Le risque cyber ou la nécessité de former ses collaborateurs

Dossier : Vie des entreprisesMagazine N°751 Janvier 2020
Par Joël COURTOIS
Par Marie MOIN

Inter­view croi­sée entre Joël Cour­tois, Direc­teur Géné­ral de l’EPITA, et Marie Moin, Direc­trice de SECURESPHERE by EPITA. Ils reviennent pour nous sur la pro­po­si­tion de valeur de l’EPITA dans le domaine de la cyber­sé­cu­ri­té, qui est deve­nu en quelques années un enjeu stra­té­gique pour les entreprises. 

Où se situe l’EPITA dans le paysage de la formation ?

L’EPITA est une grande école d’ingénieur spé­cia­li­sée dans le domaine du numé­rique. L’école forme des jeunes issus de ter­mi­nale scien­ti­fique, sur un cur­sus de 5 ans, et elle pro­pose aus­si des cur­sus de 3 ans pour des per­sonnes issues de classes pré­pa­ra­toires clas­siques (CPGE). Elle forme éga­le­ment par l’apprentissage et a déve­lop­pé un centre de for­ma­tion pro­fes­sion­nelle continue.

Actuellement, sur le marché, il y a un manque évident d’ingénieurs en IT. Comment appréhendez-vous cette situation ?

Depuis quelques années, nous assis­tons à une véri­table pénu­rie d’ingénieurs en IT. Forts de ce constat, nous avons tri­plé nos pro­mos sur ces der­nières années. Mais cette ini­tia­tive ne per­met pas de répondre à une demande des entre­prises en constante hausse. En paral­lèle, les ingé­nieurs fran­çais sont très pri­sés sur le mar­ché du tra­vail inter­na­tio­nal, notam­ment au Cana­da, aux États-Unis ou encore au Royaume-Uni. D’ailleurs, sur la pro­mo­tion 2017, nous avons enre­gis­tré 13 des pre­miers emplois à l’étranger. Suite à nos échanges avec les indus­triels et les entre­prises, nous avons fait le choix de déve­lop­per la for­ma­tion pro­fes­sion­nelle en nous concen­trant sur deux axes :

  • Appor­ter une double com­pé­tence à des jeunes issus d’autres domaines ;
  • Déve­lop­per le « Reskilling » en for­mant des infor­ma­ti­ciens qui ont besoin d’une remise à jour de leurs connais­sances afin d’être en adé­qua­tion avec les évo­lu­tions tech­no­lo­giques et les besoins actuels du marché.

L’EPITA couvre tous les champs de l’informatique (cyber­sé­cu­ri­té, intel­li­gence arti­fi­cielle, robo­tique, embar­qué, télé­coms, sys­tèmes d’information, mul­ti­mé­dia, réa­li­té vir­tuelle et aug­men­tée, ima­ge­rie…) mais nous avons déci­dé dans un pre­mier temps, pour la for­ma­tion pro­fes­sion­nelle, de pri­vi­lé­gier la cyber­sé­cu­ri­té, domaine his­to­rique d’expertise de l’école géné­rant la plus forte demande des entreprises.

Que proposez-vous donc comme formation continue ?

Nous pro­po­sons une offre de for­ma­tion pro­fes­sion­nelle étendue :

  • Une for­ma­tion diplô­mante en par­te­na­riat avec l’UTT (un diplôme d’université) ;
  • Une offre « Secure by Desi­gn » sur mesure en co-construc­tion avec les entre­prises (pro­gramme de chaque for­ma­tion ima­gi­né et conçu sur mesure en fonc­tion des besoins expri­més par l’entreprise). Les pro­grammes sur 10 jours sont ciblés pour trois pro­fils de par­ti­ci­pants : les col­la­bo­ra­teurs de toutes fonc­tions confon­dues, les col­la­bo­ra­teurs de pro­fils tech­niques IT, mais aus­si les experts en cybersécurité.

En paral­lèle, nous pro­po­sons aus­si des for­mats courts, sur 2 ou 3 jours, pour faire mon­ter en com­pé­tences les col­la­bo­ra­teurs rapi­de­ment sans impac­ter le fonc­tion­ne­ment et l’activité de l’entreprise. Si nous orga­ni­sons ces for­ma­tions pour divers sec­teurs d’activité (auto­mo­bile, VIE DES ENTREPRISES aéro­nau­tique, mili­taire, banque et assu­rance), l’enjeu reste le même : avoir des ingé­nieurs capables d’implémenter la sécu­ri­té infor­ma­tique dès la concep­tion de leurs envi­ron­ne­ments. En paral­lèle, nous avons vu la demande pour nos for­ma­tions croître avec l’entrée en vigueur du RGPD et les sanc­tions appli­quées en cas de non-confor­mi­té, notam­ment en termes de sécu­ri­sa­tion de don­nées. Cela a entraî­né une hausse des demandes pour des for­ma­tions autour de la sécu­ri­té des outils.

Quelle est la valeur ajoutée de vos formations ?

Aujourd’hui, nous avons des retours très posi­tifs de la part des entre­prises et des col­la­bo­ra­teurs qui suivent nos for­ma­tions. C’est une grande fier­té pour nous que les par­ti­ci­pants soient satis­faits d’avoir pu déve­lop­per et acqué­rir des com­pé­tences au sein de l’EPITA, deve­nues opé­ra­tion­nelles dans leurs entre­prises. Cha­cune de nos for­ma­tions est pré­cé­dée d’une phase d’ingénierie péda­go­gique pour iden­ti­fier le besoin des entre­prises. Cette démarche réa­li­sée avec les for­ma­teurs, per­met de conce­voir le syl­la­bus et de réa­li­ser des tests avant de déployer la for­ma­tion. Nous avons fait le choix de ne pas dis­so­cier l’ingénierie péda­go­gique de l’instruction. Au-delà d’une démarche d’agilité, c’est aus­si un gage de qua­li­té. Dans un domaine aus­si sen­sible que la sécu­ri­té et la cyber­sé­cu­ri­té, la confiance et la com­pé­tence sont des pré­re­quis. Ain­si, nous comp­tons de nom­breux ensei­gnants cher­cheurs issus de l’ANSSI par­mi notre corps enseignant.

Quels sont les enjeux qui persistent ?

Il n’y a que quelques écoles qui, comme l’EPITA, ont pris la mesure des risques cyber. Une très grande majo­ri­té des écoles conti­nuent de for­mer des déve­lop­peurs comme cela se fai­sait il y une quin­zaine d’années en leur rap­pe­lant en fin de for­ma­tion l’importance de sécu­ri­ser leur pro­duit. Aujourd’hui, cette approche ne fonc­tionne plus, elle est obso­lète. La sécu­ri­té doit être prise en compte dès le départ en uti­li­sant les bons outils et envi­ron­ne­ments, en étant vigi­lants sur tous les aspects. Au sein des entre­prises, il y a donc un tra­vail de péda­go­gie à mener pour per­mettre une vraie prise de conscience au niveau des cyber risques. Plus que jamais, la for­ma­tion doit cibler tous les col­la­bo­ra­teurs de l’entreprise, avec un véri­table focus sur les équipes IT, dont celles en charge de conce­voir les applications.

Vos perspectives ?

Un fort déve­lop­pe­ment avec notre impli­ca­tion dans le « Cyber Cam­pus France », ini­tié à la demande du Pré­sident Macron, où nous serons au centre de cet éco­sys­tème consti­tué par toutes les grandes entre­prises de la cyber, les grands uti­li­sa­teurs et les star­tups les plus inno­vantes. Nous allons conti­nuer d’étoffer notre cata­logue de for­ma­tions du diplôme d’ingénieur aux for­ma­tions courtes spé­cia­li­sées en pas­sant par les bache­lors cyber et cela en fonc­tion des attentes des entre­prises. Par ailleurs, nous avons déjà fait accré­di­ter un diplôme BADGE de la Confé­rence des­Grandes Écoles (CGE) sur la concep­tion et le déve­lop­pe­ment dans le domaine des tech­no­lo­gies de l’information et de la com­mu­ni­ca­tion. Nous nous ins­cri­vons dans une démarche glo­bale de veille conti­nue et nous orga­ni­sons deux fois par an un conseil de per­fec­tion­ne­ment qui veille à la per­ti­nence de nos programmes.


Nicolas Ioss (2010), Auditeur en sécurité des systèmes d’information à l’ANSSI et formateur pour SECURESPHERE by EPITA

« Après avoir appris à l’X com­ment fonc­tionne théo­ri­que­ment un réseau infor­ma­tique et un ordi­na­teur, je me suis inté­res­sé à la sécu­ri­té des sys­tèmes d’information (SSI). Je me suis ren­du compte à quel point celle ci était vitale pour les orga­ni­sa­tions (entre­prises, admi­nis­tra­tions, etc).

Un des objets de la SSI est l’usage de méca­nismes qui garan­tissent des pro­prié­tés de sécu­ri­té (confi­den­tia­li­té, inté­gri­té, authen­ti­ci­té, dis­po­ni­bi­li­té, etc.) et mon tra­vail à l’ANSSI consiste entre autres à aider des orga­ni­sa­tions dans la concep­tion et l’utilisation de tels méca­nismes. Cela per­met à ces béné­fi­ciaires d’améliorer le niveau de sécu­ri­té de leurs sys­tèmes, mais cela ne peut pas être pérenne si les col­la­bo­ra­teurs de ces orga­ni­sa­tions ne com­prennent pas les notions sous jacentes.

Ain­si, je crois beau­coup dans le fait que la sécu­ri­té est l’affaire de tous et qu’une manière effi­cace pour que les pro­prié­tés de sécu­ri­té fonc­tionnent cor­rec­te­ment sur le long terme consiste à for­mer les per­sonnes qui conçoivent, construisent et admi­nistrent des sys­tèmes, logi­ciels, pro­duits, etc. C’est prin­ci­pa­le­ment pour cette rai­son que j’anime des for­ma­tions dans les­quelles je trans­mets des connais­sances et des com­pé­tences à des archi­tectes de pro­jet, déve­lop­peurs, admi­nis­tra­teurs sys­tème, etc.

Le but des for­ma­tions que je donne n’est donc pas de trans­for­mer les par­ti­ci­pants en des experts de la SSI, mais de don­ner les élé­ments de base qui per­mettent d’intégrer des notions de SSI dans un pro­jet. J’espère ain­si que le monde de demain sera consti­tué de sys­tèmes dans les­quels il sera pos­sible d’avoir confiance ».

Poster un commentaire