La note finale inclut l'évaluation des acquis du cours via l'examen, ainsi que l'évaluation des travaux pratiques, pour lesquels la participation est obligatoire.
Les notes sont pondérées dans les proportions suivantes: 60% pour l'examen, 40% pour les travaux. Toutefois, un échec à l'examen entraine automatiquement l'échec pour le cours.
En première session, l'examen est écrit; il comporte des questions rapides couvrant l'ensemble de la matière, et une mise en situation dans laquelle vous avez à réaliser une analyse de risques sur base d'un cas et proposer un plan d'action complet et détaillé. Il s'agit donc d'un exercice similaire ) celui mené ensemble dans le chapitre sur l’analyse de risques. Il s’agit de tester à la fois vos connaissances et vos compétences ainsi que votre capacité de raisonnement.
En seconde session, l'examen est oral; il comporte aussi une mise en situation, ainsi que l'une ou l'autre question complémentaire ciblant un point plus précis de la matière. Un temps de préparation est accordé pour résoudre le cas à analyser. La note des travaux est automatiquement reportée si elle est supérieure à 10. Dans le cas contraire, une question spécifique est ajoutée à l'examen oral.
De manière générale, ce qui est attendu de vous à la fin du cours est d'être capable de mobiliser les outils et approches vus au cours pour répondre à une situation concrète. Vous pouvez donc vous attendre à devoir effectuer une analyse sommaire des risques sur base d’un cas, et de proposer des solutions appropriées, ces solutions relevant potentiellement des différents chapitres du cours.
Attentes détaillées chapitre par chapitre
-
Méthodologie:
-
Connaitre les critères de sécurité, les concepts et le déroulement d’une analyse de risques, les moyens de mesurer le risque et ses composantes, les options de traitement du risques, les lignes de défense (prévention, détection, récupération)
-
Pouvoir effectuer une analyse de risques sommaires et proposer un plan d’action concret, approprié, réaliste sur base de l’analyse réalisée. Ce plan d’action doit se décliner selon les différentes lignes de défense
-
Pouvoir produire un arbre d’attaque crédible
-
Cryptographie
-
Connaitre les différentes primitives cryptographiques: chiffrement, empreinte numérique, signature numérique et certificat numérique, les objectifs de sécurité liés, les contraintes de mise en oeuvre...
-
Pouvoir les orchestrer dans un scénario simple
-
Authentification
-
Connaitre les différentes méthodes d’authentification, leurs forces et faiblesses, et pouvoir motiver le recours à l’une ou l'autre
-
Comprendre les différents modes de gestion des données relatives à l’identité numérique et en identifier les composants et leur fonction
-
Autorisation
-
Connaitre les différents modèles de contrôle d’accès, leurs forces et faiblesses, et pouvoir motiver le recours à l’un ou l'autre
-
Comprendre l’intérêt d’une approche décentralisée de l’autorisation et en identifier les composants et leur fonction
-
Sécurité de l'infrastructure
-
Connaitre les défis pour la sécurité de l’infrastructure et les pistes de solution
-
Pouvoir proposer une solution graduelle à un risque d’indisponibilité, en veillant à articuler les différentes lignes de défense (prévention, détection, récupération) et les types de contre-mesures (techniques, organisationnelles, juridiques)
-
Sécurité du système
-
Connaitre les défis pour la sécurité du logiciel système et les pistes de solution
-
Pouvoir proposer une solution complète à ces défis, en veillant à articuler les différentes lignes de défense (prévention, détection, récupération) et les types de contre-mesures (techniques, organisationnelles, juridiques)
-
Sécurité logicielle
-
Connaitre les différentes étapes du cycle de vie du développement logiciel et les mesures applicables à chacune d’entre elles
-
Pouvoir compléter un cas d’utilisation (use case) par les comportements malicieux et de remédiation selon l’approche des misuse cases
-
Connaitre les grands types de vulnérabilités logicielles et les pistes de remédiation
-
Pouvoir identifier et décrire de manière technique et détaillée les vulnérabilités logicielles qui ont été présentées ainsi que les contre-mesures appropriées