Patrick Erard, Pôle d’Excellence Cyber, le Colonel Jean-Charles, Armée de Terre française, Martial Imberti, Airbus DS CyberSecurity, et Philippe Leroy, Thales, aux côtés des 3 vainqueurs : Jordan Coudé, Adrien Blachet et Guillaume Francqueville de l’ENSIBS (Ecole Nationale Supérieure d’Ingénieurs de Bretagne-Sud)

Télécom Bretagne, en collaboration avec le Pôle d’excellence cyber, Airbus Defence and Space, Thales et la Région Bretagne, a organisé un challenge cyber national ouvert aux étudiants des écoles d’ingénieurs et des universités, dans le cadre de l’European Cyber Week. « L’objectif de ce challenge étudiants, organisé dans le cadre de l’European Cyber Week, était de favoriser la pédagogie ludique, mais sérieuse dans le domaine cyber », souligne Bernard Pouliquen, Vice-président du Conseil régional de Bretagne.

Les cyber challenges favorisent la formation innovante et le recrutement

437 étudiants, provenant de différentes écoles réparties sur toute la France, ont participé aux épreuves de présélection de ce challenge sur Internet. Un site dédié a été mis sur pied pour l’évènement qu’il a également fallu sécuriser, afin de résister aux tentatives d’attaque dont il a été victime. L’équipe, menée par Patrick Erard, Télécom Bretagne, a cependant réussi à relever le défi et maintenir le site en place.

Suite à cette première phase, 48 étudiants ont été sélectionnés pour s’affronter en finale, soit 16 équipes de 3, autour d’un challenge d’attaque/défense. « Il est beaucoup plus difficile aujourd’hui de défendre un système que de l’attaquer », explique Bernard Pouliquen, « car pour pénétrer un système une seule faille suffit ». De plus, un challenge CTF (Capture The Flag) ne se limite pas, selon lui, à un simple concours. En effet, dans le domaine cyber, on n’applique pas les techniques classiques de formation et d’emploi. Ce type de challenge favorise la formation innovante et le recrutement. D’ailleurs, les vainqueurs de ce challenge se sont vus proposer un stage chez Airbus DS et chez Thales.

En amont de cette finale, chacun des différents partenaires a équilibré la charge de ce challenge ouvert à de nombreuses écoles. Thales et Airbus sont notamment intervenus comme coordinateurs et pourvoyeurs de ressources, contribuant ainsi à la bonne tenue du CTF. Martial Imberti, Airbus DS CyberSecurity, et Philippe Leroy, Thales, ont entre autres permis l’obtention en interne de budgets, de lots… Ils ont également collaboré avec les services RH afin de trouver les meilleurs interlocuteurs pour les stages.

Objectif : assurer la résilience de son système

Le scénario choisi pour ce challenge colle à des évènements concrets qui pourraient se produire dans la vraie vie, dans le domaine des systèmes industriels et critiques. « En tant qu’opérationnels de terrain, nous sommes beaucoup plus près des réalités et de l’état de l’art des vulnérabilités que les étudiants ne le sont pour l’instant. Cela nous permet de les faire se challenger sur des failles exploitables, mais pour lesquelles nous avons déjà établi les contre-mesures. L’objectif est de leur fournir un scénario techniquement crédible, et opérationnellement réaliste », explique Philippe Leroy, Thales.

Les plateformes de cybersimulation mises sur pied pour le challenge ont ainsi simulé des architectures complexes et critiques dans le domaine de l’énergie (fossile, nucléaire ou gaz). Chaque équipe a dû sécuriser une architecture subissant différents types d’attaques. Les étudiants ont également dû se mettre dans la peau d’experts en cybersécurité, à savoir connaître son infrastructure, détecter les vulnérabilités et les attaques, en faire un compte-rendu et déterminer les mesures à mettre en place… L’objectif pour chaque équipe était d’assurer la résilience de son système. Les vainqueurs de ce challenge sont ceux qui ont le mieux protégé leur architecture, mais aussi proposé les meilleures solutions.

Après plus de 5 heures d’épreuves, trois équipes de trois étudiants se sont démarquées parmi les seize formations finalistes. Face aux cyberattaques d’une « organisation internationale », les trois vainqueurs ont minimisé avec succès les pertes des infrastructures critiques dont ils avaient la charge. Les neuf participants sont repartis chacun avec une offre de stage au sein d’Airbus Defence and Space ou de Thales et des lots technologiques (ordinateurs, smartphones, montres connectées, etc.). D’autres lots ont, en outre, été offerts à l’ensemble des participants.

« L’objectif de la stratégie RH d’Airbus n’est pas d’adapter un stagiaire à une mission proposée, mais plutôt de proposer à chacun un stage correspondant à ses propres compétences. D’ailleurs, de manière générale, peu importe le poste pour lequel vous postulez, l’expert en charge du recrutement regardera d’abord vos compétences et adaptera votre profil à la mission qui vous convient », explique Christelle Pesso, DRH Airbus Cyber Security France. Cette stratégie de recrutement est également valable chez Thales.

Cyber : une filière qui recrute en permanence

Ce type de challenge vise aussi à faire connaître les métiers de la sécurité informatique aux jeunes et à les attirer vers ces filières. Ce secteur est en forte croissance (+10 % par an en moyenne), et les industriels ont un besoin constant de profils très spécifiques. D’ailleurs, dans le domaine cyber, Airbus DS et Thales recrutent tous types de profils de manière constante, et ce phénomène n’est pas prêt de s’arrêter. Le plus souvent, il s’agit de missions de pentest, d’analyse de risques, de détection de malwares et de failles, de conception d’architectures sécurisées, de conseil, d’audit fonctionnel…

Airbus DS CyberSecurity compte actuellement 650 experts dans ce domaine, répartis en France, en Grande Bretagne et en Allemagne, dont une cinquantaine de personnes recrutées cette année, et prévoit de doubler ses effectifs d’ici 5 ans.

De son côté, Thales a effectué environ 2 000 recrutements en 2016 en France, dont 200 dans le domaine cyber, et embauche également à l’international (UK, US, Netherlands, HK). Parmi les profils spécialisés, Thales recherche notamment des pentesteurs, des architectes sécurité IT, des ingénieurs/experts sécurité et analyse de risques… Afin d’assurer la sécurité informatique du Groupe, Thales recrute également des architectes en sécurité des SI, des ingénieurs en conception et déploiement d’outils de sécurité des SI ou encore des RSSI…

Les postes proposés sont ventilés sur les différents sites géographiques des deux groupes, de quoi convenir aux projets professionnels et personnels de chacun. En outre, des évolutions de carrière sont possibles.

Au final, cette initiative a rencontré un large succès auprès des étudiants, qui ont été plus de 400 à s’inscrire lors de la phase de présélection en ligne. Ce challenge sera donc renouvelé l’année prochaine, et sans doute la première édition d’une longue lignée…