Parcours A — Session 05 : Gouvernance, risque, conformité & vie privée¶
Module : GRC & Vie Privée | Durée : 90 min | Parcours : A 8 sessions
Objectifs pédagogiques (4, verbes d'action)¶
- Décrire la place et le rôle de la gouvernance, de la gestion des risques et de la conformité (GRC) dans la stratégie cyber d'une organisation.
- Identifier la structure et les objectifs fondamentaux des référentiels de sécurité internationaux (ISO 27001, NIST CSF).
- Évaluer un risque cyber simple en estimant sa vraisemblance et son impact à l'aide d'une matrice qualitative d'analyse de risques.
- Expliquer les principes directeurs du RGPD (consentement, finalité, minimisation, droits des personnes) appliqués à la vie privée des utilisateurs.
Prérequis¶
- Sessions précédentes : A1 à A4.
- Self-paced AVANT la séance (~60 min) : Lecture d'articles synthétiques sur le rôle de la CNIL et les droits fondamentaux conférés par le RGPD. Visionnage d'une courte introduction méthodologique sur ce qu'est un risque (menace vs vulnérabilité).
Découpage temporel (90 min)¶
| Min | Segment | Format | Support |
|---|---|---|---|
| 0–5 | Accueil, logistique & rappel du plan de session | Plénière | Slide titre & objectifs |
| 5–15 | Brise-glace : "Le dilemme du régulateur" (Sondage RGPD) | Interactif | Outil de sondage en ligne |
| 15–35 | Apport de contenu 1 : Qu'est-ce que la GRC ? Intro ISO 27001 et NIST CSF | Exposé illustré | Slides cadres de gouvernance (vulgarisés) |
| 35–55 | Activité 1 : Analyse et évaluation des risques pour une PME | Travail en binôme | Fiche d'activité A_S05 (Registre de risques) |
| 55–75 | Apport de contenu 2 : Protection de la vie privée & principes clés du RGPD | Exposé interactif | Slides RGPD & droits utilisateurs |
| 75–85 | Démo 5 : Matrice de risques + Quiz live | Démo + Quiz interactif | Script de démo & Banque de quiz (Thème A5) |
| 85–90 | Clôture de la session, annonce du self-paced et devoirs | Plénière | Slide récapitulatif & devoirs |
Activités détaillées¶
- Activité 1 — Évaluation et registre de risques simplifiés :
- Objectif : Estimer le niveau de risques cyber et formuler un plan de traitement pragmatique en se basant sur un scénario d'entreprise.
- Consignes pas-à-pas :
- Diviser les apprenants en binômes.
- Fournir aux apprenants 3 fiches de scénarios de risques simples (Scénario A : Vol d'un ordinateur portable contenant la liste des clients ; Scénario B : Rançonnement du serveur de facturation hébergé en interne ; Scénario C : Inondation accidentelle de la salle serveur locale).
- Pour chaque scénario, le binôme doit estimer la probabilité (1 à 4) et l'impact (1 à 4), puis calculer la criticité brute (Criticité = Probabilité × Impact).
- Proposer une action de traitement en choisissant parmi les options standard : Réduire, Transférer (cyber-assurance), Éviter ou Accepter.
- Échanger brièvement en grand groupe sur les différences de cotation observées selon la sensibilité des secteurs d'activité choisis.
- Livrable attendu : Un registre des risques synthétique complété pour les 3 scénarios avec cotations et décisions de traitement.
- Durée : 20 minutes (13 min de réflexion pratique, 7 min de partage).
- Modalité : Travail en binôme.
-
Critères de réussite : Cotations logiquement argumentées, pertinence de la décision de traitement par rapport à l'impact calculé.
-
Démonstration — Utilisation d'une matrice qualitative de risques :
- Lien : Renvoi au script de démonstration
A_scripts_demo.md#demo-5-matrice-risques. - Description : Le mentor présente de façon interactive une feuille de calcul automatisée (ou un tableau visuel) projetant la matrice qualitative 4x4 (probabilité vs impact) pour classifier les risques en zones (faible, moyen, élevé, critique) et illustrer visuellement comment le traitement du risque réduit la criticité brute vers une criticité résiduelle.
Questions d'interaction (pour stimuler la réflexion)¶
- "Quelle est la différence fondamentale entre réduire un risque (comme installer un pare-feu) et le transférer (comme souscrire une cyber-assurance) ? La cyber-assurance empêche-t-elle l'attaque ?" (Focus traitement du risque)
- "Si un collaborateur envoie par erreur la feuille de paie de toute l'entreprise à tous les employés, quelles règles du RGPD sont violées ?" (Focus confidentialité & minimisation des données)
- "Pourquoi la mise en conformité au RGPD est-elle considérée comme un levier de confiance commerciale et pas seulement comme une contrainte légale ?" (Focus valeur business de la conformité)
Articulation avec le projet¶
- Cette session fournit les fondations organisationnelles et réglementaires pour le Projet Capstone. Les apprenants devront insérer une analyse de risques initiale de la PME et vérifier sa conformité RGPD de base (droits d'accès des clients, formulaires de collecte de données, registre de traitements).
Self-paced APRÈS la séance (~90 min) & évaluation formative¶
- Suivre le cours en ligne d'introduction à la protection des données personnelles (RGPD) ou le module équivalent d'un organisme national (type CNIL en France).
- Auto-évaluation en ligne (10 questions sur le RGPD, les cadres ISO 27001 / NIST CSF et l'analyse de risques).
- Lecture suggérée : Le guide de sécurité des données personnelles (recommandations CNIL ou agence cyber nationale).
Checklist matériel mentor¶
- Supports de présentation (Slides S05)
- Fiche d'activité A_S05 (Scénarios de risques & modèle de registre)
- Matrice Excel ou outil visuel de démonstration des risques (dans
A_scripts_demo.md) - Outil de sondage interactif
- Support complet de cours en format
.MD(A_S05_support.md)