Le risque cyber ou la nécessité de former ses collaborateurs

Dossier : Vie des entreprisesMagazine N°751 Janvier 2020
Par Joël COURTOIS
Par Marie MOIN

Inter­view croisée entre Joël Cour­tois, Directeur Général de l’EPITA, et Marie Moin, Direc­trice de SECURESPHERE by EPITA. Ils revi­en­nent pour nous sur la propo­si­tion de valeur de l’EPITA dans le domaine de la cyber­sécu­rité, qui est devenu en quelques années un enjeu stratégique pour les entreprises. 

Où se situe l’EPITA dans le paysage de la formation ?

L’EPITA est une grande école d’ingénieur spé­cial­isée dans le domaine du numérique. L’école forme des jeunes issus de ter­mi­nale sci­en­tifique, sur un cur­sus de 5 ans, et elle pro­pose aus­si des cur­sus de 3 ans pour des per­son­nes issues de class­es pré­para­toires clas­siques (CPGE). Elle forme égale­ment par l’apprentissage et a dévelop­pé un cen­tre de for­ma­tion pro­fes­sion­nelle continue.

Actuellement, sur le marché, il y a un manque évident d’ingénieurs en IT. Comment appréhendez-vous cette situation ?

Depuis quelques années, nous assis­tons à une véri­ta­ble pénurie d’ingénieurs en IT. Forts de ce con­stat, nous avons triplé nos pro­mos sur ces dernières années. Mais cette ini­tia­tive ne per­met pas de répon­dre à une demande des entre­pris­es en con­stante hausse. En par­al­lèle, les ingénieurs français sont très prisés sur le marché du tra­vail inter­na­tion­al, notam­ment au Cana­da, aux États-Unis ou encore au Roy­aume-Uni. D’ailleurs, sur la pro­mo­tion 2017, nous avons enreg­istré 1/3 des pre­miers emplois à l’étranger. Suite à nos échanges avec les indus­triels et les entre­pris­es, nous avons fait le choix de dévelop­per la for­ma­tion pro­fes­sion­nelle en nous con­cen­trant sur deux axes :

  • Apporter une dou­ble com­pé­tence à des jeunes issus d’autres domaines ;
  • Dévelop­per le « Reskilling » en for­mant des infor­mati­ciens qui ont besoin d’une remise à jour de leurs con­nais­sances afin d’être en adéqua­tion avec les évo­lu­tions tech­nologiques et les besoins actuels du marché.

L’EPITA cou­vre tous les champs de l’informatique (cyber­sécu­rité, intel­li­gence arti­fi­cielle, robo­t­ique, embar­qué, télé­coms, sys­tèmes d’information, mul­ti­mé­dia, réal­ité virtuelle et aug­men­tée, imagerie…) mais nous avons décidé dans un pre­mier temps, pour la for­ma­tion pro­fes­sion­nelle, de priv­ilégi­er la cyber­sécu­rité, domaine his­torique d’expertise de l’école générant la plus forte demande des entreprises.

Que proposez-vous donc comme formation continue ?

Nous pro­posons une offre de for­ma­tion pro­fes­sion­nelle étendue :

  • Une for­ma­tion diplô­mante en parte­nar­i­at avec l’UTT (un diplôme d’université) ;
  • Une offre « Secure by Design » sur mesure en co-con­struc­tion avec les entre­pris­es (pro­gramme de chaque for­ma­tion imag­iné et conçu sur mesure en fonc­tion des besoins exprimés par l’entreprise). Les pro­grammes sur 10 jours sont ciblés pour trois pro­fils de par­tic­i­pants : les col­lab­o­ra­teurs de toutes fonc­tions con­fon­dues, les col­lab­o­ra­teurs de pro­fils tech­niques IT, mais aus­si les experts en cybersécurité.

En par­al­lèle, nous pro­posons aus­si des for­mats courts, sur 2 ou 3 jours, pour faire mon­ter en com­pé­tences les col­lab­o­ra­teurs rapi­de­ment sans impacter le fonc­tion­nement et l’activité de l’entreprise. Si nous organ­isons ces for­ma­tions pour divers secteurs d’activité (auto­mo­bile, VIE DES ENTREPRISES aéro­nau­tique, mil­i­taire, banque et assur­ance), l’enjeu reste le même : avoir des ingénieurs capa­bles d’implémenter la sécu­rité infor­ma­tique dès la con­cep­tion de leurs envi­ron­nements. En par­al­lèle, nous avons vu la demande pour nos for­ma­tions croître avec l’entrée en vigueur du RGPD et les sanc­tions appliquées en cas de non-con­for­mité, notam­ment en ter­mes de sécuri­sa­tion de don­nées. Cela a entraîné une hausse des deman­des pour des for­ma­tions autour de la sécu­rité des outils.

Quelle est la valeur ajoutée de vos formations ?

Aujourd’hui, nous avons des retours très posi­tifs de la part des entre­pris­es et des col­lab­o­ra­teurs qui suiv­ent nos for­ma­tions. C’est une grande fierté pour nous que les par­tic­i­pants soient sat­is­faits d’avoir pu dévelop­per et acquérir des com­pé­tences au sein de l’EPITA, dev­enues opéra­tionnelles dans leurs entre­pris­es. Cha­cune de nos for­ma­tions est précédée d’une phase d’ingénierie péd­a­gogique pour iden­ti­fi­er le besoin des entre­pris­es. Cette démarche réal­isée avec les for­ma­teurs, per­met de con­cevoir le syl­labus et de réalis­er des tests avant de déploy­er la for­ma­tion. Nous avons fait le choix de ne pas dis­soci­er l’ingénierie péd­a­gogique de l’instruction. Au-delà d’une démarche d’agilité, c’est aus­si un gage de qual­ité. Dans un domaine aus­si sen­si­ble que la sécu­rité et la cyber­sécu­rité, la con­fi­ance et la com­pé­tence sont des préreq­uis. Ain­si, nous comp­tons de nom­breux enseignants chercheurs issus de l’ANSSI par­mi notre corps enseignant.

Quels sont les enjeux qui persistent ?

Il n’y a que quelques écoles qui, comme l’EPITA, ont pris la mesure des risques cyber. Une très grande majorité des écoles con­tin­u­ent de for­mer des développeurs comme cela se fai­sait il y une quin­zaine d’années en leur rap­pelant en fin de for­ma­tion l’importance de sécuris­er leur pro­duit. Aujourd’hui, cette approche ne fonc­tionne plus, elle est obsolète. La sécu­rité doit être prise en compte dès le départ en util­isant les bons out­ils et envi­ron­nements, en étant vig­i­lants sur tous les aspects. Au sein des entre­pris­es, il y a donc un tra­vail de péd­a­gogie à men­er pour per­me­t­tre une vraie prise de con­science au niveau des cyber risques. Plus que jamais, la for­ma­tion doit cibler tous les col­lab­o­ra­teurs de l’entreprise, avec un véri­ta­ble focus sur les équipes IT, dont celles en charge de con­cevoir les applications.

Vos perspectives ?

Un fort développe­ment avec notre impli­ca­tion dans le « Cyber Cam­pus France », ini­tié à la demande du Prési­dent Macron, où nous serons au cen­tre de cet écosys­tème con­sti­tué par toutes les grandes entre­pris­es de la cyber, les grands util­isa­teurs et les star­tups les plus inno­vantes. Nous allons con­tin­uer d’étoffer notre cat­a­logue de for­ma­tions du diplôme d’ingénieur aux for­ma­tions cour­tes spé­cial­isées en pas­sant par les bach­e­lors cyber et cela en fonc­tion des attentes des entre­pris­es. Par ailleurs, nous avons déjà fait accréditer un diplôme BADGE de la Con­férence des­Grandes Écoles (CGE) sur la con­cep­tion et le développe­ment dans le domaine des tech­nolo­gies de l’information et de la com­mu­ni­ca­tion. Nous nous inscrivons dans une démarche glob­ale de veille con­tin­ue et nous organ­isons deux fois par an un con­seil de per­fec­tion­nement qui veille à la per­ti­nence de nos programmes.


Nicolas Ioss (2010), Auditeur en sécurité des systèmes d’information à l’ANSSI et formateur pour SECURESPHERE by EPITA

« Après avoir appris à l’X com­ment fonc­tionne théorique­ment un réseau infor­ma­tique et un ordi­na­teur, je me suis intéressé à la sécu­rité des sys­tèmes d’information (SSI). Je me suis ren­du compte à quel point celle ci était vitale pour les organ­i­sa­tions (entre­pris­es, admin­is­tra­tions, etc).

Un des objets de la SSI est l’usage de mécan­ismes qui garan­tis­sent des pro­priétés de sécu­rité (confi­den­tial­ité, intégrité, authen­tic­ité, disponi­bil­ité, etc.) et mon tra­vail à l’ANSSI con­siste entre autres à aider des organ­i­sa­tions dans la con­cep­tion et l’utilisation de tels mécan­ismes. Cela per­met à ces béné­fi­ci­aires d’améliorer le niveau de sécu­rité de leurs sys­tèmes, mais cela ne peut pas être pérenne si les col­lab­o­ra­teurs de ces organ­i­sa­tions ne com­pren­nent pas les notions sous jacentes.

Ain­si, je crois beau­coup dans le fait que la sécu­rité est l’affaire de tous et qu’une manière effi­cace pour que les pro­priétés de sécu­rité fonc­tion­nent cor­recte­ment sur le long terme con­siste à for­mer les per­son­nes qui conçoivent, con­stru­isent et admin­istrent des sys­tèmes, logi­ciels, pro­duits, etc. C’est prin­ci­pale­ment pour cette rai­son que j’anime des for­ma­tions dans lesquelles je trans­mets des con­nais­sances et des com­pé­tences à des archi­tectes de pro­jet, développeurs, admin­is­tra­teurs sys­tème, etc.

Le but des for­ma­tions que je donne n’est donc pas de trans­former les par­tic­i­pants en des experts de la SSI, mais de don­ner les élé­ments de base qui per­me­t­tent d’intégrer des notions de SSI dans un pro­jet. J’espère ain­si que le monde de demain sera con­sti­tué de sys­tèmes dans lesquels il sera pos­si­ble d’avoir confiance ».

Poster un commentaire