Enseignement complexe et désormais stratégique, la sécurité informatique n’est pas une simple spécialisation des études d’ingénieur, mais une vaste culture qui requiert une pédagogie adaptée. Quels choix sont faits par les écoles qui forment les professionnels de demain ? (Par Richard Rey, Enseignant, Directeur-Adjoint et RSSI du Laboratoire Confiance Numérique et Sécurité – ESIEA).
Selon une étude Gartner, la moitié des entreprises mondiales serait dans l’obligation, à horizon 2018 de recourir aux services d’un professionnel pour gérer le risque informatique. La principale raison : l’avènement du Cloud et des objets connectés, dont il est, de l’avis des experts, trop facile d’exploiter les vulnérabilités. Dans ce contexte, les entreprises s’intéressent de très près aux étudiants des écoles possédant une expertise en Cyber-sécurité. La discipline est en effet sensible en raison de son double aspect ; car qui parle de sécurisation doit aussi évoquer son autre versant : l’attaque. Former des professionnels de la sécurité est une responsabilité pour les écoles d’ingénieurs et toutes ne s’y emploient pas de la même façon.
Comment enseigne-t-on aujourd’hui ?
Le véritable enseignement en sécurité informatique, c’est-à-dire doté d’intitulés spécifiques, n’existe généralement qu’en troisième année d’études d’ingénieur. À cela une raison simple : c’est à ce moment que de nombreux étudiants rejoignent les écoles après des formations bac+2, pour y poursuivre leurs études supérieures. Or, il est important de comprendre que la sécurité informatique n’est pas un enseignement comme les autres. Les écoles qui ont à cœur de former les experts de demain ne peuvent pas se contenter d’une spécialisation de fin de cursus et doivent au contraire, sensibiliser au plus tôt à ce domaine et participer à la diffusion des connaissances en matière de sécurité. Cela implique de former, non seulement des spécialistes, mais aussi des professionnels capables d’évoquer ce sujet en restant intelligibles à tous les publics.
Un enseignement indissociable d’autres enseignements informatiques
Certaines écoles choisissent, pour cela, d’aborder le sujet plus tôt, dès la première année post Bac via des exercices cryptographiques au sein de modules de mathématiques et avec des travaux pratiques orientés sécurité. En deuxième et troisième années, l’enseignement des systèmes et du réseau est là aussi, l’occasion d’évoquer des questions liées au risque : que ferait une personne malintentionnée, quels accès lui seraient possibles, etc. Pourquoi un tel choix ?
Ces exercices précoces qui incitent à adopter le point de vue d’un attaquant ou d’un adversaire, comme on le ferait dans un jeu d’échec, sont essentiels : ils font prendre conscience que la sécurité est une discipline qui concerne l’ensemble des autres enseignements. Il est en vérité difficile d’imaginer une formation pointue en sécurité informatique avant quatre années d’études supérieures. La culture qui la sous-tend est extrêmement large : maîtriser plusieurs langages de programmation, s’y connaître en architecture web, en technologies des réseaux, en systèmes (Linux, Windows, Android, MacOS), en virtualisation, en Big data, Cloud, etc. Ce qui s’avère impossible en un cycle court. Une étape essentielle consiste à démontrer aux étudiants que, parvenus à un certain niveau, 90% de ce qu’ils trouvent sur internet est souvent obsolète, incomplet, voire faux.
La sécurité informatique, une culture autant qu’une spécialisation
En troisième et quatrième année, les cours dédiés à la sécurité permettent aux étudiants, sans être encore des spécialistes, de disposer de solides connaissances, quelle que soit leur spécialisation ultérieure. Lorsqu’en cinquième année, les cours de spécialisation arrivent, on est ainsi assuré que tous les futurs ingénieurs (et pas seulement les futurs spécialistes) disposent de connaissances indispensables en matière de sécurité. À savoir que tous peuvent évoluer dans l’entreprise avec une conscience aigüe de ce qu’impliquent et signifient les risques ; lors de choix techniques, ils sauront avoir une vision d’ensemble propre à éviter les mauvaises décisions. Former à la sécurité tout au long des cinq années d’un cursus d’ingénieur, participe ainsi à une meilleure connaissance des enjeux de sécurité au sein de toutes les entreprises, et pas seulement des grands groupes.
Un enseignement soumis à confidentialité
Le cursus « sécurité » en cinquième année d’études d’ingénieur peu têtre très dense, (jusqu’à 60% d’un Mastère Spécialisé (Bac+6)) avec un tiers de cours et deux tiers de projets opérationnels, de cas concrets. Dans le cas des écoles bénéficiant de la proximité d’un laboratoire de recherche, il va de soi que les questions de confidentialité se posent très tôt. Les cas soumis par ses membres, des enseignants qui sont aussi des opérationnels, souvent mandatés par des entreprises, par l’État ou des organismes dits d’importance vitale (énergie, transports, etc.), sont confidentiels. Il arrive que l’on confie aux laboratoires et à leurs étudiants un PC, un téléphone portable, avec pour objectif de récupérer ses données, et de découvrir tout ce qui est exploitable. La sécurité réclame des profils de hackers responsables (aussi dénommés « white hats »). On comprendra que son enseignement ne peut se faire sans y adjoindre une solide formation humaine et éthique. Or il est difficile de parler d’éthique à de très jeunes gens dans de vastes promotions. Ce n’est possible qu’en petits effectifs. Plus tard dans leur cursus, des cours dédiés à ces questions les informeront du cadre juridique existant en France et en Europe, des aspects relatifs à l’organisation de la sécurité de l’État, aux agréments, réglementations, à leur histoire, etc. Comment aussi, ils peuvent être soumis, même pendant leurs études, à des enquêtes de moralité et ce que cela implique. Mais au-delà de ces informations, ce sont des valeurs et de l’intelligence qui doivent être transmises très tôt. Cela rend indispensable une formation humaine présente tout au long des études (tout l’inverse de la geek-attitude). C’est aussi une formation qui en leur « apprenant à apprendre » les prépare à l’exercice de leur métier et à une certaine humilité : tout ce que peut dire un expert en sécurité peut être remis en question du jour au lendemain. Ses connaissances demandent une constante mise à jour, (un poste d’expert en sécurité devra obligatoirement comporter 30% de temps consacré à la veille technologique). Les responsables hiérarchiques en ont bien conscience.
L’avenir de la sécurité au féminin ?
C’est aussi une des raisons pour lesquelles les écoles essaient autant d’attirer des jeunes femmes. On leur prête une plus grande maturité, et surtout, plus tôt. On remarque notamment que les entreprises, lorsqu’elles proposent des postes d’expert sécurité légèrement atypiques, qui impliquent entre autres une vision de l’orientation de la politique de sécurité, des rapports avec les fournisseurs, veulent en priorité des femmes dont elles considèrent qu’elles sont les seules à avoir la hauteur de vue nécessaire. Un autre sexisme, mais qui cette fois opère en faveur des jeunes femmes ! Est-ce dire qu’avec plus de jeunes filles, l’enseignement de la sécurité pourrait changer ? Oui.
On constate par exemple que face à une problématique technique, elles privilégient les premiers instants consacrés à la réflexion et à la construction intellectuelle. Ainsi, les solutions proposées sont plus abouties mieux « ficelées » (on parle d’élégance technologique). Il faut le reconnaître, aujourd’hui les filles sont « chouchoutées » dans les formations liées au numérique et plus spécifiquement à la cyber-sécurité ; tout est fait pour entretenir leur motivation et les convaincre que la discipline est passionnante. Seul hic : trop d’entre elles ignorent encore aujourd’hui qu’elles y sont attendues.
