Synthèse — Analyse de risque EBIOS Risk Manager
Projet Edu-Kit — Plateforme de virtualisation pédagogique
Version : 1.0 | Date : Juin 2026 | Référentiel : EBIOS Risk Manager (ANSSI, 2018)
Responsable de l’analyse : Ops Sécurité
Synthèse exécutive
L’analyse EBIOS RM conduite sur le périmètre Edu-Kit identifie 6 scénarios stratégiques retenus, dont 5 classés à niveau de risque Élevé et 1 à niveau Moyen. Le périmètre couvre l’intégralité du plan de contrôle (Proxmox, K3s, MikroTik, Keycloak, Wazuh, Warpgate, Harbor, PBS) ainsi que le plan d’exécution (Proxmox clients établissements / OVHCloud).
16 mesures de traitement ont été définies, réparties en 4 groupes. Au terme de leur application, tous les scénarios voient leur niveau de risque résiduel ramené à 2 (Faible à Moyen).
Atelier 1 — Cadrage et valeurs métiers
Périmètre analysé
Edu-Kit est une plateforme de virtualisation pédagogique destinée aux établissements d’enseignement secondaire et supérieur. Elle comporte deux plans distincts :
- Plan de contrôle : infrastructure hébergée par l’équipe Edu-Kit (Proxmox HA 3 nœuds, K3s dev/prod, MikroTik, Keycloak, Wazuh, Warpgate, Harbor, PBS, Prometheus/Grafana/Loki).
- Plan d’exécution : Proxmox clients chez les établissements ou OVHCloud, hébergeant les VMs pédagogiques des étudiants.
Valeurs métiers identifiées
| Réf. | Valeur métier | D | I | C | T | Type | Besoin max |
|---|---|---|---|---|---|---|---|
| VM1 | Données des établissements et étudiants | 3 | 4 | 5 | 4 | Données | Critique |
| VM2 | Service de virtualisation | 5 | 3 | 2 | 3 | Processus | Critique |
| VM3 | Infrastructure de contrôle | 4 | 5 | 3 | 4 | Processus | Critique |
| VM4 | Continuité pédagogique | 5 | 2 | 1 | 2 | Processus | Élevé |
| VM5 | Pipeline CI/CD et déploiement | 3 | 5 | 3 | 4 | Processus | Critique |
Échelle DICT : 1 = négligeable, 5 = critique
VM1 est la plus exposée sur l’axe confidentialité (données d’étudiants mineurs, obligations RGPD). VM2 et VM4 sont critiques en disponibilité : toute interruption bloque directement des séances pédagogiques en cours.
Biens supports associés
| Bien support | Description | VM1 | VM2 | VM3 | VM4 | VM5 |
|---|---|---|---|---|---|---|
| Cluster Proxmox VE (pve1/pve2/pve3) | Hyperviseur 3 nœuds HA | X | X | X | X | |
| Clusters K3s (dev + prod) | Orchestration applicative | X | X | X | ||
| Firewalls MikroTik (fw-01/fw-02) | Deny by default, 7 zones | X | X | X | X | |
| Keycloak | SSO centralisé, RBAC, OIDC/PKCE | X | X | X | ||
| Wazuh SIEM/EDR | 14 agents, FIM, alerting | X | X | X | ||
| Warpgate (bastion SSH) | Sessions enregistrées | X | ||||
| Harbor + Trivy | Registre conteneurs, scan CVE | X | X | |||
| PBS DIIAGE + PBS OVH | Sauvegarde multi-sites | X | X | |||
| Prometheus / Grafana / Loki | Observabilité complète | X | X | X | ||
| WireGuard VPN | VPN nominatif 1 peer/Ops | X | ||||
| Vaultwarden | Secrets auto-hébergés | X | X | |||
| Azure DevOps | Dépôts Git, pipelines CI/CD | X | ||||
| Réseau segmenté 7 zones | DMZ, adminet, k3snet… | X | X | X | X | |
| Proxmox clients établissements/OVH | Hôtes VMs pédagogiques | X | X |
Événements redoutés
| Réf. | Valeur métier | Événement redouté | Fin. | Image | Jur. | Santé | Gravité |
|---|---|---|---|---|---|---|---|
| ER1 | VM1 | Fuite données personnelles étudiants (notification CNIL) | 1 | 3 | 4 | 2 | 4 |
| ER2 | VM2 | Interruption durable service VMs pédagogiques | 2 | 4 | 1 | 2 | 4 |
| ER3 | VM3 | Compromission infrastructure — prise de contrôle totale | 1 | 4 | 2 | 2 | 4 |
| ER4 | VM4 | Interruption prolongée pendant examens / TPs | 2 | 4 | 1 | 2 | 4 |
| ER5 | VM5 | Déploiement code malveillant en prod via pipeline | 1 | 3 | 2 | 1 | 3 |
Atelier 2 — Sources de risques
Cinq sources de risques ont été retenues comme pertinentes pour Edu-Kit.
| Réf. | Source de risque | Objectifs visés | Motivation | Ressources | Pertinence | Retenue |
|---|---|---|---|---|---|---|
| SR1 | Crime organisé / groupe ransomware | Lucratif — vol données, extorsion | Moyenne | Forte | ++ | ✅ |
| SR2 | Attaquant opportuniste | Lucratif / Curiosité — CVE publiques | Faible | Faible | ++ | ✅ |
| SR3 | Vengeur interne / ex-membre | Nuisance / Vengeance — connaît l’archi | Faible | Moyenne | ++ | ✅ |
| SR4 | Étudiant malveillant | Défi / Curiosité — compte légitime | Faible | Faible | ++ | ✅ |
| SR5 | Acteur étatique | Espionnage / Déstabilisation | Faible | Forte | + | ✅ |
| — | Cyber-hacktiviste | Idéologique | Faible | Faible | - | ❌ |
| — | Amateur (script-kiddy) | Défi / Amusement | Faible | Faible | - | ❌ |
| — | Concurrent / espionnage industriel | Stratégique | Faible | Faible | - | ❌ |
SR1 est la source la plus redoutée : le secteur de l’éducation est une cible active des groupes ransomware. SR4 (étudiant malveillant) est spécifique à Edu-Kit : l’accès légitime à la plateforme constitue un vecteur difficile à détecter.
Atelier 3 — Scénarios stratégiques
Parties prenantes et niveau de menace
Le niveau de menace est calculé automatiquement via la formule : Dépendance × Pénétration / Maturité / Confiance.
| Réf. | Partie prenante | Catégorie | Dép. | Pén. | Mat. | Conf. | Niveau de menace |
|---|---|---|---|---|---|---|---|
| PP1 | Ops Sécurité (Benoît) | Partenaire interne | 5 | 5 | 4 | 4 | 1,56 |
| PP2 | Ops Exploitation / DevOps | Partenaire interne | 4 | 4 | 3 | 4 | 1,33 |
| PP3 | Dev / Product Owner | Partenaire interne | 3 | 3 | 3 | 4 | 0,75 |
| PP4 | Admins établissements | Partenaire externe | 4 | 3 | 2 | 3 | 2,00 |
| PP5 | Étudiants | Utilisateur final | 2 | 4 | 1 | 3 | 2,67 |
| PP6 | OVHCloud | Prestataire | 3 | 1 | 5 | 5 | 0,12 |
| PP7 | DIIAGE | Hébergeur | 5 | 2 | 3 | 4 | 0,83 |
Les étudiants (PP5) et les admins établissements (PP4) présentent les niveaux de menace les plus élevés, malgré des ressources limitées, en raison de leur accès direct à la plateforme et de leur maturité sécurité faible.
Scénarios stratégiques retenus
| Réf. | Scénario | Couple SR–OC | Vrais. | Gravité | Chemin d’attaque |
|---|---|---|---|---|---|
| SS1 | Compromission d’un compte Ops | SR1, SR3 → Ops | 2 | 4 | Phishing → WireGuard → Warpgate → Proxmox/K3s |
| SS2 | Escalade de privilèges par un étudiant | SR4 → Étudiant | 3 | 4 | Compte légitime → RBAC Keycloak → VMs autres établissements |
| SS3 | Compromission pipeline CI/CD | SR1, SR3 → Pipeline | 2 | 4 | Token Azure DevOps → push malveillant → ArgoCD prod |
| SS4 | Vulnérabilité critique pod K3s | SR1, SR2 → Service | 3 | 3 | CVE publique → RCE → mouvement latéral → exfiltration |
| SS5 | Ransomware sur les sauvegardes PBS | SR1 → PBS | 2 | 5 | Accès Ops compromis → PBS on-site + OVH → chiffrement |
| SS6 | Compromission compte admin établissement | SR1, SR2 → Admin | 3 | 4 | Credential stuffing → tableau de bord admin → données RGPD |
| *Vraisemblance : 1 = très faible → 4 = élevé | Gravité : 1 = négligeable → 5 = catastrophique* |
Atelier 4 — Scénarios opérationnels
Chaque scénario est décliné selon le modèle CONNAÎTRE → RENTRER → TROUVER → EXPLOITER.
SS1 — Compromission d’un compte Ops
- CONNAÎTRE : Documentation publique, OSINT LinkedIn membres Ops
- RENTRER : Phishing ciblé Ops / credential stuffing emails pro
- TROUVER : WireGuard → Warpgate → Proxmox/API K3s, secrets Vaultwarden
- EXPLOITER : Chiffrement VMs, exfiltration base Keycloak, destruction PBS
SS2 — Escalade de privilèges par un étudiant
- CONNAÎTRE : Compte étudiant créé, interface Edu-Kit accessible
- RENTRER : Connexion compte étudiant valide via Keycloak
- TROUVER : Misconfiguration RBAC Keycloak ou namespace K3s sans NetworkPolicy
- EXPLOITER : Accès VMs autres établissements, vol données étudiants (RGPD)
SS3 — Compromission pipeline CI/CD
- CONNAÎTRE : Dépôts Azure DevOps semi-publics, tokens CI dans logs
- RENTRER : Vol token Azure DevOps / compromission Dev / supply chain
- TROUVER : Push commit malveillant, contournement Harbor/Trivy, accès ArgoCD
- EXPLOITER : Image malveillante en prod, accès secrets Kubernetes, persistance
SS4 — Vulnérabilité critique exploitée sur pod K3s
- CONNAÎTRE : Scan services exposés Traefik, CVE publiques versions déployées
- RENTRER : Exploitation CVE publique (RCE) sur service exposé
- TROUVER : serviceAccount K3s permissions larges, secrets montés dans pod
- EXPLOITER : Exfiltration base PostgreSQL, pivotage vers autres services
SS5 — Ransomware sur les sauvegardes PBS
- CONNAÎTRE : Architecture PBS dans ADRs, compromission préalable SS1
- RENTRER : Accès Ops compromis (SS1) ou vulnérabilité API PBS
- TROUVER : PBS on-site DIIAGE puis PBS OVH via credentials Admin
- EXPLOITER : Chiffrement sauvegardes on-site + remote, perte irréversible
SS6 — Compromission compte admin établissement
- CONNAÎTRE : Interface login publique, emails admins OSINT établissements
- RENTRER : Credential stuffing / phishing admin / brute force sans MFA
- TROUVER : Tableau de bord admin, liste étudiants, VMs, API Proxmox client
- EXPLOITER : Vol données étudiants (CNIL), suppression VMs pédagogiques
Récapitulatif des vraisemblances et risques nets
| Réf. | Risque | Scénario | Gravité | Vrais. | Niveau net |
|---|---|---|---|---|---|
| R1 | Compromission infrastructure | SS1 | 4 | 2 | 4 |
| R2 | Violation données établissements | SS2 | 4 | 3 | 4 |
| R3 | Déploiement code malveillant | SS3 | 4 | 2 | 4 |
| R4 | Exfiltration cluster K3s | SS4 | 3 | 3 | 3 |
| R5 | Perte irréversible sauvegardes | SS5 | 5 | 2 | 4 |
| R6 | Vol données étudiants (CNIL) | SS6 | 4 | 3 | 4 |
Atelier 5 — Traitement des risques
Mesures de sécurité retenues (16 mesures)
Groupe 1 — Contrôle des accès Ops
| Mesure | Scénarios |
|---|---|
| WireGuard VPN nominatif — 1 peer/membre Ops, révocation < 1h | SS1, SS5 |
| Bastion Warpgate — sessions SSH enregistrées, pas accès direct nœuds | SS1, SS5 |
| Branch policies Azure DevOps — code review obligatoire | SS3 |
| ArgoCD prod sync MANUEL — validation humaine avant tout déploiement | SS3 |
Groupe 2 — Authentification et cloisonnement
| Mesure | Scénarios |
|---|---|
| MFA obligatoire Keycloak TOTP — Ops et admins établissements | SS1, SS6 |
| Keycloak RBAC par organisation — isolation totale établissements | SS2, SS6 |
| Harbor + Trivy — scan CVE auto, refus images CRITICAL en push | SS3, SS4 |
| Sealed Secrets — secrets Kubernetes chiffrés dans Git | SS3, SS4 |
Groupe 3 — Supervision et résilience
| Mesure | Scénarios |
|---|---|
| NetworkPolicy K3s — isolation inter-namespace | SS2, SS4 |
| Wazuh SIEM — 14 agents, détection brute force, FIM, alerting | SS1, SS2, SS4, SS6 |
| PBS multi-sites DIIAGE + OVH — vérification intégrité auto | SS5 |
| Procédure révocation immédiate (runbook) — VPN+Warpgate+Keycloak < 1h | SS1 |
Groupe 4 — Durcissement et réponse
| Mesure | Scénarios |
|---|---|
| CIS Benchmarks OS — score Lynis >= 80 % production | SS2, SS4 |
| Alerting Prometheus/Alertmanager — métriques critiques temps réel | SS4, SS5 |
| Plan réponse incidents (runbooks SS1/SS3/SS5/SS6) | SS1, SS3, SS5, SS6 |
| Monitoring Wazuh + KRI CVE CVSS>=9 — délai < 5 jours ouvrés | SS4 |
Tableau de risque résiduel
| Réf. | Scénario | Grav. nette | Vrais. nette | Niv. net | Grav. résid. | Vrais. résid. | Niv. résid. |
|---|---|---|---|---|---|---|---|
| R1 | Compromission infrastructure (SS1) | 4 | 2 | 4 | 3 | 1 | 2 |
| R2 | Violation données établissements (SS2) | 4 | 3 | 4 | 2 | 2 | 2 |
| R3 | Déploiement code malveillant (SS3) | 4 | 2 | 4 | 2 | 1 | 2 |
| R4 | Exfiltration cluster K3s (SS4) | 3 | 3 | 3 | 2 | 2 | 2 |
| R5 | Perte irréversible sauvegardes (SS5) | 5 | 2 | 4 | 2 | 1 | 2 |
| R6 | Vol données étudiants / CNIL (SS6) | 4 | 3 | 4 | 2 | 2 | 2 |
Tous les risques passent de niveau 3–4 à niveau 2 après application des mesures.
Conclusion
Bilan global
L’analyse EBIOS RM conduite sur Edu-Kit met en évidence une posture de sécurité globalement solide, reposant sur une défense en profondeur (réseau, authentification, supervision, sauvegarde, réponse à incident). Les 6 scénarios retenus voient tous leur risque résiduel ramené au niveau 2 après application des 16 mesures.
Points forts
- Défense en profondeur : la compromission d’un seul composant ne suffit pas à atteindre les données des établissements (VPN + bastion + RBAC + segmentation réseau).
- ArgoCD prod en sync manuel : verrou humain empêchant tout déploiement automatique non contrôlé en production.
- Harbor + Trivy : refus automatique des images CRITICAL — le risque SS4 est fortement réduit sans intervention humaine.
- PBS multi-sites : les sauvegardes résistent à une compromission partielle de l’infrastructure.
- Wazuh 14 agents : couverture de supervision couvrant l’intégralité du plan de contrôle.
Points de vigilance
- SS1 (compte Ops) reste le scénario le plus redouté : la compromission d’un compte Ops offre un accès privilégié à l’ensemble de l’infrastructure. La rigueur de la procédure de révocation et la discipline autour du VPN sont déterminantes.
- NetworkPolicy K3s : isolation inter-namespace à maintenir à jour à chaque nouveau déploiement.
- Plan de réponse aux incidents : runbooks à tester formellement en simulation (ex. SS1 compromission compte Ops).
- Maturité sécurité des admins établissements : hors périmètre technique Edu-Kit, la sensibilisation des administrateurs reste un levier significatif pour réduire SS6.
Perspectives
La prochaine itération de l’analyse devra intégrer :
- Le résultat du premier audit Lynis en production (score CIS réel vs cible ≥ 80 %).
- Les résultats du premier test de restauration PBS en conditions réelles.
- L’évolution du périmètre en cas d’ouverture à de nouveaux établissements.
- La mise en place d’un exercice de simulation d’incident basé sur SS1.