Franck Ebel : «Un cursus offensif sur le piratage

Franck Ebel : «Un cursus offensif sur le piratage »,
Le monde informatique.fr mardi 12 mars 2013
Entretien Franck Ebel, responsable de la licence professionnelle CDAISI
La licence professionnelle (L3) de ethical hacking appelée CDAISI (Collaborateur pour la défense et
l'anti intrusion des systèmes informatiques) est enseignée à l'IUT de Maubeuge antenne de
l'Université de Valenciennes et du Hainaut-Cambrésis. Créée en 2008 par Franck Ebel, également
responsable de l’enseignement pédagogique, cette licence est unique en France et en Europe. De
type offensif, elle vise à apprendre les attaques des pirates pour mieux se défendre. Son objectif
consiste à fournir les compétences techniques et organisationnelles nécessaires à la réalisation
d'audits de sécurité et de sécurisation de systèmes Informatiques d'entreprises. Cette licence
professionnelle peut se préparer à temps plein, en alternance (contrat de professionnalisation), ou en
formation continue.
Quelles sont les raisons qui vous ont conduit à créer cette licence professionnelle ?
Franck Ebel : Il n'existait dans l'Hexagone aucune formation de ce type avant la création de la licence
CDAISI. Actuellement, on trouve des cursus de type défensif, mais pas de type offensif, c’est-à-dire
qui vous apprennent l'ensemble des méthodes des pirates, mais aussi la mise en place de contremesures pour protéger les systèmes et les techniques de riposte. Dans d’autres pays, comme
l’Ecosse, il existe des formations de niveau Bac+4 en sécurité informatique. Nous avons pensé à un
ème
année, nous avons dû
enseignement commun, mais, en raison d’un manque d’enseignants en 3
abandonner l’idée. Etant depuis très longtemps impliqué dans le domaine de la sécurité, j’ai alors
décidé de contacter la société Sysdream et l’éditeur de solutions de sécurité INL pour créer
un premier programme sur la sécurité informatique. Les contenus initiaux sont toutefois très différents
de ceux proposés maintenant en licence CDAISI car les enseignements de même que les contenus
ont entièrement été revus et reformulés.
Quels sont les types de cours dispensés à l’Université de Valenciennes ?
Nous agissons de la même façon que les pirates, en procédant à des attaques et une fois la faille
trouvée, nous la dénonçons et proposons une solution. Les cours démarrent par une UE (unité
d’enseignement) de 120 heures sur les connaissances fondamentales. Celle-ci est constitués de
trois modules : les protocoles et réseaux (OSI, TCP ..), le développement d’applications et la gestion
et l’administration des systèmes d'exploitation. Un module sur la cryptographie a également été créé
cette année. De son côté, l’UE2 aborde la sécurisation des systèmes informatiques (220h). Sont
enseignés, la vulnérabilité des accès physiques, des réseaux et des systèmes, les failles applicatives
et celles liées aux facteurs humains mais aussi la vulnérabilité des mobiles, le harware... Chaque
module de cette UE est abordé sous le même angle : principe de fonctionnement, failles associées,
moyen de protection, outils à utiliser et méthode, retour de crise. Les étudiants apprennent aussi à
conduire un audit en sécurité. Après des cours en management et communication, ils doivent
effectuer une synthèse, par la pratique, des connaissances en matière de gestion de projet. 70%
des intervenants sont des professionnels de la sécurité et des avocats.
Quel est le public concerné par cette formation ?
La licence professionnelle CDAISI est ouverte aux profils de niveau Bac +2, spécialisés en
informatique, développement ou réseau. Elle est également accessible aux demandeurs d’emploi qui
ont effectué une VAE (validation des acquis de l’expérience). Elle peut se préparer en formation
initiale ou continue ainsi qu’en alternance (contrat de professionnalisation). La moyenne d’âge des
étudiants se situe autour de la vingtaine. Ils sont passés de 45 demandes de dossiers la premiére
année à plus de 300 demandes pour 26 places.
Les motivations des étudiants sont de quel ordre ? Quels sont les débouchés une fois la
licence obtenue ? Par ailleurs, le décalage qui existe entre les profils de développeurs et
d’administrateurs réseaux ne pose-t-il pas de problèmes au niveau de l’enseignement ?
Les étudiants doivent avant tout être des passionnés de sécurité. Après l’obtention du diplôme, 30%
poursuivent leurs études. Sur les 70% restants, 40% trouvent un emploi entièrement dédié à la
sécurité ou dans le développement et la sécurité, les autres travaillent dans l'informatique
« généraliste » mais toujours avec cette couche sécurité en plus qui les différencient des autres . Il est
vrai que les développeurs n’ont pas de connaissances en réseaux et que de leur côté, les
administrateurs réseaux ont plus de mal en développement, mais les cours sont basés sur un
apprentissage en mode projet qui s’étale sur 100 heures. On peut parler d’une véritable osmose dans
le groupe. De plus nous mélangeons les étudiants en contrat de professionnalisation avec ceux qui
suivent une formation initiale. Ce qui fait qu'au final tout le monde y trouve son compte.
N’est-il pas difficile pour les étudiants de décrocher un stage dans le domaine de la sécurité
dans la région de Valenciennes ?
Il est vrai que les stages sont difficiles à trouver si l'on se cantonne à cette région. C’est pourquoi
nous travaillons sur les métiers liés à la sécurité avec des grandes villes comme Toulouse, Paris et
Lille. Les étudiants suivent des stages en entreprises, d’une durée de 12 semaines minimum, qui
comprennent entre 30 à 40% de sécurité mais certains trouvent des stages avec 100 % de sécurité
chez sysdream, advens, sogeti ... les étudiants venant de toute la France, Ils ont tendance à privilégier
des stages proches de leurs lieux d’habitation. Ils décrochent habituellement leur stage eux-mêmes,
mais il nous arrive parfois de les aider.
La licence CDAISI conduit-elle à une certification ?
Grâce à des accords passés avec l’EC-Council, la partenariat Academia, nous préparons nos élèves
à la certification CEH (Certified Ethical Hacker). Nous la faisons passer à prix réduit, soit 170 € HT
contre 3 600 € HT. Nous sommes en pour parler afin de pouvoir aussi pouvoir leur faire passer
quelques certifications cisco.
Comment voyez-vous l’avenir des formations liées à la sécurité ?
La licence CDAISI a été créé il y a cinq ans et on ne m’a, pour l'instant, jamais demandé de former
des enseignants en France. Ce n’est pas le cas dans certains pays d’Afrique, comme la Côte d’Ivoire,
le Congo ou le Maroc qui sont demandeurs de ce type de licences et qui ont une vision d’avenir sur la
sécurité, ils se rendent compte de la nécéssité d'une telle licence chez eux. Actuellement, ces pays
déploient de la fibre partout. Lorsqu’ils conçoivent des architectures réseaux, ils pensent avant tout à
la sécurité. En France, c’est lorsque tout est terminé qu’on se penche sur les aspects sécuritaires.
Biographie
En parallèle Franck a également créé l'association ACISSI (Audit, Conseil, Installation et Sécurisation
des Systèmes Informatiques) et ensuite une manifestation, les RSSIL (Rencontres des Solutions de
Sécurité et d'Informatique Libre), qui ont pour ambition de mettre en relation ces jeunes hackers, les
écoles de formations et les professionnels de la sécurité afin de créer une osmose entre eux.
Franck Ebel est très impliqué dans la formation et la sensibilisation à la sécurité informatique. Son
dernier projet est une compétition de Hacking éthique à travers l'Europe et l'Afrique, le
HackNowledge-Contest Europa Africa qui comporte dejà 9 pays participants pour la premiére année.