La seconde édition du baromètre des pratiques digitales des grandes entreprises, publié par Econocom, SIA Partners et l’Ifop le 4 octobre 2016, le montre : les entreprises ont largement investi le sujet de la sécurité des données (87% se considèrent comme « assez avancées » ou « très avancées »). C’est d’ailleurs l’une des principales missions des Chief Data Officers (citée par 83% des répondants).
Comment sont formés ceux qui assurent la sécurité des réseaux et des systèmes d’informations des grands groupes ? Comment sont intégrés à cet enseignement les sujets émergents, comme la blockchain ou l’IoT ? Réponses avec Hervé Debar, responsable du département « Réseaux et Services de Télécommunications à Télécom SudParis.
Hervé Debar est professeur à Télécom SudParis, l’école d’ingénieur généraliste de l’Institut Mines-Télécom depuis 2009. A la tête du département « Réseaux et Services de Télécommunications » (RST), il est également responsable de l’option « Sécurité des systèmes et réseaux » (SSR). Auparavant, il a travaillé pendant une vingtaine d’années dans différentes fonctions de R&D au sein de groupes industriels français et étrangers.
Vous enseignez aux futurs responsables de la sécurité des systèmes d’information de grandes entreprises. En quoi consiste cette formation ?
Notre cursus ingénieur se déroule sur trois ans, au cours desquels un semestre et demi est consacré à une spécialisation. Pour les élèves qui choisissent l’option sécurité, cela représente environ 450 heures de formation.
Notre formation repose sur deux piliers : la sécurité réseau et la sécurité système. Nous montrons aux élèves un certain nombre d’attaques pour illustrer des dispositifs de défense et nous mettons en place avec eux des mécanismes d’authentification, de chiffrement, de protection de l’intégralité de la confidentialité des données. Nous travaillons aussi sur de la détection, des audits organisationnels et techniques, ou encore sur la sécurité des systèmes d’exploitation et des applications en ligne. Nous essayons de couvrir tous les domaines de la sécurité des systèmes d’information et des réseaux.
Une partie de notre formation se fait en mode projet : les étudiants doivent mener à bien une réalisation qui les prépare à l’entrée dans la vie professionnelle. La majorité de ces projets sont d’ailleurs proposés par les entreprises avec lesquelles nous travaillons. Cette année, les travaux portent sur :
– les darknets, ces espaces réseaux qui sont censés être invisibles et qui sont utilisés par les pirates,
– la blockchain (technologie de stockage et de transmission d’informations, transparente, sécurisée fonctionnant sans organe de contrôle),
– la gestion des alertes de sécurité et la compréhension des attaques telles qu’elles sont remontées par les centres de détection
– la protection des données personnelles dans les smart grids (réseaux de distribution d’électricité « intelligents », c’est-à-dire utilisant des technologies informatiques d’optimisation de la production, distribution, consommation).
Nous accueillons 24 élèves chaque année. Nous utilisons du matériel professionnel, assez compliqué à démultiplier, mais que les élèves retrouveront ensuite en entreprise.
Des compétences prisées sur le marche du travail
Dans quelles voies se dirigent les diplômés ayant suivi l’option cybersécurité ?
Plus de 70% vont travailler dans le domaine de la sécurité, en France et à l’étranger, dont 70% dans de grands groupes de services ou de grands groupes industriels.
Trois filières recrutent nos étudiants : les groupes qui conçoivent ou intègrent des produits de sécurité (Airbus Defence & Space, Thalès…), ceux qui opèrent des solutions ou des systèmes de sécurité (entreprises de services numériques [ESN] ou groupes bancaires, pour faire de l’audit ou de l’opération de centres de sécurité) et enfin les auditeurs à travers des volets organisationnels de conformité à la législation et aux normes ou du hacking éthique.
Le marché du travail pour ce type de profils est tendu. Pour vous donner une idée, pour mes 24 étudiants, je reçois entre 80 et 100 offres d’emploi et à peu près autant d’offres de stage. Je suis sollicité toutes les semaines, ou presque, par des entreprises qui veulent aller au contact des élèves. Les étudiants sont très demandeurs également. Ils se rendent compte que c’est un domaine porteur et se dirigent de plus en plus vers ces formations. Cette tension, qui existait déjà il y a 5 ou 6 ans, s’exacerbée avec la publication d’un certain nombre de guides et d’un référentiel de compétences par l’ANSSI, avec les premiers arrêtés de la loi de programmation militaire, qui obligent les opérateurs d’importance vitale (OIV) à faire de la sécurité informatique, ou encore avec des sujets largement diffusés auprès du public, comme les attaques contre les véhicules connectés… Bref, les besoins sont immenses.
Abordez-vous les sujets émergents, comme par exemple la sécurité des objets connectés ?
Tout à fait. Nous avons d’ailleurs cette année un nouveau cours de 3h sur la sécurité des protocoles des objets connectés, avec un doctorant qui travaille sur le sujet.
-> A lire aussi : Quels sont les enjeux de la sécurisation de l’écosystème des objets connectés ? Une interview de Jean-Claude Tapia, président de Digital Sécurity, premier CERTTM dédiés à la sécurité de l’IoT.
Nous traitons également de cryptologie, par exemple avec la blockchain, de virtualisation, sujet relativement récent ayant un fort impact en matière de sécurité, mais aussi de protocoles de commandes de contrôle industriel, tels que l’usine du futur ou la voiture connectée.
Chaque année, nous avons quelques projets au cours desquels des groupes de 5 ou 6 étudiants approfondissent un sujet. Mais ces cours constituent seulement une introduction à ces nouveaux sujets. Comprendre comment fonctionne un protocole de contrôle industriel est complexe, les normes sont très volumineuses et assez opaques. Nous sommes nous-mêmes en train de mûrir sur ces technologies.
Comment choisissez-vous les nouveaux enjeux que vous allez aborder avec les étudiants ?
Nous les voyons émerger, mais il y a aussi des employeurs qui nous sollicitent ou viennent travailler avec nous pour débroussailler ces enjeux et monter en compétence ensemble. Nous avançons en lien avec le tissu local : les grands groupes comme les PME de la région parisienne, puisque notre formation a d’abord et avant tout pour objectif de former des professionnels. Nous sommes aussi impliqués dans des pôles de compétitivité comme Systematic.
La sécurité informatique est un domaine qui évolue très rapidement. Pouvez-vous imaginer ce à quoi ressemblera votre formation dans quelques années ?
Dans 5 ou 10 ans, notre formation touchera toujours à la cybersécurité, car le besoin est là et va le rester sur le long terme. Aujourd’hui, il y a à la fois un déficit de personnes formées et une croissance forte des besoins. Nous allons continuer à développer cette formation par la pratique, c’est-à-dire en faisant travailler les élèves sur plateforme, dans des environnements et avec des équipements les plus récents possibles, pour qu’ils s’habituent au mieux à ce qu’ils verront dans le milieu professionnel.
A lire aussi :
-> #Sécurité : Faut-il se méfier du cloud ? Réponses avec Grégory Haïk (EuroCloud France)
-> Matthieu Bonenfant : « Le phénomène des ransomwares se développe de manière exponentielle »