Ecole d'ingénieurs : à l'école de la cyberdéfense

A Vannes, un cursus unique en France prépare des étudiants à contrer les attaques informatiques pouvant viser les entreprises et les services publics sensibles. Le nerf d’une nouvelle guerre.

Voilà trois jours que des hackers attaquent sans relâche cet hôpital breton. Le dossier médical d'un célèbre footballeur a fuité sur Twitter, le site Internet de l'établissement est piraté, son réseau Wi-Fi est brouillé... Bientôt, ces pirates informatiques vont menacer les appareils médicaux du bloc opératoire. Un terrible scénario catastrophe. Heureusement, l'hôpital est virtuel et l'attaque qui se déroule ce 1er février est un exercice de la formation Cyberdéfense menée à l'Ecole nationale supérieure d'ingénieurs de Bretagne-Sud (Ensibs), à Vannes.

Pour ce cursus, qui délivre, en trois ans, le diplôme d'ingénieur en cyberdéfense, une trentaine d'étudiants se relaient depuis soixante-douze heures derrière leurs écrans d'ordinateurs pour contrer ces multiples piratages concoctés par leurs enseignants.

« On nous met en situation de stress pour voir comment on définit nos priorités et comment on communique entre nous », explique à voix basse Thomas, 23 ans, étudiant en dernière année, tout en pianotant sur son clavier. Des capteurs, installés sous son tee-shirt, mesurent ses pulsions cardiaques pour étudier son niveau d’anxiété. Car le futur métier de ces spécialistes de la cyberdéfense ne sera pas de tout repos.

Leur mission ?

Protéger les infrastructures « vitales » (banques, transports, etc.) des cyberattaques complexes comme celle qui a paralysé la chaîne TV5 Monde en avril 2015.

Des compétences rares et très prisées

L’exercice qui occupe les étudiants simule l’attaque d’un hôpital par des hackers, qui ciblent notamment les appareils médicaux

Pour l’instant, les futurs ingénieurs font leurs preuves en protégeant leur hôpital virtuel. L’exercice dure une semaine, dans des conditions proches du réel. Le scénario d’attaque a été conçu par les enseignants de l’Ensibs en collaboration avec le centre hospitalier de Bretagne-Sud, l’agence régionale de santé et le ministère de la Santé. « Prises individuellement, ces attaques sont crédibles. Elles pourraient tout à fait se présenter », témoigne Gildas Le Borgne, directeur adjoint de l’hôpital de Lorient. Pour les besoins de l’entraînement, elles ont été combinées afin de pousser les étudiants à surmonter les pires difficultés. « C’est un exercice majeur, qui a nécessité six mois de travail en amont. Il sollicite toutes les compétences acquises durant leurs trois années de formation », détaille Charles Préaux, le responsable de ce diplôme unique en France. Son centre d’entraînement est d’ailleurs le seul de ce type dans le pays.

La management team élabore la stratégie.

La particularité de ces jeunes ingénieurs, qui intégreront la vie active dans six mois ?

Ils maîtrisent la sécurité informatique – protection contre les virus, logiciels de rançon (qui prend en otage des données personnelles)... –, mais aussi celle des télécommunications, des systèmes industriels...

Les étudiants entreront dans la vie active dans six mois, après leur dernier stage.

Une polyvalence rare et très prisée. Les besoins en recrutement sont estimés à 1000 ingénieurs par an, bien au-delà du nombre de candidats actuels. C’est peu dire que ces futurs professionnels sont courtisés. Tous mènent leurs études en alternance, notamment chez Thales, Orange ou Airbus. La moyenne des salaires en sortie d’école oscille entre 35000 et 40000 euros par an, sans chômage à l’horizon. « Ce domaine m’intéressait avant la “mode” des bons salaires, mais celle-ci ne me dérange pas », s’amuse Renaud, 24 ans. Ce qui lui plaît ? « Le défi technique, le jeu du chat et de la souris avec les attaquants...» Attablé, un sandwich à la main, Julien a de son côté vécu une première vie comme ingénieur dans l’environnement. « Je suivais ce qui était lié au hacking depuis plusieurs années mais, à l’époque où je faisais mes études, la cybersécurité n’était pas un métier connu. » Un contexte qui a récemment changé avec la multiplication des cyberattaques (lire l’encadré page suivante). Face à cette menace, l’Etat . français a recensé 250 opérateurs d’importance . vitale. Ces entreprises privées et publiques, dont la liste est confidentielle,opèrent dans des secteurs jugés critiques (énergie,eau, transports,finances, défense, etc.). La loi du 18 décembre 2013 leur impose de se protéger contre le piratage. Une mise aux normes qui nécessite d’embaucher des spécialistes, comme les étudiants de l’Ensibs.

Aux frontières de la légalité et du secret

Renaud a intégré l’école d’ingénieurs après une licence en sécurité des réseaux. | A droite : la culture geek n'est jamais très loin

Dans la « war room », la tension est montée d'un cran. Les dossiers des patients ont été piratés et l'hôpital a dû déclencher le plan blanc, réservé aux situations de crise.Les renforts affluent dans la salle et, entre ceux qui « ping » (envoient une requête) et les autres qui « root » (supervisent), le franglais fuse au-dessus des ordinateurs. D'un calme impérial, Valentin, 25 ans, passe d'une fenêtre à l'autre sur son ordinateur. Pourquoi a-t-il choisi la cyberdéfense? « La soif d'apprendre, la stratégie, le travail d'équipe, énumère t-il. La cybersécurité est un domaine de passionnés. Les menaces changent en permanence, il faut donc s'informer tout le temps, par exemple en participant à des défis le week-end, en lisant des revues spécialisées...».

Le jeune homme préfère ne pas divulguer son nom de famille ni celui de l'entreprise où il travaille. Comme beaucoup de ses camarades. Dans cet univers aux frontières de la légalité et du secret-défense, la discrétion est reine. La porosité avec le monde militaire est d'ailleurs permanente. Charles Préaux, le fondateur et directeur de la formation, est un ancien ingénieur de la Direction générale de l'armement. Son équipe enseignante compte notamment trois officiers généraux,comme Xavier de Pontbriand. Ce général de l'armée de terre en disponibilité a d'ailleurs conçu l'exercice qui occupe les étudiants, calqué sur ceux qu'il a animés au sein de l'Otan. Durant la semaine d'exercice, les étudiants occupent à tour de rôle les différents postes de cyberdéfenseurs. « Ils cherchent d'où viennent les attaques mais, pour l'instant, ils sont dans le flou », glisse Arnaud, 23 ans. Il joue cet après-midi le rôle de l'observateur.

Rémi endosse quant à lui le rôle de chef de l’équipe technique. Les étudiants ont bien conscience du caractère sensible de leur travail. Certains envisagent même de rejoindre les services de renseignement. Pour intégrer la formation, tous ont dû se soumettre à une enquête de sécurité menée par les ministères de l’Intérieur et de la Défense. « Nous faisons très attention aux profils que nous recrutons », explique Charles Préaux. Un tiers de la formation est d’ailleurs consacré au droit et à l’éthique. « C’est fondamental. Nous ne formons pas à l’attaque, c’est illégal. Mais pour défendre, il faut savoir attaquer et connaître la menace. Le but est d’en comprendre la logique, surtout pas de la mettre en oeuvre », prévient-il.

Général de l’armée de terre en disponibilité, Xavier de Pontbriand fait partie de l’équipe enseignante de la filière

Aucun étudiant ne joue le rôle du pirate lors de la semaine d’exercice.

Ce sont des « hackers éthiques » de l’entreprise Diateam, partenaire de l’Ensibs, qui s’en chargent. « C’est ça, l’esprit de la cyberdéfense: une ligne de crête où l’on ne doit pas basculer du mauvais côté, argumente le responsable du cursus. Le garde-fou, c’est la loi. »