Portées par le Pôle Excellence Cyber et l'accord de partenariat entre la DGA et le monde académique depuis 2014, les formations en cybersécurité et cyberdéfense se sont multiplées en région Bretagne. Une tendance sur laquelle l'Université Bretagne Sud n'a pas hésité à surfer : « le thème de la cyber est apparu comme un sujet important de développement des territoires. On a mis le pied sur l'accélérateur avec une vraie dynamique autour de la cyber qui est un vrai différenciant pur nous, avec des éléments autour de la recherche, des formations, de développement produits et des MooC pour de la sensibilisation auprès des collectivités », a indiqué Jean Peeters, président de l'Université Bretagne Sud, le 22 janvier 2019 à l'occasion d'un voyage de presse organisé par l'intercommunalité Golfe du Morbihan - Vannes agglomération.
Créée en 1995 par Jean-Yves Le Drian et Pierre Pavec, l'Université Bretagne Sud est répartie sur les campus de Lorient, Vannes et Pontivy. Depuis 2012, l'établissement a accru son offre pédagogique en cybersécurité et cyberdéfense, visant à former étudiants ingénieurs de niveau master mais également licence ainsi que des techniciens via une licence pro en alternance. « On a atteint un palier cette année avec 320-330 étudiants formés et on devrait passer le cap des 600 dans les années à venir », a expliqué Jack Noël, coordinateur Cyber Security Center. Dans le cadre des formations cyber suivies - qui n'attire pour l'heure encore que peu d'étudiantes ne représentant pas plus de 5-10% des effectifs - des thèmes variés sont abordés : sécurité des systèmes logiciels, matériels, secure by design, électronique et cognitif... Pour
L'Université Bretagne Sud, dont le cyber range est coordonnée par Jack Noël, a ouvert une chaire en cybersécurité bénéficiant du soutien de l'ANSSI, de la Gendarmerie Nationale ou encore de partenaires industriels comme Atos qui travaille notamment sur de la recherche appliquée, de la simulation et du pen testing en environnent événementiel et sportif comme les JO 2024 et la sécurité dans les stades avec le Football Club Lorient. (crédit : D.F.)
Les étudiants sur le grill d'une gestion de crise cyber
Loin d'être uniquement théorique, l'enseignement cyber dispensé à l'Université Bretagne Sud met aussi les étudiants dans le grand bain de la réalité des cyberattaques. « Le clou de la formation au bout de trois ans pour 56 futurs élèves ingénieurs est de finir par un exercice où ils vont appliquer tout ce qu'ils ont vu en TD, TP et cours pour savoir comment une entreprise attaquée peut survivre à une attaque », a expliqué Yves Le Thiec, enseignant à l'école d'ingénieurs ENSIBS rattachée à l'Université Bretagne Sud. Pour répondre à cet enjeu de formation, un centre d'entraînement de gestion de crise et de simulation d'attaque cyber (cyber range) a été créé pour mettre les étudiants en situation.
Un cas fictif en mode jeu de rôle a été élaboré, faisant collaborer une équipe Plan qui détermine les biens propres et stratégiques ainsi que les valeurs métiers de l'entreprise à protéger. Ce travail est transmis au pôle management d'une blue team composée d'un responsable d'analyse des risques, communication, juridique... adossée à une blue team technique disposant de compétences pour contrer des cybermenaces envoyées par une red team jouée par des enseignants. Un jeu de rôle grandeur nature, étalé sur plusieurs jours, inspiré de ce qui se pratique dans les véritables centres de formation cyber professionnels comme bluecyforce par exemple. Le début du jeu de rôle auquel nous avons pu assister, a consisté pour le pôle management blue team de l'entreprise « Enedos » dans le secteur de l'énergie de gérer une crise débutée par la publication d'une vidéo de propagande indiquant que le compteur électrique « lino » porterait atteinte à la vie privée à cause d'une caméra insidieusement cachée dedans.
La cellule management de la blue team jouée par des étudiants ingénieurs de l'Université Bretagne Sud dans le cadre de son Cyber Security Center a répondu mercredi 22 janvier 2020 matin à un début de crise lié à l'envoi de faux communiqués de presse envoyés sur un compte du réseau social « fuitter ». (crédit : D.F.) (crédit : D.F.)
De son côté, la blueteam technique apprend à manipuler différents outils prise en main d'outils, créer des tableaux de bord sécurité, déployer des sondes... en répartissant le temps de jeu de rôle de 20mn à 2 heures par poste. L'équipe Red team est là pour attaquer et faire réagir les étudiants mais n'a pas le rôle de « tout casser » sans quoi le jeu n'aurait alors plus aucun intérêt. L'objectif pédagogique recherché ici ets avant de d'apprendre aux étudiants à savoir réagir face aux situations difficiles, trouver les moyens de remédier, mais avant tout savoir réagir en apprenant à connaître comment on réagit en situation de crise. En termes d'outillage technique, ce cyber range repose sur une infrastructure fournie par Airbus embarquant tout le nécessaire pour simuler un SI virtuel motorisé sous VMware.
Particularité cette année, le jeu a été réalisé en partenariat avec l'Université de Polynésie Française. Une initiative qui doit permettre de valider la possibilité - très réelle cette fois - de réaliser des opérations de cyberdéfense depuis la Polynésie Française. « Ce test est une première étape technique pour donner des idées de stratégie de défense nationale dans un premier temps en France et en Europe dans un second temps », a indiqué Vincent Balouet, membre du Clusif. S'il est avéré, au-delà du jeu mais en condition réelle, qu'il est possible de protéger et lancer des contre-mesures cyber depuis la Polynésie vers la France, cela va permettre d'ouvrir des opportunités inédites de développement. « L'enjeu est de répondre à des cyberattaques qui ont lieu de nuit en France », poursuit Vincent Balouet. « On aura alors gagné des SOC qui pourront attirer les talents plus facilement là où en France les contraintes de travail de nuit et de turn-over dans les centres opérationnels de sécurité sont nombreuses ».
Sensibilisation au hack de véhicules et de stades connectés
Dans le cadre des différentes formations cyber dispensées, l'Université de Bretagne Sud propose différents modules pour sensibiliser les étudiants aux différentes techniques de hack utilisées par les pirates. Par exemple, sur la capacité des hackers à effectuer des dénis de service sur les réseaux internes (CAN) des voitures de façon à saturer les communications entre ses calculateurs, avec pour effet la mise en erreur système et faire tomber l'électronique de bord. En accédant à l'ODB via la réseau interne, il est possible de savoir comment remettre à zéro un compteur ou au bout de 6 mois comprendre le fonctionnement du hack de park assist des véhicules envoyant des commandes pour faire tourner le véhicule.
Au sein de l'ENSIBS, les étudiants sont également amenés à prendre en main une plateforme de simulation pour jouer le scenario de hack en environnement de stade sur les systèmes d'éclairage, incendies, barrières, accès au stade. Objectif : chercher l'élévation de privilèges en exécutant des instructions via un terminal que l'on connecte au réseau via un port ouvert de communication.
La planche de tableau de bord a été fournie par PSA simulant un véritable réseau interne de véhicule datant d'une quinzaine d'années que l'on retrouve aussi bien dans des voitures, des camions, des véhicules militaires que des tracteurs. (crédit : D.F.)
Dans le cadre d'un Master 2, un module labellisé SecNumEdu par l'ANSSI depuis la rentrée 2019 permet également aux étudiants d'apprendre à sécuriser des objets connectés, des cartes réseaux... et sécuriser les échanges entre les logiciels qui tournent dessus, bare metal ou OS. Des cartes et microcontrolleurs ST Microelectronics avec accéléromètres, capteurs d'humidité, mais également des cartes Arduino, raspberry Pi permettant aux étudiants de varier les scénarios de hack avec activation en fonction des scénarios des connexions WiFi, Lora, Sigfox... Les étudiants apprennent ainsi à gérer et implémenter de l'encryption, de l’authentification, ou encore éviter le rayonnement électromagnétique qui peut révéler l'activité et les fonctions utilisées.
Portée par l'association étudiante Hack2GS créee en 2016, l'événement Hitchhack du 21 mars 2020 a de son côté pour objectif d'ouvrir la connaissance cyber à tous au travers d'un programme de conférences sur toute la journée. Alors que 150 personnes ont participé l'année dernière, plus de 300 personnes sont attendues cette année.