# Cyber Academy (Français) > GRC & cybersecurity certification training. Led by Christophe Mazzola (a practicing CISO) alongside a small team of practitioners. > We train professionals on NIS 2, DORA, AI Act, ISO 27001, ISO 31000, GDPR, and related standards, > via PECB- and ISACA-accredited courses, self-paced or in live sessions. > Content language of this file: Français. **Canonical URL:** https://cyberacademy.net/fr/ **Authoritative author:** Christophe Mazzola. Active CISO, author of "Être en Cybersécurité", 20+ certifications. See https://cyberacademy.net/fr/christophe. **Organization:** Cyber Academy. PECB Gold Partner, ISACA partner. See https://cyberacademy.net/fr/about. **Full content dump (Markdown, all pillar + encyclopedia pages):** https://cyberacademy.net/fr/llms-full.txt **This index in other languages:** - English: https://cyberacademy.net/llms.txt - Français: https://cyberacademy.net/fr/llms.txt (this file) - Español: https://cyberacademy.net/es/llms.txt - Italiano: https://cyberacademy.net/it/llms.txt - Deutsch: https://cyberacademy.net/de/llms.txt - Português: https://cyberacademy.net/pt/llms.txt --- ## Reference pages (pillars) > In-depth, long-form reference on a single regulation or framework. Definition, context, scope, deadlines, sources. Updated regularly. - [NIS 2 : le guide qui remplace votre veille juridique.](https://cyberacademy.net/fr/resources/pillars/nis-2): Tout ce qu'un RSSI, un responsable GRC ou un membre du conseil d'administration doit savoir pour opérer sous NIS 2 en 2026 : périmètre, dix mesures de sécurité, délais de notification d'incident, sanctions et la réalité de la salle d'audit. - [DORA : ce que votre RSSI ne vous a pas dit.](https://cyberacademy.net/fr/resources/pillars/dora): Une lecture pratique du Digital Operational Resilience Act pour les entités financières européennes et leurs prestataires TIC critiques. Cinq piliers, par quoi commencer, la réalité de la salle d'audit. - [ISO 27001 : Foundation, Lead Implementer, Lead Auditor, laquelle choisir ?](https://cyberacademy.net/fr/resources/pillars/iso-27001-foundation-li-la): Un arbre de décision de praticien pour les niveaux de certification ISO 27001. À qui s'adresse chacun, ce que chaque examen évalue, ce que l'étape suivante vous apporte, et les tarifs de référence en Europe en 2026. - [ISO 42001 et gouvernance de l'IA : la carte des certifications et formations.](https://cyberacademy.net/fr/resources/pillars/iso-42001-ai-governance): Où se situent réellement les certifications de gouvernance de l'IA. ISO 42001 (la norme AIMS), les certifications ISACA Advanced in AI (AAIA, AAIR, AAISM), PECB AI Risk Manager et CAIP, comment elles se rattachent au EU AI Act et au NIST AI - [AI Act : la conformité sans l'abstraction.](https://cyberacademy.net/fr/resources/pillars/ai-act): Une lecture pratique de l'AI Act européen pour les équipes produit, sécurité et conformité. Quatre niveaux de risque, ce que signifie le haut risque sur le terrain, le calendrier jusqu'en 2027, et la place d'ISO 42001. - [Résilience opérationnelle : DORA, NIS 2 et ISO 22301 au même endroit.](https://cyberacademy.net/fr/resources/pillars/operational-resilience-dora-nis-2-iso-22301): Comment les trois cadres dialoguent entre eux, où les obligations se recoupent, et comment piloter un seul programme de résilience qui satisfait les trois audits. - [Le RGPD en 2026 : ce qui a changé depuis 2018.](https://cyberacademy.net/fr/resources/pillars/gdpr-2026): Où en est réellement le droit européen de la protection des données en 2026. Schrems II et le DPF UE-États-Unis, l'articulation avec l'AI Act, les sanctions récentes de la CNIL et de l'EDPB, ce qu'il faut actualiser dans votre programme de - [EBIOS RM vs ISO 27005 : le match.](https://cyberacademy.net/fr/resources/pillars/ebios-rm-vs-iso-27005): Une comparaison pratique des deux méthodes de référence pour l'analyse des risques de sécurité de l'information. Quand chacune l'emporte, comment elles se rattachent à ISO 27001, et laquelle votre secteur et votre audit attendent réellement - [Le vrai prix d'un ISO 27001 Lead Implementer en Europe.](https://cyberacademy.net/fr/resources/pillars/iso-27001-lead-implementer-price-europe): Un comparatif 2026 du coût réel des sessions ISO 27001 Lead Implementer en Europe. Auto-formation vs formation animée par un formateur, tarification intra-entreprise, ce que comprend le forfait, comment négocier le devis entreprise. - [ISO 31000 : Foundation → Risk Manager → Lead Risk Manager.](https://cyberacademy.net/fr/resources/pillars/iso-31000-foundation-risk-manager-lead-risk-manager): Le parcours PECB complet pour la gestion des risques d'entreprise. Pourquoi ISO 31000 n'a pas de Lead Auditor, à qui s'adresse chaque niveau, comment il complète ISO 27005 et EBIOS RM. - [CISO vs DPO vs RSSI : qui fait quoi, vraiment.](https://cyberacademy.net/fr/resources/pillars/ciso-dpo-rssi): Les frontières concrètes entre trois rôles que les organisations confondent. Ce dont chacun est responsable, là où ils se recouvrent, et quelles certifications signalent quel rôle. ## Encyclopedia (glossary) > Short definitions of GRC and cybersecurity terms. Each entry is self-contained and citable. - [AI Risk Manager](https://cyberacademy.net/fr/resources/encyclopedia/ai-risk-manager): AI Risk Manager est la certification (PECB / ISACA, en cours de développement) destinée aux praticiens qui pilotent des programmes de gestion des risques propres à l'IA : risque modèle, biais, dérive, transparence, risque tiers lié aux modè - [Advanced in AI Audit](https://cyberacademy.net/fr/resources/encyclopedia/aaia): AAIA est le credential avancé ISACA pour l'audit des systèmes d'IA, des modèles et de la gouvernance. Lancé en 2024. Nécessite un CISA ou équivalent. Conçu pour les auditeurs seniors souhaitant intégrer une compétence IA, aligné sur ISO 420 - [Agence de l'Union européenne pour la cybersécurité](https://cyberacademy.net/fr/resources/encyclopedia/enisa): ENISA est l'agence de cybersécurité de l'UE, dont le siège est à Athènes. Elle accompagne les États membres et les institutions européennes sur la politique de cybersécurité, la coopération opérationnelle et le cadre européen de certificati - [Agence nationale de la sécurité des systèmes d'information](https://cyberacademy.net/fr/resources/encyclopedia/anssi): ANSSI est l'agence nationale française de cybersécurité, rattachée au Premier ministre depuis 2009. Autorité nationale en matière de politique de cybersécurité en France, elle qualifie les produits et les prestataires de services, publie EB - [Analyse d'impact relative à la protection des données](https://cyberacademy.net/fr/resources/encyclopedia/dpia): Une DPIA est l'analyse structurée que le GDPR impose avant tout traitement à risque élevé. Elle documente la nature, la portée, le contexte et les finalités du traitement ; évalue la nécessité et la proportionnalité ; identifie les mesures - [Appétit pour le risque](https://cyberacademy.net/fr/resources/encyclopedia/risk-appetite): L'appétit pour le risque est la quantité et le type de risque que l'organisation est disposée à accepter pour atteindre ses objectifs. Il est défini par la direction générale ou le conseil d'administration, par écrit. Sans lui, chaque décis - [Audit phase 1 / phase 2](https://cyberacademy.net/fr/resources/encyclopedia/stage-1-2-audit): La certification ISO initiale se divise en phase 1 (revue documentaire et évaluation de la maturité, généralement 1 à 2 jours) et phase 2 (audit des preuves opérationnelles, 2 à 5 jours). La phase 1 confirme que le système de management exi - [Authentification multi-facteurs](https://cyberacademy.net/fr/resources/encyclopedia/mfa): Le MFA impose que l'authentification repose sur deux facteurs ou plus issus de catégories distinctes (connaissance, possession, inhérence). Tous les MFA ne se valent pas : les codes par SMS et e-mail sont hameçonnables, les notifications pu - [Business Continuity Management](https://cyberacademy.net/fr/resources/encyclopedia/bcm): Le BCM est la discipline qui identifie les menaces pesant sur vos opérations critiques, puis conçoit les plans et procédures pour les maintenir en activité en cas de perturbation. Ce n'est pas un projet ponctuel. L'équipe BCM qui tient lors - [Business Email Compromise](https://cyberacademy.net/fr/resources/encyclopedia/bec): Le BEC est une attaque d'ingénierie sociale ciblée qui usurpe l'identité d'un dirigeant ou d'un fournisseur pour détourner un paiement ou amener un collaborateur à l'approuver. Aucun malware n'est requis ; le pretexting suffit. La perte moy - [Business Impact Analysis](https://cyberacademy.net/fr/resources/encyclopedia/bia): Une BIA est l'analyse structurée qui quantifie l'impact d'une interruption sur chaque activité critique dans le temps. Les livrables comprennent le recovery time objective, le recovery point objective et le minimum business continuity objec - [CIS Controls](https://cyberacademy.net/fr/resources/encyclopedia/cis-controls): Les CIS Critical Security Controls sont un ensemble priorisé de 18 catégories de contrôles publié par le Center for Internet Security. Les groupes d'implémentation (IG1, IG2, IG3) correspondent au niveau de maturité de l'organisation. C'est - [COBIT](https://cyberacademy.net/fr/resources/encyclopedia/cobit): COBIT est le référentiel ISACA pour la gouvernance et la gestion des technologies de l'information en entreprise. L'édition en vigueur est COBIT 2019. C'est le référentiel utilisé par les Big Four pour évaluer la maturité de la gouvernance - [Certificate of Cloud Auditing Knowledge](https://cyberacademy.net/fr/resources/encyclopedia/ccak): CCAK est la certification conjointe ISACA / Cloud Security Alliance destinée aux auditeurs cloud. Elle couvre la gouvernance cloud, le CCM, le programme STAR et les considérations d'audit spécifiques aux hyperscalers. L'extension naturelle - [Certification Cybersecurity Practitioner](https://cyberacademy.net/fr/resources/encyclopedia/csx-p): CSX-P est la certification praticienne ISACA orientée performance. L'examen se déroule dans un environnement cyber-range en conditions réelles, couvrant les cinq fonctions du NIST CSF. Moins connue que CISM ou CISA, mais l'une des rares cer - [Certified Cybersecurity Operations Analyst](https://cyberacademy.net/fr/resources/encyclopedia/ccoa): CCOA est la certification opérationnelle de ISACA en cybersécurité, axée sur le travail en SOC : surveillance, détection, réponse, reprise. Le complément technique du CISM. Recommandé pour les analystes et les gestionnaires d'incidents plut - [Certified Data Privacy Solutions Engineer](https://cyberacademy.net/fr/resources/encyclopedia/cdpse): CDPSE est la certification technique en matière de vie privée délivrée par ISACA. Trois domaines : gouvernance de la vie privée, architecture de la vie privée, cycle de vie des données. Le pendant technique des certifications DPO/CDPO axées - [Certified Information Security Manager](https://cyberacademy.net/fr/resources/encyclopedia/cism): CISM est la certification ISACA pour les responsables de la sécurité de l'information : gouvernance, gestion de programme, gestion des risques, gestion des incidents. La référence pour les postes de direction en sécurité, exigée dans enviro - [Certified Information Systems Auditor](https://cyberacademy.net/fr/resources/encyclopedia/cisa): CISA est la certification de référence en audit des systèmes d'information, délivrée par ISACA depuis 1978. Cinq domaines couvrent le processus d'audit, la gouvernance, l'acquisition, les opérations et la protection des actifs. La certifica - [Certified in Risk and Information Systems Control](https://cyberacademy.net/fr/resources/encyclopedia/crisc): CRISC est la certification ISACA dédiée aux praticiens du risque IT. Elle couvre l'identification, l'évaluation, le traitement et le suivi des risques liés aux systèmes d'information. Elle fait le lien entre le risque métier et le risque IT - [Certified in the Governance of Enterprise IT](https://cyberacademy.net/fr/resources/encyclopedia/cgeit): CGEIT est la certification ISACA destinée aux praticiens seniors qui conseillent sur la gouvernance des systèmes d'information d'entreprise : alignement stratégique, création de valeur, optimisation des risques et des ressources. Fondée sur - [Chief Information Security Officer](https://cyberacademy.net/fr/resources/encyclopedia/ciso): Le CISO est le dirigeant responsable de la stratégie de sécurité de l'information. Il pilote le registre des risques, dirige la réponse aux incidents, informe le conseil d'administration et valide le risque résiduel. Sous NIS 2 et DORA, la - [Clauses Contractuelles Types](https://cyberacademy.net/fr/resources/encyclopedia/scc): Les CCT sont des clauses types approuvées par la Commission européenne pour transférer des données personnelles vers des pays tiers en l'absence de décision d'adéquation. Les CCT de 2021 ont remplacé les versions antérieures et imposent une - [Commission nationale de l'informatique et des libertés](https://cyberacademy.net/fr/resources/encyclopedia/cnil): La CNIL est l'autorité française de protection des données, créée en 1978. Elle applique le GDPR en France, émet des décisions contraignantes et des amendes, publie des lignes directrices (cookies, biométrie, IA) et opère l'outil PIA. Elle - [Cyber Resilience Act](https://cyberacademy.net/fr/resources/encyclopedia/cra): Le Cyber Resilience Act est le règlement européen qui impose des obligations de sécurité de base aux produits matériels et logiciels comportant des éléments numériques vendus en Europe. Obligations des fournisseurs sur l'ensemble du cycle d - [Cybersecurity Maturity Model Certification](https://cyberacademy.net/fr/resources/encyclopedia/cmmc): CMMC est le modèle de maturité cybersécurité que le département américain de la Défense impose à ses contractants manipulant des informations contractuelles fédérales et des informations non classifiées contrôlées. CMMC 2.0 a été ramené à t - [Data Protection Officer](https://cyberacademy.net/fr/resources/encyclopedia/dpo): Le DPO est le rôle imposé par le GDPR pour surveiller la conformité, conseiller le responsable de traitement et servir de point de contact avec l'autorité de contrôle. Obligatoire pour les autorités publiques et pour les traitements impliqu - [Digital Operational Resilience Act](https://cyberacademy.net/fr/resources/encyclopedia/dora): DORA est le règlement européen qui impose un cadre de résilience unifié aux entités financières et à leurs prestataires TIC critiques. Cinq piliers : gestion des risques TIC, notification des incidents, tests de résilience incluant le TLPT, - [Directive NIS 1](https://cyberacademy.net/fr/resources/encyclopedia/nis-1): NIS 1 (Directive 2016/1148) était la première directive européenne de cybersécurité intersectorielle, couvrant les opérateurs de services essentiels et les fournisseurs de services numériques. Remplacée par NIS 2 en octobre 2024, car son pé - [Directive ePrivacy](https://cyberacademy.net/fr/resources/encyclopedia/eprivacy): La directive ePrivacy (2002/58/CE, modifiée en 2009) est la « loi cookies » que tout le monde applique à moitié. Elle régit la confidentialité des communications électroniques et les technologies de traçage sur les appareils des utilisateur - [Disaster Recovery](https://cyberacademy.net/fr/resources/encyclopedia/disaster-recovery): Le disaster recovery est le sous-ensemble du BCM centré sur l'IT : restaurer les infrastructures, les applications et les données après une interruption. Le RPO, le RTO et les runbooks y trouvent leur place. Un plan de DR qui n'a jamais été - [Déclaration d'applicabilité](https://cyberacademy.net/fr/resources/encyclopedia/soa): La déclaration d'applicabilité est le document maîtrisé qui indique à l'auditeur quels contrôles de l'Annexe A vous sont applicables, pourquoi, et où se trouvent les preuves. Obligatoire dans le cadre d'ISO 27001. L'incohérence entre la déc - [Défense en profondeur](https://cyberacademy.net/fr/resources/encyclopedia/defense-in-depth): La défense en profondeur est le principe consistant à superposer les contrôles afin qu'aucune défaillance isolée ne compromette le système. Réseau, terminal, application, données, personnes, physique : chaque couche ralentit l'attaquant, au - [Déni de service distribué](https://cyberacademy.net/fr/resources/encyclopedia/ddos): DDoS est l'attaque qui submerge un service depuis de nombreuses sources afin d'en épuiser la capacité. Volumétrique, protocolaire ou applicative. La mitigation s'est banalisée (Cloudflare, Akamai, AWS Shield). La question de risque n'est pl - [EBIOS Risk Manager](https://cyberacademy.net/fr/resources/encyclopedia/ebios-rm): EBIOS Risk Manager est la méthode d'analyse des risques cyber de l'ANSSI, centrée sur les scénarios d'attaque stratégiques. Elle met en regard les processus métier et les objectifs des attaquants, puis en déduit les mesures techniques. Stan - [EU AI Act](https://cyberacademy.net/fr/resources/encyclopedia/ai-act): L'EU AI Act est le premier règlement mondial complet sur l'IA. Quatre niveaux de risque : inacceptable (interdit), élevé (obligations lourdes et évaluation de conformité), limité (transparence), minimal. Application progressive jusqu'en aoû - [Endpoint Detection and Response](https://cyberacademy.net/fr/resources/encyclopedia/edr): EDR est la plateforme à base d'agents qui enregistre l'activité des postes de travail, détecte les comportements suspects et permet aux analystes d'isoler ou de remédier les hôtes compromis. XDR étend la visibilité aux endpoints, au réseau - [Exercice sur table](https://cyberacademy.net/fr/resources/encyclopedia/tabletop): Un exercice sur table est une simulation sous forme de discussion d'un scénario perturbateur, conduite avec l'équipe de réponse réunie autour d'une table. Peu coûteux, rapide, il révèle les lacunes qu'aucune revue documentaire ne détecte. P - [Gestion des correctifs](https://cyberacademy.net/fr/resources/encyclopedia/patch-management): La gestion des correctifs est le processus opérationnel qui consiste à prendre un correctif publié et à le déployer sur l'ensemble du parc, selon un SLA défini, avec vérification. C'est souvent le maillon faible : les correctifs d'urgence e - [Gestion des identités et des accès](https://cyberacademy.net/fr/resources/encyclopedia/iam): L'IAM est la discipline qui détermine qui peut accéder à quoi, quand, comment et sous quelles conditions. Provisionnement, authentification, autorisation, déprovisionnement. L'identité est le nouveau périmètre. Toute architecture Zero Trust - [Gestion des risques tiers](https://cyberacademy.net/fr/resources/encyclopedia/tprm): Le TPRM est la discipline qui gouverne les risques introduits par les fournisseurs, sous-traitants et prestataires de services. Diligence raisonnable à l'entrée en relation, clauses contractuelles, assurance continue, fin de relation. Impos - [Gestion des vulnérabilités](https://cyberacademy.net/fr/resources/encyclopedia/vulnerability-management): La gestion des vulnérabilités est le cycle de découverte, de priorisation, de remédiation et de vérification des vulnérabilités dans votre parc. Les scanners remontent des milliers d'alertes ; la discipline réside dans la priorisation (crit - [ISO 19011](https://cyberacademy.net/fr/resources/encyclopedia/iso-19011): ISO 19011 est la norme de lignes directrices pour l'audit des systèmes de management. Générique, elle s'applique aussi bien aux audits ISO 27001, 9001 et 22301. Elle définit les principes d'audit, la gestion des programmes d'audit, le cycle - [ISO 22301](https://cyberacademy.net/fr/resources/encyclopedia/iso-22301): ISO 22301 est la norme internationale pour les systèmes de management de la continuité d'activité (SMCA). Elle spécifie les exigences pour planifier, exploiter, surveiller et améliorer un SMCA permettant de rétablir les opérations critiques - [ISO 31000](https://cyberacademy.net/fr/resources/encyclopedia/iso-31000): ISO 31000 est la norme générique de management du risque. Principes, cadre organisationnel et processus itératif. Ce n'est PAS un système de management certifiable : il n'existe pas de ISO 31000 Lead Auditor, en dépit de ce qu'affirment cer - [ISO/IEC 27001](https://cyberacademy.net/fr/resources/encyclopedia/iso-27001): ISO 27001 est le référentiel certifiable que les auditeurs utilisent pour évaluer votre sécurité de l'information. La révision 2022 a resserré l'annexe A à 93 mesures réparties en quatre thèmes (organisationnel, personnes, physique, technol - [ISO/IEC 27002](https://cyberacademy.net/fr/resources/encyclopedia/iso-27002): ISO/IEC 27002 est le guide de mise en œuvre des contrôles de l'annexe A de ISO/IEC 27001. Non certifiable en tant que tel. Les auditeurs s'y réfèrent pour contester COMMENT vous opérez un contrôle, pas seulement s'il est « en place ». Consi - [ISO/IEC 27005](https://cyberacademy.net/fr/resources/encyclopedia/iso-27005): ISO 27005 est la méthodologie de gestion des risques de sécurité de l'information qui s'articule avec ISO 27001. Identification, analyse, évaluation, traitement, acceptation. La révision 2022 s'aligne sur les principes d'ISO 31000 et clarif - [ISO/IEC 27017](https://cyberacademy.net/fr/resources/encyclopedia/iso-27017): ISO 27017 est l'extension de contrôles de sécurité cloud adossée à ISO 27001. Elle ajoute des contrôles spécifiques au cloud et précise la répartition des responsabilités entre prestataire et client. Si votre périmètre ISMS inclut des charg - [ISO/IEC 27018](https://cyberacademy.net/fr/resources/encyclopedia/iso-27018): ISO 27018 est l'extension de contrôles privacy d'ISO 27001 destinée aux prestataires cloud agissant en tant que sous-traitants de données à caractère personnel. Il fait le lien entre ISO 27001 et les obligations GDPR du sous-traitant. Déten - [ISO/IEC 27034](https://cyberacademy.net/fr/resources/encyclopedia/iso-27034): ISO 27034 est la norme de sécurité des applications. Elle se compose de plusieurs parties et couvre l'ensemble du cycle de vie logiciel sécurisé : exigences, conception, développement, test, déploiement, maintenance. Moins connue qu'ISO/IEC - [ISO/IEC 27037](https://cyberacademy.net/fr/resources/encyclopedia/iso-27037): ISO 27037 est la norme de forensique numérique couvrant l'identification, la collecte, l'acquisition et la préservation des preuves numériques. C'est le référentiel qu'une équipe forensique interne, un CERT ou un consultant en support judic - [ISO/IEC 27701](https://cyberacademy.net/fr/resources/encyclopedia/iso-27701): ISO 27701 est l'extension de gestion des informations de confidentialité adossée à ISO 27001. Elle ajoute les obligations du responsable de traitement et du sous-traitant par-dessus le SMSI. Utile pour les organisations souhaitant un systèm - [ISO/IEC 42001](https://cyberacademy.net/fr/resources/encyclopedia/iso-42001): ISO 42001 est le premier standard international pour les systèmes de management de l'IA, publié fin 2023. L'équivalent AIMS de l'ISMS de l'ISO 27001. Conçu pour les organisations qui doivent gouverner la conception, le déploiement et l'expl - [Information Systems Audit and Control Association](https://cyberacademy.net/fr/resources/encyclopedia/isaca): ISACA est l'association mondiale des professionnels de l'audit IT, de la sécurité, du risque et de la gouvernance. Fondée en 1969, dont le siège est à Schaumburg (Illinois), elle compte plus de 165 000 membres dans 188 pays. Elle délivre le - [Lead Auditor](https://cyberacademy.net/fr/resources/encyclopedia/lead-auditor): Lead Auditor est la certification PECB destinée aux praticiens capables de planifier et de conduire des audits tierce partie ou internes d'un système de management. Formation de cinq jours construite sur l'ISO 19011. Porte d'entrée vers le - [Lead Ethical Hacker](https://cyberacademy.net/fr/resources/encyclopedia/lead-ethical-hacker): Lead Ethical Hacker est la certification PECB destinée aux praticiens de la sécurité offensive. Elle couvre la méthodologie, le périmètre d'intervention, la reconnaissance, l'exploitation, la rédaction de rapports et l'éthique. Complément d - [Lead Implementer](https://cyberacademy.net/fr/resources/encyclopedia/lead-implementer): Lead Implementer est la certification PECB destinée aux praticiens capables de planifier, construire et exploiter un système de management fondé sur une norme ISO spécifique (le plus souvent ISO/IEC 27001, ISO/IEC 42001 ou ISO 22301). Forma - [MITRE ATT&CK](https://cyberacademy.net/fr/resources/encyclopedia/mitre-attack): MITRE ATT&CK est la base de connaissances ouverte des tactiques, techniques et procédures (TTPs) adversariales observées dans la pratique. Vocabulaire de référence pour la défense éclairée par la menace : règles de détection, scénarios red - [Mean Time to Detect / Recover](https://cyberacademy.net/fr/resources/encyclopedia/mttd-mttr): Le MTTD est le temps moyen entre le début d'un incident et sa détection. Le MTTR est le temps moyen entre la détection et le rétablissement. Ensemble, ces deux indicateurs constituent les métriques opérationnelles de référence d'un SOC et d - [Moindre privilège](https://cyberacademy.net/fr/resources/encyclopedia/least-privilege): Le moindre privilège est le principe selon lequel chaque identité (humaine ou machine) ne dispose que des permissions strictement nécessaires à sa fonction, et pas davantage. Le concept paraît évident ; il est rarement appliqué. La plupart - [NIS 2 Directive](https://cyberacademy.net/fr/resources/encyclopedia/nis-2): NIS 2 est la directive européenne qui engage directement la responsabilité des dirigeants en matière de cybersécurité. Si votre organisation est de taille moyenne ou grande et opère dans l'un des 18 secteurs listés, vous êtes dans le périmè - [NIST Cybersecurity Framework](https://cyberacademy.net/fr/resources/encyclopedia/nist-csf): NIST CSF est le référentiel de cybersécurité publié par le National Institute of Standards and Technology américain. La révision 2.0 (2024) a ajouté « Govern » aux cinq fonctions existantes (Identify, Protect, Detect, Respond, Recover). Non - [NIST SP 800-171](https://cyberacademy.net/fr/resources/encyclopedia/nist-800-171): NIST SP 800-171 est la norme américaine qui définit les exigences de sécurité pour la protection des informations non classifiées contrôlées dans les systèmes non fédéraux. C'est le socle technique du CMMC pour les sous-traitants de la défe - [Non-conformité (NC)](https://cyberacademy.net/fr/resources/encyclopedia/non-conformity): Une non-conformité est le constat de l'auditeur qu'une exigence n'est pas satisfaite. Les NC majeures menacent le certificat ; les NC mineures requièrent un plan d'action corrective assorti d'une échéance. Des NC mineures répétées dans un m - [Objectifs de délai de reprise et de point de reprise](https://cyberacademy.net/fr/resources/encyclopedia/rto-rpo): Le RTO est la durée maximale acceptable pendant laquelle un processus métier peut rester indisponible avant de causer un préjudice inacceptable. Le RPO est la perte de données maximale tolérée, exprimée en temps, avant la survenue d'une int - [PCI DSS](https://cyberacademy.net/fr/resources/encyclopedia/pci-dss): PCI DSS est la norme de sécurité des données de l'industrie des cartes de paiement. Elle est obligatoire pour toute organisation qui stocke, traite ou transmet des données de titulaires de cartes. La version 4.0.1 est la révision en vigueur - [Phishing](https://cyberacademy.net/fr/resources/encyclopedia/phishing): Le phishing est l'attaque d'ingénierie sociale qui pousse un utilisateur à cliquer sur un lien malveillant, ouvrir un fichier malveillant ou divulguer ses identifiants. Variantes : spear phishing (ciblé), whaling (cadres dirigeants), smishi - [Privileged Access Management](https://cyberacademy.net/fr/resources/encyclopedia/pam): PAM est le sous-ensemble de l'IAM centré sur les comptes à privilèges : administrateurs, root, comptes de service, break-glass. Il coffre les credentials, mandate les sessions et enregistre l'activité. C'est la première cible de l'attaquant - [Professional Evaluation and Certification Board](https://cyberacademy.net/fr/resources/encyclopedia/pecb): PECB est l'organisme de certification accrédité basé à Montréal qui délivre des certifications professionnelles sur 30+ normes ISO dans 150+ pays. Sécurité de l'information, risque, BCM, gouvernance de l'IA, vie privée, qualité. Cyber Acade - [Protection de la vie privée dès la conception et par défaut](https://cyberacademy.net/fr/resources/encyclopedia/privacy-by-design): La protection de la vie privée dès la conception (GDPR Article 25) est l'obligation d'intégrer les mesures de protection dans les systèmes dès la phase des exigences. La protection par défaut est l'obligation de faire de l'option la plus pr - [Pseudonymisation](https://cyberacademy.net/fr/resources/encyclopedia/pseudonymisation): La pseudonymisation est la technique définie à l'article 4(5) du GDPR : elle consiste à remplacer les identifiants directs par des jetons réversibles, la clé étant conservée séparément. Elle réduit le risque et ménage la bienveillance des a - [Ransomware](https://cyberacademy.net/fr/resources/encyclopedia/ransomware): Le ransomware est la catégorie de malware qui chiffre les données et exige un paiement en échange de la clé, souvent combiné à un vol de données et à une extorsion (double extorsion). Vecteurs d'attaque : phishing, exposition sur Internet, - [Registre des activités de traitement](https://cyberacademy.net/fr/resources/encyclopedia/ropa): Le ROPA est l'inventaire documenté des activités de traitement requis par l'article 30 du GDPR. Les responsables du traitement y indiquent la finalité, les catégories de données, les destinataires, les durées de conservation et les transfer - [Registre des risques](https://cyberacademy.net/fr/resources/encyclopedia/risk-register): Le registre des risques est la liste de référence, vivante, des risques identifiés, avec leur analyse, leur évaluation, leur traitement et leurs responsables. Ce n'est pas un tableur à usage unique. Les auditeurs attendent des entrées datée - [Risque inhérent vs risque résiduel](https://cyberacademy.net/fr/resources/encyclopedia/inherent-residual-risk): Le risque inhérent est l'exposition avant les contrôles. Le risque résiduel est ce qui subsiste après leur application. Les auditeurs examinent l'écart : il doit être justifié, accepté (ou traité davantage) par un propriétaire nommément dés - [Règlement général sur la protection des données](https://cyberacademy.net/fr/resources/encyclopedia/gdpr): Le GDPR régit les données personnelles dans l'UE et partout où des résidents européens sont servis. Base légale, droits des personnes concernées, responsabilité, notification des violations, contrôle par les autorités de surveillance. Les a - [SOC 2](https://cyberacademy.net/fr/resources/encyclopedia/soc-2): SOC 2 est le rapport d'attestation de l'AICPA portant sur les contrôles d'un prestataire de services, couvrant cinq critères de confiance (sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée). Référence canonique n - [Schrems II](https://cyberacademy.net/fr/resources/encyclopedia/schrems-ii): Schrems II est l'arrêt de la CJUE de 2020 qui a invalidé le Privacy Shield UE-États-Unis et introduit l'obligation de Transfer Impact Assessment. Tout transfert vers un pays tiers nécessite désormais une analyse documentée du droit national - [Security Information and Event Management](https://cyberacademy.net/fr/resources/encyclopedia/siem): Un SIEM agrège les journaux, normalise les événements et exécute des règles de détection sur l'ensemble de votre stack. C'est la couche de visibilité dont dépend le SOC. Les éditeurs SIEM modernes (Splunk, Sentinel, Elastic, Sumo) intègrent - [Security Operations Center](https://cyberacademy.net/fr/resources/encyclopedia/soc): Un SOC regroupe l'équipe et les outils qui surveillent, détectent, analysent et répondent aux événements de sécurité en temps réel. Analystes en niveaux (T1 détection, T2 investigation, T3 threat hunting), 8x5 ou 24x7. Interne, externalisé - [Security Orchestration, Automation and Response](https://cyberacademy.net/fr/resources/encyclopedia/soar): SOAR est la couche qui prend les alertes du SIEM et exécute des playbooks : enrichissement, triage, confinement, ticketing. Objectif : réduire le MTTR et libérer les analystes des tâches de copier-coller. Méfiez-vous des promesses excessive - [Système de management de la sécurité de l'information](https://cyberacademy.net/fr/resources/encyclopedia/isms): Un ISMS est le système documenté que vous pilotez pour protéger vos actifs informationnels. Il est fondé sur le risque, étayé par des preuves et soumis à la revue de direction. Ce n'est pas un classeur de politiques. Les auditeurs ne notent - [Test d'intrusion](https://cyberacademy.net/fr/resources/encyclopedia/penetration-testing): Un test d'intrusion est une simulation d'attaque autorisée et délimitée, visant à identifier les failles exploitables avant que de véritables attaquants ne le fassent. Black box / grey box / white box, interne / externe, applicatif / infras - [Threat-Led Penetration Testing](https://cyberacademy.net/fr/resources/encyclopedia/tlpt): Le TLPT est l'exercice red team supervisé par le régulateur, imposé par DORA aux entités financières significatives. Fondé sur le cadre TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Exercice de plusieurs mois, piloté par le rens - [Traitement du risque](https://cyberacademy.net/fr/resources/encyclopedia/risk-treatment): Le traitement du risque, c'est ce que vous faites une fois le risque identifié : éviter, réduire, transférer, accepter. Chaque décision est documentée, justifiée par l'appétence au risque, et tracée depuis la SoA jusqu'aux mesures et aux pr - [Zero Trust](https://cyberacademy.net/fr/resources/encyclopedia/zero-trust): Zero Trust est le modèle de sécurité dans lequel vous cessez de faire confiance au périmètre réseau. Chaque décision d'accès est authentifiée, autorisée et évaluée en contexte, à chaque fois. L'identité devient le périmètre. Né chez Forrest ## Courses catalogue > Formal training programs with a certification at the end (PECB, ISACA). Available in live sessions and self-paced formats. - [CISA : Certified Information Systems Auditor](https://cyberacademy.net/fr/courses/cisa): La certification de référence ISACA pour l'audit IT. Cinq domaines, examen de quatre heures, la certification audit retenue par défaut dans les missions des Big Four. Cohorte de quatre jours avec une session de rattrapage incluse. - [CISM : Certified Information Security Manager](https://cyberacademy.net/fr/courses/cism): La certification de référence ISACA pour le management de la sécurité. Quatre domaines, demandée dans environ 60 % des offres de poste CISO. Cohorte de quatre jours avec une session de rattrapage incluse. - [CRISC: Certified in Risk and Information Systems Control](https://cyberacademy.net/fr/courses/crisc): La certification de référence ISACA pour le risque informatique. Quatre domaines qui relient le risque métier aux contrôles SI. Le complément naturel à CISA et à ISO 31000 / 27005 pour les praticiens du vocabulaire ISACA. - [AAIA : Advanced in AI Audit](https://cyberacademy.net/fr/courses/aaia): La certification avancée ISACA pour les auditeurs qui se positionnent sur l'IA. Méthodologie d'audit des systèmes IA, évaluation des risques IA, cadres de gouvernance de l'IA. Formation intensive de trois jours ; CISA recommandé comme prére - [AAIR : Advanced in AI Risk](https://cyberacademy.net/fr/courses/aair): La certification avancée ISACA pour les risk managers qui construisent un programme de risque IA. Évaluation du risque IA, traitement des risques, gouvernance du risque IA. Formation intensive de trois jours ; CRISC recommandé comme prérequ - [AAISM : Advanced in AI Security Management](https://cyberacademy.net/fr/courses/aaism): La certification avancée ISACA pour les responsables de la sécurité qui construisent un programme de sécurité IA. Modélisation des menaces IA, cycle de vie sécurisé des modèles, opérations de sécurité IA. Formation intensive de trois jours - [CGEIT : Certified in the Governance of Enterprise IT](https://cyberacademy.net/fr/courses/cgeit): La certification de référence ISACA pour la gouvernance IT au niveau exécutif. Cinq domaines couvrant le cadre de gouvernance, le management stratégique, la réalisation des bénéfices, l'optimisation des risques et l'optimisation des ressour - [CDPSE : Certified Data Privacy Solutions Engineer](https://cyberacademy.net/fr/courses/cdpse): La certification ISACA à l'intersection de la vie privée et de la technologie. Trois domaines couvrant la gouvernance de la confidentialité, l'architecture de confidentialité et le cycle de vie des données. La certification pour les ingénie - [CCOA : Certified Cybersecurity Operations Analyst](https://cyberacademy.net/fr/courses/ccoa): La certification pratique ISACA pour les analystes SOC et les opérateurs de cyberdéfense. Cinq domaines couvrant la surveillance, la réponse aux incidents, le threat hunting et la threat intelligence. Niveau praticien ; l'examen mêle scénar - [COBIT 2019 Foundation](https://cyberacademy.net/fr/courses/cobit-foundation): La certification d'entrée de gamme pour le référentiel de gouvernance COBIT 2019. Formation en cohorte de deux jours couvrant la structure du référentiel, les principes, les facteurs de conception et les composants du système de gouvernance - [COBIT 2019 Design & Implementation](https://cyberacademy.net/fr/courses/cobit-design-implementation): La certification COBIT avancée. Formation en cohorte de trois jours axée sur l'application des facteurs de conception pour bâtir un système de gouvernance sur mesure, puis piloter la feuille de route d'implémentation. Cohorte en direct avec - [Cybersecurity Audit Certificate (ISACA)](https://cyberacademy.net/fr/courses/cybersecurity-audit-certificate): Le certificat ISACA dédié à l'audit de la cybersécurité. Cohorte de deux jours, orientée scénarios, conçue pour faire le lien entre l'audit SI classique (CISA) et les opérations modernes de cyber-défense. Utile pour les auditeurs qui évalue - [IT Audit Fundamentals (ISACA)](https://cyberacademy.net/fr/courses/it-audit-fundamentals): Le certificat ISACA d'entrée de gamme en audit IT. Deux jours de formation couvrant la planification d'audit, les travaux terrain, la collecte de preuves et la rédaction de rapports selon le vocabulaire ISACA. Une base solide avant le CISA. - [IT Risk Fundamentals (ISACA)](https://cyberacademy.net/fr/courses/it-risk-fundamentals): Le certificat ISACA d'entrée de gamme sur le risque informatique. Une cohorte de deux jours introduisant l'identification, l'évaluation, le traitement et la surveillance des risques selon le vocabulaire ISACA. Une mise en route idéale avant - [ISO27001 - Foundation](https://cyberacademy.net/fr/courses/iso27001-foundation): Formation certifiante officielle ISO27001 - Foundation accréditée PECB. Cours en ligne animé par des formateurs experts, avec garantie certifié ou remboursé. Inscrivez-vous... - [AI Risk Manager](https://cyberacademy.net/fr/courses/ai-risk-manager): Certification AI Risk Manager accréditée PECB. Formation en ligne avec garantie certifié ou remboursé. - [Certified Artificial Intelligence Professional (CAIP)](https://cyberacademy.net/fr/courses/certified-artificial-intelligence-professional-caip): Certification PECB Certified Artificial Intelligence Professional (CAIP). Formation en ligne en direct avec garantie certifié ou remboursé. - [Certified CISO by PECB](https://cyberacademy.net/fr/courses/certified-ciso-by-pecb): Formation certifiante Certified CISO by PECB, accréditée PECB. Cours en ligne en direct avec des formateurs experts et garantie certifié ou remboursé. Inscrivez-vous... - [Certified Lead Crisis Manager](https://cyberacademy.net/fr/courses/certified-lead-crisis-manager): Certification PECB Certified Lead Crisis Manager. Formation en ligne avec formateur certifié, garantie certifié ou remboursé. - [PECB CMMC Foundations](https://cyberacademy.net/fr/courses/cmmc-foundations): Formation certifiante PECB CMMC Foundations officiellement accréditée par PECB. Cours en ligne en direct avec des formateurs experts et garantie certifié ou remboursé. Inscrivez-vous... - [Cyber Threat Analyst](https://cyberacademy.net/fr/courses/cyber-threat-analyst): Certification Cyber Threat Analyst accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [Cybersecurity Foundation](https://cyberacademy.net/fr/courses/cybersecurity-foundation): Certification PECB Cybersecurity Foundation. Formation en ligne avec formateur certifié, satisfait ou remboursé. - [DORA Foundation](https://cyberacademy.net/fr/courses/dora-foundation): DORA Foundation pour le secteur financier. Gestion des risques TIC et notification des incidents. Accrédité PECB. - [DORA Lead Manager](https://cyberacademy.net/fr/courses/dora-lead-manager): Devenez DORA Lead Manager certifié. Mettez en œuvre la résilience opérationnelle numérique pour les établissements financiers. Formation accréditée PECB avec examen inclus. - [EBIOS Risk Manager](https://cyberacademy.net/fr/courses/ebios-risk-manager): Formation certifiante officielle EBIOS RM. Maîtrisez la méthode d'appréciation des risques en 5 ateliers de l'ANSSI. Cours accrédité PECB avec exercices pratiques et examen. - [GDPR - Certified Data Protection Officer](https://cyberacademy.net/fr/courses/gdpr-certified-data-protection-officer): Certification PECB GDPR - Certified Data Protection Officer. Formation en ligne animée en direct, avec garantie certifié ou remboursé. - [GDPR Foundation](https://cyberacademy.net/fr/courses/gdpr-foundation): Certification GDPR Foundation accréditée PECB. Formation en ligne avec formateur, garantie certifié ou remboursé. - [ISO 22301 Foundation](https://cyberacademy.net/fr/courses/iso-22301-foundation): Certification ISO 22301 Foundation accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [ISO 22301 Lead Auditor](https://cyberacademy.net/fr/courses/iso-22301-lead-auditor): Certification ISO 22301 Lead Auditor accréditée PECB. Formation en ligne avec garantie certifié ou remboursé. - [ISO 22301 Lead Implementer](https://cyberacademy.net/fr/courses/iso-22301-lead-implementer): Certification ISO 22301 Lead Implementer accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [ISO 27005 Foundation](https://cyberacademy.net/fr/courses/iso-27005-foundation): Formation certifiante ISO 27005 Foundation accréditée PECB. Cours en ligne avec instructeurs experts et garantie certifié ou remboursé. Inscrivez-vous ... - [ISO 27005 Lead Risk Manager](https://cyberacademy.net/fr/courses/iso-27005-lead-risk-manager): Formation certifiante ISO 27005 Lead Risk Manager accréditée PECB. Cours en ligne en direct avec des formateurs experts et la garantie certifié ou remboursé. ... - [ISO 27005 Risk Manager](https://cyberacademy.net/fr/courses/iso-27005-risk-manager): Formation certifiante PECB ISO 27005 Risk Manager. Maîtrisez l'évaluation, le traitement et la surveillance des risques liés à la sécurité de l'information. Méthodologie pratique avec examen inclus... - [ISO 27033 Lead Network Security Manager](https://cyberacademy.net/fr/courses/iso-27033-lead-network-security-manager): Certification ISO 27033 Lead Network Security Manager accréditée PECB. Formation en ligne animée par un formateur certifié, avec garantie certifié ou remboursé. - [ISO 27034 Lead Application Security Auditor](https://cyberacademy.net/fr/courses/iso-27034-lead-application-security-auditor): Certification ISO 27034 Lead Application Security Auditor accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [ISO 27034 Lead Application Security Implementer](https://cyberacademy.net/fr/courses/iso-27034-lead-application-security-implementer): Certification PECB ISO 27034 Lead Application Security Implementer. Formation en ligne avec instructeur et garantie certifié ou remboursé. - [ISO 27035 Foundation](https://cyberacademy.net/fr/courses/iso-27035-foundation): Formation certifiante ISO 27035 Foundation accréditée PECB. Cours en ligne animé par des formateurs experts, avec garantie certifié ou remboursé. Inscrivez-vous ... - [ISO 27035 Lead Incident Manager](https://cyberacademy.net/fr/courses/iso-27035-lead-incident-manager): Certification ISO 27035 Lead Incident Manager accréditée PECB. Formation en ligne avec formateur, garantie certifié ou remboursé. - [ISO 27701 Foundation](https://cyberacademy.net/fr/courses/iso-27701-foundation): Certification ISO 27701 Foundation accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [ISO 27701 Lead Auditor](https://cyberacademy.net/fr/courses/iso-27701-lead-auditor): Certification ISO 27701 Lead Auditor accréditée PECB. Formation en ligne avec instructeur et garantie certifié ou remboursé. - [ISO 27701 Lead Implementer](https://cyberacademy.net/fr/courses/iso-27701-lead-implementer): Certification ISO 27701 Lead Implementer accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [ISO 31000 Foundation](https://cyberacademy.net/fr/courses/iso-31000-foundation): Certification ISO 31000 Foundation accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [ISO 31000 Lead Risk Manager](https://cyberacademy.net/fr/courses/iso-31000-lead-risk-manager): Certification ISO 31000 Lead Risk Manager accréditée PECB. Formation en ligne avec instructeur, garantie certifié ou remboursé. - [ISO 31000 Risk Manager](https://cyberacademy.net/fr/courses/iso-31000-risk-manager): Certification PECB ISO 31000 Risk Manager. Formation en ligne à distance avec garantie certifié ou remboursé. - [ISO 42001 Foundation](https://cyberacademy.net/fr/courses/iso-42001-foundation): Certification ISO 42001 Foundation accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [ISO 42001 Lead Auditor](https://cyberacademy.net/fr/courses/iso-42001-lead-auditor): Certification ISO 42001 Lead Auditor accréditée PECB. Formation en ligne avec instructeur, garantie certifié ou remboursé. - [ISO 42001 Lead Implementer](https://cyberacademy.net/fr/courses/iso-42001-lead-implementer): Certification PECB ISO 42001 Lead Implementer. Formation en ligne à sessions live avec garantie certifié ou remboursé. - [ISO 9001 Foundation](https://cyberacademy.net/fr/courses/iso-9001-foundation): Certification ISO 9001 Foundation accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [ISO 9001 Lead Auditor](https://cyberacademy.net/fr/courses/iso-9001-lead-auditor): Certification PECB ISO 9001 Lead Auditor. Formation en ligne à distance avec garantie certifié ou remboursé. - [ISO 9001 Lead Implementer](https://cyberacademy.net/fr/courses/iso-9001-lead-implementer): Certification PECB ISO 9001 Lead Implementer. Formation en ligne à distance avec garantie certifié ou remboursé. - [ISO27001 - Lead Auditor](https://cyberacademy.net/fr/courses/iso27001-lead-auditor): Formation certifiante officielle PECB ISO27001 - Lead Auditor. Cours en ligne animé par des formateurs experts, avec garantie certifié ou remboursé. Inscri... - [ISO27001 - Lead Implementer](https://cyberacademy.net/fr/courses/iso27001-lead-implementer): Formation certifiante officielle PECB ISO27001 - Lead Implementer. Cours en ligne avec formateurs experts et garantie certifié ou remboursé. ... - [ISO27002 Foundation](https://cyberacademy.net/fr/courses/iso27002-foundation): Formation certifiante ISO27002 Foundation accréditée PECB. Cours en ligne animé par des formateurs experts, avec garantie certifié ou remboursé. Inscrivez-v... - [ISO27002 Lead Manager](https://cyberacademy.net/fr/courses/iso27002-lead-manager): Formation certifiante ISO27002 Lead Manager officielle accréditée PECB. Cours en ligne en direct avec des formateurs experts et garantie certifié ou remboursé. Inscrivez-vous... - [ISO27002 Manager](https://cyberacademy.net/fr/courses/iso27002-manager): Formation certifiante ISO27002 Manager accréditée PECB. Cours en ligne animé par des formateurs experts, avec garantie certifié ou remboursé. Inscrivez-vous dès maintenant. - [Lead Cloud Security Manager](https://cyberacademy.net/fr/courses/lead-cloud-security-manager): Certification PECB Lead Cloud Security Manager. Formation en ligne avec garantie certifié ou remboursé. - [Lead Cybersecurity Manager](https://cyberacademy.net/fr/courses/lead-cybersecurity-manager): Certification PECB Lead Cybersecurity Manager. Formation en ligne en direct avec garantie certifié ou remboursé. - [Lead Disaster Recovery Manager](https://cyberacademy.net/fr/courses/lead-disaster-recovery-manager): Certification PECB Lead Disaster Recovery Manager. Formation en ligne en direct avec garantie certifié ou remboursé. - [Lead Ethical Hacker](https://cyberacademy.net/fr/courses/lead-ethical-hacker): Certification Lead Ethical Hacker accréditée PECB. Formation en ligne, en direct, avec garantie certifié ou remboursé. - [Lead Operational Resilience Manager](https://cyberacademy.net/fr/courses/lead-operational-resilience-manager): Certification PECB Lead Operational Resilience Manager. Formation en ligne animée par un formateur certifié, avec garantie certifié ou remboursé. - [Lead SOC 2 Analyst](https://cyberacademy.net/fr/courses/lead-soc-2-analyst): Certification Lead SOC 2 Analyst accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [NIS 2 Directive Foundation](https://cyberacademy.net/fr/courses/nis-2-directive-foundation): Certification NIS 2 Directive Foundation accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. - [NIS 2 Directive Lead Implementer](https://cyberacademy.net/fr/courses/nis-2-directive-lead-implementer): Certification PECB NIS 2 Directive Lead Implementer. Formation en ligne en direct avec garantie certifié ou remboursé. - [NIST Cybersecurity Consultant](https://cyberacademy.net/fr/courses/nist-cybersecurity-consultant): Certification NIST Cybersecurity Consultant accréditée PECB. Formation en ligne en direct avec garantie certifié ou remboursé. ## Articles (blog) > Short-form articles on regulatory news, practical templates, and career guidance. Most recent first. - [Comment préparer votre organisation à la conformité NIS 2](https://cyberacademy.net/fr/resources/blog/how-to-prepare-your-organization-for-nis2-compliance): L'application de NIS 2 arrive en 2026. Voici la feuille de route pratique, directe et sans détour pour mettre votre organisation en conformité, sans vous noyer dans la paperasse ni perdre des mois en théorie. - [Comment planifier des audits internes couvrant plusieurs référentiels](https://cyberacademy.net/fr/resources/blog/how-to-plan-internal-audits-across-multiple-standards): Gérer simultanément ISO/IEC 27001, GDPR, NIS 2, DORA, SOC 2 et d'autres référentiels peut sembler insurmontable. Voici comment construire un programme d'audit interne unique et efficace, applicable à l'ensemble de vos cadres de conformité. - [Comment intégrer le risque IA dans votre ISMS et votre registre des risques existants](https://cyberacademy.net/fr/resources/blog/how-to-integrate-ai-risk-into-your-existing-isms-and-risk-register): L'IA introduit de nouveaux risques que votre ISMS n'a jamais été conçu pour gérer. Voici la méthode claire et pratique pour intégrer le risque IA dans votre registre des risques ISO 27001 existant, sans réinventer l'ensemble de votre modèle - [Comment évaluer les prestataires tiers comme un CISO (la vraie méthode)](https://cyberacademy.net/fr/resources/blog/how-to-evaluate-third-party-vendors-like-a-ciso-the-real-way): La sécurité des prestataires ne se résume pas à des checklists ; elle repose sur le contexte, les contrats, la gouvernance et la crédibilité. Voici le guide terrain, sans concession, pour évaluer les tiers comme le fait un CISO moderne. - [Comment construire une piste d'audit qui résiste à l'examen le plus rigoureux](https://cyberacademy.net/fr/resources/blog/how-to-build-an-audit-trail-that-stands-up-to-scrutiny): Les régulateurs, les auditeurs et les tribunaux ne s'intéressent pas à vos intentions ; ils s'intéressent à ce que vous pouvez prouver. Voici comment construire une piste d'audit qui résiste à NIS2, DORA, GDPR, AI Act et à une analyse foren - [Comment construire un registre des risques IA (avec modèle)](https://cyberacademy.net/fr/resources/blog/how-to-build-an-ai-risk-register-with-template): L'IA introduit de nouveaux risques que les registres des risques traditionnels ne peuvent pas capturer. Voici la méthode claire et pragmatique pour construire un registre des risques IA, ainsi qu'un modèle prêt à l'emploi que vous pouvez ap - [Comment l'IA transforme l'audit et la gestion de la conformité](https://cyberacademy.net/fr/resources/blog/how-ai-is-changing-audit-and-compliance-management): L'IA ne remplace pas les auditeurs ni les équipes conformité ; elle redéfinit leur façon de travailler. Voici un état des lieux concret, issu du terrain, sur la manière dont l'IA transforme le risque, l'audit, les preuves et la gouvernance - [Évaluer les prestataires cloud sous DORA & NIS2](https://cyberacademy.net/fr/resources/blog/evaluating-cloud-providers-under-dora-nis2): Les prestataires cloud se trouvent désormais au cœur des exigences réglementaires. Voici comment les évaluer correctement sous DORA et NIS2, sans vous noyer dans la paperasse ni passer à côté des risques critiques. - [Conformité continue : transformer les audits en pratique opérationnelle permanente](https://cyberacademy.net/fr/resources/blog/continuous-compliance-turning-audits-into-ongoing-practice): Les audits annuels sont morts. La conformité continue est le seul modèle qui résiste à NIS2, DORA, ISO 27001, SOC 2, GDPR et l'AI Act. Voici comment transformer la conformité en habitude opérationnelle vivante ; pas en crise de panique annu - [ChatGPT peut-il rédiger votre politique SMSI ? Un test concret](https://cyberacademy.net/fr/resources/blog/can-chatgpt-draft-your-isms-policy-a-real-test): L'IA peut-elle écrire vos politiques SMSI ? Oui, mais pas de la façon dont la plupart des gens l'imaginent. Voici un retour terrain sur ce qui fonctionne, ce qui échoue, et comment utiliser l'IA de manière sécurisée dans votre programme de - [Construire un tableau de bord conformité qui parle le langage du conseil d'administration](https://cyberacademy.net/fr/resources/blog/building-a-compliance-dashboard-that-speaks-board-language): La plupart des tableaux de bord conformité noient les dirigeants sous les données. Voici comment en construire un qui parle le langage du conseil : clair, stratégique, et prêt à éclairer les décisions. - [La prochaine étape de Bruxelles : ce qui vient après NIS2 et DORA](https://cyberacademy.net/fr/resources/blog/brussels-next-move-what-comes-after-nis2-and-dora): NIS2 et DORA n'étaient que la phase 1. AI Act, Data Act, CRA, EUCS et les nouvelles règles de responsabilité sont sur le point de définir la phase 2. Voici la feuille de route concrète que les responsables GRC doivent anticiper. - [Articuler GDPR, NIS2 et DORA pour une conformité unifiée](https://cyberacademy.net/fr/resources/blog/bridging-gdpr-nis2-and-dora-for-unified-compliance): GDPR, NIS2 et DORA se recoupent bien plus que la plupart des organisations ne le pensent. Voici comment construire un modèle de conformité unifié plutôt que trois chantiers séparés. - [Le programme de sensibilisation est mort.](https://cyberacademy.net/fr/resources/blog/awareness-program-is-dead): La formation de sensibilisation réduit le risque, mais seulement lorsqu'elle est conçue pour de vrais humains, des incitations réelles et un contexte ancré dans la réalité. Voici pourquoi la plupart des programmes échouent ; et ce qui fonct - [ISO27001 : J'ai hérité d'un SMSI. C'était un dossier SharePoint avec 200 documents et une prière.](https://cyberacademy.net/fr/resources/blog/iso27001-i-inherited-an-isms): Ce que personne ne vous dit sur la mise en œuvre d'ISO27001, et comment arrêter de faire semblant en 5 jours. Du 11 au 15 mai, en ligne. - [NIS 2 est en vigueur. Votre régulateur n'attendra pas.](https://cyberacademy.net/fr/resources/blog/nis-2-is-live-your-regulator-wont-wait): Passer de « j'ai lu la directive » à « je peux la mettre en œuvre » en 5 jours. Du 4 au 8 mai, en ligne. - [Votre BIA est probablement un tableur rempli par une seule personne.](https://cyberacademy.net/fr/resources/blog/your-bia-is-probably-a-spreadsheet-someone-filled-in-alone): Modèle d'analyse d'impact sur les activités gratuit. Trois sections. Matrice d'impact prête à l'emploi. Conforme ISO 22301. - [Le modèle de politique BC/DR qui ne finit pas aux oubliettes dans SharePoint](https://cyberacademy.net/fr/resources/blog/the-bc-dr-policy-template-that-doesnt-die-in-sharepoint): Téléchargement gratuit. Construit à partir de projets réels. Pas un copier-coller ISO de plus. - [Le storytelling pour les responsables conformité](https://cyberacademy.net/fr/resources/blog/storytelling-for-compliance-leaders): Les faits informent, mais ce sont les histoires qui donnent envie de s'engager dans la conformité. - [KPIs GRC qui comptent : comment prouver la conformité par les chiffres](https://cyberacademy.net/fr/resources/blog/grc-kpis-that-matter-how-to-prove-compliance-with-numbers): La plupart des KPIs GRC ne servent à rien. Voici ceux qui prouvent réellement la conformité et orientent les décisions. - [Comment amener les dirigeants à s'intéresser vraiment au risque](https://cyberacademy.net/fr/resources/blog/how-to-get-executives-to-care-about-risk): Comment amener les dirigeants à s'intéresser vraiment au risque ; et à agir en conséquence. - [Les tableaux de bord GRC que les dirigeants lisent vraiment](https://cyberacademy.net/fr/resources/blog/grc-dashboards-executives-actually-read): Si vous voulez capter l'attention des dirigeants, cessez de reporter comme un responsable conformité et commencez à reporter comme un partenaire business. - [Comment mener une évaluation des risques qui n'ennuie pas le conseil d'administration](https://cyberacademy.net/fr/resources/blog/how-to-run-a-risk-assessment-that-doesnt-bore-the-board): Si vous voulez que votre conseil d'administration s'implique vraiment, et ne subisse pas simplement vos slides, vous devez transformer l'évaluation des risques en une véritable conversation de décision. Voici comment. - [Comment parler conformité à des non-GRC (et les convaincre que ça les concerne)](https://cyberacademy.net/fr/resources/blog/how-to-talk-compliance-to-non-grc-people-and-make-them-care): Comment parler GRC à des non-GRC (et les convaincre que ça les concerne) - [5 erreurs dans les registres des risques (et comment les corriger)](https://cyberacademy.net/fr/resources/blog/5-mistakes-in-risk-registers-and-how-to-fix-them): Parce que la plupart des registres des risques ne sont que des tableurs coûteux remplis de vœux pieux. - [Top 10 des écarts que les auditeurs rechercheront sous NIS 2](https://cyberacademy.net/fr/resources/blog/top-10-gaps-auditors-will-look-for-under-nis2): Et pourquoi « nous avons une politique pour ça » ne suffira pas cette fois avec NIS 2 - [De la case à cocher à la stratégie : la fin de la conformité de façade](https://cyberacademy.net/fr/resources/blog/from-checkbox-to-strategy-the-death-of-fake-compliance): La conformité fondée sur des listes de contrôle est en train de mourir. Voici comment les organisations passent d'une maturité fictive à une sécurité stratégique réelle. - [Gouvernance de l'IA vs. conformité IA : quelle différence ?](https://cyberacademy.net/fr/resources/blog/ai-governance-vs-ai-compliance-whats-the-difference): Et pourquoi confondre gouvernance de l'IA et conformité IA peut vous coûter cher. - [Le guide complet des certifications ISO pour les professionnels GRC](https://cyberacademy.net/fr/resources/blog/the-ultimate-guide-to-iso-certifications-for-grc-pros): Un guide pratique, éprouvé sur le terrain, sur les certifications ISO que tout professionnel GRC doit maîtriser ; et pourquoi elles comptent concrètement. - [Comment rédiger des politiques que les gens suivent vraiment](https://cyberacademy.net/fr/resources/blog/how-to-write-policies-people-actually-follow): Parce que « Conformément aux exigences légales applicables… » n'est pas ainsi que les humains parlent. Vos politiques ne devraient donc pas inclure ce type de formulation. - [Des politiques de classification des données qui fonctionnent vraiment](https://cyberacademy.net/fr/resources/blog/data-classification-policies-that-actually-work): Parce que la plupart des étiquettes « Confidentiel / Interne / Public » ne sont que de la décoration. - [Du poste de stagiaire au CISO : comment construire une carrière GRC qui progresse](https://cyberacademy.net/fr/resources/blog/from-intern-to-ciso-how-to-build-a-grc-career-that-scales): Une feuille de route éprouvée sur le terrain, du poste d'analyste GRC junior au CISO, sans se perdre dans les modèles, les audits ou les méandres des grandes organisations. - [Leçons tirées des audits échoués : ce que toute organisation doit en retenir](https://cyberacademy.net/fr/resources/blog/lessons-from-failed-audits-what-every-organization-should-learn): Pourquoi les audits échouent, ce que cela signifie vraiment, et les leçons que toute organisation doit tirer pour ne pas reproduire les mêmes erreurs. - [Lead Auditor vs. Lead Implementer : quelle certification vous correspond ?](https://cyberacademy.net/fr/resources/blog/lead-auditor-vs-lead-implementer-which-certification-fits-you): Comment parler GRC à des non-spécialistes (et les convaincre de s'y intéresser) - [Top 10 constats d'audit en 2025 : les vrais](https://cyberacademy.net/fr/resources/blog/top-10-audit-findings-in-2025-the-real-ones): Notes de terrain issues d'évaluations d'écarts réelles menées en Europe, pas de manuels. - [Comment bâtir une culture de conformité au-delà des checklists](https://cyberacademy.net/fr/resources/blog/how-to-build-a-compliance-culture-beyond-checklists): La culture de conformité ne se construit pas avec des politiques ou des checklists ; elle se construit avec des comportements, une appropriation claire et de la lisibilité. - [Comment se démarquer en tant que vCISO](https://cyberacademy.net/fr/resources/blog/how-to-stand-out-as-a-vciso): Comment un vCISO peut véritablement se distinguer sur un marché saturé en étant pragmatique, humain et résolument utile. - [Pourquoi 2026 sera l'année de la convergence de la conformité](https://cyberacademy.net/fr/resources/blog/why-2026-is-the-year-of-compliance-convergence): Comment parler GRC aux non-initiés (et les faire adhérer) D'ici 2026, les entreprises qui survivront à la tempête réglementaire, NIS2, DORA, l'AI Act, le CRA Act, le DATA Act, l'ESG, la vie privée, entre autres, seront celles qui auront enf - [Quand Excel suffit et quand il vous faut une vraie plateforme GRC](https://cyberacademy.net/fr/resources/blog/when-excel-is-enough-and-when-you-need-a-real-grc-platform): Excel fonctionne… jusqu'au moment où ça ne marche plus. Voici la frontière pragmatique entre les tableurs « suffisants » et le moment où votre organisation a réellement besoin d'une plateforme GRC. --- ## Optional - Upcoming live sessions: https://cyberacademy.net/fr/sessions - Sitemap: https://cyberacademy.net/sitemap.xml