Module 1: Le Paysage des Menaces Cyber en2025
Chiffres clés de la cybercriminalité mondiale 2025 :
coûts estimés, fréquence des attaques, secteurs les plus touchés
Taxonomie des menaces cyber : ransomware,phishing, APT, attaques supply chain, deepfakes,fraude au président
Acteurs de la menace : cybercriminels organisés,États-nations, hacktivistes, insiders malveillants ou négligents
Anatomie d'une cyberattaque réelle : étude de cas Maersk (NotPetya), Colonial Pipeline, MGM Resorts –chronologie et impact
L'IA au service des attaquants : génération de phishing ultra-ciblé, deepfakes vocaux, automatisation des attaques
Surface d'attaque élargie : cloud, IoT, télétravail,shadow IT, chaîne d'approvisionnement numérique
Le coût réel d'une cyberattaque : direct (rançon,restauration) + indirect (réputation, perte clients,sanctions)
Table ronde : partage d'expériences des participants– incidents vécus, perceptions des risques dans leur organisation
Module 2: Impact Juridique,Réputationnel &Gouvernance Cyber, du risque IT au risque stratégique :
La cybersécurité dans les rapports annuels et les décisions de conseil d'administration
Impact réputationnel d'un incident : confiance clients,partenaires, actionnaires – exemples concrets
Responsabilité des dirigeants en cas de cyberattaque
: obligation de moyens vs obligation de résultats
Les sanctions administratives post-incident : CNIL(France), CNDP (Maroc), ICO (UK) – montants et exemples
Cybersécurité et continuité d'activité : PCA/PRA – le lien entre résilience opérationnelle et obligations légales
La cyber-assurance : couverture, exclusions,conditions de souscription, tendances du marché 2025
Gouvernance cyber : rôle du RSSI, du DPO, du comité de sécurité – articulation avec la direction générale
Atelier collaboratif : évaluer le niveau de maturité cyber de son organisation avec une grille de scoring
Module 3: RGPD –Règlement Général sur laProtection des Données
RGPD : principes fondamentaux (licéité, minimisation, exactitude, limitation, intégrité, responsabilité)
Base légale du traitement : consentement, contrat,obligation légale, intérêt légitime – choisir la bonne base
Droits des personnes concernées : accès,rectification, effacement, portabilité, opposition, limitation
Obligations du responsable de traitement : registre des traitements, DPO, PIA (Privacy Impact Assessment)
Transferts de données hors UE : clauses contractuelles types, décisions d'adéquation, règles d'entreprise contraignantes
Notification de violation de données (Article 33/34) : délai 72h à l'autorité, communication aux personnes concernées
Sanctions RGPD : jusqu'à 4% du CA mondial ou 20M€ – exemples de sanctions marquantes 2023- 2025
• Quiz RGPD interactif : 15 scénarios pratiques –déterminer si le traitement est conforme et quelle action prendre
Module 4: NIS2, Loi-Cybersécurité-Maroc & AutresRéglementations
Directive NIS2 (Network and Information Security 2) :champ d'application, entités essentielles vs importantes, secteurs couverts
Obligations NIS2 : mesures de sécurité minimales,notification des incidents (24h/72h/1 mois),responsabilité des dirigeants
Sanctions NIS2 : jusqu'à 10M€ ou 2% du CA mondial pour les entités essentielles
Loi n°05-20 relative à la cybersécurité au Maroc : objectifs, champ d'application, obligations des opérateurs d'importance vitale (OIV)
DGSSI (Direction Générale de la Sécurité des Systèmes d'Information) : rôle, missions, circulaires
DORA (Digital Operational Resilience Act) : résilience opérationnelle numérique pour le secteur financier
AI Act européen : classification des IA par niveau de risque, obligations des déployeurs, impacts cybersécurité
Atelier comparatif : cartographier les obligations réglementaires applicables à son organisation selon son secteur et sa localisation
Module 5: Responsabilités des Acteurs & adre Pénal de la Cybercriminalité
Responsabilité civile contractuelle et délictuelle en matière de cybersécurité : obligations de sécurité dans les contrats
Responsabilité pénale des personnes morales et physiques en cas de défaillance de sécurité
Responsabilité du DSI/RSSI : quand leur responsabilité personnelle peut-elle être engagée ?
Les infractions informatiques dans le Code pénal marocain et le droit pénal français : accès non autorisé, sabotage, vol de données
La loi n°07-03 complétant le Code pénal marocain relative aux infractions commises sur les systèmes d'information
Convention de Budapest sur la cybercriminalité : Cadre international de coopération judiciaire
Procédures judiciaires en matière de cybercriminalité: dépôt de plainte, investigation numérique, expertise
Table ronde juridique : cas pratiques de mise en jeu de responsabilité – exemples tirés de jurisprudence réelle
Module 6: Droit de la Preuve Numérique & Investigation Forensique
Preuve numérique : admissibilité en justice, conditions de validité, valeur probante
Principes de la forensique numérique : préservation de l'intégrité, chaîne de custody, ordre de volatilité
Collecte légale des preuves numériques : ce que l'entreprise peut faire légitimement (monitoring, logs, capture)
Limites légales du monitoring des salariés : vie privée, RGPD, droit du travail – équilibre délicat
E-discovery : collecte de preuves électroniques dans un contentieux – obligations et risques
Les huissiers de justice numérique et le constat numérique : valeur juridique, procédures
Coopération avec les forces de l'ordre : quand et comment contacter la police/gendarmerie
cybercriminalité
Atelier : construire un dossier de preuves numériques recevable à partir d'un scénario d'intrusion simulé
Module 7: Gouvernance Cyber & Politique de Sécurité (PSSI)
Cadre de gouvernance cyber : structure organisationnelle, comités de sécurité, rôles et responsabilités (RACI)
PSSI (Politique de Sécurité des Systèmes d'Information) : composantes, rédaction, validation, diffusion
Normes de référence : ISO 27001/27002, NIST Cybersecurity Framework, CIS Controls – aperçu et utilité
La charte informatique : contenu obligatoire, valeur juridique, signature des collaborateurs, opposabilité
Gestion des accès et des identités (IAM) : principe du moindre privilège, gestion des comptes privilégiés
Politique de mots de passe, MFA et authentification forte : exigences légales vs bonnes pratiques
Sécurité des tiers et des sous-traitants : clauses contractuelles, audits fournisseurs, questionnaires de sécurité
Atelier : rédiger les grandes lignes d'une PSSI adaptée à une organisation fictive
Module 8: Gestion des Risques Cyber & Conformité ISO 27001
Gestion des risques cyber : concepts fondamentaux (actif, menace, vulnérabilité, vraisemblance, impact)
Méthode EBIOS Risk Manager (EBIOS RM) : sources de risques, scénarios stratégiques, opérationnels, mesures de sécurité
ISO 27005 : processus de gestion des risques de sécurité de l'information – appréciation, traitement, communication
ISO 27001 : vue d'ensemble de la certification – contexte, leadership, planification, support, opérations, évaluation
Plan de traitement des risques : accepter, transférer (assurance), réduire (mesures techniques), éviter
Indicateurs de pilotage de la sécurité (KPI/KRI) : mesurer l'efficacité de la politique de sécurité
Tableau de bord RSSI : reporting à la direction générale – communiquer le risque cyber en termes business
Atelier : construire une cartographie des risques cyber simplifiée et proposer un plan de traitement priorisé
Module 9: Réponse aux Incidents Cyber & Notification Réglementaire
Plan de réponse aux incidents (IRP) : définition, composantes, équipe CSIRT/CERT interne
Processus de réponse aux incidents : Préparation →Détection → Confinement → Éradication →Récupération → Retour d'expérience
Obligations de notification post-incident : RGPD (72h à la CNIL/CNDP), NIS2 (24h/72h/1 mois), secteur financier (DORA)
Décision d'activer la cellule de crise : critères, seuils
de gravité, escalade vers la direction générale
Communication de crise cyber : interne (collaborateurs), externe (clients, partenaires, médias, régulateurs)
Relations avec les forces de l'ordre et les CERT nationaux (MAROCERT, ANSSI, CERT-FR) lors d'un incident
Gestion des rançongiciels : payer ou ne pas payer ?
Implications légales, assurance, FBI guidelines
TABLETOP EXERCISE (2h) : simulation d'une cyberattaque ransomware sur l'organisation – les participants jouent leur rôle
Module 10: Culture Cybersécurité, Plan d'Action & Clôture du Séminaire
Construire une culture cyber : pourquoi 95% des incidents impliquent une erreur humaine
Programme de sensibilisation des collaborateurs : phishing simulé, formations e-learning, affichage, événements
Les bons réflexes cyber au quotidien : mots de passe, mises à jour, pièces jointes, Wi-Fi public, BYOD
Mesurer l'efficacité des programmes de sensibilisation : indicateurs, tests de phishing, rapports de clic
Le rôle des relais cybersécurité dans les métiers : champions de sécurité, correspondants RGPD
PLAN D'ACTION INDIVIDUEL : chaque participant rédige son plan d'action post-séminaire :
3 mesures organisationnelles à mettre en place dans les 30 jours
2 mesures réglementaires à initier dans les 90 jours
1 projet de sensibilisation à lancer dans son équipe
Synthèse des 5 jours, quiz final de 20 questions + remise des attestations de participation
