Cyber Training Labs
Un projet collaboratif pour un intérêt commun.
Depuis sa naissance, la Cybersécurité requiert de maîtriser les entrailles des technologies de l’information. Une bonne formation académique est nécessaire pour maîtriser les concepts mais il faut également mettre « les mains dans le cambouis ». La formation en cybersécurité nécessite de pratiquer, de s’entraîner, d’apprendre avec des travaux pratiques les plus réalistes possibles..
- Le premier enjeu est de construire, valider et apporter aux apprenants un environnement technique dédié à l’illustration ou aux travaux pratiques. Avancer dans la pédagogie, assurer une remise à niveau pour un nouvel étudiant est un défi que tous les enseignants techniques vivent au quotidien.
- Le deuxième et non des moindres, est de pouvoir rapidement constituer des travaux pratiques riches et attractifs, sur des briques technologiques « sur étagère » ou sur des contenus existants pour se concentrer sur la pédagogie sans se soucier de l’infrastructure informatique sous-jacente.
- Le troisième enjeu, fortement mis en exergue ces derniers mois, est de pouvoir utiliser toutes les richesses du cloud, pour pratiquer à distance, sans avoir à installer sur le poste des étudiants des environnements complexes et onéreux.
C’est donc sur ces enjeux que le Pôle d’excellence cyber a créé le groupe de travail « La Paillasse numérique » ou en anglais Cyber Trainings Labs (CTL) et souhaite réunir un ensemble d’acteurs technologiques (de la simulation, virtualisation, du CyberRange), des Ecoles et des académiques, des acteurs privés de la formation et acteurs institutionnels pour proposer des solutions aux enjeux de la formation en Cybersécurité.
Le contexte
De nombreuses technologies de simulation et de virtualisation permettent de monter des plateformes techniques pour réaliser des travaux pratiques et dirigées sur des technologies du marché (système d’exploitation, applications, systèmes réseaux, device virtualisé …).
Le groupe a cependant identifié 3 freins pour développer l’emploi de ces technologies :
1. L’emploi de logiciels sous licences : leurs mécanismes tant techniques, contractuels ou juridiques sont actuellement peu adaptés à l’utilisation dans un contexte d’entraînement sur des plateformes techniques. Ces produits doivent pouvoir être attaqués, réinstallés, dupliqués, simulés avec des dates décalées dans le temps.
2. L’inter-opérabilité des contenus entre les plateformes techniques : les contenus étant à forte valeur ajoutée, la stabilisation des formats et le transfert des contenus entre plateformes est indispensable pour permettre la capitalisation, le développement par des tiers, les partages et la pérennité de ces contenus.
3. La protection des créateurs de contenus : la création et le partage de contenus pédagogiques doivent être accompagnés d’une protection juridique simple et au juste besoin. Celle-ci peut concerner des problématiques financières ou d’image. Des licences open source ou commerciales peuvent répondre à ces différents compromis de liberté d’emploi pour l’utilisateur et le besoin de protection du créateur.
Notre méthode
L’objectif du groupe est donc de faire émerger des solutions répondant au besoin de formation, recherche et entraînement en cyberdéfense et cybersécurité. Ces solutions doivent comprendre des plateformes techniques, des contenus, des services et une communauté d’utilisateurs (apprenants, clients, partenaires…).
Le groupe a choisi de fonctionner suivant plusieurs cercles concentriques :
- Une équipe d’adhérents du Pôle motivés et impliqués dans le projet. Des grands acteurs français du domaine de l’entraînement font d’ailleurs partie du groupe de travail;
- Un cercle de contributeurs et d’acteurs des technologies de l’information permettant d’enrichir la réflexion;
- Un cercle d’acteurs de la formation intéressés par l’existence de solutions standardisées, accessibles, opérable à distance.
Le groupe a choisi de travailler sur 2 axes :
- AXE Normalisation : Les 3 freins font l’objet de RFC (Request For Comments) pour dégager une vision la plus consensuelle sur ces sujets. Ces documents sont élaborés collaborativement via GITHUB par les membres du groupe et sont publiés aux membres du FORUM afin de recueillir leus commentaires. Ces documents ont vocation à être rendus publics. Différents labels pourraient in fine distinguer les solutions en fonction de leur adaptation à ces finalités.
- AXE Maquettage : avec nos adhérents fournisseurs de technologiques et de solution permettant de tester des implémentations de ces RFC et bien entendu de découvrir des nouvelles technologies, solutions.
Pour participer, vous pouvez soit rejoindre le groupe de travail PEC Cybertraininglabs en devenant adhérent au PEC, soit rejoindre le FORUM ouvert à tous, via le GITHUB. Pour cela contacter l’équipe CTL ou sur le GITHUB de la Paillasse Numérique.
Nos premières productions
Trois documents de standardisation sont en rédaction par les membres du FORUM :
PEC-FORM-CTL-RFC-Editors : ce document a pour objectif de décrire les caractéristiques attendues des licences logicielles dans les environnements de formation, de recherche, d’expérimentation et d’entrainement. Il recense le besoin des utilisateurs de La Paillasse numérique sur les produits logiciels à destination des fournisseurs de technologies de l’information, afin de définir les contraintes techniques pour utiliser ces produits dans le cadre de la formation et l’entraînement sur des simulateurs. Les utilisateurs peuvent utiliser la RFC comme cadre technique pour négocier leur licences logicielles.
PEC-FORM-CTL-RFC-Interoperability : Ce document a pour objectif de décrire le format d’échange de contenus entre deux environnements de formation, de recherche, d’expérimentation ou d’entrainement et de comprendre les contraintes de compatibilité. Les fournisseurs de plateforme de range de simulation / virtualisation peuvent s’assurer que les contenus sont compatibles entre les plateformes. Les utilisateurs peuvent s’appuyer sur la RFC pour les choix techniques liées à l’interopérabilité..
PEC-FORM-CTL-RFC-Creators : Ce document a pour objectif de décrire le besoin de protection des créateurs de contenus et les solutions qu’ils peuvent mettre en place. Il permet également de sensibiliser l’utilisateur sur les conditions d’emplois des contenus. Il est donc principalement à destination des créateurs de contenus pédagogiques pour les systèmes de range et de formation Online, pour protéger leur droits d’auteurs, et faciliter la diffusion des scénarios pédagogiques construits pour des travaux pratiques cyber sur des simulateurs.
Les contributeurs
Orange Cyberdefense
Au cœur des enjeux de la cybersécurité des entreprises et des collectivités, Orange Cyberdefense est un opérateur de services de cybersécurité pour qui l’excellence du métier passe par la pratique des technologies de sécurité, et la connaissance intimes des technologies de l’information. Disposer de paillasses numériques pour s’exercer, s’entrainer, se former aux solutions et ceci « sans scrupules » et en en toute sécurité est un enjeu majeur pour la formation de tous nos collaborateurs.
Délégation Générale pour l’Armement
Face à un univers numérique en pleine expansion, la montée en puissance de la cyberdéfense est fortement contrainte par les ressources humaines. Pour accroitre le vivier de personnels efficaces et matures en cybersécurité, la disponibilité de solutions répondant au besoin de formation, recherche et entraînement en cyberdefense est essentielle. Dans ce contexte, le groupe de travail paillasse numérique du Pole d’excellence cyber est un outil absolument nécessaire pour coordonner les efforts. La DGA, dans sa mission de préparation de l’avenir, et via son centre d’expertise DGA Maitrise de l’information, soutient et contribue aux objectifs du GT paillasse numérique. www.defense.gouv.fr/dga
Conservatoire nationale des Arts et des Métiers
Le CNAM est un acteur de référence dans la formation à distance, à la fois structure universitaire et école d’ingénieur, les auditeurs du CNAM viennent se former sur des plateformes éducatives modernes. Les outils permettant aux auditeurs et aux enseignants de disposer sur l’ensemble du territoire de fonctions pour réaliser des TP/TD à distance, sur les technologies de pointes avec les meilleurs scénarios pédagogiques est un enjeu majeur pour l’enseignement de la Cybersécurité.
Yes We Hack
Fort de son expertise reconnue en Divulgation Responsable de Vulnérabilités, YesWeHack a lancé fin 2019 sa plateforme éducative, YesWeHackEDU, afin de réduire la pénurie chronique de talents dont souffre le secteur de la cybersécurité. YesWeHackEDU permet à ses utilisateurs de s’entraîner à la recherche de failles de sécurité sur des scénarios ultra-réalistes, dans des contextes identiques à ceux des productions informatiques des entreprises.
C’est donc naturellement que YesWeHack s’est impliqué dans le projet « La Paillasse numérique ou CyberTrainingsLabs – Academia », afin de s’allier avec les structures de formations, entreprises et éditeurs membres du Pôle d’excellence cyber, et d’apporter sa vision pragmatique du secteur.
Airbus Cybersecurity
Nous restons convaincus qu’il est primordial de pouvoir fédérer les contenus de formation au sein de communauté universitaire, institut de recherche, entreprise et organisme d’état, pour accroitre les capacités de formation en Cybersécurité.
La Paillasse numérique permettrait de mettre à disposition des moyens mutualisés « loués » à la demande avec des prix de service partagé entre plusieurs acteurs. Le groupe de travail réfléchi comment mettre en commun une structure dédiée avec des moyens de partage de TP/TD efficace. Elle travaille également sur des RFC pour gérer les problématiques de portabilité des contenus, trouver des solutions pour gérer les licences des fournisseurs de solution et protéger les savoirs faire des contenus créés par les acteurs de la formation.
Airbus Cybersecurity est déjà engagé dans ce domaine, avec sa CyberRange dans le CLOUD qui permet déjà de créer des formations et TP/TD . C’est pourquoi nous souhaitons mettre à profit notre expérience dans le domaine pour offrir une offre la plus adaptée au service du Pôle d’excellence cyber et à ces membres.
ISEN
Concevoir des architectures systèmes et réseaux réalistes permettant de mettre les apprenants en situation est une tâche généralement longue et fastidieuse si on doit systématiquement partir de zéro. L’utilisation d’un CyberRange est une première étape qui permet de faciliter une partie de ces actions en simplifiant le maquettage, en offrant la possibilité de créer des topologies, des scénarios et de les dupliquer facilement.
Le projet de paillasse numérique du PEC va plus loin. Il a pour vocation de définir un certain nombre de conventions et de recommandations au travers de RFCs, qui, si elles sont suivies, permettra l’interopérabilité entre plateformes, définira des cadres d’accords avec les éditeurs logiciels afin de simplifier le déploiement de produits sous licence à des fins pédagogiques et le partage de scénarios entre partenaires.
Personnellement, je vois ce projet comme un véritable atout pour tous les acteurs de la formation en cybersécurité. Il nous permettra de ne pas être verrouillé sur une plateforme, de capitaliser sur les contenus, de simplifier la gestion des licences et de favoriser une réelle synergie dans ce domaine en nous permettant de nous concentrer sur nos réels apports pédagogiques.