Expert en Architectures Systèmes, Réseaux et Sécurité Informatique · RNCP 38823 · Bloc 3 · Cloud & Sécurité défensive ·
PROJET 3
Projet Fil Rouge — 5 jours · Équipes de 4

Secure Cloud Services —
Migration Multi-Cloud Sécurisée

Votre équipe est mandatée par SCS, une ESN lyonnaise de 220 personnes, pour concevoir et sécuriser une architecture multi-cloud AWS / Azure / GCP, automatiser les déploiements, conduire une analyse de risques EBIOS et garantir la conformité RGPD, AI Act et ISO 27001.

100 pts
Barème total
5 jours
Projet intensif
3 clouds
AWS · Azure · GCP
6 livrables
Compétences BC03
RNCP 38823 · BC03 — Piloter la mise en production et l'évolution des solutions · Projet 3 — SCS Multi-Cloud

Bloc 3 — Piloter la mise en production et l'évolution des solutions

RNCP 38823 · Expert en Architectures Systèmes, Réseaux et Sécurité Informatique · Niveau 7

Compétences visées

Ce bloc évalue la capacité à concevoir, déployer et sécuriser une infrastructure cloud dans un contexte professionnel réel : architecture multi-cloud, sécurité native AWS/Azure/GCP, automatisation des déploiements (Ansible), sécurité défensive (Stormshield), et pilotage de la conformité réglementaire.

La maîtrise des enjeux de continuité, de résilience et de gouvernance d'une infrastructure distribuée est centrale — SLA 99.9%, PRA multi-cloud, SMSI ISO 27001 et conformité AI Act.

Ce que ce projet évalue

Le projet SCS couvre l'intégralité du BC03 : conception d'architecture multi-cloud avec segmentation réseau, IAM, chiffrement ; automatisation IaC avec Ansible ; sécurité défensive avec Stormshield UTM ; analyse de risques EBIOS intégrée au projet ; et conformité RGPD / AI Act / ISO 27001.

Le contexte SCS — migration d'un on-premise vers 3 clouds publics simultanément — est représentatif des missions réelles d'un Expert en Architectures Systèmes et Sécurité Informatique.

Multi-Cloud
AWS · Azure · GCP
Ansible
IaC & Automatisation
Stormshield
Sécurité défensive
ISO 27001
RGPD · AI Act
🏢

Contexte — Secure Cloud Services (SCS)

ESN · Lyon · 220 salariés · Migration multi-cloud

Présentation de l'entreprise

SCS est une ESN basée à Lyon proposant à ses clients PME et ETI européennes une plateforme SaaS multi-tenant (gestion clients, commandes, facturation), des API publiques pour applications mobiles et partenaires, et un moteur d'IA pour l'aide à la décision et le scoring.

Actuellement hébergée en totalité on-premise dans un datacenter Lyon, SCS fait face à des limites critiques : scalabilité insuffisante, coûts élevés, dépendance à un site unique et retard sur la conformité réglementaire.

Infrastructure actuelle (on-premise)

  • Serveurs applicatifs — plateforme SaaS et API
  • Bases de données relationnelles — données clients et métiers
  • SI interne — Active Directory, outils IT, supervision, backup
  • Accès Internet protégé par firewall classique
Enjeux critiques

Scalabilité limitée · Coût d'exploitation élevé · Continuité d'activité sur un seul site · Modernisation sécurité et conformité réglementaire urgentes

Architecture cible — Vision hybride multi-cloud

🏭 Datacenter Lyon (On-Premise)
  • Active Directory — gestion des identités internes
  • Bastion d'administration — accès distants sécurisés
  • Outils de supervision et SIEM
  • Firewall UTM Stormshield en frontal
  • Tunnels VPN IPsec vers les 3 clouds
☁️ AWS (EU-West)
  • VPC avec sous-réseaux publics/privés
  • EC2 — applications web et API
  • RDS — bases de données relationnelles
  • S3 — stockage objets (logs, backups)
  • IAM — gestion des accès
☁️ Azure (Europe)
  • VNet avec sous-réseaux segmentés
  • Virtual Machines — services applicatifs
  • Azure SQL Database — données structurées
  • Azure Key Vault — gestion des secrets
  • Defender for Cloud — supervision sécurité
  • Azure AD — identités SCS
☁️ GCP (Europe-West)
  • VPC avec sous-réseaux multiples
  • Compute Engine — instances de calcul
  • Cloud Storage — données massives
  • Vertex AI — services d'intelligence artificielle
  • Cloud IAM — contrôle d'accès
  • Cloud Logging — audit et traçabilité

Contraintes réglementaires & techniques

🔒 RGPD

Données à caractère personnel (PII) de citoyens européens : nom, email, localisation, données transactionnelles. Conformité RGPD obligatoire — registre, DPA, droits des personnes.

🤖 AI Act

Le moteur de scoring IA est soumis à l'AI Act : documentation des modèles, explicabilité, gestion des biais, surveillance humaine, classification du niveau de risque.

📋 ISO 27001

SCS vise la certification ISO 27001. SMSI complet, audit annuel, mapping des contrôles sur les familles ISO 27002:2022. La gouvernance de sécurité est un prérequis contractuel.

⚡ SLA & PRA

SLA cible : 99.9% de disponibilité. Plan de Reprise d'Activité multi-cloud : aucun cloud ne doit être un SPOF. Continuité d'activité testée et documentée.

👥

Organisation de l'Équipe — Rôles & Responsabilités

4 rôles · Matrice RACI · Équipes de 4 étudiants
Format du projet

Chaque équipe est composée de 4 étudiants. La répartition des rôles est définie dès le Jour 1 et formalisée dans une matrice RACI. Chaque membre doit être capable de défendre l'ensemble du projet lors de la soutenance — la spécialisation n'exonère pas de la compréhension globale.

🎯 Chef de Projet / Coordination

Pilotage global du projet, planning sur 5 jours, communication interne, gestion des risques projet, construction et suivi de la matrice RACI. Assure la cohérence entre tous les livrables.

🏗️ Architecte Cloud

Conception de l'architecture multi-cloud, sécurité native AWS/Azure/GCP, segmentation réseau, IAM et gestion des identités. Produit les schémas d'architecture et le dossier technique.

🔍 Expert Cybersécurité & EBIOS

Conduite de l'analyse de risques EBIOS Risk Manager, identification des scénarios de menace (fuite PII, compromission IA, indisponibilité), définition des mesures de traitement prioritaires.

⚙️ Expert Conformité & Automatisation

Mapping RGPD / AI Act / ISO 27001, rédaction de la synthèse de conformité. Conception et développement du playbook Ansible, configuration de la stratégie firewall Stormshield.

Matrice RACI — Activités clés du projet

Activité Chef Projet Architecte Cloud Expert Cyber/EBIOS Expert Conformité/IaC
Cadrage & Cahier des chargesRCCC
Matrice RACIRIII
Architecture multi-cloud & schémasCRIC
Sécurité native AWS / Azure / GCPIRCC
Analyse de risques EBIOSICRC
Conformité RGPD / AI Act / ISO 27001AICR
Playbook AnsibleICIR
Configuration StormshieldICCR
Soutenance oraleARRR

R = Responsable · A = Accountable (décideur) · C = Consulté · I = Informé

📅

Planning des 5 Jours — Travaux Précis à Réaliser

7h / jour · Jour 5 réservé à la soutenance orale
J1

Cadrage, Métiers & Cahier des Charges

Structurer le projet · Définir les rôles · Comprendre le besoin SCS
  • 1
    Identifier et décrire les métiers impliqués : RSSI, DPO, Architecte Cloud, DevSecOps, Chef de Projet, Analyste SOC. Pour chaque rôle : responsabilités, livrables attendus, interactions avec les autres rôles dans le contexte SCS.
  • 2
    Élaborer la matrice RACI pour les activités clés : conception architecture, sécurité cloud, EBIOS, conformité, automatisation, soutenance. Chaque case doit être justifiée.
  • 3
    Rédiger un cahier des charges synthétique (3 pages max) : contexte SCS, objectifs de la migration, périmètre fonctionnel (SaaS + API + IA), contraintes techniques (3 clouds + on-prem) et réglementaires (RGPD, AI Act, ISO 27001).
Livrables Jour 1
  • Document « Organigramme et Métiers » (texte + schéma visuel de l'organigramme projet)
  • Matrice RACI complète (tableau avec justification)
  • Cahier des charges complet (max 3 pages)
J2

Architecture Multi-Cloud & Sécurisation Technique

Concevoir l'architecture sécurisée · Sécurité native AWS / Azure / GCP
  • 1
    Produire un schéma d'architecture global détaillé : on-prem Lyon + AWS EU-West + Azure Europe + GCP Europe-West + Stormshield + tunnels VPN IPsec. Distinguer clairement les zones réseau : front-end, back-end, admin, DMZ, zone de confiance. Outil recommandé : Draw.io ou Lucidchart.
  • 2
    Décrire les mesures de sécurité sur chaque plateforme : IAM/Identités (principes du moindre privilège, MFA), segmentation réseau (VPC/VNet/sous-réseaux), chiffrement (at-rest et in-transit), journalisation (CloudTrail/Azure Monitor/Cloud Logging), monitoring et alertes.
  • 3
    Remplir le tableau comparatif des solutions de sécurité natives des trois clouds pour les besoins identifiés : gestion des identités, protection réseau, détection des menaces, gestion des secrets, conformité et audit.
☁️

Amazon Web Services

EU-West · Services sécurité clés
  • IAM — identités et politiques
  • VPC + Security Groups + NACL
  • KMS — gestion des clés
  • CloudTrail — audit
  • GuardDuty — détection menaces
  • AWS Config — conformité
  • S3 — stockage chiffré
IAM · GuardDuty · CloudTrail
☁️

Microsoft Azure

Europe · Services sécurité clés
  • Azure AD / Entra ID — identités
  • VNet + NSG + Azure Firewall
  • Key Vault — secrets et certificats
  • Defender for Cloud — CSPM
  • Azure Monitor — journalisation
  • Microsoft Sentinel — SIEM cloud
  • Policy — gouvernance
Defender · Sentinel · Key Vault
☁️

Google Cloud Platform

Europe-West · Services sécurité clés
  • Cloud IAM — identités et rôles
  • VPC + Firewall Rules
  • Cloud KMS — gestion des clés
  • Security Command Center
  • Cloud Logging — audit
  • Vertex AI — IA sécurisée
  • Cloud Armor — protection DDoS
SCC · Cloud Armor · Vertex AI
Livrables Jour 2
  • Dossier d'architecture (10–15 pages) avec schémas annotés et explications techniques
  • Tableau comparatif AWS / Azure / GCP (services, avantages, coûts si possible)
J3

Analyse de Risques EBIOS & Conformité Réglementaire

EBIOS Risk Manager · RGPD · AI Act · ISO 27001
  • 1
    Suivre la démarche EBIOS Risk Manager simplifiée : identifier les actifs essentiels de SCS (plateforme SaaS, API, moteur IA, données PII), les sources de risque (cybercriminels, concurrents, insiders, défaillances fournisseur cloud), construire les scénarios stratégiques et opérationnels, et définir les mesures de traitement.
  • 2
    Identifier et positionner sur une matrice risques (probabilité × gravité) les risques majeurs : fuite de données PII vers l'extérieur, compromission du moteur IA (biais, manipulation), indisponibilité de la plateforme (SLA breach), dépendance fournisseur cloud (vendor lock-in, panne).
  • 3
    Élaborer une synthèse de conformité couvrant : ISO 27001 (familles de contrôles A.5 à A.8 a minima), RGPD (registre des traitements, DPA avec les clouds, droits des personnes, mesures de sécurité Article 32), AI Act (niveau de risque du scoring, documentation, gouvernance humaine, biais).
Livrables Jour 3
  • Rapport EBIOS simplifié (8–12 pages) : actifs, sources de risque, scénarios, mesures de traitement
  • Matrice de risques (probabilité × gravité) avec positionnement des risques majeurs
  • Synthèse conformité ISO 27001 / RGPD / AI Act (3–5 pages)
J4

Automatisation Ansible & Sécurité Défensive Stormshield

IaC · Déploiement sécurisé · Firewall UTM · VPN
  • 1
    Concevoir un playbook Ansible complet qui déploie un socle de sécurité de base sur un serveur Linux : création d'utilisateurs/groupes avec moindre privilège, durcissement SSH (désactivation root, clés uniquement, port non standard), installation et configuration d'agents de logs (rsyslog ou journald → SIEM), activation de la supervision (healthchecks). Le YAML doit être fonctionnel et documenté.
  • 2
    Définir la stratégie firewall Stormshield : cartographie des zones réseau (LAN interne, DMZ, zones cloud AWS/Azure/GCP, Internet), règles de filtrage prioritaires (matrice flux entrants/sortants par zone), politique VPN IPsec vers les trois clouds (paramètres IKEv2, algorithmes de chiffrement, authentification), politique de journalisation et d'alerte.
  • 3
    Préparer une démonstration pour la soutenance : exécution réelle du playbook Ansible (si environnement disponible) ou captures d'écran commentées avant/après montrant l'état du serveur avant et après durcissement. La démonstration doit être autonome et reproductible.
Contenu attendu du Playbook Ansible
  • hosts: — cible(s) de déploiement
  • vars: — variables configurables (user, port SSH...)
  • Tâche : création users/groups + sudo minimal
  • Tâche : durcissement SSH (sshd_config)
  • Tâche : installation et configuration rsyslog
  • Tâche : activation fail2ban
  • Tâche : mise à jour des packages
  • Handlers : restart services après modifications
Stratégie Stormshield attendue
  • Schéma des zones réseau (min. 4 zones)
  • Matrice de flux : qui peut parler à qui
  • Règles VPN IKEv2 vers AWS / Azure / GCP
  • Algorithmes : AES-256, SHA-256, DH14+
  • Politique de log : niveau, rétention, alertes
  • Règles anti-DDoS et rate limiting
Livrables Jour 4
  • Playbook Ansible complet et documenté (fichier YAML + 2–3 pages d'explication)
  • Configuration Stormshield : schéma des zones, liste de règles, politique VPN (2–3 pages)
  • Captures d'écran ou vidéo de démonstration du déploiement Ansible
J5

Soutenance Orale — Restitution des Travaux

30 min présentation + 10 min questions · Support PPT obligatoire
PartieDuréeContenu attendu
Contexte & Organisation5 minRappel du besoin SCS, présentation des rôles et contributions de chaque membre
Architecture & Sécurité Multi-Cloud10 minSchémas d'architecture, mesures de sécurité par cloud, flux réseau et VPN
Analyse des Risques & Conformité7 minScénarios EBIOS majeurs, mesures prioritaires, synthèse conformité ISO/RGPD/AI Act
Automatisation & Sécurité Défensive8 minDémonstration playbook Ansible, règles Stormshield, justification des choix
Questions du jury10 minQuestions individuelles sur les choix techniques — chaque membre peut être interrogé
Points d'évaluation soutenance
  • Compréhension technique individuelle (architecture, sécurité, conformité)
  • Clarté et pédagogie — schémas lisibles, explications accessibles
  • Qualité de la démonstration Ansible (fonctionnelle ou captures commentées)
  • Dynamique d'équipe : contributions équilibrées, cohérence du discours
  • Gestion du temps : respect strict des 30 min de présentation
📦

Livrables Attendus — Format & Nomenclature

6 livrables · Remise numérique avant soutenance
⚠️ Règle de remise

Tous les livrables doivent être remis en version numérique avant le début de la soutenance. Aucun livrable ne sera accepté après le démarrage de la présentation. Respectez impérativement la nomenclature des fichiers.

🏗️
Dossier d'Architecture
Schémas + explications + tableau comparatif des 3 clouds
architecture-SCS.pdf
10–15 pages · Schéma global détaillé (on-prem + AWS + Azure + GCP + Stormshield + VPN) · Mesures de sécurité par plateforme (IAM, réseau, chiffrement, logs) · Tableau comparatif des services de sécurité natifs des 3 clouds · Justification de chaque choix architectural.
🔍
Rapport EBIOS Risk Manager
Actifs · Scénarios · Matrice de risques · Plan de traitement
EBIOS-SCS.pdf
8–12 pages · Actifs essentiels identifiés · Sources de risque et couples SR/OV pertinents · Scénarios stratégiques et opérationnels développés · Matrice probabilité × gravité · Mesures de traitement avec responsable et échéance.
📋
Synthèse Conformité
ISO 27001 · RGPD · AI Act
Conformite-SCS.pdf
3–5 pages · Mapping des contrôles ISO 27001:2022 (familles A.5 à A.8) · RGPD : registre des traitements, DPA cloud, Article 32 · AI Act : classification du moteur de scoring, documentation, gouvernance · Écarts identifiés et plan de remédiation.
⚙️
Playbook Ansible
Fichier YAML fonctionnel + documentation
playbook-SCS.yml + doc.pdf
YAML complet et exécutable (ou simulable) + 2–3 pages de documentation · Structure claire avec rôles/tâches/handlers · Variables externalisées dans vars/ · Idempotence garantie · Documentation : prérequis, variables configurables, instructions d'exécution, résultat attendu.
🛡️
Configuration Stormshield
Zones réseau · Règles · VPN IPsec vers les 3 clouds
Stormshield-SCS.pdf
2–3 pages · Schéma des zones réseau (LAN, DMZ, Internet, zones cloud) · Matrice de flux et règles de filtrage priorisées · Paramètres VPN IPsec IKEv2 vers AWS, Azure et GCP (phases 1 et 2) · Politique de journalisation et alertes de sécurité.
🎤
Support de Soutenance
20–25 slides · 30 min de présentation
Soutenance-SCS.pptx
20–25 slides max · Structure : contexte (2 slides), architecture (5 slides), EBIOS & conformité (5 slides), Ansible & Stormshield (5 slides), conclusion & démo (3 slides) · Schémas clairs, peu de texte · Orthographe et mise en forme soignées · Version PDF à remettre en plus du PPT.
📊

Grille d'Évaluation Détaillée — 100 Points

BC03 RNCP 38823 · Note finale sur 20
Management & Métiers (RACI, planning, organisation)
10 pts
Architecture multi-cloud (schémas, cohérence, pertinence)
20 pts
Analyse de risques EBIOS (méthode, scénarios, plan)
15 pts
ISO 27001 / Conformité (RGPD, AI Act, mapping)
10 pts
Automatisation Ansible (qualité code, sécurité, démo)
15 pts
Sécurité défensive Stormshield (règles, VPN, justification)
10 pts
Soutenance & Livrables (supports, pédagogie, travail d'équipe)
20 pts
Critère Points Éléments évalués en détail
Management & Métiers10Organisation claire, RACI complet et justifié, planning respecté, communication interne documentée
Architecture Multi-Cloud20Schémas lisibles et complets, pertinence des services choisis, segmentation réseau cohérente, mesures IAM et chiffrement
Analyse de Risques EBIOS15Respect de la démarche EBIOS RM, scénarios réalistes et contextualisés à SCS, plan de traitement avec mesures concrètes
ISO 27001 / Conformité10Familiarité avec les contrôles ISO, mapping RGPD réaliste, prise en compte AI Act pour le moteur de scoring
Automatisation Ansible15Qualité du YAML (structure, idempotence, variables), sécurité des tâches (moindre privilège, SSH), démonstration convaincante
Sécurité Défensive Stormshield10Cohérence des zones réseau, règles de filtrage justifiées, VPN IPsec correctement configuré, journalisation documentée
Soutenance & Livrables20Qualité des supports (clarté, orthographe, schémas), pédagogie et gestion du temps, équilibre des contributions, réponses aux questions
Ressources & Références
  • ISO 27001:2022 — Systèmes de gestion de la sécurité de l'information
  • EBIOS Risk Manager — Guide ANSSI (anssi.gouv.fr)
  • RGPD — EU 2016/679 · AI Act — EU 2024/1689
  • AWS Security Best Practices (aws.amazon.com/security/)
  • Azure Security Center (learn.microsoft.com/azure/)
  • GCP Security Best Practices (cloud.google.com/security/)
  • Draw.io · Lucidchart — schémas d'architecture
  • Ansible Documentation (ansible.com)
Critères de qualité d'un livrable
  • Exhaustivité — tous les éléments demandés sont présents
  • Pertinence — les contenus répondent aux objectifs SCS
  • Clarté — schémas, textes et explications sont accessibles
  • Cohérence — les différentes parties s'articulent logiquement
  • Professionnalisme — mise en forme soignée, sans erreurs
  • Travaillez en itérations — raffinez progressivement, ne cherchez pas la perfection au premier essai