// cyber

Faire lire un avis CERT-FR en Bac Pro CIEL : exemple GLPI

Un format court pour transformer un avis de sécurité récent en activité de veille, sans partir dans un cours magistral sur les CVE.

· 4 min de lecture · cybersécurité · veille · CERT-FR · GLPI · Bac Pro CIEL

Les élèves entendent souvent parler de “faille critique”, “CVE”, “patch urgent”, “attaque en cours”. Le risque, en classe, c’est de transformer ça en bruit anxiogène ou en bingo de mots-clés.

Un avis CERT-FR récent peut devenir une activité utile en Bac Pro CIEL, à condition de viser une compétence réaliste : savoir lire une alerte, identifier ce qui est concerné, proposer une action propre.

Point de départ : un avis récent sur GLPI

Le 7 mai 2026, le CERT-FR publie un avis sur de multiples vulnérabilités dans GLPI. L’avis indique notamment :

  • des versions affectées : GLPI avant 10.0.25 et avant 11.0.7 ;
  • des risques : atteinte à l’intégrité des données, SSRF, XSS, contournement de politique de sécurité ;
  • une action attendue : se référer au bulletin de l’éditeur pour obtenir les correctifs.

Côté éditeur, les versions GLPI 10.0.25 et 11.0.7, publiées le 29 avril 2026, sont présentées comme des versions de sécurité dont la mise à jour est recommandée.

Pour un élève CIEL, ce n’est pas “retenir tous les CVE”. C’est comprendre la chaîne : veille → qualification → décision → trace.

Activité courte : 35 minutes, sans drama

1. Lire sans paniquer

Donner aux élèves l’avis CERT-FR et leur demander de remplir quatre lignes :

Produit concerné :
Versions concernées :
Risques principaux :
Action recommandée :

Interdiction de copier tout le texte. L’objectif est de reformuler.

2. Vérifier côté éditeur

Deuxième source : la page de release GLPI.

Les élèves doivent répondre :

  • quelle version corrige la branche 10 ?
  • quelle version corrige la branche 11 ?
  • l’éditeur parle-t-il d’une version de sécurité ?
  • est-ce que “mettre à jour” est une recommandation explicite ?

Ça force un réflexe sain : un avis public se recoupe avec la source éditeur.

3. Décider comme un technicien

Situation fictive :

L’entreprise Alpha utilise GLPI 10.0.23 pour le suivi des tickets.
Le serveur n’est pas exposé publiquement, mais il est accessible à tout le réseau interne.
Une sauvegarde quotidienne existe.
Une fenêtre de maintenance est possible vendredi à 17h.

Question : que proposes-tu ?

Réponse attendue : pas “on clique partout”. Plutôt :

  1. vérifier la version exacte ;
  2. lire les prérequis de mise à jour ;
  3. sauvegarder fichiers + base ;
  4. planifier la mise à jour vers 10.0.25 ;
  5. tester l’accès et quelques fonctions clés ;
  6. noter l’action dans un journal de maintenance.

Ce qu’on évalue vraiment

Pas la peur. Pas le jargon.

On peut évaluer :

  • la capacité à extraire les versions concernées ;
  • la différence entre source officielle et commentaire trouvé au hasard ;
  • la proposition d’une action proportionnée ;
  • la trace écrite : date, source, version avant/après, décision.

C’est exactement le genre de micro-compétence qui sert en PFMP, en atelier et plus tard en support/admin.

Variante “tuteur IA”, si on veut l’utiliser

On peut demander à une IA d’aider à reformuler, mais sans lui donner de données réelles.

Prompt propre :

Tu aides un élève de Bac Pro CIEL à comprendre un avis de sécurité.
À partir d'un produit fictif concerné par des vulnérabilités XSS et SSRF,
prépare 5 questions de lecture guidée.
Ne donne pas de procédure d'exploitation.
Reste sur la veille, la priorisation et la mise à jour.

L’IA sert alors à fabriquer des questions ou différencier le niveau, pas à transformer le cours en mode “copie-colle un exploit trouvé sur Internet”. Oui, c’est moins spectaculaire. C’est le but.

Sources