Il est possible d'aborder l'enseignement sur la sécurité des systèmes d'information suivant plusieurs axes pédagogiques. Dans le cas présent, l'objectif général est de faire «découvrir» l'importance des processus de sécurité à partir d'illustrations pratiques.
Il est bien entendu que ce choix ne prétend nullement être «la bonne méthode» pédagogique. Il est cependant complètement ridicule d'enfermer les choix pédagogiques dans une opposition artificielle entre un enseignement académique qui introduit le vocabulaire et les méthodologies sans aucune application et un enseignement cantonné dans la technique qui ne propose aucune prise de recul.
Ce cours est un module construit sur 10 séances de 3 heures et une séance d'évaluation de 3 heures. Les 7 séances sont réparties de la façon suivante :
-
3 séances de cours avec la promotion complète.
-
7 séances de travaux pratiques en groupe.
À la suite de la première séance de présentation, les étudiants sont répartis en 3 groupes pour travailler sur un projet. Ce projet consiste à étudier et déployer une maquette d'infrastructure d'entreprise suivant un scénario type.
Les objectifs pédagogiques sont multiples :
-
créer une émulation entre les groupes d'étudiants en «opposant» les rôles de chaque groupe,
-
évaluer l'importance des relations humaines, de la coordination et même de l'ingénierie sociale dans la sécurité des systèmes d'information en imposant une taille de groupe importante,
-
illustrer les problématiques des «métiers» de la sécurité des systèmes d'information à partir du scénario d'entreprise type.
Les groupes sont définis comme suit :
- Groupe «défense»
-
Ce groupe est chargé de mettre en place l'infrastructure des services du scénario d'entreprise. Il doit rechercher les moyens les plus simples possibles pour se défendre contre les tentatives d'intrusion et de compromission entreprises par le groupe «attaque».
Du point de vue métier, les membres de ce groupe jouent le rôle d'exploitants des services. Comme les services peuvent être externalisés ou non, les membres peuvent être employés aussi bien chez un prestataire assurant l'externalisation qu'au sein même de l'entreprise où l'exploitation est directement assurée.
- Groupe «analyse»
-
Ce groupe est chargé de collecter un maximum d'informations et de les analyser pour identifier les actions entreprises aussi bien en défense qu'en attaque.
Du point de vue métier, les membres de ce groupe jouent le rôle de consultants sécurité chargés de réaliser des audits. Au début du projet, ils sont étranger à la structure de l'entreprise. Par la suite, ils ne disposent que des informations et/ou des accès que leur fournissent les membres du groupe «défense».
- Groupe «attaque»
-
Ce groupe est chargé de rechercher toutes les possibilités d'intrusion et de compromission les plus efficaces et les plus faciles à mettre en œuvre.
Du point de vue métier, les membres de ce groupe jouent le rôle de consultants sécurité chargés d'évaluer la solidité du système d'information défendu. Ils sont totalement étranger à la structure de l'entreprise. Les 2 autres groupes ne sont pas sensés leur communiquer la moindre information. Bien entendu, les membres du groupe «attaque» ne doivent pas se limiter aux moyens techniques pour collecter leurs informations.
Chaque groupe met en place une démarche de planification et de coordination des activités suivant les axes définis avec l'enseignant. Chaque groupe est libre de choisir les outils de gestion des activités. Tous les comptes rendus de tests ou les synthèses hebdomadaires doivent être centralisés et accessibles avant les séances encadrées. L'objectif pédagogique est de modéliser le fonctionnement d'un travail d'équipe dont les membres ne sont pas forcément sur le même lieu. Compte tenu de la taille de chaque groupe, la qualité de la coordination est primordiale pour l'avancement du projet.