Retour aux projets
GRC École Terminé

PSSI & gestion des risques — BIOÉNERGIE TECH × SpainTurbine

Conception d'une politique de sécurité (PSSI) complète et de son analyse de risques EBIOS RM pour une zone classifiée « Confidencial » sous air-gap — projet de défense de 120 micro-turbines/mois pour l'armée espagnole. Un corpus documentaire de référence ANSSI : PSSI, EBIOS RM, DAT, PCA et PRA.

Outils utilisés :
EBIOS Risk ManagerGuide PSSI ANSSIISO/IEC 27005ISO 22301MITRE ATT&CKdraw.io

Contexte

Dans le cadre du module Gouvernance, Risque & Conformité (GRC), nous avons produit le corpus de sécurité complet d’une entreprise fictive mais réaliste : BIOÉNERGIE TECH, une PME industrielle de 49 collaborateurs implantée à Chambéry. L’entreprise décroche un contrat de défense — le projet SpainTurbine — qui consiste à produire 120 micro-turbines par mois pour des drones militaires au profit de l’armée espagnole, pour un chiffre d’affaires d’environ 1,2 M€/an.

Ce contrat impose un niveau de classification « Confidencial » et une doctrine sans compromis : rien ne sort, rien n’entre sans validation. Toute l’activité sensible est donc confinée dans une zone classifiée totalement isolée du reste du SI (air-gap) — 5 postes habilités, 2 serveurs PowerEdge, une station blanche, des coffres-forts et des bandes LTO-8, le tout hébergé dans un bâtiment dont la sécurité physique fait partie intégrante de l’analyse.

L’objectif du projet reproduit une vraie commande RSSI : partir d’un cahier des charges, modéliser le risque selon la méthode EBIOS Risk Manager, concevoir l’architecture technique (DAT), puis rédiger la politique de sécurité (PSSI) et les plans de continuité et de reprise (PCA / PRA) — en s’appuyant sur les guides de l’ANSSI et les normes ISO.

Projet de groupe. Toutes les entités (BIOÉNERGIE TECH, SpainTurbine) sont fictives ; les documents portent volontairement la mention Diffusion restreinte pour reproduire les conditions réelles d’un livrable classifié.


Le livrable : un corpus documentaire cohérent

Plutôt qu’un document isolé, ce projet est un système documentaire complet, où chaque pièce s’appuie sur la précédente — exactement comme dans une démarche de certification ISO 27001.

DocumentRôleVolume
DATDossier d’Architecture Technique — composants, flux, points sensibles13 p.
EBIOS RMAnalyse de risques (ateliers 1 à 5, ANSSI / ISO 27005)44 p.
PSSIPolitique de Sécurité du SI — règles opposables31 p.
PCAPlan de Continuité d’Activité (ISO 22301)26 p.
PRAPlan de Reprise d’Activité — volet technique17 p.
PrésentationSynthèse exécutive pour la Direction19 slides

Les documents complets sont téléchargeables en bas de page.


Architecture technique (DAT)

Avant de sécuriser, il faut cartographier. Le DAT décrit l’infrastructure de la zone cloisonnée : 2 serveurs Dell PowerEdge R470 (dont un de redondance), Active Directory interne, PKI, station blanche pour le passage des mises à jour, lecteur LTO-8 et coffre-fort Fichet-Bauche. La matrice de flux recense chaque échange autorisé — à commencer par le seul point de contact avec l’extérieur : le PC de mise à jour, passé par la station blanche.

Schéma d'infrastructure de la zone classifiée — DAT BIOÉNERGIE TECH

La sécurité physique est traitée au même niveau que la sécurité logique : plans de niveaux, zonage, contrôle d’accès biométrique (HID Signo) et badge, vidéosurveillance (Axis), séparation des locaux.

Plans de niveaux et zonage du bâtiment


Analyse de risques EBIOS Risk Manager

Le cœur méthodologique du projet. En suivant les 5 ateliers EBIOS RM, nous avons identifié les valeurs métier (plans CAO/CAM des turbines, secrets d’authentification, sauvegardes), puis les 8 événements redoutés qui pourraient les compromettre.

RéfÉvénement redoutéCritèreImpact métier maximal
ER1Exfiltration des plans CAO/CAM vers une puissance étrangèreC=4Atteinte au secret défense, perte du contrat, art. 413-9 CP
ER2Altération non détectée des fichiers de définition (sabotage différé)I=4Drones défectueux, accidents en zone de combat
ER3Indisponibilité prolongée du SI dépassant le RTOD=4Retard de livraison, pénalités contractuelles
ER5Vol/substitution d’une cartouche LTO-8 de sauvegardeC=4 D=4Exfiltration d’un instantané complet du projet
ER8Compromission durable via implant dans le flux de mise à jourC=4 I=4Espionnage permanent, sabotage différé

Trois scénarios stratégiques ont ensuite été modélisés en confrontant des sources de risque (APT étatique, initié sous coercition, cybercriminel ransomware) aux objectifs visés.

Vue stratégique EBIOS RM — sources de risque, écosystème, cible

Du stratégique à l’opérationnel

L’intérêt d’EBIOS RM est de descendre jusqu’au chemin d’attaque concret. Deux scénarios opérationnels ont été détaillés pas à pas — y compris pour un système air-gappé, réputé inattaquable.

SO1 — Contournement de l’air-gap par le flux de mise à jour. Un implant, introduit via une compromission de la chaîne logicielle (techniques attestées CISA AA21-008A, MITRE T1195.002 — type SolarWinds / 3CX), transite par la station blanche puis exfiltre les données de façon asynchrone sur les clés USB sortantes. L’air-gap ne suffit pas : le flux de mise à jour est le maillon faible.

Scénario opérationnel SO1 — air-gap bypass via flux de mise à jour

SO2 — Vol de cartouche LTO sous coercition (menace interne). Profilage OSINT des 5 habilités, ciblage de l’administrateur (qui cumule AD, accès coffres et clés de chiffrement), recrutement sous kompromat, puis substitution physique d’une cartouche LTO-8 lors de la rotation hebdomadaire. Aucun flux réseau, donc rien à détecter pour le SIEM : la réponse est organisationnelle (règle des quatre yeux, séparation des rôles).

Scénario opérationnel SO2 — vol de cartouche LTO par un initié


Gouvernance et gestion des accès

La PSSI formalise les rôles (DG, RSSI, DPO, administrateur SI, responsable projet), les instances (COSEC, cellule de crise) et le régime de sanctions. Le contrôle d’accès combine RBAC + MAC sur quatre niveaux de classification, du Standard au Classifié Défense (habilitation IGI 1300 nominative). Chaque accès est nominatif, tracé par le SIEM ELK avec rétention longue et revue hebdomadaire de la zone classifiée.

Principales règles opposables : MFA + clé FIDO YubiKey sur les zones sensibles, ports USB désactivés par défaut (dérogation RSSI nominative), correctifs critiques sous 72 h, interdiction du cloud public, comptes partagés proscrits.


Gestion des incidents

Le processus de réponse aux incidents distingue les événements système des événements adversaires et déroule six phases : préparation → détection → qualification → traitement → notification → RETEX. La notification réglementaire suit des délais stricts (24 h vers l’autorité, 72 h RGPD vers la CNIL), avec escalade immédiate vers la DG et l’autorité de sécurité espagnole pour tout incident touchant la zone classifiée.

Processus de gestion des incidents — événements système vs adversaires


Continuité et reprise (PCA / PRA)

Adossés à la norme ISO 22301, le PCA et le PRA définissent les objectifs de résilience à partir d’un Bilan d’Impact (BIA). La contrainte contractuelle est sévère : RTO ≤ 4 h, RPO ≤ 24 h, MTPD ≤ 72 h.

Service / actifRTORPOMode dégradé
Contrôle d’accès biométrique1 h0Liste d’accès papier + clé scellée
VM Sauvegarde1 h24 hBascule serveur de redondance R470
Active Directory (comptes locaux)1 h24 hAdmin de secours d’urgence
Serveur de fichiers CAO/CAM4 h24 hBureau d’études papier + plans figés
Production atelier turbines4 h24 hProduction sur plans figés
SIEM / journalisation ELK8 h24 hJournalisation locale syslog

Topologie de réponse PCA — production en mode dégradé


Conformité et pilotage

Le projet articule un référentiel réglementaire dense : IGI 1300 (protection du secret défense), RGPD, NIS 2, RGS (échanges DGA/ANSC), le guide PSSI de l’ANSSI comme ossature, et ISO 27001 visée comme cible. Le pilotage repose sur un tableau de bord d’indicateurs restitué mensuellement à la Direction :

Indicateur (KPI / KRI)CibleFréquence
Correctifs critiques appliqués sous 72 h≥ 95 %Mensuelle
Couverture EDR du parc (5 PC + 2 serveurs)100 %Mensuelle
Temps moyen de détection (MTTD)≤ 24 hTrimestrielle
Temps moyen de réponse (MTTR, incidents majeurs)≤ 48 hTrimestrielle
Tests de restauration réussis100 %Mensuelle
Clics sur exercices de phishing≤ 5 %Semestrielle
Couverture de la matrice de conformité≥ 95 %Annuelle

Enfin, l’arbitrage budgétaire est assumé : près de 110 000 € HT investis en sécurité, soit environ 9 % du chiffre d’affaires du contrat — un ratio justifié face à des impacts maximaux (atteinte au secret défense, rupture de contrat, mise en cause pénale).


Documents du projet

Le corpus complet est consultable ci-dessous (PDF, entités fictives, mention Diffusion restreinte à titre pédagogique).

Présentation (19 slides) Synthèse exécutive du projet — PDF PSSI (31 p.) Politique de sécurité complète — PDF EBIOS RM (44 p.) Analyse de risques, ateliers 1 à 5 — PDF DAT (13 p.) Dossier d'architecture technique — PDF PCA (26 p.) Plan de continuité d'activité — PDF PRA (17 p.) Plan de reprise d'activité — PDF

Ce que ce projet m’a appris

Ce projet m’a fait passer de la technique pure à la vision GRC d’un RSSI : raisonner par la valeur métier et le risque avant l’outil. La modélisation EBIOS RM des scénarios SO1 et SO2 a été le déclic — comprendre qu’un système air-gappé n’est pas inviolable (le flux de mise à jour reste une porte), et qu’une menace interne ne laisse aucune trace réseau et se traite par l’organisation, pas par la technologie. Produire un corpus cohérent où DAT, EBIOS, PSSI, PCA et PRA se répondent m’a aussi appris la rigueur documentaire et la traçabilité attendues dans un cadre réglementaire (IGI 1300, ANSSI, ISO).


Projet pédagogique. Toutes les organisations citées sont fictives ; les références CISA et MITRE ATT&CK renvoient à des modes opératoires réels documentés publiquement.

Tags : #pssi#ebios-rm#grc#anssi#igi-1300#pca#pra#gestion-des-risques#air-gap#iso-27001#nis2#rgpd