Le secteur de la cybersécurité est confronté à une véritable crise de recrutement. Pour y faire face, les instituts de formation et les Directions informatiques redoublent d’efforts de manière à proposer des enseignements pratiques innovants capables de mieux préparer les étudiants à leurs futures responsabilités en entreprise.
Marine Minier, professeure du département Informatique à l’université de Lorraine ainsi que deux collaborateurs de la DSI de La Banque Postale — Jean-Marc Misert, manager des équipes Cyberdéfense (prévention, SOC, data, gouvernance) et Éric Richard, architecte Sécurité Cyberdéfense — nous expliquent comment cette dynamique s’est renforcée au sein de la faculté des Sciences et des Technologies de Nancy, notamment grâce à l’intégration des solutions Splunk dans un de ses cursus.
Pour commencer, Marine, pouvez-vous nous en dire plus sur la manière dont votre collaboration avec la DSI de la Banque Postale a démarré ?
Les collaborateurs des équipes sécurité de la DSI de La Banque Postale interviennent dans le master 2 de Sécurité Informatique, Réseaux et Architectures Virtuelles (SIRAV) proposé par l’université de Lorraine, rattachée à la faculté des sciences de Nancy. Depuis une dizaine d’années, il permet de former, chaque année, une vingtaine d’étudiants à la cybersécurité, dont dix préparant un double diplôme en ingénierie dans des établissements comme l’École des Mines, l’ENSEM ou Polytechnique.
Toutefois, ce partenariat n’a pas commencé à Nancy, mais sur le site de Metz, avec lequel nous avons mis en place un parcours commun. Jean-Marc Misert intervenait déjà sur le master 2 SSI (Sécurité des Systèmes d’Information) depuis un certain temps lorsqu’il a demandé à intégrer notre cursus SIRAV, notamment pour y développer les questions de gouvernance de la sécurité. Il est vrai que, en tant qu’enseignants-chercheurs, nous sommes sans doute moins au fait des attentes concrètes des organisations que les professionnels du secteur.
C’est justement l’intérêt d’une telle collaboration. Notre formation est d’un très bon niveau, mais nous avons également besoin de travailler avec des personnes nous permettant de faire le lien avec le monde de l’entreprise. Il est donc très courant que les M2 s’appuient en partie sur des intervenants externes pour spécialiser les étudiants.
Et de votre côté, Jean-Marc, quel est l’intérêt pour la DSI de la Banque Postale d’être intégrée dans un cursus universitaire ?
Dans le cas de l’université de Lorraine, notre démarche est avant tout géographique, car nos équipes de cyberdéfense sont majoritairement situées à Nancy, mais elle est aussi motivée par les difficultés de recrutement dans le domaine de la cybersécurité. On constate en effet que de nombreux professionnels approchent de l’âge de la retraite, et il est donc essentiel que nous parvenions à renouveler nos effectifs.
Il faut aussi prendre en compte que la cybersécurité est de moins en moins confiée à des prestataires, ce qui implique de recruter en interne. Les liens directs que nous construisons avec des cursus universitaires ou d’ingénieurs nous permettent ainsi de repérer des talents, de leur proposer des stages, des contrats en alternance, et éventuellement de les intégrer à l’équipe à la fin de leur formation, d’autant plus qu’ils connaissent déjà nos outils.
“Environ un quart des effectifs de chaque promotion se dirige vers des fonctions d’analyste SOC”,
- Marine Minier, Université de Lorraine
D’un point de vue plus technique, Marine, pourquoi intégrer des solutions propriétaires dans un cursus universitaire, et plus particulièrement, pourquoi avoir choisi Splunk ?
Cela faisait longtemps que j’envisageais d’intégrer une solution de gestion des événements et des informations de sécurité (SIEM) au cursus SIRAV, car c’est une technologie à laquelle bon nombre de nos étudiants sont confrontés pendant leur stage. Environ un quart des effectifs de chaque promotion se dirige en effet vers des fonctions d’analyste SOC ou d’autres postes similaires, et il nous semblait intéressant de les préparer aux instruments qu’ils auront à utiliser en entreprise.
Il fallait choisir une solution, et l’offre de la DSI de La Banque Postale est arrivée à pic. Les membres de l’équipe nous ont proposé de présenter leur outil, et Splunk a accepté. Les choses se sont donc mises en place très naturellement.
Pour entrer un peu plus dans le détail, Jean-Marc, pourquoi avoir choisi d’intégrer Splunk dans un module de 16 heures ?
La solution s’est imposée d’elle-même, car La Banque Postale s’appuyait déjà sur Splunk pour la partie core de son activité. Lorsque notre roadmap nous a menés à intégrer des technologies de type SIEM, SOAR ou autres, par souci de cohérence, nous nous sommes naturellement tournés vers Splunk.
Nous avons aussi dû prendre en compte que le partenaire interne du groupe La Poste pour la détection des événements de sécurité, le SLCC (service de lutte contre la cybercriminalité), utilisait Enterprise Security et que nous allions devoir faire interagir nos futurs SIEM, moteurs de recherches fédérées et autres outils avec leur système. Le choix de Splunk a donc été relativement évident.
Éric, pouvez-vous nous expliquer comment s’est construit ce module et comment les équipes Splunk vous ont aidé ?
Le socle de base, qui vise à doter nos étudiants d’un premier « kit de survie » sur ces technologies, nous a effectivement été fourni par Splunk. Au départ, il était composé de quatre séances d’introduction sur les grands principes de la gouvernance, la présentation des fondamentaux Splunk en vidéo et la découverte pratique des outils de sécurité dans le cadre d’un TP. Mais la DSI de La Banque Postale l’a ensuite adapté afin qu’il soit plus cohérent avec l’ensemble du parcours.
Avec Fabien Michaut, ingénieur en cybersécurité à la DSI de La Banque Postale, nous avons co-animé le dernier atelier de quatre heures intitulé « Splunk for Rookies », édition pour la sécurité. Pour nous aider, nous avons reçu un jeu de données issu de BOSS of the SOC (disponible sur Github) accompagné d’un PowerPoint. Une fois l’instance Splunk en place, nous avons analysé les informations, reconstruit l’histoire de l’attaque, identifié les bonnes requêtes et élaboré un support plus détaillé afin de guider nos élèves. Cet exercice a aussi été enrichissant pour nous, il m’a notamment permis de travailler sur des problématiques du quotidien aux côtés de Fabien, avec qui j’ai rarement l’occasion de collaborer.
L’animation s’est ensuite déroulée sous forme de jeu. Splunk a mis une instance à disposition de chaque étudiant, le but étant de leur faire découvrir les aspects pratiques du métier en les menant à reconstruire la chronologie des événements. Au-delà de l’outil, nous nous sommes aussi attachés à des questions méthodologiques, comme l’importance de la prise de notes pour structurer sa démarche et ne pas se noyer dans la masse d’informations. Et pour l’évaluation, nous leur avons simplement demandé de rédiger un rapport d’investigation.
Vous avez eu des retours des élèves concernant ce module de 16 heures ?
Marine : Ils ont semblé très contents de ce module sur Splunk. Certains étudiants ont même sollicité des contacts au sein de la DSI de La Banque Postale, et environ un quart des effectifs vont utiliser ce genre d’outils SIEM dans le cadre de leur stage.
Éric : Ils se sont pris au jeu tout au long de la séance, ce qui est déjà un bon point. Les 15-20 dernières minutes de l’atelier ont été consacrées à un retour d’expérience du module ainsi que des parallèles avec le quotidien de leur future activité professionnelle.
Après cette expérience, quelles sont les prochaines étapes de votre collaboration avec Splunk et, plus généralement, avec d’autres professionnels extérieurs ?
Marine : Déjà, pour ce qui est de la faculté, si tout le monde est partant, on pourrait recommencer l’année prochaine avec la même formule ! Mais à terme, nous pourrions aussi envisager de développer les enseignements Splunk au sein du module d’intégration, qui représente 32 heures au total, dont 16 dédiées à Splunk, l’autre moitié étant consacrée à un projet en lien avec le stage de chaque étudiant. C’est donc une partie très flexible du programme.
Jean-Marc : Du côté de La DSI de La Banque Postale, nous comptons non seulement réitérer l’expérience, qui nous permet de découvrir des talents d’horizons variés, mais aussi l’étendre à d’autres cursus et même à nos collaborateurs en interne. Rien que dans le groupe de cyberdéfense, composé d’environ 60 personnes, une quinzaine pourraient être intéressées par une montée en compétence sur Splunk, et cette sensibilisation serait bien évidemment bénéfique pour nous. Elle pourrait notamment aider des équipes qui ne sont pas confrontées à Splunk au quotidien, comme celles s’occupant de la lutte antivirale, à identifier de nouvelles corrélations.
Eric : Pour favoriser cette acculturation, nous nous appuyons généralement sur des sessions de type CTF (Capture the Flag) semi-guidées articulées autour de différentes thématiques (fraude, recherche avancée, etc.), mais nous avons également mis en place d’autres initiatives. J’encadre notamment un étudiant de l'école des Mines de Nancy pour un projet de mise en œuvre d'un laboratoire de cybersécurité embarquant les technologies SOAR de Splunk. Il s’agit d’une démarche concrète, orientée vers les besoins de l’entreprise. L’objectif est ici de déployer une infrastructure complète permettant d’automatiser entièrement les processus de détection, d’analyse et de blocage d’une attaque grâce à Splunk SOAR. Cet étudiant va d’ailleurs bientôt nous rejoindre pour un stage à la DSI de La Banque Postale.
“Du côté de la DSI Banque Postale, nous sommes ravis de participer à cette expérience que nous qualifions de « gagnant-gagnant-gagnant »”,
- Jean-Marc Misert, DSI de La Banque Postale
Le petit mot de la fin ?
Marine : D’un point de vue pédagogique, il me paraît intéressant de parler d’une autre initiative que nous avons mise en place cette année. Pour la première fois, nos étudiants ont participé à un exercice de cyberdéfense géant organisé par la caserne du Sergent-Blandan de Nancy et l’université de Lorraine : CYBER HUMANUM EST. Et à l’avenir, il me semble que Splunk pourrait tout à fait s’intégrer dans une activité de ce type.
Jean-Marc : Du côté de la DSI de La Banque Postale, nous sommes ravis de participer à cette expérience que nous qualifions de « gagnant-gagnant-gagnant » et qui illustre parfaitement la manière dont une collaboration peut profiter à tous, sans nécessairement être basée sur des rapports marchands. Nous envisageons même d’en faire la promotion sur notre « mur d’idées », qui s’inscrit dans une démarche interne d’innovation.
***
Les responsables de la DSI de La Banque Postale sont sans cesse à la recherche de nouveaux talents. Que ce soit pour un stage, un contrat en alternance ou un CDI, n’hésitez donc pas à les contacter si vous souhaitez intégrer leurs équipes de cyberdéfense et à suivre leurs offres sur LinkedIn.
Et pour en savoir plus sur l’implication de Splunk dans les programmes de formation en cybersécurité, nous vous conseillons de lire notre entretien avec Fabrice Peyrard, Maître de conférences en Réseaux-Informatiques et Cybersécurité à l’IUT de La Rochelle.
Un grand merci au Splunker Sidney Ridard pour son implication sur ce projet.
