« Je suis venu à Bordeaux pour l’école et son bachelor Cybersécurité », confie-t-il. L’Efrei, structure privée qui forme des ingénieurs en informatique, a été fondée il y a près de quatre-vingt-dix ans. Reconnue comme établissement d’enseignement supérieur privé d’intérêt général (EESPIG), elle l’a accueilli au sein des volontaires de cette nuit pas comme les autres.
Gala Leibar, directrice du campus Efrei à Bordeaux, et Fériel Bouakkaz, enseignante et chercheuse en cybersécurité.
C. L.
Des profils de geeks
Ainsi, vendredi 21 novembre, près de 150 étudiants se sont réunis sur son campus bordelais, implanté depuis cinq ans aux Bassins à flot, pour une longue nuit de challenges entièrement dédiée à la cybersécurité. Deux autres écoles de la ville sont invitées : l’Enseirb et Junia. « L’événement se déroule en parallèle de la Cybernight organisée sur le campus parisien, qui réunit 380 étudiants », mentionne Gala Leibar, directrice de la branche bordelaise.
« On ne va s’en prendre ni à Thales, ni à Airbus, ni à Disney, parce que ces entreprises sont équipées pour contrer les attaques »
Le point commun de nombreux étudiants : un penchant naturel pour les jeux vidéo, notamment au lycée. « C’est ce qui m’a naturellement poussé vers l’informatique », relève Adrien. Une appétence qu’avait également Fériel Bouakkaz, enseignante à l’Efrei. « Enfant, j’adorais vraiment jouer aux jeux vidéo et j’étais curieuse de savoir comment ça fonctionnait derrière », explique-t-elle. Après une licence en informatique puis un doctorat, la voilà désormais spécialisée en cybersécurité.
Or, l’enseignante-chercheuse rappelle que « la cybersécurité reste un domaine, et non pas un métier ». « L’Efrei propose des parcours plus spécialisés, complète-t-elle, notamment sur la partie sécurité du cloud ou encore la sécurisation de l’utilisation de l’intelligence artificielle (IA). Elle peut aider les attaquants mais elle sert aussi à la sécurisation d’un site. Toutefois, il faut faire très attention à comment on l’utilise. »
Noé, Bryan, Robinson et Sacha sont étudiants à l’Efrei entre classes préparatoires (P1 et P2) et première année de Bachelor pour le second.
C. L.
Chercher les failles des systèmes
L’idée ? Anonymiser les recherches. Ainsi, pour simuler une attaque informatique – « un pentest » dans le jargon – les étudiants ne doivent divulguer ni le nom de l’entreprise, ni son adresse IP afin « d’utiliser l’IA de manière sécurisée ». « Toutes les informations que l’on donne à l’IA sont gardées, conservées et elles peuvent être utilisées contre soi », prévient Fériel Bouakkaz, tout en mentionnant qu’il faut « au moins cinq ans pour former un expert ».
« On ne va s’en prendre ni à Thales, ni à Airbus, ni à Disney, parce que ces entreprises sont équipées pour contrer les attaques. » À noter tout de même que tous les sites hackés ce vendredi 21 novembre étaient purement factices.
Or, en dehors d’une Cybernight étudiante, entre les entreprises qui ne déclarent pas les attaques et celles qui ne les détectent même pas, le constat est préoccupant. « Une étude menée il y a quelques années montrait que, pour une entreprise – surtout une PME –, il faut en moyenne deux mois avant de détecter une intrusion », révèle l’enseignante-chercheuse. Et d’ajouter : « C’est extrêmement tard pour détecter une attaque et pour pouvoir évaluer les dégâts qui ont été faits par cette celle-ci. »
Et comme il n’y a pas que les sites web, les étudiants sont aussi formés à chercher les failles et les vulnérabilités dans les systèmes. « Il est important de connaître tous les équipements qui sont connectés à notre réseau car même une simple imprimante, un capteur d’incendie et une caméra de surveillance peuvent être des angles d’attaque », prévient Fériel Bouakkaz.