Lateo.net - Flux RSS en pagaille (pour en ajouter : @ moi)

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierOpenClassrooms : le blog

Découvrez l’univers de la cybersécurité : entretien avec Yann Bonnet

La cybersécurité, ça vous parle ? Vraiment ? Ce n’est pas qu’un antivirus ou un mot de passe complexe. Un champ de bataille, certainement, mais pas seulement. La cybersécurité est, avant tout, incarnée par des professionnels qui veillent sur les individus et les organisations, les protègent, parfois dans l’ombre. Des métiers du « care » qui ont le vent en poupe ! Alors, prêt à dépasser les clichés et à découvrir l’univers de la cybersécurité et ses acteurs qui œuvrent chaque jour pour la protection numérique ?

Qui est notre invité du jour ? 

Yann Bonnet est Directeur Général délégué du Campus Cyber, lieu totem de la cybersécurité en France. Nantais d’origine (et fier de l’être), il se déplace rarement sans son vélo. Il était, dès son plus jeune âge, curieux de comprendre le fonctionnement d’Internet et ses limites. Il a notamment été directeur de cabinet du DG de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pendant 3 ans, a accompagné Cédric Villani dans ses travaux sur l’Intelligence Artificielle au Conseil National du Numérique et donne des cours sur les enjeux de la cybersécurité dans de grandes institutions françaises comme Sciences Po. 

OpenClassrooms : Bonjour Yann ! Merci de prendre le temps de répondre à nos questions aujourd’hui. On a plein de choses à vous demander mais, avant de plonger dans le vaste sujet de la cybersécurité (ou la « cyber » pour les intimes), partons des fondations. Quelle est votre définition de la cybersécurité ?

Yann Bonnet : J’aime bien citer le philosophe Bernard Stiegler avec lequel j’ai pu travailler et qui dit que la transformation numérique est, à la fois, un remède et un poison pour notre société. On se forme en ligne, on améliore la détection du cancer du sein grâce au numérique, on se transporte avec des voitures de plus en connectées : c’est très positif tout ça. Mais, plus notre monde se numérise, plus on doit faire face à de nouvelles menaces, notamment celle de la cybercriminalité.

« Il y a une attaque toutes les 11 secondes dans le monde. »

Attention, on ne parle pas de petits jeunes dans leur chambre mais d’une véritable industrie de la cybercriminalité. Au niveau mondial, il y a une attaque toutes les 11 secondes pour un coût total estimé à 5 500 milliards de dollars par an. Et tout le monde est concerné ! Par exemple, quand un hôpital est attaqué, les infirmiers et les médecins n’ont plus accès aux informations qui concernent les patients et, tout simplement, ne savent plus quel médicament a été prescrit ou non. Alors, les acteurs de la cybersécurité travaillent pour éviter ces attaques et faire en sorte que, quand attaque il y a, nous soyons tous protégés. Autrement dit, la cybersécurité est un état recherché pour un système d’information lui permettant de résister à des événements susceptibles de compromettre sa disponibilité, son intégrité ou sa confidentialité. 

Si les cyber-rançons qui touchent les hôpitaux font parfois la une des journaux, ce n’est que la partie émergée de l’iceberg. En quoi une entreprise de petite ou moyenne taille doit-elle aussi se sentir concernée par la cybersécurité ? 

Petites ou grandes entreprises, on est de plus en plus dépendants vis-à-vis du numérique. La cybersécurité permet aux organisations de fonctionner sereinement, sans redouter qu’un grain de sable ne vienne enrayer le système. Si nous ne prenons pas nos précautions, les conséquences peuvent être dramatiques : un logiciel va bloquer le système d’information d’une PME, demander une rançon et, très rapidement, cette même PME peut faire faillite parce que son business est au point mort, que son fichier client a fuité ou que la relation de confiance avec ses partenaires est brisée. Heureusement, de plus en plus d’entreprises mettent en place des dispositifs pour se protéger. Mais on a constaté, ces derniers mois, qu’il y a de plus en plus d’attaques qui ciblent les PME, probablement parce qu’elles sont moins matures sur le sujet et qu’elles investissent moins dans la cybersécurité. 

Si vous deviez dresser un état des lieux de la cybersécurité en France, quel serait-il ? 

On est tous concernés, quel que soit le pays, par la cybersécurité. C’est difficile de se comparer aux autres pays mais, au niveau européen, on peut dire que la France est plutôt un bon exemple. Cependant, il faut toujours rester humble dans ce domaine. Les enjeux sont importants : on doit former massivement, innover pour in fine mieux se protéger et faire rayonner l’excellence française. C’est tout le rôle du Campus Cyber.

« Il y a aujourd’hui 44 000 emplois dans le domaine de la cybersécurité en France dont 15 000 postes non pourvus alors que nous ambitionnons d’atteindre les 75 000 emplois d’ici 2025. »

Revenons un peu au Campus Cyber justement : est ce que vous pouvez nous en dire plus sur ce grand projet et ses missions ? 

Face à cette menace grandissante, il faut travailler collectivement pour se renforcer, mieux se protéger et inverser le rapport de force avec les attaquants. C’est ce que nous faisons avec le Campus Cyber. Nous avons tout juste fêté sa première année d’existence mais c’est déjà un vrai succès que nos amis à l’étranger nous envient. Il se passe quelque chose, la dynamique est intéressante et nous sommes en train de l’étendre avec des campus au niveau régional.

💡 L’aventure du Campus Cyber a commencé en 2019 suite à une demande du président de la République Emmanuel Macron qui a confié la mission à l’entrepreneur Michel Van den Berghe de fédérer l’écosystème cybersécurité et de faire rayonner l’excellence française. Pour plus d’informations sur le Campus et ses actions, rendez-vous ici.


Trois grandes missions nous animent. La première, la plus importante actuellement, c’est la formation :
on doit faire face à une pénurie de talents importante, améliorer l’attractivité de nos métiers, former massivement et attirer des profils divers. Notamment des femmes qui ne composent aujourd’hui que 11 % de nos effectifs. Il faut casser les clichés ! Notre deuxième mission porte sur l’innovation et la recherche. Tous les acteurs de la recherche en France travaillent main dans la main pour avoir un coup d’avance sur ceux qui nous attaquent. C’est un peu le jeu du chat et de la souris. Les cybercriminels sont, malheureusement, très performants, ils savent s’adapter et innover. Côté défense, on doit en faire de même ! Enfin, la troisième et dernière mission concerne ce qu’on appelle « les opérations ». Très concrètement, le Campus Cyber est un bâtiment de treize étages auquel plus de 4 000 acteurs privés et publics ont accès. Dans ce lieu, on trouve notamment des enseignants-chercheurs, des responsables de la cybersécurité, des développeurs ou encore des « cyber-pompiers » prêts à intervenir 24 heures sur 24 et 7 jours sur 7, en cas d’attaque.

Vous avez abordé le sujet de la pénurie de talents qui est considérable. Auriez-vous quelques chiffres à nous présenter ? 

Il y a aujourd’hui 44 000 emplois dans le domaine de la cybersécurité en France et 15 000 postes non pourvus. Et, d’ici 2025, nous ambitionnons d’atteindre les 75 000 emplois ! À titre de comparaison, au Japon, 85 % des emplois sont non pourvus. Nous ne sommes donc pas des si mauvais élèves mais il faut travailler et garder en tête que notre société va continuer à se numériser et que les besoins en cybersécurité seront de plus en plus importants


💡 Objectif 75 000 emplois d’ici 2025 : le gouvernement français a annoncé, en 2021, débloquer 1 milliard d’euros pour répondre aux enjeux de la cybersécurité. L’objectif : faire émerger des champions français de la cybersécurité et garantir à la France la maîtrise des technologies essentielles pour sa souveraineté.

Comment expliquer le problème d’attractivité de la filière cybersécurité et comment s’y attaquer pour attirer de nouveaux profils, notamment des profils féminins ? 

Alors il y a, plus largement, un vrai sujet sur la féminisation des métiers dans la tech. On doit s’attaquer à des conceptions mentales qui se forment quand on est très jeunes et qu’il faut s’efforcer de déconstruire. C’est à nous parents, enseignants, conseillers pédagogiques ou autres prescripteurs d’agir.

« Les femmes ne composent aujourd’hui que 11% des effectifs. Il faut casser les clichés ! Il y a de la place pour tout le monde et les métiers de la cybersécurité sont accessibles à tous. »

Les métiers de la cybersécurité ne sont pas réservés aux hommes, ingénieurs, geeks à capuche. On doit travailler les imaginaires. On a vraiment besoin de plus de diversité dans les équipes, et pas seulement d’une diversité de genre. Une équipe composée exclusivement d’hommes blancs qui pensent tous de la même manière, ça ne peut pas être efficace !

Il y a d’ailleurs une quarantaine de métiers différents dans le secteur, techniques et non-techniques : des métiers de la communication de crise, de la géopolitique, du droit et bien d’autres. 


💡 Architecte sécurité, cryptologue, gestionnaire de crise, développeur de solutions de sécurité, auditeur de sécurité, etc. : découvrez le panorama complet des métiers de la cybersécurité.

C’est donc dans cette logique que vous avez participé à l’élaboration du nouveau cours dédié à la cybersécurité sur la plateforme OpenClassrooms ? 

Oui, complètement. J’ai cette conviction qu’il y aura les pays qui réussiront à former massivement à la cybersécurité et il y aura les autres. On doit se donner les moyens, dans les prochains mois, d’attirer et de former plus de gens. Les métiers de la cybersécurité sont accessibles à tous ! On doit sensibiliser les jeunes et les moins jeunes, ceux qui vont se lancer sur le marché du travail et ceux qui sont peut-être déjà bien avancés dans leur carrière, aux métiers de la cybersécurité. 

« Au-delà des enjeux techniques, les métiers de la cybersécurité sont avant tout des métiers de l’humain et de la résilience. Ce sont des métiers nobles et porteurs de sens. »

OpenClassrooms peut nous aider à former plus de gens, à faire monter en compétences des personnes déjà salariées, ou à encourager des reconversions ! Le nouveau cours Découvrez l’univers de la cybersécurité permet de comprendre les fondamentaux de la cybersécurité. On étudie des cas très concrets et très intéressants, notamment celui de l’attaque d’un hôpital (fictif) pour mieux saisir les enjeux. J’espère que ce cours créera des vocations et motivera des personnes à se former plus en profondeur sur le sujet. 

C’est vrai que quand on pense « cybersécurité », on imagine des geeks à lunettes, des hommes le plus souvent, matheux bien sûr. Mais, comme vous le dites, les métiers de la cybersécurité, c’est bien plus que ça. Et, surtout, ce sont des métiers d’avenir !

Exactement, pas besoin d’être un expert en maths ou un ingénieur pour se lancer ! Il y a de la place pour tout le monde (15 000 postes non-pourvus en France !) dans des métiers bien rémunérés et challengeants. Par exemple, on parle beaucoup d’intelligence artificielle en ce moment. Les cybercriminels sont les premiers à utiliser cette technologie que nous devons, nous aussi, maîtriser pour mieux nous protéger, mieux détecter les attaques et mieux y répondre. Ce sont des défis technologiques importants et stimulants. Mais, au-delà des enjeux techniques, je veux insister sur le fait que les métiers de la cybersécurité sont avant tout des métiers de l’humain et de la résilience.

On parle beaucoup, en effet, de quête de sens depuis quelques années, et encore plus depuis la crise sanitaire. Et, selon vous, les métiers de la cybersécurité sont, justement, porteurs de sens.

Les acteurs de la cybersécurité font en sorte que la transformation numérique se passe pour le mieux en protégeant les individus, les organisations, la nation. La question n’est pas de savoir si on va être attaqué mais plutôt quand on va être attaqué et si nous serons assez résilients pour y faire face. Dans la cybersécurité, on doit gérer des situations qui peuvent parfois être dramatiques puisqu’il peut y avoir des vies humaines en jeu. Alors, quand on pense « cybersécurité », on devrait beaucoup plus penser à des métiers de l’humain, du relationnel, de la psychologie, de la diplomatie. J’insiste : le facteur humain est absolument essentiel. Finalement, la cybersécurité est un métier du « care » et, personnellement, je trouve que ça a du sens et que c’est très gratifiant.

 

Envie d’explorer l’univers de la cybersécurité ? De comprendre les mécaniques en jeu et de partir à la rencontre de ses acteurs et actrices ? Rendez-vous sur le nouveau cours Découvrez l’univers de la cybersécurité avec Yann Bonnet pour découvrir le domaine de la cybersécurité et ses métiers, une filière d’avenir et de sens aux opportunités formidables qui n’est pas réservée, vous l’avez compris, qu’aux ingénieurs à capuche (mais si vous êtes ingénieur à capuche, vous êtes, vous aussi, le bienvenu !).

 

Pour aller plus loin et vous former aux enjeux de la cybersécurité, nous proposons une vingtaine de cours disponibles gratuitement et deux formations diplômantes :

 

L’article Découvrez l’univers de la cybersécurité : entretien avec Yann Bonnet est apparu en premier sur OpenClassrooms : le blog.

Cybersécurité offensive : s’exercer avec Root-Me et OpenClassrooms

OpenClassrooms publie aujourd’hui de nouveaux cours en cybersécurité, élaborés en partenariat avec la plateforme d’entraînement Root-Me et de nombreux experts. Retour sur la genèse de cette collaboration, les activités et les compétences visées.

Augmenter significativement le nombre d’experts en cybersécurité : nos premiers travaux

En 2021, pour la cinquième année consécutive, le Forum économique mondial classait les cyberattaques dans le classement des principaux risques auxquels le monde est confronté. La même année, la France annonçait la nécessité de doubler les effectifs en créant 37 000 postes d’ici 2025, et des projections au niveau mondial annonçaient l’ouverture de 3,5 millions de postes dédiés à la cybersécurité.

En 2021 toujours, OpenClassrooms et Root-Me se rapprochaient pour trouver de nouvelles réponses à une question simple, mais cruciale : comment augmenter significativement le nombre d’experts en cybersécurité ?

Nous partagions alors un constat : quand on souhaite s’initier dans ce domaine, le sujet peut paraître vaste. Il touche à de nombreuses expertises, allant des systèmes et réseaux aux développements applicatifs, en passant par la gestion des risques, la gestion des identités, la réponse à incidents, etc. Bonne nouvelle, les ressources publiques sont d’ores-et-déjà nombreuses sur ces différents sujets. Moins bonne nouvelle, il est très souvent nécessaire d’en parcourir un grand nombre pour acquérir l’ensemble des compétences à mobiliser sur le terrain, pour chaque sujet.

Aujourd’hui, nous sommes heureux de vous présenter les premières briques de nos travaux, avec la publication de deux cours dédiés à la réalisation d’un test d’intrusion et à la sécurité de l’Active Directory, ainsi que de trois environnements virtuels d’entraînement conçus pour l’occasion.

Ces cours et ces environnements virtuels d’entraînement sont gratuits, accessibles à tout moment, depuis un simple navigateur web. Ils combinent théorie, retours d’expériences et mises en pratique, pour rassembler autour d’un même fil rouge l’essentiel de ce qu’il faut savoir sur le sujet. Ils ont été conçus par des professionnels passionnés. Nous espérons qu’il vous plairont autant que nous nous sommes appliqués à les faire.

Réalisez un test d’intrusion web

Un test d’intrusion ou “penetration test”, souvent raccourci à “pentest”, c’est quoi ? 

C’est un test qui permet aux entreprises et aux organisations d’identifier une série de failles qui pourraient être exploitées par un hacker malveillant sur un périmètre donné, l’impact que ces failles pourraient avoir sur l’entreprise et comment le réduire ou le mettre sous contrôle.

Et pourquoi un cours sur les “pentests” web en particulier ? 

D’abord, parce que c’est le périmètre le plus courant pour un pentester : le nombre de sites Internet augmente constamment et le fonctionnement ainsi que l’administration de beaucoup d’infrastructures reposent sur des applications web. Ensuite, commencer par le pentest web, c’est le bon moyen d’adopter les réflexes et la posture du pentester, sur des technologies standardisées et avec un outillage mature. C’est une excellente première étape pour mettre un pied à l’étrier avant de s’attaquer à d’autres périmètres plus complexes. 

Ainsi, à la fin de ce cours, les personnes qui l’auront suivi seront donc capables de :

  • Préparer un test d’intrusion web.
  • Se familiariser avec l’écosystème d’une application web.
  • Analyser en détail le contenu d’une application web.
  • Identifier les vulnérabilités spécifiques à une application web.
  • Restituer les résultats d’un test d’intrusion web. 

Elles auront, au passage, réalisé plusieurs challenges Root-Me avec deux environnements virtuels créés spécialement pour l’occasion, à tester au gré du cours.

“Réalisez un test d’intrusion web” disponible sur OpenClassrooms en accès libre, pour les personnes souhaitant faire leurs premiers pas dans la cybersécurité offensive, comme pour les professionnels souhaitant consolider leurs connaissances. Environnements virtuels OpenClassrooms – DVWA et OpenClassrooms – Juice Shop disponibles sur Root-Me en accès libre, pour des entraînements en toute simplicité.

Assurez la sécurité de votre Active Directory et de vos domaines Windows

Les attaques par rançongiciels peuvent paralyser des entreprises entières pendant plusieurs semaines. Systématiquement, les domaines Windows et les Active Directory qui les portent sont visés et compromis à un moment ou à un autre du processus. Être capable d’évaluer et d’améliorer continuellement leur niveau de sécurité est donc la clé de toute stratégie de cybersécurité.

Comprendre les techniques des attaquants permet de corriger les vulnérabilités qu’ils exploitent, et de surveiller les environnements pour détecter d’éventuelles tentatives d’intrusion.

Ainsi, à la fin de ce cours, les personnes qui l’auront suivi seront donc capables de :

  • Identifier les faiblesses et les objectifs d’attaque dans l’environnement Windows.
  • Exploiter les chemins d’attaque sur environnement Windows.
  • Protéger et surveiller l’environnement Windows.

Là encore, un espace virtuel d’entraînement à été conçu pour l’occasion et vous permettra de mettre en pratique l’ensemble du cours via Root-Me.

Assurez la sécurité de votre Active Directory et de vos domaines Windows” disponible sur OpenClassrooms en accès libre, pour les administrateurs Windows devant acquérir des compétences en matière de cybersécurité Active Directory, ainsi que pour les analystes cybersécurité et pentesters devant approfondir leur connaissance d’Active Directory pour leurs activités offensives et défensives.

Et après ?

Ces cours et ces environnements virtuels sont les premiers d’une longue série à venir dans le domaine de la cybersécurité !

N’hésitez pas à échanger avec nous, que vous soyez débutants ou experts, pour nous partager vos retours ! Nous les prendrons en compte avec attention.

 

L’article Cybersécurité offensive : s’exercer avec Root-Me et OpenClassrooms est apparu en premier sur OpenClassrooms : le blog.

❌