Expert en Architectures Systèmes, Réseaux et Sécurité Informatique · RNCP 38823 · Bloc 2 · UE3 Cybersécurité ·
PROJET 2
TP EBIOS Risk Manager · Étude de cas réelle

Analyse de Risques
KuberDocker — EBIOS RM

Vous êtes RSSI mandaté par KuberDocker, groupe international de logistique maritime et de livraison par drones, pour conduire une analyse de risques complète selon la méthode EBIOS Risk Manager en 5 ateliers. Ce TP couvre l'intégralité du Bloc 2 du RNCP 38823 — piloter la sécurité de l'infrastructure informatique.

5 ateliers
Méthode EBIOS RM
100 M€
CA Kuberdocker
Niveau 2
Maturité cyber ANSSI
ISO 27001
Certification en cours
RNCP 38823 · BC02 — Piloter la sécurité de l'infrastructure · TP EBIOS RM — KuberDocker

Bloc 2 — Piloter la sécurité de l'infrastructure informatique

RNCP 38823 · Expert en Architectures Systèmes, Réseaux et Sécurité Informatique · Niveau 7

Compétences visées

Ce bloc évalue la capacité à conduire une analyse de risques sur un système d'information complexe, à identifier les sources de menace, à élaborer des scénarios d'attaque stratégiques et opérationnels, et à proposer un plan de traitement des risques conforme aux référentiels (EBIOS RM, ISO 27001, ANSSI).

La maîtrise des 5 ateliers EBIOS Risk Manager — cadrage, sources de risque, scénarios stratégiques, scénarios opérationnels et traitement — est au cœur de l'évaluation.

Ce que ce TP évalue

Le TP KuberDocker couvre l'ensemble du périmètre BC02 : identification des valeurs métier et biens supports, analyse des parties prenantes et de leur niveau de menace, construction de scénarios d'attaque réalistes à partir d'incidents réels vécus par l'entreprise, et définition de mesures de sécurité adaptées au contexte d'un groupe international.

Le contexte riche — rançongiciels, espionnage industriel, attaques logistiques, dette de sécurité chez les partenaires — offre un terrain d'analyse concret et représentatif des situations professionnelles réelles.

EBIOS RM
Méthode ANSSI
ISO 27001
Référentiel cible
PSSI
Conformité 80%
5 Ateliers
Analyse complète

Progression dans la Méthode EBIOS Risk Manager

5 ateliers séquentiels · Vous êtes ici : tous les ateliers
1
Cadrage &
Socle de sécurité
2
Sources
de risque
3
Scénarios
stratégiques
4
Scénarios
opérationnels
5
Traitement
du risque
Rappel méthodologique EBIOS RM

EBIOS Risk Manager est la méthode de référence de l'ANSSI pour l'appréciation et le traitement des risques numériques. Elle repose sur une approche par scénarios combinant une vision stratégique (écosystème, sources de risque, chemins d'attaque) et une vision opérationnelle (modes opératoires techniques). Tous vos livrables doivent être cohérents entre les ateliers — les sources de risque identifiées en A2 alimentent directement les scénarios A3 et A4.

🏭

Contexte — KuberDocker SAS

Groupe international · Logistique maritime · Livraison par drones · Cherbourg

Historique & Activités

Fondée en 1960 à Cherbourg comme transporteur maritime en Basse-Normandie, KuberDocker a progressivement étendu ses activités à l'échelle internationale. Dans les années 2000, un partenariat avec AmsterdamSea ouvre des liaisons vers Shanghai et Amsterdam. En 2020, l'héritier du fondateur acquiert une start-up de livraison par drones et diversifie l'activité vers la gestion de flux par conteneurs avec traçabilité GPS et satellitaire.

Le CA de 100 M€ se répartit sur trois activités : Logistique (+10%/an), Stockage (+5%/an), Expédition (−15%/an en raison de la hausse des coûts énergétiques).

Situation Sécurité SI

Le RSSI évalue le niveau de maturité cyber à 2/5 (ANSSI) et la conformité PSSI à 80% en moyenne. Un projet de certification ISO 27001 est en cours pour les activités stratégiques. L'hébergement est assuré par CloudServices (cloud) et quelques serveurs en interne à Dunkerque. L'infogérant ITservices assure le support 24h/24.

Points critiques : aucune sensibilisation cybersécurité pour les équipes commerciales et administrateurs plateforme, mises à jour non prioritaires chez ITservices, partenaires avec des niveaux de sécurité hétérogènes.

Répartition des valeurs métier par site
Cherbourg (siège) — 35 / 100
Amsterdam — 25 / 100
Marseille — 15 / 100
Autres sites — 25 / 100

Niveau de maturité cyber par direction métier

R&D
10%
Niv. 2
En cours
Expéditions
50%
Niv. 2
2 actions restantes
Logistique
70%
Niv. 3
En cours
Commercial
60%
Niv. 3
Arbitrage à effectuer
Juridique
80%
Niv. 2
En cours
DSI
80%
Niv. 2
En cours
DAF
80%
Niv. 3
En cours
DRH
80%
Niv. 2
En cours

Incidents de sécurité vécus par KuberDocker

🔒 Rançongiciel — Siège de Dunkerque

Blocage total du SI du siège. Retards majeurs sur le projet drone. Application d'attribution conteneur/porte-conteneur indisponible. Rétabli en 12 jours avec l'aide d'un cabinet cyber. Manque à gagner : >20% du CA annuel. Attaque ciblée : la rançon mentionnait nommément le dirigeant.

📦 Attaque du système logistique

Accès à toutes les informations logistiques par rebond jusqu'à la R&D. Données confidentielles dupliquées et modifiées. Rétablissement en 2 mois. Erreurs douanières consécutives : amendes représentant 25% des recettes trimestrielles de la Direction Expéditions.

🕵️ Espionnage industriel

Départ de 3 commerciaux. Informations confidentielles R&D transmises à des concurrents. Contrats annulés sans explication. Transactions disparues du SI. Sauvegardes incomplètes lors de la tentative de restauration. Responsables non identifiés.

⚠️ Scénario catastrophe identifié

Blocage de la plateforme de livraison (commandes + facturation) = menace existentielle au-delà de 2 semaines d'interruption. Une attaque massive sur le système logistique a nécessité 3 ans pour retrouver le CA initial. KuberDocker a atteint la limite de sa capacité financière.

1

Atelier 1 — Cadrage & Socle de Sécurité

Valeurs métier · Biens supports · Événements redoutés · Référentiels
ATELIER 1

Objectif : définir le périmètre et les fondamentaux

Cet atelier pose les bases de l'analyse. Vous identifiez les valeurs métier (processus et informations critiques pour KuberDocker), leurs biens supports associés (SI, équipements, services), les événements redoutés (ce que KuberDocker craint le plus), et vous déterminez le socle de sécurité applicable (référentiels, PSSI, ANSSI, RGPD...).

Exercice 1.1 — Définir le périmètre métier et technique
Identifiez les valeurs métier (processus ou informations) de KuberDocker et leurs biens supports associés. S'appuyer sur les 6 sections du contexte. Exemple de valeur métier : "Plateforme de réservation et facturation".
Dénomination de la Valeur Métier Nature (processus / information) Description Propriétaire (interne / externe)
Dénomination du / des biens supports associés Description Propriétaire (interne / externe)
Exercice 1.2 — Identifier les événements redoutés
Note : les tableaux d'impacts et de gravité se trouvent page suivante. Pour chaque valeur métier, identifiez l'événement redouté (atteinte à la disponibilité, confidentialité, intégrité), ses catégories d'impact et sa gravité (1 à 4). S'appuyer sur les incidents vécus et le scénario catastrophe identifié par la direction.
Valeur métier Événement redouté Catégories d'impact Gravité (1-4)
Liste des impacts potentiels
CodeCatégorie d'impact
I1Impacts sur les missions et services (disponibilité, continuité)
I2Impacts sur la sécurité des personnes
I3Impacts sur les relations avec des tiers (clients, partenaires)
I4Impacts financiers
I5Impacts sur l'image et la réputation
I6Impacts juridiques et réglementaires
I7Impacts sur la R&D et la propriété intellectuelle
Échelle de gravité
NiveauQualificationDescription
4CritiqueMise en péril de la pérennité de KuberDocker (dépôt de bilan)
3GraveImpact majeur sur le CA, image dégradée durablement
2SignificatifPerturbation sérieuse des activités, pénalités contractuelles
1MineurGêne limitée, impacts absorbés sans conséquence durable
Exercice 1.3 — Déterminer le socle de sécurité
Cochez les référentiels applicables à KuberDocker en vous appuyant sur son contexte (groupe international, données clients, projet ISO 27001 en cours, hygiène ANSSI mentionnée...).
Référentiel / Règle applicable à KuberDocker Oui Non
Politique de sécurité (PSSI) de l'organisation
Règlement européen de protection des données (RGPD)
Guide d'hygiène informatique (ANSSI)
Annexe A de l'ISO 27001
ISO 22301 — Continuité d'activité
Référentiel Général de Sécurité (RGS)
Code de la santé publique
Instruction générale interministérielle 1300 (IGI 1300)
2

Atelier 2 — Sources de Risque

Sources de risque · Objectifs visés · Pertinence des couples SR/OV · Parties prenantes
ATELIER 2

Objectif : identifier qui veut faire quoi à KuberDocker

Cet atelier identifie les sources de risque (qui attaque : cybercriminels, concurrents, insiders, États...), leurs objectifs visés (quoi : espionnage, sabotage, rançon, fraude...) et évalue la pertinence de chaque couple SR/OV. Il analyse également les parties prenantes de l'écosystème et leur niveau de menace pour KuberDocker.

Rappel — Parties prenantes de l'écosystème KuberDocker
Internes (Kuberdocker)

Personnel DSI · Administrateurs systèmes (Dunkerque) · Commerciaux · R&D (drones) · Gestionnaires applicatifs

Confiance élevée
ITservices — Infogérant

Support 24h/24 · Maintenance SI · Procédures non appliquées · Mises à jour non prioritaires · Rapports infidèles

Maturité faible
CloudServices — Hébergeur

Quasi-totalité des serveurs SI · Certifié HDS (santé) · Refuse implication dans la sécurité · Clause audit non applicable

Dépendance forte
Logisupport — Sous-traitant logistique

Plateforme Expéditions (SaaS) · Politique sécurité non finalisée · RTO = 7h · Personnel non formé cyber

Maturité faible
AllSea — Partenaire fret maritime

Mini-serveurs embarqués sur navires · Conformité guide navires <40% · Rotation du personnel (50%) · Maintenance curative seulement

Pénétration forte
InfoServices — Tiers mainteneur

Applications financières et comptables · PAS transmis · Clause audit en discussion · Liste mainteneurs non fournie

Pénétration forte
Securvigi — Sécurité physique

Vidéosurveillance · Sous-traite le gardiennage local · Niveaux variables selon les pays · Systèmes pas toujours opérationnels

Dépendance moyenne
Anciens commerciaux

Départ de 3 commerciaux → fuite de secrets R&D vers concurrents. Transactions effacées. Sauvegardes incomplètes. Responsables non identifiés.

Menace confirmée
Exercice 2.1 — Identifier les sources de risque et objectifs visés
Note : le tableau d'évaluation des couples SR/OV se trouve page suivante. Pour chaque couple, évaluez la motivation, les ressources nécessaires et la pertinence (1 à 4).
Source de Risque Objectif Visé Motivation Ressources Pertinence (1-4)
Tableau d'évaluation de la pertinence des couples SR/OV
NiveauPertinenceSignification
4Très forteSR clairement identifiée, OV aligné avec ses intérêts, moyens disponibles confirmés
3ForteSR probablement motivée, OV cohérent, moyens vraisemblables
2ModéréeIncertitude sur la motivation ou les moyens
1FaibleSR peu susceptible de viser cet objectif sur KuberDocker
Exercice 2.2 — Évaluer la criticité des parties prenantes
Note : les échelles d'évaluation du niveau de menace des parties prenantes définies par KuberDocker se trouvent ci-dessous. Évaluez chaque partie prenante sur 4 critères (1 à 4), puis calculez le niveau de menace global.
Catégorie Nom Dépendance (1-4) Pénétration (1-4) Maturité cyber (1-4) Confiance (1-4) Niveau de menace
Échelles d'évaluation du niveau de menace des parties prenantes (KuberDocker)
CritèreDéfinition pour KuberDocker
DépendanceDegré auquel KuberDocker dépend de cette PP pour ses opérations critiques
PénétrationNiveau d'accès de la PP aux SI et données de KuberDocker
Maturité cyberNiveau de maturité cyber de la PP (inversé : 4 = très faible maturité = menace élevée)
ConfianceNiveau de confiance accordé à la PP (inversé : 4 = très faible confiance)
Niveau menaceSeuilAction
ÉlevéScore ≥ 3Mesures de sécurité spécifiques obligatoires
MoyenScore 2Surveillance et mesures renforcées
FaibleScore 1Mesures standard suffisantes
3

Atelier 3 — Scénarios Stratégiques

Chemins d'attaque stratégiques · Mesures écosystème · Scénarios retenus
ATELIER 3

Objectif : construire les chemins d'attaque via l'écosystème

Cet atelier construit les scénarios stratégiques : comment une source de risque peut atteindre KuberDocker en passant par des parties prenantes de son écosystème (ITservices, AllSea, Logisupport...). Chaque scénario associe une SR, un OV, un chemin d'attaque passant par 1 ou plusieurs PP, et une gravité.

Exercice 3.1 — Élaborer les scénarios stratégiques
Pour chaque scénario, tracez le chemin d'attaque depuis la source de risque vers KuberDocker en passant par les parties prenantes identifiées. Utilisez le schéma : SR → PP1 → (PP2) → KuberDocker.
Source de risque Écosystème (parties prenantes impliquées) KuberDocker (valeur métier ciblée)
Exercice 3.2 — Définir les mesures de sécurité sur l'écosystème
Pour chaque chemin d'attaque stratégique identifié, proposez des mesures de sécurité permettant de réduire la menace initiale et estimez la menace résiduelle après application des mesures.
Partie prenante Chemin d'attaque stratégique Mesures de sécurité proposées Menace initiale Menace résiduelle
Exercice 3.3 — Scénarios stratégiques retenus
Sources de risque Objectifs visés Chemins d'attaque stratégiques Gravité (1-4)
4

Atelier 4 — Scénarios Opérationnels

Modes opératoires · CONNAITRE → RENTRER → TROUVER → EXPLOITER · Vraisemblance
ATELIER 4

Objectif : décrire comment l'attaque se déroule techniquement

Cet atelier traduit les scénarios stratégiques en modes opératoires techniques. Pour chaque scénario retenu en A3, vous décrivez la séquence d'actions de l'attaquant en 4 phases : CONNAITRE (reconnaissance), RENTRER (intrusion initiale), TROUVER (déplacement latéral), EXPLOITER (impact). Chaque scénario opérationnel reçoit une vraisemblance (1 à 4).

Exercice 4.1 — Élaborer les scénarios opérationnels
Pour chaque scénario stratégique retenu, décrivez le mode opératoire technique en 4 phases. S'appuyer sur les incidents vécus et les failles identifiées (mises à jour manquantes, absence de segmentation R&D, mini-serveurs AllSea non sécurisés...).
CONNAITRE
Reconnaissance & OSINT
RENTRER
Intrusion initiale
TROUVER
Déplacement latéral
EXPLOITER
Impact final
Exercice 4.2 — Scénarios opérationnels retenus
Pour chaque chemin d'attaque opérationnel, évaluez la vraisemblance (1 à 4) en tenant compte des mesures de sécurité en place et des failles identifiées.
Chemins d'attaque opérationnels retenus Vraisemblance (1-4)
Échelle de vraisemblance
NiveauQualificationCritères pour KuberDocker
4Très probableFaille connue et non corrigée, mode opératoire déjà observé (ex : rançongiciel via ITservices)
3ProbableConditions favorables, failles partiellement corrigées, vecteur documenté
2Peu probableMesures partielles en place, attaquant nécessite des ressources importantes
1Très peu probableMesures efficaces, attaquant dissuadé ou sans capacité technique suffisante
5

Atelier 5 — Traitement du Risque

Cartographie des risques · Plan de traitement · Risques résiduels
ATELIER 5

Objectif : décider comment traiter chaque risque

Cet atelier positionne chaque risque sur la cartographie Gravité × Vraisemblance, définit la stratégie de traitement pour chacun (réduction, transfert, acceptation, refus), et produit le plan de traitement des risques. Il identifie également les risques résiduels après application des mesures.

Exercice 5.1 — Évaluer la cartographie des risques résiduels
Note : les mesures du plan de traitement du risque se trouvent page suivante. Positionnez chaque scénario de risque dans la matrice Gravité × Vraisemblance, avant et après mesures.
Cartographie initiale (avant mesures)
Gravité ↓ / Vrais. → 1234
4
3
2
1
Cartographie résiduelle (après mesures)
Gravité ↓ / Vrais. → 1234
4
3
2
1
Rouge = Risque inacceptable Orange = Risque à surveiller Vert = Risque acceptable
Exercice 5.2 — Plan de traitement des risques
Pour chaque risque, indiquez la stratégie retenue (Réduction, Transfert, Acceptation, Refus), les mesures de traitement associées, le responsable, et l'échéance. S'appuyer sur les nouvelles exigences de sécurité imposées par KuberDocker à ses fournisseurs.
Risque identifié Stratégie (R/T/A/Rf) Mesures de traitement Responsable Échéance Gravité résid. Vrais. résid.
Nouvelles exigences de sécurité KuberDocker (à intégrer dans le plan)
  • Conformité obligatoire à un référentiel (ANSSI, ISO 27001, ISO 22301) pour tous les fournisseurs
  • Service de réponse aux incidents avec délai d'alerte max. 1 heure
  • Dispositif de continuité d'activité testé annuellement
  • Clause d'audit cybersécurité dans tous les contrats fournisseurs
  • Segmentation des données R&D (drones) des données logistiques courantes
  • Sensibilisation cybersécurité obligatoire pour tout le personnel interne
📊

Barème d'Évaluation — BC02 · RNCP 38823

Grille de notation · Compétences évaluées par atelier
Atelier Compétences évaluées Critères de qualité Points
A1 — Cadrage Identification des valeurs métier, biens supports, événements redoutés, socle de sécurité Exhaustivité, pertinence des valeurs métier, cohérence avec le contexte KuberDocker 20 pts
A2 — Sources de risque Identification SR/OV, évaluation pertinence, analyse parties prenantes, niveaux de menace Justification des niveaux, exploitation des éléments contextuels (incidents, partenaires) 25 pts
A3 — Scénarios stratégiques Construction des chemins d'attaque stratégiques, mesures écosystème, gravité Cohérence SR/PP/OV, réalisme des chemins, pertinence des mesures proposées 20 pts
A4 — Scénarios opérationnels Description des modes opératoires CONNAITRE/RENTRER/TROUVER/EXPLOITER, vraisemblance Réalisme technique, lien avec les failles identifiées, cohérence avec A3 20 pts
A5 — Traitement Cartographie des risques, plan de traitement, stratégies, risques résiduels Cohérence Gravité×Vraisemblance, faisabilité des mesures, prise en compte des nouvelles exigences KuberDocker 15 pts
Livrables attendus
  • Trame papier complétée (tous les tableaux des 5 ateliers)
  • Argumentation écrite pour les choix clés (SR pertinentes, chemins d'attaque)
  • Cohérence entre les 5 ateliers : les éléments d'A1 alimentent A2, A2 alimente A3, etc.
  • Soutenance orale : présentation de la démarche + défense des choix (15 min)
Points éliminatoires
  • Tableaux vides ou non contextualisés → note plafonnée à 8/20
  • Incohérence flagrante entre ateliers (SR en A2 absente en A3) → −5 pts
  • Plan de traitement ignorant les nouvelles exigences KuberDocker → −5 pts
  • Confusion entre scénario stratégique et opérationnel → −3 pts par erreur