REDOCS’17, une semaine de collaboration étudiants-entreprises en cybersécurité

Quelle est la genèse de ce projet, et quels en sont les objectifs ?

Pascal Lafourcade : Les membres qui ont monté le préGDR Sécurité Informatique avaient ce projet en tête dès le début. Nous nous sommes très fortement inspirés de la Semaine d’Étude Maths-Entreprises (SEME) de l’Agence pour les mathématiques en interaction avec l’entreprise et la société (AMIES). L’objectif de cette semaine est de réunir des doctorants et des entreprises, et que les étudiants cherchent à apporter des solutions aux problématiques proposées par les industriels. En mathématiques, l’initiative a lieu plusieurs fois par an, dans plusieurs universités. Nous avions constaté qu’il y avait très peu de sujets dans le domaine de la sécurité informatique dans les SEME, et nous avons donc décidé de créer une édition dédiée à la cybersécurité : REDOCS. Ce qui est ressorti de nos échanges avec l’AMIES, c’est que cette semaine était très enrichissante à tout point de vue : du côté des entreprises, qui pouvaient ainsi avoir l’œil des académiques sur leurs sujets, mais aussi pour les doctorants qui pouvaient de cette façon être confrontés à de nouveaux sujets d’études plus appliqués. Nous espérons également que cela permette aux étudiants de tisser des liens avec des entreprises pour trouver plus facilement un emploi dans leur spécialité.

Les sujets proposés sont-ils des vraies problématiques, ou des cas d’étude ?

P. L. : Il s’agit de problématiques que se posent réellement les entreprises, et je pense que cela ajoute à l’intérêt de l’exercice. Mais il est vrai qu’il s’agit d’un point délicat : les sujets sont publics, il faut donc que les entreprises réfléchissent aux questions qui les intéressent, mais que cela ne soit pas trop sensible, et encore moins vital pour eux. Les profils des entreprises qui participent sont variés : des petites structures comme Amossys, des leaders du marché comme Thales et Gemalto, ou encore des organisations publiques avec le ministère des Armées. En sélectionnant un sujet, ils mettent en avant une expertise qu’ils souhaitent consolider dans le futur. Choisir un sujet montre que l’on a déjà acquis une certaine expertise dans une thématique, car pour pouvoir suivre le travail des étudiants, il faut déjà avoir des personnes compétentes qui ont déjà un peu réfléchi à la problématique. Mais le travail des doctorants est conséquent, et peut apporter des solutions qui n’avaient pas été envisagées. 

Les sujets sont proposés de manière libre par les entreprises. Il y a simplement quelques échanges avec les entreprises, car souvent la première version des sujets est trop vaste et correspondrait plus à un sujet de thèse ! Alors que là, ils ne seront que 4 à 5 étudiants à travailler dessus pendant une petite semaine. Les sujets concernent des attaques (avec par exemple Amosys sur la rétroingénierie active de protocoles de communication, c’est-à-dire analyser le comportement d’un logiciel pour retrouver comment il fonctionne), des contre-mesures (comme Thales qui propose d’utiliser des algorithmes d’apprentissage pour essayer de détecter de nouvelles failles sur des applications), ou à la fois attaques et contre-mesures (avec par exemple le ministère dont le sujet concerne l’utilisation de calculs déportés sur le cloud). Les questions sont aussi très en lien avec des problématiques du moment : le sujet de Gemalto porte par exemple sur la gestion de la confidentialité des données dans une architecture de type blockchain.

Quels étudiants peuvent candidater ? Et comment faire ?

P. L. : Pour pouvoir participer, il « suffit » d’être doctorant en sécurité informatique. Dans les faits, ce sont des étudiants de 2e et 3e années qui participent, mais nous ne nous interdisons pas la participation de 1ères années, s’ils avaient des compétences particulières. Pour candidater, nous avons fait un processus volontairement simple : le doctorant doit envoyer à redocs-org@irisa.fr son CV académique, ainsi qu’un mail de son directeur de thèse indiquant qu’il autorise le doctorant à participer, et que le laboratoire prend en charge le déplacement jusqu’à Gif-sur-Yvette. Nous avons voulu une inscription simple, mais qui nous fournisse suffisamment d’informations pour pouvoir sélectionner les candidats. Nous ne demandons pas de lettre de motivation, pour éviter de prendre du temps pour candidater, et parce que nous estimons que la motivation doit être là pour vouloir passer une semaine à travailler sur une problématique d’entreprise plutôt que sur sa thèse ! Nous avons également choisi la semaine de vacances de la Toussaint pour que cela interfère le moins possible avec les obligations des étudiants. 

Dans les faits, les étudiants peuvent découvrir les sujets en ligne pour voir s’ils sont intéressés. Par contre ils ne choisissent pas leur groupe avant : le lundi matin, quand les entreprises présentent leurs problématiques, les groupes se constituent en fonction des compétences et des intérêts de chacun. Une fois que le sujet des entreprises a été validé par le comité de pilotage, nous accompagnons les industriels pour affiner leurs problématiques afin que dès le lundi après-midi les étudiants puissent débuter leurs réflexions. Il faut en effet que le sujet soit assez délimité pour que les étudiants puissent apporter des solutions qui intéressent les entreprises en seulement trois jours et demi, car les restitutions ont lieu le vendredi matin. Au cours de la semaine, les doctorants peuvent partir dans la direction qu’ils veulent, même s’il y a des échanges réguliers avec l’entreprise qui permettent de baliser les avancées. Les résultats sont mis en ligne par la suite. 

Au final, il s’agit d’une semaine très dense mais très riche pour tous, entreprises comme doctorants. Les témoignages sont tous positifs, et les doctorants en ressortent plus motivés que jamais.