🛡️ B3.1 — Fondamentaux de la cybersécurité

BTS SIO • Bloc 3 — Concepts et mises en pratique

🎯 Le périmètre : qu'est-ce qu'un Système d'Information (SI) ?

🔹 Définition

Un Système d'Information (SI) regroupe l'ensemble des ressources (matérielles, logicielles, humaines, procédurales et informationnelles) qui permettent de collecter, traiter, stocker et diffuser des informations au sein d'une organisation.

Le SI est au cœur du fonctionnement d'une entreprise moderne. Sa protection est donc essentielle pour assurer la continuité d'activité.

1.2 Typologie des actifs

Un actif est un élément du SI ayant de la valeur pour l'organisation. On distingue plusieurs types d'actifs :

Actifs matériels

Postes de travail (ordinateurs, laptops)
Serveurs (physiques ou virtuels)
Équipements réseau (routeurs, switches, pare-feu)
Baies de stockage (NAS, SAN)
Équipements périphériques (imprimantes, scanners)

Actifs logiciels

Systèmes d'exploitation (Windows, Linux, macOS)
Applications métiers (ERP, CRM, logiciels spécifiques)
Bases de données (MySQL, PostgreSQL, Oracle)
Logiciels de sécurité (antivirus, pare-feu logiciels)

Actifs informationnels

Données clients et prospects
Données financières et comptables
Secrets industriels et brevets
Documents RH et données personnelles des employés
Code source et propriété intellectuelle

Actifs humains

Utilisateurs finaux
Administrateurs systèmes et réseaux
Développeurs
Prestataires externes
Direction

Actifs immatériels

Réputation et image de marque
Licences et contrats
Processus métiers
Savoir-faire et compétences

1.3 Notion de criticité

Criticité des actifs

Tous les actifs n'ont pas la même importance. La criticité d'un actif dépend de :

Son importance pour le fonctionnement de l'organisation
La sensibilité des données qu'il contient
L'impact de sa compromission ou indisponibilité
Sa valeur financière

💡 Exemple : Le serveur de base de données clients d'un site e-commerce est plus critique qu'un poste de travail d'un stagiaire.

📝 EXERCICE 1 : Identification et classification des actifs

Contexte : La société TechStore est une PME de 30 salariés qui vend du matériel informatique en ligne.

Elle possède un site e-commerce développé en interne, gère une base de données clients, et dispose d’un réseau informatique interne.

Votre mission est d’analyser les actifs de l’entreprise et de les classer selon leur criticité (1 = le plus critique).

Consignes

Pour chaque actif, indiquer sa catégorie (matériel, logiciel, informationnel, humain, immatériel)
Classer par ordre de criticité (1 = le plus critique, 12 = le moins critique)
Justifier le classement des 3 actifs les plus critiques

Format de réponse attendu

N°	Actif	Catégorie
1	Serveur hébergeant le site e-commerce
2	Base de données clients (informations personnelles et historiques d’achat)
3	Site web e-commerce (application développée en interne)
4	Ordinateurs des employés (postes de travail)
5	Responsable informatique (administrateur réseau/système)
6	Réputation et avis clients sur Internet
7	Fichier comptable annuel (bilan, factures, salaires)
8	Routeur et pare-feu de l’entreprise
9	Logiciel de gestion des stocks
10	Employé du service client
11	Nom de domaine "techstore.fr"
12	Données de connexion (identifiants employés)

🔒 Les trois piliers de la sécurité : Confidentialité – Intégrité – Disponibilité (CIA)

La sécurité informatique repose sur trois piliers fondamentaux, souvent appelés triade CIA :

🔐 2.1 Confidentialité

Définition : La confidentialité garantit que l'information n'est accessible qu'aux personnes autorisées.

Objectif : Protéger contre la divulgation non autorisée d'informations.

Exemples de mesures :

Chiffrement des données (au repos et en transit)
Contrôle d'accès (authentification, autorisation)
Classification des données
VPN pour les accès distants

💡 Exemple de violation : Un employé malveillant copie la base de données clients sur une clé USB et la vend à un concurrent.

🧱 2.2 Intégrité

Définition : L'intégrité assure que l'information n'a pas été modifiée de manière non autorisée ou accidentelle.

Objectif : Protéger contre l'altération des données.

Exemples de mesures :

Fonctions de hachage (SHA-256, MD5)
Signatures numériques
Contrôles d'accès en écriture
Journalisation (logs)
Sauvegardes régulières

💡 Exemple de violation : Un attaquant modifie les prix des produits dans la base de données d'un site e-commerce.

⚙️ 2.3 Disponibilité

Définition : La disponibilité garantit que les services et données sont accessibles quand nécessaire.

Objectif : Protéger contre les interruptions de service.

Exemples de mesures :

Sauvegardes et restaurations testées
Redondance des systèmes (serveurs, liens réseau)
Plan de Reprise d'Activité (PRA) / Plan de Continuité d'Activité (PCA)
Protection contre les attaques DDoS
Maintenance préventive

💡 Exemple de violation : Une attaque DDoS rend le site web d'une banque inaccessible pendant plusieurs heures.

2.4 Autres propriétés de sécurité

Propriétés complémentaires

Bien que la triade CIA soit fondamentale, d'autres propriétés sont importantes :

Traçabilité (Auditabilité) : capacité à retracer les actions effectuées.
Non-répudiation : chaque action ne peut être niée par un tiers.
Authenticité : garantie de l'identité d'une entité.
Preuve : capacité à démontrer qu'un événement s'est produit.

📝 EXERCICE 2 : Association piliers CIA et scénarios

Consigne

Pour chaque scénario, identifier quel(s) pilier(s) de la triade CIA est/sont compromis. Justifier la réponse.

Scénarios

Un ransomware chiffre tous les fichiers d'un serveur de fichiers partagés. Les employés ne peuvent plus accéder à leurs documents de travail.
Un administrateur système modifie accidentellement la configuration d'un routeur, ce qui entraîne des pertes de paquets et des erreurs de transmission.
Un pirate informatique intercepte les communications entre un client et le serveur web d'une banque en ligne, et récupère les identifiants de connexion.
Une panne électrique prolongée met hors service le datacenter d'une entreprise pendant 8 heures.
Un employé mécontent modifie les adresses de livraison dans la base de données avant de quitter l'entreprise.
Un mail contenant des informations confidentielles sur un projet est envoyé par erreur à tous les employés au lieu d'être envoyé uniquement à l'équipe projet.

Format de réponse attendu

Scénario	Pilier(s) compromis	Justification
1	...	...

⚠️ Menaces, vulnérabilités, incidents et risques

3.1 Définitions

⚠️ Menace

Définition : Une menace est un événement (intentionnel ou accidentel) susceptible d'exploiter une vulnérabilité et de causer un dommage.

Types de menaces :

Menaces humaines intentionnelles : attaquants externes (hackers), employés malveillants, cybercriminels, espionnage industriel
Menaces humaines non intentionnelles : erreurs humaines, négligence, mauvaise manipulation
Menaces techniques : malwares (virus, trojans, ransomware), failles logicielles, défaillances matérielles
Menaces environnementales : catastrophes naturelles (inondations, incendies), pannes électriques, dégâts des eaux

💡 Exemple : Un groupe de cybercriminels spécialisé dans le ransomware.

🔓 Vulnérabilité

Définition : Une vulnérabilité est une faiblesse d'un actif susceptible d'être exploitée par une menace.

Types de vulnérabilités :

Vulnérabilités techniques : failles logicielles non patchées (CVE), configurations par défaut, absence de chiffrement
Vulnérabilités organisationnelles : absence de procédures, manque de formation, absence de politique de sécurité
Vulnérabilités physiques : absence de contrôle d'accès physique, câblage non sécurisé
Vulnérabilités humaines : manque de sensibilisation, absence de vigilance

💡 Exemple : Un serveur Windows non patché depuis 6 mois présentant des failles de sécurité connues.

🚨 Incident

Définition : Un incident est la réalisation effective d'une menace exploitant une vulnérabilité, entraînant un impact réel sur l'organisation.

💡 Exemple : Une attaque ransomware réussie ayant chiffré l'ensemble des serveurs de fichiers.

📈 Risque

Définition : Le risque est la combinaison de la vraisemblance (probabilité) qu'un événement se produise et de son impact (gravité des conséquences).

Formule fondamentale :

Risque = Vraisemblance × Impact

Où :

Vraisemblance (ou probabilité) tient compte de :
- La présence et la motivation de la menace
- Les capacités de l'attaquant
- L'existence et la sévérité des vulnérabilités
- Les mesures de sécurité déjà en place
Impact évalue les conséquences potentielles sur :
- L'aspect financier
- L'aspect opérationnel
- L'aspect réputationnel
- L'aspect juridique
- L'aspect humain (sécurité des personnes)

3.2 Relation entre les concepts

MENACE + VULNÉRABILITÉ = RISQUE POTENTIEL

Si la MENACE exploite la VULNÉRABILITÉ = INCIDENT

INCIDENT → IMPACT sur l'organisation

💡 Exemple concret

Menace : Groupe de hackers ciblant les PME avec des ransomwares
Vulnérabilité : Absence de sauvegardes hors ligne dans une PME
Risque : Probabilité élevée que la PME soit victime d'un ransomware avec impact critique
Incident : Attaque ransomware réussie
Impact : Perte de toutes les données, arrêt d'activité, paiement de rançon

📝 EXERCICE 3 : Distinction menace / vulnérabilité / risque / incident

Consigne

Pour chaque situation, identifier s'il s'agit d'une menace, d'une vulnérabilité, d'un risque ou d'un incident. Justifier.

Situations

Le serveur web de l'entreprise fonctionne avec une version d'Apache datant de 2018.
Un groupe de hackers connu sous le nom de "DarkSide" cible les entreprises du secteur de la santé.
La combinaison d'un serveur obsolète et de l'existence de groupes malveillants pourrait entraîner une compromission du système avec un impact financier de 200 000€.
Un employé clique sur un lien de phishing et installe un malware sur son poste, qui se propage ensuite à 15 autres machines du réseau.
Les employés n'ont jamais été formés à reconnaître les tentatives de phishing.
Un concurrent tente régulièrement d'obtenir des informations confidentielles sur les projets de recherche de l'entreprise.
L'entreprise pourrait subir un vol de données confidentielles par un concurrent, ce qui entraînerait une perte d'avantage concurrentiel estimée à 500 000€.
Les mots de passe des comptes administrateurs sont stockés dans un fichier Excel non protégé sur un partage réseau accessible à tous.

Format de réponse attendu

N°	Type	Justification
1	...	...

4. Les enjeux de la cybersécurité

La cybersécurité est un enjeu majeur pour toutes les organisations, quelle que soit leur taille. Une attaque réussie peut avoir des conséquences graves et durables.

4.1 Conséquences financières

Les impacts financiers d'une cyberattaque sont souvent sous-estimés et peuvent être dévastateurs :

Coûts directs :

Perte d'argent par vol (fraude bancaire, détournement)
Paiement de rançons (ransomware)
Coûts de remédiation et de récupération
Frais d'expertise (consultants, forensics)
Frais juridiques
Investissements de sécurité d'urgence

Coûts indirects :

Perte de clients et de revenus
Arrêt de production
Perte de contrats
Baisse du cours de l'action (pour les sociétés cotées)
Augmentation des primes d'assurance

📊 Chiffres clés :

Coût moyen d'une violation de données : 4,5 millions d'euros
Coût moyen d'une attaque ransomware : 4,5 millions d'euros
Temps moyen d'arrêt lors d'un ransomware : 21 jours
60% des PME victimes d'une cyberattaque ferment dans les 6 mois

4.2 Conséquences réputationnelles

L'impact sur l'image est souvent le plus durable :

Perte de confiance des clients et partenaires
Détérioration de l'image de marque
Couverture médiatique négative
Perte de compétitivité
Difficultés de recrutement
Méfiance des investisseurs

💡 Exemple : La cyber-attaque du vendredi 10 octobre 2025 paralyse totalement les systèmes informatiques de l'académie de Lille et d'Amiens. Le ransomware russe Qilin serait responsable de cette paralysie.

4.3 Conséquences juridiques

Le cadre légal impose des obligations strictes :

Sanctions RGPD (jusqu'à 4% du chiffre d'affaires mondial annuel ou 20 millions d'euros)
Poursuites judiciaires par les victimes
Amendes réglementaires
Responsabilité civile et pénale des dirigeants
Obligation de notification aux autorités (CNIL) et aux personnes concernées
Audits et contrôles renforcés

💡 Exemple : British Airways a été condamnée à une amende de 20 millions de livres sterling en 2020 pour une violation de données affectant 400 000 clients.

4.4 Conséquences opérationnelles

L'impact sur le fonctionnement peut être paralysant :

Arrêt total ou partiel de l'activité
Perte de productivité
Impossibilité de livrer les clients
Rupture de la chaîne d'approvisionnement
Perte de données critiques

4.5 Conséquences humaines

L'aspect humain est souvent négligé :

Stress et anxiété des employés
Licenciements suite à une fermeture
Mise en danger dans certains secteurs (santé, infrastructures critiques)
Atteinte à la vie privée des personnes concernées

💡 Exemple concret : WannaCry (2017)

Plus de 100 millions d'euros de pertes
19 000 rendez-vous médicaux annulés
Opérations chirurgicales reportées
Ambulances détournées
Mise en danger de patients

5. Typologie des menaces (détaillée)

5.1 Menaces humaines intentionnelles

Attaquants externes (hackers)

Script kiddies : attaquants peu qualifiés utilisant des outils existants
Hacktivistes : motivés par des causes politiques ou sociales
Cybercriminels : motivés par l'argent (ransomware, fraude)
Concurrents : espionnage industriel

Menaces internes

Employés malveillants : sabotage, vol de données, revente d'informations
Employés négligents : erreurs, non-respect des procédures
Anciens employés : accès non révoqués, connaissance de l'infrastructure

5.2 Menaces techniques

Malwares (logiciels malveillants)

Virus : se propage en s'attachant à des fichiers
Vers : se propage de manière autonome sur le réseau
Trojans (chevaux de Troie) : se déguise en logiciel légitime
Ransomware : chiffre les données et demande une rançon
Spyware : collecte des informations à l'insu de l'utilisateur
Rootkit : dissimule sa présence et donne un accès privilégié
Botnet : réseau d'ordinateurs compromis contrôlés à distance

Failles et vulnérabilités logicielles

Bugs dans le code
Vulnérabilités zero-day (non encore corrigées)
Configurations par défaut non sécurisées
Logiciels obsolètes non maintenus

Attaques réseau

DDoS (Distributed Denial of Service) : saturation des ressources
Man-in-the-Middle (MitM) : interception des communications
Sniffing : écoute du trafic réseau
Spoofing : usurpation d'identité (IP, DNS, ARP)

Défaillances systèmes

Pannes matérielles
Bugs système
Incompatibilités logicielles

5.3 Menaces environnementales

Menaces environnementales

Catastrophes naturelles : inondations, tremblements de terre, tempêtes
Incendies
Dégâts des eaux
Pannes électriques
Problèmes de climatisation (surchauffe des serveurs)
Pandémies (impact sur le personnel, télétravail non préparé)

5.4 Menaces légales et contractuelles

Menaces légales et contractuelles

Non-conformité RGPD
Violations de licences logicielles
Non-respect des obligations contractuelles
Changements réglementaires
Litiges juridiques

📝 EXERCICE 4 : Classification des menaces

Consigne

Classer chaque menace dans la catégorie appropriée (Humaine intentionnelle / Humaine non intentionnelle / Technique / Environnementale / Légale). Puis, pour chaque menace, proposer UNE mesure de protection adaptée.

Liste des menaces

Un développeur mécontent insère une porte dérobée dans le code source avant de quitter l'entreprise.
Une secrétaire envoie par erreur un document confidentiel à un mauvais destinataire.
Un ver informatique exploite une faille non patchée pour se propager sur tout le réseau de l'entreprise.
Une inondation du sous-sol détruit les serveurs qui y étaient stockés.
L'entreprise utilise un logiciel dont la licence a expiré, ce qui entraîne une violation contractuelle.
Un groupe APT chinois tente d'accéder aux secrets industriels d'une entreprise aéronautique française.
Un stagiaire configure mal le pare-feu et expose accidentellement des services internes sur Internet.
Un tremblement de terre endommage le datacenter principal.
La CNIL effectue un contrôle et découvre que l'entreprise ne respecte pas ses obligations RGPD.
Un botnet lance une attaque DDoS massive contre le site web de l'entreprise.

Format de réponse attendu

N°	Catégorie	Mesure de protection proposée
1	...	...

6. Exemples d'attaques courantes (détaillées)

6.1 Phishing (Hameçonnage)

Description

Technique d'ingénierie sociale visant à tromper les victimes pour qu'elles révèlent des informations sensibles (identifiants, mots de passe, données bancaires).

Comment ça fonctionne

L'attaquant envoie un mail frauduleux se faisant passer pour un organisme connu (banque, administration, service IT)
Le mail contient un lien vers un site web factice (spoofing)
La victime saisit ses identifiants sur le faux site
L'attaquant récupère les identifiants et les utilise

Variantes

Spear phishing : attaque ciblée sur une personne spécifique
Whaling : ciblant les dirigeants
Vishing : par téléphone
Smishing : par SMS

Chiffres clés

30% des utilisateurs ouvrent les mails de phishing
12% cliquent sur les liens malveillants
90% des violations de données commencent par un phishing

Mesures de protection

Formation et sensibilisation des utilisateurs
Filtrage des mails (anti-spam, anti-phishing)
Authentification multi-facteurs (MFA)
Vérification des expéditeurs et des URLs
Bannières d'avertissement sur les mails externes

6.2 Ransomware (Rançongiciel)

Description

Logiciel malveillant qui chiffre les données de la victime et exige une rançon pour les déchiffrer.

Comment ça fonctionne

Infection initiale (phishing, faille RDP, clé USB infectée)
Exécution du ransomware
Mouvement latéral (propagation sur le réseau)
Chiffrement des données
Affichage de la demande de rançon (généralement en Bitcoin)
Éventuellement : vol des données avant chiffrement (double extorsion)

Chiffres clés

Coût moyen : 4,5 millions d'euros
Temps moyen d'arrêt : 21 jours
32% des victimes paient la rançon
Seulement 65% de celles qui paient récupèrent leurs données

Exemples notables

WannaCry (2017) : 300 000 ordinateurs dans 150 pays, 100M€ de pertes pour le NHS
NotPetya (2017) : 10 milliards de dollars de dommages
Colonial Pipeline (2021) : paralysie d'un pipeline de carburant aux USA, rançon de 4,4M$

Mesures de protection

Sauvegardes régulières (règle 3-2-1 : 3 versions dont une hors-site)
Sauvegardes hors ligne et immutables
Segmentation réseau
Mises à jour régulières
Désactivation des macros Office
Restriction des droits administrateur
EDR (Endpoint Detection and Response)
Plan de réponse aux incidents

6.3 DDoS (Déni de Service Distribué)

Description

Attaque visant à rendre un service inaccessible en le saturant de requêtes.

Comment ça fonctionne

L'attaquant contrôle un botnet (réseau de machines compromises)
Il lance une attaque massive simultanée
Le serveur cible est saturé et ne peut plus répondre aux utilisateurs légitimes

Types d'attaques DDoS

Volumétriques : saturation de la bande passante (UDP flood, DNS amplification)
Protocoles : exploitation des faiblesses des protocoles (SYN flood)
Applicatives : ciblage des applications web (HTTP flood)

Chiffres clés

Durée moyenne : 4 heures
Coût moyen : 120 000€ par heure d'indisponibilité
Taille record : 2.3 Tbps (Amazon, 2020)

Mesures de protection

Services anti-DDoS (Cloudflare, Akamai)
Surdimensionnement de la bande passante
CDN (Content Delivery Network)
Filtrage du trafic
Architectures scalables et résilientes

6.4 Injection SQL

Description

Attaque exploitant les formulaires web pour injecter du code SQL malveillant et accéder à la base de données.

Comment ça fonctionne

L'attaquant identifie un formulaire vulnérable
Il injecte du code SQL dans les champs (ex: ' OR '1'='1)
La requête SQL est modifiée
L'attaquant contourne l'authentification ou accède aux données

Exemple de code vulnérable

SELECT * FROM users WHERE username = '$username' AND password = '$password'

Injection : admin' -- dans le champ username

SELECT * FROM users WHERE username = 'admin' --' AND password = ''

Conséquences possibles

Vol de données massif
Modification de données
Suppression de données
Contournement de l'authentification
Escalade de privilèges
Exécution de commandes système

Mesures de protection

Requêtes préparées (prepared statements)
ORM (Object-Relational Mapping)
Validation et échappement des entrées
Principe du moindre privilège pour les comptes BDD
WAF (Web Application Firewall)
Tests de sécurité réguliers

6.5 Autres attaques importantes

Attaques par force brute

Tentatives répétées de deviner un mot de passe en essayant toutes les combinaisons possibles.

Attaques par dictionnaire

Utilisation d'une liste de mots de passe courants.

Attaque de l'homme du milieu (Man-in-the-Middle)

Interception des communications entre deux parties.

Cross-Site Scripting (XSS)

Injection de scripts malveillants dans des pages web.

Zero-day

Exploitation d'une vulnérabilité inconnue avant qu'un correctif soit disponible.

📝 EXERCICE 5 : Étude de cas - Analyse d'une attaque

Contexte

L'entreprise "MediCare", une clinique privée de 100 employés, a été victime d'une cyberattaque. Voici le déroulé des événements :

Chronologie

Jour 1, 9h30 : Un employé de la comptabilité reçoit un mail prétendant provenir du directeur financier, demandant de cliquer sur un lien pour consulter un document urgent.
Jour 1, 9h35 : L'employé clique sur le lien et entre ses identifiants sur une page de connexion factice.
Jour 1, 14h00 : L'attaquant utilise les identifiants volés pour se connecter au VPN de l'entreprise depuis l'étranger.
Jour 1, 14h30 : L'attaquant se déplace latéralement sur le réseau et identifie les serveurs contenant les dossiers médicaux.
Jour 2, 3h00 : L'attaquant déploie un ransomware qui commence à chiffrer les données.
Jour 2, 8h00 : Les employés découvrent que tous les dossiers médicaux sont inaccessibles. Un message de rançon demande 500 000€ en Bitcoin.
Jour 2, 8h30 : Les opérations chirurgicales de la journée doivent être annulées. Les rendez-vous médicaux ne peuvent plus être honorés.

Informations complémentaires

L'entreprise n'avait pas de sauvegardes récentes des dossiers médicaux
L'authentification à deux facteurs n'était pas activée sur le VPN
Les employés n'avaient jamais reçu de formation sur le phishing
Tous les postes avaient des droits administrateur
Le réseau n'était pas segmenté

Consignes

Identifiez le type d'attaque initial (vecteur d'entrée)
Listez toutes les vulnérabilités qui ont permis à l'attaque de réussir (minimum 5)
Pour chaque pilier de la triade CIA, indiquez s'il a été compromis et comment
Évaluez les conséquences de cette attaque (financières, opérationnelles, juridiques, réputationnelles)
Proposez 5 mesures de sécurité prioritaires qui auraient pu prévenir cette attaque
L'entreprise doit-elle notifier cet incident à la CNIL ? Justifiez et dans quel délai

Format de réponse attendu

Rédigez une analyse structurée répondant à chaque point.

7. Calcul du risque (méthodologie détaillée)

7.1 Formule fondamentale du risque

RISQUE = VRAISEMBLANCE × IMPACT

Cette formule simple permet d'évaluer et de prioriser les risques de sécurité.

7.2 Évaluation de la vraisemblance

La vraisemblance (ou probabilité) qu'une menace se réalise dépend de plusieurs facteurs :

Échelle de vraisemblance

Niveau	Valeur	Probabilité	Description	Exemple
Très faible	1	< 5%	Événement exceptionnel, peu probable	Attaque APT ciblée sur une petite PME
Faible	2	5–25%	Événement rare	Sabotage interne dans une entreprise avec bonne culture sécurité
Moyenne	3	25–75%	Événement possible	Attaque par force brute sur un service exposé
Élevée	4	75–95%	Événement probable	Phishing sur des employés non formés
Très élevée	5	> 95%	Événement quasi certain	Exploitation d'une vulnérabilité critique non patchée et publiquement connue

Facteurs influençant la vraisemblance

Attractivité de la cible : secteur d'activité, taille, données sensibles
Niveau de menace : existence de groupes actifs ciblant le secteur
Vulnérabilités présentes : failles connues, configurations faibles
Mesures de sécurité en place : plus elles sont efficaces, plus la vraisemblance diminue
Historique des incidents : incidents passés dans l'organisation ou le secteur
Contexte géopolitique : tensions internationales, conflits

7.3 Évaluation de l'impact

L'impact mesure la gravité des conséquences si l'événement se produit.

Échelle d'impact

Niveau	Valeur	Coût estimé	Description	Exemple
Négligeable	1	< 10 k€	Impact minimal, récupération rapide	Poste de travail non critique compromis
Mineur	2	10–100 k€	Impact limité, quelques heures d'interruption	Serveur de test compromis
Majeur	3	100 k€ – 1 M€	Impact significatif, plusieurs jours d'interruption	Fuite de données clients non sensibles
Critique	4	1–10 M€	Impact grave, semaines d'interruption	Ransomware sur serveurs de production
Catastrophique	5	> 10 M€	Survie de l'organisation en jeu	Fuite massive de données médicales

Types d'impacts à évaluer

Impact financier

Pertes directes (vol, rançon)
Coûts de remédiation
Pertes d'exploitation
Amendes et sanctions
Frais juridiques

Impact opérationnel

Durée d'interruption des services
Perte de productivité
Impossibilité de livrer les clients
Dégradation de la qualité de service

Impact réputationnel

Perte de confiance
Couverture médiatique
Perte de clients
Difficulté à recruter

Impact juridique

Sanctions RGPD
Poursuites judiciaires
Responsabilité pénale
Non-conformité réglementaire

Impact humain

Sécurité des personnes
Stress des employés
Atteinte à la vie privée

Impact stratégique

Perte d'avantage concurrentiel
Vol de propriété intellectuelle
Perte de parts de marché

💡 Conseil : Pour une évaluation réaliste, prenez l'impact le plus élevé parmi toutes les dimensions.

7.4 Matrice des risques

La matrice des risques permet de visualiser la criticité d'un scénario en croisant sa probabilité (vraisemblance) et son impact (gravité). Positionnez chaque scénario sur la grille et déduisez le niveau de risque.

Probabilité ↓ / Impact →

Très faible

Faible

Moyen

Élevé

Critique

Très faible

Faible

Moyen

Faible

Moyen

Élevé

Moyen

Faible

Moyen

Élevé

Moyen

Élevé

Critique

Moyen

Élevé

Critique

Légende : Vert = faible, Orange = moyen, Rouge = élevé, Violet = critique.

7.5 Calcul de risque simplifié

Principe

Le calcul repose sur une formule unique et intuitive :

Risque = Vraisemblance × Impact

Attribuez une note de 1 à 5 à chaque dimension selon les définitions ci-dessous, puis lisez le niveau de risque via la grille de lecture.

Échelles simples (1–5)

Vraisemblance (P) : 1 Très faible, 2 Faible, 3 Moyenne, 4 Élevée, 5 Très élevée
Impact (I) : 1 Mineur, 2 Faible, 3 Significatif, 4 Élevé, 5 Critique

Lecture du résultat

1–4 → Faible
5–8 → Moyen
9–12 → Élevé
13–25 → Critique

Exemple rapide

Scénario : Indisponibilité du site web (attaque DDoS).

Évaluation : P = 3 (Moyenne), I = 4 (Élevé).

Risque = 3 × 4 = 12 → ÉLEVÉ

Après protections (anti-DDoS, CDN) : P = 2, I = 3.

Risque résiduel = 2 × 3 = 6 → MOYEN

📝 EXERCICE 6 : Calcul de risque pratique

Contexte

Vous êtes consultant en sécurité pour une entreprise e-commerce de 25 personnes. Le site web génère 2 millions d'euros de chiffre d'affaires annuel. Vous devez évaluer le risque d'une attaque DDoS.

Informations

Le site est hébergé sur un seul serveur web chez un hébergeur mutualisé
Aucune protection anti-DDoS n'est en place
L'hébergeur ne propose pas de service anti-DDoS
Le secteur e-commerce est régulièrement visé par des attaques DDoS
Une interruption de service coûterait environ 5 000€ par jour de perte de revenus
En cas d'attaque DDoS, le site pourrait être inaccessible pendant 3 à 5 jours

Consignes

Identifiez la menace, les vulnérabilités et l'actif concerné
Évaluez la vraisemblance (1-5) et justifiez votre choix
Évaluez l'impact (1-5) en détaillant les différents types d'impacts (financier, opérationnel, réputationnel)
Calculez le niveau de risque
Proposez 3 mesures de sécurité avec leur coût estimé
Recalculez le risque résiduel après implémentation des mesures

Format de réponse

Suivez le modèle simplifié ci-dessus.

8. Méthode d'analyse de risque (inspirée d'EBIOS Risk Manager)

8.1 Présentation de la méthode EBIOS

Présentation

EBIOS Risk Manager est une méthode française d'analyse des risques développée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Elle permet une approche structurée et complète de l'évaluation des risques cyber.

Pourquoi EBIOS ?

Méthode française reconnue et gratuite
Adaptable à tous types d'organisations
Approche par scénarios réalistes
Alignée avec les normes (ISO 27001, 27005)
Prise en compte du contexte métier

8.2 Les 5 ateliers EBIOS

Atelier 1 : Définir le contexte et le périmètre

Objectif

Quels actifs protéger et dans quel contexte ?

Actions

Définir le périmètre de l'étude (service, application, processus)
Identifier les biens essentiels (missions, processus métiers, informations)
Cartographier les biens supports (matériels, logiciels, réseaux, locaux, personnes)
Identifier les parties prenantes (clients, partenaires, fournisseurs, régulateurs)
Définir les valeurs métier et le contexte de sécurité existant

💡 Exemple

Périmètre : Service de paie de l'entreprise
Biens essentiels : Traitement des salaires, données RH
Biens supports : Logiciel de paie, serveur Windows, réseau, fichiers Excel
Parties prenantes : Employés, direction, URSSAF

Atelier 2 : Identifier les événements redoutés

Objectif

Quels sont les impacts que l'on veut éviter à tout prix ?

Actions

Définir les événements redoutés sur les biens essentiels
Exemples : "Divulgation des salaires", "Impossibilité de payer les salaires"
Évaluer la gravité de chaque événement redouté
Déterminer les critères de sécurité impactés (C, I, D)
Établir les seuils d'acceptabilité du risque

Exemples d'événements redoutés

ER1 : Divulgation des données de paie → Impact sur Confidentialité → Gravité 4/4
ER2 : Modification frauduleuse des salaires → Impact sur Intégrité → Gravité 4/4
ER3 : Impossibilité de traiter la paie → Impact sur Disponibilité → Gravité 3/4

Atelier 3 : Étudier les scénarios de menace

Objectif

Comment les attaquants peuvent-ils procéder ?

Actions

Identifier les sources de risque (SR) potentielles
Exemples : cybercriminels, employés malveillants, concurrents
Analyser leurs motivations et capacités
Modéliser les scénarios stratégiques (chemins d'attaque)
Évaluer la vraisemblance de chaque scénario

Exemple de scénario stratégique

SR : Employé mécontent du service RH
Motivation : Vengeance, divulgation
Capacité : Moyenne (accès légitime au système)
Scénario : Exfiltration des données de paie pour les divulguer publiquement
Vraisemblance : 3/4

Atelier 4 : Identifier les mesures de sécurité existantes

Objectif

Quelles protections sont déjà en place et sont-elles efficaces ?

Actions

Inventorier toutes les mesures de sécurité existantes
Techniques (firewall, antivirus, chiffrement, sauvegardes), Organisationnelles (procédures, formations, audits), Physiques (contrôle d'accès, vidéosurveillance)
Évaluer leur efficacité réelle (pas seulement théorique)
Identifier les lacunes et les faiblesses
Déduire le niveau de vulnérabilité des biens supports

💡 Exemple

✓ Antivirus à jour sur tous les postes (efficace)
✓ Sauvegardes quotidiennes (efficace)
✗ Pas de chiffrement des fichiers de paie (lacune)
✗ Droits d'accès trop larges (lacune)

Atelier 5 : Évaluer le risque et définir le plan de traitement

Objectif

Calculer les risques résiduels et proposer un plan d'action priorisé.

Actions

Calculer les risques résiduels pour chaque scénario
Risque = Vraisemblance × Gravité (impact)
Comparer aux seuils d'acceptabilité définis
Pour les risques inacceptables, proposer des mesures de traitement : Réduire, Transférer, Éviter, Accepter
Établir un plan d'action priorisé avec : Liste des mesures, Coûts estimés, Délais, Responsables
Planifier le suivi et les revues périodiques

💡 Exemple de plan de traitement

Mesure	Type	Priorité	Coût	Délai	Responsable	Risques traités
Chiffrement des fichiers paie	Technique	1	2 k€	1 mois	DSI	ER1
Revue des droits d'accès	Organisationnelle	1	0€	2 semaines	RSSI	ER1, ER2
Assurance cyber	Transfert	2	5 k€/an	2 mois	Direction	Tous

8.3 Version simplifiée en 6 étapes pour BTS

Version condensée

Pour faciliter l'apprentissage, voici une déclinaison en 6 étapes, directement utilisable en exercice.

Étape 1 : Définir le périmètre

Quels actifs ? Quelles données ? Quelles interfaces exposées ?

Étape 2 : Identifier les événements redoutés

Exemples : « Fuite de données clients », « Interruption du service de facturation »

Étape 3 : Lister les scénarios de menace

Comment une menace pourrait-elle se produire ?
Exemple : Phishing → Vol d'identifiants → Accès → Exfiltration

Étape 4 : Évaluer vraisemblance et impact

Attribuer des niveaux (1-5) et utiliser la matrice

Étape 5 : Définir les mesures

Proposer des mesures techniques, organisationnelles, physiques
Prioriser selon coût/efficacité

Étape 6 : Valider et documenter

Consigner les décisions
Calculer le risque résiduel
Établir le plan d'action et le calendrier

📝 EXERCICE 7 : Application de la méthode EBIOS simplifiée

Contexte

Vous travaillez pour « PetitCommerce », une boutique en ligne de 10 personnes vendant des vêtements. Le site web est critique pour l'activité (95% du CA). Vous devez réaliser une analyse de risque simplifiée selon la méthode EBIOS.

Informations sur l'infrastructure

Site web développé sur mesure (PHP/MySQL)
Hébergement mutualisé
Base de données contenant : clients, commandes, paiements
5 employés ayant accès au back-office
5 000 clients dans la base
CA annuel : 800 000€

Consignes

Suivez les 6 étapes de la méthode simplifiée.

Étape 1 : Définir le périmètre

Listez les biens essentiels (3 minimum)
Listez les biens supports (5 minimum)
Identifiez les parties prenantes

Étape 2 : Identifier les événements redoutés

Proposez 3 événements redoutés
Pour chacun, indiquez le(s) pilier(s) CIA impacté(s)
Évaluez la gravité (1-4)

Étape 3 : Lister les scénarios de menace

Choisissez 1 événement redouté
Décrivez 2 scénarios différents menant à cet événement
Pour chaque scénario, identifiez : source de risque, motivation, capacité

Étape 4 : Évaluer vraisemblance et impact

Pour vos 2 scénarios, évaluez la vraisemblance (1-5)
Évaluez l'impact détaillé (financier, opérationnel, juridique, réputationnel)
Donnez un niveau d'impact global (1-5)
Calculez le niveau de risque

Étape 5 : Définir les mesures

Pour chaque scénario, proposez 3 mesures de sécurité
Classez-les par priorité
Estimez un coût et un délai

Étape 6 : Plan d'action

Créez un tableau récapitulatif de votre plan d'action
Calculez le risque résiduel après implémentation

9. Typologie des mesures de sécurité

Pour traiter les risques identifiés, on peut implémenter différents types de mesures de sécurité. Il est important de bien les catégoriser pour avoir une approche équilibrée.

9.1 Mesures organisationnelles

Ce sont les mesures liées aux processus, procédures et organisation humaine.

Politiques et documentation

PSSI (Politique de Sécurité des Systèmes d'Information) : document cadre définissant les règles de sécurité
Chartes informatiques : règles d'usage pour les utilisateurs
Procédures opérationnelles : guides pas-à-pas pour les opérations sensibles
Documentation de sécurité : architecture, configurations, plans

Gestion des ressources humaines

Processus d'embauche : vérification des antécédents, clause de confidentialité
Sensibilisation et formation : formations régulières, campagnes de communication
Gestion des habilitations : attribution et revue des droits d'accès
Processus de départ : révocation des accès, restitution du matériel

Gestion des incidents

Playbooks et procédures : réponse aux incidents types
Équipe de réponse : rôles et responsabilités définis
Tests et exercices : simulations d'incidents régulières
Retours d'expérience : analyse post-incident

Gouvernance

Comité sécurité : revues régulières, décisions stratégiques
Gestion des risques : revues périodiques, mise à jour des analyses
Audits internes et externes : vérifications régulières de la conformité
Gestion des tiers : contrôle des prestataires et sous-traitants

9.2 Mesures techniques (logiques)

Ce sont les mesures implémentées via des technologies.

Authentification et gestion des identités

Authentification multi-facteurs (MFA) : mot de passe + OTP/app/clé FIDO
Gestionnaire de mots de passe : génération et stockage sécurisé
Single Sign-On (SSO) : authentification centralisée
PAM (Privileged Access Management) : gestion des comptes à privilèges
Politique de mots de passe : complexité, durée, historique

Chiffrement et cryptographie

Chiffrement au repos : disques, bases de données, fichiers
Chiffrement en transit : TLS/SSL, VPN, SSH
Signatures numériques : authentification et intégrité
PKI (Public Key Infrastructure) : gestion des certificats

Protection réseau

Pare-feu (Firewall) : filtrage du trafic entrant/sortant
Segmentation réseau : VLANs, DMZ, zones de confiance
IDS/IPS : détection et prévention d'intrusions
VPN : accès distants sécurisés
Proxy : filtrage web, contrôle d'accès Internet
Anti-DDoS : protection contre les attaques de déni de service

Protection des endpoints

Antivirus/Antimalware : détection et suppression de menaces
EDR (Endpoint Detection and Response) : détection avancée
Gestion des correctifs : déploiement automatisé des mises à jour
Contrôle d'application : whitelisting/blacklisting
Chiffrement de disque : BitLocker, FileVault

Sauvegardes et récupération

Stratégie 3-2-1 : 3 copies, 2 supports différents, 1 hors site
Sauvegardes incrémentales et différentielles
Sauvegardes hors ligne (air-gapped)
Sauvegardes immutables : protection contre la modification
Tests de restauration : vérification régulière
PRA/PCA : plans de reprise et de continuité

Surveillance et détection

Logs et journalisation : collecte et centralisation
SIEM (Security Information and Event Management) : corrélation d'événements
Monitoring réseau : surveillance du trafic
Alertes : notification en temps réel d'événements suspects
Threat Intelligence : veille sur les menaces émergentes

Contrôle d'accès

ACL (Access Control Lists) : listes de contrôle d'accès
RBAC (Role-Based Access Control) : accès basé sur les rôles
Principe du moindre privilège : droits minimaux nécessaires
Séparation des environnements : dev/test/production

9.3 Mesures physiques

Ce sont les mesures de protection de l'infrastructure physique.

Contrôle d'accès physique

Badges et cartes d'accès : identification des personnes
Biométrie : empreintes digitales, reconnaissance faciale
Sas de sécurité : contrôle d'entrée/sortie
Agent de sécurité : surveillance humaine
Registre des visiteurs : traçabilité

Surveillance

Vidéosurveillance (CCTV) : caméras de surveillance
Alarmes : détection d'intrusion
Rondes de sécurité : vérifications régulières

Protection environnementale

Système anti-incendie : détection, extinction automatique
Contrôle climatique : température, humidité pour les serveurs
UPS (onduleurs) : protection contre les coupures électriques
Générateurs : alimentation de secours
Détection de fuite d'eau : protection contre les dégâts des eaux

Protection du matériel

Baies verrouillées : armoires sécurisées pour serveurs
Câbles antivol : protection des équipements mobiles
Destruction sécurisée : broyage de documents, effacement de disques
Salles serveurs dédiées : espaces sécurisés

9.4 Comment choisir les bonnes mesures ?

Principes de sélection

Défense en profondeur : multiplier les couches de sécurité
Équilibre : combiner mesures techniques, organisationnelles et physiques
Proportionnalité : adapter aux risques et à la criticité
Coût/Efficacité : prioriser selon le ROI sécurité
Facilité d'usage : ne pas entraver le travail des utilisateurs