# 5.02 - Analyse de risque et bonnes pratiques en cybersécurité (CIEL)

<table id="bkmrk-dur%C3%A9e-approximative-" style="border-collapse:collapse;width:100%;"><colgroup><col style="width:99.881%;"></col></colgroup><tbody><tr><td style="background-color:rgb(194,224,244);border-style:none;">**Durée approximative :** <span style="color:rgb(35,111,161);">***4h***</span>

**Eléments du référentiel adressé :**

- <span style="color:rgb(132,63,161);">***U4 - Etude et conception de réseaux informatiques***</span>
    - <span style="color:rgb(132,63,161);">***R1 : Accompagnement du client***</span>
        - <span style="color:rgb(132,63,161);">***C04 : Analyser un système informatique***</span>
            - <span style="color:rgb(132,63,161);">***Acteurs de l'écosystème réglementaire, normatif et de référence des bonnes pratiques***</span>
            - <span style="color:rgb(132,63,161);">***Méthodologies d'analyse de risque***</span>
            - <span style="color:rgb(132,63,161);">***Méthodologie de recherche et d'analyse de documentation, y compris en anglais***</span>

- <span style="color:rgb(132,63,161);">***U6 - Valorisation de la donnée et cybersécurité***</span>
    - <span style="color:rgb(132,63,161);">***D5 : Audit de l'installation ou du système***</span>
        - <span style="color:rgb(132,63,161);">***C03 : Gérer un projet***</span>
            - <span style="color:rgb(132,63,161);">***Moyens, outils et méthodes permettant d'effectuer une veille technologique***</span>
        - <span style="color:rgb(132,63,161);">***C10 : Exploiter un réseau informatique***</span>
            - <span style="color:rgb(132,63,161);">***Usage et documents réglementaires, normatifs adoptés au sein de l'entreprise et du secteur de la sécurité des systèmes d'information***</span>

</td></tr></tbody></table>

#### <span style="text-decoration:underline;color:rgb(35,111,161);">I. Les recommandations et bonnes pratiques</span>

Suite au TP de l'introduction, les étudiants doivent avoir téléchargé les guides de bonnes pratique et en avoir un résumé assez clair.

Lien de téléchargements :

- [EXT - anssi : règles d'or](https://docs.labs404.fr/attachments/13)
- [EXT - anssi : bonnes pratiques](https://docs.labs404.fr/attachments/14)

Il peut être bon d'afficher les fiches de synthèse dans la classe.

Pour chaque point suivant, expliquer avec des exemple et leur demander une analyse de risque basique :

1. Mots de passe forts uniques (brute force, attaque par dictionnaire, fuite de donnée, ...)
2. Garder les systèmes à jour (failles, zeroday, ...)
3. Effectuer des sauvegardes régulières, si possible offline et externalisées (incendie, cryptolocker, ...)
4. Réfléchir avant de cliquer (l'attaquant crée une situation d'urgence pour nous berner)

#### <span style="text-decoration:underline;"><span style="color:rgb(35,111,161);text-decoration:underline;">II. Analyse de risque cybersécurité</span></span>

##### <span style="color:rgb(53,152,219);">**2.1 La norme ISO27001**</span>

Présenter rapidement la norme ISO 27001, son historique et son but en s'appuyant sur : [EXT - Wikipedia : iso 27005](https://docs.labs404.fr/attachments/15)

##### **<span style="color:rgb(53,152,219);">2.2 La méthode EBIOS</span>**

Que cela soit pour un audit de sécurité ou pour une analyse interne, il est important de savoir évaluer correctement le risque sécu et qualifier le niveau de menace.

S'appuyer sur les documents de l'anssi pour organiser les ateliers : [EXT - anssi : Methode ebios](https://docs.labs404.fr/attachments/16)

<p class="callout info">**TP** : dérouler les ateliers présentés dans le document de l'anssi et le mettre en parallèle avec le projet à venir.</p>

#### <span style="text-decoration:underline;"><span style="color:rgb(35,111,161);text-decoration:underline;">III. Les outils de veille</span></span>

Présentation des outils de veille et des bulletins CERT-FR. Lecture d'un ou deux exemple.

Explication de la nécessité de disposer d'outils de veille technologique, notamment les flux RSS de l'anssi et de la cnil.

Etendre cette veille aux aspect technologiques, ne pas négliger les réseaux style LinkedIn ou des agrégateurs d'actualité.

- Flux RSS anssi : [https://www.cert.ssi.gouv.fr/feed/](https://www.cert.ssi.gouv.fr/feed/ "https://www.cert.ssi.gouv.fr/feed/")
- Flux RSS CNIL : [https://www.cnil.fr/fr/rss.xml](https://www.cnil.fr/fr/rss.xml "https://www.cnil.fr/fr/rss.xml")

<p class="callout success">**Conseil** : il sera utile plus tard de mettre en place ces flux dans GLPI par exemple.</p>

<p class="callout info">**TP** : mise en place de flux RSS sur teams ou discord.</p>

---

*Supports de cours associés :*

- [Sécurité - Analyse de risque (méthode Ebios)](https://docs.mfrstegreve.fr/books/cours-theoriques/page/securite-analyse-de-risque-methode-ebios "Sécurité - Analyse de risque (méthode Ebios)")

*Ressources associées :*

- *<span style="color:rgb(132,63,161);">[Solidité mots de passe (2025)](https://docs.mfrstegreve.fr/books/ressources/page/solidite-mots-de-passe-2025 "Solidité mots de passe (2025)")</span>*
- *<span style="color:rgb(132,63,161);">[Evaluation des risques cybersécurité](https://docs.mfrstegreve.fr/books/ressources/page/evaluation-des-risques-cybersecurite "Evaluation des risques cybersécurité")</span>*
- *<span style="color:rgb(132,63,161);">[Méthodologie - Méthode PDCA](https://docs.mfrstegreve.fr/books/ressources/page/methodologie-methode-pdca "Méthodologie - Méthode PDCA")</span>*