Aller au contenu principal

Pentech : Agence de design et de développement web

« The best way to learn to defend is to learn how to attack » Cette citation est d’origine inconnue. Néanmoins, elle est souvent employée lors des Capture The Flag (CTF). Elle fait référence à l’importance de connaître les méthodes et la manière de penser des attaquants. L’intérêt est de mieux savoir où vont essayer de s’introduire les attaquants pour mieux sécuriser les systèmes d’informations. C’est avec cette démarche que nous avons créée, organisé et animé un évènement accessible aux personnes ne travaillant pas dans le secteur de l’informatique. Nous avons décidé de le réaliser sous la forme d’un CTF pour les amener à s’intéresser en profondeur aux risques auxquels on s’expose en utilisant un ordinateur ou un téléphone. L’objectif a été de sensibiliser les participants aux notions basiques de cybersécurité, tout en créant potentiellement de futures vocations.


Comment le format d’un Capture The Flag s’est-il imposé dans le projet ?


Dès le départ, notre objectif était de sensibiliser un public non initié à la cybersécurité, et pour cela, il nous fallait un format qui soit à la fois ludique et accessible. Étant donné que nous venons tous du monde de l’informatique, tous les membres de l’équipe connaissaient le concept. Le CTF nous a semblé être le meilleur moyen de répondre à ces critères. C’est un format qui permet d’apprendre en pratiquant. Les participants se voient résoudre des énigmes en se mettant dans la peau du pirate informatique. Nous avions pour objectif que les participants soient acteurs de leur apprentissage. Nous souhaitions qu’ils puissent appréhender les concepts de sécurité en manipulant directement des outils. C’est pour cette raison que ce format s’est imposé. Il s’agit de la meilleure solution pour créer de l’interactivité. De plus, le CTF permet de structurer l’évènement avec des niveaux de difficulté progressifs. C’est idéal pour des débutants. Cela nous a permis de créer un déroulé clair avec des objectifs qui deviennent de plus en plus compliqués. Chaque membre de notre groupe devait concevoir un ou plusieurs challenges. De cette manière, toute l’équipe a pu contribuer concrètement à la réussite du CTF. Cela a renforcé la cohésion de notre groupe et nous a permis de construire un évènement sur mesure, en accord avec notre vision et nos objectifs.


Quel était le contexte initial du projet ?


J’ai réalisé ce projet durant mon bachelor en Système d’Information à INTECH. J’ai été amené à travailler avec une équipe composée de cinq personnes dans le cadre d’un projet de formation humaine. L’objectif de ces projets était de développer nos compétences transverses afin d’avoir des profils qui répondent mieux aux besoins des entreprises. Pour réaliser cet évènement, nous avions une période de cinq mois où nous devions le concevoir et l’organiser. Plusieurs de nos compétences ont été mis à l’épreuve. La gestion d’un budget et la création d’une stratégie de communication complète sur les réseaux sociaux ont été les plus complexes.


Nous avons dû créer complètement cet évènement. C’est-à-dire que nous avons dû communiquer pour faire connaître l’évènement, trouver des sponsors ainsi que trouver un lieu, le budget et le matériel pour le réaliser. Notre objectif était d’atteindre un total de vingt participants. Nous souhaitons limiter le nombre de participants pour que chaque organisateur puisse proposer un accompagnant personnalisé pour chaque participant. Nous avons décidé de partir avec quatre participants par organisateur. L’intérêt était de pouvoir leur transmettre le plus de notions techniques afin de développer leur connaissance technique vis-à-vis des risques que peuvent engendrer une mauvaise utilisation des appareils informatiques en général.


De nos jours, il est facile de se dire que les nouvelles générations maîtrisent l’outil informatique et par conséquent les risques qui y sont liés. Néanmoins, la réalité est loin d’être identique. Une bonne majorité des nouvelles générations utilisent un téléphone quotidiennement et n’utilisent pas d’ordinateurs. L’utilisation seule du téléphone n’est pas suffisante pour qu’ils aient une maîtrise générale de l’informatique et des risques, c’est d’autant plus vrai que la majorité les utilisent pour les réseaux sociaux. Par conséquent, il nous a semblé important d’essayer de former de manière ludique les principaux risques de leur mauvaise utilisation.


Dans un premier temps, nous avons réalisé un planning prévisionnel de nos tâches pour nous organiser efficacement. Puis, nous avons commencé la réalisation de nos livrables. Nous avons défini notre budget prévisionnel en intégrant les charges nécessaires à la réalisation de notre évènement. Nous avons cherché une salle pouvant accueillir l’évènement dans la région du sud-ouest afin de faciliter sa préparation. Par la suite, nous nous sommes penchés sur les sponsors et les dossiers de sponsoring. Grâce à notre persévérance, nous avons réussi à réaliser un partenariat avec Michel Kartner qui est sûrement le francophone le plus connu quand il s’agit de vulgarisation et de formation autour de la cybersécurité. Il est notamment derrière le site « Le Blog du Hacker ». Suite à cette opportunité, nous avons communiqué et finalisé notre stratégie de communication, ce qui nous a permis de trouver les vingt participants en moins de deux mois.


Dans un second temps, nous devions préparer la salle et animer l’évènement. Pour y parvenir nous devions équiper la salle de plusieurs équipements réseau afin d’assurer une connexion stable pour tous les participants et les organisateurs. Le jour de l’évènement, il ne nous restait plus qu’à rajouter les collations, puis à animer le CTF en suivant le déroulé que nous avions défini. Afin de fluidifier le CTF et dans un besoin d’accessibilité, nous avions défini des temps pour chaque objectif à attendre. Une fois ce temps atteint, les organisateurs devaient orienter, aider et amener les participants à la solution en prêtant fortement attention à leur compréhension de la solution. Grâce à cette méthode, l’évènement pourrait se dérouler sans aucune frustration du côté des participants et mettant en avant le côté ludique de l’évènement.


Nous sommes cinq dans le groupe, mais aucun de nous n’a déjà réalisé une gestion de budget, trouvé un budget, fait des dossiers de sponsoring ou même créé et organisé un évènement en présentiel. De nombreux facteurs pourraient mener à mal la réalisation de ce CTF. Pour y remédier il est important que l’équipe gère bien son temps de travail et la répartition de la charge de travail. Une communication continue entre les membres de l’équipe est aussi importante pour s’assurer qu’aucun des prérequis pour la réalisation de l’évènement ne soit mis de côté.


Quelles ont été les étapes principales du déroulement de ce projet ?


Définition du projet et de l’évènement


a. Fiche projet


Dans un premier temps, nous avons cadré le projet en définissant le contexte, la mission et les objectifs du projet, le tout rédigé dans un document nommé « Fiche de projet ». L’équipe est composée d’étudiants d’INTECH Dax en informatique. Nous proposerons un évènement sous la forme d’un CTF. L’intérêt est de rendre cet évènement ludique malgré sa mission sérieuse et technique. Notre objectif est d’amener des personnes non techniques à réaliser des challenges pour comprendre les schémas de pensée des pirates informatiques afin de s’en protéger. Il s’agira d’une compétition où on amènera tous les participants à la fin, mais les plus performants auront des lots en fonction de leur classement. Sur vingt participants, nous ferons gagner des lots aux cinq premiers. Les lots seront composés de formations sur la plateforme en ligne Udemy ou encore d’abonnements de deux à un mois gratuits sur la plateforme en ligne TryHackMe afin de leur offrir la possibilité de continuer leur formation si elles le souhaitent tout en s’amusant à leur rythme. Notre objectif sera de réaliser un évènement en partant de rien, en passant par la recherche de sponsors, la recherche de sources de finances et de partenariat ainsi que la réalisation et le suivi d’une stratégie de communication.


Illustration 01

b. Charte graphique


Étant donné que nous allons devoir réaliser des flyers et des postes sur les réseaux sociaux, il était important de définir une charte graphique au début du projet afin de garder une cohérence tout au long du projet. Cette étape nous permettra de renvoyer une image professionnelle qui nous aidera directement dans notre recherche de sponsors pour l’évènement.


Illustration 01 Illustration 01

C’est dans cette partie que nous avons créé le logo et choisi les couleurs. Nous avons décidé d’utiliser une couleur ludique qui est souvent utilisée pour les évènements autour des jeux vidéo. L’intérêt était de rendre cet évènement plus accessible et attrayant afin d’avoir des participants moins techniques pour augmenter l’efficacité de notre évènement. L’objectif n’est pas d’utiliser le format de CTF pour sensibiliser des personnes déjà techniques, mais pour sensibiliser des personnes qui en ont besoin.


c. Stratégie de communication & Formulaire d’inscription


Pour faire connaître notre évènement, nous avons décidé de mettre en place un plan de communication et un calendrier éditorial. Dans le plan de communication, nous avons défini et précisé les cibles de l’évènement et donc de la communication. Nous les avons ordonnées par priorité. Dans le premier cercle, nous avons les élèves du Groupe AEN ou des autres écoles d’informatique, les élèves des lycées et les particuliers ou professionnels soucieux de la sécurité informatique. Dans le second cercle, nous avons défini que nous souhaitions être vus par les sites proposant des CTF en ligne, les blogueurs, les influenceurs, les journalistes et les mairies se situant au pays basque et dans les landes. L’intérêt est de faire parler du projet pour lui donner une grande visibilité auprès de personnes potentiellement intéressées pour y participer. Notre stratégie de communication doit nous permettre d’atteindre un total de 22 participants inscrits à l’évènement en passant par notre formulaire d’inscription.


Illustration 01

Dans le plan de communication, nous avons défini la ligne éditoriale en se basant sur deux grands thèmes, la sécurité informatique et la connaissance. Nous allons réaliser des publications pour vulgariser les principes et le fonctionnement d’un évènement du type CTF. Nous commencerons aussi à aborder des sujets de sécurité informatique pour attirer des personnes susceptibles d’être intéressées par l’évènement. Nous avons aussi sélectionné nos canaux de communications en fonction de leur type d’utilisateur et de leur fonctionnalité. Nous utiliserons Facebook pour communiquer sur les différentes actualités de la compétition. Nous utiliserons aussi la fonctionnalité « Evenement » de ce dernier qui permet de définir le lieu et la date du CTF. Les participants pourront ensuite indiquer s’ils sont intéressés par ce dernier. Instagram nous permettra d’avoir des réactions plus instantanées, avec des sondages, des postes informatifs et un compte à rebours qui commencera trente jours avant le jour de l’évènement. Pour affiner notre audience cible, nous avons utilisé les hashtags d’Instagram en sélectionnant ceux avec le plus d’impact en lien avec le lieu et les sujets propres à l’évènement.


Illustration 01 Illustration 01

d. Dossier de sponsoring


Nous avons commencé par définir les sponsors qui pouvaient être intéressants pour le projet. Nous avons tout de suite défini que nous pourrions démarcher les entreprises qui proposent des plateformes pour se former à la cybersécurité en ligne. Nous avons aussi trouvé deux personnalités publiques qui pouvaient répondre parfaitement à nos besoins. Le premier s’appelle « Michel Kartner », il s’agit d’un des formateurs et vulgarisateurs francophones les plus connus. Le second est connu sous le nom de Dr. Firas, il s’agit d’un des formateurs les plus connus de la plateforme de formation en ligne Udemy. Notre objectif était de leur proposer de faire leur promotion au sein de l’établissement du Groupe AEN dans lequel faisait partie l’établissement INTECH, en échange de quelques formations gratuites à offrir comme lot gagnant. À l’aide de la charte graphique réalisée au début du projet, nous avons pu démarcher les sponsors avec des dossiers de sponsoring professionnels. À l’intérieur des dossiers de sponsoring, nous présentons le Groupe AEN, notre équipe ainsi que notre projet. Puis, nous terminons par l’explication détaillée de notre campagne de promotion, de notre budget alloué et des avantages que les deux parties ont gagnés avec cette collaboration. Notre franchise et notre transparence nous ont permis d’obtenir le soutien de Michel Kartner et de Dr. Firas. Malheureusement, nous n’avions pas eu de réponse de la part des plateformes de CTF en ligne. Malgré ce dernier point, nous sommes très fiers d’avoir réussi à avoir des pointures du domaine comme Michel Kartner qui est le créateur du site « Le Blog du Hacker ».


Illustration 01

e. Gestion de budget


Une des phases les plus importantes et délicates du projet a été la définition du budget prévisionnel. Ce fut une phase essentielle, car tout le projet se repose sur le fait de savoir si on sera capable ou non de trouver le budget nécessaire à la réalisation du projet. Nous avons d’abord défini que nous réaliserons des ventes de crêpes au sein du campus de Dax et le week-end pour pouvoir trouver la somme suffisante à la bonne réalisation du projet. Nous avons réalisé plus de cinq ventes de crêpes pour y parvenir. Les ingrédients utilisés ont été compris dans le budget en tant que charge et donc de la part de l’équipe. L’objectif était de mener à bien notre projet. Nous pouvons voir que nous avons réussi à collecter la somme nécessaire grâce à nos sponsors et à nos ventes de crêpes. Nous n’avons pas eu de dépenses superflues ce qui nous a permis de limiter les coûts.


Illustration 01

Réalisation du projet


a. Préparation de notre évènement & Questionnaire de satisfaction


Avant de débuter la préparation de l’évènement, nous avons rédigé un questionnaire de satisfaction pour s’assurer que nous ayons eu un impact positif sur les participants. Nous ne le distribuerons qu’à la fin de l’évènement. Nous avons eu accès à la salle pour l’évènement que le jour même à 10h. Nous avons eu peu de temps pour la préparer. Heureusement, les chaises, les bureaux et le tableau blanc étaient déjà installés. Il nous a juste fallu y installer les équipements réseaux pour recevoir presque trente ordinateurs branchés en Ethernet et faire les tests pour s’assurer de la stabilité du réseau. Nous avons dû chercher chez le traiteur de Leclerc les collations pour l’évènement.


Illustration 01

b. Prestation finale


Pour réaliser cet évènement, nous avons dû trouver une salle, des sponsors, des sources de financements et des participants. Initialement, en voyant la charge et les facteurs difficilement prévisibles, nous nous sommes découragés. Néanmoins, plus le projet a avancé, plus on s’est rendu compte que nous arrivions à réaliser le projet et qu’il avait de fortes chances d’aboutir. Le coup de boost que l’on a eu, c’est lorsque nous avons réussi à avoir le soutien de Michel Kartner qui nous semblait inaccessible. Finalement, en cinq mois, nous avons réussi à mener à bien le CTF. Avec les retours positifs que nous avons eus. Je suis fière d’avoir pu contribuer à sa réussite et de n’avoir rien lâché.


Illustration 01

Qui sont les parties prenantes impliquées dans ce projet ?


La réalisation du projet s’est déroulée sous le cadre de notre formation au sein d’INTECH par conséquent nous avons dû faire particulièrement attention aux normes liées à l’alimentation et nous avons dû veiller à ce que nous soyons couverts en cas de problème avec l’assurance. Nous avons travaillé avec deux partenaires reconnus dans le milieu de la vulgarisation en cybersécurité qui nous ont fourni des formations gratuites à offrir aux gagnants du CTF. Il s’agit de Michel Kartner et Dr. Firas.


Quels bénéfices le CTF a-t-il apporté aux participants et aux organisateurs ?


Je suis fier d’avoir participé à ce projet. Au début du projet, je n’aurais jamais pensé réussir à obtenir le soutien de personne influente dans ce milieu telle que Michel Kartner. Nous avons pu nous confronter à la difficulté de réaliser un évènement sur une période aussi courte. À court terme, notre réseau professionnel s’est fortement agrandi. Nous avons aussi pu bénéficier de certaines formations en cybersécurité offertes par nos partenaires. Sur du long terme, cette expérience aura été bénéfique pour nos projets d’entrepreneuriats et pour notre compétence de vulgarisation de notions techniques en cybersécurité. Finalement, ce fut un projet complexe à réaliser, mais qui nous a récompensé par les retours extrêmement positifs des participants qui nous ont demandé s’ils allaient réitérer l’évènement l’année d’après.


Une fois l’évènement terminé, nous avons fait passer un formulaire à remplir aux participants avant qu’ils partent pour prendre leur avis et leurs axes d’améliorations. Nous avons aussi pu discuter avec eux pour prendre des retours plus approfondis. Nous avons eu des retours globalement très positifs. Ils avaient apprécié l’évènement et en sortaient avec une meilleure compréhension des risques liés à l’utilisation des appareils informatiques. Ils nous ont fait part de leur volonté d’en parler à leurs proches pour les sensibiliser et les protéger contre ces menaces. Ils étaient aussi tous intéressés pour participer à une seconde édition de l’évènement si le projet était amené à être continué. Malgré tous ces avis positifs, nous avons eu deux avis positifs, mais plus sous la réserve, car ils avaient trouvé le CTF passionnant, mais encore trop complexe au niveau des derniers niveaux. Nous avions fait très attention à cette problématique, mais il s’agit de la problématique la plus complexe étant donné que nous venons du domaine de l’informatique et que nous sommes techniques. Des éléments qui pourraient nous sembler innés le sont beaucoup moins pour les participants les moins aguerris. Si nous sommes amenés à refaire des évènements de ce type, nous devrions mettre en place des testeurs de l’évènement avant de l’utiliser pour s’assurer de sa faisabilité par tous les participants.


Quelles difficultés j’ai rencontrées et comment puis-je les surmonter à l’avenir ?


En effectuant cet évènement, j’ai réalisé la difficulté et le niveau de compréhension approfondi qu’il faut avoir pour vulgariser de manière juste une notion technique. Confronter mes capacités de vulgarisation avec de nombreuses personnes non techniques m’a permis d’élever mes exigences au niveau de la maîtrise de mes compétences. De plus, j’ai réussi à mettre en application de nombreuses compétences transverses liées à la gestion d’un budget, à la recherche de sponsors, à l’organisation, à la communication et à l’animation d’un évènement. Toutes ces compétences me seront utiles dans le cadre de mes projets d’entrepreneuriat et pourront potentiellement me mettre utile en entreprise. Actuellement, je bénéficierai surtout de l’amélioration de mes compétences en vulgarisation, étant donné qu’il m’arrive d’organiser des petites conférences sur des sujets techniques au sein de mon équipe au Ministère des Armées.


Une fois cet évènement réalisé et les retours des participants analysés. Deux axes majeurs d’amélioration en sont ressortis. Le premier concerne la vulgarisation des solutions. Même si l’évènement était destiné à un public non technique, certaines explications à la fin des épreuves sont restées trop techniques pour certains participants, malgré un temps dédié à l’explication de chaque solution, avec des exemples concrets. Le second axe concerne le niveau de difficulté des derniers challenges. Deux des participants nous ont exprimé, qu’ils avaient été frustrés de ne pas avoir réussi les derniers niveaux qu’ils ont jugés trop complexes. Ils ont eu une perte de motivation à la fin de l’évènement. C’est pour cela, qu’une piste d’amélioration serait de réajuster la difficulté progressive, ou de proposer des pistes d’aide supplémentaires en cas de blocage. Finalement, nous avons aussi relevé un point important si nous devions refaire un évènement plus gros. Nous devrions organiser l’évènement dans une ville plus grande pour attirer plus de participants et pour avoir davantage de partenariats locaux. Ces retours sont importants et nous permettrons de construire une version encore plus accessible et impactante du CTF à l’avenir.


Pour conclure, ce projet a été une véritable opportunité qui nous a permis de mêler nos compétences techniques et nos compétences humaines. Grâce à ce format interactif et ludique, nous avons réussi à sensibiliser les participants à des notions essentielles de la sécurité. Nous avons aussi pu développer nos compétences transverses. Le choix du format de l’évènement s’est imposé naturellement, étant donné que notre objectif était d’avoir un impact et d’intéresser les personnes non techniques. Les retours des participants ont confirmé la pertinence de ce format et de cet évènement. Cette expérience a mis en lumière l’importance de faire attention à la vulgarisation, à l’accessibilité de l’évènement et à la logistique de ce dernier en présentiel. À l’avenir, je continuerai à renforcer mes compétences en vulgarisation technique tout en continuant à explorer d’autres formats pour partager les bonnes pratiques de cybersécurité, dans un objectif de transmission et de prévention des risques numériques. C’est avec cette démarche que je débute en septembre une formation qui sera avancée en cybersécurité au sein du MS-SIS de l’ESIEA.

Gestion de projet Communication Événementiel Vulgarisation