Formation de sensibilisation
à la protection des données
à la protection des données
Bienvenue à cette formation sur la sécurité des informations et la protection des données du cabinet Cauris Expertises & Conseils.
Présentation de votre instructeur
Abdoulaye Ba
Expertise Professionnelle
20+ ans d'expérience dans le domaine informatique & sécurité des infrastructures
Spécialisation
Architecte sécurité et formateur
Réalisations Majeures
Ex-Deloitte, programmes de sécurité notamment pour Airbus, Air Liquide, et des institutions publiques en Europe et en Afrique
Certifications
Certifié Information Security Professional (CISSP) et Lead Auditor ISO/IEC 27001
L'état des lieux de la menace cyber
Une explosion des risques numériques transforme notre environnement professionnel.
59,000€
Coût moyen d'une cyberattaque en France. Un chiffre en hausse constante.
25,000€
Cout moyen de la rançon par cyberattaque réussie (intrusion).
95% des incidents
Causés par des erreurs humaines. La formation est notre meilleure défense.
La sécurité est la responsabilité de tous
Cette session vise à vous familiariser avec les politiques, procédures et meilleures pratiques qui garantissent la protection de nos actifs numériques et la confidentialité de nos clients et collaborateurs.
1
1
Direction
Communiquer l'importance de la sécurité et créer une culture de protection des données
2
2
Formation
Participer aux formations et connaître le système de management de la sécurité (SMSI)
3
3
Protection
Protéger les biens et informations, respecter les politiques de sécurité
4
4
Vigilance
Signaler toute suspicion d'incident et de violation de données
AGENDA
1
Partie I : Sécurité
Comprendre la conformité et nos objectifs de sécurité
- Politique et procédures de sécurité
- Classification des données
- Gestion des incidents et logiciels malveillants
- Procédures RH
2
Partie II : Protection des données
Introduction au RGPD et principes fondamentaux
- Données personnelles et droits d'accès
- Identification des violations de données
- Procédures de notification
- Communication avec les personnes concernées
Qu'est-ce que la conformité ?
La conformité est un processus continu d'adhésion aux règles, politiques et lois établies.
1
1
Comprendre les règles
Maîtrise des politiques et normes
2
2
Mettre en œuvre
Application pratique quotidienne
3
3
Vérifier
Contrôle systématique
4
4
Adapter
Évolution continue
Le respect de ces règles, connu sous le nom de conformité, fait partie intégrante des activités commerciales pour tous les membres de l'organisation, qu'ils soient cadres, gestionnaires, représentants commerciaux ou propriétaires d'entreprise.
Quels sont les objectifs du cabinet en 2025 en matière de sécurité ?
1
Sensibilisation des collaborateurs
2
Adoption des Bonnes Pratiques
3
100% collaborateurs formés régulièrement
4
Documentation de nos politiques de sécurité
5
Zéro incident majeur
6
Culturel: La sécurité est l'affaire de tous
Politique de sécurité
Document Fondamental
La politique de sécurité énonce des règles et des processus visant à garantir le respect des exigences en matière de sécurité.
La politique de sécurité est un document formel et engageant.
Elle est à la disposition du personnel et des clients qui en font la demande.
Objectif Principal
Définir les lignes directrices et l'approche de la protection de la sécurité des données et de l'infrastructure informatique.
Accessibilité
La politique de sécurité énumère les politiques et procédures applicables.
Les politiques et procédures de sécurité applicables sont accessibles à l'ensemble du personnel.
Principales politiques et procédures de sécurité
1. Politique de sécurité
2. Politique en matière d'espace de travail et d'équipement
3. Politique en matière de télétravail
4. Politique de gestion des mots de passe
5. Procédure RH
6. Cycle de vie du développement logiciel (SDLC)
7. Demandes d’accès des personnes concernées (Data Subject Access Requests, DSAR)
8. Procédure en cas d'incident
9. Politique et procédure en cas de violation des données
10. Politique de gestion des accès
11. Procédure de gestion des fournisseurs
12. Politique de communication en matière de sécurité de l'information
13. Politique en matière de cryptographie
14. Politique de conservation des données
15. Politique de classification des données
16. Procédure en cas d'incident
Toutes les politiques et procédures sont sauvegardées et disponibles sous ( Insert Link)
Politique en matière d'espace de travail et d'équipement
Installation de Logiciels
L'installation de logiciels personnels est strictement interdite sans l'approbation du directeur général, qu'il s'agisse de supports physiques ou de téléchargements.
Supports de Stockage
L'utilisation de supports physiques externes (clés USB, disques) pour le transfert ou le stockage de fichiers est formellement interdite.
Politique de gestion des mots de passe
Composition forte
Minimum douze caractères avec une combinaison de caractères numériques, lettres majuscules/minuscules, caractères spéciaux et symboles.
Unicité obligatoire
Ne jamais réutiliser le même mot de passe.
Chaque utilisateur, système et application nécessite un mot de passe unique et fort.
Mémorisation
Mémorisez vos mots de passe ou utiliser un gestionnaire de mot de passe (préférable). Si vous devez les écrire, gardez le document confidentiel et détruisez-le après usage.*
Protection des accès
Les mots de passe individuels ne peuvent pas être partagés. Pour les rôles techniques, un gestionnaire de mots de passe est fourni par la firme.
Politique en matière d'espace de travail et d'équipement
À ne pas faire 🚫
- Ne laissez pas de documents sensibles, à diffusion restreinte ou confidentiels sans surveillance
- Ne gardez pas de documents ou dossiers sensibles sur votre bureau quand vous partez
À faire ✓
- Utilisez votre tiroir ou un placard pour ranger des documents et des objets
- Appliquez la politique du bureau vide
Avantages de la politique du bureau vide:
1
Image professionnelle
Bonne impression auprès des clients & collègues
2
Propreté optimale
Plus facile à nettoyer
3
Sécurité renforcée
Réduit le risque d'accès aux documents clients sensibles par des personnes tierces
Politique de classification des données
La classification des données est le processus d'organisation des données en catégories basées sur le type de fichier, le contenu et d'autres métadonnées. (selon les règles en vigueur)
Étude de Cas – Rançongiciel (Ransomware)
Le rançongiciel commence souvent par une attaque d'ingénierie sociale. Voici comment une attaque typique se déroule:
Appel téléphonique frauduleux
Un cybercriminel se fait passer pour un employé de votre banque pour établir la confiance.
Collecte d'informations
L'attaquant demande les coordonnées du responsable financier pour cibler précisément sa victime.
Email d'hameçonnage
Un message piégé est envoyé, contenant un lien ou une pièce jointe malveillante.
Chiffrement des données
Une fois activé, le rançongiciel verrouille vos fichiers critiques et les rend inaccessibles.
Propagation réseau
Le logiciel malveillant se répand rapidement vers d'autres systèmes connectés.
L'attaque culmine par une demande de rançon de 10 000€, souvent payable en cryptomonnaie.
Le Remède : sauvegardez tous vos appareils - PC, ordinateurs portables, serveurs, données sur le cloud - avec une sauvegarde continue afin de pouvoir restaurer rapidement.
Étude de Cas 2 – Mot de Passe et Sécurité des Données
Un collaborateur a laissé son ordinateur déverrouillé dans les locaux d'un client lors de la pause café ou pour répondre à un appel.
Portable Non Sécurisé
Portable déverrouillé avec accès au système d'information du cabinet.
Exposition des Données
Informations confidentielles visibles par toute personne passant à proximité.
Risque Étendu
Mot de passe réutilisé sur plusieurs systèmes, amplifiant la compromission.
Conséquence
Sanction potentielle par la CNIL pour violation du RGPD.
Définition d'un incident
Un incident est une tentative ou un acte d'accès, d'utilisation, de divulgation, de modification ou de destruction non autorisé d'une information.
Nous définissons les types d'incidents suivants :
- Perte ou vol d'un ordinateur portable ou d'un téléphone.
- Détection des logiciels malveillants.
- Accès non autorisé aux systèmes.
- Modifications non autorisées des systèmes.
- Violation de données.
Les incidents peuvent conduire :
- Perte financière.
- Perte de réputation.
- Perte de propriété intellectuelle.
- Perte de confiance des clients.
- Coûts d'interruption de l'activité.
Que dois-je faire en cas d'incident ?
1
Signalement Initial
Tous les incidents de sécurité sont signalés au directeur général ou au DSI/RSSI.
2
Évaluation de l'Incident
La DSI et l'équipe technique évaluent l'incident signalé afin de déterminer s'il s'agit d'un incident de sécurité
3
Notification DPO
Si l'incident concerne des données personnelles, la DSI informe le responsable de la protection des données qui suivra la procédure relative aux violations de données
4
Plan d'Action
La DSI détermine et documente les mesures correctives et préventives dans le modèle d'incident sur Sharepoint
5
Communication
Information des parties prenantes concernées, y compris les clients, dans les meilleurs délais si nécessaire
Logiciels malveillants : Que faire en cas de logiciel malveillant ?
Les logiciels malveillants sont des logiciels conçus intentionnellement pour perturber votre ordinateur, vos serveurs et vos réseaux, afin d'obtenir un accès non autorisé aux informations ou aux systèmes et de priver l'utilisateur de l'accès aux informations.
Détection
Identifiez les signes potentiels d'un logiciel malveillant sur votre système
Extinction
Fermez immédiatement votre ordinateur portable (pas en veille - éteignez-le)
Signalement
Contactez la DSI qui évaluera l'incident et prendra les mesures appropriées
Tout incident lié à un logiciel malveillant sera considéré comme un incident de sécurité et la procédure d'incident sera suivie en conséquence.
Ressources Humaines
Les meilleures politiques et procédures de sécurité sont inutiles si les employés n'en pas conscients!
1
2
3
1
Formation initiale
Formation de sensibilisation à la sécurité et à la protection des données dans le cadre du processus d'embauche
2
Environnement d'apprentissage continu
Nous sommes un environnement agile et léger où nous apprenons de nos erreurs en améliorant notre façon de travailler de façon continue
3
Responsabilité
Une procédure disciplinaire existe pour les violations intentionnelles de la sécurité des informations ou de la protection des données
Les politiques et procédures applicables en matière de sécurité et de protection de la vie privée, y compris le code de conduite, sont communiquées à tous les nouveaux collaborateurs.
Partie II : Protection des données
1
Règlement général sur la protection des données ("RGPD")
2
Principes de protection des données
3
Définition des données à caractère personnel
4
Droits d'accès de la personne concernée.
5
Comment reconnaître une violation de données ?
6
Comment traitons-nous les violations de données ?
7
Comment notifier l'autorité de protection des données ?
8
Quand les personnes concernées doivent-elles être informées ?
Règlement général sur la protection des données (RGPD)
Le RGPD représente la législation la plus stricte au monde en matière de protection des données personnelles, s'appliquant à toute organisation traitant des données de résidents de l'UE.
Définition et Portée
- Législation européenne sur la protection des données (UE et EEE)
- Supervision par l'ANSSI au niveau national
Application Mondiale
- S'applique aux organisations du monde entier
- Concerne toute collecte de données de résidents européens
Obligations Principales
- Respect de la politique de confidentialité
- Gestion des droits d'accès des personnes
- Protection des données dès la conception
- Nomination d'un délégué à la protection
Principes de protection des données
Toutes les données à caractère personnel doivent être :
- traitées de manière légale, équitable et transparente.
- collectées à des fins précises, explicites et légitimes.
- adéquat, pertinent et limité à ce qui est nécessaire.
- exactes et, le cas , mises à jour.
- traitées d'une manière qui garantisse une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, au moyen de mesures techniques ou organisationnelles appropriées.
Toute question relative à la collecte, au traitement ou à la détention de données personnelles, au GDPR, doit être adressée au responsable de la protection des données (DPO).
Définition des données à caractère personnel
Informations personnelles
Toute représentation d'une information qui permet d'identifier raisonnablement, par des moyens directs ou indirects, une personne à laquelle l'information s'applique. Ces informations peuvent être conservées sur papier, sous forme électronique ou sur d'autres supports :
- Nom
- Coordonnées
- Numéro d'identification
- Données de localisation
- Identifiant en ligne
- Facteurs propres à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale
Droits d'accès de la personne concernée
Les principaux droits des personnes concernées en vertu du GDPR :
le droit d'être informé
le droit d'accès
le droit de rectification des données personnelles inexactes ou incomplètes
le droit à l'effacement (également connu sous le nom de "droit à l'oubli")
le droit de restreindre le traitement
le droit à la portabilité des données
le droit d'opposition
les droits relatifs à la prise de décision automatisée et au profilage
Les demandes d'accès :
Les clients, les utilisateurs finaux et les employés ont le droit d'introduire des demandes d'accès à tout moment. Toutes les demandes de ce type doivent être adressées au responsable de la protection des données et traitées par lui.
Comment reconnaître une violation de données ?
Perte physique
- Perte ou vol d'enregistrements physiques
- Vol de matériel informatique
- Défaillance importante de l'équipement
Accès non autorisé
- Modification non autorisée des données
- Divulgation non autorisée à des tiers
- Piratage et hameçonnage
Erreurs et accidents
- Erreur humaine (mauvais destinataire)
- Circonstances imprévues (incendie, inondation)
Si vous soupçonnez ou êtes témoin de l'une des situations susmentionnées, vous devez immédiatement signaler la violation de données au responsable de la protection de la vie privée.
Comment traiter les violations de données ?
1
Signalement immédiat
Vous devez en informer immédiatement le responsable de la protection des données et le directeur technique.
2
Enquête et analyse
Nous enquêtons et analysons la violation de données. Nous prendrons des mesures immédiates pour limiter l'impact et les conséquences d'une violation de données.
3
Décision de notification
Nous déciderons si l'Autorité de protection des données doit être notifiée dans les 72 heures après en avoir pris connaissance.
4
Informations aux autorités et aux clients
Nous savons quelles informations nous devons fournir à l'autorité en cas de violation. Nous déciderons si les clients doivent être informés et lesquels.
5
Documentation
Nous documenterons toutes les violations, même si elles ne doivent pas toutes être signalées.
Quand et comment notifier l'autorité de protection des données ?
1
Détection de la violation
Identification initiale de la violation de données
2
Évaluation et préparation
Rassembler les informations nécessaires pour la notification
3
Notification obligatoire
Notification à l'autorité de protection des données dans les 72 heures suivant la prise de connaissance, même si tous les détails ne sont pas disponibles
Informations requises lors de la notification :
Nombre de personnes affectées
Approximativement le nombre de personnes dont les données personnelles sont touchées par la violation de données
Enregistrements de données concernés
Nombre approximatif d'enregistrements de données à caractère personnel touchés
Responsable de la protection des données (DPO)
Nom et coordonnées du responsable de la protection des données
Conséquences probables de la violation
Description des conséquences probables de la violation de données
Mesures prises pour remédier
Description des mesures prises pour remédier à la violation des données
Quand les personnes concernées doivent-elles être informées ?
Informer les personnes concernées
Le responsable de la protection des données doit veiller à ce que toutes les personnes concernées soient informées de la violation directement et dans les meilleurs délais.
Responsabilité de la notification
Il incombe au responsable du traitement des données de notifier les personnes concernées.
Facteurs de risque
Une violation de données à caractère personnel doit être susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées.
L'arnaque au nouveau service
Arnaque vous poussant à activer un nouveau service disponible sur votre compte, ce service est généralement un service contribuant à améliorer la sécurité de votre compte.
Arnaque au compte bancaire
exemple d'un e-mail vous indiquant que votre carte bancaire a été bloquée et que vous avez 48 h pour la débloquer. Encore une fois le réflexe de base de chacun va être de cliquer sur le lien dans l'e-mail pour pouvoir utiliser sa carte de nouveau.
Évaluation de la formation de sensibilisation à la sécurité
Après la formation de sensibilisation à la sécurité et à la protection des données
Un questionnaire est envoyé à tous les participants pour s'assurer qu'ils ont assimilés le cours.
Le questionnaire fera l'objet d'un examen et d'une évaluation
Si nécessaire, les améliorations seront définies et communiquées.
Merci de votre attention !
