Une école pour former les talents de la cybersécurité
Par Bertrand Lemaire | Le | Formation
La Cybersecurity Business School (CSB.School) vient d’être inaugurée à Lyon. Elle forme en alternance les futurs experts de la cybersécurité.
Située à proximité de la gare de Lyon Part Dieu, la Cybersecurity Business School (CSB.School) a été fondée par trois spécialistes de la cybersécurité, pas par des spécialistes de la formation ou de l’enseignement, et ceux-ci insistent lourdement sur ce point. L’inauguration officielle a eu lieu le 4 octobre 2022 même si l’une des deux rentrées annuelles avait déjà eu lieu dans des locaux où les peintures ne sont pas encore sèches. Le projet, lui, par contre, est bien solidement structuré. Les manettes de la société sont tenues par Patrice Chelim (directeur de CSB.School), Thomas Guilloux (responsable partenaires et industrels) et Guillaume Collard (développement). Il y a encore quelques mois, Patrice Chelim était CISO du groupe Solvay, Thomas Guilloux CISO de la division industrie de Solvay et Guillaume Collard expert cybersécurité dans le même groupe.
Le vrai problème est l’absence de ressources humaines compétentes en matière de cybersécurité.
Patrice Chelim a expliqué la genèse du projet : « quand on demande quel est le premier défi de la cybersécurité, on s’attend à ce que l’on dise le budget. Mais le budget se trouve, merci aux ransomwares ! La technique ? Les outils existent et il suffit de bien les implémenter. Le vrai problème est l’absence de ressources humaines compétentes en matière de cybersécurité. » En tant que CISO de Solvay, il s’est bien sûr trouvé confronté à la pénurie de talents. Les cabinets de conseil habituels pouvaient certes définir des stratégies mais manquaient cruellement de ressources humaines pour la mettre en œuvre. Former en interne a été la première réaction et Solvay a ainsi formé en quatre ans, en alternance, un responsable des tests d’intrusion. « Tous nos pairs étaient d’accord avec le constat mais personne ne voulait changer la donne, contribuer à former et ne pas se contenter de sécuriser leurs établissements » a soupiré Patrice Chelim.
Fonder l’école de leurs rêves
Dans un premier temps, les futurs fondateurs ont d’abord tenté de monter une formation dans le cadre d’une université. Mais l’école qu’ils voulaient ne correspondait pas aux possibilités envisageables dans ce cadre. Ils ont donc décidé de sauter le pas et de créer ex nihilo cette école tant rêvée, apte à former les talents de la cybersécurité de demain. L’école se veut pratique et ouverte à toutes sortes de profils avec un certain niveau initial. Elle ne cherche pas à adapter le modèle de l’Ecole 42 : CSB.School reste un modèle académique même si on y pratique la « pédagogie inversée ». La théorie est étudiée en autonomie avant que les sessions présentielles avec enseignant se focalisent directement sur la pratique.
Deux formations sont proposées : un bachelor « spécialiste de la cybersécurité » en trois ans (du bac au Bac+3) et un master « management de la cybersécurité » en deux ans (du Bac+3 au Bac+5). Les deux sont disponibles uniquement en alternance, l’école se chargeant de trouver les entreprises partenaires. Tous les postulants sont reçus par les fondateurs de l’école afin d’être « pré-qualifiés » et présentés aux entreprises pertinentes en fonction de leur profil. De ce fait, les études sont totalement gratuites pour les étudiants. A terme, l’école devrait compter environ 400 étudiants. Pour cette année, l’effectif est limité à une centaine à raison de la moitié en troisième année de bachelor (en post-BTS), l’autre moitié en première année de master. CSB.School propose deux rentrées chaque année : en septembre, bien sûr, et aussi en février. « La rentrée de février a été une demande des entreprises partenaires qui ne voulaient pas gérer l’arrivée simultanée de trop d’alternants, toutes formations confondues, et aussi recruter une fois effectivement lancés les contrats obtenus à la fin d’un exercice comptable » a expliqué Patrice Chelim.
Des profils variés mais académiques
Les profils des étudiants sont plus variés que dans les formations classiques mais demeurent académiques. Un tiers des étudiants est composé de passionnés d’informatique déjà titulaires d’un diplôme en la matière (un BTS par exemple). Un autre tiers est composé de jeunes diplômés ou de primo-actifs qui cherchaient à se démarquer sur le marché de l’emploi après des formations dans d’autres domaines, des mathématiques à l’histoire en passant par le droit. Le dernier tiers relève de la reconversion professionnelle après une dizaine d’années d’expérience dans des secteurs aussi variés que la pétrochimie ou l’immobilier. Pour Patrice Chelim, « ces derniers profils apportent une vraie vision de l’entreprise et une compréhension des impacts des cyber-incidents sur leurs métiers ».
Les élèves en reconversion apportent une vraie vision de l’entreprise et une compréhension des impacts des cyber-incidents sur leurs métiers.
Parmi les élèves, le directeur a ainsi cité un étudiant ayant obtenu un bac S, dégoûté des mathématiques et ayant suivi un cursus en histoire, ayant travaillé dans la restauration au Danemark faute d’emploi mais passionné par la bidouille sous Raspberry Pi pour piloter de la domotique. « Être fort en math ou ingénieur n’est pas nécessaire pour réussir en cybersécurité, il ne faut pas que les talents s’auto-censurent » a insisté Patrice Chelim. Avec l’appui du Cefcys (Cercle des femmes de la Cybersécurité) dont la présidente est membre du comité de pilotage de l’école, CSB.School veille aussi à féminiser son recrutement même si ce n’est pas encore tout à fait ça : 25 % de l’effectif des étudiants est ainsi de sexe féminin.
Une formation originale
Pour fournir en spécialistes une trentaine de métiers différents, la formation comprend bien sûr de l’informatique générale pour que les étudiants sachent gérer des infrastructures, mettre en place un réseau, gérer des identités… et connaissent les bases du développement. Cependant, l’école ne forme pas de développeurs : l’objectif est que les élèves sachent analyser du code et y trouver des failles potentielles, pas créer des logiciels. Une autre partie concerne la GRC (gouvernance, risques et conformité). Il s’agit que l’analyse de risques, les normes type ISO 27000, les réglementations de type RGPD, etc. n’aient plus de secrets pour les élèves et que ceux-ci sachent mettre en œuvre les procédures nécessaires en entreprises. « Cette partie est bien adaptée aux étudiants de profils juridiques » a relevé Patrice Chelim.
Bien entendu, l’école forme aux outils de cybersécurité, y compris industrielle, notamment avec un laboratoire permettant de tester le piratage de robots. Un pseudo-SOC reproduit ce que l’on peut trouver dans des entreprises comme Airbus et Thalès. Les élèves doivent être capables, dès leur sortie d’école, de travailler en CERT. Par la pratique, la formation vise aussi à démystifier la cybersécurité.