Formation cybersécurité : quand analyser rime avec former
L'analyse des vulnérabilités est un des points d'ancrage du parcours pour les élèves-ingénieurs de l'ESIEA, option sécurité.
Des spécialistes en cybersécurité, en France, les cursus bac+5 spécialisés en forment environ 250 par an. Il en faudrait dix fois plus, entend-on dans ce microcosme d'experts. Ou alors attaquer la question sous un autre angle : anticiper autant que possible les vulnérabilités. L'un n'empêchant pas l'autre. C'est le sens donné au partenariat conclu entre l'école d'ingénieurs ESIEA et Quotium, éditeur de solutions de sécurisation des applications web et mobile. L'objet de la coopération est classique : assurer aux étudiants des travaux pratiques outillés. Mais l'intention va bien au delà. Derrière l'outil, l'exemplarité de la démarche. Inculquer les principes du développement sécurisé.
Dans un premier temps, les étudiants concernés sont ceux du mastère spécialisé Network & Information Security (N&IS), enseigné en anglais au campus de Laval de l'ESIEA. Mais aussi, à Laval et à Paris, « ceux qui prennent cette orientation dès la 2è année du cycle ingénieur », précise le professeur Eric Filiol. Pour les premiers, il s'agit de compléter leur initiation aux techniques et pratiques de la cryptologie et de la virologie opérationnelles, par une approche pratique des problématiques du développement sécurisé.
S'appuyer sur les réflexes du développement sécurisé
Le logiciel Seeker de Quotium, mis à disposition des étudiants dans sa version réseau, en est le support. L'outil est en effet conçu – et c'est sa force – pour analyser le code applicatif pendant l'exécution d'une attaque malveillante, ainsi que ses conséquences sur les flux de données utilisateur. Ce produit phare de l'éditeur français, acquis en 2011 avec l'équipe israélienne qui l'a développé, permet ainsi aux étudiants de repérer et d'analyser les failles de sécurité "on the job", durant le cycle de développement. « Et ce, à la différence des outils qui, généralement, détectent les vulnérabilités en les analysant sur un serveur externe, en l'occurrence celui de l'éditeur qui, le plus souvent, est d'obédience américaine », remarque le professeur. Avec Seeker, pour chaque faille détectée, un correctif est proposé concernant les lignes de code en question, avec une explication détaillée du « pourquoi » et du « comment ». De quoi instiller les réflexes du développement sécurisé.
Là est la vertu pédagogique de ce partenariat que l'enseignant prévoit de compléter, pour la trentaine d'étudiants de mastère spécialisé (Ms), par une certification en bonne et due forme concernant la solution de Quotium. A inclure dans les quelques 550 heures d'enseignement du master, dont 50 % de pratique « pour forger des compétences SSI avec une vision très opérationnelle », insiste Eric Filiol. Et ce n'est qu'un début. Un autre partenariat du genre vient d'être finalisé avec l'éditeur de solutions de pare-feux et autres Security Box, Arkoon, « stabilisé depuis son adossement à Cassidian et au groupe EADS », observe-t-il.
Une sensibilisation bien distincte de celle des concours de hacking
Sont concernés, au delà des futurs diplômés du mastère es cybersécurité, les cours de programmation dispensés durant le cycle ingénieur, pour une sensibilisation efficace et pertinente. Ce que ne permet pas, de l'avis d'Eric Filiol, le contexte des compétitions de hacking, organisés ici et là (le prochain en date à Lille, en janvier lors du forum FIC). Même si, reconnaît-il, ces concours ont au moins le mérite de démystifier les motivations du hacking, en le différenciant du piratage. Sauf que, pour qu'il y ait des gagnants dans ces compétitions, on les construit autour de problèmes qui ont une solution. « Une démarche forcément déconnectée de la réalité. Alors que le hacking implique une analyse en profondeur d'un système, pas seulement sous l'angle technique », insiste-t-il.
En revanche, l'entraînement à la détection de failles durant le développement (notamment avec Seeker) implique de penser en termes de méthodologie. Une approche utile à la conduite d'audit que les futurs spécialistes en cybersécurité sont censés couvrir ; mais utile aussi durant la conception-développement, du fait de la tournure offensive (quoi faire pour parer la faille ?) qu'elle peut prendre. « Une démarche qu'on aimerait voir se généraliser au développement, comme ça se fait dans d'autres pays, en Estonie, au Danemark, en Suède», glisse-t-il. De quoi, néanmoins, apporter sa pierre aux prémices de la mobilisation engagée autour de la cyberdéfense nationale (rapport Bockel et ses suites), à défaut d'avoir suffisamment de spécialistes formés et recrutés.
Car là est bel et bien le thème récurrent qui agite la sphère des professionnels de ce domaine : la pénurie avérée de recrues. Un exemple : le site de l'Anssi (l'agence de la cyberdéfense nationale) au service des grands corps de l'Etat, affiche à ce jour 42 offres de stages et 68 offres d'emploi. Des postes « d'autant plus difficiles à pourvoir qu'ils sont proposés en CDD de trois ans, renouvelable une seule fois », remarque l'enseignant. Pour rappel, ne serait que pour l'Anssi et la DGA (ministère de la défense), les besoins sont estimés à 250 ingénieurs es sécurité par an pendant 5 ans. Soit déjà bien plus que ne peuvent fournir les cursus déjà mis sur pied en formation initiale ou continue. A savoir, outre ceux de l'ESIEA et le Ms de l'ESGI à Paris, les masters (bac+5) de l'université de Bordeaux (CSI), de l'université Paris-Est Créteil, de l'université de Versailles-St Quentin (Secrets), de l'UTT à Troyes (gestion du risque), de cryptologie à Limoges, ainsi que les mastères spécialisés (bac+5/+6), SSIR à Telecom ParisTech ou encore Ms RSSI de Supelec/Télécom Bretagne, et autres parcours de spécialisation de master informatique à Rennes, Paris, Valenciennes. Ou encore les initiatives d'ouverture de formations destinées aux carrières militaires (à Saint-Cyr). Sans parler des leaders du secteur (les Google, Apple et consorts) qui chassent aussi sur ce terrain. Vous avez dit ressource critique ?