Contenu de la formation
Thématique
L’Union Européenne a officialisé le 6 juillet 2016 la Directive (UE) 2016/1148 relative aux mesures destinées à renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union.
Plus connue sous l’acronyme « NIS » (National Information Security), cette directive s’inspire de la Loi de Programmation Militaire (LPM) votée en France en 2013, qui vise à sécuriser les Opérateurs d’Importance Vitale (OIV), des organisations pour lesquelles l’atteinte à la sécurité pourrait avoir des conséquences importantes sur la survie de la Nation dans le cadre d’une cyberattaque.
La loi française de transposition n°2018-133 du 26 février 2018, loi sécurité des réseaux et des systèmes d’information, vient étendre la liste des opérateurs concernés en créant deux nouvelles catégories :
Les Opérateurs de Services Essentiels (OSE), qui peuvent être des entités publiques ou privées qui fournissent un «service essentiel au maintien d’activités sociétales et/ou économiques ».
Ils seront désignés par décret du premier ministre (actualisé tous les deux ans) et appartiendront notamment à des secteurs comme l’Energie, le Transport, la Finance et la Santé.
Les Fournisseurs de Service Numérique (FSN), qui englobe différents services en ligne comme les places de marché (e-commerçants), les moteurs de recherche et les services d’informatique en nuage.
Ces opérateurs doivent :
- Prendre des mesures techniques et organisationnelles préventives, en identifiant les risques menaçant la sécurité des réseaux. Anticiper les incidents pour les éviter en limiter les impacts.
- Veiller à notifier l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) les incidents ayant un impact important sur la fourniture du service qu’ils délivrent.
- Se soumettre à des contrôles effectués par l’ANSSI ou par des prestataires de service qualifiés destinés à vérifier le respect de leurs obligations et le niveau de sécurité des réseaux et systèmes d’information.
En cas de manquement à ces obligations, ces organisations encourent des amendes pouvant aller jusqu’à 125 000 euros.
Pouvant être perçue comme contraignante, cette loi peut également être également une opportunité de mettre à niveau politique de gestion des cyberisques. Venant ainsi prévenir des incidents pouvant porter atteinte aux intérêts financiers et à l’image d’une société. Elle s’intègre également dans les exigences en termes de sécurité liées aux données personnelles du Règlement Européen de protection des données (RGPD) applicable dès 2018.
Objectifs
A l’issue de cette formation NIS, vous serez à même de :
- Maîtriser les enjeux et les exigences de la nouvelle réglementation
- Réaliser un état des lieux de sa conformité NIS
- Appréhender un projet de mise en conformité
- Appliquer les bonnes pratiques au sein de votre organisation pour respecter le cadre légal au quotidien
Public concerné
DSI, RSSI, Responsable informatique, Responsable juridique, Dirigeant, MOA, MOE, direction métier…
Plus généralement toute personne au sein d’une organisation (entreprise, association, groupement d’intérêt…) amené à établir et faire vivre la politique de gestion des risques cyber.
Prérequis
La formation est construite de manière à être accessible à tous, sans connaissances préalables dans le domaine juridique ou informatique.
Matériel de formation
Vidéos, Cas pratiques, tests de validation des acquis par chapitre, documents annexes et liens utiles.
Programme
– Programme en cours d’élaboration – disponible en mai 2018, il couvrira les domaines suivants :
Pour les OSE :
1 La gouvernance de la sécurité des réseaux et systèmes d’information ;
2 La protection des réseaux et systèmes d’information ;
3 La défense des réseaux et systèmes d’information ;
4 La résilience des activités.
Pour les FSN :
1 La sécurité des systèmes et des installations ;
2 La gestion des incidents ;
3 La gestion de la continuité des activités ;
4 Le suivi, l’audit et le contrôle ;
5 Le respect des normes internationales.