Introduction
Mardi 10/02/206, le réseau Skolae a organisé un talk-show de sensibilisation à la cybersécurité ayant rassemblé plus de 350 étudiants. Animé par Thibaud Robin, expert en audits de sécurité offensifs, l’événement a mêlé retours d’expérience, démonstrations d’outils et conseils pratiques destinés aussi bien aux novices qu’aux étudiants spécialisés.
L’objectif était clair : donner des repères concrets pour améliorer son hygiène numérique au quotidien et comprendre comment se prémunir contre des attaques simples comme contre des menaces plus sophistiquées.
Comprendre le cadre : pentest, sensibilisation et limites éthiques
Thibaud Robin a commencé par replacer son intervention dans le cadre professionnel du pentest, expliquant que son rôle consiste à simuler des attaques pour déceler des vulnérabilités avant qu’un acteur malveillant ne les exploite.
Cette approche offensive n’a pas pour but de nuire mais de révéler des failles techniques et humaines afin d’améliorer les défenses. Les démonstrations et les outils présentés servent donc d’outils pédagogiques. Il a donc pu prouver comment une faiblesse apparemment anodine peut conduire à une compromission plus large si elle n’est pas traitée.
Kamal Hennou, directeur de l’ESGI, a lui aussi appuyé sur l’importance de l’éthique et de l’autorisation écrite : tout test réalisé sur un système qui n’appartient pas à l’auditeur doit être précédé d’un mandat explicite et d’un cadre légal clair.
Conseils actionnables détaillés
Conseil 1 : sécuriser les objets physiques et les accès
La protection des objets physiques a été un point central du talk-show. Les badges d’accès, souvent perçus comme anodins, peuvent être clonés par des appareils grand public et utilisés pour s’introduire dans des locaux sécurisés.
Il est donc impératif de garder son badge sur soi, de le ranger dans un porte-badge fermé lorsque l’on se déplace et de signaler immédiatement toute perte au service informatique afin que l’accès soit révoqué.
De la même manière, les téléphones, clés USB et ordinateurs portables doivent être traités comme des vecteurs potentiels d’accès :
· verrouillage par mot de passe ou biométrie
· chiffrement des disques lorsque disponible
· procédures claires en cas de vol ou de perte.
Les intervenants ont insisté sur la responsabilité individuelle : un badge ou un PC laissé sans surveillance peut compromettre non seulement la personne mais aussi l’entreprise.
Conseil 2 : renforcer l’authentification et la gestion des mots de passe
L’usage d’un gestionnaire de mots de passe pour générer et stocker des mots de passe uniques et complexes a été fortement recommandé, de même que l’activation de l’authentification à deux facteurs (2FA) sur tous les comptes sensibles.
Les intervenants ont précisé que les méthodes basées sur des applications d’authentification ou des clés physiques (U2F) offrent une meilleure résistance que les codes SMS. Il est également essentiel d’adopter une politique personnelle de renouvellement des mots de passe après une compromission et d’éviter la réutilisation entre services.
Ces pratiques réduisent considérablement la probabilité qu’une fuite de données sur un service tiers n’entraîne une compromission en cascade.
Conseil 3 : se prémunir contre le phishing et l’ingénierie sociale
La conférence a rappelé que la plupart des compromissions commencent par une erreur humaine exploitée via le phishing ou l’ingénierie sociale. Apprendre à vérifier l’adresse complète d’un expéditeur, à inspecter les en-têtes d’e-mail et à ne jamais divulguer d’informations sensibles sans vérification sont des réflexes à cultiver.
Les intervenants ont encouragé la participation à des simulations de phishing et à des formations pratiques pour reconnaître les signaux d’alerte : liens suspects, demandes d’urgence, pièces jointes inattendues.
En cas de doute, il faut toujours recouper l’information via un canal officiel connu plutôt que de répondre directement à un message potentiellement frauduleux.
Conseil 4 : se tenir informé des menaces avancées et adopter une posture défensive
Enfin, la conférence a abordé la notion d’APT (acteurs persistants avancés) pour rappeler que certaines menaces sont ciblées et sophistiquées. Comprendre l’existence de ces acteurs et leurs objectifs aide à prioriser les mesures de défense : journalisation des événements, détection d’anomalies, sauvegardes régulières et plans de réponse aux incidents.
Les étudiants ont été encouragés à suivre des ressources fiables, à lire des enquêtes et à s’abonner à des chaînes spécialisées pour rester informés des évolutions techniques et des campagnes en cours (exemple celle de Trackflaw)
Conclusion
Le talk-show cyber Skolae a rappelé que la cybersécurité n’est pas une discipline réservée aux spécialistes mais une compétence collective qui commence par des gestes simples et des habitudes quotidiennes.
Entre la protection des objets physiques, la gestion rigoureuse des mots de passe, la mise à jour des systèmes, la vigilance face au phishing et la compréhension des outils pédagogiques, chaque étudiant peut agir pour réduire significativement les risques.
L’événement a aussi mis en lumière l’importance d’un apprentissage encadré et d’une culture de la responsabilité : se former, s’informer et partager les bonnes pratiques sont les meilleurs moyens de construire des environnements numériques plus sûrs.
Pour voir ou revoir la conférence :
https://reseauges75-my.sharepoint.com/personal/llebranchu1_reseau-ges_fr/_layouts/15/stream.aspx?id=%2Fpersonal%2Fllebranchu1_reseau-ges_fr%2FDocuments%2FEnregistrements%2F19h+-+20h+%21-20260210_191500-Enregistrement+de+la+r%C3%A9union.mp4&nav=eyJwbGF5YmFja09wdGlvbnMiOnsic3RhcnRUaW1lSW5TZWNvbmRzIjozMDIzLjQ5MTg1M319&referrer=StreamWebApp.Web&referrerScenario=AddressBarCopied.view.8db3b3fc-1ec1-46c6-a170-b37ed0159a9a&startedResponseCatch=true
