Nous sommes entrés dans une ère des données sans précédent, qui nous ouvre de nouvelles portes, mais nous expose également à des menaces informatiques chaque jour plus redoutables. Dans ce contexte, la cybersécurité est plus importante que jamais pour les entreprises, mais ces dernières ont parfois du mal à trouver les talents dont elles ont besoin pour faire face à la situation. Pour mieux comprendre le phénomène et la manière dont Splunk peut aider les organismes de formation à relever ces nouveaux défis, nous nous sommes entretenus avec Fabrice Peyrard, Maître de conférences en Réseaux-Informatiques et Cybersécurité (précédemment à l’IUT de Blagnac). Il vient de rejoindre à la rentrée 2021 le Département Réseaux & Télécoms de l’IUT de La Rochelle, doté d’un parcours de Cybersécurité dédié.
Tout d’abord, comment avez-vous connu Splunk ?
J’avais déjà entendu parler des outils Splunk dans un certain nombre de SOC à Toulouse, mais je les ai vraiment découverts lors d’une présentation d’Airbus Cyberdéfense dédiée à la plateforme de simulation CyberRange, à Paris. À cette occasion, ils ont utilisé des scénarii s’appuyant sur plusieurs machines virtuelles, comme le SI, les attaquants et la supervision. Une partie de leur laboratoire d’entraînement s’est ensuite portée sur la supervision NOC et SOC, dont principalement Splunk.
À l’issue de cet événement, j’ai pensé que nos étudiants pourraient bénéficier de tels outils, et mes contacts chez l’intégrateur Nomios à Toulouse, avec qui je travaille, m’ont confirmé les besoins du secteur en la matière.
Aviez-vous déjà envisagé d’autres solutions pratiques ? Si oui, qu’est-ce que Splunk peut apporter de plus selon vous ?
Pour ne rien vous cacher, nous avons travaillé pendant pas mal de temps sur le SIEM Prelude, une solution gratuite et open-source, mais parfois complexe à mettre en œuvre. D’un point de vue ergonomique, elle se révèle également insuffisante pour faire du dashboarding. Nous avons finalement opté pour une licence Splunk afin de mettre en place un Lab-SOC en interne.
J’ai vite réalisé l’intérêt pour nos étudiants de participer à des Travaux Pratiques (TP) de ce type, mais il fallait d’abord que nous, enseignants, acquérions les compétences nécessaires et suffisantes pour animer efficacement ces laboratoires techniques complexes. J’ai donc suivi une formation d’un jour et demi dispensée par la société Nomios afin de pouvoir rapidement me sentir à l’aise pour mettre en place un environnement Splunk dans notre département Réseaux & Télécommunications. Ce fut une initiation accélérée afin de bien cerner le maximum de contours de l’environnement Splunk.
De nombreuses entreprises rencontrent en effet des difficultés pour recruter de tels profils spécialisés en cybersécurité. Pensez-vous qu’il y a un manque de compétences dans ce domaine ?
Oui en effet, on constate un manque de compétences. Le recrutement est difficile lorsqu’on recherche des profils maîtrisant bien le SIEM. Il nous paraît donc pertinent d’utiliser une solution professionnelle et industrielle d’un des acteurs de SIEM les plus fiables du marché dans le cadre de notre Bachelor Universitaire de Technologie (BUT) Cybersécurité en trois ans.
Comment s’organisent vos formations ? Sur quels aspects de la chaîne vous concentrez-vous ?
Nos parcours portent sur l’ensemble de la chaîne. Nous formons des étudiants à Bac+3 à comprendre, configurer et bien manipuler les équipements d’un réseau informatique et télécommunications et à identifier les vulnérabilités potentielles des systèmes d’exploitation ou des équipements de l’infrastructure. Nous sommes donc plutôt dans une approche Blue Team. Nous voulons que nos étudiants soient capables de comprendre et de reproduire des attaques afin de constater leurs impacts sur l’infrastructure réseau et d’en assurer la défense. Ils doivent donc disposer de tous les éléments de collecte d’informations nécessaires, y compris le SIEM, pour être en mesure de détecter ces attaques et de faire remonter les alertes. Nous cherchons ainsi à reproduire, à petite échelle, tous les services de la chaîne d’un système d’information.
De plus en plus d’entreprises font le choix d’élargir les questions de cybersécurité à l’ensemble de leurs équipes, en leur présentant des tableaux de bord simplifiés par exemple. Abordez-vous aussi ce sujet et comment sensibilisez-vous vos étudiants à cette problématique ?
C’est en effet une question essentielle. Nos étudiants sortent tout juste du lycée, et nous organisons des événements de type CTF (Capture The Flag) pour les sensibiliser au plus tôt à ces questions. Nous cherchons donc une maquette facile à mettre en œuvre pour leur montrer des scénarii d’attaques, à travers le dashboarding par exemple. L’idée est de les aider à mieux se représenter les métiers de la cybersécurité et ce que l’on peut faire avec un Bac+3 dans ce domaine. Certains d’entre eux pourront également poursuivre leurs études en Écoles d’Ingénieurs ou en Masters spécialisés en Cybersécurité.
En parlant des métiers, ont-ils évolué ces dernières années pour s’adapter aux nouveaux outils et aux nouvelles attaques ?
Nous avons beaucoup travaillé, et même encore, avec l’ANSSI sur ce sujet. Nos formations sont donc étroitement liées à leur panorama des métiers de la cybersécurité. Notre Bac+3 spécialisé dans ce domaine est déjà labellisé ANSSI SecNumedu, et nous sommes en train de faire les démarches pour que notre Bachelor (BUT) sur trois ans dispose du même label auprès des 29 départements IUT Réseaux et Télécoms sur le territoire national.
En revanche, nos métiers ne sont pas spécifiquement tournés vers la data. En tant que spécialistes des Réseaux & Télécommunications, nous sommes toutefois conscients des volumes en jeu et de la nécessité de trouver des moyens efficaces pour stocker et traiter toutes ces données qui émanent de l’ensemble des sources du Système d’Information (SI).
Pour en revenir à l’intervention de Splunk dans cette formation, pourriez-vous décrire plus en détail comment votre collaboration a démarré et où elle en est aujourd’hui ?
Yoan Semin a animé une présentation pour nos étudiants, et cela leur a permis de comprendre de manière concrète ce qu’était Splunk et ce qu’ils pouvaient faire avec de tels outils. La visioconférence a été très appréciée, mais le format à distance a peut-être freiné les échanges. Certains étudiants ont posé des questions techniques et ont pu obtenir une réponse, mais il y aurait certainement eu davantage d’interaction avec une approche plus directe en présentiel.
Avec Yoan, nous avons donc envisagé de réaliser un TP démonstration de mise en œuvre d’un lab-SIEM pour leur permettre de tester la solution en conditions réelles. Nous étions déjà au mois de juin, et les étudiants avaient terminé leur formation. Nous allons donc mettre en place un module de formation SIEM-Splunk d’une dizaine d’heures d’enseignement théorique et pratique, et autant en mode projet dans notre maquette pédagogique pour l’année 2021–2022.
Pour des classes de combien de personnes ?
Nos licences professionnelles en alternance regroupent entre 12 et 24 étudiants, et il existe une douzaine de cursus de ce type en cybersécurité sur le territoire national à l’heure actuelle. À la rentrée 2022, le parcours BUT Cybersécurité sera porté par 28 Départements IUT Réseaux & Télécommunications à travers le pays.
« Que nos élèves souhaitent intégrer le marché du travail lorsqu’ils auront terminé leur Bac+3 ou poursuivre leurs études dans une école d’ingénieurs, connaître les outils Splunk sera certainement un atout. »
Pourquoi choisir d’intégrer Splunk dans votre formation ? Pensez-vous que cela permettra à vos étudiants d’être plus rapidement opérationnels en entreprise et de mieux faire valoir leurs compétences ?
Tout à fait. L’idée est de commencer par les former sur un premier niveau de prise en main pratique. Ils doivent d’abord connaître les rudiments d’utilisation de la plateforme, pour être capables de faire du dashboarding, mais aussi d’expliquer l’outil et de le faire fonctionner en entreprise. Ensuite, il serait intéressant de les amener à construire tout un environnement Splunk, mais nous devons d’abord mettre en place le premier palier et estimer le nombre d’heures nécessaires pour leur permettre d’arriver à ce niveau de compétences.
Une fois leur diplôme obtenu et au vu des CV dans le monde de la cybersécurité aujourd’hui, je pense sincèrement que cette certification Splunk serait un plus pour nos étudiants. C’est un avis que partagent de nombreux collègues. Que nos élèves souhaitent intégrer le marché du travail lorsqu’ils auront terminé leur Bac+3 ou poursuivre leurs études dans une école d’ingénieurs, connaître les outils Splunk sera certainement un atout. Il faut savoir que ces formations se font souvent en alternance, et les recruteurs apprécient généralement que leurs stagiaires disposent de connaissances concrètes sur des solutions pratiques.
« À mon sens, (...), il y a peu d’acteurs de SIEM susceptibles de proposer des solutions actuellement fiables et évolutives qui intéressent les recruteurs dans les cinq ans à venir, et Splunk est l’un d’entre eux. »
Donc d’après vous, savoir utiliser Splunk permettra à vos étudiants de mieux se démarquer. Le marché est-il très compétitif dans le domaine de la cybersécurité ?
Oui, la concurrence est rude. Nous avons une solution « maison » de CTF (HackLab) qui est un peu complexe à maintenir à un niveau national. Nous avons donc une réflexion nationale pour nous rapprocher d’une solution de CTF centralisée et reconnue comme par exemple la plateforme Root-Me PRO. J’ai appris que cette solution émane en partie de la société française Elysium Security qui a développé un SIEM baptisé Nemesis. Ils ont comparé leur outil à celui de Splunk — désigné pendant huit années comme « leader » du Magic Quadrant pour les solutions SIEM — davantage axé selon eux sur la data. C’est leur discours, mais nous, en tant qu’établissement d’enseignement supérieur public, nous tenons à former nos étudiants sur des solutions matérielles et logicielles professionnelles solides et pérennes.
Il y a plus d’une vingtaine d’années, nous avons misé sur Cisco, et Cisco est toujours là en tant qu’équipementier, support pédagogique Netacad Academy, et mettant à disposition les certifications CCNA. Nos étudiants qui ont appris avec nous à maîtriser ces technologies sauront utiliser n’importe quel autre commutateur, routeur ou point d’accès WiFi. Au vu de la complexité et des enjeux de Cybersécurité, notre politique de formation est différente concernant les pare-feux. Nous avons également misé sur Stormshield en raison de la certification ANSSI du matériel, de ses supports pédagogiques Stormshield Academy et de la certification professionnelle CSNA. Nous ne nous sommes pas trompés, même face à des géants comme Palo Alto dont quelques département R&T dont celui de Blagnac sont membre du programme de Palo Alto Education.
Aujourd’hui, j’ai besoin de travailler avec des solutions de supervision adaptées au monde de demain, qui couvrent l’IT, l’OT et l’Internet des objets connectés (IoT). À mon sens, dans le plan France Relance Cybersécurité, il y a peu d’acteurs de SIEM susceptibles de proposer des solutions actuellement fiables et évolutives qui intéressent les recruteurs dans les cinq ans à venir, et Splunk est l’un d’entre eux. Les entreprises sont à la recherche de ces profils, et en tant qu’établissement de formation, nous devons nous poser la question des produits les plus accessibles et les plus pertinents à intégrer à notre cursus pédagogique sur le moyen terme.
Vous intégrez donc des certifications à votre parcours. Quelles sont les prochaines étapes de votre démarche ?
Chez nous, les certifications ne sont absolument pas obligatoires, mais nous faisons effectivement tout pour inciter les étudiants à les passer, car il s’agit d’une véritable valeur ajoutée pour eux et pour les acteurs industriels partenaires.
En ce qui concerne la suite du programme, j’aimerais mettre en place un Splunk for Rookies à destination d’un groupe d’enseignants. En tant que coordinateur national du programme BUT R&T Cybersécurité, mon rôle est de maintenir un équilibre entre les fondamentaux des Réseaux, SI, et les techniques émergentes de supervision et d’analyse des cyber-attaques dont Splunk semble être une solution pertinente. Il faut donc sensibiliser et former les équipes pédagogiques à ces outils. Nous comptons sur Splunk pour nous proposer une formation aux enseignants et nous fournir les supports pédagogiques nécessaires pour former nos élèves, qui travailleront également en mode projet grâce à des plateformes de MOOC par exemple. L’idée serait également de délivrer un certificat de passage de formation ou de niveau de compétences acquises sur Splunk pour qu’ils sortent du cursus avec quelque chose de concret entre les mains. C’est en tout cas notre vision pour l’année à venir. Nous nous concentrerons davantage sur la mise en place pratique à partir de la rentrée, une fois que nous aurons soufflé un peu et terminé l’écriture du programme national.
***
Vous souhaitez en savoir plus ? N’hésitez pas à consulter notre article qui fait le point sur les formations Splunk et notre page sur le recrutement universitaire.
