Blog

Conception d’une matrice de diagnostic Cyber & RGPD

  • Auteur/autrice de la publication :
  • Post category:Actualités

Contexte :

Beeznet a été retenu par un organisme de certification et de formation en janvier 2021 pour concevoir  une matrice d’auto-diagnostic en ligne (pouvant être complété par en évaluation documentaire et une évaluation sur site) permettant d’aider les organismes à mesurer leur niveau en matière de cyber-sécurité et conformité RGPD.

Les deux diagnostics conçus ont pour objectif :
•       Accompagner les clients dans leurs projets de certification (iso 27001…) ou d’évaluation de conformité (RGPD).
•       Evangéliser le marché sur les enjeux cyber et RGPD
•       identifier les compétences nécessaires à apporter aux différents acteurs de l’organisme.

Action :

Beeznet a mobilisé les prestataires engagés compétents pour élaborer les deux diagnostics attendus, et permettre de:

– attribuer une note globale,
– identifier simplement les exigences relevant de la partie RGPD et celles relevant de la partie cyber,
– découvrir de façon interactive le référentiel confiance numérique et RGPD proposé par le certificateur,
– identifier les appuis nécessaires pour aller vers une reconnaissance (certification iso 27001, conformité RGPD) et/ou pour monter en compétence de façon progressive (implémenteur, auditeur ISO 27001, Délégué à la protection des données personnelles…)

Cette action s’est appuyée sur l’expertise développée dans le cadre  du Parcours Confiance numérique.

Résultat :

Côté reconnaissance (jusqu’à la certification), le résultat attendu prend la forme de deux Questionnaires:
•       Cyber : 44 questions dont 1 éventuellement non applicable (« Conception de logiciels »)
•       RGPD : 37 questions dont 1 éventuellement non applicable (« Encadrement des transferts de DCP »
•       Combiné Cyber/RGPD : Entre 61 et 81 questions
Et d’un dispositif  d’analyse automatique pour générer les rapports (résultats sous forme de radards).

Côté compétences, deux programmes de formation modulaire ont été proposés:
•    un module RGPD de 5 jours, structuré en 10 modules : Introduction, Sensibilisation aux fondamentaux,  étapes de la mise en œuvre, Gestion des acteurs internes/ externes, Solutions technologiques, Gestion de crise & des relations avec les autorités, cohérence et conformité….
•    un module cyber sécurité de 5 jours, structuré en 10 modules : essentiels de la cyber sécurité, Critères de la sécurité, Typologie des risques, Référentiels systémiques, sécurité informatique, Les 5 niveaux de la cyber-sécurité, Gouvernance et stratégie de sécurité, risques opérationnels, dispositifs de protection, juridiques et recours, sécurité physique, réseau/ infrastructure/ continuité….
Ces modules permettant selon le besoin d’apporter la juste compétence pour éclairer (2 heures), sensibiliser (1 jour), impliquer (3 jours) ou certifier (5 jours) les acteurs concernés.