Président et co-fondateur d’UBIK academy (ex-AppSec Academy), l’un des leaders français de la formation dans le domaine de la sécurité applicative rachetée par la pépite tricolore Lexfo, Azziz ERRIME a répondu à nos questions sur les menaces cyber auxquelles sont confrontées les entreprises, le manque de sensibilisation des collaborateurs à ces enjeux et la nécessité d’offrir à ces derniers des solutions de formation engageantes et motivantes.
Le baromètre du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) affirme que plus d’une entreprise sur deux a été victime de cybercriminalité — avortée ou réussie — au cours de l’année 2021 avec, pour principale menace, les tentatives de pishing. De son côté, l’ANSSI s’inquiète aussi d’une hausse des tentatives d’intrusion au sein des systèmes d’information. Comment expliquez-vous cette explosion des tentatives d’attaques cyber depuis quelques années ?
Avec la constante augmentation de la numérisation de nos vies quotidiennes et professionnelles, de plus en plus de données deviennent — directement ou non — accessibles. Les objets connectés que nous utilisons au quotidien comportent une quantité croissante de lignes de code, les rendant vulnérables aux attaques informatiques.
Pour résumer : nous avons d’un côté une surface d’attaque globale qui prend de plus en plus d’ampleur chaque année. De l’autre côté, des cybercriminels de plus en plus innovants pour attaquer les individus et les entreprises avec un objectif simple : transformer de la donnée en argent.
Dans le même temps, de nombreuses entreprises ne prennent pas suffisamment de mesures pour protéger leurs données, la sécurité demeurant encore perçue comme accessoire. D’autres adoptent une approche purement technologique, sans se concentrer sur la sensibilisation de leur personnel, en s’appuyant uniquement sur l’utilisation d’équipements de sécurité. Bien que cela permette d’améliorer sa posture sécurité (plus il y a de mesure de sécurité et plus on complique la tâche d’un éventuel attaquant), cela demeure largement insuffisant.
L’ANSSI estime que seuls 25 % des besoins en recrutement dans le domaine des spécialistes cyber sont couverts, créant logiquement une très forte tension sur ce segment du marché de l’emploi. Pourquoi les métiers de la cybersécurité manquent-ils tant de talents ?
La demande dépasse en effet largement l’offre du fait d’une prise en considération accrue des problématiques de cybersécurité au sein des entreprises. Le manque de profils s’explique finalement de façon assez simple. D’abord, la cybersécurité est une industrie relativement jeune, qui connaît des évolutions constantes et invite à une mise à jour régulière des compétences. De plus, nous manquons également de programmes spécialisés au sein de l’enseignement supérieur et de certifications professionnelles pour les individus déjà en poste ou en reconversion. Enfin, les métiers de la cybersécurité sont perçus comme éminemment complexes, ce qui peut décourager des professionnels potentiels. Ces trois aspects sont primordiaux et sont les principaux facteurs explicatifs de ce déséquilibre entre l’offre et la demande, malgré des salaires confortables et des conditions de travail souvent avantageuses. L’une de nos missions est d’ailleurs de combler cette carence en proposant des formations engageantes et de qualité à destination des professionnels.
En tant que plateforme de formation en ligne aux risques cyber, vous êtes confrontés chaque jour aux difficultés des entreprises à bien saisir les problématiques liées aux enjeux de cybersécurité. On dit souvent que l’erreur humaine est la principale faille des organisations. Peut-on considérer que, spécialistes mis à part, les collaborateurs ne sont pas assez sensibilisés et manquent d’une culture cyber globale ?
Prenons l’exemple des applications : aujourd’hui, 8 attaques sur 10 passent par la couche applicative, ce qui en fait la surface d’attaque préférée des pirates. La plupart des développeurs que je croise — qui sont pourtant des experts dans leur domaine —, ignore cette donnée pourtant fondamentale. Nous en revenons à notre problématique de base : la notion de sécurité, même si elle est de plus en plus prise en compte, n’est encore prise en compte que marginalement au cœur des stratégies de formation dans les écoles et les entreprises.
La preuve : les 10 principales menaces répertoriées par la communauté OWASP sont globalement inchangées depuis des années. Les premières d’entre elles existent depuis plus de 10 ans et sont toujours les principales raisons de vulnérabilités à ce jour. Les entreprises doivent comprendre — et elles y arrivent par la force des choses — qu’une véritable politique de sensibilisation et de formation amène des gains sécuritaires notables, tandis qu’un déficit de prise en compte de ces problématiques peut avoir des conséquences délétères gravissimes pour leur sécurité avec la perspective de lourdes pertes financières.
Vous avez une approche assez unique dans la formation en ligne, en misant sur l’apprentissage par la gamification. Comment se traduit concrètement ce choix pédagogique pour les étudiants que vous formez ?
Partons d’un constant : nous ciblons les entreprises et leurs employés, qui ont évidemment un emploi du temps chargé auquel il est délicat d’ajouter de nouvelles tâches. La disponibilité des employés, y compris pour la formation, n’est pas évidente, rendant difficiles les initiatives classiques de formation sur un, deux voire cinq jours. D’autres problèmes existent : comment conserver les compétences dans un contexte de turn-over des collaborateurs ? Comment fournir le matériel nécessaire à la formation des salariés ?
Pour relever ces défis, nous avons adopté une stratégie pédagogique basée sur la gamification du processus de formation et la création de parcours pédagogique adaptés aux entreprises. Pour ce faire, nous avons mis en place plusieurs solutions afin de faciliter l’apprentissage pour les employés : nous mettons en place un strict découpage de notre formation afin de conserver la motivation des collaborateurs avec des sessions courtes et un parcours pédagogique disposant d’un début et d’une fin clairement définis et atteignables ; nous donnons la possibilité de démarrer un nouveau parcours de formation à tout moment de l’année ; nous évaluons les compétences acquises par les apprenants via des exercices corrigés, des questionnaires et des challenges de sécurité réalistes qui permettent de gagner des points, des badges et d’évoluer dans un classement ; nous assurons également une présence humaine grâce à un suivi personnalisé pour répondre aux questions des apprenants dans les 48 heures ouvrées ; nous veillons à rester le plus proche possible de la réalité (et de ce que peuvent rencontrer les employés dans leur quotidien) via notre plateforme de CyberRange qui permet de modéliser facilement des systèmes informatiques complexes et d’y jouer des scénarios réalistes comprenant de véritables cyberattaques, directement depuis le poste de travail des apprenants. Tout est fait pour créer une approche motivante de la cybersécurité, qui permet à la fois d’optimiser le taux d’engagement à la formation et de créer une culture cybersécurité dans les entreprises.
Vous entamez l’année 2023 avec de sérieux bouleversements. Vous avez changé de nom et avez été rachetés par Lexfo, l’une des pépites françaises dans le domaine de la cybersécurité. Quelles sont, dans les mois à venir, vos ambitions pour renforcer votre place sur ce marché ?
Nous avons choisi de changer notre nom, passant de AppSec Academy, qui mettait en avant notre expertise en sécurité des applications, à UBIK Academy, qui reflète notre engagement sur l’ensemble des défis de la cybersécurité. Notre objectif est de fournir les meilleures formations en cybersécurité en sélectionnant les experts les plus qualifiés et les plus reconnus dans leurs domaines de compétences. Nous allons élargir notre gamme de produits pour permettre à d’autres centres de formation et aux éditeurs de logiciels d’utiliser une version dédiée de notre plateforme pour dispenser leurs propres formations. Nous avons également développé une version de notre plateforme dédiée aux Ressources Humaines pour les aider à évaluer de manière concrète et pertinente les compétences de leurs candidats.