Début des examens pour le master 2 Organisation et Protection des Systèmes d'Informations en Entreprise (OPSIE)

Lundi soir, l'épreuve que j'attendais le plus pour faire le plein de point d'avance s'est déroulé : L'examen de sécurité.
Un ensemble de question très ouvertes où le principal danger résidait dans le fait de trop parler (écrire) et donc se faire prendre par le temps. Ce qui a failli m'arriver ! En effet, à la fin de la première question j'avais déjà écrit deux pages et il me restait encore une quinzaine de questions a traiter. J'ai donc pris l'option de moins détailler mes réponses.
Globalement je suis un peu déçu car certaine question m'ont surprise : exemple : Pourquoi le chiffre de César ne respecte pas le principe de Kerchekofs. Ce sont des principes vus en octobre ou novembre dernier et je dois admettre que lors des révisions de la crypto je me suis plus concentré sur les aspects clé publiques/clés privées, chiffrement symétrique et asymétrique.
Par manque de temps, je n'ai pas détaillé autant que je le souhaitait certaines questions.
Déçu donc car je n'aurai pas pris autant de points d'avance que je ne l'espérai.
Mon pronostic sécurité : 15/20
Mardi soir épreuve de gestion des risques, très bien préparé, je maîtrise la méthode sur le bout des doigts, je ne fais parfaitement la différence entre une menace, une vulnérabilité et un risque (Le principal piège de cette épreuve consiste à confondre les trois). Par contre, je n'ai pas réussi a m'habituer à la façon de rendre l'appréciation des risques de l'enseignant, qui consiste a produire un tableau pour chacune des 4 phases de l'analyse des risques. Je comptais donc sur ma connaissance de la méthode et mon bon sens pour m'en sortir dans cette épreuve.
Le sujet : Une étude de cas pour une entreprise de transport. Beaucoup de détails sur l'activité de l'entreprise et ses processus, des bilans comptable, et quelques informations informatiques.
Sur une épreuve de deux heures, il m'a fallu prés de 45 minutes pour bien lire et assimiler le sujet et 15 minutes de plus pour répondre à la première question qui consiste à établir une cartographie du Système d'Information. L'entreprise étant plutôt énorme en terme de S.I, j'ai choisis de représenter le S.I dans un tableau représentant en colonne les processus et en ligne les acteurs. Une croix à l'intersection Acteur/Processus permet ainsi d'identifier rapidement quel acteur communique avec qui et à travers quel processus. Au vu de la taille de l'entreprise, ce tableau m'a semblé plus pratique qu'un dessin avec des patatoïdes et des flèches dans tous les sens pour représenter les flux d'informations. malheureusement pris par le temps, je n'ai pas justifier mon choix ...
Les questions suivantes déroulant la méthode dans le bon ordre, je me suis contenter de répondre aux questions sans justifier en regard de la méthode. Il fallait proposer 5 menaces majeures pour l'entreprise et son S.I, ensuite il fallait proposer 10 vulnérabilités majeures en regard des menaces de la question 2.
La question 4 a été la plus déstabilisante, il fallait présenter les risques majeurs à la mise en place d'un site marchand ... Or à aucun moment l'énoncé ne faisait référence à l'éventuelle mise en place d'un site internet marchand, donc j'étais dans le flou le plus complet. J'ai donc fait des hypothèses comme quoi l'entreprise voulait ouvrir un site afin de vendre ses services en Europe aux particuliers (Il existait déjà un process de B2B via Internet) => du B2C. Il me restait à ce moment là 3 minutes ... J'ai donc fait un tableau d'appréciations des risques contenant une colonne pour les menaces, une colonne pour les vulnérabilités, une colonne pour l'impact, une colonne pour le degré d'occurrence et enfin une colonne d'appréciation du risque. J'ai rempli deux ou trois lignes en piochant dans mes menaces de la question 2 et les vulnérabilités de la question 3, afin d'imaginer l'impact et un degré d'occurence pour évaluer à partir de tous ces éléments le niveau de risque.
Etant donné que les questions suivaient dans l'ordre la méthode proposée, je n'ai quasiment pas justifier mes réponses, ma cartographie du S.I sort des sentiers battus car non formalisée comme l'enseignant l'attendait, enfin un cruel manque d'imagination sur la proposition de 5 menaces majeures et pourtant je cherchais parmi les éléments constitutifs d'une menace (Malveillance, Accident, Erreur).
Mon pronostic Gestion du risque : entre 6/20 et 10/20