Cybersécurité : une école pour parer tous les coups

Sommes-nous suffisamment parés contre la cybercriminalité ? Comme le montre la multiplication récente des attaques de grande ampleur, la réponse est non. L’ouverture prochaine de l’école 2600, à Montigny-le-Bretonneux (78), permettra-t-elle d’être plus résilients face à ces nouvelles formes de violences ? C’est en tout cas l’objectif que s’est fixé cette école d’un nouveau type.

En août 2022, l’hôpital public de Corbeil-Essonnes (91) subissait une attaque d’une ampleur inédite. Son système informatique était tombé entre les mains de malfrats russes, LockBit. Trois semaines après l’attaque, le groupe exigeait le paiement d’une rançon de 10 millions d’euros (ramenée à un million d’euros) avant de divulguer fin septembre sur le darkweb un fichier compressé de 11 gigaoctets de données très confidentielles, concernant 10 % des patients et le personnel de l’hôpital sud-francilien, de 1 068 lits. Des comptes rendus d’opération, des demandes d’autopsie, des résultats biologiques, dans lesquels figuraient les noms, prénoms et dates de naissance des patients. Près de 11 000 personnes avaient consulté ces données dans le mois qui avait suivi leur divulgation. Après le dépôt de plainte et l’enquête ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques (C3N), toujours en cours, l’hôpital a dû revoir complètement son organisation, entièrement dépendante de l’informatique pour sa gestion quotidienne de gestion des flux et de transmission des informations.

Pendant huit semaines, l’hôpital a dû fonctionner avec un ajustement rocambolesque qui n’a pu se faire qu’au détriment de la santé du personnel, déjà acculé après deux ans à gérer les soubresauts de la crise du Covid et s’apprêtant à un automne particulièrement anxiogène, avec la triple épidémie de Covid, de grippe et de bronchiolite. Selon le quotidien Le Monde, la direction des ressources humaines avait reçu un très grand nombre d’arrêts maladie des secrétaires médicales (l’hôpital en compte 186), jusqu’à douze arrêts en une seule journée. Cette profession avait subi de plein fouet l’extinction des ordinateurs : finis les systèmes de dictée vocale pour prendre en note les courriers et les ordonnances des médecins, impossible de consulter en un clic les antécédents pour les transmettre aux praticiens en amont de chaque rendez-vous. Papier, clés USB, portables et dictaphones, achetés à la hâte, n’y avaient rien fait. Face à l’impossibilité de connaître les identités des patients visés, l’hôpital avait dû envoyer un email à plus d’un million de personnes, les invitants à se rendre sur le site cybermalveillance.gouv.fr.

Malgré cette mésaventure qui avait fait la une des médias, quelques semaines après, le 3 décembre, c’était à l’hôpital André-Mignot de Versailles (78) d’être frappé par une cyberattaque. Une partie des ordinateurs avait été complètement bloquée. Cet hôpital de 3 000 salariés accueille des consultations et tous les services d’hospitalisation de court séjour et ambulatoire avec 700 lits et 3 000 membres du personnel. Il est également un centre administratif, logistique et technique. Face à cette cyberattaque, la direction a coupé son système informatique. L’accueil des patients, notamment aux urgences, a dû être limité. Ces exemples très récents ont démontré, s’il le fallait, la vulnérabilité de nos institutions et établissements publics face à la menace cyber. Fin mars, c’est le site de l’Assemblée nationale lui-même qui était piraté et rendu inaccessible par des hackers russes : une autre démonstration de force alors même que l’écrasante majorité des cyberattaques visent les particuliers et les entreprises.

Depuis 2021, la seule école formant à la cybersécurité est à Montigny-le-Bretonneux

À l’invitation de l’Agence nationale de la sécurité des systèmes d’information (ANSI), la première école formant aux métiers de la cybersécurité, l’école 2600 (dont le nom vient de la fréquence 2 600 Hz utilisée par l’opérateur Bell et piratée pour passer des appels longue distance), s’est implantée à Montigny-le-Bretonneux, dans la plaine de Saint-Quentin-en-Yvelines, bastion de la cybersécurité en Île-de-France avec plus de 17 000 entreprises concernées. Avec ses formations de 3 ans en alternance, apportant un niveau bac + 5 reconnu par l’État, l’école ambitionne de former entre 900 et 1 000 étudiants d’ici 2027. Une goutte d’eau dans une mer de besoins.

À l’écouter, c’est une mine d’or. La cybersécurité serait, selon la cofondatrice de l’école 2600, Valérie Poulain de Saint Père, le secteur d’avenir. « Avec mes deux associés, Lionel Auroux, enseignant-chercheur depuis plus de 20 ans et Axel Dreyfus, nous sommes partis d’un constat et du besoin des entreprises et des institutions de recruter des spécialistes. Actuellement, il existe 15 000 postes non pourvus et, dans l’avenir, on prévoit la création de 37 000 postes dans la cybersécurité en France. Notre pays a urgemment besoin de former des ressources de défense et d’attaque, voilà pourquoi nous avons créé l’école, la première française 100 % dédiée aux métiers de la cybersécurité. C’est le fruit de 20 ans d’expérience dans l’enseignement cyber. Pour le juridique, on a l’année dernière complété par un cours de droit dans le cadre de la gouvernance. Cette année on a choisi de l’intégrer plutôt dans les cours techniques, ce qui était plus intéressant. Par exemple, dans des tests d’intrusion, on va intégrer le droit sur l’offensif ».

Basée sur l’égalité des chances, la formation rémunérée, dans un secteur géographique où l’immobilier est plus accessible qu’à Paris, entend s’adresser tous les profils, les femmes en particulier qui sont encore très peu nombreuses à s’orienter vers une carrière technique et informatique. En partenariat avec Women4Cyber, une association européenne qui vise à promouvoir les carrières de la cybersécurité chez les femmes, l’école fait un gros travail de lobbying dans les établissements scolaires de la région pour les attirer dans les filets du cyber. « C’est un vrai sujet pour nous, explique Valérie Poulain de Saint Père, nous n’acceptons que 8 % des candidatures, nous ne faisons pas de discrimination positive et au final on se retrouve avec des quotas de 10 % de filles dans les promotions. D’elles-mêmes, elles se portent volontaires pour être des ambassadrices de l’école dès qu’elles en ont l’opportunité. Pourtant il est crucial d’avoir une diversité de profils pour être plus opérants. Il nous faut des femmes, des hommes, des gens qui viennent du droit, de la géopolitique, de l’économie, nous avons besoin de celles et ceux qui se sont autoformés. C’est un sport collectif, la cybersécurité » !

Après la formation initiale, l’enjeu de la formation continue

Forte de partenariats entre le public et le privé, le ministère des Armées, la DGSE, Deloitte ou encore la Software République – un écosystème d’open innovation pour la mobilité intelligente, sécurisée et durable, lancé en 2021 par Atos, Dassault Systèmes, Orange, Renault Group, STMicroelectronics et Thales –, l’école 2600 a annoncé en avril la levée de fonds de 6 millions d’euros auprès de business angels. L’école va désormais proposer également une formation continue pour les salariés des entreprises qui pourraient être visées par des attaques.

« Le principe c’est d’apporter des formations tout au long de la vie, avec une plateforme centrée sur des compétences, des évaluations en continu, des parcours de compétence individualisés. C’est le problème de la cybersécurité : pour être opérant, il faut se former en continu face à des menaces en constante évolution, face à des évolutions technologiques rapides. Et dans une carrière professionnelle on peut changer de secteur d’activité et avoir besoin de formations spécifiques suivant qu’on travaille dans le renseignement, en banque, chez un éditeur de logiciel ou une boulangerie. La microcertification va nous permettre de former 10 000 experts d’ici 2030 », assure l’énergique cheffe d’entreprise. « Dans un deuxième temps, en 2024, nous allons former les publics annexes (direction des ressources humaines, juristes) et là, notre approche va être par pratique : on va former à ces prérequis pour que les juristes comprennent la mécanique et la technique en cybersécurité en faisant du sur-mesure. »

Une résilience fragile face à la cybersécurité

Me Florian Perretin évolue au sein du pôle cybersécurité du cabinet Haas, spécialisé depuis 25 dans le droit du numérique et des nouvelles technologies. Il a observé avec intérêt l’arrivée de cette école dans un paysage de formation en cybersécurité en pleine éclosion (très tardive). « C’est une tendance que l’on a vu monter et sur laquelle on s’est vite positionnés dans le cabinet. Pour ma part, j’ai fait un master spécialisé à Assas, le master Droit du numérique, parcours droit du numérique. C’est le master historique en droit sur ces sujets. Mais il s’agissait d’une formation très parcellaire quand je l’ai suivie. Depuis 2018 et 2019, on assiste à une véritable montée en puissance de la cyberdélinquance. La formation doit se mettre au diapason, comme le fait l’école 2600 mais de façon trop récente malheureusement. Nous, nous avons créé un système de cellules de crises fictives : on met les personnes en situation de crise, on simule une attaque et on met la direction en condition de prendre les bonnes décisions rapidement en suivant les recommandations de l’ANSI », nous explique-t-il.

Le cabinet intervient surtout sur le pilotage juridique de la crise cyber : « Quand on est contactés par le directeur informatique pour nous faire part d’une crise, on va s’occuper de tous les processus de gestion de crise, comme le déploiement de cellule de crise avec le DPO et les membres de la direction informatique pour prendre des décisions stratégiques. En droit, ce qui est de notre ressort c’est la notification aux autorités compétentes (à savoir la Cnil, l’ARS, la Banque de France, par exemple), la stratégie de communication, en interne et à l’externe pour le public et à l’égard des clients et partenaires. On va devoir définir des stratégies spécifiques en respectant le minimum d’information imposé par les articles 33 et 34 du RGPD et en ayant un discours rassurant sur le volet réputationnel. Après cela, il y a tout un travail de recueil de preuves, de gestion d’un précontentieux qu’on va avoir avec des partenaires. Car une attaque informatique cible tout l’écosystème de sa victime, elle s’immisce partout. Il faut vérifier si les partenaires ont bien respecté leurs engagements en matière de cybersécurité. L’autre aspect important se place sur le volet assurantiel. Tout cela est un jeu d’équilibre. On arrive à avoir une vraie réponse pénale sur la cyberdélinquance (pour extraire des données dans le cas de partenaires à l’égard desquels on a un conflit) ; le reste est très compliqué, les groupes de hackers à l’international sont basés dans des pays sans accords d’extradition, et puis il n’y a pas assez de moyens alloués aux enquêtes. »

Selon Me Florian Perretin, l’école 2600 manquait cruellement, dans un écosystème français à la traîne. « Il y avait grand besoin d’un établissement pour former en masse les jeunes et les moins jeunes : il y a une vraie tendance législative autour de la sécurité informatique, après l’instauration de la loi informatique et liberté en 1978, du RGPD en 2019 et à l’heure du renouveau avec les certifications de cybersécurité des plateformes (la loi entrera en vigueur en octobre prochain), et l’obligation prochaine pour les entreprises à risque de sensibiliser les équipes pour élever le niveau de résilience cyber ». L’avocat assure qu’il travaille avec tous types d’acteurs, de la microentreprise au groupe du CAC 40 : la faille est si béante qu’il faudrait 1 000 écoles 2600 pour être parés. « On a deux typologies d’attaques, les attaques ciblées assez rares (par exemple de la cyberguerre, comme on l’a vu au début du conflit ukrainien), mais en majorité ce sont des scams lancés en masse pour extraire des données personnelles à petite échelle. Le phishing et les petites attaques quotidiennes, préparent des attaques plus importantes, à percussion : les identifiants sont commercialisés sur le darkweb et des hackers vont pouvoir monter une attaque de type ransomware (le chiffrement des données qui rendent inaccessibles vos mails, votre compte Facebook et qui sautent contre le paiement d’une rançon). » Selon l’avocat, la formation à tous les niveaux, la pédagogie dans les bureaux comme les cuisines de France et de Navarre est le secret : « 80 % des attaques sont d’origine humaine, c’est la personne qui clique sur un lien, donne ses identifiants », explique-t-il. La tâche est rude !