Rapport d'audit ou d'évaluation de sécurité
Description
Grille pour noter un rapport d'audit (technique, organisationnel ou conformité) : structure, fond, priorisation et valeur pour le décideur.
Contexte d'application
Module GRC, audit interne, ou restitution après un pentest / revue de configuration. Peut servir de grille d'auto-évaluation avant rendu final.
Critères et rubrics
Structure et lisibilité
20 %Plan, navigation, cohérence entre résumé et détails.
Insuffisant
Document désordonné, titres absents, doublons majeurs.
Acceptable
Plan présent mais lecture difficile pour un non-expert.
Bon
Structure claire ; encadrés et synthèses utiles.
Excellent
Double lecture réussie (DSI + RSSI) sans relecture technique obligatoire.
Exactitude et sourçage
25 %Fiabilité des constats, références (normes, benchmarks, preuves).
Insuffisant
Affirmations non sourcées ou erreurs factuelles.
Acceptable
Majorité correcte mais quelques imprécisions ou généralisations.
Bon
Constats vérifiables ; références pertinentes.
Excellent
Traçabilité complète ; distinction constat / interprétation / recommandation.
Analyse de risque et criticité
25 %Évaluation de la gravité, vraisemblance, exposition business.
Insuffisant
Tout est « critique » ou aucune priorisation.
Acceptable
Échelle utilisée mais justification faible.
Bon
Priorisation cohérente avec matrices ou scores expliqués.
Excellent
Scénarios d'abus, dépendances et effets de bord intégrés à la criticité.
Recommandations actionnables
20 %Mesures concrètes, effort, quick wins vs chantiers.
Insuffisant
Recommandations vagues (« renforcer la sécurité »).
Acceptable
Liste de bonnes pratiques sans ordre ni effort.
Bon
Roadmap par vague ; critères de succès indiqués.
Excellent
Quick wins / mid / long terme avec indicateurs et responsables suggérés.
Synthèse décisionnelle
10 %Message clé pour la direction en 1–2 pages.
Insuffisant
Pas de synthèse ou jargon opaque.
Acceptable
Synthèse présente mais peu orientée décision.
Bon
Top risques et arbitrages possibles identifiés.
Excellent
Arbitrages chiffrés ou scénarisés ; langage métier maîtrisé.
Questions fréquentes
Comment utiliser cette grille avec un barème sur 20 ?
Attribuez une note partielle par critère selon le niveau (insuffisant à excellent), ou convertissez chaque critère en points proportionnels à son poids. Les pourcentages indiqués sur la grille servent de guide de pondération.
Cette grille convient-elle à une évaluation en groupe ?
Oui pour les parties méthodologie et documentation ; pour l'exécution technique, précisez si la note est collective ou individualisée (ex. contribution traçable dans le dépôt Git ou le rapport).
Comment lier cette évaluation au reste du cours ?
Référencez les objectifs pédagogiques du module dans le brief, et annoncez la grille avant le TP pour éviter les surprises. Un court auto-contrôle à remplir par les étudiants améliore la qualité des rendus.