La cybersécurité en classe de terminale

L’intégration des sujets de cybersécurité dans les programmes des lycées – et plus particulièrement les enseignements décisifs de la classe de terminale – fait plus que jamais sens. Les cybermenaces sont en effet devenu un sujet d’actualité à part entière et n’ont jamais été aussi impactantes. Cela va de paire avec des besoins forts en professionnels parfaitement formés. En d’autres termes, le risque cyber a une conséquence « positive » : l’apparition de nouveaux métiers et des perspectives professionnelles encourageantes.

Cela permet non seulement de développer une culture de la sécurité informatique dès le plus jeune âge, mais aussi de préparer les élèves aux métiers d’avenir dans ce secteur en pleine expansion. De l’ingénierie en cybersécurité à l’analyse des menaces, en passant par la gestion des incidents et la protection des réseaux, les opportunités professionnelles sont vastes et prometteuses. 

La cybersécurité est aujourd’hui un enjeu crucial à l’échelle mondiale. Les chiffres en témoignent de manière alarmante. En 2023, le coût global de la cybercriminalité a été estimé à plus de 6 000 milliards de dollars, selon le rapport du spécialiste Cybersecurity Ventures. Ce chiffre est en constante augmentation. Selon le rapport 2023 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la France a enregistré, pour sa part, une augmentation de 38 % des incidents de sécurité en 2022 par rapport à l’année précédente. Plus de 70 % des entreprises françaises ont signalé avoir été victimes d’une cyberattaque, avec des secteurs clés comme la finance, la santé, et les infrastructures critiques particulièrement ciblés.

Les attaques par ransomware, qui consistent à chiffrer les données d’une organisation pour ensuite exiger une rançon, ont augmenté de 150 % au cours des cinq dernières années. En France, des entreprises de toutes tailles, ainsi que des institutions publiques, ont été touchées, certaines perdant des millions d’euros en raison de ces attaques. Par ailleurs, les attaques de phishing, visant à tromper les individus pour obtenir des informations sensibles, ont explosé, avec une augmentation de 65 % en 2023. Les dénis de service distribués (DDoS) sont également en hausse, perturbant les services en ligne et causant des pertes financières significatives. L’ensemble de ces observations sont mises en avant dans le rapport 2023 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Face à l’intensification des cybermenaces à un rythme exponentiel, tant sur le plan du nombre que sur le plan du perfectionnement technique, il est impératif de développer une culture de la cybersécurité dès le plus jeune âge. Intégrer l’enseignement de la cybersécurité au lycée permet de sensibiliser les élèves aux risques numériques qu’ils rencontreront inévitablement dans leur vie professionnelle mais aussi, et avant toute chose, personnelle.

La classe de terminale se présente comme une occasion décisive pour consolider certains réflexes et connecter les professionnels de demain avec les sujets cyber. Après un travail d’introduction et d’appropriation par la pratique effectué en classes de seconde et de première, la classe de terminale et la case « baccalauréat » représentent un tournant décisif : à l’étape suivante, les lycéens ont la possibilité de prendre une voie qui les mènera tout droit vers les métiers de la cybersécurité, que ceux-ci présentent ou non une dominante technique. L’enseignement et l’éveil aux sujets cyber mené lors de cette dernière année de lycée sont donc d’autant plus décisifs.

La demande pour les professionnels de la cybersécurité ne cesse de croître. Les prévisions indiquent un besoin de plus de 3,5 millions d’experts en cybersécurité dans le monde d’ici 2025, selon le dernier rapport de Cybersecurity Ventures. En France, le secteur est en plein essor, avec une augmentation annuelle de 10 % du nombre de postes à pourvoir selon les chiffres de l’Observatoire des métiers de la cybersécurité.

Les métiers incluent des rôles divers, de l’analystes en sécurité à l’ingénieurs en Intelligence Artificielle (IA) ou en cybersécurité, en passant par les responsables de la gestion des incidents et les experts en protection des réseaux, sans oublier de nombreux postes à couleur davantage juridique – comme celui de Délégué à la protection des données – ou axés sur la gestion de projet.

Comment les programmes de terminale, qui diffèrent selon le type de lycée et la filière choisie, préparent-ils à ces métiers, du moins aux études supérieures qui vont suivre ?

Il n’existe pas de chemin unique et tout tracé pour se préparer à une carrière dans le domaine de la cybersécurité. Voyons comment les ressorts théoriques et techniques de la cybersécurité sont approfondis selon les différentes filières. Une chose est certaine : la cybersécurité est un enjeu pour tous les baccalauréats.

Pour les élèves du baccalauréat général, la cybersécurité peut être intégrée dans les matières existantes, telles que les sciences numériques et technologie (SNT), les mathématiques ou les sciences économiques et sociales (SES). Voici quelques approches et priorités en fonction de la filière générale choisie :

• Sciences Numériques et Technologie (SNT) : Introduire des notions de base en cybersécurité, comme les menaces courantes (phishing, malwares), les bonnes pratiques (mots de passe sécurisés, mise à jour des logiciels), et des concepts plus avancés comme le chiffrement et la protection des données.
• Mathématiques : Exploiter les notions de cryptographie, en expliquant comment les algorithmes mathématiques protègent les données. Les élèves peuvent étudier des exemples concrets de cryptosystèmes comme RSA ou AES.
• Sciences Économiques et Sociales (SES) : Aborder l’impact économique et social des cyberattaques, les enjeux de la protection des données personnelles, et les aspects légaux de la cybersécurité.

Les filières technologiques, notamment STI2D (Sciences et Technologies de l’Industrie et du Développement Durable) et STMG (Sciences et Technologies du Management et de la Gestion), sont bien positionnées pour intégrer des sujets de cybersécurité :

• STI2D : Les élèves peuvent apprendre la sécurisation des systèmes industriels et des réseaux. Les projets pratiques peuvent inclure la création et la sécurisation de réseaux locaux, ainsi que la mise en œuvre de protocoles de sécurité.
• STMG : Focus sur la sécurité des systèmes d’information, avec des études de cas sur les cyberattaques d’entreprises, la gestion des risques et les plans de continuité d’activité.

Pour les filières professionnelles, telles que le Bac Pro SN (Systèmes Numériques), la cybersécurité est directement liée aux compétences techniques des élèves :

• Bac Pro SN : Intégrer des modules spécifiques sur la sécurité des réseaux, la configuration de pare-feu, la gestion des incidents de sécurité, et les meilleures pratiques en matière de cybersécurité. Les élèves peuvent aussi passer des certifications reconnues dans le domaine, comme le CompTIA Security+.

Une filière se démarque de l’ensemble des propositions : le Bac pro Cybersécurité, Informatique et Réseaux, et Électronique (CIEL), qui mérite un focus particulier.

Le Bac CIEL (Cybersécurité Informatique et Electronique) est spécialement conçu pour former des professionnels compétents en cybersécurité. Ce cursus offre une formation complète couvrant tous les aspects de la sécurité informatique et électronique. Voici un bref aperçu de la manière dont est abordée la cybersécurité dans ce cadre.

Programme théorique

• Introduction à la cybersécurité : Comprendre les enjeux, les menaces et les vulnérabilités.
• Cryptographie : Étudier les méthodes de chiffrement, les certificats numériques et les signatures électroniques.
• Sécurité des réseaux : Apprendre à sécuriser les réseaux, les protocoles de sécurité (SSL/TLS, IPsec) et la configuration des pare-feu.
• Sécurité des systèmes d’exploitation : Analyse des systèmes d’exploitation sécurisés, gestion des droits et des permissions, et protection contre les malwares.
• Législation et éthique : Étudier les lois sur la cybersécurité, les enjeux de la protection des données et l’éthique professionnelle.

Ateliers pratiques

• Simulation d’attaques et d’opérations défensives : Utiliser des environnements virtualisés pour simuler des attaques et mettre en place des défenses appropriées.
• Analyse forensique : Apprendre à enquêter sur des incidents de sécurité, collecter et analyser des preuves numériques.
• Projets réels : Collaborer avec des entreprises pour résoudre des problèmes de cybersécurité réels, développer des solutions de sécurité personnalisées.

Certifications et stages

• Certifications : Encourager les élèves à obtenir des certifications reconnues comme CEH (Certified Ethical Hacker), CISSP (Certified Information Systems Security Professional) ou CompTIA Security+.
• Stages en entreprise : Proposer des stages dans des entreprises spécialisées en cybersécurité pour une expérience pratique et une immersion dans le monde professionnel.

À noter : la première session du Bac pro CIEL aura lieu en juillet 2026. Pour plus de détails sur ce Bac pro de premier plan en cybersécurité, vous pouvez vous reporter à notre article sur le sujet.

L’enseignement de la cybersécurité repose sur une combinaison d’approches pédagogiques actives, conçues pour renforcer la théorie par des applications pratiques. Voici un aperçu détaillé des méthodes et approches employées :

1. 1. Apprentissage par projets : Cette méthode permet aux élèves de s’engager dans des projets concrets, facilitant l’acquisition de compétences pratiques tout en appliquant leurs connaissances théoriques. Les projets, souvent collaboratifs, peuvent inclure la création de réseaux sécurisés, le développement de protocoles de sécurité, ou l’analyse de systèmes vulnérables.

1. 1. Travaux pratiques en laboratoire : Les sessions de laboratoire sont essentielles pour familiariser les élèves avec les outils et technologies spécifiques à la cybersécurité. En manipulant directement ces outils, les élèves renforcent leurs compétences techniques et leur compréhension des concepts fondamentaux de la cybersécurité.

1. 1. Études de cas et simulations : L’analyse de cyberattaques réelles permet aux élèves de comprendre les tactiques utilisées par les cybercriminels et les stratégies de défense correspondantes. Les simulations, incluant des jeux de rôle, plongent les élèves dans des scénarios réalistes où ils doivent réagir à des incidents de sécurité, développant ainsi des compétences pratiques en gestion des incidents.

1. 1. Ressources numériques : Les plateformes d’apprentissage en ligne sont une ressource précieuse, offrant des cours supplémentaires et des matériaux de référence. Des guides pédagogiques, tels que ceux de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), structurent l’enseignement et proposent des activités adaptées aux différents niveaux de compétence.

1. 1. Collaborations et partenariats : Les interactions avec des experts du secteur et des entreprises enrichissent l’apprentissage en apportant des perspectives professionnelles. Les interventions de professionnels, les visites d’entreprises et les stages offrent aux élèves un aperçu direct du monde de la cybersécurité. De plus, des initiatives gouvernementales comme le concours « Cyber Edu » offrent des défis nationaux permettant aux élèves de mettre en pratique leurs compétences dans un contexte compétitif.

1. 1. Actualisation des contenus : La cybersécurité étant un domaine en constante évolution, il est crucial de maintenir les contenus éducatifs à jour pour refléter les dernières avancées technologiques et les nouvelles menaces. Cela garantit que l’enseignement reste pertinent et efficace, préparant ainsi les élèves à relever les défis contemporains de la cybersécurité.

En intégrant ces diverses méthodes pédagogiques, l’enseignement de la cybersécurité en classe de terminale devient non seulement plus engageant, mais aussi plus pertinent et adapté aux besoins du marché actuel.

La transmission des savoirs en informatique et en cybersécurité passe aussi par des événements hors établissements scolaires. L’organisation de concours, challenges et hackathons est un moyen efficace de mettre les lycéens en situation pratique et de les stimuler en leur proposant des cadres inédits, regroupant plusieurs établissements. Un autre moyen de marquer l’acquisition des savoirs est de passer par des certifications. Au-delà de la reconnaissance officielle des acquis, celles-ci ont aussi une valeur symbolique forte pour les apprenants, pouvant jouer directement sur leur motivation. Voici deux références incontournables pour chacune de ces catégories.

Créé en 2022, le challenge « Passe ton Hack d’abord » est organisé à l’échelle nationale et vise tout à la fois :

• les lycéens novices en cybersécurité, afin de leur offrir une initiation stimulante et divertissante ;
• et les lycéens disposant déjà d’une bonne culture cyber, avec pour but de renforcer leurs capacités pratiques et l’intérêt pour ce domaine professionnel.

Le challenge est ouvert à toutes les classes de lycée, de la seconde à la terminale, avec des épreuves adaptées à un niveau de « découvrant ». La communication autour de l’événement met l’accent sur le recrutement de participantes de sexe féminin pour encourager la parité dans un secteur encore largement masculin.

En 2023, le challenge a mobilisé 5 000 lycéennes et lycéens, répartis en 1 180 équipes de deux à cinq élèves, en encourageant la mixité des équipes.

Une certification nationale est délivrée par le groupement d’intérêt « Pix » en fin du cycle de terminale, suivant le cadre de référence des compétences numériques élaboré par la Commission européenne (DIGCOMP). Ce cadre d’évaluation des compétences numériques inclut des domaines spécifiques tels que la protection et la sécurité numériques, la protection des données personnelles et de la vie privée, ainsi que la protection de la santé, du bien-être, et de l’environnement dans le contexte numérique.

En conclusion, les savoirs et approches pratiques proposées dans les différentes classes de terminale se présentent comme une suite logique des introductions déjà déployées en classes de seconde et terminale. Si le baccalauréat professionnel CIEL se présente comme une option de premier plan pour celles et ceux qui sont déjà décidés à débuter une carrière dans ce domaine, l’ensemble des filières de terminales peuvent être une porte d’entrée vers des études supérieures en phase avec les métiers de la cybersécurité, que ceux-ci revêtent une dimension technique forte ou des contours plus généralistes.

Quelle démarche suivre en cas de cyberattaque ?

Toute structure détectant une attaque informatique à l’encontre de ses équipements ou de ses systèmes est tenue de déposer plainte auprès du pôle judiciaire de la Gendarmerie nationale. Cette procédure doit être réalisée par la direction même de l’entreprise. Il est possible de demander un accompagnement auprès du Centre de lutte contre les criminalités numériques.

Il est formellement déconseillé de traiter directement avec les cyberattaquants. Cela pourrait exposer l’entreprise à des risques supplémentaires : les criminels pourraient ainsi renforcer leur emprise sur le système informatique et de récupérer de nouvelles informations confidentielles.

Qu’est-ce que le ransomware ?

Le ransomware ou rançongiciel paralyse l’entreprise en bloquant l’accès à ses outils informatiques ou en prenant la main sur ses données. Un retour à la normale et l’absence de fuite de données sont promis en échange du paiement d’une rançon. 

Le ransomware est la cyberattaque la plus fréquemment signalée par les entreprises, selon les données de l’ANSSI et de la plateforme Cybermalveilance.gouv.fr. Ce logiciel malveillant ou malware est généralement déployé de la manière suivante :

1. Les cybercriminels s’introduisent dans le serveur d’une entreprise par un simple mail frauduleux : c’est la technique du phishing ou hameçonnage.
2. Ils prennent le contrôle d’autres serveurs et de comptes privilégiés.
3. Ils récupèrent les droits administrateur avant de bloquer et chiffrer les données sensibles du système.
4. Une rançon est demandée à l’entreprise contre la promesse de fournir la clé de déchiffrage ou le mot de passe qui mettra fin à l’attaque.

Qu’est-ce que le phishing ?

Le phishing  (« hameçonnage » en français) est une attaque numérique dont le but est d’obtenir des informations sensibles (noms d’utilisateur, mots de passe, numéros de carte de crédit ou autres données personnelles), à inciter la victime à télécharger un logiciel malveillant à son insu ou à la conduire à effectuer une action profitant aux pirates informatiques en charge de l’opération. Ces derniers envoient un e-mail donnant l’apparence d’être authentique. Il contient une pièce jointe ou un lien frauduleux permettant la réussite des opérations frauduleuses signalées précédemment.

Quel est le salaire moyen d’un professionnel de la cybersécurité en France ?

En France, un expert en cybersécurité disposant de trois à cinq ans d’expérience gagne en moyenne entre 40 000 et 70 000 euros bruts par an. Cette rémunération dépend de divers facteurs, notamment de la spécialité du professionnel, de la liste de ses compétences et de leur rareté, ainsi que du poids commercial du recruteur. L’importance stratégique des projets confiés peut aussi avoir une influence non négligeable sur le salaire final.

Quels sont les 5 métiers cyber les plus recherchés en France ?

En 2023, les métiers les plus recherchés par les entreprises dans le domaine cyber étaient les suivants, selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information) :

• 1. Ingénieur en cybersécurité (27 % des offres d’emploi) ;
• 2. Consultant en cybersécurité (14 %) ;
• 3. Architecte cybersécurité (12 %) ;
• 4. Analyste cybersécurité (9%) ;
• 5. Expert en cybersécurité (6%).

Quelle est la formation la plus suivie par les professionnels de la la cybersécurité ?

Selon l’enquête 2023 de l’Observatoire des métiers de la cybersécurité, 51 % des professionnels en cybersécurité ont suivi une formation spécialisée en cybersécurité. 33 % ont opté pour une formation informatique généraliste ou spécialisée dans le numérique (hors cybersécurité).Enfin, 16 % viennent d’un cursus sans lien avec les sujets informatiques.

Liens utiles

• Rapport 2023 de l’ANSSI
• Enquête 2023 de l’Observatoire des métiers de la cybersécurité
• Rapport 2023 de Cybersecurity Ventures