Aline Cassar (Orsys) : "La demande est pressante pour connaître les bases de la cybersécurité"

Décideurs. Pourquoi avez-vous créé la Cyber Academy ?

Aline Cassar. Nous avions déjà une offre de formations autour de la sécurité informatique, mais nous voulions apporter une dimension plus forte et un angle plus large sur la cybersécurité, qui devient une préoccupation majeure des entreprises. La cybersécurité regroupe un vaste champ de compétences indispensables à connaître pour assurer aux entreprises une protection réelle : certes, il y a l’ensemble des mesures préventives à instaurer, mais également des méthodes, des lois et des outils essentiels à maîtriser. C’est pour répondre à ce faisceau d’exigences que nous proposons à ce jour 170 formations, pouvant mener à une cinquantaine de certifications.

À quelle demande répondez-vous ?

En 2023, nous avons formé 7 000 personnes, et, au premier trimestre 2024, 2 500 participants avaient déjà suivi nos formations. Avec le recul, nous voyons déjà de fortes demandes apparaître sur certains modules, notamment sur une formation en trois jours pour comprendre les fondamentaux de la cybersécurité et des réseaux Internet.

"La nouvelle génération, née avec Internet, donne aussi l’impression qu’il faut vite se mettre à niveau car les hackers sont plus nombreux"

Dans le best of, nous notons aussi une forte appétence pour la formation "Hacking & Sécurité niveau 1", en cinq jours, qui expose l’ensemble des techniques indispensables pour mesurer le niveau de sécurité de son entreprise. Et compte tenu de la demande, nous avons sorti il y a peu le niveau 2, qui se fait sur trois jours.

Les questions de cybersécurité ne sont pas nouvelles, pourtant l’attrait pour la formation est de plus en plus présent. Comment l’expliquez­-vous ?

Je pense que ce phénomène s’est amplifié avec l’arrivée des Jeux olympiques. La presse relaie aussi de plus en plus les attaques et les dommages qu’elles engendrent, suscitant une émotion particulière, notamment lorsque des hôpitaux en sont la cible et que des vies peuvent alors être mises en danger. La nouvelle génération, née avec Internet, donne aussi l’impression qu’il faut vite se mettre à niveau car les hackers sont plus nombreux. En parallèle, d’autres hackers émergent et se mettent, eux, au service de la cybersécurité. Ces "pentesters" sont aujourd’hui connus du public, si bien que les entreprises veulent en intégrer dans leurs effectifs.

En définitive, les esprits étant alertés sur cette réalité, la demande n’en est que plus pressante pour connaître les bases essentielles de la cybersécurité : assurer la sécurité des réseaux extérieurs, savoir vérifier qu’il n’y a pas de faille dans son système, et qu’aucun cheval de Troie ne peut y être implanté pour récupérer des données et réclamer des rançons.

Quels types d’entreprises viennent à vous ? Pour former quels profils métiers ?

Nous sommes sollicités par des entreprises de tous types et de toutes tailles ainsi que par des ministères publics. Nous les encourageons toujours à sensibiliser l’ensemble des utilisateurs du SI, au moins pour que le b.a.-ba des bonnes pratiques soit acquis par les principales parties prenantes. Ensuite, nous formons les personnes qui travaillent en gestion de crise, des ingénieurs réseaux, des consultants sécurité, des responsables sécurité des SI et des analystes forensiques, qui inspectent le matériel informatique après une attaque.

Dans les entreprises, nous contribuons aussi à créer les compétences pour monter des security operations centers (SOC) qui sont en première ligne quand il y a une détection d’incident, et qui doivent connaître les bonnes pratiques en remédiation afin d’arrêter la propagation d’une intrusion.

Une attaque induit des émotions fortes : quels soft skills constituent des atouts pour des personnes travaillant en cybersécurité ?

Il faut d’abord savoir gérer la crise ! Rester zen, bien communiquer avec les utilisateurs et les autres services, écrire des rapports et savoir quelles données mettre en évidence dans ces rapports. Des personnes calmes, communicantes et sachant prioriser sont de grands atouts. Nous avons des formations pour cela chez ORSYS, ainsi qu’en gestion de crise, mais pas directement au sein de la Cyber Academy, qui se focalise sur les aspects les plus techniques de la cybersécurité, sans négliger tous les aspects de gouvernance.

Qui sont les enseignants de la Cyber Academy ?

Ce sont des experts formateurs qui sont systématiquement certifiés par ORSYS dans leur domaine d’enseignement. Par ailleurs, ils sont tous externes, ce qui garantit leur expérience terrain et la mise à jour constante de leurs connaissances. L’un de nos objectifs pédagogiques est que nos formateurs viennent transmettre les savoirs et les bonnes pratiques qu’ils utilisent en permanence. Ils travaillent tous dans la cybersécurité, et peuvent être pentesters, responsables sécurité, auditeurs en société de services, consultants en cybersécurité.

Pour qu’un formateur soit sélectionné, le service offre d’ORSYS vérifie les qualités de sa formation, du déroulé pédagogique au matériel, et nous surveillons également les sessions. En cyber­sécurité, l’écueil peut être le trop-plein d’informations, donc on apprend aux formateurs à « réduire la voilure » ou nous nous accordons sur un nombre de jours de formation plus long si cela s’avère nécessaire.

Adaptez-vous les formateurs au type de profil des participants ?

Tout à fait, lorsqu’un client nous demande une formation spécifique pour son entreprise. Mais la plupart du temps, nous opérons en formation inter­entreprise et nous choisissons alors, à partir de la liste des participants et de leur société d’appartenance, les formateurs les plus pertinents, notamment sur le plan sectoriel.

"Quand les apprenants reviennent dans leur entreprise après leur formation, ils mettent tout de suite en place des actions préventives "

Quelle pédagogie mettez-vous en œuvre pour assurer une montée en compétence mesurable ?

Nos plans de cours sont montés par des ingénieurs pédagogiques spécialisés dans la cybersécurité, et en partenariat avec nos formateurs externes. Nous avons recours à la pédagogie active pour bien répondre aux attentes des participants et recueillir leurs retours à mesure que la formation a lieu. Nos cours sont composés de 50 % à 70 % de mise en pratique, avec des mises en situation réelles. Nous avons monté des partenariats avec les plus grands : Microsoft, Google, Cisco, AWS, Airbus Cybersecurity… Le tout afin de disposer des meilleurs instruments pour tester la sécurité de tout un système et identifier les types d’attaques auxquels les entreprises peuvent faire face. Quoi qu’il en soit, les solutions sont toutes présentées via des scénarios susceptibles d’advenir. Le but est qu’en fin de formation, la totalité des outils techniques soient connus.

Un autre critère de qualité pédagogique est le nombre de participants : pour un cours pratique en présentiel, il n’y a jamais plus de douze personnes, et pour un cours en distanciel, nous réduisons encore plus le nombre afin d’individualiser les avancées.

Avez-vous des retours de la part des personnes formées ? Quelles conséquences au sein des entreprises ?

Quand les apprenants reviennent dans leur entreprise après leur formation, ils mettent tout de suite en place des actions préventives, mais sans jamais nous dire quelles failles ils ont identifiées : ce serait contraire aux règles élémentaires de cybersécurité ! Les formateurs sont tous notés, et en matière de cybersécurité les retours sont très positifs compte tenu de l’excellence de leurs qualifications. Enfin, nos commerciaux prennent la mesure de la satisfaction des clients quand ceux-ci reviennent nous demander des formations complémentaires – et ils sont de plus en plus nombreux à le faire. 

Entretien avec Aline Cassar, directrice de l'Offre, ORSYS