Un premier bac offert en cybersécurité au Québec

Un ordinateur portable infecté par la cyberattaque du 27 juin 2017
Photo: Rob Engelaar Agence France-Presse Un ordinateur portable infecté par la cyberattaque du 27 juin 2017

Alors que les cyberattaques se font plus fréquentes ces dernières années, touchant de nombreuses personnes et sociétés à travers le monde, il devient urgent de former davantage de spécialistes en cybersécurité, estiment des experts. Un baccalauréat dans le domaine fera ainsi son apparition à l’école Polytechnique de Montréal dès cet automne.

Intrusion, piratage, usurpation d’identité virtuelle, virus, cheval de Troie : les réseaux informatiques sont la cible de multiples attaques, et la tendance est à la hausse, croit Gervais Ouellet, responsable du programme.

La nouvelle vague de cyberattaques qui a paralysé les systèmes informatiques de plusieurs entreprises à travers le monde mardi, en exigeant le paiement d’une rançon, ne peut qu’appuyer son propos.

Déjà dotée de trois certificats reliés à la thématique (cyberenquête, cyberfraude et cybersécurité des réseaux informatiques), Polytechnique proposera désormais une formation plus complète à ses étudiants. Ce nouveau diplôme, le seul offert au premier cycle au Québec, pourra être obtenu en cumulant les certificats déjà existants. Les étudiants pourront autrement combiner deux d’entre eux avec le certificat en analyse de la sécurité de l’information et des systèmes à HEC, ou encore ceux en informatique appliquée ou en criminologie de l’Université de Montréal.

« Sur le marché du travail, c’est plus facile de présenter un baccalauréat en cybersécurité plutôt que deux ou trois certificats différents », reconnaît M. Ouellet, ajoutant que la majorité des étudiants décidaient souvent d’eux-mêmes de suivre les trois certificats pour mieux se former.

D’ici 2020, on estime qu’à l’échelle internationale on manquera de 1,5 million d’experts en cybersécurité. Au Canada, on parle de dizaines de milliers.

La technologie évoluant « à une vitesse sans égal », les contenus des cours sont révisés chaque session pour rester « branchés » aux besoins du milieu professionnel. Les trois programmes ont même connu une refonte complète en 2016, avec l’aide de Deloitte, un des plus importants cabinets de services professionnels au pays. « On voulait s’assurer que, diplôme en poche, les étudiants pourraient trouver du travail et répondre aux exigences d’embauche sur le marché, et s’adapter à la réalité changeante des crimes informatiques », précise M. Ouellet.

Des besoins criants

Et du travail, il n’en manque pas. « Deloitte nous précisait qu’en 2015 il n’avait qu’une candidature pour cinq postes disponibles en cybersécurité », affirme M. Ouellet. Considérant la multiplication des attaques informatiques, il faut penser à former la relève dès maintenant, s’alarme-t-il.

« D’ici 2020, on estime qu’à l’échelle internationale on manquera de 1,5 million d’experts en cybersécurité. Au Canada, on parle de dizaines de milliers », renchérit Benoît Dupont, titulaire de la chaire de recherche du Canada en cybersécurité à l’Université de Montréal.

Il prévoit que, dans un « futur proche », les petites et moyennes entreprises accueilleront systématiquement des spécialistes des réseaux informatiques pour se protéger des attaques. De nouveaux emplois seront même créés dans le secteur. « On aura besoin de personnes en prévention, en sensibilisation, ainsi qu’en formation des usagers. Mais aussi des psychologues pour les victimes de fraude, et des ingénieurs pour établir un programme de bonnes habitudes à adopter en ligne. » Le chercheur compare sa vision à la Commission de la santé et de la sécurité du travail (CSST), qui a trouvé sa place au sein des entreprises.

Il s’inquiète de voir la demande de main-d’oeuvre dans le secteur rester insatisfaite, en raison du manque de formation offerte à l’heure actuelle au Canada. « Bien des universités abordent la question des crimes informatiques, mais rarement dans son ensemble, note-t-il. L’ETS se spécialise dans la programmation, l’UdeM dans l’aspect social avec la criminologie, et Concordia, l’informatique. »

Un manque d’intérêt ?

Face à ce phénomène, le chercheur à l’UdeM montre du doigt l’impopularité du métier. « La sécurité, c’est le parent pauvre dans tous les domaines. Les jeunes qui s’intéressent à l’informatique sont plus attirés par les jeux vidéo, l’intelligence artificielle ou la robotique. » Les gouvernements gagneraient à faire davantage de sensibilisation auprès de la population et à valoriser le domaine, « surtout auprès des femmes, qui ne sont que 11 % à travailler en cybersécurité. » « On se prive de plus de la moitié de la population qui détient pourtant les compétences et l’expertise pour pratiquer ce métier », ajoute-t-il.

Pourtant, l’engouement pour la matière se confirme un peu plus chaque année à l’école Polytechnique. « Depuis le lancement du premier certificat en cyberenquête, la pile de dossiers d’inscription n’a cessé d’augmenter sur mon bureau », affirme Gervais Ouellet. Si la majorité des intéressés étaient au début des professionnels souhaitant surtout se perfectionner, le cursus accueille de plus en plus de jeunes sortant du cégep, soutient-il.

Entre 2007 et 2016, le nombre d’inscriptions au certificat est passé de 133 à 208. Et la progression est d’autant plus grande en comptabilisant les inscriptions aux deux autres certificats créés en 2012. Celui en cybersécurité des réseaux informatiques, qui plonge plus en profondeur dans les cyberattaques, a accueilli 64 personnes à sa première session à l’automne 2012, contre 142 à l’hiver 2017, ce qui a plus que doublé.

M. Ouellet attribue ce succès à la prise de conscience du public et des entreprises relativement à la protection des données et de la vie privée. Un fait d’autant plus accentué dans un contexte de médiatisation accrue des cyberattaques dans le monde entier.

De son côté, Benoît Dupont pense que le Canada pourrait en faire bien plus pour rattraper son retard vis-à-vis des États-Unis, de l’Angleterre et d’Israël, chefs de file dans le domaine. « Leurs gouvernements ont beaucoup investi dans la formation des experts, pour développer des solutions aux attaques. »

« Il faut comprendre que c’est un problème politique, économique, juridique, social, et non uniquement technique, ajoute-t-il. Les différents paliers politiques devraient s’impliquer et investir dans la recherche et les formations des professionnels. »


Bilan de l’attaque

La cyberattaque mondiale au rançongiciel, démarrée en Ukraine et en Russie, semblait contenue mercredi après avoir touché des milliers d’ordinateurs. Si l’ampleur des dégâts paraît minime par rapport aux centaines de milliers de victimes de WannaCry début mai, le virus, qui bloque des ordinateurs jusqu’au paiement d’une rançon de 300 dollars en monnaie virtuelle, a affecté plus de 2000 utilisateurs, selon Kaspersky Labs, un spécialiste de la sécurité informatique basé en Russie.
2 commentaires
  • Pierre Robineault - Abonné 29 juin 2017 10 h 23

    Moi qui ...

    Moi qui croyais dur comme fer que les plus brillants de ce monde de l'informatique se retrouvaient dans des compagnies telles Microsoft, Apple, Facebook, Google ..., et les plus riches tout autant.
    Souhaitons que l'U de M et toutes les autres universités ne soient pas arnaquées.
    Est-ce bien d'un bac dont nous avons besoin plutôt que d'une équipe internationale d'experts? Cela dit même si l'argument de vente du programme tel qu'affirmé par le titulaire Dupont est impressionnant. (1,5 million d'experts à former? Où sont les super-experts prêts à assurer une telle formation? Parmi les arnaqueurs peut-être?)

    • Charles Rioux - Abonné 29 juin 2017 23 h 23

      Après bientôt 30 ans d'expériences en informatique, les plus brillants sont dans le sou-sol de papa et maman, ne sont pas sur des jeux vidéos mais plutôt sur Linux et autres open-sources et ne visent pas à tirer un profit sur des attaques, mais bien de trouver les failles et jetter par terre des site web de grands groupes financiers ou gouvernementales. Ils ont entre 15 et 25 ans… Ne sont pas des bacheliers, ni cégepien. Le BAC démontre seulement que vous avez suivez des cours… Mais qu’avez-vous fait???