02
Bloc 2 — Piloter la sécurité de l'infrastructure informatique
RNCP 38823 · Expert en Architectures Systèmes, Réseaux et Sécurité Informatique · Niveau 7
Compétences visées
Ce bloc évalue la capacité à conduire une analyse de risques sur un système d'information complexe, à identifier les sources de menace, à élaborer des scénarios d'attaque stratégiques et opérationnels, et à proposer un plan de traitement des risques conforme aux référentiels (EBIOS RM, ISO 27001, ANSSI).
La maîtrise des 5 ateliers EBIOS Risk Manager — cadrage, sources de risque, scénarios stratégiques, scénarios opérationnels et traitement — est au cœur de l'évaluation.
Ce que ce TP évalue
Le TP KuberDocker couvre l'ensemble du périmètre BC02 : identification des valeurs métier et biens supports, analyse des parties prenantes et de leur niveau de menace, construction de scénarios d'attaque réalistes à partir d'incidents réels vécus par l'entreprise, et définition de mesures de sécurité adaptées au contexte d'un groupe international.
Le contexte riche — rançongiciels, espionnage industriel, attaques logistiques, dette de sécurité chez les partenaires — offre un terrain d'analyse concret et représentatif des situations professionnelles réelles.
Progression dans la Méthode EBIOS Risk Manager
Socle de sécurité
de risque
stratégiques
opérationnels
du risque
EBIOS Risk Manager est la méthode de référence de l'ANSSI pour l'appréciation et le traitement des risques numériques. Elle repose sur une approche par scénarios combinant une vision stratégique (écosystème, sources de risque, chemins d'attaque) et une vision opérationnelle (modes opératoires techniques). Tous vos livrables doivent être cohérents entre les ateliers — les sources de risque identifiées en A2 alimentent directement les scénarios A3 et A4.
Contexte — KuberDocker SAS
Historique & Activités
Fondée en 1960 à Cherbourg comme transporteur maritime en Basse-Normandie, KuberDocker a progressivement étendu ses activités à l'échelle internationale. Dans les années 2000, un partenariat avec AmsterdamSea ouvre des liaisons vers Shanghai et Amsterdam. En 2020, l'héritier du fondateur acquiert une start-up de livraison par drones et diversifie l'activité vers la gestion de flux par conteneurs avec traçabilité GPS et satellitaire.
Le CA de 100 M€ se répartit sur trois activités : Logistique (+10%/an), Stockage (+5%/an), Expédition (−15%/an en raison de la hausse des coûts énergétiques).
Situation Sécurité SI
Le RSSI évalue le niveau de maturité cyber à 2/5 (ANSSI) et la conformité PSSI à 80% en moyenne. Un projet de certification ISO 27001 est en cours pour les activités stratégiques. L'hébergement est assuré par CloudServices (cloud) et quelques serveurs en interne à Dunkerque. L'infogérant ITservices assure le support 24h/24.
Points critiques : aucune sensibilisation cybersécurité pour les équipes commerciales et administrateurs plateforme, mises à jour non prioritaires chez ITservices, partenaires avec des niveaux de sécurité hétérogènes.
Niveau de maturité cyber par direction métier
Incidents de sécurité vécus par KuberDocker
🔒 Rançongiciel — Siège de Dunkerque
Blocage total du SI du siège. Retards majeurs sur le projet drone. Application d'attribution conteneur/porte-conteneur indisponible. Rétabli en 12 jours avec l'aide d'un cabinet cyber. Manque à gagner : >20% du CA annuel. Attaque ciblée : la rançon mentionnait nommément le dirigeant.
📦 Attaque du système logistique
Accès à toutes les informations logistiques par rebond jusqu'à la R&D. Données confidentielles dupliquées et modifiées. Rétablissement en 2 mois. Erreurs douanières consécutives : amendes représentant 25% des recettes trimestrielles de la Direction Expéditions.
🕵️ Espionnage industriel
Départ de 3 commerciaux. Informations confidentielles R&D transmises à des concurrents. Contrats annulés sans explication. Transactions disparues du SI. Sauvegardes incomplètes lors de la tentative de restauration. Responsables non identifiés.
⚠️ Scénario catastrophe identifié
Blocage de la plateforme de livraison (commandes + facturation) = menace existentielle au-delà de 2 semaines d'interruption. Une attaque massive sur le système logistique a nécessité 3 ans pour retrouver le CA initial. KuberDocker a atteint la limite de sa capacité financière.
Atelier 1 — Cadrage & Socle de Sécurité
| Dénomination de la Valeur Métier | Nature (processus / information) | Description | Propriétaire (interne / externe) |
|---|---|---|---|
| Dénomination du / des biens supports associés | Description | Propriétaire (interne / externe) |
|---|---|---|
| Valeur métier | Événement redouté | Catégories d'impact | Gravité (1-4) |
|---|---|---|---|
| Code | Catégorie d'impact |
|---|---|
| I1 | Impacts sur les missions et services (disponibilité, continuité) |
| I2 | Impacts sur la sécurité des personnes |
| I3 | Impacts sur les relations avec des tiers (clients, partenaires) |
| I4 | Impacts financiers |
| I5 | Impacts sur l'image et la réputation |
| I6 | Impacts juridiques et réglementaires |
| I7 | Impacts sur la R&D et la propriété intellectuelle |
| Niveau | Qualification | Description |
|---|---|---|
| 4 | Critique | Mise en péril de la pérennité de KuberDocker (dépôt de bilan) |
| 3 | Grave | Impact majeur sur le CA, image dégradée durablement |
| 2 | Significatif | Perturbation sérieuse des activités, pénalités contractuelles |
| 1 | Mineur | Gêne limitée, impacts absorbés sans conséquence durable |
| Référentiel / Règle applicable à KuberDocker | Oui | Non |
|---|---|---|
| Politique de sécurité (PSSI) de l'organisation | ||
| Règlement européen de protection des données (RGPD) | ||
| Guide d'hygiène informatique (ANSSI) | ||
| Annexe A de l'ISO 27001 | ||
| ISO 22301 — Continuité d'activité | ||
| Référentiel Général de Sécurité (RGS) | ||
| Code de la santé publique | ||
| Instruction générale interministérielle 1300 (IGI 1300) |
Atelier 2 — Sources de Risque
Internes (Kuberdocker)
Personnel DSI · Administrateurs systèmes (Dunkerque) · Commerciaux · R&D (drones) · Gestionnaires applicatifs
Confiance élevéeITservices — Infogérant
Support 24h/24 · Maintenance SI · Procédures non appliquées · Mises à jour non prioritaires · Rapports infidèles
Maturité faibleCloudServices — Hébergeur
Quasi-totalité des serveurs SI · Certifié HDS (santé) · Refuse implication dans la sécurité · Clause audit non applicable
Dépendance forteLogisupport — Sous-traitant logistique
Plateforme Expéditions (SaaS) · Politique sécurité non finalisée · RTO = 7h · Personnel non formé cyber
Maturité faibleAllSea — Partenaire fret maritime
Mini-serveurs embarqués sur navires · Conformité guide navires <40% · Rotation du personnel (50%) · Maintenance curative seulement
Pénétration forteInfoServices — Tiers mainteneur
Applications financières et comptables · PAS transmis · Clause audit en discussion · Liste mainteneurs non fournie
Pénétration forteSecurvigi — Sécurité physique
Vidéosurveillance · Sous-traite le gardiennage local · Niveaux variables selon les pays · Systèmes pas toujours opérationnels
Dépendance moyenneAnciens commerciaux
Départ de 3 commerciaux → fuite de secrets R&D vers concurrents. Transactions effacées. Sauvegardes incomplètes. Responsables non identifiés.
Menace confirmée| Source de Risque | Objectif Visé | Motivation | Ressources | Pertinence (1-4) |
|---|---|---|---|---|
| Niveau | Pertinence | Signification |
|---|---|---|
| 4 | Très forte | SR clairement identifiée, OV aligné avec ses intérêts, moyens disponibles confirmés |
| 3 | Forte | SR probablement motivée, OV cohérent, moyens vraisemblables |
| 2 | Modérée | Incertitude sur la motivation ou les moyens |
| 1 | Faible | SR peu susceptible de viser cet objectif sur KuberDocker |
| Catégorie | Nom | Dépendance (1-4) | Pénétration (1-4) | Maturité cyber (1-4) | Confiance (1-4) | Niveau de menace |
|---|---|---|---|---|---|---|
| Critère | Définition pour KuberDocker |
|---|---|
| Dépendance | Degré auquel KuberDocker dépend de cette PP pour ses opérations critiques |
| Pénétration | Niveau d'accès de la PP aux SI et données de KuberDocker |
| Maturité cyber | Niveau de maturité cyber de la PP (inversé : 4 = très faible maturité = menace élevée) |
| Confiance | Niveau de confiance accordé à la PP (inversé : 4 = très faible confiance) |
| Niveau menace | Seuil | Action |
|---|---|---|
| Élevé | Score ≥ 3 | Mesures de sécurité spécifiques obligatoires |
| Moyen | Score 2 | Surveillance et mesures renforcées |
| Faible | Score 1 | Mesures standard suffisantes |
Atelier 3 — Scénarios Stratégiques
| Source de risque | → | Écosystème (parties prenantes impliquées) | → | KuberDocker (valeur métier ciblée) |
|---|---|---|---|---|
| → | → | |||
| → | → | |||
| → | → |
| Partie prenante | Chemin d'attaque stratégique | Mesures de sécurité proposées | Menace initiale | Menace résiduelle |
|---|---|---|---|---|
| Sources de risque | Objectifs visés | Chemins d'attaque stratégiques | Gravité (1-4) |
|---|---|---|---|
Atelier 4 — Scénarios Opérationnels
| CONNAITRE Reconnaissance & OSINT |
→ | RENTRER Intrusion initiale |
→ | TROUVER Déplacement latéral |
→ | EXPLOITER Impact final |
|---|---|---|---|---|---|---|
| → | → | → | ||||
| → | → | → |
| Chemins d'attaque opérationnels retenus | Vraisemblance (1-4) |
|---|---|
| Niveau | Qualification | Critères pour KuberDocker |
|---|---|---|
| 4 | Très probable | Faille connue et non corrigée, mode opératoire déjà observé (ex : rançongiciel via ITservices) |
| 3 | Probable | Conditions favorables, failles partiellement corrigées, vecteur documenté |
| 2 | Peu probable | Mesures partielles en place, attaquant nécessite des ressources importantes |
| 1 | Très peu probable | Mesures efficaces, attaquant dissuadé ou sans capacité technique suffisante |
Atelier 5 — Traitement du Risque
| Gravité ↓ / Vrais. → | 1 | 2 | 3 | 4 |
|---|---|---|---|---|
| 4 | ||||
| 3 | ||||
| 2 | ||||
| 1 |
| Gravité ↓ / Vrais. → | 1 | 2 | 3 | 4 |
|---|---|---|---|---|
| 4 | ||||
| 3 | ||||
| 2 | ||||
| 1 |
| Risque identifié | Stratégie (R/T/A/Rf) | Mesures de traitement | Responsable | Échéance | Gravité résid. | Vrais. résid. |
|---|---|---|---|---|---|---|
- Conformité obligatoire à un référentiel (ANSSI, ISO 27001, ISO 22301) pour tous les fournisseurs
- Service de réponse aux incidents avec délai d'alerte max. 1 heure
- Dispositif de continuité d'activité testé annuellement
- Clause d'audit cybersécurité dans tous les contrats fournisseurs
- Segmentation des données R&D (drones) des données logistiques courantes
- Sensibilisation cybersécurité obligatoire pour tout le personnel interne
Barème d'Évaluation — BC02 · RNCP 38823
| Atelier | Compétences évaluées | Critères de qualité | Points |
|---|---|---|---|
| A1 — Cadrage | Identification des valeurs métier, biens supports, événements redoutés, socle de sécurité | Exhaustivité, pertinence des valeurs métier, cohérence avec le contexte KuberDocker | 20 pts |
| A2 — Sources de risque | Identification SR/OV, évaluation pertinence, analyse parties prenantes, niveaux de menace | Justification des niveaux, exploitation des éléments contextuels (incidents, partenaires) | 25 pts |
| A3 — Scénarios stratégiques | Construction des chemins d'attaque stratégiques, mesures écosystème, gravité | Cohérence SR/PP/OV, réalisme des chemins, pertinence des mesures proposées | 20 pts |
| A4 — Scénarios opérationnels | Description des modes opératoires CONNAITRE/RENTRER/TROUVER/EXPLOITER, vraisemblance | Réalisme technique, lien avec les failles identifiées, cohérence avec A3 | 20 pts |
| A5 — Traitement | Cartographie des risques, plan de traitement, stratégies, risques résiduels | Cohérence Gravité×Vraisemblance, faisabilité des mesures, prise en compte des nouvelles exigences KuberDocker | 15 pts |
- Trame papier complétée (tous les tableaux des 5 ateliers)
- Argumentation écrite pour les choix clés (SR pertinentes, chemins d'attaque)
- Cohérence entre les 5 ateliers : les éléments d'A1 alimentent A2, A2 alimente A3, etc.
- Soutenance orale : présentation de la démarche + défense des choix (15 min)
- Tableaux vides ou non contextualisés → note plafonnée à 8/20
- Incohérence flagrante entre ateliers (SR en A2 absente en A3) → −5 pts
- Plan de traitement ignorant les nouvelles exigences KuberDocker → −5 pts
- Confusion entre scénario stratégique et opérationnel → −3 pts par erreur