Aller au contenu
RGPD
Plateforme de formation à la sensibilisation à la sécurité

Formation à la sensibilisation

GDPR ISO27001 NIS2 AI Act CIS18 NIST-CSF

Une formation sérieuse. Simplement simple.

  • Mettez-vous en conformité avec le RGPD, NIS2 et plus encore.
  • Certificats, documentation et conformité.
  • Plus de 60 micro-leçons de haute qualité.
Conformité au RGPD

Exigences de formation de sensibilisation au RGPD

  • Le responsable du traitement doit mettre en œuvre des mesures organisationnelles appropriées, par exemple une formation de sensibilisation, afin de garantir et d'être en mesure de démontrer que le traitement des données à caractère personnel est effectué conformément au RGPD.
  • Les employés doivent être capables d'identifier quand et comment ils doivent traiter les données à caractère personnel dans le cadre de leur travail.
GDPR Introduction Course Preview

L'essentiel sur le RGPD

Le RGPD est la réglementation la plus vaste pour les entreprises adoptée par l'UE depuis de nombreuses années.

Les entreprises doivent apprendre à gérer le RGPD de manière efficace et compétente afin d'assurer la conformité sans compromettre leurs activités quotidiennes.

Que sont les données à caractère personnel ?
Les données à caractère personnel sont toute donnée permettant d'identifier une personne. Exemples : • Une adresse électronique peut être utilisée pour identifier une personne. • Un numéro de téléphone peut être utilisé pour identifier une personne. • Une adresse peut être utilisée pour identifier une personne. • Une adresse IP peut être utilisée pour identifier une personne. • Le numéro national d'identité peut être utilisé pour identifier une personne. • Le numéro de passeport peut être utilisé pour identifier une personne. • Un numéro de carte de crédit peut être utilisé pour identifier une personne. Les données qui enrichissent ce que nous savons sur une personne sont des données à caractère personnel : • Loisirs • Centres d'intérêt • Consommation • Schémas comportementaux • Accent • Caractéristiques physiques La plupart des données traitées par les entreprises pourraient être considérées comme des données à caractère personnel.
À qui s'adresse le RGPD ?
Le RGPD s'applique à toutes les entreprises, organisations et institutions de l'UE. Le RGPD s'applique également à toute entreprise, organisation ou institution qui offre des biens ou des services à toute personne dans l'UE. Cela vaut qu'un paiement soit prévu ou non. Exemple : toute boutique en ligne ou tout service vendant sur le marché de l'UE, que cette entreprise soit établie aux États-Unis ou en Australie, devra se conformer au RGPD.
Le RGPD pour les entreprises hors UE ?
Le RGPD s'applique au traitement des données à caractère personnel par des responsables du traitement non établis dans l'UE s'ils traitent des données à caractère personnel de personnes concernées se trouvant dans l'UE.
Principes du traitement des données à caractère personnel
Le RGPD impose à tout responsable du traitement de respecter les principes énoncés à l'article 5 du RGPD. Licéité, loyauté et transparence — Vous devez traiter les données à caractère personnel de manière licite, loyale et de telle sorte que le traitement soit transparent pour la personne concernée. Limitation des finalités — Vous ne devez collecter les données à caractère personnel que pour des finalités déterminées, explicites et légitimes. Minimisation des données — Vous ne devez traiter que les données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire. Exactitude — Le traitement des données à caractère personnel doit être exact et tenu à jour. Limitation de la conservation — Les données à caractère personnel doivent être effacées ou anonymisées lorsqu'elles ne sont plus nécessaires au regard de la finalité initiale. Intégrité et confidentialité — Les données à caractère personnel doivent être traitées de façon à en garantir la sécurité contre tout traitement non autorisé ou illicite. Responsabilité — En tant que responsable du traitement, vous êtes responsable du respect de ces principes et devez être en mesure de démontrer ce respect.
Qu'est-ce qu'un responsable du traitement ?
Un responsable du traitement est une entreprise qui détermine les finalités et les moyens du traitement des données à caractère personnel. C'est un concept essentiel à comprendre, car il détermine vos obligations au regard du RGPD.
Qu'est-ce qu'un sous-traitant ?
Un sous-traitant est une entreprise qui traite des données à caractère personnel pour le compte du responsable du traitement. C'est un concept essentiel à comprendre, car il détermine vos obligations au regard du RGPD. Un sous-traitant doit toujours conclure un contrat de sous-traitance avec le responsable du traitement, conformément à l'article 28 du RGPD.
Ai-je besoin d'une politique de confidentialité ?
Lorsque vous collectez des données à caractère personnel auprès de la personne concernée, vous devez lui fournir des informations sur les raisons et les modalités du traitement de ces données. Ces exigences figurent aux articles 13 et 14 du RGPD. En pratique, vous pourriez fournir ces informations dans une politique de confidentialité qui devrait être accessible à la personne au moment de la collecte des données à caractère personnel.
Comment me mettre en conformité avec le RGPD ?
Une exigence primordiale du RGPD est de tenir un registre des activités de traitement effectuées sous votre responsabilité (article 30). Vous devrez également fournir ces informations à vos personnes concernées dans une politique de confidentialité (articles 13 et 14). Vous devrez traiter les données conformément aux principes de ce règlement (article 5). Vous devrez conclure des contrats de sous-traitance avec tous les sous-traitants que vous avez chargés de traiter des données pour votre compte (article 28). Vous devrez réaliser des analyses de risques de vos activités de traitement et, sur cette base, mettre en œuvre les mesures organisationnelles et techniques appropriées pour garantir que les données à caractère personnel soient traitées de façon sécurisée. Ces exigences ne sont que quelques-unes des nombreuses exigences du RGPD.
NIS2 Introduction Course Preview
Conformité à la directive NIS2

Exigences de formation de sensibilisation à la NIS2

  • Une exigence fondamentale de la directive NIS2 est de veiller à ce que tous les employés connaissent les bonnes pratiques de cybersécurité et bénéficient d'une formation adéquate en cybersécurité.
  • La direction de votre organisation doit approuver les mesures de gestion des risques et de cybersécurité mises en œuvre pour se conformer à la directive NIS2 et joue donc un rôle central dans la gouvernance de la cybersécurité.
Qu'est-ce que la directive NIS2 ?
La NIS2 est la deuxième version de la directive de l'UE sur la sécurité des réseaux et des systèmes d'information. Il s'agit d'une loi qui fixe des règles sur la manière dont les organisations des secteurs clés doivent protéger leurs systèmes et leurs données numériques. Elle vise à améliorer la cybersécurité dans l'ensemble de l'UE en veillant à ce que les services « essentiels » et « importants » – comme l'énergie, les transports, la santé, la banque et les services numériques – prennent des mesures claires pour prévenir les incidents de cybersécurité, les détecter rapidement et s'en rétablir efficacement.
À qui s'applique la NIS2 ?
La NIS2 s'applique aux moyennes et grandes entreprises des secteurs « essentiels » et « importants », c'est-à-dire, pour l'essentiel, à ce que l'on qualifie d'infrastructure critique. Elle s'applique également à certaines organisations plus petites si elles fournissent des services critiques ou font partie de la chaîne d'approvisionnement des secteurs mentionnés ci-dessus. Si votre organisation relève de l'énergie, de la santé, de l'infrastructure numérique, de l'eau, de la banque ou de nombreux autres secteurs similaires, elle entre probablement dans le champ d'application.
Quelles sont les exigences minimales au titre de la NIS2 ?
Les exigences minimales de la NIS2 sont les suivantes : • Des politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information. • Des procédures de gestion des incidents. • La continuité des activités, notamment la gestion des sauvegardes, la reprise après sinistre et la gestion de crise. • La sécurité de la chaîne d'approvisionnement, couvrant les relations avec les fournisseurs et prestataires de services directs. • La sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités. • Des politiques et des procédures pour évaluer l'efficacité de la gestion des risques en matière de cybersécurité. • Des pratiques de base en matière de cyberhygiène et une formation régulière à la cybersécurité. • Des politiques et des procédures relatives à l'utilisation de la cryptographie et du chiffrement. • La sécurité des ressources humaines, des politiques de contrôle d'accès et la gestion des actifs. • L'utilisation de solutions d'authentification et de communication sécurisées, telles que l'authentification multifactorielle ou continue, et des communications vocales, vidéo et textuelles sécurisées.
Gestion des risques, direction et notification des incidents
Mesures de gestion des risques — Toutes les organisations doivent adopter une approche structurée du risque de cybersécurité. Cela comprend l'identification des menaces possibles, la protection des systèmes, la détection précoce des problèmes et la capacité à réagir et à se rétablir. Responsabilité de la direction — La direction générale est tenue directement responsable de la cybersécurité et les autorités lui demandent des comptes en cas de manquements graves. Elle doit approuver les stratégies de sécurité, veiller à ce que les mesures appropriées soient en place et rester informée grâce à une formation régulière. Notification des incidents — Les organisations doivent notifier les incidents de sécurité importants à l'autorité nationale de cybersécurité (CSIRT).
Quelles sont les exigences de formation pour la direction au titre de la NIS2 ?
La NIS2 exige que l'ensemble du personnel concerné, y compris la direction, reçoive une formation de base et régulière à la cybersécurité (également appelée « cyberhygiène »). Pour la direction, la formation est obligatoire. Les membres de l'organe de direction doivent suivre des formations pertinentes sur la gestion des risques de cybersécurité et sont censés promouvoir la formation dans l'ensemble de l'organisation. Il n'existe pas de règles strictes quant au format ou au contenu, mais la formation doit correspondre au rôle de la direction dans l'évaluation des risques et la supervision des mesures de cybersécurité. L'équipe de direction, dans son ensemble, doit disposer des compétences nécessaires pour assumer les responsabilités en matière de cybersécurité au titre de la NIS2. Toutes les activités de formation doivent être documentées, par exemple au moyen d'un certificat ou d'une preuve écrite de participation.
Quelles sont les exigences en matière de formation du personnel ?
La NIS2 exige que le personnel reçoive une formation à la cybersécurité adaptée à son rôle et à ses responsabilités. Toutes les organisations doivent disposer d'une politique claire garantissant que les employés acquièrent les connaissances et les compétences appropriées pour protéger les systèmes et faire face aux menaces numériques. La direction joue un rôle central à cet égard. Elle doit encourager activement que le personnel bénéficie d'une formation similaire à celle que suit la direction. La formation doit être pratique et facile à appliquer, et couvrir des thèmes tels que la détection de l'hameçonnage, le traitement sécurisé des données, l'utilisation correcte des mots de passe et la connaissance de la conduite à tenir en cas d'incident. L'objectif doit être de créer une culture dans laquelle l'apprentissage et la sensibilisation sont continus. Toutes les activités de formation doivent être planifiées, enregistrées et suivies afin de garantir leur efficacité.
Pourquoi la formation est-elle si importante au titre de la NIS2 ?
Parce que, même avec une technologie robuste, l'erreur humaine reste l'un des plus grands risques. La formation aide le personnel à détecter les menaces rapidement et à agir de manière responsable. Pour la direction, il s'agit d'une question de responsabilité. La formation montre aux régulateurs que l'entreprise prend la sécurité au sérieux et qu'elle prend des mesures concrètes pour réduire les risques.
Quelles mesures les organisations doivent-elles prendre dès maintenant pour se conformer à la NIS2 ?
• Déterminer si l'organisation entre dans le champ d'application. • Désigner une personne ou une équipe responsable de la cybersécurité. • Réexaminer les politiques et procédures actuelles. • Combler les éventuelles lacunes en matière de sécurité. • Mettre en place ou améliorer les plans de notification et de réponse aux incidents. • Instaurer une formation régulière à la cybersécurité. • Tout documenter pour démontrer la conformité. • Consulter votre autorité nationale de cybersécurité pour obtenir des orientations locales.
Comment la NIS2 recoupe-t-elle le RGPD ?
La NIS2 et le RGPD sont des lois distinctes de l'UE, mais elles se recoupent, ce qui signifie que le travail que vous réalisez sur l'une peut soutenir l'autre. Toutes deux exigent une sécurité robuste pour les données à caractère personnel et les systèmes, et toutes deux imposent une approche fondée sur les risques. Par exemple, dans le cadre de votre conformité au RGPD, vous avez cartographié les flux de données à caractère personnel et les actifs utilisés pour leur traitement, ce que vous pouvez réutiliser pour cartographier les actifs et processus numériques au titre de la NIS2. De même, vos analyses de risques relatives à la protection des données à caractère personnel alimentent également les analyses de risques de cybersécurité pour la fourniture de services critiques, et votre plan de réponse aux incidents au titre du RGPD peut servir de base à l'exigence de la NIS2 de détecter les incidents de sécurité, de les notifier et d'y répondre. Vos efforts de conformité au RGPD et à la NIS2 doivent assurément être alignés afin d'éviter les doublons et de réduire les coûts.

L'essentiel sur la directive NIS2

NIS2 est une directive de l'UE qui impose aux organisations classées comme infrastructures critiques de respecter des exigences précises en matière de cybersécurité.

AI Act

Formation à la maîtrise de l'IA

  • L'AI Act impose aux organisations de dispenser une formation à la maîtrise de l'IA, afin que les employés acquièrent les compétences nécessaires pour travailler en toute sécurité avec l'IA.
  • Cette exigence s'applique à tout le monde, qu'il s'agisse d'une personne qui utilise simplement ChatGPT ou d'un analyste de données travaillant avec l'apprentissage automatique.
AI Literacy Training Preview
IT Security Frameworks Overview
Sécurité informatique

Formation aux référentiels de sécurité

  • Formez votre équipe aux référentiels de sécurité reconnus par le secteur, notamment ISO 27001, CIS18 et NIST-CSF, afin de renforcer la posture de sécurité de votre organisation.
  • Une formation de sensibilisation concrète qui aide les employés à comprendre et à appliquer les mesures de sécurité dans leur travail quotidien.