Avril 2015 : écran noir pour la chaîne de télévision TV5 Monde. Juillet 2015 : cinq heures de retard pour 1.500 passagers à l'aéroport de Varsovie, en Pologne. Piratage, cyber-attaque, intrusion malveillante… Depuis plusieurs mois, les exemples se multiplient. S'ils visaient auparavant majoritairement des secteurs sensibles, à l'image des banques, les pirates informatiques se tournent désormais vers d'autres domaines, tout aussi cruciaux pour l'économie mondiale. Réseaux ferroviaires, distribution de gaz, systèmes d'approvisionnement en eau sont les nouvelles cibles.
Conscient de l'enjeu, le ministère de la Défense signait, en février 2014, un pacte Défense cyber, faisant de la cybersécurité une priorité nationale. En parallèle de cette volonté politique, les établissements d'enseignement supérieur se structurent pour offrir des formations qui répondent aux besoins du marché. Car plus qu'ailleurs, la recherche de personnel qualifié et formé aux nouvelles spécificités du domaine est devenue une préoccupation majeure.
La formation continue face à l'urgence
Face à l'urgence de la situation, bon nombre d'entreprises cherchent à former rapidement tout leur personnel aux questions de sécurité informatique. Pour cela, elles se tournent vers les établissements ayant mis en place une offre de formation continue. C'est le cas de l'Epita, école d'ingénieurs privée francilienne, qui a créé, en 2014, une structure dédiée baptisée SecureSphere.
L'entité propose aussi bien des cursus experts, qui peuvent s'adapter au contexte de l'entreprise cliente, que des cours plus généraux, de sensibilisation. "Les pouvoirs publics s'accordent à dire qu'il y a urgence à former tous les collaborateurs à la sécurité informatique, quelle que soit leur fonction, constate Marie Moin, directrice de SecureSphere. Le but est de pousser les salariés à la vigilance et de leur donner les bons réflexes, à l'image de ce qui ce qui existe pour la sécurité incendie, par exemple."
À l'UTT (Université technologique de Troyes), qui s'intéresse au domaine depuis plusieurs années, l'offre de formation continue, qui reçoit de plus en plus de candidatures pour ses masters, est en passe d'être complétée à l'horizon 2016, par des modules de sensibilisation à destination des PME.
"Les petites entreprises sont le maillon faible en matière de sécurité, note Éric Lallement, responsable d'un master sécurité à l'UTT. Pour qu'elles se sentent concernées, il faut leur faire comprendre que cette sensibilisation ne coûte pas cher et qu'elle peut leur éviter de gros soucis."
La cybersécurité fait intervenir la technique mais aussi les sciences humaines, le management, l'éthique…
(C. Préaux)
La formation initiale pour les profils “expert”
Une sensibilisation qui peut permettre d'ouvrir les consciences, qu'il s'agisse de salariés ou d'étudiants. Dans le cadre du pôle d'excellence cyber, initié en 2014 par le ministère de la Défense, les acteurs régionaux ont réalisé une cartographie des formations existantes.
"Nous nous sommes aperçus qu'une grande majorité des élèves inscrits en développement logiciel n'avaient jamais entendu parler de cybersécurité, regrette Jean Le Traon, directeur délégué de Télécom Bretagne, l'école d'ingénieurs locale. Il faudrait initier un module sur le sujet dans tous les cursus."
Malgré tout, la cybersécurité reste un domaine d'experts, où une solide formation est nécessaire. "Les entreprises ont besoin de personnes 'cœur de métier'", argumente Charles Préaux, ancien de la DGA (Délégation générale à l'armement) responsable de la spécialité Ingénieur en cyberdéfense à l'Ensibs, école d'ingénieurs bretonne. Six mois de formation en sécurité donnent seulement un coup de peinture. "Il ne faut pas oublier que la cybersécurité est une matière très transversale, qui fait intervenir la technique mais aussi les sciences humaines, le management, l'éthique…" Créé en 2013, le cursus de l'Ensibs diplôme chaque année une petite trentaine d'élèves ingénieurs, tous passés par l'apprentissage.
Les effectifs sont à peu près similaires à l'autre bout de la France, à Maubeuge. L'IUT, rattaché à l'université de Valenciennes, fut en 2008 le premier établissement de France à former des "hackers éthiques". Baptisée plus sobrement licence professionnelle CDAISI (Cyber défense, anti-intrusion des systèmes d'information), la formation base son cursus sur un concept simple: savoir attaquer pour mieux défendre.
"Quand nous avons créé la licence, l'expression hacker éthique faisait peur, se souvient Franck Ebel, responsable de la licence pro. Désormais, on nous demande volontiers de communiquer en ces termes." Preuve de l'engouement pour la matière: pour la rentrée 2015, l'enseignant a reçu 400 dossiers de candidatures… pour 26 places offertes.
Après la défense, place à l'attaque préventive
Si auparavant, les cursus en sécurité informatique formaient des experts capables de défendre un système, ils mutent désormais pour apprendre aux étudiants à simuler les attaques pour mieux les contrer.
Pour s'adapter à ce changement de point de vue, les établissements n'hésitent par exemple pas à s'entourer d'avocats – c'est le cas à Maubeuge, où les projets étudiants menés pour le compte d'entreprises font l'objet de contrats, pour "définir les bornes à ne pas franchir" – mais aussi à s'équiper de structures d'entraînement fiables.
Nous nous sommes aperçus qu'une grande majorité des élèves inscrits en développement logiciel n'avaient jamais entendu parler de cybersécurité.
(J. Le Traon)
Alors que l'enseignement supérieur américain en compte déjà bon nombre, la France va se doter en septembre 2015 de son premier centre universitaire de cybersécurité. Créé à l'initiative de l'université de Bretagne-Sud avec le soutien de l'UIMM et des collectivités locales, le centre de gestion de crise cybernétique accueillera à Vannes des activités de formation, de recherche, mais aussi d'entraînement à la cyberdéfense.
Dans un milieu clos et sécurisé, les étudiants pourront alors simuler des attaques, tout comme les industriels, qui pourront louer l'espace pour la formation de leurs salariés. Cet outil s'inscrit dans une politique plus globale qui consiste à transformer la Bretagne en pôle d'excellence dédié à la cybersécurité.
Le contenu des formations évolue également. En plus des nouvelles disciplines techniques, les élèves sont sensibilisés aux changements juridiques. "Cette année, nous avons ajouté dans notre majeure sécurité des cours dédiés à la loi sur le renseignement, explique Éric Filiol, directeur du laboratoire CNS (Confiance numérique et sécurité) de l'école d'ingénieurs Esiea. Il est impossible de mollir, de fléchir et de délivrer à nos élèves des contenus qui seraient obsolètes."
À l'IUT de Maubeuge, le cursus de la licence pro est revu chaque année. Une agilité rendue possible par la proportion importante – 70% – d'intervenants professionnels. "Ces derniers sont plus prompts à modifier leurs cours", concède Franck Ebel.
industriels et autorités, des partenaires incontournables
Intervention dans les cursus, propositions de projets d'études, projets de recherche communs… Quelle que soit la forme adoptée par le partenariat, les entreprises du secteur, à l'image de Thalès, Airbus Defense and Space, ou encore Atos tissent des liens étroits avec les établissements.
"Face à l'évolution rapide des technologies, il nous est crucial de recruter des diplômés compétents et très vite opérationnels", note Martine Tertulliani, responsable des ressources humaines chez Thalès, pour les activités systèmes d'information critiques et de cybersécurité.
Le groupe, qui emploie à travers le monde 5.000 ingénieurs en sécurité a créé une chaire avec DCNS (groupe naval), Télécom Bretagne et l'École navale. Les entreprises proposent aux établissements des sujets d'études, qui sont confiés à des doctorants dans le cadre de leur thèse.
Au sein du laboratoire CNS de l'ESIEA, la trentaine de personnels (doctorants, chercheurs associés et autres) planche régulièrement sur des sujets apportés par des industriels ou des institutions judiciaires. Récemment, la structure a travaillé pour le CEA (Centre d'énergie atomique) ou encore le SRPJ (service régional de police judiciaire) de Montpellier dans le cadre d'une enquête sur un assassinat.
Grâce à un programme baptisé "dispositif espoir recherche", les élèves ingénieurs peuvent venir, sur la base du volontariat travailler sur des projets en cours au laboratoire. Cela peut aller de la sécurisation de données pour une grande banque à l'identification, pour le ministère de la Défense, des islamistes partis faire le Djihad.
Se pose alors une question cruciale, celle de la surveillance opérée sur les élèves par les autorités judiciaires. Si tous les étudiants sont formés à l'éthique, il n'empêche : ils sont amenés à pénétrer sur des systèmes sensibles. À Maubeuge, les services français de renseignement ont pendant quelques années demandé la liste des étudiants.
"Nous sommes suivis de près, raconte Franck Ebel. Nous comptons parmi nos enseignants trois commandants réservistes de la gendarmerie. Les élèves savent que nous avons l'État derrière nous et que nous pouvons, si besoin, faire pression sur eux. Mais depuis 2008, nous n'avons jamais eu besoin de recadrer les élèves."
En matière de sécurité informatique, l'Anssi (Agence nationale de la sécurité des systèmes d'information) est l'institution de référence en France. Organisme gouvernemental créé en 2009, il a pour but "de faciliter une prise en compte coordonnée, ambitieuse et volontariste des questions de cybersécurité en France."
En matière d'enseignement, l'Anssi recense toutes les formations en cybersécurité proposées par les établissements français. Si elle ne délivre pas de label, elle peut valider les contenus. "Quand l'Anssi soutient une formation, c'est un bon point, avoue Charles Préaux, de l'Ensibs.
La liste des formations en cybersécurité est disponible sur le site de l'Anssi.
École navale, ETRS (École des transmissions), école de Saint-Cyr Coëtquidan, Ensta Bretagne… À travers ses établissements d'enseignement supérieur, le ministère de la Défense est déjà bien implanté sur le territoire breton. C'est donc tout naturellement qu'il a choisi cette région pour installer le pôle d'excellence cyber.
Créé en février 2014, en collaboration étroite avec la Région et les acteurs économiques locaux, ce regroupement vise à structurer l'offre d'enseignement et de recherche pour répondre aux besoins des entreprises et des institutions, à la recherche urgente de personnel qualifié.
"Le développement optimal de la filière cybersécurité passera par la formation d'un nombre suffisant d'étudiants", constate Jean Le Traon, directeur délégué de Télécom Bretagne. L'école d'ingénieurs brestoise, en cours de fusion avec l'École des mines de Nantes, pilote avec l'École des transmissions l'un des trois "clubs" du pôle d'excellence cyber, le club formation.
"Notre première mission consiste à faire un état des lieux des formations initiales et continues existantes, poursuit Jean Le Traon. La Région compte 24 établissements, proposant tous des parcours spécialisés ou généralistes en cybersécurité. Il faut donc travailler à définir l'offre idéale." Une première cartographie a été publiée fin 2014 et a donné lieu à un catalogue exhaustif.
Grâce à ce travail d'études, des besoins d'évolution ont pu être identifiés. "Nous nous sommes par exemple aperçus qu'une grande majorité des élèves inscrits en développement logiciel n'avaient jamais entendu parler de cybersécurité", regrette Jean Le Traon. Les industriels quant à eux, sollicitent désormais les établissements pour que ces derniers forment les étudiants au "hacking". "Dans la culture française, nous sommes prêts à riposter, mais pas à attaquer, poursuit Jean Le Traon. Au Japon, de tels cours sont proposés depuis des années…"
Le deuxième chantier du club formation consistera donc à faire évoluer l'offre mais aussi à mutualiser les filières civiles et militaires. "Aujourd'hui, les cursus militaires sont très opérationnels et donc très intéressants pour les élèves ingénieurs, note Jean Le Traon. Mais ils ne sont pas tous calqués sur le système LMD. Il faut donc réfléchir à leur évolution."
Cybersécurité : passez à l'attaque du secteur
