• 4 heures
  • Facile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 26/06/2024

Appréhendez la manière dont sont gérées les priorités cybersécurité

Bannière décorative pour le chapitre

Il y a de nombreux sujets sur lesquels la sécurité peut être améliorée, comment savoir par quel bout les prendre ?

C’est là que l’approche par les risques fait son apparition ! Elle est indispensable pour prioriser une liste de tâches qui peut sembler infinie. 

Découvrez les métiers qui appliquent l’approche par les risques

L’analyste des risques cybersécurité réalise des analyses de risques sur la base des processus de gestion des risques préalablement établis. Ses principales tâches sont les suivantes :

  • identifier ce que l’entreprise souhaite protéger ;

  • identifier, évaluer et prioriser les risques pesant sur l’organisation ou sur des périmètres spécifiques ;

  • proposer un plan d’action permettant de traiter les risques identifiés ;

  • faire valider et suivre la mise en œuvre du plan de traitement des risques ;

  • communiquer avec les parties prenantes et leur rapporter les informations pertinentes.

Et si vous souhaitez en savoir plus sur le métier, regardez l'interview de Anne-Catherine VIÉ, Responsable Avant-Ventes Cyber.

Dans certaines organisations, il existe aussi une personne ou une équipe dédiée aux risques non cybersécurité

Quelle différence avec le rôle d’analyste des risques présenté plus tôt ?

Les risques traités par cette personne ou équipe sont des risques métier, liés au cœur des opérations de l’organisation et pas à son système d'information.

Par exemple au sein de notre hôpital Santé Céleste, les risques sont omniprésents et doivent être identifiés et gérés : risques pour les patients (infections nosocomiales, erreurs de diagnostic ou de médicamentation, etc.) ou pour le personnel (contaminations par les patients, agressions, stress, etc.). C’est notamment une tâche qui revient au directeur d’hôpital. La démarche est similaire aux activités de gestion des risques cybersécurité : identifier, évaluer, prioriser les risques et proposer un plan de traitement, suivre ces actions de traitement.

Lors de crises cyber ayant un impact fort sur les opérations, le risque métier est intrinsèquement lié, et les deux équipes (Risques et Cybersécurité) doivent travailler de concert.

Certains risques peuvent avoir de forts impacts légaux : on parle alors de risques en termes de conformité. La prise en compte des enjeux de conformité permet aussi de prioriser les chantiers à mener côté cybersécurité.

Découvrez qui gère les enjeux de conformité

Le chargé de conformité gère la conformité avec des normes et des réglementations de cybersécurité. Son métier est au croisement entre la cybersécurité et le juridique (protection de la vie privée, notamment). Ses tâches principales sont les suivantes :

  • identifier les manquements en termes de conformité à des normes ou réglementations ;

  • définir un plan de mise en conformité et piloter la mise en œuvre de ce plan ;

  • coordonner les parties prenantes internes et externes participant à la mise en conformité ;

  • contribuer à la stratégie de cybersécurité sur le volet conformité.

Cette personne fait partie de l’équipe juridique, alors ?

Cela dépend des organisations, mais il est certain qu’elles travaillent main dans la main, car leurs enjeux sont similaires.

L’équipe juridique collabore au quotidien avec l’équipe de cybersécurité sur des sujets de conformité légale ou contractuelle : gestion des fournisseurs et des contrats, droit de propriété intellectuelle, protection des données personnelles, clauses de confidentialité dans les contrats des employés, etc.

Quel est le rôle de l'équipe juridique ? Visionnez l'interview de Soazig Le Leuch, juriste :

Un sujet devenu critique ces dernières années, avec l’entrée en vigueur au niveau européen du RGPD, est la protection des données personnelles (“privacy”, en anglais). De nombreuses activités découlent de cette réglementation, et sont sous la responsabilité du délégué à la protection des données (DPD ou “Data Protection Officer”, DPO, en anglais) :

  • formaliser des analyses d’impact relatives à la protection des données (AIPD) dans le cadre de traitement de données personnelles ;

  • intervenir dans le traitement juridique d’une violation de données personnelles, notamment en notifiant la CNIL, comme cela a été le cas pour l’hôpital Santé Céleste ;

  • définir la durée légale de rétention des données personnelles stockées par l’organisation ;

  • s’assurer de clauses de protection des données personnelles lors de la contractualisation avec un nouveau prestataire.

Selon les organisations, le DPD fait partie de l’équipe juridique ou de l’équipe Cybersécurité. En tout cas, vous voyez que ces deux équipes collaborent étroitement !

Je n’arrive plus à y voir clair dans toutes ces équipes, comment cela s’organise-t-il ? Qui en est le chef d’orchestre ?

Très bonne question ! C’est ce que vous allez voir dans le chapitre suivant.

En résumé

Dans ce chapitre, vous avez encore découvert de nouveaux rôles au sein de l’équipe de cybersécurité et au-delà !

  • Vous avez rencontré l’analyste des risques, dont les travaux permettent de prioriser les tâches de sécurité.

  • Vous avez fait la connaissance du chargé de conformité, dont les activités sont entre la cybersécurité et le juridique.

  • Vous avez compris l’importance de la collaboration avec l’équipe juridique, notamment sur la protection des données personnelles et à travers le rôle de délégué à la protection des données.

Il vous manque encore une vision globale de toutes ces équipes ? C’est dans la suite que ça se passe, suivez-moi !

Exemple de certificat de réussite
Exemple de certificat de réussite