D’ici 2022, la demande de personnel qualifié en cybersécurité dépassera l’offre de 1,8 million de travailleurs. Que peut faire l’industrie pour réduire cette menace mondiale? Selon Richard Buckland, informaticien à l’Université de New South Wales (UNSW) à Sydney, la réponse est l’éducation. Il expérimente depuis deux décennies des moyens de former des défenseurs en herbe. En 2016, avec la Commonwealth Bank, il a également lancé SecEDU, un programme visant à renforcer le programme de l’université, à étendre ses pratiques à d’autres universités et lycées et à rendre tous ses cours de sécurité accessibles gratuitement en ligne. J’ai rencontré Buckland à l’UNSW pour discuter de l’ingénierie logicielle et de l’avenir des hackers au chapeau blanc. Cet entretien a été modifié pour des raisons de concision et de clarté.
Qu’est-ce qui vous attire vers la cybersécurité?
Pour moi, la cybersécurité est le problème technique ultime. Si vous conduisiez ici aujourd’hui, si vous traversiez le pont du port de Sydney, je suppose que personne ne s’inquiète jamais pour le pont. Et c’est en partie parce que les ingénieurs civils ont résolu le problème de la construction de ponts. Mais la sécurité n’est pas un problème résolu. Si j’avais un produit Windows, je téléchargerais les correctifs chaque mardi. Et les correctifs sont une manière polie de dire des corrections de bugs, et un bogue est une manière polie de dire une erreur, et une erreur est une façon polie de dire une impasse massive. Nous ne savons pas comment concevoir la sécurité.
Pourquoi l’ingénierie de la sécurité est-elle différente?
Si je devais choisir une raison, c’est la complexité. Il y a aussi cette nature asymétrique à la cybersécurité. Pour sécuriser quelque chose, vous devez défendre chaque point, mais pour réussir à attaquer, il vous suffit de trouver un petit point. Comme les vieux châteaux médiévaux: peu importe l’épaisseur des murs, les gens creuseraient des tunnels, ils mettraient des douves et les assaillants soudoyaient la personne qui exploitait la porte. Aussi, c’est vraiment amusant d’attaquer. C’est la nature humaine. Mes étudiants aiment ça. Si je leur donne une règle, je leur lance un défi. Vous devez faire attention à ne pas leur donner de règles.
Préférez-vous éliminer les bogues ou parler de la sécurité?
J’aime résoudre des problèmes particuliers, mais ma passion est l’éducation. Et dans le domaine de la sécurité, le plus gros problème auquel nous sommes confrontés est qu’il n’ya pas assez de personnel de sécurité compétent, ce qui est un facteur énorme. Mes étudiants quittent l’université – l’un d’entre eux a reçu une Corvette en prime à la signature. Les gens me téléphonent tout le temps et disent: «Laissez-moi entrer dans votre classe de sécurité. J’ai d’excellents emplois pour vos dix meilleurs étudiants. »Et je dis:« Mec, vous ne pouvez même pas avoir mes pires étudiants. Ils ont déjà tous des emplois. »Nous avons donc ce système appelé SECedu. Nous essayons de former autant de personnes que possible, mais nous élaborons également des moyens de formation, puis nous en faisons la publicité.
Qu’avez-vous appris jusqu’à présent?
Pour moi, la plus grande surprise a été que pour être un bon ingénieur en sécurité, il faut être créatif et coquin, un peu effronté. Les meilleurs agents de sécurité remettent en question chaque règle. Et le problème vraiment délicat qui se pose est que tout ce que nous faisons chez uni consiste, plus ou moins, à former des personnes conformes aux normes industrielles. Je pense que vous apprendrez la conformité à la maternelle. [Il a développé cela de manière plus colorée et plus élaborée, mais je l’ai coupé pour l’espace.] Au moment où je les ai, ils sont des adeptes des règles. Vraiment, si vous faites comme d’habitude dans une université d’enseigner la cybersécurité, vous n’enseignez vraiment pas aux bonnes personnes les bonnes choses, et probablement les bonnes personnes n’iront même pas à l’université, et si elles sont à l’université, elles ‘ Je vais probablement m’ennuyer et rentrer chez moi parce que ce sont des fous.
Est-ce difficile de faire sortir le coquin, ou est-ce naturel quand on laisse les étudiants lâcher?
Je pense que c’est proche de la surface en chacun de nous, et il y a souvent ce sentiment de joie et de joie quand ils réalisent que c’est permis. Je me souviens que quelqu’un a tendu quelque chose tôt au début et j’ai dit: «Je suis vraiment déçu que vous le fassiez tôt. Tu m’as laissé tomber, mec. La prochaine fois, je veux que ce soit un peu en retard. »Donc, juste de petites choses comme ça pour les encourager.
Comment faites-vous le rascalisme compatible avec un environnement universitaire?
C’est basé sur des valeurs. Je ne veux jamais que quelqu’un fasse quelque chose parce que je leur ai dit de le faire. Je veux qu’ils y croient. Si un de mes étudiants faisait quelque chose de mal et passait dans les médias, je devais arrêter mon cours immédiatement. Je peux imaginer tous ces titres cauchemardesques: «Uni trains hackers», «UNSW entraîne des étudiants qui ont fait irruption dans la banque l’autre jour». Je pense que vous devez savoir comment attaquer pour vous défendre. apprendre aux gens à attaquer et à ne pas le faire aller terriblement mal? J’ai d’abord eu toutes ces règles. Mais ensuite, j’ai lu à propos de ce travail de recherche vraiment intéressant. Ils ont envoyé beaucoup d’argent à des gens. Un groupe, ils ont menacé des choses s’ils ne le renvoyaient pas. Un autre groupe, ils ont dit: «Oh, s’il vous plaît, renvoyez-le.» Lorsque les gens ont fait confiance, ils ont fait preuve de confiance. Alors je me suis dit: «Oh, je me trompe.» J’ai mis au point cette politique de bonne foi, qui consiste simplement à ne rien faire qui puisse jeter le discrédit sur l’uni ou la profession.
Pourquoi les attaquants sont-ils les meilleurs défenseurs?
L’exemple qui m’a fait comprendre pour la première fois que c’était quand j’enseignais la sécurité informatique aux premières années, je les emmenais dans un hall d’immeuble la nuit et je dirais que je veux que vous identifiiez tous les mécanismes de sécurité en place. Ils remarqueraient le verre épais, l’éclairage, les capteurs et les caméras. À la fin de cela, j’ai dit: «Waouh, vous avez vraiment fait du bon travail. À quel point croyez-vous qu’il serait difficile de faire votre entrée? »Et ils diraient:« Très difficile. »« Sur une échelle de un à cinq? »« Quatre! Quatre et demi! Très bien! Le meilleur design de tous les temps! »Et je dirais:« Génial. Nous allons maintenant prendre notre pause thé. Nous nous retrouverons dans dix minutes. Oh, et si quelqu’un peut s’introduire sans enfreindre la loi, sans causer de dégât, la première personne à s’immiscer se verra attribuer un barreau de Mars. »Et quelqu’un pourrait toujours entrer. Cela n’a pris que cinq minutes environ. En leur faisant énumérer tous les systèmes de défense physique, je les faisais penser comme un défenseur. Mais dès que vous commencez à penser comme un attaquant, vous ne vous inquiétez pas des points forts. Vous commencez à penser: «Quel est le point faible?» Vous devez être vraiment sceptique à propos de tout ce que vous faites.
Cette conversation a eu lieu lors d’une bourse de journalisme en résidence à l’UNSW, les frais de voyage étant pris en charge par l’université.
