La mise en situation et le gaming pour former les experts en cybersécurité

Environ 70 à 80 % du temps de formation dans les cursus dédiés à la cybersécurité - en formation initiale - est consacré à la pratique, avec des mises en situation inspirées de cas réels de type CTF et recherche d’artefacts numériques.

Cela pourrait ressembler à un jeu, mais il s’agit bel et bien d’un exercice : le « Capture The Flag » (CTF) est un challenge informatique bien connu dans la cybersécurité. Dans cette chasse au trésor, le Graal n’est pas une coupe en or, mais un certain nombre de drapeaux, chacun marquant la réussite d’une épreuve d’intrusion dans un système informatique. Inspirés de cas réels, ces exercices de détection apprennent aux étudiants à identifier les vulnérabilités d’un logiciel… et leur permettent de s’entraîner sans enfreindre la loi.

Utilisé dans le cadre de la formation, le CTF sert également de test de recrutement à l’entrée de certaines écoles comme OTERIA Cyber School. « Notre sélection ne s’effectue pas sur un niveau d’études ou de diplôme, mais sur les savoir-faire. Les challenges CTF sont un moyen d’évaluer le niveau en informatique d’une population d’étudiants hétérogène » explique Hugues Spriet, directeur général. Avis aux amateurs : il existe des sites, ouverts à tous, permettant de s’entraîner*.

« Pas que des métiers de geeks »

Contrairement aux idées reçues, « les métiers de la cyber ne sont pas que des métiers de geeks » indique Clément Chauffert, directeur pédagogique de l’Ecole 2600. D’après l’Observatoire des Métiers de la Cybersécurité de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) paru en 2023, 65 % des professionnels estiment que « la cybersécurité n’est exercée majoritairement que par des personnels très qualifiés dans ce domaine ». Des réalités professionnelles diverses qui nécessitent des compétences multiples… et un nombre croissant de professionnels. Face à la forte demande des entreprises en experts cybers, quelques 27 nouvelles formations en cybersécurité ont été labellisées par l’ANSSI en 2022, selon le site AEF Info.

Un socle théorique indispensable

Si les mises en situation de type CTF ou la recherche d’artefacts numériques – détection des traces d’une attaque passée, à l’exemple d’un disque dur effacé dans le cadre d’une affaire judiciaire – sont le fil rouge de ces formations de niveau bac + 3 et bac + 5, la théorie n’est pas totalement exclue, notamment durant les trois premières années. Et ceci même si les étudiants renâclent… « Difficile de faire moins de 20 à 30% de cours théoriques » confirme Clément Chauffert, « Sur une journée de 7 heures, les étudiants suivent 2 heures de théorie ». Très populaire parmi les jeunes, le métier de pentester nécessite, par exemple, des connaissances pointues en réseau, sécurité informatique (cryptographie, systèmes de codage, audit de sécurité réseau et web), développement logiciel… « Comprendre la manière dont a été conçue une architecture informatique est indispensable. Même dans un domaine nouveau comme la cybersécurité, je crois à la règle des 10 000 heures nécessaires pour devenir expert » complète Hugues Spriet.

Fort heureusement pour les étudiants, le contenu des cours théoriques est largement inspiré du terrain : « Pour construire nos parcours de formations, nous sommes partis du besoin des entreprises. Ainsi, la nouvelle majeure « Recherche et Vulnérabilité » a été entièrement co-construite avec les entreprises Synacktiv et RandoriSec » précise Hugues Spriet. Des approches pédagogiques de type « peer learning », ou « pédagogie entre pairs », dans laquelle l’étudiant ayant terminé son exercice va aider et corriger celui des autres, permettent de rendre les applications des cours théoriques plus « digestes ».

Des environnements de travail reconstitués

En matière de formation à la cybersécurité, un autre défi vise, cette fois, les établissements de formation : les espaces de travail doivent refléter la réalité du monde de l’entreprise et répondre aux nouvelles menaces. Equipés d’un ordinateur puissant, les étudiants apprennent à sécuriser un activ directory (plateforme simulant des environnements informatiques réels) au sein de labs réunissant du matériel informatique et de radio fréquence, des oscilloscopes… « Pour que ces plateformes soient en phase avec nos objectifs pédagogiques, nous les créons nous-mêmes, avec nos enseignantes et enseignants. La plus grande richesse de notre école, ce sont nos équipes pédagogiques, c’est l’humain » précise Hugues Spriet.

*Parmi les plateformes permettant de s’entrainer : TryHackme (https://tryhackme.com/) et HackTheBox : https://www.hackthebox.eu/.