM sur la base de cas pratiques sur une heure

Module 2-Deployer un programme de conformité en entreprise ou en institution

6. Le DPO acteur clé de la protection des données a caractère personnel
6.1 Dans quel cas doit-on nommer un DPO ?
6.2 Quelles sont les conditions pour être DPO ?
6.3 Quelles sont les missions du DPO ?

7. Détermination de la responsabilité des acteurs
7.1 Responsable du traitement
7.2 Responsable conjoints
7.3 Sous-traitants

8.Protection des données
8.1 Champ d'application
8.2 Produits et services

9.Cartographie et documentation les traitements
9.1Cartographier les traitements
9.2 Registre des traitements 
9.3 Analyses d'impact sur la vie privée
9.4 Coopération avec les autorités de régulation

10.Securite des données personnelles 
10.1 Le principe de sécurité et la méthode des risques 
10.2 Les exigences particulières et sectorielles (sante et bancaire)
10.3 Notification et communication des violations de données personnelles 
10.4 Réponses aux incidents

Modalités d’évaluation : QCM sur la base de cas pratiques sur une heure

11. Sous-traitances, transferts internationaux et cloud computing
11.1 Contrats de sous traitance de données personnelles
11.2 Transfert internationaux et garanties appropriées
11.3 Le cas particulier des Etats Unis
11.4 Le cas particulier du cloud computing
11.5 Le futur des restrictions appliquées aux transferts internationaux de données 

12.Garantie des droits des personnes concernées
12.1 Délais
12.2 Modalités
12.3 Cas particuliers

Module 3- Application de la réglementation en matière de protection des données à caractère personnel à l'entreprise

13. La protection des données du travail
13.1 Données des salariés
13.2 Base juridique du traitement des données personnelles des salariés
13.3 Obligations d'information
13.4 Surveillance du lieu de travail
13.5 Dispositif d'alerte

14. Activité de surveillance
14.1 Données de communication
14.2 Videosurveillance
14.3 Données biométriques
14.4 Données de localisation

15. Marketing, prospection commerciale et profilage 
15.1 Protection des données et markéting direct
15.2 Profilage

16. Technologies internet et communications
16.1 Cokkies, technologies similaires et adresses IP
16.2 moteurs de recherche 
16.3 Internet des objets
16.4 Intelligence artificielle

Modalité d'évaluation : QCM sur la base de cas pratiques sur une heure

-1.Rappels sur les enjeux de l'analyse

a. Anticipation

b. Enjeux décisionnels et responsabilités

c. Cas concrets

-2.Principes d'une crise

a. Définition

.Cinétique

c. Cas concrets

-3.Facteurs aggravants

a. Principe des six "S"

b. facteurs sociétaux

c. Cas concrets

Modalités d’évaluation : simulation de crise : mise en situation des apprenants a travers un scenario de crise temps réel. application des méthodologie en terme d'organisation de la cellule de crise, de prise de responsabilité et de décision, de coordination et de stratégie de communication

-4.Organisation d'une cellule de crise

a. Alerte et astreinte

b. Fonctions et missions

c. Outils : communication, main courante

d. Cas concrets

-5.Principes et enjeux de la communication de crise

a. Principes de base

b. 7 stratégies de communication de crise

c. Cas concrets

-6.Simulation de crise

a. Cartographie des Risques

b. Cartographie des parties prenantes

c. Mise en situation-temps réel

d. Debriefing

Méthode d'évaluation : simulation de crise, mise en situation des apprenants a travers un scenario de crise temps réel. application des méthodologie en terme d'organisation de la cellule de crise, de prise de responsabilité et de décision, de coordination et de stratégie de communication