Constat
Le monde des télécommunications vit une abondance de technologies, de mutations et d'innovations. C'est pourquoi, ses technologies souvent immatures et sa très large quantité de services et d'usages le rendent particulièrement vulnérable. L'information, nerf de la guerre industrielle, sous toutes ses formes, et tous ses contenus, se doit d'être protégée dans des systèmes d'information sans faille. Cette fragilité fait que la sécurité devient l'affaire de tous et passe par une prise de conscience de l'ensemble des protagonistes. Malgré l'effet magique, aux yeux de certains, de notions comme le « hacking », le « cracking », le « fishing », la sécurité reste une discipline qui se montre naturellement ingrate et qui par conséquent ne représente pas une priorité pour les entreprises comme pour les étudiants.
Enjeux
L'apport de ce projet est d'apporter, sans une forme interactive, vivante et ludique, une formation de haut niveau à la sécurité informatique et réseaux. Du point de vue des apprenants, le principe en est simple : les plonger dans des scénarios d'attaque/défense qui leur fasse prendre conscience des difficultés à mettre en place une (bonne) politique de sécurité. Le but est de leur faire acquérir une méthodologie et de bons réflexes pour sécuriser leur système d'information.
Concept
Nous avons choisi de mener les scénarios comme des jeux, le jeu étant un moteur positif pour l'apprentissage. Par ce système de jeu, les apprenants endossent un ou plusieurs des 3 rôles clés en matière de sécurité informatique : le pirate informatique, la victime d'une attaque et enfin la justice. Une sorte de jeu d'échecs s'engage alors, entre un pirate voulant pénétrer le système d'information de l'entreprise et la victime aidée du policier, cherchant à se connaître, à se défendre, puis à comprendre le cheminement du pirate.
Les scénarios techniques sont constitués pour le pirate d'un enchaînement de failles humaines et informatiques, permettant la prise en main à distance d'une machine de l'entreprise. Pour la victime, il s'agit a contrario d'empêcher une attaque et donc des méthodes et outils d'audit de sécurité de systèmes d'information sont étudiés.
Les scénarios techniques sont enrobés dans des scénarios d'ambiance mettant les joueurs/apprenants dans une situation réelle de gestion et d'attaque d'entreprises reconstituées virtuellement. La mise en situation réelle des apprenants permet de susciter l'intérêt tout en gérant leurs progressions dans le déroulement d'une partie.
Application
La modularité est un maître mot de ce projet. Les différents scénarios sont indépendants, progressifs, et adaptables, de manière à pouvoir toucher le plus grand public possible. L'adaptation peut se faire tant au niveau de la difficulté technique des scénarios que du volume horaire consacré à la formation. Des fiches d'aide permettent à un tuteur enseignant de donner plus ou moins d'indices aux apprenants pour gérer leur progression au cours du temps.
L'enseignement (le tutorat) est réalisé par des enseignants et chercheurs des départements de l'INSA de Lyon. La mise à jour des scénarios techniques est continus, afin de coller le plus possible à la réalité terrain que l'on rencontre dans les affaires divulguées aujourd'hui. Nos partenaires extérieurs (voir partie Partenaires) nous permettent d'être proche des préoccupations actuelles des pirates informatiques.