Analyse de risques cybersécurité (EBIOS, ISO, méthode interne)
Description
Notation d'une analyse de risques : périmètre, actifs, scénarios, traitements et plan de traitement.
Contexte d'application
Cas filière sur un SI fictif ou une startup scale-up. Compatible avec une approche EBIOS RM simplifiée.
Critères et rubrics
Cadrage et périmètre
20 %Actifs, parties prenantes, contexte métier.
Insuffisant
Périmètre flou ou actifs non priorisés.
Acceptable
Liste d'actifs sans critères de valeur.
Bon
Critères CIA / valeur métier explicités.
Excellent
Cartographie des dépendances et données sensibles réglementées.
Scénarios de risque
25 %Menaces, vulnérabilités, événements redoutés.
Insuffisant
Scénarios génériques non contextualisés.
Acceptable
Quelques scénarios crédibles mais peu détaillés.
Bon
Scénarios avec sources de menace et vecteurs.
Excellent
Couverture multi-couches (humain, supply chain, cloud).
Évaluation (vraisemblance / impact)
25 %Échelles, justification, incertitudes.
Insuffisant
Notation arbitraire.
Acceptable
Échelle utilisée sans calibration.
Bon
Arguments par scénario ; sensibilité testée.
Excellent
Monte Carlo qualitatif ou scénarios worst / base / best.
Stratégie de traitement
20 %Réduire, transférer, éviter, accepter : avec mesures.
Insuffisant
Tout « réduire » sans arbitrage coût.
Acceptable
Mesures listées sans lien aux scénarios.
Bon
Mesures mappées aux risques résiduels.
Excellent
Budget, délais, indicateurs de réduction du risque.
Plan de suivi
10 %Feuille de route, revues, indicateurs.
Insuffisant
Pas de plan de suivi.
Acceptable
Liste d'actions sans échéance.
Bon
Roadmap 12–24 mois.
Excellent
Rythme de revue du risque + triggers d'actualisation.
Questions fréquentes
Comment utiliser cette grille avec un barème sur 20 ?
Attribuez une note partielle par critère selon le niveau (insuffisant à excellent), ou convertissez chaque critère en points proportionnels à son poids. Les pourcentages indiqués sur la grille servent de guide de pondération.
Cette grille convient-elle à une évaluation en groupe ?
Oui pour les parties méthodologie et documentation ; pour l'exécution technique, précisez si la note est collective ou individualisée (ex. contribution traçable dans le dépôt Git ou le rapport).
Comment lier cette évaluation au reste du cours ?
Référencez les objectifs pédagogiques du module dans le brief, et annoncez la grille avant le TP pour éviter les surprises. Un court auto-contrôle à remplir par les étudiants améliore la qualité des rendus.