CONFÉRENCE DES DIRECTEURS DES ÉCOLES FRANÇAISES D'INGÉNIEURS (CDEFI)
M. Christian Lerminiaux, président
M. Jean-Marie Chesneaux, vice-président
M. Reza El Galai, ingénieur projet cybersécurité
19 mars 2014
M. Reza El Galai . - La conférence des directeurs des écoles françaises d'ingénieurs ne fédère que les écoles.
Les écoles françaises d'ingénieurs délivrent deux types de diplômes qui vont former à la sécurité informatique des entreprises : il s'agit de masters et de mastères spécialisés (MS) suivis après un master et qui ne sont pas agréés par l'État puisqu'ils sont accrédités par la conférence des grandes écoles ; il s'agit donc d'une sixième année.
Les thématiques enseignées sont la sécurité des contenus, des réseaux, des télécoms, des systèmes.
La plupart des masters traitent des réseaux, des télécoms et des systèmes. Il existe aussi des masters de gestion des risques , des masters propres à la sécurité, des masters d'audit qui permettent de trouver des failles de sécurité ; certains masters naissent dans des matières assez novatrices comme l'informatique légale, par exemple, les enquêtes numériques. Dans le sud, à Grenoble et à Nice, il y a beaucoup de formations en cryptologie .
En revanche, au niveau ingénieur, il y a très peu d'écoles qui forment en cybersécurité . Il faut vraiment arriver au niveau de mastères spécialisés pour être sensibilisé à la problématique de la cybersécurité La carte des formations en sécurité informatique, dressée par l'ANSSI, montre la répartition géographique de la formation en cybersécurité.
M. Christian Lerminiaux . - Aujourd'hui, il n'existe pas de formation d'ingénieur en cybersécurité. Les masters ou mastères spécialisés sont des diplômes de niche. L'ingénieur doit avoir un regard plus large. Il faudrait que tous les ingénieurs aient un minimum de compétences en sécurité informatique quelle que soit leur formation de base. Cela reste à développer.
M. Jean-Marie Chesneaux . - Deux types de formation coexistent : une formation spécialisée en sécurité et une formation de masse plus généraliste. Il faut non seulement sensibiliser au risque numérique mais aussi donner une compétence en sécurité en vue d'un comportement responsable, ce qui reste souhaitable pour tous les ingénieurs pour le plus grand bien des entreprises. En réalité, ce sont souvent les erreurs commises dans les entreprises qui permettent aux attaquants de rentrer.
Tous les aspects sécurité informatique et risque devraient être enseignés aux ingénieurs. Se développe, d'ailleurs, le certificat appelé C2i2mi (Métiers de l'ingénieur), qui est le niveau supérieur du C2i, et que chaque ingénieur devrait avoir. Ça ne ferait pas de chaque ingénieur un expert de la sécurité mais ça formerait des gens responsables face au risque numérique.
Dans un cas, il s'agit d'un enseignement qui forme un petit nombre d'experts extrêmement compétents ; dans l'autre cas, il s'agit d'un enseignement de masse pour sensibiliser à la prévention. Tout ingénieur, qu'il soit chimiste ou autre, devrait avoir une attitude responsable face à la sécurité informatique.
M. Christian Lerminiaux . - Ce qu'il faut voir, c'est ce qu'il y a derrière le diplôme aujourd'hui, à une époque qui forme des cadres. Un quart des diplômés de niveau bac+5 sont des ingénieurs, soit une proportion passée de 15 % à 25 % en dix ans ; le nombre d'ingénieurs formés est passé de 18 000 à 34 000 par an ; le diplôme d'ingénieur est donc prépondérant à ce niveau.
Derrière la formation d'ingénieur, se trouve un processus de référentiel des compétences en constante évolution. Tous les deux ans, ce référentiel de compétences est revu en fonction des besoins des entreprises ; c'est un processus clé.
L'obtention du C2i2mi au niveau du master sera nécessaire pour tous les ingénieurs de niveau bac+5.
M. Reza El Galai . - Le 20 février 2014, le Premier ministre a encouragé l'ANSSI à s'intéresser aux formations à la cybersécurité. L'association des écoles et des universités est indispensable pour promouvoir ces nouvelles formations.
Dans l'immédiat, les bonnes pratiques recommandées par l'ANSSI et la CNIL sur leurs sites permettent d'asseoir la sensibilisation sur les recommandations de guides.
Compte tenu de la rapidité de l'évolution des technologies, l'anticipation des évolutions techniques du numérique ne pourra se faire que par une veille technologique de qualité, éventuellement mutualisée à travers un observatoire des nouvelles technologies.
Par exemple, les objets connectés sont aujourd'hui utilisés comme des gadgets sans que l'on pense à leur aspect sécurité. Or, un hacker a montré qu'il pouvait s'en prendre à un pacemaker en lui infligeant une décharge électrique de 800 volts. La technologie va très vite mais on n'analyse pas les conséquences de cela sur la cybersécurité.
Un observatoire, français ou européen, permettrait de creuser ces questions.
M. Christian Lerminiaux . - L'usage des objets connectés doit être systématiquement associé aux aspects de sécurité. Il serait souhaitable de mettre en place des normes de sécurité que tout objet connecté devrait respecter .
M. Jean-Marie Chesneaux . - Aujourd'hui, la veille numérique est particulièrement importante car c'est l'usage qui est mis en avant pour que tout le monde ait accès à tout, partout. Certes, il ne faut pas bloquer, au nom de la sécurité, le développement de l'usage mais si, du fait d'une sécurité insuffisante, quelqu'un prend la main sur le système, il peut tout contrôler .
Par exemple, dans le cas d'un hôpital, si le fait d'entrer dans son système informatique avec des visées malveillantes permet de tout y faire, le décalage entre les outils existants et la sécurité qui les accompagne inquiète.
Même les cartes bleues professionnelles ne sont pas convenablement protégées . À l'heure actuelle, les banques préfèrent payer pour les erreurs constatées plutôt que de voir leurs clients renoncer à utiliser leurs cartes.
M. Reza El Galai . - La Commission européenne a souhaité financer le développement dans chaque pays d'un centre de formation à la lutte contre la cybersécurité. Depuis janvier 2014, un tel centre de formation existe maintenant en France, le CECyF regroupant notamment la Gendarmerie nationale, Thales, Orange, Microsoft, l'Université de Montpellier 1...
Le siège de cette association se trouve au Centre de recherche de l'École d'officiers de la Gendarmerie nationale (CREOGN) qui est dirigée par le général d'armée Marc Watin-Augouard mais il n'y a pas encore de bâtiments proprement affectés au CECyF.
Dans le cadre du projet 2Centre, les besoins en formation liés aux nouveaux métiers de la sécurité ont été recensés comme, par exemple, celui de disposer de personnes qui vont intervenir sur les incidents, d'analystes également en charge de la veille, de testeurs d'intrusion - pour trouver les failles avant les attaquants - et, également, d'ingénieurs en charge de la réponse aux incidents, pour les CERT - comme il y en a dans les grandes entreprises, comme, par exemple, les banques (la Société Générale, la Banque de France , ou autres).
L'ANSSI envisage de recruter environ deux cents spécialistes de la sécurité tandis que les effectifs du Centre d'analyse de lutte informatique défensive (CALID) de la DGA, devraient passer de quarante à quatre-vingts personnes très prochainement.
En effet, pourquoi attendre d'être attaqué ? Le centre de la DGA sert justement à repérer les failles avant d'être attaqué et à riposter.
Ces métiers concernent les milieux gouvernementaux, les opérateurs d'importance vitale (OIV) et les entreprises en général, qui en ont également grand besoin, même si l'ampleur des recrutements nécessaires est difficile à quantifier.
M. Jean-Marie Chesneaux . - La France a été un des derniers pays au monde à avoir introduit l'informatique dans l'enseignement secondaire alors qu' il faudrait que, du collège à la terminale, une formation en informatique puisse être dispensée .
J'ai fait partie, l'an dernier, de la commission qui réformait le contenu des programmes des classes préparatoires dans lesquels l'informatique ne figurait pas . Si vous aviez un vrai corps d'enseignants en informatique, la prise de conscience de l'importance de la sécurité informatique par l'ensemble de la population en serait améliorée.
La durée consacrée à d'autres matières par les programmes actuels devrait être réduite en conséquence.
Longtemps, l'informatique a été considérée comme une discipline applicative des mathématiques.
M. Christian Lerminiaux . - Le problème de l'INRIA, c'est que l'informatique n'est toujours pas rentrée dans les classes préparatoires.
M. Jean-Marie Chesneaux . - Le corps enseignant n'est pas suffisamment informé des possibilités et des risques du numérique.
Dans les établissements d'enseignement supérieur, le mélange entre l'usage privé et l'usage professionnel du numérique est une source de faiblesse du système.
Il y a quelques endroits où des laboratoires sont extrêmement protégés parce que c'est leur métier. En revanche, des laboratoires extrêmement sensibles ne sont pas assez protégés.
Nous reprenons à notre compte le rapport de l'Académie des sciences qui prône un continuum de l'enseignement du numérique . Il faut un vrai corps d'enseignants en informatique.
La réforme des classes préparatoires n'a débouché que sur deux heures d'informatique par semaine à compter de septembre 2013... Il faudrait également favoriser un enseignement en informatique de masse en classe de terminale. Avec des enseignements où l'on forme des formateurs.
M. Reza El Galai . - De leur côté, depuis 2011, les gendarmes, « enquêteurs en technologie numérique » ont un bon niveau de formation informatique et se voient délivrer une licence professionnelle.
Avec Europol , c'est-à-dire l'ensemble des polices européennes, il y a eu beaucoup de réunions, de rencontres sur le terrain où ont été évoqués les problèmes de sécurité informatique et de formation. Chaque année, la Commission européenne met en place trois cours qui vont être dispensés à l'ensemble des forces de l'ordre européennes, sur des thématiques liées à la cybercriminalité (groupe de travail ECTEG , European Cybercrime Training and Education Group ) .
M. Jean-Marie Chesneaux . - À noter aussi le retard face aux Américains : jusqu'au début des années 1980, l'informatique était quasiment absente des Écoles normales supérieures. En France, la formation est beaucoup plus conceptuelle que celle dont bénéficient les Américains.
M. Reza El Galai . - Beaucoup d'aspects légaux sont également à prendre en compte : par exemple, aux États-Unis d'Amérique, un hacker peut être embauché pour s'occuper de sécurité informatique après avoir déjoué une sécurité de son nouvel employeur.
M. Jean-Marie Chesneaux . - Dans les écoles d'ingénieurs et dans certains départements d'université, les gens ont réussi à bien se protéger avec des architectures efficaces et des passerelles sécurisées - sous scanner en permanence - qui empêchent l'attaquant de mener une attaque en profondeur.
Cela nécessite que les personnels prennent en compte le fait que, comme l'informatique est organisée en réseau et que tout circule dans l'enseignement supérieur, de vraies mises à jour des systèmes de sécurité sont indispensables.
Pour les établissements d'enseignement, le besoin de sécurité numéro un provient de leur site web car, pour y accéder, il suffit de rentrer le nom de l' URL puis un code.
Le summum de la protection, c'est tout simplement de ne pas être connecté à l'extérieur. C'est la solution que le CEA-Direction des applications militaires (DAM) adopte pour ses salles les plus stratégiques.
M. Christian Lerminiaux . - C'est la même chose pour une entreprise. Il faut que tous les organes clés de l'entreprise soient totalement séparés du site web avec seulement une passerelle entre les deux.
M. Jean-Marie Chesneaux . - Certes, une cage de Faraday peut protéger de l'espionnage électronique car on arrive à lire à vingt mètres un écran grâce à des ondes électromagnétiques. Mais, si vous êtes connectés, la cage de Faraday peut être pénétrée.
Il faut tout de même se rappeler qu'on a réduit d'un facteur mille les capacités d'intrusion.
M. Reza El Galai . - La première précaution à prendre consiste à installer des pare-feu : si possible plusieurs et de marques différentes.