Plan de séance — Session B14¶
Parcours : B 20 sessions | Module : D — Gouvernance, risque & conformité | Durée : 1h30 (90 minutes)
1. Métadonnées de la session¶
- Titre : Gestion des risques
- Objectifs pédagogiques opérationnels :
- Articuler et différencier les composantes d'un risque cyber : atout, menace, vulnérabilité, impact et probabilité.
- Établir un registre des risques cyber pragmatique et calculer sa criticité brute à l'aide d'une matrice qualitative 4x4.
- Justifier le choix d'une stratégie de traitement du risque parmi les 4 options fondamentales : Réduire (atténuer), Transférer (assurance/sous-traitance), Éviter (renoncer), ou Accepter (décision formalisée).
- Prérequis : B13.
- Lien de progression : Fournit la méthodologie d'analyse nécessaire pour évaluer la conformité RGPD de la session suivante (B15), qui héberge également l'évaluation du Mini-projet 3.
2. Déroulé minuté (90 minutes)¶
| Minutage | Séquence | Contenu théorique & Activités | Rôle du Mentor | Rôle de l'Apprenant | Méthode pédagogique | Livrable / Jalon |
|---|---|---|---|---|---|---|
| 00 - 15 min (15') | Brise-glace & Jauges | Brise-glace : Le dilemme de la sécurité. Évaluation rapide de 3 situations quotidiennes (ex. rouler sans ceinture, stocker son code de carte bleue dans son téléphone) pour débattre du ratio bénéfice/risque. | Relance les apprenants sur la notion de perception subjective du risque. | Exprime ses critères personnels de choix face aux risques proposés. | Interrogative / Discussion | Jalon : Liste de biais cognitifs dans l'estimation des risques. |
| 15 - 35 min (20') | Apports Théoriques : Équation | L'équation du risque. Différence entre menace (externe), vulnérabilité (interne), et impact (conséquence business). Matrice de cotation Probabilité $\times$ Gravité. | Expose les concepts à l'aide d'exemples de sinistres industriels ou de ransomwares. | Prend des notes, manipule mentalement la matrice de criticité. | Explicative / Visuelle | - |
| 35 - 50 min (15') | Apports Théoriques : Traitements | Options de traitement. Qu'est-ce qu'une mesure d'atténuation ? Comment fonctionne le transfert (cyber-assurance) ? Pourquoi éviter un projet trop risqué ? | Explique les arbitrages budgétaires et humains de la gestion des risques. | Apprend à concevoir des solutions adaptées à la réalité économique d'une structure. | Explicative | - |
| 50 - 80 min (30') | Activité Pratique | Activité : Le Registre de Risques. Par groupes, les apprenants étudient un incident potentiel (ex. fuite de données suite à l'usage d'un outil d'IA non approuvé) et rédigent sa ligne de registre de risques avec cotation brute et plan d'atténuation. | Distribue le modèle de registre, aide à la cotation qualitative (1 à 4). | Analyse le scénario en groupe, calcule les scores et propose une mesure réductrice de risque. | Active / Collaborative | Livrable : Ligne de registre des risques complétée (Brut $\rightarrow$ Traitement $\rightarrow$ Résiduel). |
| 80 - 90 min (10') | Quiz & Devoirs | Quiz de session & Devoirs. Validation des principes d'évaluation des risques et présentation de la conformité réglementaire. | Lance le quiz de fin de session et présente le travail autonome SkillsBuild. | Répond au quiz et prend note des consignes de travail autonome. | Interrogative | Jalon : Score au quiz individuel. |
3. Travail en autonomie (Self-paced)¶
- Avant la session suivante (B15) :
- Sur IBM SkillsBuild : Suivre le cours "Cybersecurity Governance and Risk Management - Part 2" (durée estimée : 1h30).
- Préparation du Mini-projet 3 : Rassembler les travaux d'analyse de risques et d'ébauche de PSSI réalisés en sessions B13-B14 pour finaliser le support de rendu.