Entretien - Charles Preaux, expert en cybersecurite

Retour au blog

L'ENSIBS de Vannes ouvre en septembre une école d'ingénieurs en cyberdéfense, première du genre en France. Cette initiative, on l'a doit à Charles Préaux, expert en sécurité des systèmes d'information, qui a exercé et développé cette spécialité pendant plus de 30 ans au Ministère de la Défense. Aujourd'hui, il est professeur des universités associé à l’UBS et dirige la toute nouvelle formation cyberdéfense, récemment labellisée Images & Réseaux.

Ces derniers temps, fuites d'information et problèmes de sécurité font la Une de l'actualité. Qu'est-ce qui a changé ?

Charles Préaux. Le sujet n'est pas nouveau. Personnellement, j'y travaille depuis les années 90. Ce qui est nouveau, c'est l'ampleur de la menace suite à l'interconnexion des moyens de télécommunication, des systèmes d'information, et des systèmes industriels autour de l'Internet. Une attaque venue du cyberespace peut cibler n'importe qui, un opérateur d'envergure nationale aussi bien qu'un organisme public ou une PME. Chacun peut légitimement avoir des doutes sur la fiabilité des outils d'information et de communication qu'il utilise. Il n'empêche qu'on ne peut plus faire sans.

Peut-on parler de prise de conscience ?
CP. Elle est grandissante, mais il reste beaucoup à faire. J'ai souvent l'occasion de m'exprimer devant des chefs d'entreprise, et j'ai pu m'apercevoir que leur niveau d'information reste souvent basique. Les solutions antivirus sont des protections des années 90. En 2013, on a affaire à des attaques sophistiquées, qui enchaînent des scénarios de plus en plus complexes. Une PME peut, à son insu, servir de tremplin à une attaque auprès de tiers, qui engage sa responsabilité. Il faudra encore quelques années pour que la prise de conscience soit au rendez-vous.

On parle d'explosion du nombre d'attaques (voir 01.net), pourriez-vous nous donner des chiffres ?
CP. Par nature, je me méfie des chiffres issus du marché de la sécurité lui-même. Mais j'ai mes propres éléments. Pour mettre au point la formation cyberdéfense, nous avons constitué un comité stratégique qui a travaillé pendant 6 mois. Il réunissait des acteurs de tous bords : opérateurs de télécommunications, entreprises du domaine de la finance, de l'énergie, des transports, de la santé..., ministère de la Défense, ministère de l'Intérieur, etc. Et si tout ce beau monde s'intéresse au problème, c'est que la menace est avérée.

Cybersécurité, cyberdéfense, quelle différence ?
CP. La cybersécurité couvre tous les aspects de la sécurité de l'information. La cyberdéfense s'intéresse plus spécifiquement aux infrastructures vitales, qu'elles soient publiques ou industrielles. On en a recensé 150 en France. La défense de ces infrastructures et de leurs fournisseurs est le domaine dans lequel on a le plus besoin de progresser. C'est le cœur de notre formation.

La formation cyberdéfense a-t-elle des équivalents ?
CP. Il n'existe pas de formation de ce type en France, ni même en Europe. Il existe bien sûr des formations aux bases de données, à la cryptographie, aux réseaux ou à la sécurité informatique. Nos ingénieurs ne seront spécialistes d'aucun de ces domaines, mais ils auront une vue d'ensemble sur tout cela, sur toute la chaîne de l'information et sur la globalité des problématiques de défense dans le monde. Ils devront être capables d'intervenir, y compris dans le code, pour ajouter des paramètres de sécurité.
La dimension humaine est également cruciale. Les ingénieurs devront être irréprochables du point de vue éthique et être capables de réagir à une situation de crise en cas d'attaque à grande échelle. Ils seront entraînés pour cela.

Quels sont les besoins en cyberdéfenseurs estimés ?
CP. La cyberdéfense est un marché en devenir dont les besoins sont immenses. On estime à 1000 le nombre d'ingénieurs qu'il faudrait former chaque année en France, dont 150 à 200 rien que pour le secteur public. Notre première promotion compte 28 élèves. Nous avons pour objectif de doubler ce chiffre dès l'année prochaine. Par ailleurs, nous recevons beaucoup de demandes pour de la formation continue, que nous sommes en train d'étudier.

Quel est le sens de la labellisation Images & Réseaux ?
CP. Le label Images & Réseaux est un plus, qui nous ouvre un réseau de communication et de partenaires sur lequel nous appuyer. Il faut préciser que nous avons fait le choix de la formation en alternance. Ce qui signifie que nous avons besoin de liens étroits avec les entreprises, puisque nos élèves y passeront la moitié de leur temps de formation afin de se confronter aux réalités du terrain.

Pour aller plus loin sur le thème de la cybersécurité

Participez à la Journée Pro Meito le 24 septembre à l'ENSIBS de Vannes, intitulée PME, protégez vos données et infrastructures dans le cyberespace. Programme. Inscription.

Trois projets collaboratifs du pôle Images & Réseaux, partenaire de l'événement, y seront présentés :

  • CESSA : développement de fonctions de sécurité pour les architectures orientées services (SOA),
  • POLUX : mise au point d'un environnement permettant d'unifier les politiques de sécurité de systèmes hétérogènes,
  • BMOS : conception d'une architecture matérielle pour cartes à puce biométriques ayant un haut niveau de performances et de protection des données.
Retour au blog

Ajouter un commentaire