FRUIT – Formation et Recherche aux bons réflexes dans les Usages de la cybersécurITé

Le programme FRUIT porté par l’ENSAR se construit sur plusieurs axes et est lauréat de l’appel à projets « Deffinum ! » sur son volet formation continue par la simulation immersive. Cet appel à projets s’inscrit dans le Plan de transformation et de digitalisation de la formation intégré au Plan France relance. Piloté par le Haut-commissariat aux Compétences, il permet de soutenir des projets pédagogiques innovants et d’accélérer la transformation de la formation.

Contacts Directeur de l’ENSAR : BASCANS Jean-Marc – 05 49 28 55 35 Pilotage scientifique : PARENTHOEN Marc – 05 49 17 82 54 Pilotage opérationnel : MOUSSEAU Alain – 05 49 28 75 50

Contacter BASCANS Jean-Marc

Contacter PARENTHOEN Marc

Contacter MOUSSEAU Alain

La formation Ingénieur ENSAR spécialité Gestion des risques (option Sécurité des Systèmes d’Information) labellisé SecNumedu[1] vise à former des gestionnaires du risque et sécurité des systèmes d’information, notamment en cybersécurité organisationnelle.

Des modules de formation sont aussi réalisés à l’IUT 86 (BUT Science de la Donnée à Niort et BUT Réseaux et Télécommunications à Châtellerault) et à l’UFR SFA en Licence Math-Info et Master Info.

[1] SecNumedu, label de formations initiales en cybersécurité de l’enseignement supérieur. L’objectif de cette labellisation est d’apporter une assurance aux étudiants et employeurs qu’une formation dans le domaine de la sécurité du numérique répond à une charte et des critères définis par l’ANSSI en collaboration avec les acteurs et professionnels du domaine.

Les Cyber Range sont des environnements immersifs de formation aux crises d’origine cyber. Ils peuvent simuler des copies de systèmes d’information complexes et fonctionnent en vase clos. Ainsi, ce sont des plateformes de simulation dans lesquelles des apprenants (ou des équipes opérationnelles) peuvent se former (ou s’entraîner) et améliorer leur capacité de réaction en cas de crise cyber.

Le Cyber Range FRUIT offre un environnement virtuel de formation, et de recherche appliquée, aux bonnes pratiques de sécurité numérique en général pour prévenir les risques, et en cas de crise d’origine cyber aux bons réflexes au sein d’une cellule de crise et à l’élaboration de plans de crise efficients. Il s’adresse tout autant à des cyberspécialistes qu’à des novices en sécurité informationnelle et numérique.

Pour assurer l’opérationnalité de ce dispositif, nous bénéficions du programme DEM’UP de l’université de Poitiers. L’ambition de ce projet consiste à accroître la réussite des étudiants grâce à différents démonstrateurs intégrant des pratiques pédagogiques innovantes telles que la réalité virtuelle/ réalité augmentée, la simulation numérique, le jeu sérieux, etc. De plus, il s’agit de concevoir ces démonstrateurs à travers le support au formateur, la création de la solution technique et le déploiement des espaces adaptés ».

L’appel à projets DEFFINUM a été lancé dans le cadre du « Plan de transformation et de digitalisation de la formation » de France 2030 piloté par le ministère du Travail, du Plein emploi et de l’Insertion et opéré par la Banque des Territoires. Doté d’un budget de 300 millions d’euros, le Plan de transformation et de digitalisation de la formation répond à deux objectifs : (i) Franchir un cap dans la transformation de la pédagogie et des parcours de formation en basculant vers un modèle plus hybride, associant les modalités pédagogiques et les lieux de formation les plus adaptés aux besoins des apprenants (en présentiel ou à distance, en centre de formation…), (ii) Soutenir la capacité d’innovation des acteurs de la formation. Lancé en juin 2021, l’appel à projets DEFFINUM, piloté conjointement par le ministère du Travail, du Plein Emploi et de l’Insertion (MTPEI) et le Secrétariat général pour l’investissement (SGPI), s’inscrit dans ce plan de transformation et permet de soutenir des projets innovants de digitalisation et d’hybridation de la formation émanant de consortiums ou groupements d’acteurs (réseaux d’organismes de formation, branches ou filières professionnelles…) grâce à un budget de 100 millions d’euros. En novembre 2022, les lauréats soutenus dans le cadre de DEFFINUM ont été rendus publics.

Enjeu et objectifs du projet RéSISTeCC

L’enjeu de ce projet RéSISTeCC est la cyber résilience des territoires par une offre de formation continue en pédagogie immersive pour l’apprentissage de la gestion des risques cyber à destination des informaticiens et des non informaticiens, adaptée aux besoins des territoires, notamment aux petites entités socio-économiques.

Le projet RéSISTeCC a comme objectifs pédagogiques de préparer les organisations à mettre en œuvre une réponse rapide et efficace lorsqu’une cyber attaque surviendra, et de les engager à construire des plans de continuité d’activité efficients qui auront été testés avec tous les maillons de la chaîne : pilotage stratégique, activation de procédures en mode dégradé, réponse informatique à l’incident et criminalistique numérique, gestion de l’impact médiatique.

A l’issue du projet (3ans), une offre de formation continue à la gestion des crises cyber sera disponible à l’ENSAR sur le Campus de Niort de l’université de Poitiers, où est déjà située la plateforme Cyber Range. La plateforme de simulation unique, immersive et interactive proposée par RéSISTeCC se déclinera sous la forme de modules de gestion de crise d’une demie journée à une semaine, et jusqu’à un DU de deux ou trois mois pour la formation la plus complète. Cet ensemble de modules devra répondre à la demande, déjà formulée, des acteurs socio-économiques des territoires par la médiation du Centre de Ressources Cyber Nord Nouvelle-Aquitaine situé à Niort.

Consortium du projet

Le projet est porté par 3 structures parfaitement complémentaires :

• L’Université de Poitiers, qui apporte son expertise en pédagogie immersive numérique, les compétences de ses laboratoires en psychologie, informatique et gestion des risques. Elle est fortement impliquée pour les risques cyber dans le réseau socio-économique de son bassin géographique.
• Crisalyde, qui apporte son expertise dans les exercices de crise de niveau organisationnel, ses outils de simulations des aspects médiatiques, et sa connaissance des petites et moyennes structures.
• Diateam, référence dans le domaine des « cyber range » et de la formation technique à la résolution des crises cyber.

Résultats, impacts attendus et évaluations de la réussite du projet

À l’issue du projet, une offre de formation continue à la gestion des crises cyber sera disponible à l’université de Poitiers, opérée avec son service UP&Pro par sa composante ENSAR sur Niort, où est situé le Cyber Range.

En termes d’évaluation de la réussite de RéSISTeCC, l’offre de formation continue contiendrait :

• 3 modules simples associés à une demi-journée de formation à destination respective de 3 petites entités types des territoires avec 2 niveaux de maturité cyber (débutant, pratique), par exemple : commune modeste, TPE, agriculteur.
• 3 modules d’une journée à destination d’entités de taille moyenne avec 3 niveaux de maturité (débutant, pratique, maîtrise), à destination par exemple d’une agglomération, d’un département, d’un SDIS, d’un CHR, d’une PME ou d’une ETI.
• 1 module de deux journées avec des scénarios faisant intervenir plusieurs types d’entités de tailles variées et de niveaux de maturité différents, par exemple : Orsec, cyberattaque sectorielle d’un écosystème (santé, spiritueux, assurance…), cyberattaque d’un bassin d’emploi (type agricole, type industriel ou type tertiaire).
• 2 formations continues de 2 jours (Entités socio-économiques très modestes) à une semaine (Crises complexes) sur la gestion des crises cyber sont construites autour de ces modules qui en constituent les briques pratiques.
• 1 DU en gestion des crises cyber d’une centaine d’heure avec élaboration et pratique d’exercices de crise cyber, intriquant les points de vue stratégique et technique.

Chaque élément de ces formations est coconstruit avec le système socio-économique, cible de ces formations, dans une démarche agile en interaction avec le centre de ressources cyber et le cyber campus régional. La méthode agile d’élaboration de ces formations sera diffusée nationalement par le réseau des cyber campus et à l’international par le biais de l’ENISA pour l’Union Européenne.

Janvier 2024, état d’avancement du projet après 12 mois

• Premier exercice de crise ciblée sur des signaux faibles (pas de blocage du système d’information) au bénéfice de la Mairie d’Angoulins (Charente-Maritime) début février 2024. La cible de cette formation courte est les petites collectivités territoriales avec une faible maturité cybersécurité. L’objectif est de fournir à une collectivité territoriale (aux agents ciblés de celle-ci) une boite à outils (recommandations, procédures et plan d’actions) personnalisée. Le module de formation, sur une journée, comporte une partie formation sur la gestion de crise, une partie simulation d’une crise d’origine cyber dans un environnement proche du système d’information d’une petite collectivité (utilisation du Cyber Range FRUIT) et d’un retour d’expérience (Retex). Lors de la simulation de crise, l’observation porte sur la réaction des agents et leur appropriation des outils de gestion de crise d’origine cyber interne, la communication en interne et entre les agents de la collectivité. Le Retex final permet de personnaliser la « boite à outils » en fournissant, suite à cette expérience simulée, des recommandations, des procédures et un plan d’actions clairs et applicables sous stress en cas de réel crise d’origine cyber.
• En cours de finalisation (réalisation des actions en 2024), une réponse adaptée d’exercices équivalents à la formation de février 2024) pour des mairies des Deux-Sèvres avec, toujours, une faible maturité cybersécurité.
• En interaction avec l’ARS Nouvelle-Aquitaine et l’ESEA (e-santé en action Nouvelle-Aquitaine), GRADeS (Groupement Régional d’Appui au Développement de la e-Santé) de la Région Nouvelle-Aquitaine, nous sommes en phase de spécification d’exercices de crise d’une durée de 24h à destination des établissements de santé (objectif : premier exercice opérationnel au printemps 2024). Le scénario d’attaque est un rebond sur un prestataire permettant une intrusion paralysante dans le système d’information (SI) de l’établissement de santé. Il sera question d’examiner les réactions en termes de relations avec les prestataires, de gestion des flux et de reprise d’activité.
• Développement d’une offre d’exercices immersifs à destination d’entités de complexité moyenne avec des maturités cyber différentes (débutant, pratique, maîtrise) du type petites agglomérations et SDIS notamment. Ce développement bénéficie des retours d’expériences des actions précédentes avec les collectivités et l’ARS.
• Spécifiquement pour la formation continue professionnelle des informaticiens au développement sécurisé, nous avons élaboré un ensemble d’exercices à destination des développeurs pour apprendre en situation immersive comment éviter d’introduire les vulnérabilités les plus classiques dans le développement d’applications. Par exemple, comment développer un site web sans permettre d’attaque XSFR (Cross-site request forgery) s’appuyant sur une mauvaise gestion des autorisations, malheureusement très classique.

Le projet de Chaire a pour vocation de fédérer des chercheurs de différentes disciplines et des acteurs du monde socio-économique (associations, collectivités, entreprises…) autour de la thématique de la résilience et des bons réflexes dans les usages de la cybersécurité. Son objectif est l’amélioration de la résilience des entreprises, des administrations et des collectivités face aux risques numériques. La cyber-résilience fait référence à la capacité d’une entité à fournir en permanence le résultat escompté, malgré les cyber-attaques.

Volet Formation

Pour le volet Formation, la première utilisation du Cyber Range FRUIT a eu lieu en février 2022 dans le cadre du programme pédagogique du Master MRSI de l’IRIAF. Nous sommes aussi en possibilité d’assurer notre mission de formation tout au long de la vie (formation initiale et continue) auprès des salariés et agents. Comme nous sommes en capacité de travailler sur des scénarios d’entrainement spécifiques pour répondre à un besoin du tissu économique local.

Nous développons notamment une offre de formation continue sur la gestion des crises cyber, s’appuyant sur des entraînements sur la plateforme Cyber Range FRUIT des équipes techniques de cybersécurité et des cellules de crise. L’évolution très dynamique des modes d’attaque dans le cyber espace sera associée à une capacité d’adaptation de l’offre de formation qui présentera une dynamique tout aussi rapide en prenant en compte les RETEX du système socio-économique dans une boucle de rétroaction à très court terme sur les exercices d’entraînement de ces formations.

Volet Recherche

La Chaire partenariale FRUIT sera aussi un dispositif de recherche appliquée en réponse aux problématiques du tissu économique local. Si les axes thématiques sont définis selon les besoins des partenaires, ils peuvent être centrés sur la relation Humain/Machine dans la mesure où l’humain reste le maillon faible de la sécurité numérique.

Les thèmes de recherche seront principalement en sciences cognitives et centrés sur l’humain, que ce soit pour l’apprentissage des réflexes métier en gestion de crise, pour la collaboration entre opérateurs humains et intelligences artificielles ou pour l’ergonomie des interfaces supportant la prise de décision. Aussi d’autres thèmes, plus techniques mais nécessitant d’en expérimenter les usages, sont visés, en gestion des risques (efficience des plans de continuité des activités), en gestion de crise (résilience des organisations), en informatique (aide à la décision, visualisation de données de cybersécurité) ou en cryptographie (acceptabilité de nouveaux moyens cryptographiques).

La première action de recherche appliquée au sein de la Chaire est en cours avec un consortium initial comprenant COVEA, DARVA, MEDEF 79, Mutuelle de Poitiers Assurances, Macif, Fondation Poitiers Université et l’ENSAR avec l’appui recherche de trois laboratoires de l’université de Poitiers : CeRCA (recherches sur la cognition et l’apprentissage), XLIM (mathématiques et sécurité de l’information) et LÉP (économie). L’objet est d’analyser la dynamique des comportements des acteurs d’une entité socio-économique faisant face à une cyberattaque. La problématique étudiée est l’évolution de la prise de décision individuelle aussi bien que collective en fonction du stress et de la charge mentale des acteurs au cours d’une crise cyber afin de définir des actions d’acculturation les plus efficaces selon les différents profils pour acquérir durablement les bons réflexes et usages améliorant la prise de décision durant une crise cyber. Les résultats de ce travail de recherche seront valorisés dans le monde académique et dans le monde professionnel du territoire niortais par des actions d’entrainement, d’acculturation et de sensibilisation ciblées.

Volet Diffusion et transfert de la recherche

L’objectif est de diffuser les résultats obtenus dans les communautés scientifiques (groupes de travail, conférences, journaux, etc.), les réseaux d’entreprises (consulaires, club, associations, partenaires) et aussi auprès du grand public et des administrations et des collectivités par le réseau des Centres de Ressources Cyber (CRC) et du cyber campus régional.

L’université de Poitiers et l’Agglomération du Niortais s’engagent pleinement dans la création, le pilotage et l’animation du Centre de Ressources Cyber Nord Nouvelle-Aquitaine. Ce Centre de ressources est spécialisée dans les aspects de formation aux risques cyber et sera un véhicule pour former des formateurs et diffuser les bonnes pratiques et les entraînements à tous les territoires, même les plus modestes. Le Cyber Campus Nouvelle-Aquitaine jouera son rôle en transférant les résultats de la recherche vers l’écosystème de l’innovation et en apportant des questions de recherche issues des besoins de cet écosystème.