# 3.04 - Analyse de risque et bonnes pratiques en cybersécurité (SIO)

<table id="bkmrk-dur%C3%A9e-approximative-" style="border-collapse:collapse;width:100%;"><colgroup><col style="width:99.881%;"></col></colgroup><tbody><tr><td style="background-color:rgb(194,224,244);border-style:none;">**Durée approximative :** <span style="color:rgb(35,111,161);">***4h***</span>

**Éléments du référentiel adressé :**

- <span style="color:rgb(132,63,161);">**U7 - Cybersécurité des services informatiques**</span>
    
    
    - <span style="color:rgb(132,63,161);">**B3.4 : Garantir la disponibilité, l'intégrité et la confidentialité des services informatiques et des données de l'organisation face à des cyberattaques.**</span>

</td></tr></tbody></table>

#### <span style="text-decoration:underline;color:rgb(35,111,161);">I. Les recommandations et bonnes pratiques</span>

Suite au TP de l'introduction, les étudiants doivent avoir téléchargé les guides de bonnes pratique et en avoir un résumé assez clair.

Lien de téléchargements :

- [EXT - anssi : règles d'or](https://docs.mfrstegreve.fr/attachments/50)
- [EXT - anssi : bonnes pratiques](https://docs.mfrstegreve.fr/attachments/51)

Il peut être bon d'afficher les fiches de synthèse dans la classe.

Pour chaque point suivant, expliquer avec des exemple et leur demander une analyse de risque basique :

1. Mots de passe forts uniques (brute force, attaque par dictionnaire, fuite de donnée, ...)
2. Garder les systèmes à jour (failles, zeroday, ...)
3. Effectuer des sauvegardes régulières, si possible offline et externalisées (incendie, cryptolocker, ...)
4. Réfléchir avant de cliquer (l'attaquant crée une situation d'urgence pour nous berner)

#### <span style="text-decoration:underline;"><span style="color:rgb(35,111,161);text-decoration:underline;">II. Analyse de risque cybersécurité</span></span>

##### <span style="color:rgb(53,152,219);">**2.1 La norme ISO27001**</span>

Présenter rapidement la norme ISO 27001, son historique et son but en s'appuyant sur : [EXT - Wikipedia : iso 27005](https://docs.mfrstegreve.fr/attachments/52)

##### **<span style="color:rgb(53,152,219);">2.2 La méthode EBIOS</span>**

Que cela soit pour un audit de sécurité ou pour une analyse interne, il est important de savoir évaluer correctement le risque sécu et qualifier le niveau de menace.

S'appuyer sur les documents de l'anssi pour organiser les ateliers : [EXT - anssi : Methode ebios](https://docs.mfrstegreve.fr/attachments/53)

<p class="callout info">**TP** : dérouler les ateliers présentés dans le document de l'anssi et le mettre en parallèle avec le projet à venir.</p>

#### <span style="text-decoration:underline;"><span style="color:rgb(35,111,161);text-decoration:underline;">III. Les outils de veille</span></span>

Présentation des outils de veille et des bulletins CERT-FR. Lecture d'un ou deux exemple.

Explication de la nécessité de disposer d'outils de veille technologique, notamment les flux RSS de l'anssi et de la cnil.

Etendre cette veille aux aspect technologiques, ne pas négliger les réseaux style LinkedIn ou des agrégateurs d'actualité.

- Flux RSS anssi : [https://www.cert.ssi.gouv.fr/feed/](https://www.cert.ssi.gouv.fr/feed/ "https://www.cert.ssi.gouv.fr/feed/")
- Flux RSS CNIL : [https://www.cnil.fr/fr/rss.xml](https://www.cnil.fr/fr/rss.xml "https://www.cnil.fr/fr/rss.xml")

<p class="callout success">**Conseil** : il sera utile plus tard de mettre en place ces flux dans GLPI par exemple.</p>

<p class="callout info">**TP** : mise en place de flux RSS sur teams ou discord.</p>

---

*Supports de cours associés :*

- [Sécurité - Analyse de risque (méthode Ebios)](https://docs.mfrstegreve.fr/books/cours-theoriques/page/securite-analyse-de-risque-methode-ebios "Sécurité - Analyse de risque (méthode Ebios)")

*Ressources associées :*

- *<span style="color:rgb(132,63,161);">[Solidité mots de passe (2025)](https://docs.mfrstegreve.fr/books/ressources/page/solidite-mots-de-passe-2025 "Solidité mots de passe (2025)")</span>*
- *<span style="color:rgb(132,63,161);">[Evaluation des risques cybersécurité](https://docs.mfrstegreve.fr/books/ressources/page/evaluation-des-risques-cybersecurite "Evaluation des risques cybersécurité")</span>*
- *<span style="color:rgb(132,63,161);">[Méthodologie - Méthode PDCA](https://docs.mfrstegreve.fr/books/ressources/page/methodologie-methode-pdca "Méthodologie - Méthode PDCA")</span>*