16 000
FC
Seize mille francs congolais

Pour contact :

+243 860 655 590
reach@sciences-africa.com

Formation Audit et Sécurité Informatique en RDC | ISO 27001 & PRA/PCA

Professionnel en cybersécurité réalisant un audit de sécurité informatique.

Audit et plan de la sécurité informatique

Élaboration de politiques sécuritaires et évaluation des cyber-risques.

Édition 2026 – Réforme LMD – Enseignement supérieur et universitaire en RDC.

  • Code Officiel : APS2141
  • Domaine : Sciences et Technologie
  • Filière : Sciences Informatiques
  • Mention : Ingénierie Sécurité Informatique
  • Année d’étude : Master 2
  • Semestre : Semestre 4
Consulter les Modalités, Compétences et Débouchés

Cette Unité d’Enseignement (UE) est un module spécialisé et intensif, capitalisant 2 crédits ECTS. Son architecture pédagogique est volontairement concentrée autour d’un unique Élément Constitutif (EC) fondamental : l’Audit et plan de la sécurité informatique. Cette approche ciblée garantit une immersion complète et une maîtrise approfondie des méthodologies d’évaluation et de planification stratégique en cybersécurité, formant ainsi des experts capables de répondre avec précision aux défis complexes de la protection des infrastructures numériques.

Au-delà de la théorie, cette UE forge des compétences opérationnelles de premier plan. Vous apprendrez à cartographier méticuleusement les failles d’une infrastructure en vous appuyant sur le référentiel international de la norme ISO 27001, transformant un diagnostic en une vision stratégique. Vous serez capable de concevoir des Plans de Reprise et de Continuité d’Activité (PRA/PCA) qui assurent la résilience et la survie de l’organisation face aux crises. Enfin, vous maîtriserez la conduite d’un audit de sécurité technique et organisationnel complet, aboutissant à des recommandations d’ingénierie concrètes pour ériger des défenses robustes et proactives.

Ce programme ouvre la voie à des carrières stratégiques et très recherchées, notamment celles d’Auditeur en cybersécurité, de Responsable de la Sécurité des Systèmes d’Information (RSSI) ou de Consultant en risques cyber. Dans le contexte de la transformation numérique accélérée en République Démocratique du Congo, ces experts sont des piliers essentiels. Ils ne se contentent pas de protéger des données ; ils sécurisent les investissements, garantissent la confiance des citoyens et des partenaires économiques, et contribuent directement à la souveraineté et à la compétitivité de la nation sur l’échiquier digital africain.

SOMMAIRE NAVIGABLE

PRÉLIMINAIRES

I. Épistémologie et Enjeux Scientifiques du Domaine

L’audit de sécurité informatique a muté d’une simple chasse aux vulnérabilités techniques vers une discipline socio-technique complexe. Initialement focalisée sur la défense périmétrique, sa scientificité réside désormais dans l’analyse systémique des risques, intégrant le facteur humain comme maillon central et non plus faible. Cette évolution conceptuelle impose de maîtriser des modèles probabilistes pour la quantification du risque, tout en s’appuyant sur des cadres normatifs comme la famille ISO 27000 pour structurer la gouvernance. L’enjeu suprême est de transformer la sécurité d’un centre de coût réactif en un avantage stratégique proactif.

II. Cartographie des Compétences et Transversalité

Les compétences visées par cette UE forment un triptyque opérationnel indissociable pour tout futur RSSI ou auditeur. La cartographie des vulnérabilités (ISO 27001) fournit le diagnostic initial, l’audit technique et organisationnel en valide la profondeur et la réalité, tandis que l’élaboration des PCA/PRA constitue la réponse stratégique à l’inévitabilité de l’incident. Cette triade de compétences transcende l’informatique pure pour dialoguer avec le droit des données (RGPD, lois locales), la gestion de crise et la finance, car chaque décision de sécurité doit être justifiée par une analyse coût-bénéfice rigoureuse.

III. Alignement Stratégique avec les Réalités Opérationnelles

Face à l’accélération de la digitalisation en RDC, portée par les services financiers mobiles et l’e-gouvernement, la demande pour des experts en cyber-résilience explose. Les métiers d’auditeur, de RSSI et de consultant en risques cyber ne sont plus des luxes mais des nécessités absolues pour garantir la confiance des usagers et la pérennité des organisations. Ce cours arme les étudiants d’une méthodologie directement monnayable, alignée sur les menaces locales prévalentes : fraude au SIM swap, attaques par déni de service contre les infrastructures critiques, et ingénierie sociale ciblant les entreprises.

Chapitre I. Cartographie des Vulnérabilités et Gouvernance selon la norme ISO 27001

I.1 Les Fondements du Système de Management de la Sécurité de l’Information (SMSI)

Conceptuellement, la norme ISO 27001 n’est pas une simple checklist technique mais un cadre de gouvernance holistique. Elle impose la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) basé sur le cycle d’amélioration continue Plan-Do-Check-Act (PDCA) de Deming. L’objectif est d’établir, mettre en œuvre, maintenir et améliorer en continu la sécurité en fonction des risques métiers spécifiques de l’organisation. Cette approche systémique assure que la sécurité est intégrée à la culture et aux processus de l’entreprise, et non un silo isolé.

I.2 Mécanismes d’Appréciation et de Traitement du Risque

Sous l’angle de la précision, la mise en œuvre d’ISO 27001 exige une méthodologie d’appréciation du risque rigoureuse, souvent outillée par des référentiels comme EBIOS ou MEHARI. Ce processus implique l’identification des actifs informationnels critiques, l’analyse des menaces et des vulnérabilités associées, puis l’évaluation de l’impact potentiel et de la vraisemblance pour quantifier le niveau de risque. Le traitement consiste ensuite à choisir entre réduire, accepter, transférer ou refuser le risque, en sélectionnant les mesures de sécurité adéquates parmi les 114 contrôles de l’Annexe A.

I.3 Analyse Critique de l’Approche par la Conformité

La controverse sur l’efficacité réelle de la certification ISO 27001 mérite une analyse tranchée. Une focalisation excessive sur la conformité documentaire peut engendrer une “sécurité papier” déconnectée des menaces réelles, où l’obtention du certificat prime sur la réduction effective du risque. De plus, le coût et la lourdeur du processus peuvent être prohibitifs pour les PME, créant une sécurité à deux vitesses. La norme, si elle est mal interprétée, peut rigidifier l’organisation et freiner l’innovation au lieu de la sécuriser de manière agile.

I.4 Application Frugale du Cadre ISO 27001 en Contexte Africain

Face aux contraintes budgétaires et infrastructurelles, une PME de Kinshasa ne vise pas la certification mais l’inspiration pragmatique. L’enjeu est d’adapter les principes d’ISO 27001 de manière frugale : prioriser la protection des données clients sur les plateformes de paiement mobile, mettre en place des contrôles d’accès simples mais robustes et sensibiliser le personnel à l’hameçonnage par WhatsApp. L’étudiant apprendra à extraire 20% des contrôles de la norme qui adressent 80% des risques locaux, prouvant que la gouvernance sécurité est avant tout une affaire d’intelligence situationnelle.

Chapitre II. Conduite de l’Audit de Sécurité Technique et Organisationnel

II.1 La Dualité de l’Investigation : Postures Technique et Humaine

L’audit de sécurité est un acte dual qui dissèque simultanément la machine et l’humain. La posture technique évalue la robustesse des configurations, des codes et des architectures réseau face à des attaques simulées. Parallèlement, la posture organisationnelle analyse les politiques, les procédures et surtout les comportements humains via des entretiens et des tests d’ingénierie sociale. Ignorer l’une de ces dimensions conduit à un diagnostic partiel et inefficace, car la faille la plus sophistiquée est souvent exploitée par la manipulation la plus simple.

II.2 Arsenal Méthodologique de l’Auditeur : du Scan au Pentest

Déployer un audit technique requiert la maîtrise d’un arsenal gradué, allant du balayage de vulnérabilités automatisé (Nessus, OpenVAS) à l’test d’intrusion manuel (pentest). Ce dernier suit des méthodologies strictes comme le PTES (Penetration Testing Execution Standard) ou le framework MITRE ATT&CK pour simuler une attaque réaliste, de la reconnaissance initiale à l’exfiltration de données. L’étudiant apprendra à choisir l’approche (boîte noire, grise ou blanche) la plus pertinente selon le périmètre et les objectifs fixés par le commanditaire de l’audit.

II.3 Limites Éthiques et Contractuelles de l’Audit Intrusif

Critique fondamentale de la pratique, le test d’intrusion navigue sur une ligne de crête légale et éthique. Sans un mandat contractuel d’une clarté absolue définissant le périmètre, les horaires et les techniques autorisées, l’auditeur bascule du statut de “white hat” à celui de délinquant informatique. Ce module insiste sur la rédaction de la lettre de mission, la gestion des fausses découvertes (faux positifs) et la communication responsable des vulnérabilités. La confiance du client est l’actif le plus précieux de l’auditeur, et elle se construit sur une déontologie irréprochable.

I.4 Mise en Situation : Audit d’une Plateforme de Mobile Money

L’impératif de sécurisation des services financiers en RDC impose un cas pratique concret : l’audit d’une application de mobile money. L’étudiant devra combiner un audit technique de l’application Android (analyse de code statique et dynamique pour trouver des clés d’API en dur) et de l’infrastructure USSD sous-jacente. Il mènera aussi un audit organisationnel des agents de terrain pour évaluer leur résistance aux fraudes par ingénierie sociale (SIM swapping), livrant un rapport qui fusionne recommandations techniques et programmes de formation ciblés.

Chapitre III. Ingénierie du Plan de Continuité et de Reprise d’Activité (PCA/PRA)

III.1 Fondements Conceptuels : BIA, RTO et RPO comme Piliers de la Résilience

La résilience organisationnelle repose sur une distinction sémantique capitale : la continuité (PCA) maintient les services critiques en mode dégradé durant un sinistre, tandis que la reprise (PRA) orchestre le retour à la normale. Ces deux plans sont architecturés autour des conclusions de l’Analyse d’Impact sur l’Activité (BIA), qui définit pour chaque processus métier deux métriques non négociables. Le RTO (Recovery Time Objective) fixe le délai maximal d’interruption acceptable, et le RPO (Recovery Point Objective) la perte de données maximale tolérable.

III.2 Architecture et Déploiement d’un Dispositif de Continuité

Construire un PCA/PRA est un projet d’ingénierie qui traduit les exigences du BIA en solutions techniques et organisationnelles. Cela inclut la mise en place de sites de secours (chauds, tièdes, froids), la réplication de données synchrone ou asynchrone, et la formalisation de procédures de basculement claires avec des équipes de crise désignées. Ce module détaille la rédaction du plan, la constitution de la cellule de crise et les stratégies de communication interne et externe, qui sont aussi cruciales que l’infrastructure technique elle-même.

III.3 La Critique des “Plans d’Étagère” : Le Défi des Tests en Conditions Réelles

Le principal écueil des PCA/PRA est de devenir des “shelfwares” : des documents coûteux, jamais testés, et donc obsolètes et inutiles le jour du sinistre. La valeur d’un plan ne réside pas dans son écriture mais dans sa validation par des tests réguliers et réalistes, allant de la simple revue documentaire à la simulation de basculement complet. Ce chapitre analyse la difficulté et le risque de ces tests, qui peuvent eux-mêmes provoquer une interruption de service, et propose des stratégies de test progressives et maîtrisées.

III.4 Conception d’un PCA pour une Entreprise Face aux Coupures d’Énergie à Kinshasa

Face aux délestages électriques chroniques, une entreprise de services numériques à Kinshasa doit intégrer cette contrainte au cœur de son PCA. L’étudiant concevra une solution résiliente combinant des onduleurs (UPS) pour les micro-coupures, un groupe électrogène avec contrat de maintenance et stock de carburant pour les pannes prolongées, et une stratégie de connectivité redondante (fibre + liaison satellite ou 4G). Le plan devra aussi inclure des procédures de travail en mode déconnecté pour les fonctions non critiques, optimisant la survie opérationnelle avec des ressources limitées.

ANNEXES

A. Guide Opérationnel de Nmap pour l’Audit Réseau

Nmap (Network Mapper) est l’outil fondamental de l’auditeur pour la phase de reconnaissance. Cette annexe fournit une méthodologie pratique pour son utilisation, dépassant le simple scan de ports. Elle détaille les scripts du Nmap Scripting Engine (NSE) permettant de détecter des vulnérabilités spécifiques (ex: Heartbleed), d’identifier les versions précises des services pour cibler les exploits, et de cartographier la topologie du réseau. Pour un consultant en risques cyber, maîtriser Nmap est la première étape pour matérialiser la surface d’attaque d’un client et quantifier son exposition.

B. Canevas de Rapport d’Audit Basé sur la Méthodologie EBIOS Risk Manager

L’ANSSI française propose avec EBIOS Risk Manager une méthode de référence pour l’appréciation et le traitement des risques numériques. Cette annexe offre un canevas de rapport d’audit structuré selon les 5 ateliers d’EBIOS : de la définition du périmètre et du socle de sécurité à l’élaboration de la stratégie de traitement du risque. Pour un futur RSSI, ce modèle fournit une structure logique et crédible pour présenter ses conclusions à une direction générale, en liant chaque faille technique à un impact métier et en proposant un plan d’action priorisé.

C. Template de Tableau de Bord GRC (Gouvernance, Risque, Conformité) sous Excel

Pour un auditeur ou un RSSI en contexte PME, un outil GRC coûteux est souvent inaccessible. Cette annexe propose une innovation frugale : un template Excel avancé servant de tableau de bord GRC. Il permet de centraliser le registre des actifs, le catalogue des risques, le suivi des vulnérabilités (avec leur criticité et leur statut), le plan de traitement et les indicateurs de performance (KPIs) de la sécurité. Cet outil pragmatique permet de piloter la sécurité de manière professionnelle et de produire des rapports clairs pour le management avec des moyens limités.

Cyber-Résilience en Contexte Contraint : De l’Audit Normatif à la Réalité Opérationnelle en RDC
Comment appliquer le modèle ‘zéro confiance’ dans des environnements où l’instabilité force souvent des accès partagés ?
Le principe “ne jamais faire confiance, toujours vérifier” de John Kindervag ne dépend pas d’une infrastructure parfaite mais du déplacement des périmètres de sécurité vers les identités et les données. En RDC, cela impose de prioriser la micro-segmentation autour des applications critiques et de renforcer l’authentification multifacteur, même sur des systèmes hérités via des proxys d’identité modernes. La philosophie s’applique en concentrant la vérification sur le contexte de l’utilisateur et de l’appareil, ce qui reste réalisable malgré une connectivité intermittente. C’est une adaptation de l’idéal au réel, prouvant que la force du concept réside dans son application flexible aux risques spécifiques.

📚 Source :Travaux de John Kindervag sur Zero Trust via Google Scholar

Face aux coupures de courant constantes, comment un auditeur peut-il garantir l’intégrité continue des logs d’un SIEM ?
Ce défi exige un système qui se renforce face aux chocs, une application directe du concept d'”Antifragilité” de Nassim Nicholas Taleb. Le plan d’audit doit imposer une architecture de journalisation décentralisée. Au lieu d’un point de défaillance unique (le SIEM), les agents sur les terminaux doivent mettre en mémoire tampon les logs localement, avec un hachage cryptographique à la création. À la reconnexion, ces journaux scellés sont transmis. La panne de courant, un stresseur, déclenche ainsi un mécanisme de vérification qui renforce l’intégrité, car toute lacune ou altération dans la chaîne mise en mémoire tampon devient immédiatement évidente.

📚 Source :Travaux de Nassim Nicholas Taleb sur Antifragility via Cairn.info

Un relais télécom clé à Goma est compromis durant une crise. Quelle est la priorité d’audit immédiate ?
La priorité n’est pas un audit conventionnel mais l’exécution d’un cycle rapide “Observer-Orienter” de la boucle OODA de John Boyd. ‘Observer’ : quel est le rayon d’impact ? S’agit-il d’exfiltration de données, de déni de service ou de prise de contrôle ? Utiliser des canaux hors bande pour collecter des renseignements bruts. ‘Orienter’ : contextualiser ces données par rapport à la crise régionale. L’acteur est-il étatique, criminel ou activiste ? Cette phase définit le modèle de menace et l’intention de l’adversaire. C’est seulement ensuite que l’on peut ‘Décider’ du confinement et ‘Agir’. La priorité est une évaluation de la menace en temps réel.

📚 Source :Travaux de John Boyd sur OODA Loop via Wikipedia (FR)

Au-delà des cadres comme ISO 27001, quelle compétence non technique est la plus critique pour un auditeur à Kinshasa ?
La compétence la plus critique est la maîtrise de l’interaction entre la pensée intuitive et analytique, décrite par Daniel Kahneman comme le Système 1 et le Système 2. À Kinshasa, un auditeur fait face à des scénarios où les règles formelles se heurtent aux structures de pouvoir informelles. S’appuyer uniquement sur le Système 2 analytique (la checklist) est inefficace. L’expert doit utiliser son Système 1 intuitif pour lire les signaux sociaux et identifier les administrateurs “fantômes”. Ensuite, il doit engager consciemment le Système 2 pour valider ces intuitions avec des preuves, évitant les biais cognitifs et traduisant les réalités informelles en conclusions d’audit formelles.

📚 Source :Travaux de Daniel Kahneman sur Thinking, Fast and Slow via Google Books

Lire aussi :

Cours de Mémoire, master-2, MFO2241
Cours de Conception des systèmes d'information, licence-4, CSF1471
Cours de Machine Learning-2, master-2, MAL2231
Cours de Physique, preparatoire, PHY0111
Cours de Introduction à l'Environnement et à l'Ecologie Générale, master-1, IEE2111
Colloïdes et Polymères dans l’Environnement
Cours de Colloïdes et Polymères dans l’Environnement, master-2, CPE2231

Discussion (0)

Aucune intervention pour le moment. Soyez le premier à contribuer.

Votre intervention Annuler la réponse

Tagged , , , , , , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *