Dans cette SAÉ, nous avons simulé la situation d'un consultant en sécurité informatique mandaté par une PME fictive du secteur logistique (50 employés, plusieurs postes de travail, accès internet non sécurisé). L'entreprise avait subi un incident de type phishing quelques semaines plus tôt. Notre mission : analyser les risques, identifier les failles de comportement et de configuration, puis proposer des mesures concrètes.
Les compétences visées étaient RT1 (Administrer les réseaux) et RT2 (Connecter les entreprises), à travers une approche de sensibilisation et d'analyse de risques.
Travail en groupe de 3. Ma contribution personnelle :
Tableau croisant les actifs de l'entreprise fictive (postes de travail, serveur de fichiers, messagerie, réseau Wi-Fi) avec les menaces identifiées (phishing, ransomware, accès non autorisé) et leur niveau de criticité (faible / moyen / élevé). Cette trace illustre directement l'AC11.05 : identifier les dysfonctionnements et les signaler.
Document d'une page, en langage accessible, listant 10 règles de sécurité pour les employés (mots de passe, mises à jour, comportement face aux mails suspects, utilisation du Wi-Fi). Rédigé pour être compréhensible sans formation technique — ce qui a nécessité plusieurs reformulations.
La matrice de risques est complète et bien structurée. La charte est lisible et a été appréciée lors de l'oral pour son côté concret et accessible.
Au départ, je confondais "menace" et "vulnérabilité". Il m'a fallu relire plusieurs ressources ANSSI avant de vraiment maîtriser la distinction.
J'aurais mieux réparti les rôles en amont dans le groupe. On a perdu du temps à la fin à coordonner des parties rédigées en parallèle avec des styles différents.
Cette démarche d'analyse de risques est transférable à tout contexte : une association, une collectivité, un service IT d'une grande entreprise. La méthode reste la même.