Formation piratage et non-conformité

Nous avons conçu cette formation Piratage et non-conformité pour le directeur qualité. Mais aussi le directeur commercial. Et même le directeur juridique. Ou le directeur des affaires médicales.

Or la non-conformité réglementaire associé au piratage informatique, c’est le fait que votre entreprise se trouve en infraction pour avoir été piratée. Pourtant, ceci choque le sens commun. En effet on a l’impression que c’est la victime qui est le coupable. Et pourtant c’est une réalité.

Une amende de 1.5 millions d’euro

Le 21 avril 2021, au Plessis Robinson, dans les Hauts de Seine, la CNIL ( la Commission Nationale de l’Informatique et des Libertés) à condamné la société DEDALUS à une amende de 1 million et demie d’euro.

Pour avoir laissé fuiter les données médicales de 500.000 français. En ce compris leur groupe sanguin et leur numéro de sécurité sociale. Mais aussi des informations relatives à leurs cancers, contamination au virus du SIDA. Voire des informations relatives à des grossesses et des grossesses interrompues.

Cependant, toutes ces données sont évidemment confidentielles. Et il appartient du coup à l’ensemble des acteurs qui les traitent d’en garantir la confidentalité.

Piratage : la victime est responsable

Ainsi, vous ne pouvez pas dire, après avoir été piratés, que c’est un accident. Ni que vous n’en êtes pas responsable. Ou qu’il était impossible de prévoir, de prévenir, d’anticiper sur le risque. Donc c’est votre responsabilité en tant qu’entreprise, autant le savoir.

Et l’une des difficultés attachées à cette responsbilité est qu’elle est partagée par vos employés. Ainsi que par l’ensemble des personnes individuelles, parfois très nombreuses, qui ont accès à ces données.

Alors, on le sait, par les nombreuses affaires de fuite de données, qu’elles soient accidentelles, le résultat d’une négligence, d’une malveillance ou d’une attaque en règle, l’historique révèle bien souvent un maillon faible. Soit un employé distrait, en colère. Soit un sous-traitant qui n’a pas été informé des risques. Soit un fournisseur qui a cru bien faire. Soit même un ex-employé comme dans le piratage de la société TESLA en 2021. Voir sur ce point notre programme Gérer le départ d’un employé pour éviter qu’il ne parte avec les données de l’entreprise.

Non-conformité : RGPD mais aussi l’ensemble des réglementations

Et ceci ne porte pas que sur la confidentialité des données. La réglementation, surtout dans le domaine médical, porte aussi sur leur intégrité (c’est-à-dire en gros la traçabilité des événements au sein de l’entreprise) et même au-delà, sur l’ensemble des activités de l’entreprise.

Si, par exemple, un pirate parvient à prendre le contrôle d’une pompe doseuse et modifie la composition d’un médicament, l’autorité de tutelle poursuivra l’entreprise manufacturière du médicament et pas le pirate en question.

La solution n’est pas seulement technologique mais peut inclure de la formation

Donc, derrière cette obligation légale de NE PAS se laisser pirater, vous avez un vaste ensemble d’actions à entreprendre : la sécurisation de vos infrastructures n’en est qu’une toute petite partie. La formation du personnel, les exercices à mener, les assurances auxuqelles souscrire, les pénalités à prévoir dans les contrats avec vos sous-traitants, la vérification de leurs procédures.

C’est un long travail qui est én général l’oeuvre conjointe de : le département légal, le départment formation, le département des systèmes informatiques, le tout piloté (le cas échéant) par le directeur de la QUALITE.

Lire sur les affaires, souvent passionnantes d’ailleurs, de sanctions qui résultent du fait d’avoir été victime d’un piratage est probablement la manière la plus rapide de vous instruire sur le sujet.

Dans cette formation piratage et non-conformité

Dans cette formation, nous indiquons la démarche à entreprendre avant, pendant et après un incident de piratage qui cause une non-conformité réglementaire et nous abordons l’ensemble des aspects du problème. Non seulement les précautions techniques (VPN, Antivirus etc.) mais aussi les bonnes pratiques en matière de formation efficace du personnel ainsi que les enjeux juridiques qui, à travers la précision des contrats, mitigent le risque et répartissent de façon juste la charge de la responsabilité.

Nos clients achètent souvent cette formation Piratage et non-conformité en l’associant avec deux autres formations. D’une part Le vol de données et d’autre part Le phishing ou usurpation d’identité.

Curriculum formation piratage et non-conformité

Introduction

Section 1: Le cas Dedalus

• La victime coupable
• L’accusation de négligence
• La chaîne de la responsabilité

Section 2: Envisager l’avenir

• Payer l’amende
• Repenser les contrats avec les employés
• Procéder à une audit de confiance

Section 3: Les moyens d’anticipation

• Le modèle d’affaires
• La dynamique des relations interpersonnelles
• L’effet BYOD

Glossaire

Quiz