Cyber TeachersCyber Teachers
Retour aux articles
Florian Amette

Florian Amette

April 23, 2026

Organiser un CTF pédagogique pour étudiants

CTFcompétitioncybersécuritépédagogieétudiants
Organiser un CTF pédagogique pour étudiants

Organiser un CTF pédagogique pour étudiants

Le CTF : bien plus qu'une compétition

Les compétitions de type Capture The Flag (CTF) sont devenues un incontournable de l'enseignement en cybersécurité. Mais organiser un CTF pédagogique ne se résume pas à installer une plateforme et lancer des challenges. Un CTF réussi demande une préparation méthodique, des choix de format adaptés au public, et une logistique soignée.

Cet article vous guide pas à pas dans l'organisation d'un CTF en contexte scolaire ou universitaire, avec un focus sur le format jeopardy, le plus adapté aux environnements pédagogiques.

Pourquoi le format jeopardy ?

Il existe principalement deux formats de CTF :

  • Attack/Defense : chaque équipe possède une infrastructure à défendre tout en attaquant celles des autres. Ce format est spectaculaire mais complexe à mettre en place et nécessite une infrastructure conséquente.
  • Jeopardy : les équipes résolvent des challenges indépendants classés par catégorie et par difficulté. Chaque challenge résolu rapporte un flag qui vaut des points.

Pour un contexte pédagogique, le format jeopardy présente plusieurs avantages :

  • Simplicité d'infrastructure : une plateforme web suffit, pas besoin de réseau complexe entre les équipes.
  • Progression individuelle : chaque étudiant peut avancer à son rythme sur les challenges qui correspondent à son niveau.
  • Couverture thématique : on peut proposer des challenges dans de nombreuses catégories : sécurité web, cryptographie, forensic, stéganographie, OSINT, reverse engineering.
  • Scalabilité : le format fonctionne aussi bien avec 20 qu'avec 200 participants.

Étape 1 : définir les objectifs pédagogiques

Avant de créer le moindre challenge, posez-vous ces questions :

  • Quel est le niveau des participants ? Des étudiants en première année n'ont pas les mêmes prérequis que des M2 spécialisés. Le CTF doit être calibré en conséquence.
  • Quelles compétences voulez-vous évaluer ou développer ? Un CTF peut servir à consolider des notions vues en cours (par exemple un module sur les injections SQL ou le XSS), ou à introduire de nouveaux concepts par la pratique.
  • Le CTF est-il noté ? Si oui, les modalités d'évaluation doivent être claires et communiquées en amont. Si non, la motivation doit venir de l'événement lui-même.

Étape 2 : choisir la plateforme

Plusieurs plateformes open source permettent d'héberger un CTF jeopardy :

  • CTFd : la plus populaire, simple à déployer, personnalisable, avec un système de plugins.
  • FBCTF (Facebook CTF) : interface visuelle avec une carte du monde, ludique mais moins maintenue.
  • rCTF : plus récente, performante, avec un design moderne.

Pour un premier CTF, CTFd est généralement le choix le plus sûr. La plateforme se déploie facilement sur un serveur ou en local, et sa documentation est abondante.

Points techniques à anticiper :

  • Hébergement : un VPS suffit pour un CTF de petite à moyenne taille.
  • Certificat HTTPS : indispensable si les étudiants se connectent depuis l'extérieur.
  • Sauvegardes : prévoir des exports réguliers de la base de données pendant l'événement.

Étape 3 : concevoir les challenges

La structure idéale

Un bon CTF pédagogique propose une pyramide de difficulté :

  • Challenges d'introduction (faciles) : ils permettent à tous les participants de marquer des points et de prendre confiance. Exemple : décoder un message en Base64, trouver un flag dans le code source d'une page web.
  • Challenges intermédiaires : ils nécessitent des connaissances techniques solides et de la méthodologie. Exemple : exploiter une injection SQL sur une application vulnérable, analyser un dump mémoire.
  • Challenges avancés : réservés aux profils les plus expérimentés, ils demandent de la créativité et une bonne maîtrise technique. Exemple : reverse engineering d'un binaire, exploitation d'une vulnérabilité zero-day simulée.

Les catégories classiques

  • Web : failles applicatives, XSS, CSRF, mauvaises configurations
  • Crypto : chiffrement faible, analyse de protocoles, cassage de clés
  • Forensic : analyse de fichiers, de logs, de captures réseau
  • Reverse : désassemblage, décompilation, analyse de binaires
  • OSINT : recherche d'informations en sources ouvertes
  • Misc : challenges inclassables, souvent ludiques

Les erreurs de conception à éviter

  • Le guessing : un challenge dont la résolution repose sur la chance ou l'intuition plutôt que sur une compétence technique est frustrant et anti-pédagogique.
  • Les rabbit holes : des pistes volontairement trompeuses qui font perdre un temps considérable sans apprentissage.
  • L'absence de validation : chaque challenge doit être testé et résolu par au moins deux personnes avant l'événement pour s'assurer qu'il fonctionne correctement.
  • Le manque de diversité : un CTF composé uniquement de challenges web ou uniquement de crypto exclut une partie des participants.

Étape 4 : le scoring

Scoring statique vs dynamique

  • Scoring statique : chaque challenge a un nombre de points fixe. Simple mais peut créer des déséquilibres si un challenge facile vaut autant qu'un challenge difficile.
  • Scoring dynamique : les points diminuent à mesure que le challenge est résolu par davantage d'équipes. Les challenges que peu de monde résout valent plus. Ce système s'équilibre automatiquement et est généralement préférable.

CTFd supporte nativement le scoring dynamique, ce qui facilite sa mise en place.

Bonus et pénalités

Quelques mécaniques complémentaires peuvent enrichir le scoring :

  • First blood : un bonus pour la première équipe à résoudre un challenge. Ajoute de l'excitation sans déséquilibrer le classement.
  • Hints : des indices disponibles en échange de points. Permet aux étudiants bloqués de progresser sans abandonner.
  • Pas de pénalité pour les mauvaises réponses en contexte pédagogique : l'objectif est d'encourager l'expérimentation, pas de punir les erreurs.

Étape 5 : la logistique du jour J

Avant l'événement

  • Communiquer les prérequis : outils à installer (Burp Suite, Wireshark, Python), niveau attendu, format des flags.
  • Tester l'infrastructure : simuler la charge avec le nombre attendu de participants.
  • Préparer un channel de communication : Discord, Slack ou un chat intégré pour que les participants puissent poser des questions et signaler des problèmes techniques.

Pendant l'événement

  • Prévoir une équipe de support : des encadrants disponibles pour résoudre les problèmes techniques et répondre aux questions sur les challenges.
  • Monitorer la plateforme : surveiller la charge serveur, les tentatives suspectes (partage de flags, brute force).
  • Libérer des challenges progressivement : plutôt que de tout ouvrir d'un coup, débloquer des vagues de challenges maintient l'engagement sur la durée.

Après l'événement

  • Débriefing collectif : c'est le moment le plus important pédagogiquement. Passer en revue les challenges, expliquer les solutions, discuter des approches.
  • Writeups : demander aux étudiants de rédiger leurs résolutions développe leur capacité d'analyse et de communication : des compétences essentielles pour un futur pentesteur ou analyste SOC.
  • Collecte de feedback : qu'est-ce qui a fonctionné ? Qu'est-ce qui était trop facile, trop difficile, frustrant ?

Adapter le CTF à votre contexte

CTF d'une demi-journée

Idéal pour une première édition ou un public débutant. Une dizaine de challenges faciles à intermédiaires, un format court qui maintient l'énergie.

CTF d'une journée complète

Le format standard. Une vingtaine de challenges avec une bonne répartition des niveaux. Prévoir des pauses et un repas.

CTF sur plusieurs jours (en ligne)

Pour les programmes avancés. Les étudiants travaillent à leur rythme, ce qui favorise la recherche approfondie. Attention au risque de triche et au partage de flags entre équipes.

Conclusion : un CTF est un projet pédagogique complet

Organiser un CTF pédagogique, c'est bien plus que mettre des challenges en ligne. C'est concevoir une expérience d'apprentissage complète qui développe des compétences techniques, de la méthodologie, et de la collaboration.

Les efforts investis dans la préparation sont largement récompensés : les étudiants qui participent à un CTF bien organisé en ressortent avec une compréhension concrète de la cybersécurité, une motivation renforcée, et souvent l'envie d'aller plus loin : vers des certifications comme l'OSCP ou des carrières de red teamer.

Besoin d'un intervenant pour concevoir et animer un CTF dans votre école ?
Cyber Teachers vous met en relation avec des professionnels expérimentés dans l'organisation de compétitions pédagogiques en cybersécurité.

Pour aller plus loin

Tous les articles →

Transformez vos formations cybersécurité avec des experts

Expert qualifié en 24h • Formation sur-mesure • Consultation gratuite

logoCyber Teachers
© 2025 Cyber Teachers. Tous droits réservés.

Explorer

Ressources

Réseaux

Légal

Cyber Teachers