Azziz Errime (UBIK learning academy) : « Pour bien comprendre comment fonctionne une attaque, il n’y a rien de mieux que de la mener soi-même »

Vous avez récemment changé de nom, pour devenir UBIK learning academy, pour quelles raisons ?

Azziz Errime : Pendant plus de 5 ans, notre plateforme de formation s’est spécialisée, sous le nom d’AppSec Academy, sur un marché de niche qui est celui de la sécurité applicative. A la suite de notre rachat fin 2022 par l’entreprise Lexfo, cabinet d’expertises techniques en sécurité des systèmes d’information., nous avons décidé d’élargir notre champ d’action à la sécurité des réseaux et des systèmes ainsi qu’à la protection des données et des utilisateurs. Nous bénéficions pour cela de la force de frappe et des compétences de Lexfo et de ses 85 experts en cybersécurité.

Cet élargissement de notre offre correspond également à une demande du marché. Nous sommes jusqu’à présent entrés dans les entreprises par la « case développeurs », mais de plus en plus d’organisations cherchent aujourd’hui à apporter – par la formation – une réponse concrète à leurs problèmes de compétences en cybersécurité qu’elles ne parviennent pas à couvrir seulement en recrutant des profils qui sont de plus en plus difficiles à convaincre sur le marché de l’emploi. De la sensibilisation en hygiène sécurité pour l’ensemble des collaborateurs aux formations techniques pour les profils les plus « tech », elles ont besoin de davantage de modules de formation pour faire monter en compétence leurs collaborateurs.

La gamification occupe une place de choix dans votre offre. Pourquoi ?

Azziz Errime : Contrairement à des formations classiques où les personnes s’inscrivent par elles-mêmes, les formations en entreprise ne sont pas toujours choisies par les apprenants. Elles rentrent dans le cadre de plans de formation globaux. Il est donc primordial de réussir à engager les apprenants afin qu’ils soient motivés par les parcours pédagogiques qu’on leur demande de suivre.

Comme je l’ai précisé, notre première cible – les développeurs – est un public technique et nous savons qu’ils sont joueurs et curieux. Nous leurs avons donc proposé une méthodologie pédagogique particulière où la gamification du processus de formation est omniprésente. Le fait d’acquérir des points et des badges, de figurer en bonne position dans les classements – en se confrontant à leurs pairs – et d’obtenir des certificats rend le parcours pédagogique plus ludique.

De plus, nous avons fait en sorte d’adapter le rythme de la formation aux contraintes de disponibilité des développeurs. Le nombre d’heures de cours et de travaux pratiques n’est pas concentré sur plusieurs jours d’affilés, il est réparti dans un laps temps précis avec un début et une fin. Cela permet aux collaborateurs d’avancer à leur rythme, sans pression particulière et d’atteindre leur objectif de façon concrète.

Vous avez également créé un cyber-range dédié. En quoi cela consiste-t-il ?

Azziz Errime : Le cyber-range héberge des environnements vulnérables et permet aux participants de s’exercer dans un contexte réel sans causer de dommages au système d’information de l’entreprise. Les développeurs peuvent ainsi se mettre dans la peau d’un pirate informatique et relever des défis de sécurité réalistes dans un environnement facile d’utilisation et sécurisé.

Le cyber-range n’est en effet pas exposé aux pirates informatiques, il est totalement maîtrisé. Si un apprenant « casse » un environnement mis à sa disposition dans le cyber-range en attaquant une base de données par exemple, l’environnement sera réinitialisé après l’exercice, ce qui permettra à d’autres collaborateurs de pratiquer à leur tour.

Des Labs viennent par ailleurs compléter ce dispositif. Comment fonctionnent-ils ?

Azziz Errime : Les Labs sont des environnements d’expérimentation en ligne, accessible depuis un simple navigateur, que l’on met à disposition des apprenants. Ces environnements d’attaque complets, disposent de tous les outils nécessaires permettant d’atteindre les objectifs des apprenants et de leur permettre de se mettre dans la peau d’un attaquant sans le moindre danger pour le système d’information de l’entreprise.

Cela évite aux stagiaires d’installer des logiciels non autorisés par l’entreprise sur des postes de travail, dont ils ne sont pas administrateurs, et de permettre un accès sécurisé à des sites qui seraient bloqués par leur employeur et qui seraient utiles pour la formation. Les Labs permettent d’attaquer les environnements vulnérables du cyber-range en ayant en mains l’ensemble des outils nécessaires à un cybercriminel. Pour bien comprendre comment fonctionne une attaque, il n’y a en effet rien de mieux que de la mener soi-même.

Quels sont vos projets ?

Azziz Errime : Nous disposons aujourd’hui d’une plateforme performante pour nos besoins propres. Mais cette plateforme, qui n’est autre qu’un LMS (Learning Management System) peut maintenant être louée par d’autres organismes de formation, quel que soit leur domaine d’activité. Ils peuvent ainsi calquer notre méthodologie pédagogique éprouvée et profiter de notre maturité dans ce domaine proposer des parcours de sensibilisation et de formation engageants et pertinent.

Notre LMS intéresse aussi des entreprises en direct, qui s’en servent pour y intégrer l’ensemble de leur parcours de sensibilisation et de formation en interne, depuis « l’onboarding » de leurs collaborateurs jusqu’à l’évaluation de candidats et prestataires qu’ils souhaites nouvellement recruter.

Des éditeurs de logiciels utilisent également notre plateforme pour permettre à leurs clients de se former sur leur solution de façon simple et ludique.