Depuis quelques années, on entend régulièrement des annonces, en France ou à l'étranger, affirmant que les besoins en sécurité du numérique sont immenses et qu'il faut former plus d'experts en cybersécurité. Bien que ce constat soit avéré, il est important de comprendre que la sécurité du numérique ne doit pas reposer uniquement sur des experts. Chaque acteur de la chaîne des systèmes d'information (administrateurs, développeurs, chefs de projet, etc.) doit se sentir concerné et être impliqué, afin que la sécurité soit prise en compte tout au long des projets et de la vie des systèmes, parfois appelée "security by design".
Ainsi, tout administrateur réseau devrait savoir que les adresses réseau source d'un paquet peuvent être trivialement modifiée. Cela permettra d'éviter que le filtrage par adresse MAC soit vu comme un mécanisme de défense absolu. De manière similaire, tout développeur devrait avoir quelques notions concernant les vulnérabilités logicielles classiques, telles qu'un débordement de tampon (buffer overflow), ainsi que les moyens de s'en protéger (en effet, demander gentiment aux utilisateurs d'un site Internet de ne pas utiliser certains caractères dans leur mot de passe n'est pas une solution acceptable).
La démarche CyberEdu, initiée en 2013 par l'ANSSI, a pour objectif d'introduire des notions de sécurité dans l'ensemble des formations du numérique en France. Deux grandes actions ont été lancées par l'ANSSI pour CyberEdu : d'une part la réalisation et la mise à disposition de supports de cours destinés aux enseignants du supérieur en informatique souhaitant intégrer des éléments de sécurité dans leurs interventions et d'autre part la tenue de colloques réunissant des enseignants du supérieur en informatique et des experts de l'ANSSI.
Les supports de cours CyberEdu
L'Université européenne de Bretagne (qui regroupe 28 établissements d'enseignement supérieur et de recherche) et Orange ont remporté l'appel d'offre de l'ANSSI pour la fourniture des supports pédagogiques. Ces supports ont été mis à la disposition de tous les enseignants souhaitant utiliser ces ressources pour leur cours [0] et comportent :
un guide pédagogique, qui présente la démarche et propose d'expliquer quelques grands principes. Parmi ceux-ci, citons l'importance de ne pas traiter la sécurité comme un module à part, mais d'intégrer ce sujet, de le tisser autant que faire se peut au sein des cours existants;
un ensemble de planches de présentation, qui est un cours prêt à l'emploi d'une durée de 20 heures environ. Il est à destination des étudiants de niveau licence / DUT / BTS, pour leur donner les notions de base, le vocabulaire nécessaire à la compréhension des enjeux de sécurité et pour présenter succinctement l'organisation de la cybersécurité en France ;
des fiches sur différents sujets pour les enseignants au niveau master : les systèmes d'exploitation, le réseau, le développement logiciel, l'authentification et les composants électroniques. L'objectif et de proposer à l'enseignant de tisser au coeur de son cours l'étude d'un sujet lié à la sécurité.
Les colloques
Entre 2014 et 2016, quatre colloques ont également été organisés par l'ANSSI pour les enseignants du supérieur en informatique afin de leur présenter la démarche et d'échanger sur l'intégration de la sécurité dans leurs cours. Plus d'une centaine de personnes venues de toute la France ont ainsi assisté à l'une des quatre éditions.
Ces rencontres ont été l'occasion de partager le point de vue de l'ANSSI avec les enseignants. En plus de son objectif principal, CyberEdu a ainsi d'autres vertus qui peuvent intéresser les enseignants adhérant à la démarche. Tout d'abord, les sujets touchant à la sécurité sont plébiscités par les étudiants (encore plus depuis leurs médiatisation auprès du grand public) ce qui aide à capter leur attention. Ensuite, pour comprendre un problème de sécurité, il est généralement nécessaire de bien comprendre le fonctionnement du sujet auquel le problème se rattache. Ainsi, la compréhension des vulnérabilités que peuvent introduire un débordement de tampon requiert des connaissances précises sur la représentation mémoire d'un processus.
Chaque colloque, d'une durée de trois jours, a été l'occasion d'aborder aussi bien des sujets techniques (systèmes d'exploitation, réseau, développement, notions de cryptographie) que juridiques et ont également permis de présenter quelques retours d'expériences.
L'association
Après cette première phase (2013-2016) menée par l'ANSSI, nous avons constaté quelques limites de cette approche. D'une part, au-delà de l'effort ponctuel permettant d'amorcer le sujet, il est difficile d'envisager l'engagement durable de nombreuses ressources sur le sujet. D'autre part, les colloques ont jusqu'à présent été uniquement organisés à Paris, pour des raisons logistiques.
Afin de répondre à ces constats, nous avons proposé d'impliquer les enseignants dans la démarche, en commençant par ceux qui ont suivi les colloques ! C'est pourquoi le 17 mai 2016, l'association CyberEdu a été fondée. Son objectif est de reprendre le flambeau en lien avec l'ANSSI. L'agence continuera en effet de s'impliquer dans la démarche CyberEdu via une participation à divers groupes de travail de l'association.
L'association a pour vocation de porter les missions suivantes :
- maintenir les documents existants et en proposer de nouveaux ;
- proposer des colloques sur l'ensemble du territoire ;
- offrir un forum d'échanges entre spécialistes et non spécialistes de la sécurité ;
- labelliser des formations "CyberEdu" via un engagement mutuel entre les organismes de formation et l'association (attention, ce label, qui sera géré et décerné par l'association, concerne les formations de non-spécialistes, et ne doit pas être confondu avec le label SecNumEdu, qui sera prochainement délivré par l'ANSSI aux formations de spécialistes en sécurité du numérique).
L'association est jeune, mais ces différentes activités se structurent depuis quelques mois. L'actualité de l'association peut être suivie sur le site de l'association [1].
Le futur de CyberEdu
Il nous est souvent demandé quelles extensions de CyberEdu sont envisagées. Au-delà des informaticiens, ou plus généralement des acteurs du numérique, il serait en effet logique de s'adresser à des enseignants d'autres disciplines, de communiquer notre message à d'autres populations (professions libérales, acteurs du monde de la santé), ou encore d'étendre la démarche à l'enseignement secondaire.
Mais avant cela, il nous paraît important de pérenniser le travail réalisé auprès des enseignants du supérieur dans le domaine du numérique !
Pour la suite, restez à l'écoute sur cyberedu.fr, et passez nous voir au FIC les 24 et 25 janvier prochain à Lille où plusieurs membres de l'association seront présents !
[0] https://www.ssi.gouv.fr/administration/formations/cyberedu/contenu-pedag...
[1] https://www.cyberedu.fr
Ajouter un commentaire