Aide à la rédaction du mémoire - artafak/ESD_Ressources GitHub Wiki

Documents de référence

=> Accès aux ressources dans le repo Github ou sur Google Drive

Démarrage de votre mémoire

Certaines pages sont nécessaires à insérer dans votre mémoire :

  • votre présentation personnelle - 1 ou 2 pages en fonction de votre expérience
  • votre CV professionnel indiquant vos compétences et vos activités passées (les plus marquantes) - 1 ou 2 pages
  • votre fiche de poste détaillant vos missions et vos objectifs au sein de votre structure - 1 ou 2 pages
  • une page de remerciement envers votre hiérarchie, votre tuteur, votre famille, votre entourage professionnel (bref, qui vous voulez...) - 1 page
  • présentation de votre entreprise (nom, taille, type de structure, implantation géographique, secteur d'activité, contraintes particulières...) - 1 à 3 pages en fonction de la taille de votre structure
  • présentation de votre bureau, de votre équipe ou de votre secteur et des missions qui leurs sont dévolues. - 1 à 2 pages

Présentation de votre projet

Avant toute chose, vous devez présenter votre projet. Il sera nécessaire de l'aborder dans un contexte (pourquoi ce projet ?), une temporalité (Combien de temps à pris le projet dans la globalité ? Combien de temps à duré chaque étape ?), et en faire l'expression de besoin (A quoi il sert et quelle est sa plus-value ?) sans oublier de citer les rôles de chaque acteur du projet (responsable du projet, responsable hiérarchique, responsable technique ...)

Pour le contexte, expliquez en détail l'intérêt du projet (Quelle est la situation actuelle ? ses problématiques, ses forces, ses faiblesses ... ? Pourquoi ce projet ? Quels ont été les enjeux pour l'entreprise ? Pourquoi ce projet a été choisi plutôt qu'un autre ? Le besoin était t-il crucial ou d'intérêt pour l'entreprise ? Est-il rattaché à un autre projet de plus grande (ou moindre) envergure ?) Il est essentiel que dans cette étape, le lecteur de votre dossier puisse comprendre facilement l'intérêt du projet dans l'écosystème de votre entreprise, et les enjeux qu'il suscite. Les objectifs du projet doivent être clairs et détaillés. Ces objectifs doivent être SMART : Spécifiques, Mesurables, Atteignables, Pertinents et Temporellement définis, pour donner un schéma directeur au projet.

Diagramme de Gantt

Pour la temporalité, il est préférable d'utiliser un schéma clair, avec des étapes bien définies dans une durée fixe. Un diagramme de Gantt fera l'affaire, et est assez simple à réaliser. Un outil gratuit et opensource comme GanttProject vous facilitera la tâche, sinon vous pouvez opter pour des sites en ligne qui vous donneront le même résultat. N'hésitez pas à faire apparaître les étapes clés du projet, elles vous seront utiles au moment de votre soutenance devant le jury.

PDCA

Pour déterminer les actions du projet et en déduire des étapes claires, un PDCA (Plan-Do-Check-Act) sera essentiel et surtout enrichissant pour bien comprendre le raisonnement autour de votre projet.

Matrice RACI

Pour déterminer les rôles et les actions de chacun des acteurs du projet, utiliser une matrice RACI vous fera gagner du temps. C'est lisible est suffisamment bien fait pour que votre interlocuteur puisse voir en un coup d'œil qui est responsable de quoi dans votre projet.
Plus de détails sur ce site
Des modèles déjà prêts de matrice RACI sont disponibles sur le dépot Github, ou sur ce site.

Réaliser l'analyse de risques

Utilisez la méthode EBIOS Risk Manager vue en cours. Vous pouvez retrouver les documents de référence ici :

ATELIER 1 : Contexte

- Objectif(s)   
- Cadre temporel & cadre organisationnel   
- Périmètre   
- Mission   
- Valeur métier   
    - Bien support   
- Echelle de gravité   
- Evènements redoutés   
    - Impact   
    - Gravité   
- Socle de sécurité

ATELIER 2 SR / OV

- Source(s) de risque(s)   
- Objectif(s) visé(s)   
    - Tri de pertinence   
- Association SR/OV - Evènements redoutés

ATELIER 3 - Scénarios stratégiques

- Parties prenantes (Ecosystème)   
- Niveau de menace   
    - Niveaux d'exposition   
        - Dépendance   
        - Pénétration   
    - Niveau de fiabilité   
        - Confiance   
        - Maturité cyber   
- Scénario stratégique   
    - Chemin d'attaque (SR - directe ou PP - OV)

ATELIER 4 - Scénarios opérationnels

- Scénarios opérationnels (basés sur les chemins d'attaques)   
    - Mode(s) opératoire(s)   
        - action(s) élémentaire(s)   
- Vraisemblance

ATELIER 5 - Traitement du risque

- assemblage des éléments (nous donne le nom de nos risques)   
- évaluation (score de notre risque)     
- Matrice de risque   
- Plan de traitements de risque    
- Matrice de risque résiduel    
- Clôture & validation

En complément, vous pouvez suivre les cours en ligne EBIOS RM - la méthode dans la pratique qui offrent un complément détaillé sur chaque élément à travers les ateliers à réaliser.

Pour la création de votre socle de sécurité, il est nécessaire de vous baser sur des référentiels. En fonction du type d'entreprise où vous êtes, vous avez le choix entre :

Cette réglementation s’adresse à tout opérateur désigné Opérateur de service essentiel par arrêté du Premier Ministre

  • La directive Sécurité des réseaux et de l’information 2 (dite « directive NIS2 ») qui est l'évolution de la directive d'origine NIS, ajoutant une extension de périmètre à d'autres entreprises et amène aussi les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui rassemble l’ANSSI et ses homologues européens.
  • La norme ISO 27001 sur la sécurité de l'information, la cybersécurité et la protection de la vie privée qui permet de comparer le niveau de maturité du SI avec les exigences de la norme.
  • La norme ISO/IEC 27005 (2022 - 4ème Edition) EN/FR
    Sécurité de l'information, cybersécurité et protection de la vie privée — Conseils sur la gestion des risques liés à la sécurité de l'information
    Document de référence de la norme internationale standard, qui sert de base à l'analyse de risque, pour ensuite l'exploiter avec EBIOS RM (ou autre méthode similaire)
  • la Certification EUCS qui a pour mission de planter un cadre commun et les bases pour un marché numérique unique sécurisé au niveau européen.

Vous pouvez rechercher sur le site de l'ANSSI un guide sur l'etat de l'art de nombreuses technologies que vous présentez dans votre projet (Infrastructures virtuelles de type VMWare, cloud, Intelligence artificielle, architecture en tiers ...)

Dans le cas où votre entreprise est un OIV (Opérateur d'Importance Vitale) ou relié à un organisme publique traitant des données sensibles, vous pourriez avoir besoin de la liste des 70 recommandations pour les architectures des SI sensibles ou DR

  • L'Instruction Interministérielle n° 901/SGDSN/ANSSI (II 901) du 28 janvier 2015 définit les objectifs et les mesures de sécurité minimales relatifs à la protection des informations sensibles, notamment celles relevant du niveau Diffusion Restreinte (DR). Elle s'applique aux administrations de l'État qui mettent en œuvre des systèmes d'information sensibles ; aux entités publiques ou privées soumises à la réglementation relative à la protection du potentiel scientifique et technique de la nation (PPST) qui mettent en œuvre des systèmes d'information sensibles ; à toute autre entité publique ou privée qui met en œuvre des systèmes d'information Diffusion Restreinte.
  • La série de recommandations de l’ANSSI pour l’hébergement des systèmes d’information sensibles dans le cloud (SecNumCloud) qui est un outil d’aide à la décision pour les entités, qui envisagent un hébergement cloud pour leurs systèmes d’information (SI) de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que des SI d’importance vitale (SIIV).

N'hésitez pas à demander une version étudiante à durée limitée du logiciel Agile Risk Manager de all4tec, qui vous aidera grandement à faire votre analyse de risques. Toutes les infos sur l'ENT de l'ESD.

Conseils

Suivez bien les conseils donnés par l'ESD. Restez factuel, gardez à l'esprit que vous êtes le chef du projet que vous présentez (j'ai réalisé, j'ai demandé, j'ai effectué telle ou telle action ...) Partez du principe que le lecteur de votre mémoire n'est pas dans votre tête : vous devez vulgariser les éléments techniques et simplifier les détails, quitte à rajouter en annexe les éléments trop complexes que vous souhaitez tout de même partager. N'hésitez pas à mettre des schémas simples, mais toujours plus efficaces que de longs paragraphes. Ne vous arrêtez pas sur des détails, restez simples, et essayez de dérouler votre scénario (votre projet) de manière fluide. Mettez en lumière les étapes clés de votre projet. Ce sont ces points précis et particulièrement importants qui seront intéressants à présenter à l'oral devant le jury.

Sujets de veille / idées

Astuces utiles

Researchgate.net

Le site ResearchGate est une véritable source d'information centralisant de nombreux travaux de chercheurs dans tous les sujets (dont la cyber). La majorité des travaux provient de chercheurs du monde entier, publiant leurs recherches au sein de la communauté scientifique.
Une partie de ces travaux est disponible sans inscription, mais seulement de manière limitée (généralement les premières pages d'une étude). Pour s'inscrire, il est nécessaire de suivre un processus de validation assez contraignant, nécessitant une adresse mail appartenant à une organisation enregistrée dans un domaine de recherche. Dans notre cas, le fait d'appartenir à un site de formation et d'être étudiant est un moyen efficace.
Grâce à votre adresse mail @esdacademy.eu, vous pouvez vous inscrire sur ce site, et vous devrez suivre le processus de vérification en envoyant votre attestation de formation fournie par l'ENI.
Le site marche également par cooptation. Les personnes déjà inscrites appartenant à la même organisation (esdacademy) peuvent valider/reconnaître votre inscription (validation par ses pairs), et accélérer le processus de vérification.

Ce site est une mine d'information pour trouver et agrémenter votre sujet de R&D, mais également pour vos futures recherches dans votre métier !

Lors de votre inscription, choisissez :

  • Degree : Master of technology
  • Institution : ESDAcademy
  • Department : Digital Technology

PS : L'institution ESDAcademy n'existait pas, j'ai demandé sa création lors de mon inscription en fournissant toutes les informations nécessaires au travers de l'ENI. Renseignez bien ces informations lors de votre inscription afin d'éviter un échec de validation.

Parmi les personnes que vous pouvez indiquer comme faisant partie de votre organisation, vous pouvez renseigner mon adresse : [email protected]

Mise en page et embellissement

Sites (gratuits et sans inscription) pour récupérer des png afin de rendre le mémoire plus agréable

Pour effacer l'arrière plan d'une image et la rendre superposable en format PNG --> Remove.bg