Début des examens pour le master 2 Organisation et Protection des Systèmes d'Informations en Entreprise (OPSIE)
Par Bertrand Arquilliere le mercredi 30 avril 2008, 10:07 - Emploi - Lien permanent
Alors que je suis toujours dans l'attente du résultat de ma certification Lead Auditor ISO 27001, les examens pour l'obtention de mon Master 2 OPSIE ont commencés lundi soir.
Lundi soir, l'épreuve que j'attendais le plus pour faire le plein de points d'avance s'est déroulée : L'examen de sécurité.
Un ensemble de question très ouvertes où le principal danger résidait dans le fait de trop parler (écrire) et donc se faire prendre par le temps. Ce qui a failli m'arriver !
En effet, à la fin de la première question j'avais déjà écrit deux pages et il me restait encore une quinzaine de questions a traiter. J'ai donc pris l'option de moins détailler mes réponses.
Globalement je suis un peu déçu car certaine questions m'ont surpris :
Exemple : Pourquoi le chiffre de César ne respecte pas le principe de Kerchekofs. Ce sont des principes vus en octobre ou novembre dernier et je dois admettre que lors des révisions de la crypto je me suis plus concentré sur les aspects clé publiques/clés privées, chiffrement symétrique et asymétrique.
Par manque de temps, je n'ai pas détaillé autant que je le souhaitait certaines questions.
Déçu donc car je n'aurai pas pris autant de points d'avance que je ne l'espérai.
Mon pronostic sécurité : 15/20
Mardi soir épreuve de gestion des risques, très bien préparé, je maîtrise la méthode sur le bout des doigts, je ne fais parfaitement la différence entre une menace, une vulnérabilité et un risque (Le principal piège de cette épreuve consiste à confondre les trois).
Par contre, je n'ai pas réussi a m'habituer à la façon de rendre l'appréciation des risques de l'enseignant, qui consiste a produire un tableau pour chacune des 4 phases de l'analyse des risques. Je comptais donc sur ma connaissance de la méthode et mon bon sens pour m'en sortir dans cette épreuve.
Le sujet : Une étude de cas pour une entreprise de transport. Beaucoup de détails sur l'activité de l'entreprise et ses processus, des bilans comptable, et quelques informations informatiques.
Sur une épreuve de deux heures, il m'a fallu prés de 45 minutes pour bien lire et assimiler le sujet et 15 minutes de plus pour répondre à la première question qui consiste à établir une cartographie du Système d'Information. L'entreprise étant plutôt énorme en terme de S.I, j'ai choisis de représenter le S.I dans un tableau représentant en colonne les processus et en ligne les acteurs. Une croix à l'intersection Acteur/Processus permet ainsi d'identifier rapidement quel acteur communique avec qui et à travers quel processus. Au vu de la taille de l'entreprise, ce tableau m'a semblé plus pratique qu'un dessin avec des patatoïdes et des flèches dans tous les sens pour représenter les flux d'informations. malheureusement pris par le temps, je n'ai pas justifier mon choix ...
Les questions suivantes déroulant la méthode dans le bon ordre, je me suis contenter de répondre aux questions sans justifier en regard de la méthode. Il fallait proposer 5 menaces majeures pour l'entreprise et son S.I, ensuite il fallait proposer 10 vulnérabilités majeures en regard des menaces de la question 2.
La question 4 a été la plus déstabilisante, il fallait présenter les risques majeurs à la mise en place d'un site marchand ... Or à aucun moment l'énoncé ne faisait référence à l'éventuelle mise en place d'un site internet marchand, donc j'étais dans le flou le plus complet. J'ai donc fait des hypothèses comme quoi l'entreprise voulait ouvrir un site afin de vendre ses services en Europe aux particuliers (Il existait déjà un process de B2B via Internet) => du B2C. Il me restait à ce moment là 3 minutes ... J'ai donc fait un tableau d'appréciations des risques contenant une colonne pour les menaces, une colonne pour les vulnérabilités, une colonne pour l'impact, une colonne pour le degré d'occurrence et enfin une colonne d'appréciation du risque. J'ai rempli deux ou trois lignes en piochant dans mes menaces de la question 2 et les vulnérabilités de la question 3, afin d'imaginer l'impact et un degré d'occurence pour évaluer à partir de tous ces éléments le niveau de risque.
Etant donné que les questions suivaient dans l'ordre la méthode proposée, je n'ai quasiment pas justifier mes réponses, ma cartographie du S.I sort des sentiers battus car non formalisée comme l'enseignant l'attendait, enfin un cruel manque d'imagination sur la proposition de 5 menaces majeures et pourtant je cherchais parmi les éléments constitutifs d'une menace (Malveillance, Accident, Erreur).
Mon pronostic Gestion du risque : entre 6/20 et 10/20
Commentaires
A quand la confirmation de tes pronostics ? Bonne chance !!
Oui, bonne chance pour les résultats ! En espérant que ce soit plutôt 10 que 6 pour la Gestion du risque
Résultats des courses fin octobre 2008 avec les notes des oraux.
Reste encore quelques épreuves dont une que je redoute particulièrement : Le Plan de Reprise d'Activité. On a fait beaucoup d'exercices en cours mais contrairement à la Gestion des Risques, j'ai un peu de mal avec la méthode.
Donc gros week end de révisions en perspective, alors que le soleil pointe son nez et que j'ai acheté un barbecue tout neuf !
Merci pour vos encouragements.
Bonjour,
pourriez vous nous dire les dates de tous les futurs examens de ce master?
Soyez-en remercié du fond du cœur
Prochaines épreuves les 13, 14, 15 et 17 mai 2008.
Ensuite les soutenances orales de projets / stages en juillet et fin septembre.
Epreuves obligatoire restantes :
- Droit
- Plan de Reprise d'Activité
- Audit
Epreuves optionnelles (que j'ai choisis)
- Système d'information
- Gestion de projet
- Télécom
- Réseaux
- Oracle
Please Bertrand ne m'oublie pas ....
Ah oui, fin octobre il y a le temps... Bonnes révisions en tout cas !
Merci pour ces précisions.
J'ai un doute : etes vous en cours du soir ou en formation "normal" ?
Avez vous acces aux planings des examens pour les cours du soir ?
Avec l’expression de ma reconnaissance la plus sincére.
Inconnu :
Si vous souhaitez plus d'infos, je vous invite à m'envoyer un email (pas anonyme ou inconnu ou un pseudo) en cliquant sur la boite aux lettres en haut à droite.
Autre solution si vous souhaitez plus d'informations sur ce master et l'organisation des examens vous pouvez prendre contact avec l'université Lyon 2 :
http://www.univ-lyon2.fr