Les étudiants de l'UPF en duel contre les hackers


La Blue Team polynésienne a réussi à prendre le relai de l'équipe métropolitaine et à contrer les hackers pendant plus de 13h d'attaques intenses.
Tahiti, le 29 janvier 2020 - La semaine dernière, un grand exercice de cybersécurité entre Tahiti et la Bretagne a mobilisé les services du Pays, les entreprises, l'Université de la Polynésie française et une grande école d'ingénieurs française pendant 36 heures. Le succès de l'opération ouvre la voie à l'installation au fenua d'entreprises de cybersécurité métropolitaines, mais aussi à la création d'un cursus spécialisé à l'UPF.

L'attaque a commencé jeudi matin à Vannes, en Bretagne (mercredi soir à Tahiti). Les serveurs informatiques de deux entreprises sont attaqués par des hackers et des analystes locaux s'attellent à les contrer dans leur Security Operations Center (SOC). Le combat dure toute la journée sans interruption. À 20 heures, les professionnels épuisés passent le relai à une nouvelle équipe toute fraiche qui se lève à peine... Car elle est basée à Tahiti.

La Blue Team polynésienne
En Polynésie, il est jeudi, 7 heures du matin. Ils sont huit à reprendre le flambeau de l'équipe bretonne grâce au Retex (retour d'expérience) transmis par leurs collègues métropolitains. Ils y découvrent les techniques utilisées par les attaquants, les mesures mises en place pour les contrer, tout ce qui a changé sur leurs serveurs... Et ils s'engagent à leur tour dans le combat contre les pirates.

Après une journée de lutte, à 20h30, les Tahitiens peuvent enfin aller se reposer et l'équipe de métropole prend à nouveau le relais. Ce n'est que vendredi, à 7 heures, du matin à Tahiti, que l'attaque se termine. Une réunion-bilan se met alors en place pour faire le point sur la situation, en présence de la ministre du Numérique, Tea Frogier, du président de l'UPF, des représentants des entreprises et des services du Pays et d'une école d'ingénieurs métropolitaine. Tous se félicitent de la compétence des défenseurs face à cet... exercice.

DES ÉTUDIANTS DE L'UPF FORMÉS AUX BASES DE LA CYBERSÉCURITÉ

Les acteurs de FenuaH24
Car toute cette attaque était simulée. Un exercice nommé FenuaH24 impliquant tous les acteurs de la cybersécurité de Polynésie, l'Université de la Polynésie française et l’École Nationale Supérieure d’Ingénieurs de Bretagne-Sud (l'ENSIBS, rattachée à l'Université de Bretagne Sud à Vannes). Il y avait aussi des observateurs comme Airbus Défense, Cap Gemini et IBM.

Les entreprises attaquées étaient en fait des serveurs de test mis en place par les enseignants de l'école d'ingénieurs. Les hackers étaient des étudiants en troisième année de l'ENSIBS, la Red Team, tandis que les équipes de défense, les Blue Teams, étaient constituées de deux groupes se relayant : l'équipe de jour en Bretagne avec d'autres élèves de l'ENSIBS et l’équipe de nuit en Polynésie. Cette dernière était constituée de six étudiants en troisième année de Licence Math-informatique de l'UPF, épaulés par un professeur et un étudiant de l'ENSIBS ayant fait le déplacement. Ils ont formé une douzaine d'étudiants polynésiens aux techniques de défense dont ils avaient besoin pour cet exercice spécifique, puis ont encadré les meilleurs pendant l'exercice.

C'est la direction générale de l'Économie numérique (DGEN) polynésienne qui est à l'origine de l'exercice, dans la continuité de ses grandes simulations d'attaques informatiques CyberFenua, réalisées en 2017 et 2018 avec l'État, les entreprises et les professionnels locaux du secteur. Des initiatives qui ont été de vrais succès, observées jusqu'au plus haut niveau par des représentants des grandes entreprises métropolitaines, de l'armée et même de l'Otan. En 2018, déjà, un deuxième PC de crise basé à Paris servait à assister la Polynésie... Mais c'est maintenant Tahiti qui peut venir à la rescousse de la métropole !

PROUVER LA CAPACITÉ DE TAHITI À ASSURER LA DÉFENSE D'ENTREPRISES MÉTROPOLITAINES

Car c'est là tout l'enjeux de FenuaH24 : "L’objectif est double : renforcer les dispositifs de gestion de crise dans un contexte d’augmentation en fréquence et en gravité du risque cyber, la Polynésie française devant mettre en place un dispositif permettant de répondre à ce type de situation avec beaucoup plus d’autonomie qu’en métropole ; Démontrer la faisabilité de l’installation d’un Security Opérations Center (SOC) en Polynésie, coordonné avec des SOC en métropole, de façon à protéger les entreprises et répondre rapidement en travaillant de jour et de nuit sur sol français, dans l’objectif de valider la faisabilité technique du déploiement d’une filière industrielle en Polynésie", explique la DGEN.

Le succès de l'opération devrait même permettre de monter "un dossier complet de montage opérationnel qui pourrait être présenté au président de la République lors de sa visite en Polynésie en 2020, comme une initiative économique majeure du territoire". Car les entreprises de sécurité informatique métropolitaines sont confrontées à un problème majeur : les attaques ont lieu principalement la nuit, mais leurs ingénieurs ont du mal à tenir le rythme infernal des permanences nocturnes. Une équipe délocalisée en Polynésie française et avec une connexion désormais sécurisée par deux câbles sous-marins et le secours satellite, peut les intéresser.

Une vraie opportunité pour le fenua, qui manque cependant de travailleurs qualifiés dans ce domaine pour vraiment développer cette industrie. Mais l'intérêt porté au projet par l'école d'ingénieurs de l'Université de Bretagne Sud est une bonne occasion, soulignée par la DGEN : "La question de la disponibilité des compétences en quantité significative en Polynésie française est bien entendu un enjeu capital. Elle peut être résolue grâce à un couplage universitaire mettant en œuvre les ressources pédagogiques et académiques des Universités de Polynésie française (UPF) et de Bretagne Sud (UBS), cette dernière étant la seule entité en France délivrant par son école interne l’ENSIBS, un diplôme d’ingénieur en Cyberdéfense, reconnu par la commission du titre." Une collaboration que l'UPF compte mettre en œuvre rapidement (voir interview).

Sébastien Chabrier, maître de conférences en Informatique, vice-président en charge du Numérique de l'UPF

"L'idée serait de former nos jeunes polynésiens, d'en envoyer certains se former en Métropole dans cette école d'ingénieur, et qu'ensuite ils puissent tous travailler ici dans leur spécialité."

Cet exercice a permis de montrer la capacité des étudiants polynésiens à se saisir des techniques de cybersécurité, pourtant ce n'est pas le cœur de leur formation.

Ce n'est absolument pas le cœur de leur formation qui est très généraliste. Elle touche à tout : la programmation, la base de données, la sécurité et des notions un peu plus avancées de génie logiciel, d'intelligence artificielle... Du coup, on ne les a pas formés au même niveau que les ingénieurs de l'ENSIBS, ça serait arrogant de dire ça. On les a juste formés de manière très spécifique pour cet exercice, pour les attaques qu'ils allaient subir. On ne voulait pas les prendre en défaut, l'objectif était de démontrer la faisabilité de la défense d'un serveur situé en métropole par une équipe basée à Tahiti.

Les étudiants ont-ils apprécié cet exercice ?
Les étudiants ont eu l'air de beaucoup apprécier l'exercice, mais aussi cette thématique. Dans le lot, plusieurs souhaitent continuer en cybersécurité par la suite, voire même pour certains intégrer cette école d'ingénieurs en Bretagne.

Ils ont pu leur montrer leur talent lors de cet exercice
Ils ont effectivement pu commencer à tisser des liens, mais nous aussi, nous avons commencé à nous rapprocher de cette école, de deux manières différentes. La première manière est, pour nos étudiants qui sortent de la licence d'Informatique, que nous envisageons la création d'une passerelle pour leur donner la possibilité d'intégrer la première année de l'ENSIBS. Normalement, c'est une acceptation sur dossier après une prépa. Ici, ça serait aussi sur dossier, mais avec l'avantage que nous serons en contact avec ces enseignants et donc que nous pourrons adapter une partie de notre formation. Nous avons un cours de sécurité et un stage en troisième années. Nous envisageons de faire des stages en lien avec la cybersécurité pour ceux qui envisagent de partir dans ce genre d'écoles.

La deuxième possibilité, pas forcément pour nos troisièmes années mais pour d'autres étudiants qui n'ont pas l'envie ou le niveau pour aller en école d'ingénieur, mais qui sont quand même intéressés par la cybersécurité, c'est d'ouvrir une troisième année de licence professionnelle, accessible à partir d'un BTS par exemple ou d'une VAE (Validation des acquis de l'expérience). Ça serait une Licence pro en cybersécurité de niveau 0 et 1. Pour comparer, en cybersécurité il y a 5 niveaux de difficulté qui vont de 0 à 4. Les ingénieurs vont pouvoir traiter les niveaux 3 et 4, les plus difficiles et compliqués à gérer. Ceux qui sortiraient de la licence professionnelle pourraient gérer les niveaux 0, 1 et quelques problématiques de niveau 2. Du coup, en Polynésie ça serait déjà très intéressant pour les entreprises d'engager ces jeunes pour les protéger au niveau de la base.

Vous êtes un spécialiste de la cybersécurité indépendant du gouvernement. Que pensez-vous des ambitions de la DGEN d'accueillir des entreprises de SOC en Polynésie ?
Je pense que c'est totalement crédible au niveau technique, il n'y a aucun souci aujourd'hui pour enchainer 12 heures en métropole et 12 heures en Polynésie. Surtout avec l'arrivée de Natitua, parce qu'avant, le moindre problème sur Manatua aurait causé de graves problèmes à n'importe quelle activité basée sur internet. Donc ça va donner beaucoup plus envie aux entreprises informatiques de venir s'installer au fenua.

Maintenant, la problématique que l'on va avoir sera au niveau financier. Pour une entreprise, il faut qu'elle s'y retrouve. A priori, les sociétés de SOC en métropole paient leurs employés beaucoup plus chers de nuit, et ils ont encore du mal à les convaincre. Donc peut-être que ça les intéressera.

Quel est l’intérêt pour la Polynésie d'accueillir des entreprises de SOC ?
L'idée serait de former nos jeunes, d'en envoyer certains en Métropole dans cette école d'ingénieur et qu'ensuite ils puissent tous travailler ici dans leur spécialité. Il faut savoir également que le diplôme de l'ENSIBS est en alternance, donc si des sociétés de SOC commencent à s'implanter ici, nos étudiants pourraient se former en métropole et faire leur alternance au fenua. Ce sont des choses qui sont en discussion à l'heure actuelle.

Est-ce que vous avez détecté des étudiants ayant le niveau pour devenir ingénieurs SOC ?
Oui, on a régulièrement des étudiants qui partent en métropole pour intégrer des écoles d'ingénieur, et ils réussissent très, très bien. Il ne faut pas penser que l'on a un diplôme cocotier ici. Nous sommes quand même select, et notre objectif est de ne pas baisser le niveau, contrairement à une certaine tendance que l'on constate. Notre objectif est vraiment d'avoir des étudiants qui, quand ils sortent, puissent entrer à un niveau décent dans le monde du travail. On ne veut pas les laisser sortir s'ils n'ont pas le niveau minimum requis. Mais ce que ça implique, c'est qu'en première année, en licence informatique, nous avons 80 étudiants inscrits, en deuxième année on n'en a plus qu'une trentaine, et en troisième année on descend entre 15 et 20. Cette année ils sont 19 en troisième année.


Rédigé par Jacques Franc de Ferrière le Mercredi 29 Janvier 2020 à 16:11 | Lu 88359 fois