Faire lire un avis CERT-FR en Bac Pro CIEL : exemple GLPI
Un format court pour transformer un avis de sécurité récent en activité de veille, sans partir dans un cours magistral sur les CVE.
Les élèves entendent souvent parler de “faille critique”, “CVE”, “patch urgent”, “attaque en cours”. Le risque, en classe, c’est de transformer ça en bruit anxiogène ou en bingo de mots-clés.
Un avis CERT-FR récent peut devenir une activité utile en Bac Pro CIEL, à condition de viser une compétence réaliste : savoir lire une alerte, identifier ce qui est concerné, proposer une action propre.
Point de départ : un avis récent sur GLPI
Le 7 mai 2026, le CERT-FR publie un avis sur de multiples vulnérabilités dans GLPI. L’avis indique notamment :
- des versions affectées : GLPI avant
10.0.25et avant11.0.7; - des risques : atteinte à l’intégrité des données, SSRF, XSS, contournement de politique de sécurité ;
- une action attendue : se référer au bulletin de l’éditeur pour obtenir les correctifs.
Côté éditeur, les versions GLPI 10.0.25 et 11.0.7, publiées le 29 avril 2026, sont présentées comme des versions de sécurité dont la mise à jour est recommandée.
Pour un élève CIEL, ce n’est pas “retenir tous les CVE”. C’est comprendre la chaîne : veille → qualification → décision → trace.
Activité courte : 35 minutes, sans drama
1. Lire sans paniquer
Donner aux élèves l’avis CERT-FR et leur demander de remplir quatre lignes :
Produit concerné :
Versions concernées :
Risques principaux :
Action recommandée :
Interdiction de copier tout le texte. L’objectif est de reformuler.
2. Vérifier côté éditeur
Deuxième source : la page de release GLPI.
Les élèves doivent répondre :
- quelle version corrige la branche 10 ?
- quelle version corrige la branche 11 ?
- l’éditeur parle-t-il d’une version de sécurité ?
- est-ce que “mettre à jour” est une recommandation explicite ?
Ça force un réflexe sain : un avis public se recoupe avec la source éditeur.
3. Décider comme un technicien
Situation fictive :
L’entreprise Alpha utilise GLPI 10.0.23 pour le suivi des tickets.
Le serveur n’est pas exposé publiquement, mais il est accessible à tout le réseau interne.
Une sauvegarde quotidienne existe.
Une fenêtre de maintenance est possible vendredi à 17h.
Question : que proposes-tu ?
Réponse attendue : pas “on clique partout”. Plutôt :
- vérifier la version exacte ;
- lire les prérequis de mise à jour ;
- sauvegarder fichiers + base ;
- planifier la mise à jour vers
10.0.25; - tester l’accès et quelques fonctions clés ;
- noter l’action dans un journal de maintenance.
Ce qu’on évalue vraiment
Pas la peur. Pas le jargon.
On peut évaluer :
- la capacité à extraire les versions concernées ;
- la différence entre source officielle et commentaire trouvé au hasard ;
- la proposition d’une action proportionnée ;
- la trace écrite : date, source, version avant/après, décision.
C’est exactement le genre de micro-compétence qui sert en PFMP, en atelier et plus tard en support/admin.
Variante “tuteur IA”, si on veut l’utiliser
On peut demander à une IA d’aider à reformuler, mais sans lui donner de données réelles.
Prompt propre :
Tu aides un élève de Bac Pro CIEL à comprendre un avis de sécurité.
À partir d'un produit fictif concerné par des vulnérabilités XSS et SSRF,
prépare 5 questions de lecture guidée.
Ne donne pas de procédure d'exploitation.
Reste sur la veille, la priorisation et la mise à jour.
L’IA sert alors à fabriquer des questions ou différencier le niveau, pas à transformer le cours en mode “copie-colle un exploit trouvé sur Internet”. Oui, c’est moins spectaculaire. C’est le but.
Sources
- CERT-FR — CERTFR-2026-AVI-0551, Multiples vulnérabilités dans GLPI, publié et mis à jour le 07/05/2026.
- GLPI Project — Release 10.0.25, publiée le 29/04/2026, présentée comme une version de sécurité avec mise à jour recommandée.
- GLPI Project — Release 11.0.7, publiée le 29/04/2026, présentée comme une version de sécurité avec mise à jour recommandée.
- Cybermalveillance.gouv.fr — Pourquoi et comment bien gérer ses mots de passe ?, mis à jour le 12/05/2026. Source utile si l’activité débouche sur un rappel comptes/admin.