Qu'est-ce qu'une OCL et pourquoi l'engagement des OCL est-il important ?

Les LCO sont de petites organisations à vocation locale qui n'ont souvent pas les ressources de cybersécurité des grandes entités, mais qui sont confrontées à des menaces similaires, notamment des attaques d'États-nations et des ransomwares criminels. Les entreprises nationales ou multinationales, les organismes publics ou les entités opérant au niveau national ne sont pas des LCO.

Voici quelques exemples d'OCL :

• Écoles publiques, financées par l'État
• Organisations caritatives et sans but lucratif locales
• Fournisseurs de soins de santé locaux
• Petites entreprises (par exemple, épiceries familiales)
• Bureaux de la municipalité
• Musées, théâtres et bibliothèques
• Sociétés et associations locales
• Services publics locaux

L'engagement des OCL dans le cadre du programme de séminaires sur la cybersécurité de Google.org profite à la fois aux étudiants et aux OCL. Pour les étudiants, l'engagement des OCL est une occasion précieuse d'appliquer leurs connaissances académiques à des situations réelles, en acquérant une expérience pratique qui améliore leurs compétences et leur employabilité. Les OCL, quant à eux, bénéficient de l'expertise et des conseils des étudiants en matière de cybersécurité, ce qui les aide à améliorer leur sensibilisation à la cybersécurité, à renforcer leurs défenses et à s'assurer qu'ils sont mieux équipés pour faire face aux menaces potentielles. Cette collaboration peut favoriser une relation plus profonde entre l'établissement d'enseignement supérieur et la communauté, créant ainsi un engagement commun pour améliorer la résilience en matière de cybersécurité.

Cependant, l'engagement des étudiants avec les organismes de formation professionnelle comporte des risques inhérents qui peuvent affecter toutes les parties concernées. Pour les étudiants, travailler avec des organisations externes peut les exposer à des problèmes juridiques, de protection de la vie privée ou de sécurité, tandis que les organismes locaux de certification peuvent être confrontés à des violations involontaires de données ou à une mauvaise gestion d'informations sensibles au cours des projets des étudiants. Les établissements d'enseignement supérieur doivent également faire preuve de prudence, car les incidents peuvent nuire à leur réputation ou entraîner des conséquences juridiques. Une planification minutieuse, des lignes directrices claires et une supervision appropriée sont donc essentielles pour atténuer ces risques et garantir une expérience positive et sûre à toutes les parties concernées.

Trois étapes pour un engagement réussi

Pour garantir aux étudiants une collaboration productive et efficace avec les organisations communautaires locales, nous recommandons de suivre les trois étapes clés suivantes pour un engagement réussi avec les organisations communautaires locales, et d'utiliser les documents associés le cas échéant.

Étape 1 - Avant l'engagement de l'OCL

Avant d'engager les OCL, il est essentiel de comprendre leurs besoins et d'évaluer les compétences des étudiants afin d'établir une base solide pour une collaboration ciblée et efficace.

Les établissements d'enseignement supérieur doivent bien comprendre les besoins spécifiques des OCL et les faire correspondre aux compétences des étudiants participants. L'évaluation comparative des compétences des étudiants et des OCL est une approche efficace pour s'assurer que tout le monde est bien préparé à l'engagement. Pour les étudiants, les établissements d'enseignement supérieur devraient évaluer dans quelle mesure ils ont acquis les compétences pratiques en matière de cybersécurité développées dans le cadre des séminaires de cybersécurité Google.org, et dans quelle mesure ils sont capables de les appliquer dans des contextes réels. Pour les OCL, les établissements d'enseignement supérieur devraient aligner leurs formes d'aide aux étudiants sur les besoins spécifiques des OCL, et intégrer des demandes supplémentaires lorsque cela est possible.

En plus de l'analyse comparative, les étudiants doivent faire des recherches sur l'OPC qui leur a été attribué avec les conseils de leurs superviseurs. Cette recherche devrait inclure un examen des cyberincidents ou des vulnérabilités dont l'OCL a fait l'expérience par le passé. En comprenant ces événements passés, les étudiants peuvent mieux se préparer aux défis potentiels et contribuer à un engagement plus efficace axé sur la recherche de solutions.

Les étudiants et les superviseurs doivent prendre les mesures nécessaires pour protéger les appareils, les logiciels et le matériel avant de s'engager. Les étudiants doivent connaître les meilleures pratiques pour protéger les systèmes LCO, telles que la sécurisation des points d'extrémité, le cryptage des données sensibles et la mise à jour des logiciels. Tout matériel ou logiciel utilisé par les étudiants dans le cadre du projet doit respecter les normes de sécurité établies afin d'éviter les vulnérabilités. En outre, les étudiants et les OCL doivent discuter des technologies spécifiques ou des mesures de protection en place dans les OCL. Il est essentiel que les deux parties comprennent leurs responsabilités dans le maintien de la sécurité tout au long de la mission.

Outre les bonnes pratiques en matière de cybersécurité, les établissements d'enseignement supérieur devraient donner la priorité à la sécurité personnelle et au bien-être des étudiants qui participent à l'engagement LCO. Par exemple, ils doivent mettre en place une ligne d'assistance téléphonique anonyme ou un mécanisme de signalement permettant aux étudiants d'exprimer leurs préoccupations en matière de harcèlement, de menaces non liées à la cybersécurité ou de toute situation qui les fait se sentir en danger lorsqu'ils travaillent avec les organismes locaux de certification. Ce service d'assistance téléphonique doit garantir la confidentialité et répondre rapidement aux signalements, offrant ainsi aux étudiants un espace sûr pour exprimer leurs préoccupations sans crainte de représailles. Les superviseurs et les coordinateurs de programme doivent s'assurer que tous les étudiants sont informés de l'existence de cette ressource et encouragés à l'utiliser si nécessaire.

Enfin, les établissements d'enseignement supérieur devraient définir des attentes claires et réalistes à l'égard des LCO et des étudiants, y compris un plan de gestion de crise. Les étudiants et les OCL doivent se mettre d'accord sur la durée, le format et les résultats de l'engagement. Il est important de mettre en place des points de contact réguliers dès le départ, afin de permettre aux étudiants et aux OCL de demander des conseils ou de signaler des problèmes au fur et à mesure qu'ils se présentent. En outre, le plan de gestion de crise doit décrire les mesures à prendre en cas d'incident, qu'il soit ou non lié à la cybersécurité.

À ce stade, il convient d'envisager l'élaboration des documents suivants

1. Questionnaire d'admission LCO pour collecter les informations nécessaires et adapter l'approche à chaque organisation.
2. Déclaration des attentes (SoE)/Déclaration de travail (SoW)/Mémorandum d'accord (MoU)/Règles d'engagement (RoE) pour définir clairement l'étendue du travail et les rôles de chacun. Nous fournissons ci-dessous un modèle pour ces documents, qu'il convient d'adapter à vos besoins particuliers.
3. Accords de non-divulgation (NDA) pour protéger les informations sensibles.
4. LCO et exonération de responsabilité des étudiants pour définir des protections en matière de responsabilité.
5. Code de conduite de l'élève pour garantir le professionnalisme et le respect des normes éthiques tout au long de la mission.
6. Meilleures pratiques en matière de protection des appareils et des logiciels pour présenter les meilleures pratiques en matière de cybersécurité, telles que la sécurisation des terminaux, le cryptage des données et l'application régulière de correctifs.

En se concentrant sur ces étapes préparatoires - comprendre les besoins, définir les attentes, assurer la protection et fournir des ressources en matière de sécurité - l'engagement peut se dérouler avec toutes les parties alignées, informées et bien préparées pour faire face aux défis qui pourraient survenir.

Étape 2 | Pendant l'engagement de l'OCL

Pendant l'engagement de l'OCL, le maintien d'une communication efficace et la réalisation d'évaluations régulières permettent aux étudiants et aux OCL de surmonter les difficultés et de travailler à des objectifs communs.

Tout au long de l'engagement, l'établissement d'enseignement supérieur doit assurer une communication régulière et ouverte entre toutes les parties - étudiants, superviseurs et OCS. Pour ce faire, il faut la mise en œuvre de protocoles d'enregistrement par le biais de méthodes de communication fiables et sécurisées. En gardant ces canaux de communication ouverts, il sera plus facile de répondre rapidement à toute préoccupation ou difficulté survenant au cours de la mission. Pour la collaboration à distance, il convient d'utiliser des outils de communication cryptés afin de protéger les informations sensibles. En outre, comme indiqué précédemment, une ligne de signalement anonyme pourrait être mise à la disposition des étudiants pour leur permettre de faire part en toute sécurité de toute préoccupation ou problème grave pouvant survenir au cours de l'engagement.

Si un problème critique survient, il est important d'activer rapidement le plan de gestion de crise préétabli. Des mesures immédiates doivent être prises pour protéger toutes les personnes concernées, en veillant à ce que les agents de liaison et les étudiants reçoivent le soutien nécessaire pour faire face à tout incident potentiel.

Étape 3 - Après l'engagement du LCO

Après l'engagement des OCL, il est essentiel d'évaluer l'impact et de recueillir des informations en retour afin d'affiner les engagements futurs et de favoriser l'amélioration continue.

Une fois l'engagement terminé, l'accent doit être mis sur l'évaluation de l'impact sur les étudiants et les OCL. Les entretiens de fin de mission avec les étudiants et les OCL peuvent aider à évaluer leur expérience, la valeur dérivée de la collaboration et les domaines à améliorer. Ce retour d'information doit être compilé dans un rapport d'impact détaillé, en veillant à ce que toutes les données collectées soient anonymisées et traitées conformément aux réglementations locales et nationales en matière de protection des données.

Dans la mesure du possible, l'établissement d'enseignement supérieur doit aider les OCL à répondre aux besoins permanents qui ressortent des résultats. Même si l'engagement est officiellement terminé, l'établissement peut aider les OCL à trouver des ressources supplémentaires ou un soutien de suivi.

Enfin, les enseignements tirés des réflexions des étudiants et des commentaires des OCL devraient être utilisés pour affiner les futurs séminaires Google.org sur la cybersécurité et d'autres programmes. Les principaux enseignements tirés peuvent être intégrés pour améliorer la structure, la prestation et le contenu du programme, en veillant à ce qu'il évolue et s'adapte pour mieux répondre aux besoins de tous les participants lors des engagements futurs. L'apprentissage et l'adaptation continus renforceront le programme et favoriseront l'obtention de résultats plus probants lors des collaborations ultérieures.

Résumé des modèles de documents

Document 1 - Questionnaire d'admission de l'OCL

Création d'un Questionnaire d'admission pour les OCL participant au programme peut améliorer la collecte d'informations pour soutenir le programme :

• Comprendre les besoins et les risques de l'organisation, ce qui permet d'adapter les approches des étudiants et les méthodes d'engagement qui conviennent le mieux à l'organisation.
• Affectation des ressources, en veillant à ce que les étudiants soient affectés à des organisations spécifiques en fonction de leurs compétences et de leur formation. 
• Établissement d'une base de référence (benchmarking) pour comprendre la maturité des organisations en matière de cybersécurité dans votre région, ce qui permet de mesurer les résultats.
• Réalisation d'une évaluation initiale des risques afin d'identifier les vulnérabilités les plus urgentes de l'organisme de logement local.

Il est essentiel de veiller à ce que les étudiants abordent la collecte d'informations avec professionnalisme et empathie, et évitent de porter des jugements. Le programme Google.org Cybersecurity Seminars est un service de soutien qui vise à renforcer la communauté locale plutôt qu'à mettre en évidence ses faiblesses.

Document 2 | SoE/SoW/MoU/RoE

Il est important de disposer d'un document détaillant la portée générale de l'engagement entre les établissements d'enseignement supérieur, les étudiants et les organismes de formation professionnelle. Le fait de clarifier, de fixer et de gérer les attentes avant tout travail garantit une relation de travail fructueuse, claire et confiante pour l'avenir. Cela permet également de s'assurer qu'il n'y a pas de "règles tacites" ou d'attentes floues.

Le document 2 peut servir de base à l'un des documents suivants :

ACRONYM	NOM COMPLET	CONTIENT GÉNÉRALEMENT
SoE	Étendue de l'engagement	Informations sur ce que le travail doit être fait, et par qui (tâches et résultats attendus)
SoW (en anglais)	Déclaration de travail	Les informations incluses dans le champ d'application, ainsi que les détails critiques du projet et les détails contractuels  Généralement un document juridiquement contraignant
Protocole d'accord	Protocole d'accord	Compréhension / intention partagée entre les parties Généralement non contraignant
RdE	Règles d'engagement	Comment les parties doivent interagir ou réagir dans certaines situations

Document 3 | Accord de non-divulgation (NDA)

Un NDA (Accord de non-divulgation)La clause de confidentialité est un contrat entre l'établissement d'enseignement supérieur et l'organisme de formation professionnelle qui établit une relation confidentielle.

Dans le contexte des séminaires de cybersécurité de Google.org, les accords de confidentialité peuvent être unilatéraux ou bilatéraux (mutuels). Dans un accord de confidentialité unilatéral, le LCO divulgue des informations à l'établissement d'enseignement supérieur, qui est alors tenu de protéger cette confidentialité. Dans un accord bilatéral, les deux parties échangent des informations et acceptent de protéger la confidentialité de l'autre. Les domaines à prendre en considération sont les suivants :

• Décidez de ce que l'accord de confidentialité couvrira. Travaillez avec votre équipe juridique et votre LCO pour déterminer ce qui est couvert ou non par un accord de confidentialité. Les étudiants doivent être informés de manière appropriée de ce qui est couvert.
• Soyez réaliste. Les étudiants peuvent être amenés à partager des informations avec leurs pairs et leurs superviseurs s'ils ont besoin de soutien. Veillez à ce que cela se fasse en toute confidentialité. 
• Pensez à la durée de la confidentialité.

Document 4 | Décharge de responsabilité (LCO, étudiant)

A Renonciation à la responsabilité est un document juridique dans lequel une partie accepte de renoncer à son droit de poursuivre ou de tenir une autre partie légalement responsable des blessures, des dommages ou d'autres effets indésirables pouvant survenir au cours d'un événement. Une décharge de responsabilité peut être importante car elle offre une protection juridique, sert de preuve documentée des risques acceptés et offre une sécurité financière et une atténuation des risques.

Document 5 | Code de conduite de l'élève

A Code de conduite de l'élève Le code de conduite est un ensemble de lignes directrices et d'attentes qui décrivent le comportement professionnel et éthique exigé des étudiants participant à la clinique. Ce code garantit que les étudiants agissent avec intégrité, respect et responsabilité lorsqu'ils sont en contact avec les OCL et d'autres parties prenantes. Il peut couvrir des aspects tels que le maintien de la confidentialité, les bonnes pratiques en matière de cybersécurité, la collaboration efficace avec les pairs et le personnel de l'OCL, et le maintien de la réputation de l'établissement d'enseignement supérieur. Le respect de ce code favorise non seulement un environnement d'apprentissage positif, mais aide également les étudiants à développer les normes professionnelles nécessaires à leur future carrière.

Document 6 - Meilleures pratiques en matière de protection des dispositifs et des logiciels

Un document détaillant Meilleures pratiques en matière de protection des appareils et des logiciels décrit les lignes directrices essentielles pour garantir la sécurité et l'intégrité des systèmes matériels et logiciels tout au long de la mission. Il doit inclure les meilleures pratiques pour sécuriser les terminaux, notamment en mettant en œuvre des mots de passe forts, en activant l'authentification à deux facteurs et en mettant régulièrement à jour les systèmes d'exploitation et les logiciels pour corriger les vulnérabilités connues. Il peut également inclure des protocoles de cryptage pour les données sensibles, des sauvegardes régulières et des mesures antivirus, ainsi qu'une série d'autres mesures de cybersécurité pertinentes.

[TEMPLATE] - Document 1

Questionnaire d'admission LCO

Ce document doit être utilisé comme un préliminaire Le présent document constitue une base pour l'élaboration d'un questionnaire d'admission permettant d'associer au mieux les étudiants à des organisations communautaires locales potentielles. Veuillez apporter les ajustements nécessaires à votre contexte spécifique et consulter votre équipe juridique avant de diffuser ce document.

Introduction

Nous vous remercions de l'intérêt que vous portez à la collaboration avec [nom de l'établissement d'enseignement supérieur]. Ce questionnaire est conçu pour nous aider à mieux comprendre les besoins, les objectifs et les ressources de votre organisation. Les informations que vous nous fournissez seront utilisées pour déterminer si ce que nous proposons correspond à votre organisation et, dans l'affirmative, pour établir un partenariat entre votre organisation et les équipes d'étudiants appropriées et garantir une relation de travail fructueuse. Veuillez répondre à toutes les questions de la manière la plus complète possible.

Ce questionnaire devrait prendre environ 30 à 60 minutes à remplir.

1. INFORMATIONS GÉNÉRALES

Nom de l'organisation
Adresse
Contact principal     Nom
Contact principal      Titre
Numéro de téléphone du contact principal
Courriel du contact principal
Site web
Manipulation des médias sociaux (s'il y en a)

2. DÉTAILS DE L'ORGANISATION

Déclaration de mission
Brève description de votre organisation
Quel type d'organisation représentez-vous ?	- Petites entreprises - Organisation à but non lucratif - Établissement d'enseignement (par exemple, école ou collège) - Gouvernement (local ou régional) - Organisation de soins de santé (par exemple, clinique, hôpital, etc.) - Autre (à préciser)
Taille de l'organisation : - Nombre d'employés - Nombre de volontaires - Nombre d'individus / groupes servis annuellement
Années de fonctionnement

3. BESOINS ET OBJECTIFS ACTUELS

Pourquoi votre organisation a-t-elle sollicité l'aide du programme [Nom de l'établissement d'enseignement supérieur] Google.org Cybersecurity Seminars ? Sélectionnez toutes les réponses qui s'appliquent.	- Évaluer et renforcer la position globale de notre organisation en matière de cybersécurité - Pour répondre aux préoccupations spécifiques en matière de cybersécurité dont nous sommes déjà conscients - Rechercher une éducation, une sensibilisation et une formation spécialisées en matière de cybersécurité pour nos employés - Soutenir l'éducation, la formation et le développement des professionnels de la cybersécurité dans notre communauté - Autre (à préciser)
Si vous avez choisi plusieurs réponses à la question ci-dessus, veuillez indiquer celle qui est la plus prioritaire.
Quels objectifs ou résultats spécifiques souhaiteriez-vous atteindre en collaborant avec nos étudiants ?
Disposez-vous d'un calendrier précis pour mener à bien ces projets ou atteindre ces objectifs ?
Parmi les normes réglementaires suivantes, quelles sont celles auxquelles votre organisation doit se conformer ? Sélectionnez toutes les réponses qui s'appliquent.	- Règlement général sur la protection des données (RGPD) - Directive sur la sécurité des réseaux et de l'information (NIS) et NIS2 - Directive vie privée et communications électroniques - Loi sur la cybersécurité - ISO/IEC 27001 - Directive sur les services de paiement 2 (DSP2) - Loi sur la résilience opérationnelle numérique (DORA) - Ne sait pas - Autre (à préciser)
Quels types d'appareils votre organisation utilise-t-elle ? Sélectionnez toutes les réponses qui s'appliquent.	- Ordinateurs de bureau ou portables fournis par l'organisation - Ordinateurs de bureau ou portables personnels (BYOD) - Appareils mobiles fournis par l'organisation (par exemple, smartphones, tablettes) - Appareils mobiles détenus par les particuliers (BYOD)
Quels types de solutions de stockage de données votre organisation utilise-t-elle ? Sélectionnez toutes les réponses qui s'appliquent ?	- Espace de travail ou de stockage en nuage (par exemple, OneDrive, Google Drive, Dropbox) - Solution de sauvegarde sur site (par exemple, serveur local, stockage dans un centre de données) - Solution de sauvegarde hors site ou dans le nuage (par exemple, Amazon S3, Google Cloud Storage)

4. CYBER HYGIÈNE

Votre organisation utilise-t-elle l'authentification multifactorielle (AMF) pour les comptes critiques ?	Oui Non Ne sait pas
Votre organisation met-elle régulièrement à jour et corrige-t-elle tous les systèmes et logiciels ?	Oui Non Ne sait pas
Votre organisation a-t-elle mis en place un système de contrôle d'accès et de moindre privilège ?	Oui Non Ne sait pas
Votre organisation effectue-t-elle des sauvegardes régulières et sécurisées des données et teste-t-elle les processus de récupération ?	Oui Non Ne sait pas
Votre organisation dispense-t-elle régulièrement des formations à la cybersécurité à ses employés ? Dans l'affirmative, veuillez indiquer en quoi consiste cette formation (fournisseur, thèmes, fréquence, etc.).	Oui Non Ne sait pas Pour plus d'informations :
Votre organisation surveille-t-elle le trafic sur le réseau et enregistre-t-elle toutes les activités ?	Oui Non Ne sait pas
Votre organisation dispose-t-elle d'un plan d'intervention en cas d'incident qui est mis en œuvre régulièrement ?	Oui Non Ne sait pas
Votre organisation contrôle-t-elle et sécurise-t-elle les dispositifs externes (par exemple, les clés USB) qui se connectent au réseau ?	Oui Non Ne sait pas
Votre organisation procède-t-elle régulièrement à des analyses de vulnérabilité et à des tests de pénétration ?	Oui Non Ne sait pas
Votre organisation contrôle-t-elle et sécurise-t-elle les dispositifs externes (par exemple, les clés USB) qui se connectent au réseau ?	Oui Non Ne sait pas
Votre organisation dispose-t-elle d'une politique de destruction sécurisée des données ?	Oui Non Ne sait pas
Votre organisation dispose-t-elle d'un inventaire des dispositifs physiques, des systèmes, des plates-formes logicielles, des applications et du personnel ?	Oui Non Ne sait pas
Votre organisation a-t-elle mis en place des pratiques de stockage de données sécurisées pour les environnements sur site et en nuage ?	Oui Non Ne sait pas

5. CONSIDÉRATIONS LOGISTIQUES

Veuillez indiquer votre méthode préférée d'engagement avec les étudiants.	Sur place A distance Combinaison des deux
Si vous vous engagez sur place, quelles installations ou ressources (salles de réunion, ordinateurs, etc.) pouvez-vous mettre à la disposition des étudiants ?
Quels sont les jours et les heures les plus propices aux réunions ou au travail sur des projets ?
Existe-t-il des restrictions ou des considérations (par exemple, la confidentialité, l'accès à certaines données) dont nous devrions être conscients ?

6. ATTENTES EN MATIÈRE DE PARTENARIAT

Quelles sont vos attentes en matière de collaboration avec nos étudiants ?
Comment définiriez-vous un partenariat réussi avec notre établissement d'enseignement supérieur ?
Êtes-vous disposé à fournir un retour d'information et des conseils aux étudiants tout au long de la collaboration ?

7. INFORMATIONS COMPLÉMENTAIRES

Y a-t-il autre chose que vous aimeriez que nous sachions concernant votre organisation ou vos besoins ?

---

Nous vous remercions d'avoir répondu à ce questionnaire. Nous sommes impatients d'examiner vos réponses et de voir comment nous pouvons soutenir au mieux votre organisation.

[TEMPLATE] - Document 2

Déclaration de travail

Ce document doit être utilisé comme un préliminaire Ce document peut servir de base à l'élaboration d'une déclaration de travail, d'un cahier des charges, d'un protocole d'accord ou de règles d'engagement pour l'engagement de la communauté locale. Veuillez apporter les ajustements nécessaires à votre contexte spécifique et consulter votre équipe juridique avant de diffuser ce document.

Champ d'application (SoW) entre [nom de l'établissement d'enseignement supérieur] et [nom de l'organisation communautaire locale]

---

Date d'entrée en vigueur : [Insérer la date]
Date d'expiration : [Insérer la date ou "indéterminée"]
Entré dans et entre : [Nom de l'établissement d'enseignement supérieur] (ci-après dénommé "l'EES") situé à [adresse de l'EES],

et

[Nom de l'organisation communautaire locale] (ci-après dénommé "le LCO") situé à [adresse du LCO].

1. BUT

Ce cahier des charges sert à établir un cadre de collaboration entre l'HEI et le LCO. L'objectif de ce partenariat est d'améliorer la sensibilisation à la cybersécurité, les pratiques et la résilience au sein du LCO par le biais du programme de séminaires sur la cybersécurité Google.org de l'HEI. Le présent document décrit les attentes, les rôles, les responsabilités et l'étendue des travaux de toutes les parties concernées.

2. LES SERVICES FOURNIS

2.1. Activités d'engagement
Le HEI fournira les services suivants au LCO :

2.1.1. Évaluations de la cybersécurité : Effectuer des évaluations de la vulnérabilité, des analyses de risques et des audits de sécurité de l'infrastructure numérique de l'OCL.

2.1.2. Formation et sensibilisation : Organiser des sessions de formation à la cybersécurité pour le personnel des OCL, en mettant l'accent sur les meilleures pratiques, la sensibilisation aux menaces et les comportements sûrs en ligne.

2.1.3. Soutien technique : Aider à la mise en œuvre des mesures de cybersécurité, y compris l'installation de logiciels, l'amélioration de la sécurité des réseaux et les stratégies de protection des données.

2.1.4. Exercices de l'équipe rouge : (le cas échéant) Effectuer des tests de pénétration autorisés afin d'identifier et de corriger les faiblesses en matière de sécurité.

2.2. Produits à livrer
L'établissement d'enseignement supérieur fournira les services suivants

2.2.1. Rapports d'évaluation : Rapports détaillés résumant les résultats des évaluations, y compris les recommandations exploitables.

2.2.2. Matériel de formation : Matériel et ressources de formation personnalisés destinés à être utilisés en permanence par l'OCS.

2.2.3. Documentation technique : Documentation relative à toute solution technique mise en œuvre, y compris les paramètres de configuration et les guides de l'utilisateur.

2.2.4. Examen final : Résumé de toutes les activités menées, des résultats obtenus et des prochaines étapes à suivre par l'OCL pour continuer à améliorer la cybersécurité.

3. RÔLES ET RESPONSABILITÉS

3.1. Responsabilités des EES
L'EES s'engage à :

3.1.1. Fournir un personnel qualifié : Veiller à ce que les étudiants et les enseignants impliqués soient qualifiés, formés de manière adéquate et supervisés.

3.1.2. Respecter les normes éthiques : Mener toutes les activités de manière professionnelle, éthique et légale.

3.1.3. Maintien de la confidentialité : Protéger la confidentialité de toutes les informations et données consultées au cours de la mission.

3.1.4. Fournir des rapports en temps utile : Fournir en temps utile des rapports complets sur toutes les activités menées.

3.1.5. Offrir un soutien continu : Offrir un soutien continu raisonnable pour répondre à toute question de suivi ou à tout problème découlant de la mission.

3.2. Responsabilités de l'OCL
L'OCL s'engage à :

3.2.1. Faciliter l'accès : Fournir l'accès nécessaire aux systèmes, aux données et au personnel pour permettre à l'EES d'effectuer les activités convenues.

3.2.2. Participer aux formations : Encourager la participation du personnel aux sessions de formation et mettre en œuvre les pratiques recommandées en matière de cybersécurité.

3.2.3. Fournir un retour d'information : Offrir un retour d'information sur l'efficacité des activités de l'établissement d'enseignement supérieur et suggérer des domaines d'amélioration.

3.2.4. Confidentialité et protection des données : Protéger toute information sensible fournie par l'établissement d'enseignement supérieur et veiller au respect des règles de protection des données.

3.2.5. Respecter les accords : Respecter le calendrier et l'étendue des travaux convenus et informer l'EES de tout changement en temps utile.

4. CHAMP D'APPLICATION, LIMITES, COMMUNICATION

4.1. Champ d'application et limites

4.1.1. Activités autorisées : Le HEI n'effectuera que les activités explicitement autorisées par le LCO.

4.1.2. Exercices de l'équipe rouge : (le cas échéant) Tous les tests de pénétration ou activités similaires seront approuvés au préalable, avec des règles d'engagement et des limites claires afin d'éviter toute perturbation des systèmes critiques.

4.1.3. Traitement des données : L'EES traitera toutes les données des OCL avec le plus haut niveau de sécurité, en suivant les meilleures pratiques de l'industrie en matière de protection des données.

4.2. Protocoles de communication

4.2.1. Contacts principaux : Désigner des points de contact principaux pour l'EES et l'OCS afin de faciliter la communication.

4.2.2. Mises à jour régulières : Prévoyez des contrôles réguliers et des rapports d'avancement pour tenir toutes les parties informées.

4.2.3. Rapport d'incident : Mettre en place un processus de signalement et de réponse à tout incident ou violation de la sécurité survenant au cours de la mission.

5. CONFIDENTIALITÉ ET PROTECTION DES DONNÉES

5.1. Informations confidentielles

5.1.1. Définition : Les informations confidentielles comprennent toutes les informations non publiques fournies par l'une ou l'autre partie, y compris, mais sans s'y limiter, les données techniques, les processus commerciaux et les données personnelles.

5.1.2. Obligations : Les deux parties s'engagent à protéger la confidentialité de ces informations et à ne les utiliser qu'aux fins décrites dans le présent document de travail.

5.2. Respect de la protection des données

5.2.1. Conformité réglementaire : Les deux parties acceptent de se conformer à toutes les lois et réglementations applicables en matière de protection des données (par exemple, GDPR, CCPA).

5.2.2. Mesures de sécurité des données : L'EES mettra en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données des OCL.

6. CONSIDÉRATIONS JURIDIQUES

6.1. Responsabilité

6.1.1. Limitation de la responsabilité : Aucune des parties n'est responsable des dommages indirects, accessoires ou consécutifs résultant des activités menées dans le cadre du présent document de travail.

6.1.2. Indemnisation : L'OCL accepte d'indemniser l'établissement d'enseignement supérieur et de le dégager de toute responsabilité en cas de réclamation découlant de l'utilisation par l'OCL des services fournis par l'établissement d'enseignement supérieur.

6.2. Résolution des litiges

6.2.1. Médiation : En cas de litige, les parties conviennent de chercher d'abord une solution par la médiation.

6.2.2. Droit applicable : La présente déclaration d'intention est régie par les lois de [juridiction].

7. DURÉE ET RÉSILIATION

7.1. Durée

7.1.1. Durée : Le présent document de travail prend effet du [date de début] au [date de fin], à moins qu'il ne soit résilié plus tôt par l'une ou l'autre des parties.

7.1.2. Renouvellement : Le SdS peut être renouvelé d'un commun accord.

7.2. Résiliation

7.2.1. Délai de préavis : L'une ou l'autre partie peut résilier le présent protocole d'accord moyennant un préavis écrit de [insérer le délai de préavis, par exemple 30 jours].

7.2.2. Violation des conditions : La résiliation immédiate est autorisée si l'une ou l'autre des parties ne respecte pas les conditions du présent document.

8. RECONNAISSANCE ET ACCEPTATION

En apposant leur signature ci-dessous, les deux parties reconnaissent qu'elles ont lu et compris le présent cahier des charges et qu'elles en acceptent les termes et conditions.

	Rôle (le cas échéant) :	Nom :	Signature :	Date :
Représentant des établissements d'enseignement supérieur :
Représentant de l'organisation communautaire locale :

[TEMPLATE] - Document 3

Accord de non-divulgation (NDA)

Ce document doit être utilisé comme un préliminaire une base pour l'élaboration d'un accord de non-divulgation, le cas échéant, pour l'engagement de la communauté locale. Veuillez apporter les ajustements nécessaires à votre contexte spécifique et consulter votre équipe juridique avant de diffuser ce document.

Accord de non-divulgation (NDA)

---

Date d'entrée en vigueur : [Insérer la date]
Date d'expiration : [Insérer la date ou "indéterminée"]
Entré dans et entre : [Nom de l'établissement d'enseignement supérieur], la partie divulgatrice (ci-après dénommé "le HEI" ou "le divulgateur") situé à [adresse du HEI],

et

[Nom de l'organisation communautaire locale], la partie destinataire (ci-après dénommé "le LCO" ou "le destinataire") situé à [adresse du LCO].

1. BUT

Le présent accord de non-divulgation a pour objet de protéger les informations confidentielles et exclusives susceptibles d'être divulguées entre les parties dans le cadre du programme de séminaires sur la cybersécurité de Google.org.

2. DÉFINITION DES INFORMATIONS CONFIDENTIELLES

2.1. Informations confidentielles
Les "informations confidentielles" désignent toutes les informations non publiques divulguées par la partie divulgatrice à la partie destinataire, que ce soit sous forme écrite, orale, électronique ou autre, qui sont désignées comme confidentielles ou qui, compte tenu des circonstances entourant la divulgation, devraient être considérées comme confidentielles.

2.2. Exclusions des informations confidentielles
Les informations confidentielles ne comprennent pas les informations qui

• est ou devient accessible au public sans qu'il y ait faute de la partie destinataire.
• est déjà connue de la partie destinataire au moment de la divulgation, comme en témoignent ses archives écrites.
• est développé de manière indépendante par la partie destinataire sans utiliser les informations confidentielles de la partie divulgatrice ou s'y référer.
• est divulguée au destinataire par un tiers qui, à la connaissance du destinataire, ne viole aucune obligation de confidentialité.

3. OBLIGATIONS DE LA PARTIE DESTINATAIRE

3.1. Utilisation des informations confidentielles
La partie destinataire accepte d'utiliser les informations confidentielles uniquement dans le but de [décrire l'objectif spécifique, par exemple l'évaluation d'une collaboration potentielle, la réalisation d'une recherche, etc.

3.2. Non-divulgation
La partie destinataire s'engage à ne pas divulguer les informations confidentielles à un tiers sans l'accord écrit préalable de la partie divulgatrice, sauf si la loi l'exige ou si cela est nécessaire pour atteindre l'objectif du présent accord. Si la divulgation est nécessaire, la partie destinataire s'assurera que la tierce partie est liée par des obligations de confidentialité qui ne sont pas moins restrictives que celles contenues dans le présent accord de confidentialité.

3.3. Protection de l'information
La partie destinataire s'engage à prendre toutes les mesures raisonnables pour protéger la confidentialité des informations confidentielles, notamment en mettant en œuvre des mesures de protection physiques, électroniques et administratives appropriées.

4. DURÉE ET RÉSILIATION

4.1. Durée
Le présent NDA reste en vigueur de la date d'entrée en vigueur à la date d'expiration, ou jusqu'à ce qu'il soit résilié par l'une ou l'autre des parties moyennant un préavis écrit de [insérer la période de préavis, par exemple 30 jours] à l'autre partie.

4.2. Restitution ou destruction des informations
À l'expiration du présent accord ou à la demande de la partie divulgatrice, la partie destinataire renvoie ou détruit rapidement toutes les copies des informations confidentielles en sa possession et certifie par écrit qu'elle l'a fait.

5. LA PROPRIÉTÉ INTELLECTUELLE

5.1. Propriété
Toutes les informations confidentielles restent la propriété de la partie divulgatrice. Aucune licence, implicite ou autre, n'est accordée à la partie destinataire en vertu des brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle de la partie divulgatrice.

5.2. Absence d'obligation
Rien dans le présent accord n'oblige l'une ou l'autre des parties à procéder à une transaction, à une relation d'affaires ou à une collaboration en matière de recherche, et chaque partie se réserve le droit de mettre fin aux discussions à tout moment.

6. CONFORMITÉ JURIDIQUE ET RÉGLEMENTAIRE

6.1. Respect des lois
La partie destinataire accepte de se conformer à toutes les lois et réglementations applicables à l'utilisation, au traitement et à la divulgation des informations confidentielles.

6.2. Informations à fournir
Si la partie destinataire est tenue par la loi ou par une procédure judiciaire de divulguer des informations confidentielles, elle en informera rapidement la partie divulgatrice et coopérera avec elle pour obtenir une ordonnance de protection ou toute autre mesure appropriée.

7. PAS DE GARANTIE

La partie divulgatrice fournit les informations confidentielles "en l'état" et ne fait aucune déclaration ni ne donne aucune garantie, expresse ou implicite, quant à l'exactitude, l'exhaustivité ou la performance des informations confidentielles.

8. RECOURS

La partie destinataire reconnaît que la divulgation ou l'utilisation non autorisée d'informations confidentielles peut causer un préjudice irréparable à la partie divulgatrice. Par conséquent, la partie divulgatrice a le droit de demander une injonction en plus de tout autre recours légal dont elle dispose.

9. DROIT APPLICABLE ET JURIDICTION

Le présent accord de coopération est régi et interprété conformément aux lois de [insérer la juridiction]. Tout litige découlant du présent accord ou s'y rapportant sera résolu par les tribunaux de [insérer la juridiction].

10. DIVERS

10.1. Intégralité de l'accord
Le présent accord de confidentialité constitue l'intégralité de l'accord entre les parties concernant l'objet du présent accord et remplace tous les accords et arrangements antérieurs, qu'ils soient écrits ou oraux.

10.2. Amendements
Le présent accord ne peut être amendé ou modifié que par un écrit signé par les deux parties.

10.3. Divisibilité
Si l'une des dispositions du présent accord de coopération est jugée invalide ou inapplicable, les autres dispositions resteront pleinement en vigueur.

10.4. Affectation
Aucune des parties ne peut céder ou transférer les droits ou obligations découlant du présent accord sans le consentement écrit préalable de l'autre partie.

11. RECONNAISSANCE ET SIGNATURES

En signant ci-dessous, les parties reconnaissent avoir lu et compris le présent accord de non-divulgation et acceptent d'être liées par ses termes.

	Rôle (le cas échéant) :	Nom :	Signature :	Date :
Partie divulgatrice (établissement d'enseignement supérieur) Représentant :
Partie réceptrice (organisation communautaire locale) Représentant :

[TEMPLATE] - Document 4.1

Renonciation à la responsabilité du LCO

Ce document doit être utilisé comme un préliminaire base pour l'élaboration d'une décharge de responsabilité pour les OCL afin de faciliter l'engagement des communautés locales. Veuillez apporter les ajustements nécessaires à votre contexte spécifique et consulter votre équipe juridique avant de diffuser ce document.

Décharge de responsabilité entre [nom de l'établissement d'enseignement supérieur] et [nom de l'étudiant].

---

Date d'entrée en vigueur : [Insérer la date]
Date d'expiration : [Insérer la date ou "indéterminée"]
Entré dans et entre : [Nom de l'établissement d'enseignement supérieur] (ci-après dénommé "l'EES" ou "l'institution") situé à [adresse de l'EES],

et

[Nom de l'organisation communautaire locale] (ci-après dénommé "le LCO") situé à [adresse du LCO].

1. BUT

Le présent accord de renonciation et d'exonération de responsabilité a pour objet de définir les responsabilités, les risques et les obligations liés à la collaboration entre l'institution et l'organisme local de certification dans le cadre du [20XX Google.org Cybersecurity Seminars Program], et de dégager chaque partie de toute responsabilité en cas de blessures, de dommages ou de pertes pouvant résulter de leur participation.

2. RECONNAISSANCE DU RISQUE

2.1. La participation volontaire
L'Établissement et l'OCL reconnaissent que leur participation au [Programme 20XX de séminaires sur la cybersécurité de Google.org] est entièrement volontaire.

2.2. Prise en charge du risque
Chaque partie comprend que la participation au [Programme 20XX de séminaires sur la cybersécurité de Google.org] peut comporter des risques inhérents, y compris, mais sans s'y limiter, [énumérer les risques spécifiques, par exemple, les blessures physiques, les dommages matériels, les risques liés à la cybersécurité, etc.] Les deux parties assument l'entière responsabilité de tout risque de blessure, de maladie, de dommage ou de perte pouvant résulter de leur participation.

3. DÉCHARGE DE RESPONSABILITÉ

3.1. Libération générale
L'institution et le LCO, en leur nom propre et au nom de leurs dirigeants, employés, agents, représentants et bénévoles (collectivement, "les parties déchargées"), se dégagent, renoncent, se déchargent et s'engagent à ne pas se poursuivre mutuellement de toute réclamation, demande, action, cause d'action ou responsabilité, de quelque nature que ce soit, découlant de leur participation au [20XX Google.org Cybersecurity Seminars Program] ou s'y rapportant de quelque manière que ce soit, y compris, mais sans s'y limiter, toute réclamation pour blessure corporelle, maladie, décès, dommage matériel ou autre perte.

3.2. Décharge spécifique pour négligence
L'institution et l'OCL comprennent et acceptent spécifiquement que cette décharge inclut toute réclamation fondée sur la négligence, l'action ou l'inaction des parties déchargées de l'autre partie, et couvre les dommages corporels (y compris le décès) et matériels, qu'ils aient été subis avant, pendant ou après la participation.

4. INDEMNISATION

4.1. Indemnisation mutuelle
L'Institution accepte d'indemniser, de défendre et de dégager de toute responsabilité l'OCL et ses parties libérées de toute réclamation, responsabilité, dommage, coût ou dépense (y compris les frais d'avocat raisonnables) découlant de ou liés à la participation de l'Institution à [décrire l'activité, le programme ou le projet spécifique]. De même, l'OCL accepte d'indemniser, de défendre et de dégager de toute responsabilité l'institution et ses parties déchargées de toute réclamation, responsabilité, dommage, coût ou dépense découlant de la participation de l'OCL à [décrire l'activité, le programme ou le projet spécifique] ou y étant lié.

4.2. Recours des tiers
Les deux parties acceptent de s'indemniser mutuellement et de se dégager de toute responsabilité en cas de réclamation déposée par des tiers à la suite ou en rapport avec des actions ou des omissions de leurs dirigeants, employés, agents ou bénévoles respectifs dans le cadre du présent accord.

5. ASSURANCE

5.1. Couverture d'assurance
L'institution et l'OCL s'engagent à souscrire une couverture d'assurance adéquate, y compris une assurance responsabilité civile générale et, le cas échéant, une assurance responsabilité civile professionnelle, pour couvrir toute réclamation ou responsabilité potentielle découlant de leur participation à [décrire l'activité, le programme ou le projet spécifique].

5.2. Preuve d'assurance
Sur demande, chaque partie accepte de fournir à l'autre la preuve de la couverture d'assurance, y compris les limites et les conditions de la police.

6. RESPECT DES LOIS

6.1. Conformité aux lois et règlements
L'institution et l'OCL s'engagent à respecter l'ensemble des lois, règlements et lignes directrices applicables dans l'exercice de leurs fonctions et activités dans le cadre du présent accord.

6.2. Informations à fournir
Si l'une des parties est tenue par la loi ou par une procédure judiciaire de divulguer toute information liée au présent accord, elle doit en informer rapidement l'autre partie et coopérer à la recherche d'une ordonnance de protection ou d'une autre solution appropriée.

7. DURÉE ET RÉSILIATION

7.1. Durée
Le présent accord reste en vigueur de la date d'entrée en vigueur à la date d'expiration, ou jusqu'à ce qu'il soit résilié par l'une ou l'autre des parties moyennant un préavis écrit de [insérer la période de préavis, par exemple 30 jours] à l'autre partie.

7.2. Restitution ou destruction des informations
En cas de résiliation du présent accord, chaque partie accepte de renvoyer ou de détruire toutes les informations confidentielles appartenant à l'autre partie, conformément aux instructions de la partie qui les a divulguées.

8. DROIT APPLICABLE ET JURIDICTION

Le présent accord est régi et interprété conformément aux lois de [insérer la juridiction]. Tout litige découlant du présent accord ou lié à celui-ci sera résolu par les tribunaux de [insérer la juridiction].

9. DIVERS

9.1. Intégralité de l'accord
La présente convention constitue l'intégralité de l'accord entre l'institution et l'OCL concernant l'objet de la présente convention et remplace tous les accords, conventions ou déclarations antérieurs, qu'ils soient écrits ou oraux.

9.2. Amendements
Le présent accord ne peut être amendé ou modifié que par un écrit signé par les deux parties.

9.3. Divisibilité
Si l'une des dispositions du présent accord est jugée invalide ou inapplicable, les autres dispositions resteront pleinement en vigueur.

9.4. Affectation
Aucune des parties ne peut céder ou transférer des droits ou des obligations en vertu du présent accord sans le consentement écrit préalable de l'autre partie.

10. RECONNAISSANCE ET SIGNATURES

En apposant leur signature ci-dessous, les parties reconnaissent avoir lu et compris le présent accord d'exonération de responsabilité et acceptent d'être liées par ses termes.

	Rôle (le cas échéant) :	Nom :	Signature :	Date :
Représentant de l'OCL de [Nom de l'OCL] :
Représentant / superviseur d'un établissement d'enseignement supérieur :

[TEMPLATE] - Document 4.2

Décharge de responsabilité de l'étudiant

Ce document doit être utilisé comme un préliminaire base pour l'élaboration d'une décharge de responsabilité pour les étudiants afin de faciliter l'engagement de la communauté locale. Veuillez apporter les ajustements nécessaires à votre contexte spécifique et consulter votre équipe juridique avant de diffuser ce document.

Décharge de responsabilité entre [nom de l'établissement d'enseignement supérieur] et [nom de l'étudiant].

---

Date d'entrée en vigueur : [Insérer la date]
Date d'expiration : [Insérer la date ou "indéterminée"]
Conclu entre : [Nom de l'établissement d'enseignement supérieur] (ci-après dénommé "l'EES" ou "l'institution") situé à [adresse de l'EES],

et

[Nom du participant] (ci-après dénommé "le participant") situé à [adresse du participant].

1. BUT

Le présent accord de renonciation et d'exonération de responsabilité a pour objet de dégager l'institution de toute responsabilité en cas de blessures, de dommages ou de pertes pouvant résulter de la participation du participant au programme de séminaires sur la cybersécurité [20XX] de Google.org, organisé par l'institution.

2. RECONNAISSANCE DU RISQUE

2.1. La participation volontaire
Le participant reconnaît que sa participation au programme de séminaires sur la cybersécurité de [20XX] Google.org est entièrement volontaire.

2.2. Prise en charge du risque
Le participant comprend que la participation au programme de séminaires sur la cybersécurité [20XX] de Google.org peut comporter des risques inhérents, y compris, mais sans s'y limiter, [énumérer les risques spécifiques, par exemple, les blessures physiques, les dommages matériels, l'exposition à des conditions dangereuses, etc.] Le participant assume l'entière responsabilité de tout risque de blessure, de maladie, de dommage ou de perte pouvant résulter de sa participation à cette activité.

3. DÉCHARGE DE RESPONSABILITÉ

3.1. Libération générale
Le participant, en son nom propre, au nom de ses héritiers, de ses ayants droit et de ses représentants personnels, renonce à poursuivre l'institution, ses dirigeants, ses employés, ses agents, ses représentants et ses bénévoles (collectivement, "les parties déchargées") et s'engage à ne pas les poursuivre en justice en cas de réclamation, de demande, d'action, de cause d'action ou de responsabilité, de quelque nature que ce soit, résultant de la participation du participant au programme de séminaires sur la cybersécurité [20XX] de Google.org Cybersecurity Seminars Program, y compris, mais sans s'y limiter, toute réclamation pour blessure corporelle, maladie, décès, dommage matériel ou autre perte.

3.2. Décharge spécifique pour négligence
Le participant comprend et accepte spécifiquement que cette décharge inclut toute réclamation fondée sur la négligence, l'action ou l'inaction des parties déchargées, et couvre les dommages corporels (y compris le décès) et matériels, qu'ils aient été subis par le participant avant, pendant ou après sa participation.

4. INDEMNISATION

Le participant accepte d'indemniser, de défendre et de dégager de toute responsabilité les parties déchargées de toute réclamation, responsabilité, dommage, coût ou dépense (y compris les frais d'avocat raisonnables) découlant de ou liés à la participation du participant au programme de séminaires sur la cybersécurité de [20XX] Google.org, y compris, mais sans s'y limiter, les réclamations déposées par des tiers.

5. TRAITEMENT MÉDICAL

5.1. Consentement au traitement médical
En cas de blessure ou d'urgence médicale, le Participant autorise l'Institution à fournir ou à organiser un traitement médical d'urgence s'il le juge nécessaire, aux frais du Participant. Le participant reconnaît que l'institution ne fournit pas d'assurance médicale et qu'il est responsable de tous les frais médicaux encourus.

5.2. Informations médicales
Le participant accepte de fournir à l'institution toute information médicale pertinente susceptible d'affecter sa participation à l'activité, y compris toute allergie, condition ou médication.

6. DROIT APPLICABLE ET JURIDICTION

Le présent accord est régi et interprété conformément aux lois de [insérer la juridiction]. Tout litige découlant du présent accord ou lié à celui-ci sera résolu par les tribunaux de [insérer la juridiction].

7. DIVERS

7.1. Intégralité de l'accord
Le présent accord constitue l'intégralité de l'accord entre les parties concernant l'objet du présent accord et remplace tous les accords et arrangements antérieurs, qu'ils soient écrits ou oraux.

7.2. Divisibilité
Si l'une des dispositions du présent accord est jugée invalide ou inapplicable, les autres dispositions resteront pleinement en vigueur.

7.3. Modification
Le présent accord ne peut être amendé ou modifié que par un écrit signé par les deux parties.

8. RECONNAISSANCE ET ACCEPTATION

En apposant sa signature ci-dessous, le participant reconnaît qu'il a lu et compris le présent accord d'exonération de responsabilité et qu'il accepte d'être lié par ses termes. Le participant confirme également qu'il est majeur et pleinement compétent pour conclure le présent accord ou, s'il est mineur, qu'il a obtenu le consentement d'un parent ou d'un tuteur.

	Rôle (le cas échéant) :	Nom :	Signature :	Date :
Participant :
Parent / tuteur :
Représentant / superviseur d'un établissement d'enseignement supérieur :

[TEMPLATE] - Document 5

Code de conduite de l'élève

Ce document doit être utilisé comme un préliminaire base pour l'élaboration d'un code de conduite de l'étudiant à respecter dans le cadre de son engagement au sein de la communauté locale. Veuillez apporter les ajustements nécessaires à votre contexte spécifique et consulter votre équipe juridique avant de diffuser ce document.

Code de conduite de l'étudiant entre [nom de l'établissement d'enseignement supérieur] et [nom de l'étudiant].

---

Date d'entrée en vigueur : [Insérer la date]
Date d'expiration : [Insérer la date ou "indéterminée"]
Conclu entre : [Nom de l'établissement d'enseignement supérieur] (ci-après dénommé "l'EES") situé à [adresse de l'EES],

et

[Nom de l'élève] (ci-après dénommé "l'étudiant") situé à [adresse de l'étudiant].

INTRODUCTION

Bienvenue au programme de séminaires sur la cybersécurité de [nom de l'université] Google.org. En tant que participant, vous représentez notre université et interagirez avec diverses organisations communautaires locales (OCL). Le présent code de conduite décrit les attentes en matière de comportement et de performance pendant votre participation au programme. Le respect de ce code est obligatoire pour garantir un environnement professionnel, éthique et sûr à toutes les parties concernées.

PROFESSIONNALISME

Respect et intégrité: Traiter toujours avec respect le personnel de LCO, les membres de la communauté, les autres étudiants et le personnel de l'université. Être honnête et respecter les normes d'intégrité les plus élevées dans toutes les interactions.

Ponctualité: Arriver à l'heure pour toutes les missions, que ce soit sur place, à distance ou à l'université. Informez votre superviseur et l'agent de liaison local de tout retard ou changement d'horaire.

Code vestimentaire: Habillez-vous de manière appropriée, en tenant compte de la nature du travail et de l'environnement. En cas de doute, demandez à votre supérieur de vous conseiller sur la tenue à adopter.

Communication: Maintenir une communication claire et professionnelle à tout moment. Répondre rapidement aux courriels, aux messages et aux appels. Utiliser des canaux de communication sécurisés pour discuter d'informations sensibles.

CONFIDENTIALITÉ ET SÉCURITÉ DES DONNÉES

Informations confidentielles: Respectez la confidentialité de toutes les informations auxquelles vous avez accès dans le cadre de votre mission. Ne divulguez aucune information sensible ou exclusive sans autorisation explicite.

Traitement des données: Suivez les meilleures pratiques pour le traitement des données, y compris le cryptage, le stockage sécurisé et l'élimination appropriée des données inutiles. Ne transférez pas les données de l'OCL sur des appareils personnels ou dans des endroits non sécurisés.

Contrôle d'accès: N'accédez qu'aux systèmes, réseaux ou données pour lesquels vous avez reçu une autorisation explicite. Ne partagez pas vos identifiants d'accès avec d'autres personnes.

COMPORTEMENT ÉTHIQUE

Respect des lois et des politiques: Respecter toutes les lois, réglementations et politiques universitaires pertinentes, y compris celles relatives à la cybersécurité, à la protection des données et à la vie privée.

Conflit d'intérêts: Dévoilez tout conflit d'intérêts potentiel à votre supérieur hiérarchique. Évitez les situations où vos intérêts personnels peuvent entrer en conflit avec vos devoirs envers l'OCL ou l'université.

Piratage éthique: Lorsque vous participez à des activités de l'équipe rouge ou à des évaluations de vulnérabilité, assurez-vous que vous disposez d'une autorisation claire et que vous respectez le champ d'application défini. Ne vous engagez pas dans des tests non autorisés ou dans l'exploitation de vulnérabilités.

LA SÉCURITÉ PERSONNELLE

Sécurité sur site: Respectez toutes les consignes de sécurité fournies par le LCO et l'université. Utilisez les équipements de protection individuelle (EPI) nécessaires et soyez attentif à votre environnement. Vous pouvez envisager de garder vos effets personnels en sécurité, à portée de vue, et de ne pas apporter d'objets de valeur inutiles sur le site.

Sécurité de l'engagement à distance: Assurez-vous que votre environnement de travail est sécurisé et que vous utilisez des connexions sécurisées (par exemple, VPN) lorsque vous accédez aux systèmes LCO à distance.

Procédures d'urgence: Se familiariser avec les procédures d'urgence de l'université et du LCO. Savoir comment contacter les services d'urgence et signaler les incidents.

RESPONSABILITÉ ET RAPPORTS

Rapport d'incident: Signalez immédiatement tout incident de sécurité, toute infraction ou tout comportement contraire à l'éthique à votre supérieur hiérarchique ou à la personne de contact appropriée de l'université.

Retour d'information et débriefing: Participer à des sessions de débriefing après les missions pour discuter de votre expérience, fournir un retour d'information et identifier les domaines à améliorer.

Responsabilité: Assumer la responsabilité de ses actes et de leur impact sur le LCO, l'université et la communauté au sens large. S'efforcer de laisser un impact positif et durable.

SANCTIONS DISCIPLINAIRES

Non-conformité: Le non-respect de ce code de conduite peut donner lieu à des mesures disciplinaires, y compris, mais sans s'y limiter, le renvoi du programme de cybersécurité, des sanctions académiques ou un rapport au comité disciplinaire de l'université.

Procédure de recours: Si vous estimez qu'une mesure disciplinaire est injustifiée, vous pouvez faire appel de la décision par le biais de la procédure d'appel établie par l'université.

REMERCIEMENTS

En participant au programme de séminaires sur la cybersécurité de [nom de l'université] Google.org, vous reconnaissez avoir lu et compris le présent code de conduite et vous vous engagez à le respecter. Votre engagement à respecter ces principes est essentiel au succès de la clinique et à la confiance que nous accordent nos partenaires communautaires.

	Rôle (le cas échéant) :	Nom :	Signature :	Date :
Étudiant :
Superviseur :

[TEMPLATE] - Document 6

Meilleures pratiques en matière de protection des appareils et des logiciels

Ce document doit être utilisé comme un préliminaire base pour l'élaboration d'un document sur les meilleures pratiques en matière de protection des dispositifs et des logiciels, en vue d'un engagement communautaire local. Veuillez apporter les ajustements nécessaires à votre contexte spécifique et consulter votre équipe juridique avant de diffuser ce document.

INTRODUCTION

Ce document présente les meilleures pratiques pour protéger les appareils et les logiciels utilisés dans le cadre de l'engagement avec les organisations communautaires locales (OCL). Ces bonnes pratiques couvrent également la protection des données et la sécurité des communications, la suppression et l'élimination des données, la suppression des accès, la réponse aux incidents et l'authentification. Elles visent à atténuer les risques de cyberattaques, de violations de données et d'accès non autorisé aux appareils des étudiants et aux systèmes des OCL et de l'université, et sont essentielles au maintien de la sécurité et de la conformité tout au long du projet. 

PROTECTION DU DISPOSITIF

Enregistrement et inspection des dispositifs

• Journal d'inventaire des appareils:
  L'université doit tenir un registre détaillé de tous les appareils et matériels utilisés pendant la mission, y compris le type d'appareil, le numéro de série et les utilisateurs assignés. Cet inventaire garantit la responsabilité et permet de suivre l'utilisation des appareils.

• Inspection des appareils avant et après leur utilisation :
  Tous les appareils, qu'ils soient personnels ou fournis par l'université ou l'OCL, doivent faire l'objet d'une inspection de sécurité avant et après leur utilisation. Il s'agit notamment de vérifier la présence de logiciels malveillants, de s'assurer que les logiciels sont à jour et de vérifier qu'aucune modification ou installation logicielle non autorisée n'a eu lieu. Les appareils doivent également être analysés pour détecter d'éventuelles vulnérabilités avant d'être retournés ou déconnectés des systèmes de LCO.

Dispositifs personnels et LCO

• Utilisation d'appareils personnels :
  Si des appareils personnels sont utilisés pour accéder aux systèmes de LCO, ils doivent répondre aux normes de sécurité de l'université, telles que la mise à jour des systèmes d'exploitation et la protection antivirus.

• Dispositifs LCO :
  Les dispositifs fournis par les OCL doivent être utilisés dans la mesure du possible, et ils doivent être configurés et corrigés de manière sécurisée avant d'être utilisés.

Sécurité des points finaux

• Antivirus/Anti-Malware :
  Veiller à ce qu'un logiciel antivirus et anti-malware fiable soit installé et régulièrement mis à jour sur tous les appareils utilisés pendant la mission.

• Pare-feu :
  Activez les pare-feu sur tous les appareils pour les protéger contre les accès non autorisés.

Cryptage des appareils

• Cryptage des données :
  Tous les appareils traitant des données sensibles doivent être chiffrés, par exemple par un chiffrement intégral du disque (BitLocker pour Windows, FileVault pour macOS), afin de se protéger contre le vol de données en cas de perte de l'appareil ou d'accès non autorisé.

Sécurité physique

• Contrôle d'accès aux appareils :
  Protégez les appareils à l'aide de mots de passe robustes, d'une authentification biométrique (le cas échéant) ou de codes PIN. Veillez à ce que les appareils se verrouillent automatiquement après une période d'inactivité afin d'empêcher tout accès non autorisé.

• Stockage sécurisé :
  Ranger les appareils dans des endroits sécurisés lorsqu'ils ne sont pas utilisés, en particulier lors de voyages ou de travaux dans des environnements non sécurisés.

PROTECTION DES LOGICIELS

Configuration sécurisée des logiciels

• Permissions minimales :
  Configurer le logiciel pour qu'il suive le principe du moindre privilège, en accordant aux utilisateurs l'accès minimum nécessaire à l'exécution des tâches.

• Authentification logicielle :
  Utiliser l'authentification multi-facteurs (MFA) pour les logiciels qui traitent des informations sensibles, en particulier lors de l'accès à distance aux systèmes LCO.

Mises à jour régulières des logiciels

• Gestion des correctifs :
  Veiller à ce qu'un calendrier de gestion des correctifs soit en place pour mettre régulièrement à jour les systèmes d'exploitation, les applications tierces et les outils de sécurité afin de corriger les vulnérabilités connues.

Utilisation de logiciels approuvés

• Logiciel vérifié :
  N'utilisez que des logiciels approuvés, dont les risques de sécurité ont été vérifiés. Évitez de télécharger ou d'utiliser des logiciels non autorisés, en particulier à partir de sources non fiables.

Logiciels libres

• Open Source Attention :
  Si vous utilisez un logiciel libre, assurez-vous qu'il dispose d'une communauté d'assistance réputée, de mises à jour régulières et d'une surveillance active de la sécurité. Vérifiez régulièrement les vulnérabilités connues dans le référentiel du logiciel.

PROTECTION DES DONNÉES ET SÉCURITÉ DES COMMUNICATIONS

Cryptage des données

• Données en transit :
  Crypter toutes les données transférées entre les appareils et les systèmes LCO à l'aide de méthodes sécurisées, telles qu'un réseau privé virtuel (VPN) ou le cryptage SSL/TLS. Évitez les canaux de communication non cryptés pour les données sensibles.

• Données au repos :
  Veillez à ce que les données sensibles stockées sur les appareils soient cryptées, en particulier lorsque vous utilisez des supports de stockage externes tels que des clés USB ou des disques durs portables.

Outils de communication sécurisés

• Communication cryptée :
  Utilisez des plateformes de communication sécurisées et cryptées pour la collaboration et le partage de données (par exemple, Signal, ProtonMail, Microsoft Teams avec cryptage). Évitez d'utiliser des canaux de communication non sécurisés tels que les applications de messagerie publique ou le courrier électronique ordinaire pour les communications sensibles.

• Accès à distance :
  Lorsqu'ils accèdent à distance aux systèmes de LCO, les étudiants doivent utiliser un réseau privé virtuel (VPN) sécurisé et crypté afin de protéger les canaux de communication d'une éventuelle interception.

Sauvegarde des données

• Sauvegarde régulière :
  Sauvegardez régulièrement les données critiques à l'aide de solutions de sauvegarde sécurisées et cryptées. Stockez les sauvegardes dans un endroit sûr, hors site, et veillez à ce qu'elles puissent être restaurées en cas de perte de données ou de défaillance du système.

SUPPRESSION ET ÉLIMINATION DES DONNÉES

Protocole de suppression des données

• Suppression des données lorsqu'elles ne sont plus nécessaires :
  Une fois que le projet est terminé et que les données ne sont plus nécessaires, toutes les données sensibles doivent être supprimées des appareils en toute sécurité. Il s'agit notamment de supprimer tous les fichiers, documents ou données stockés localement ou sur des périphériques de stockage externes. Veillez à ce que les données supprimées ne puissent pas être récupérées en utilisant des méthodes de suppression sécurisées, telles que des logiciels de destruction de fichiers ou des outils de système d'exploitation qui écrasent les données.

• Politiques de conservation des données :
  Respecter les politiques de conservation des données de l'université et du LCO, en veillant à ce que toutes les données qui doivent être conservées soient stockées en toute sécurité et protégées conformément aux réglementations en vigueur. Cela peut impliquer de se tenir au courant des pratiques et exigences locales et nationales. Toutes les données qui ne sont pas nécessaires à des fins de référence ou de conformité doivent être supprimées.

Élimination sécurisée des données

• Élimination des supports physiques :
  Pour les appareils ou les supports contenant des données sensibles, tels que les disques durs, les clés USB ou d'autres supports de stockage physiques, utilisez des méthodes sûres de destruction des données (par exemple, démagnétisation, destruction physique ou services de déchiquetage certifiés) afin de vous assurer qu'aucune donnée ne peut être récupérée.

• Assainissement des appareils :
  Avant de rendre ou de réutiliser les appareils, assurez-vous qu'ils ont été entièrement nettoyés de toutes les données liées au projet à l'aide d'outils d'effacement de données sécurisés. Cela s'applique à la fois aux appareils personnels et à ceux des OCL utilisés pendant la mission.

SUPPRESSION DE L'ACCÈS

Révoquer l'accès au système

• Suppression de l'accès en temps utile :
  À la fin de la mission, révoquer rapidement tout accès aux systèmes, plateformes et données sensibles de LCO pour les étudiants et les superviseurs. Il s'agit notamment de supprimer les comptes d'utilisateurs, de désactiver les identifiants de connexion et de désactiver les outils d'accès à distance.

• Audit du système :
  Effectuer un audit final de tous les comptes et autorisations liés à la mission. S'assurer qu'aucun accès résiduel ne subsiste pour un utilisateur ou un appareil associé au projet.

Révoquer les licences de logiciels

• Désactiver les licences :
  Si des logiciels sous licence ont été mis à la disposition des étudiants ou des LCO pour la mission, s'assurer que ces licences sont correctement désactivées ou renvoyées à la fin du projet. Confirmez auprès des parties concernées qu'aucun accès non autorisé aux logiciels sous licence n'est maintenu.

LA NOTIFICATION ET LA RÉPONSE AUX INCIDENTS

Surveillance et détection des incidents

• Surveiller les activités suspectes :
  Surveiller en permanence les appareils pour détecter les signes d'activité suspecte, tels que les tentatives d'accès non autorisé ou les modifications inattendues des logiciels et des paramètres.

Signaler les incidents de sécurité

• Rapport immédiat :
  Signalez immédiatement à l'OCL et aux superviseurs de l'université tout incident de sécurité, tel que la perte ou le vol d'appareils, l'accès non autorisé ou les violations présumées. Une documentation appropriée et une réponse rapide sont essentielles pour minimiser les dommages.

Plan de réponse aux incidents

• Activer le plan de crise :
  En cas de violation ou d'incident de sécurité important, activer le plan de réponse à la crise élaboré au cours de la phase de planification. Prendre des mesures immédiates pour contenir le problème, protéger les données critiques et rétablir la sécurité du système.

AUTHENTIFICATION

Mots de passe

• Complexité du mot de passe :
  Veillez à ce que les mots de passe soient solides, composés d'au moins 12 caractères et comprenant un mélange de lettres majuscules et minuscules, de chiffres et de symboles. Évitez d'utiliser des informations faciles à deviner, comme des noms ou des mots courants.

• Utilisation de gestionnaires de mots de passe :
  Utilisez un gestionnaire de mots de passe réputé pour générer et stocker en toute sécurité des mots de passe complexes. Évitez de stocker des mots de passe dans des fichiers non sécurisés ou de réutiliser le même mot de passe pour plusieurs comptes.

• Biométrie :
  Utiliser des méthodes d'authentification biométriques lorsqu'elles sont disponibles, à condition que ces méthodes protègent de manière appropriée la confidentialité des données biométriques utilisées.

Authentification multifactorielle (MFA)

• Activer l'AMF :
  Activez le MFA sur tous les comptes et systèmes qui traitent des informations sensibles afin d'ajouter une couche de protection supplémentaire au-delà des mots de passe.

À propos du programme de séminaires sur la cybersécurité de Google.org

Le programme Google.org Cybersecurity Seminars (séminaires sur la cybersécurité) soutient des séminaires sur la cybersécurité dans les domaines suivants

des universités sélectionnées et d'autres établissements d'enseignement supérieur éligibles en Europe, au Moyen-Orient et en Afrique, afin d'aider les étudiants à en savoir plus sur la cybersécurité et à explorer les possibilités de carrière dans ce domaine.

Le programme soutient activement l'expansion de la formation en cybersécurité dans les universités, afin de constituer la main-d'œuvre diversifiée nécessaire pour aider les organisations les plus vulnérables à prévenir les cyberattaques potentielles. Il aborde également les nouveaux risques liés à l'intelligence artificielle (IA), en permettant aux étudiants de comprendre les changements liés à l'IA dans le paysage des cybermenaces et en les aidant à intégrer efficacement l'IA dans des mesures pratiques de cybersécurité.

Les universités participantes doivent promouvoir activement l'égalité, la diversité et l'inclusion dans leurs programmes. Elles doivent encourager la participation active de personnes d'origines diverses et créer un environnement éducatif ouvert à tous, afin d'enrichir l'expérience d'apprentissage globale et de renforcer la communauté de la cybersécurité.