Architecture de la formation : La formation est constituée de quatre parties qui exposent successivement : ⢠Les rôles, les métiers et les acteurs des TIC (Ecosystème du Correspondant) ⢠Les TIC sur le plan fonctionnel (leur usage) ⢠La sécurité des Systèmes d'Informations ⢠Les TIC émergentes (et sensibles) Partie 1 : « L'écosystème du Correspondant Informatique & Libertés » (Organismes et Métiers/Fonctions des TIC) Objectifs : Le Correspondant est au front pour contrôler le respect de la loi. Il doit donc connaître les métiers des TIC, la gestion et le cycle de vie des projets ainsi que les acteurs qui gravitent autour de leur réalisation. L'objectif n'est pas de lister tous les acteurs/métiers, ni d'être exhaustif. L'objectif principal de cette partie est de créer/entretenir/développer un réflexe : « En tant que CIL, que peut m'apporter cet organisme/cette fonction/cette personne/ce métier ? » Le second objectif de cette partie est de préparer les CIL au rapport aux autres (contact, relations, frictions, incompréhensions, négociations, collaboration, confiance/défiance, rapports de force, soupçon, etc.). Le CIL ne travaille pas seul, dans une « bulle », mais il évolue dans un écosystème ; ⢠Local/rapproché (les métiers, les hommes : il faut les comprendre, appréhender leur point de vue, leurs craintes/leurs attentes) ⢠Global (les organismes, la « météo » ambiante, l'air du temps) Le fait de mieux connaître et maîtriser cette « bulle » doit aider le CIL dans ses missions. Plan : Les organismes principaux avec lesquels un CIL serait amené à interagir sont présentés, que même que les métiers des TIC, afin d'aider le Correspondant à travailler et échanger efficacement avec chacun d'eux. Comment discuter avec un RSSI (langage, méthodes, objectifs, outils, etc.), avec un DSI, avec un Risk Manager, avec un chef de projet, un urbaniste ? Quelles relations avec les sous-traitants (en mode SAAS, hébergeurs, routeurs d'e-mails, prestataires de tout type) La gestion de projet TIC est présentée afin que le Correspondant puisse agir de manière appropriée aux phases du projet dans lesquelles il est juste qu'il intervienne et qu'il s'implique. Partie 2 : « Présentation des TIC » ou « Architecture des Systèmes d'Informations » Objectifs : La compréhension des TIC est faite de manière progressive, en s'appuyant sur des exemples concrets de technologies mises en oeuvre lors de traitements de données à caractère personnel (collecte sur un site Web, emailing, traitement au sein d'une base de données, cybersurveillance, etc.). En partant des architectures et des techniques, le vocabulaire et les fonctionnalités sont introduits au fur et à mesure afin d'apporter une vue d'ensemble suffisamment précise. 4/4 L'objectif n'est pas de former des experts des sujets techniques, mais juste des personnes avisées de l'existence de ces techniques, de ce que l'on peut faire avec, afin de s'assurer si on a le droit de le faire. Nous introduirons également la curiosité, le doute et la suspicion noble (hors paranoïa) dans les architectures informatiques étudiées (Cybersurveillance à l'insu du Responsable de traitement ? Niveau de sécurisation des données insuffisant ?). Plan : Les architectures (matérielles et logicielles), les technologies, les logiciels, les réseaux, les méthodes, les outils sont décrits avec pragmatisme et sans jargon. Sont abordés dans cette partie des sujets tels que ; les bases de données, l'interconnexion de fichiers, Internet, la messagerie électronique, le modèle client-serveur, l'architecture trois tiers, les procédures de sauvegarde-restauration, la téléphonie, la vidéo surveillance, la biométrie, la traçabilité (logs, cookies, réseaux de capteurs, etc.), l'informatique mobile (PDA, Portables, Communications, etc.), l'archivage électronique, les outils de Gestion de la Relation Client (CRM), le modèle ISO, Ethernet, Internet, IP, TCP, FTP, le Web, Chat, VoIP, clés USB et périphériques amovibles, Web apps, les architectures RAID, virtualisation, cluster, applet, etc. Les acronymes Wan, LAN, QoS, WAFS, PRA, PCA, GED, etc. n'auront plus de secret pour vous. Partie 3 : Sécurité des Systèmes d'Informations Objectifs : Parmi les obligations du Responsable de Traitement figure la nécessaire sécurisation des données à caractère personnel qu'il traite. Le Correspondant Informatique & Libertés doit donc être en mesure de comprendre les problématiques de sécurité des systèmes d'informations. Nous aborderons également les notions de management de la sécurité et du risque. Plan : Sont abordés dans cette partie des sujets tels que ; Inventaire des actifs, inventaire des risques, audit de sécurité, virus, failles de sécurité, correctifs de sécurité/patches, dénis de service, fuite et vol d'informations, sécurité périmétrique, identification et authentification, gestion des droits d'accès, annuaires, signature électronique, spams, failles des réseaux sans fil (Wireless, Wi-Fi, etc.), paiement sécurisé, VPN, technologies dangereuses (le bloc note qui contient des infos cachées), pshishing, spoofing, intrusion dans un système, DoS, Cache/proxy, dayzero, exploit, hackers, SoX, PCI, ITIL, ISO 17799 et 27001, etc. Naturellement, les techniques et dispositifs de protection des données seront également présentées et explicitées ; chiffrement, anonymisation, outils de détection de fuite d'information, ségrégation des rôles, traçabilité, NAC, coffrefort électronique, techniques d'anonymisation, Forensics, snapShot, effacement des disques durs, techniques d'intégrité des données, etc. Les nouveaux risques sécuritaires liés au Web 2.0 ne sont pas oubliés, de même que les « Droits & Devoirs des administrateurs ». Cette partie sera émaillée de nombreux exemples réels et d'exercices de mise en situation. Partie 4 : « Initiation aux Technologies Sensibles et Emergentes » Objectifs : Présenter les Technologies émergentes et sensibles sous l'angle fonctionnel (c'est-à -dire, ce que l'on peut faire avec), en donnant assez d'éléments au futur Correspondant Informatique & Libertés pour se faire sa propre opinion des dangers éventuels qu'un usage non maîtrisé peut constituer pour le Responsable de Traitement. Plan : Sont abordés dans cette partie des sujets tels que ; la biométrie, la géolocalisation et le géomarketing, le RFID, le vote électronique, les logiciels sociaux (Plaxo, Friendster, Viadeo, FaceBook, etc.), etcâ¦
Voir toutes les formations ISEP