Avec l’essor des objets connectés et la multiplication des logiciels qui leur sont associés, les risques de vulnérabilités logicielles croissent considérablement. Pour répondre à ce nouveau défi, le CEA et Systerel, associés au sein du projet LEIA, lauréat du Grand Défi Cybersécurité, proposent une approche inédite et puissante : une plateforme intelligente d’analyse garantissant la sécurité des objets connectés et des logiciels associés.Assurer la sécurité des systèmes incluant des objets connectés est un défi particulièrement complexe. Leurs multiples connexions constituent autant de vulnérabilités potentielles aux cyberattaques : dans le cas d’infrastructures critiques, les conséquences peuvent être catastrophiques. De plus, ces systèmes intègrant de plus en plus de logiciels dont ni l’origine, ni le mode de conception ne sont connus, il est beaucoup plus difficile de fournir des garanties fortes quant à leur immunité. Enfin, ces systèmes sont modulaires : à chaque ajout de logiciel, de nouvelles vulnérabilités peuvent être introduites dans le système.
L’institut CEA-List, spécialiste des systèmes numériques intelligents, et l’entreprise Systerel ont associé leurs expertises en méthodes formelles, analyse de langage et intelligence artificielle au sein du projet LEIA, lauréat du Grand Défi Cybersécurité. Ensemble, ils proposent une approche originale, conjuguant la performance de leurs outils d’analyse logicielle et la puissance de leurs algorithmes d’apprentissage pour mieux cibler les objectifs de sécurité. Le Grand Défi offre un cadre unique pour identifier et exploiter les opportunités de rupture dans la combinaison des méthodes formelles et des techniques d’IA.
La plateforme développée au cours du projet LEIA sera capable d’analyser automatiquement et de manière incrémentale les logiciels et leurs mises à jour, pour garantir la sécurité des objets connectés à des coûts compétitifs. Elle permettra d’effectuer les processus de validation de logiciels, habituellement coûteux en temps, dans un délai plus réduit.
Les résultats visent à constituer un outillage et des capacités clés pour la souveraineté numérique française et l’autonomie stratégique Européenne. Les premières versions seront commercialisées au 2ème semestre 2022, grâce à l’expérience du CEA en transfert technologique et de Systerel dans l’industrialisation des solutions de vérification formelle.
L’objectif principal du projet LEIA est de développer une plateforme fortement automatisée, dédiée à la validation de propriétés de sécurité de logiciels et capable de s’insérer dans des cycles de développement agile. Dans un contexte où les besoins en sécurité logicielle croissent énormément, le projet s’attache à combler le manque d’outils d’analyse capables de fournir des garanties fortes sur la sécurité des programmes cibles.
Pour relever ces défis, et permettre d’offrir des assurances formelles de la sécurité d’une large gamme de logiciels à des coûts compétitifs, le projet se propose d’explorer deux axes de travail principaux. D’une part, l’extension des analyseurs de l’état de l’art afin d’améliorer le passage à l’échelle et de permettre une analyse incrémentale des programmes. D’autre part, l’étude des apports de l’intelligence artificielle dans la mise en œuvre des outils d’analyse, par exemple, pour transformer des exigences exprimées en langage naturel en spécifications formelles qui permettent de mieux couvrir les aspects sécurité dès les premiers stades de la conception.
Les domaines d’expertise respectifs du CEA List et de Systerel, complémentaires, permettent de couvrir l’ensemble des champs nécessaires à la réalisation du projet. Systerel s’appuie sur une expertise en intelligence artificielle et utilisera la force des algorithmes d’apprentissage pour guider très précisément les analyseurs vers les objectifs de sécurité adéquats. Les chercheurs du CEA List développent quant à eux des outils d’analyse de logiciels, notamment Frama-C (langage C/C++) et Binsec (code binaire). Ils mènent des travaux sur les technologies de description et de compréhension des contenus multimédia (image, texte, parole) et multilingues, en particulier à grande échelle et conçoivent et développent également des solutions logicielles basées sur l’intelligence artificielle. Ces outils, développés depuis longtemps au CEA List, s’inscrivent pleinement dans son offre à destination des industriels, conformément à la mission de transfert technologique de l’institut.