« Nous n’avons pas piraté, on nous a laissé entrer. C’est un piège ! Incroyablement sophistiqué… » Cette réplique, tirée de la série télévisée Person of Interest, laisse entrevoir des cyberattaques de plus en plus complexes. Qu’en est-il réellement et quels impacts peuvent-elles avoir ?
Sébastien Bombal, responsable du développement « Systèmes, réseaux et sécurité » à l’Epita, capitaine dans la réserve citoyenne cyber (RCC) et directeur des opérations d'Orange cyberdéfense : « Nous préparons nos étudiants à toute sorte de menaces : l'exfiltration de données, le sabotage, l'altération d'un système, la subversion… C’est pourquoi ils doivent connaître les méthodologies actuelles, être capables de cartographier des réseaux, réussir à trouver et exploiter des vulnérabilités. La protection et la défense des systèmes réseaux comme le sans-fil, des systèmes d’information de gestion, des systèmes industriels comme le SCADA, ou des objets connectés sont un enjeu majeur. Le champ des possibles est large en termes de scénarii d'attaque, dont les impacts peuvent s’avérer bien réels. »
François Lonc, doctorant à Télécom ParisTech : « Du côté des entreprises, les cyberattaques peuvent causer aujourd’hui des pertes financières ou des dégradations d'image ; dans un avenir sombre, elles pourraient cibler les voitures connectées, les compteurs électriques ou les pacemakers, et mener à des accidents touchant à la vie des citoyens. Dans nos différentes formations en cybersécurité, nous préparons avant tout nos étudiants à la conception sécurisée de tous les systèmes. »
A la question « Shall…we…play…a…game? » extraite du film Wargames, tout le monde répond que le combat numérique n’est pas un jeu. Comment y sensibilisez-vous les étudiants ?
S. Bombal : « Il est important de leur expliquer ce qu'est un incident de cybersécurité et ses impacts. Demain, employés par une entreprise, ils devront peut-être rendre des comptes auprès de toutes les parties prenantes, c’est-à-dire les actionnaires, les partenaires, et même les autorités. C'est loin d'être un jeu : les conséquences sur un écosystème sont bien réelles et leur responsabilité juridique peut être engagée. »
Philippe Godlewski, professeur à Télécom ParisTech : « On leur apprend à distinguer ce qui relève de l’internet "loisir", le jeu, de l’internet "technique" professionnel, qui nécessite d’être manié avec sérieux et maturité. »
F. Lonc : « Il y a une image ancrée de l'expert en sécurité qui flirte parfois avec l’illégalité... Or, j'ai le sentiment que nos étudiants n’y correspondent pas : ce sont des ingénieurs qui s'intéressent à la cybersécurité, pas des hackers. »
« Passez-moi le PDA, il faut que j’appelle "Le Sorcier". C’est un Jedi numérique. Il est hallucinant. » Est-ce que vos étudiants pourraient être ce fameux sorcier, ce Jedi numérique, que souhaite contacter un personnage de Die Hard 4 ?
P. Godlewski : « La culture internet est artisanale, tout est accessible en ligne, chacun peut se former. En conséquence, les élèves peuvent avoir l’impression d’être à la pointe sur un sujet, mais c’est une illusion. Seuls un ou deux étudiants par promotion ont la capacité de devenir très compétent rapidement. Mais tous doivent beaucoup travailler pour atteindre l’excellence. »
S. Bombal : « Il n'y a pas de sorcier ou de Jedi ! L’informatique est un domaine compliqué et la cybersécurité impose des compétences transverses, de sorte qu’il est quasiment impossible d’en maîtriser seul tous les aspects. Nous donnons à nos étudiants des clés de compréhension, mais ils doivent constamment se former et s’informer sur les nouveautés. »
Lorsque dans Skyfall, l’un des personnages assure : « Je peux faire plus de dégâts en restant en pyjama devant mon ordinateur avant ma première tasse d'Earl Grey que ce que vous pouvez faire en un an sur le terrain », on est en droit de s’inquiéter. Pour compléter leurs moyens, les armées expérimentent actuellement une réserve de cyberdéfense à laquelle participeraient vos étudiants volontaires. Comment leurs compétences pourraient être utiles ?
S. Bombal : « Des personnes mal intentionnées peuvent concevoir assez facilement des outils menaçants une nation. Il est donc nécessaire d’utiliser toutes les ressources humaines dont on dispose pour nous protéger. Si l’Etat et les opérateurs d’importance vitale possèdent souvent des capacités de défense, en cas de crise grave il faudra davantage de moyens pour traiter toutes les entreprises touchées. D’autres réserves comme la santé peuvent gonfler les effectifs avec des médecins retraités ; pour la cybersécurité, on n’a pas cette opportunité, on doit prendre des disponibilités dans l’autre bout de la chaîne : des étudiants ayant un niveau technique suffisant. »
F. Lonc : « Aujourd'hui, nous manquons en France de personnes formées à la cybersécurité et les entreprises ne sont pas toujours prêtes à investir dans ce domaine. En cas de crise, nos étudiants pourraient donc pallier ces manques au sein de la réserve de cyberdéfense. »
Dans The Big Bang Theory, l’un des personnages s’adresse à des jeunes ainsi : « La vue de vos jeunes visages boutonneux me rappelle l’époque où, moi aussi, je devais décider de mon orientation en tant que modeste universitaire diplômé… » En quoi un engagement dans la réserve de cyberdéfense pourrait être un atout pour l’avenir professionnel de vos étudiants ?
P. Godlewski : « Un engagement dans la réserve imposera aux étudiants de maintenir à niveau leur culture de l’internet. Ils se reposeront sans doute moins sur leurs acquis et rencontreront des profils très différents, plus matheux, plus réseau ou plus informaticien, ce qui leur ouvrira l’esprit, les enrichira, et leur permettra d’être toujours à la pointe. »
F. Lonc : « Pour les étudiants souhaitant travailler pour l'armée ou l’une des entreprises qui gravitent autour des institutions, la réserve leur permettra d’avoir un premier contact avec leur futur environnement de travail.»
S. Bombal : « Non seulement la réserve leur apportera une expérience et une formation supplémentaires, mais elle donnera également du sens à ce qu’ils apprennent. En termes de pédagogie et de cadre, elle sera très enrichissante. »