Cyber Security Challenge: victoire de l’ULB/EPHEC et satisfecit sur les compétences des participants

Article
Par · 18/03/2016

Deuxième édition du Cyber Security Challenge, ce 17 mars. Ce concours, organisé par la start-up bruxelloise Nviso (gouvernance, cyber-résilience et cyber-sécurité) et dédié à la sécurité informatique, est destiné aux étudiants d’avant-dernière et de dernière année en informatique des hautes écoles et universités belges.

Dix équipes se disputaient le trophée. Parmi elles, 7 néerlandophones, 2 francophones (ULB et Haute Ecole Leonard de Vinci) et une mixte. C’est l’équipe de l’ULB et de la Haute Ecole Economique et Technique (EPHEC) qui l’a emporté et de manière très nette puisqu’elle a engrangé pas moins de 1.200 points, contre 900 à la deuxième (composée d’étudiants venant de UC Leuven-Limburg, de la Hogeschool Thomas More Kempen et de la Katholieke Hogeschool Leuven).

L’équipe de la HE Leonard de Vinci se classe 9ème, avec un score de 570 points. L’équipe mixte (francophones/néerlandophones des HE Leonard de Vinci et West-Vlaanderen) se classe 8ème, avec 600 points.

“Performances assez homogènes”

Si la première équipe a donc distancé assez fortement les autres, les organisateurs n’ont pas relevé de grosse disparité ou déséquilibre en termes de “performances”, de connaissances et d’aptitudes affichées par les 10 équipes dans les différentes catégories thématiques auxquelles elles ont dû se frotter. Voir encadré ci-dessous pour la liste des thèmes de problèmes qui étaient scénarisés.

 

Pas moins de 20 défis (dont 4 proposés par les sponsors de l’événement) devaient être relevés par les équipes. Les problèmes posés concernaient sept domaines thématiques:

  • cryptographie
  • sécurité Web
  • sécurité mobile
  • sécurité réseau
  • rétro-ingénierie
  • digital forensics (notamment la stéganographie)
  • open source intelligence (en ce compris l’ingénierie sociale).

“On peut plutôt parler de performances assez complètes et homogènes sur les 7 thèmes proposés”, estime Vincent Defrenne, consultant en cyber-stratégie chez Nviso.

“Evidemment, les étudiants ne maîtrisaient pas forcément chaque domaine mais les performances qu’ils ont affichées indiquent qu’ils peuvent s’appuyer sur des connaissances et des fondamentaux qui leurs permettent de construire des réflexions et des solutions lorsqu’ils sont confrontés à quelque chose qu’ils ne connaissent pas. Et c’est à la fois encourageant et une bonne chose dans la mesure où les menaces, en matière de sécurité informatique et de cyber-sécurité, évoluent très rapidement.

Il est surtout essentiel, au-delà de connaissances pures, de disposer d’aptitudes pour construire et évoluer. A cet égard, si on tient compte des résultats obtenus, on peut conclure que l’enseignement qui est prodigué dans les différentes universités et Hautes Ecoles participantes procure aux étudiants les bases nécessaires pour réussir face aux situations de la vie réelle…”

Théorie, pratique et réalité

La première équipe a résolu 86% des défis. La deuxième équipe, elle, n’en a résolu que 53%, arrivant souvent “trop court” en termes de temps (le chrono était impitoyable).

Les points à remporter à chaque challenge variait évidemment, ce qui explique que l’écart final n’ait pas été plus important.

Autre différence entre les deux premières équipes: les lauréats se sont montrés plus forts sur des défis techniques, tandis que la deuxième s’est révélée plus performante sur des challenges non techniques (mises en situation, jeux de rôle…).

Vincent Defrenne (Nviso): “Dans l’ensemble, les étudiants ont réussi à aborder l’ensemble des sujets, malgré la variété des domaines à gérer. Ceci indique sans doute qu’ils sont plutôt bien formés et capables de faire face à des problèmes nouveaux avec une relative aisance. Une bonne nouvelle quand on sait la vitesse à laquelle les cyber-menaces évoluent…”

Vincent Defrenne donne deux exemples pour illustrer et mieux faire comprendre la différence entre ces deux types de challenges.

L’équipe victorieuse (ULB/EPHEC)

“Côté challenge technique, les étudiants devaient par exemple prendre la place d’un développeur dont l’application Web était attaquée, trouver les failles dans le code du site et le corriger. Nous utilisions pour cela la plate-forme Secure Code Warrior, qui propose un feedback immédiat.

Il y avait également des défis moins techniques. Ainsi, un jeu de rôles était organisé, où les étudiants endossaient le rôle d’un security officer et faisaient face à une attaque de grande ampleur (DDoS, maliciel, fuite de capitaux…). Ils devaient, en peu de temps (quelques minutes de briefing et 10 minutes de mise en situation), prendre les bonnes décisions afin d’en limiter l’impact, réagir à de nouvelles informations, assurer une communication cohérente tant en interne que vers les clients et, bien entendu, faire tout cela sous pression…

L’exercice se terminait par une interview de 2 minutes avec le CEO, auquel le security officer devait expliquer la situation et les mesures prises. Tout cela, dans une langue compréhensible pour un non-initié. Pas facile quand on est sous pression et qu’on sort d’un épisode hyper-technique!”

Faire émerger talents et vocations pour lutter contre un fléau grandissant

Pour démontrer l’ampleur des besoins en compétences cyber-sécurité, les organisateurs du concours avaient compilé quelques chiffres et statistiques:

  • nombre d’incidents déclarés en 2015: en moyenne, 1.092 incidents par mois, soit 30% de plus par rapport à 2014 et… 9 fois plus qu’en 2010 (source: CERT.be)
  • estimation du coût de la cyber-criminalité pour l’économie belge: 3.5 milliards d’euros, “soit plus de 1% du PNB” (source: Cyber Security Coalition)
  • 35% des entreprises interrogées dans le cadre d’une étude internationale de l’ISACA disent ne pas parvenir à pourvoir l’ensemble des postes ouverts en sécurité.