Formation Les enjeux de la cybersécurité dans son organisation – pour les dirigeants

Programme de notre formation Les enjeux de la cybersécurité dans son organisation

[Jour 1 – Matin]

Panorama des menaces et impacts business

• Évolution des menaces : ransomware, supply chain, fraude, ingénierie sociale
• Identifier ses actifs critiques et sa surface d’attaque
• Impacts économiques, juridiques et réputationnels : coûts directs/indirects
• Exemples d’attaques ciblées vs opportunistes (PME / grand compte)
• Lecture d’un scénario de risque orienté métier
• Atelier pratique : Analyse rapide d’un incident type et estimation d’impact.

Gouvernance, rôles et responsabilités

• Aligner la stratégie cyber avec la stratégie d’entreprise
• Rôles du COMEX, DSI, RSSI, métiers et prestataires
• Politiques, chartes et comité de sécurité
• Culture sécurité : sensibilisation et exemplarité du management
• Budget, arbitrages et priorisation

[Jour 1 – Après-midi]

Réglementations et standards (NIS2, RGPD, ISO 27001, NIST CSF)

• Périmètre et obligations clés de NIS2 pour les secteurs concernés
• Articulation RGPD / sécurité : registre, DPO, violation de données
• Démarche ISO/IEC 27001 (ISMS) et contrôles
• Cadre NIST CSF 2.0 : organiser et mesurer la posture
• Feuille de route de conformité pragmatique

Gestion des risques et priorisation des investissements

• Identifier, évaluer et traiter les risques (cartographie & heatmap)
• Fraude à la fausse facture : Business Email Compromise (BEC)
• Contrôles essentiels : IAM, patching, sauvegardes, EDR, MFA
• Approche Zero Trust et segmentation
• Assurance cyber : garanties, exclusions, exigences
• Atelier pratique : Prioriser un plan d’actions à budget contraint.

[Jour 2 – Matin]

Gestion de crise et continuité d’activité (PCA/PRA)

• Chaîne d’alerte et responsabilisation des acteurs : instaurer des réflexes communs face à l’incident
• Scénarios vécus : rançongiciel, fuite de données, déni de service, avec rôle de chacun dans la réponse
• Plan de continuité et de reprise (RTO/RPO) comme outil collectif et non seulement technique
• Communication de crise : transparence et cohérence pour préserver la confiance (autorités, partenaires, clients, médias)
• Partenaires stratégiques (assureurs, prestataires IR/DFIR) : développer une relation de confiance avant la crise
• Atelier pratique : Simulation de crise cyber. Mise en situation d’un COMEX confronté à une attaque et la posture de leadership adoptée, avec un focus sur la prise de décision, la communication et le pilotage collectif.

Développer une culture partagée de la cybersécurité

• Exemplarité et engagement du top management comme levier de diffusion culturelle
• Sensibilisation différenciée : COMEX, managers, collaborateurs, partenaires
• Communication interne régulière : campagnes, rituels, journées cybersécurité, storytelling d’incidents
• Intégration dans les pratiques métiers : « security by design » et indicateurs culturels dans les projets
• Valorisation et reconnaissance : encourager les bonnes pratiques et la remontée d’incidents
• Atelier pratique : Co-création d’une charte managériale cyber. Définir en groupes 5 engagements concrets que les dirigeants porteront auprès de leurs équipes.