L’ESILV a pris possession à la rentrée 2023 de ses nouveaux espaces au sein du Campus Cyber à Paris La Défense, en lien avec la stratégie de campus parisien multi-sites du Pôle Léonard de Vinci.
Une centaine d’étudiants des majeures Cloud Computing & Cybersécurité et Objets Connectés & Cybersécurité en dernière année ont étrenné les nouveaux espaces avec le cours de Gouvernance Risque Conformité (GRC). Ils vont y consacrer au total 80 heures de cours jusqu’à la fin décembre, sous la forme d’un jeu de rôle grandeur nature.
Un jeu de rôle pour maitriser la GRC
Le domaine de la cybersécurité comporte des aspects techniques qui sont à la fois ludiques et relativement simples à enseigner, car les étudiants y adhèrent facilement. Cependant, la dimension normative et juridique, appelée Gouvernance Risque Conformité Crise et continuité (GRC), est souvent perçue comme fastidieuse, et présente donc un défi pour les enseignants : comment impliquer les étudiants sur des problématiques règlementaire ?
Les enseignants-chercheurs de l’ESILV ont ainsi opté pour une approche pédagogique sous la forme d’un Serious Game : faire jouer aux étudiants des rôles au sein d’une entreprise fictive qui souhaite mettre en place un Système de Management de la Sécurité de l’Information (SMSI) et un plan de résilience.
Ce dispositif offre par ailleurs aux étudiants l’opportunité de se familiariser avec les architectures d’entreprise (organigrammes, process, workflow, SI …) : la première étape de cette initiative consiste en effet à en concevoir une, un process pas toujours maîtrisé par les jeunes ingénieurs.
Voir cette publication sur Instagram
Gouvernance Risque Conformité Crise et continuité
Les élèves-ingénieurs des majeures Cloud Computing et Cybersécurité et Objets Connectés et Cybersécurité, par équipe de 10, ont du :
- Monter une entreprise avec des organigrammes, process et workflows et son Système d’information, au moins sur le papier
- Faire l’analyse de risque suivant la procédure ISO27005 d’une autre équipe et donc être analysé par une autre équipe
- Construire un SMSI en lien avec la norme ISO27001 en se basant sur les résultats de l’analyse de risque
- Auditer le SMSI d’une autre équipe et ainsi être audité par une équipe différente
- Construire un Plan de continuité d’activité (PCA) / Plan de reprise d’activité (PRA) pour l’entreprise
- Monter un exercice de crise pour une autre équipe et le faire jouer.
Cybersécurité et réglementation : jouer pour apprendre
Programmé sur plusieurs séances (pour 80h de cours environ), cet exercice a mis les élèves ingénieurs en situation de créer une entreprise avec toutes ses caractéristiques : organigrammes, workflow, process, architecture, IT, etc., afin de leur donner la culture d’entreprise.
« Apprendre les normes par cœur, par exemple, n’aurait pas eu de sens. Il faut voir concrètement des cas d’application. Créer une entreprise comme un « bac à sable » pour jouer avec les différentes normes qu’ils rencontreront dans leur métier. » Walter Peretti, responsable de la majeure Cloud Computing & Cybersécurité.
L’importance de participer à cette initiative réside dans le lien avec le cours de Security/Risk management que les étudiants suivent, car la seule façon de développer des compétences en GRC est la mise en œuvre.
Ce module bénéficie de la participation de Didier Giroguy, Consultant Cyber Resilience chez Orange Cyberdéfense, qui apporte son expertise terrain à ce programme, mais aussi d’Herve Schauer, CEO de HS2, une entreprise de formation continue en cybersécurité qui contribue notamment à la sensibilisation du corps professoral ESILV aux enjeux de cybersécurité.
Pour en savoir plus sur les formations de l’ESILV