📋 Séance 2 — Analyse de risques EBIOS et procédures sécurité

Bloc B2 Module M2.3 C2.3.1 BTS SIO SISR 3h30

Cours	C2.3.1 — Politique de sécurité réseau (7h)
Module	M2.3 — Sécurité des infrastructures réseau
Compétence	B2.1 / Lien B3.4
Durée séance	3h30
Formation	BTS SIO option SISR — IRIS Mediaschool

🎯 Objectifs pédagogiques

Maîtriser une approche simplifiée d'analyse de risques basée sur EBIOS RM.
Savoir modéliser des scénarios de risque, évaluer la criticité (vraisemblance × impact) et prioriser un plan de traitement.
Savoir rédiger des procédures opérationnelles clefs : charte informatique, gestion des incidents, gestion des accès, politique mots de passe.
Savoir définir des indicateurs (KPI) pour un tableau de bord sécurité.

⚡ Accroche (10 min)

💡 Cas réel

En 2022, la CNIL a infligé une amende de 50 000 € à une PME française pour absence de documentation PSI et d'analyse des risques. Cet exemple met en évidence l'obligation juridique et les risques financiers d'une gouvernance de sécurité insuffisante.

🗓️ Déroulé de la séance (3h30)

Horaire	Contenu
00:00–00:10	Rappel et accroche
00:10–01:00	Présentation d'EBIOS RM (vue d'ensemble) et du socle de sécurité
01:00–01:40	Étape 2 (sources de risque) et 3 (événements redoutés)
01:40–02:20	Étape 4 (scénarios stratégiques)
02:20–03:00	Étape 5 (traitement des risques) et méthode de priorisation
03:00–03:30	Procédures clés et tableau de bord KPI

📖 Méthode EBIOS RM (version simplifiée)

EBIOS Risk Manager (EBIOS RM) est la méthode de référence de l'ANSSI pour l'analyse et le traitement des risques en cybersécurité. La démarche structurée comprend 5 étapes.

Step 1 — Socle de sécurité

Définir les mesures de base : pare-feu, segmentation, sauvegardes, contrôle d'accès, chiffrement, journaux. Le socle sert de référence pour estimer la réduction de risque apportée par les mesures existantes.

Step 2 — Sources de risque

Lister les acteurs et sources susceptibles de porter atteinte au SI :

Cybercriminels externes
Employés malveillants (menace interne)
Erreurs humaines (inadvertance, maladresse)
Partenaires tiers (fournisseurs, prestataires)
Défaillances techniques (pannes matérielles, bogues logiciels)

Step 3 — Événements redoutés

Identifier ce qui ne doit pas arriver. Exemples :

Compromission des données RH
Indisponibilité du SI de production
Ransomware chiffrant le NAS
Fuite de propriété intellectuelle

Step 4 — Scénarios stratégiques

Décrire comment une source de risque peut aboutir à un événement redouté via une chaîne d'attaques. Exemple :

Phishing → credential theft → accès NAS → chiffrement données

Step 5 — Traitement des risques

Pour chaque scénario, choisir une option de traitement :

Option	Description
Accepter	Le risque est jugé acceptable en l'état (faible criticité)
Réduire	Mettre en place des mesures techniques et/ou organisationnelles
Transférer	Reporter le risque vers un tiers (ex : souscription d'une assurance cyber)
Éviter	Supprimer l'activité ou le processus à l'origine du risque

📊 Évaluation de la criticité

Chaque scénario est évalué selon deux axes :

Vraisemblance (V) : de 1 (rare) à 4 (très probable)
Impact (I) : de 1 (mineur) à 4 (critique)

Criticité = V × I

Valeur comprise entre 1 et 16 — prioriser les scénarios par criticité décroissante.

🔍 Exemple d'application — Ransomware sur serveur de fichiers

Élément	Valeur
Source	Cybercriminel via email de phishing
Événement redouté	Chiffrement des données de production
Vraisemblance (V)	3
Impact (I)	4
Criticité	12 / 16

Traitement proposé

Mesures correctives : segmentation du réseau, sauvegardes isolées et testées, solution EDR, mise à jour régulière des serveurs, formation anti-phishing.
Responsable : Administrateur systèmes / RSSI
Délai : Prioritaire — 3 mois
Indicateurs : % de sauvegardes validées, nombre d'incidents ransomware par mois

📋 Plan de traitement des risques — Modèle

ID scénario	Description	Criticité (V×I)	Mesure(s) proposées	Responsable	Délai cible	KPI / Indicateur
SC-01	Ransomware sur serveur de fichiers	12	Segmentation, EDR, sauvegardes isolées	Admin / RSSI	3 mois	% sauvegardes validées
SC-0X	(à compléter selon contexte)	—	—	—	—	—

📝 Rédaction de procédures

1) Charte informatique

Document d'une page — modèle

Objet : rappeler les règles d'usage des ressources informatiques.
Principaux points : usage acceptable, confidentialité des données, obligations de signalement, interdiction du contournement des mesures de sécurité, sanctions.
Signature : salarié + mention de lecture lors de l'entrée en poste.

2) Procédure de gestion des incidents

Cycle de traitement d'un incident de sécurité :

Détection → Alerte RSSI/DSI → Évaluation impact → Confinement
→ Éradication → Restauration → Post-mortem & rapport

Enregistrements : journaux d'incident, actions réalisées, personnes contactées, durée de l'incident.
Communication : flux vers la direction, DPO si données personnelles affectées, communication externe encadrée.

3) Procédure de gestion des accès

Principe : moindre privilège et séparation des rôles.
Processus : demande d'accès formalisée → approbation → création du compte → revue périodique des droits (au moins trimestrielle) → suppression à la sortie.

4) Politique mots de passe

Longueur minimale 12 caractères ou utilisation d'un gestionnaire de mots de passe.
Complexité recommandée + rotation contextuelle (pas de rotation forcée périodique sans raison).
MFA obligatoire sur les accès sensibles.
Interdiction du partage de mots de passe, stockage chiffré pour les secrets.

📊 Tableau de bord sécurité — KPI recommandés

KPI	Description
Nombre d'incidents / mois	Par catégorie (phishing, malware, accès non autorisé…)
Taux de patchs à jour	% de serveurs et postes critiques avec patchs OS/applicatifs appliqués
Violations politique mots de passe	Nombre de partages ou comptes non conformes détectés
MTTD	Mean Time To Detect — temps moyen de détection d'un incident
MTTR	Mean Time To Resolve — temps moyen de résolution d'un incident
% sauvegardes valides	Ratio de sauvegardes testées et restaurables avec succès

💻 Travail Pratique — TP S2

Objectif : réaliser une analyse de risques EBIOS RM simplifiée pour InnovatTech et produire un plan de traitement priorisé + une charte informatique d'une page.

Scénarios à traiter (obligatoires)

Ransomware affectant le serveur de fichiers / NAS
Campagne de phishing aboutissant à la compromission d'identifiants
Accès non autorisé au NAS (authentification compromise)
Perte / vol d'un poste mobile contenant des données sensibles (non chiffrées)
Single Point Of Failure (SPOF) sur le réseau (switch ou routeur critique)

Consignes

Pour chaque scénario : décrire la source, la chaîne d'attaque, l'événement redouté, V, I, la criticité, les mesures proposées et une estimation coût/effort.
Produire un plan de traitement priorisé (tableau).
Rédiger une charte informatique d'une page (format PDF ou Word).
Durée : restitution en TD à la séance suivante.

Critères d'évaluation

Pertinence et complétude des scénarios.
Qualité de l'analyse V×I et justification.
Réalisme et priorisation du plan de traitement.
Qualité rédactionnelle de la charte informatique.

📚 Ressources et supports

Guides EBIOS RM (ANSSI) — ssi.gouv.fr
Supports et recommandations CNIL
Modèles de procédures et charte fournis par l'enseignant

✅ Fin de séance — consignes

Rendre le rapport EBIOS RM et la charte d'une page. Préparer une courte présentation orale (5 min) par groupe présentant le scénario le plus critique et les mesures proposées.

📝 Quiz — Auto-évaluation (5 questions)

← C2.3.1 Séance 1 — PSI et ISO 27001 C2.3.2 Séance 1 — IDS/IPS et Snort →