03
Bloc 3 — Piloter la mise en production et l'évolution des solutions
RNCP 38823 · Expert en Architectures Systèmes, Réseaux et Sécurité Informatique · Niveau 7
Compétences visées
Ce bloc évalue la capacité à concevoir, déployer et sécuriser une infrastructure cloud dans un contexte professionnel réel : architecture multi-cloud, sécurité native AWS/Azure/GCP, automatisation des déploiements (Ansible), sécurité défensive (Stormshield), et pilotage de la conformité réglementaire.
La maîtrise des enjeux de continuité, de résilience et de gouvernance d'une infrastructure distribuée est centrale — SLA 99.9%, PRA multi-cloud, SMSI ISO 27001 et conformité AI Act.
Ce que ce projet évalue
Le projet SCS couvre l'intégralité du BC03 : conception d'architecture multi-cloud avec segmentation réseau, IAM, chiffrement ; automatisation IaC avec Ansible ; sécurité défensive avec Stormshield UTM ; analyse de risques EBIOS intégrée au projet ; et conformité RGPD / AI Act / ISO 27001.
Le contexte SCS — migration d'un on-premise vers 3 clouds publics simultanément — est représentatif des missions réelles d'un Expert en Architectures Systèmes et Sécurité Informatique.
Contexte — Secure Cloud Services (SCS)
Présentation de l'entreprise
SCS est une ESN basée à Lyon proposant à ses clients PME et ETI européennes une plateforme SaaS multi-tenant (gestion clients, commandes, facturation), des API publiques pour applications mobiles et partenaires, et un moteur d'IA pour l'aide à la décision et le scoring.
Actuellement hébergée en totalité on-premise dans un datacenter Lyon, SCS fait face à des limites critiques : scalabilité insuffisante, coûts élevés, dépendance à un site unique et retard sur la conformité réglementaire.
Infrastructure actuelle (on-premise)
- Serveurs applicatifs — plateforme SaaS et API
- Bases de données relationnelles — données clients et métiers
- SI interne — Active Directory, outils IT, supervision, backup
- Accès Internet protégé par firewall classique
Scalabilité limitée · Coût d'exploitation élevé · Continuité d'activité sur un seul site · Modernisation sécurité et conformité réglementaire urgentes
Architecture cible — Vision hybride multi-cloud
🏭 Datacenter Lyon (On-Premise)
- Active Directory — gestion des identités internes
- Bastion d'administration — accès distants sécurisés
- Outils de supervision et SIEM
- Firewall UTM Stormshield en frontal
- Tunnels VPN IPsec vers les 3 clouds
☁️ AWS (EU-West)
- VPC avec sous-réseaux publics/privés
- EC2 — applications web et API
- RDS — bases de données relationnelles
- S3 — stockage objets (logs, backups)
- IAM — gestion des accès
☁️ Azure (Europe)
- VNet avec sous-réseaux segmentés
- Virtual Machines — services applicatifs
- Azure SQL Database — données structurées
- Azure Key Vault — gestion des secrets
- Defender for Cloud — supervision sécurité
- Azure AD — identités SCS
☁️ GCP (Europe-West)
- VPC avec sous-réseaux multiples
- Compute Engine — instances de calcul
- Cloud Storage — données massives
- Vertex AI — services d'intelligence artificielle
- Cloud IAM — contrôle d'accès
- Cloud Logging — audit et traçabilité
Contraintes réglementaires & techniques
🔒 RGPD
Données à caractère personnel (PII) de citoyens européens : nom, email, localisation, données transactionnelles. Conformité RGPD obligatoire — registre, DPA, droits des personnes.
🤖 AI Act
Le moteur de scoring IA est soumis à l'AI Act : documentation des modèles, explicabilité, gestion des biais, surveillance humaine, classification du niveau de risque.
📋 ISO 27001
SCS vise la certification ISO 27001. SMSI complet, audit annuel, mapping des contrôles sur les familles ISO 27002:2022. La gouvernance de sécurité est un prérequis contractuel.
⚡ SLA & PRA
SLA cible : 99.9% de disponibilité. Plan de Reprise d'Activité multi-cloud : aucun cloud ne doit être un SPOF. Continuité d'activité testée et documentée.
Organisation de l'Équipe — Rôles & Responsabilités
Chaque équipe est composée de 4 étudiants. La répartition des rôles est définie dès le Jour 1 et formalisée dans une matrice RACI. Chaque membre doit être capable de défendre l'ensemble du projet lors de la soutenance — la spécialisation n'exonère pas de la compréhension globale.
🎯 Chef de Projet / Coordination
Pilotage global du projet, planning sur 5 jours, communication interne, gestion des risques projet, construction et suivi de la matrice RACI. Assure la cohérence entre tous les livrables.
🏗️ Architecte Cloud
Conception de l'architecture multi-cloud, sécurité native AWS/Azure/GCP, segmentation réseau, IAM et gestion des identités. Produit les schémas d'architecture et le dossier technique.
🔍 Expert Cybersécurité & EBIOS
Conduite de l'analyse de risques EBIOS Risk Manager, identification des scénarios de menace (fuite PII, compromission IA, indisponibilité), définition des mesures de traitement prioritaires.
⚙️ Expert Conformité & Automatisation
Mapping RGPD / AI Act / ISO 27001, rédaction de la synthèse de conformité. Conception et développement du playbook Ansible, configuration de la stratégie firewall Stormshield.
Matrice RACI — Activités clés du projet
| Activité | Chef Projet | Architecte Cloud | Expert Cyber/EBIOS | Expert Conformité/IaC |
|---|---|---|---|---|
| Cadrage & Cahier des charges | R | C | C | C |
| Matrice RACI | R | I | I | I |
| Architecture multi-cloud & schémas | C | R | I | C |
| Sécurité native AWS / Azure / GCP | I | R | C | C |
| Analyse de risques EBIOS | I | C | R | C |
| Conformité RGPD / AI Act / ISO 27001 | A | I | C | R |
| Playbook Ansible | I | C | I | R |
| Configuration Stormshield | I | C | C | R |
| Soutenance orale | A | R | R | R |
R = Responsable · A = Accountable (décideur) · C = Consulté · I = Informé
Planning des 5 Jours — Travaux Précis à Réaliser
Cadrage, Métiers & Cahier des Charges
-
1Identifier et décrire les métiers impliqués : RSSI, DPO, Architecte Cloud, DevSecOps, Chef de Projet, Analyste SOC. Pour chaque rôle : responsabilités, livrables attendus, interactions avec les autres rôles dans le contexte SCS.
-
2Élaborer la matrice RACI pour les activités clés : conception architecture, sécurité cloud, EBIOS, conformité, automatisation, soutenance. Chaque case doit être justifiée.
-
3Rédiger un cahier des charges synthétique (3 pages max) : contexte SCS, objectifs de la migration, périmètre fonctionnel (SaaS + API + IA), contraintes techniques (3 clouds + on-prem) et réglementaires (RGPD, AI Act, ISO 27001).
- Document « Organigramme et Métiers » (texte + schéma visuel de l'organigramme projet)
- Matrice RACI complète (tableau avec justification)
- Cahier des charges complet (max 3 pages)
Architecture Multi-Cloud & Sécurisation Technique
-
1Produire un schéma d'architecture global détaillé : on-prem Lyon + AWS EU-West + Azure Europe + GCP Europe-West + Stormshield + tunnels VPN IPsec. Distinguer clairement les zones réseau : front-end, back-end, admin, DMZ, zone de confiance. Outil recommandé : Draw.io ou Lucidchart.
-
2Décrire les mesures de sécurité sur chaque plateforme : IAM/Identités (principes du moindre privilège, MFA), segmentation réseau (VPC/VNet/sous-réseaux), chiffrement (at-rest et in-transit), journalisation (CloudTrail/Azure Monitor/Cloud Logging), monitoring et alertes.
-
3Remplir le tableau comparatif des solutions de sécurité natives des trois clouds pour les besoins identifiés : gestion des identités, protection réseau, détection des menaces, gestion des secrets, conformité et audit.
Amazon Web Services
- IAM — identités et politiques
- VPC + Security Groups + NACL
- KMS — gestion des clés
- CloudTrail — audit
- GuardDuty — détection menaces
- AWS Config — conformité
- S3 — stockage chiffré
Microsoft Azure
- Azure AD / Entra ID — identités
- VNet + NSG + Azure Firewall
- Key Vault — secrets et certificats
- Defender for Cloud — CSPM
- Azure Monitor — journalisation
- Microsoft Sentinel — SIEM cloud
- Policy — gouvernance
Google Cloud Platform
- Cloud IAM — identités et rôles
- VPC + Firewall Rules
- Cloud KMS — gestion des clés
- Security Command Center
- Cloud Logging — audit
- Vertex AI — IA sécurisée
- Cloud Armor — protection DDoS
- Dossier d'architecture (10–15 pages) avec schémas annotés et explications techniques
- Tableau comparatif AWS / Azure / GCP (services, avantages, coûts si possible)
Analyse de Risques EBIOS & Conformité Réglementaire
-
1Suivre la démarche EBIOS Risk Manager simplifiée : identifier les actifs essentiels de SCS (plateforme SaaS, API, moteur IA, données PII), les sources de risque (cybercriminels, concurrents, insiders, défaillances fournisseur cloud), construire les scénarios stratégiques et opérationnels, et définir les mesures de traitement.
-
2Identifier et positionner sur une matrice risques (probabilité × gravité) les risques majeurs : fuite de données PII vers l'extérieur, compromission du moteur IA (biais, manipulation), indisponibilité de la plateforme (SLA breach), dépendance fournisseur cloud (vendor lock-in, panne).
-
3Élaborer une synthèse de conformité couvrant : ISO 27001 (familles de contrôles A.5 à A.8 a minima), RGPD (registre des traitements, DPA avec les clouds, droits des personnes, mesures de sécurité Article 32), AI Act (niveau de risque du scoring, documentation, gouvernance humaine, biais).
- Rapport EBIOS simplifié (8–12 pages) : actifs, sources de risque, scénarios, mesures de traitement
- Matrice de risques (probabilité × gravité) avec positionnement des risques majeurs
- Synthèse conformité ISO 27001 / RGPD / AI Act (3–5 pages)
Automatisation Ansible & Sécurité Défensive Stormshield
-
1Concevoir un playbook Ansible complet qui déploie un socle de sécurité de base sur un serveur Linux : création d'utilisateurs/groupes avec moindre privilège, durcissement SSH (désactivation root, clés uniquement, port non standard), installation et configuration d'agents de logs (rsyslog ou journald → SIEM), activation de la supervision (healthchecks). Le YAML doit être fonctionnel et documenté.
-
2Définir la stratégie firewall Stormshield : cartographie des zones réseau (LAN interne, DMZ, zones cloud AWS/Azure/GCP, Internet), règles de filtrage prioritaires (matrice flux entrants/sortants par zone), politique VPN IPsec vers les trois clouds (paramètres IKEv2, algorithmes de chiffrement, authentification), politique de journalisation et d'alerte.
-
3Préparer une démonstration pour la soutenance : exécution réelle du playbook Ansible (si environnement disponible) ou captures d'écran commentées avant/après montrant l'état du serveur avant et après durcissement. La démonstration doit être autonome et reproductible.
hosts:— cible(s) de déploiementvars:— variables configurables (user, port SSH...)- Tâche : création users/groups + sudo minimal
- Tâche : durcissement SSH (sshd_config)
- Tâche : installation et configuration rsyslog
- Tâche : activation fail2ban
- Tâche : mise à jour des packages
- Handlers : restart services après modifications
- Schéma des zones réseau (min. 4 zones)
- Matrice de flux : qui peut parler à qui
- Règles VPN IKEv2 vers AWS / Azure / GCP
- Algorithmes : AES-256, SHA-256, DH14+
- Politique de log : niveau, rétention, alertes
- Règles anti-DDoS et rate limiting
- Playbook Ansible complet et documenté (fichier YAML + 2–3 pages d'explication)
- Configuration Stormshield : schéma des zones, liste de règles, politique VPN (2–3 pages)
- Captures d'écran ou vidéo de démonstration du déploiement Ansible
Soutenance Orale — Restitution des Travaux
| Partie | Durée | Contenu attendu |
|---|---|---|
| Contexte & Organisation | 5 min | Rappel du besoin SCS, présentation des rôles et contributions de chaque membre |
| Architecture & Sécurité Multi-Cloud | 10 min | Schémas d'architecture, mesures de sécurité par cloud, flux réseau et VPN |
| Analyse des Risques & Conformité | 7 min | Scénarios EBIOS majeurs, mesures prioritaires, synthèse conformité ISO/RGPD/AI Act |
| Automatisation & Sécurité Défensive | 8 min | Démonstration playbook Ansible, règles Stormshield, justification des choix |
| Questions du jury | 10 min | Questions individuelles sur les choix techniques — chaque membre peut être interrogé |
- Compréhension technique individuelle (architecture, sécurité, conformité)
- Clarté et pédagogie — schémas lisibles, explications accessibles
- Qualité de la démonstration Ansible (fonctionnelle ou captures commentées)
- Dynamique d'équipe : contributions équilibrées, cohérence du discours
- Gestion du temps : respect strict des 30 min de présentation
Livrables Attendus — Format & Nomenclature
Tous les livrables doivent être remis en version numérique avant le début de la soutenance. Aucun livrable ne sera accepté après le démarrage de la présentation. Respectez impérativement la nomenclature des fichiers.
Grille d'Évaluation Détaillée — 100 Points
| Critère | Points | Éléments évalués en détail |
|---|---|---|
| Management & Métiers | 10 | Organisation claire, RACI complet et justifié, planning respecté, communication interne documentée |
| Architecture Multi-Cloud | 20 | Schémas lisibles et complets, pertinence des services choisis, segmentation réseau cohérente, mesures IAM et chiffrement |
| Analyse de Risques EBIOS | 15 | Respect de la démarche EBIOS RM, scénarios réalistes et contextualisés à SCS, plan de traitement avec mesures concrètes |
| ISO 27001 / Conformité | 10 | Familiarité avec les contrôles ISO, mapping RGPD réaliste, prise en compte AI Act pour le moteur de scoring |
| Automatisation Ansible | 15 | Qualité du YAML (structure, idempotence, variables), sécurité des tâches (moindre privilège, SSH), démonstration convaincante |
| Sécurité Défensive Stormshield | 10 | Cohérence des zones réseau, règles de filtrage justifiées, VPN IPsec correctement configuré, journalisation documentée |
| Soutenance & Livrables | 20 | Qualité des supports (clarté, orthographe, schémas), pédagogie et gestion du temps, équilibre des contributions, réponses aux questions |
- ISO 27001:2022 — Systèmes de gestion de la sécurité de l'information
- EBIOS Risk Manager — Guide ANSSI (anssi.gouv.fr)
- RGPD — EU 2016/679 · AI Act — EU 2024/1689
- AWS Security Best Practices (aws.amazon.com/security/)
- Azure Security Center (learn.microsoft.com/azure/)
- GCP Security Best Practices (cloud.google.com/security/)
- Draw.io · Lucidchart — schémas d'architecture
- Ansible Documentation (ansible.com)
- Exhaustivité — tous les éléments demandés sont présents
- Pertinence — les contenus répondent aux objectifs SCS
- Clarté — schémas, textes et explications sont accessibles
- Cohérence — les différentes parties s'articulent logiquement
- Professionnalisme — mise en forme soignée, sans erreurs
- Travaillez en itérations — raffinez progressivement, ne cherchez pas la perfection au premier essai