Cybersécurité : garantir la sécurité et la confidentialité par conception

Partager

La force du CEA-List repose sur une habile combinaison de compétences académiques et scientifiques, couplée à une compréhension approfondie des besoins opérationnels réels. Cette légitimité lui permet de concevoir des solutions novatrices et performantes adaptées à l'évolution constante des capacités des attaquants.

Rebecca Cabean

Patricia Mouy

Responsable du programme Cybersécurité — CEA-List

Un pan essentiel de la transformation numérique

La cybersécurité s’est imposée comme un enjeu majeur de la transformation numérique. Elle est la garante de l’autonomie et de la paix dans le cyberespace. Mais les périmètres des systèmes de traitement de l’information, désormais tentaculaires et décentralisés, créent des asymétries flagrantes entre facilité d’attaque et difficulté à défendre. En outre, les interconnexions entre les mondes physique et numérique génèrent de nouvelles menaces : les cyberattaques « cinétiques » dont l’objectif est non plus de compromettre des ressources virtuelles, mais bien des actifs physiques. À ces défis techniques s’ajoutent des impacts fondamentaux sur les questions de souveraineté et de préservation des données privées dans des contextes économiques et géopolitiques complexes.

Pour répondre à cet ensemble de problèmes, le CEA-List mène des actions collaboratives pour développer de nouveaux moyens technologiques. Il apparaît aussi comme un contributeur actif aux stratégies nationales et européennes dans ce domaine.

Une vision innovante de la cybersécurité

Seule une approche hybride homme-machine des tâches de cybersécurité permettra de surmonter l’immense défi que posent les cybermenaces. Il s’agit d’augmenter les connaissances et capacités de jugement des experts en les dotant d’outils décuplant l’efficacité de leurs gestes et de capacités d’agir plus efficacement sur l’ensemble du cycle de réponse aux attaques.

Forts de ces nouvelles capacités, ils interviendront sur l’évaluation et l’audit de systèmes ou la surveillance et le pilotage des réseaux. Leur périmètre d’action s’étendra aux interfaces de ces systèmes numériques avec le monde physique, à leur évolution dans le temps et aux dépendances vis-à-vis des fournisseurs. Les outils développés par le CEA-List, exploitant des fonctionnalités innovantes d’automatisation, de visualisation et d’analyse, forment la pierre angulaire de ces capacités.

Dans un monde soumis à la cybermenace permanente, il est crucial de disposer d’îlots de confiance, en mesure de stocker des informations sûres ou de jouer le rôle de base arrière en cas d’attaques. Ces îlots serviront de têtes de ponts pour le déploiement de systèmes informatiques cybersécurisés.

L’objectif du CEA-List et de ses partenaires est de créer un ensemble de composants logiciels conçus et configurés pour être cyber-résilients et permettre ainsi la constitution de ces îlots :

  • capacités de calcul de confiance, quel que soit l’environnement matériel ;
  • solutions matérielles réduisant les surfaces d’attaque ;
  • solutions logicielles de contre-mesures pour la protection contre les attaques physiques et évaluation pre-silicium de leurs garanties ;
  • capacités de monitoring couvrant les mondes numérique et physique ;
  • capacités d’orchestration sécurisée des exécutions et des communications s’appuyant sur des sondes ultralégères et des fonctions réseaux virtuelles ;
  • solutions de chiffrement qui garantissent la confidentialité des données échangées et traitées.

 

Les approches devront également être compatibles avec les contraintes de sûreté et les contraintes environnementales.

Pour garantir la confidentialité au-delà des îlots de confiance, le CEA-List développe également des solutions pour collaborer et exploiter des données sans les révéler, grâce à un procédé de traitement sur données chiffrées.

L’enjeu des environnements intelligents et distribués

Les systèmes utilisant des registres distribués, des réseaux de neurones, voire l’ordinateur quantique, font partie de cette nouvelle génération de technologies en plein essor. Le List s’attache à développer des techniques et des outils pour protéger ces types de système soumis au risque d’attaques de type adverse.

Ces mêmes systèmes contribuent à construire des approches innovantes de cybersécurité. Le CEA-List explore ainsi l’utilisation de blockchains innovantes pour servir de preuves d’intégrité, et le chiffrement homomorphe des données pour échanger et exploiter des données sans les révéler. Il s’appuie aussi sur l’IA pour décupler les capacités de traitement de données. Nos chercheurs étudient notamment les moyens d’utiliser cette technologie pour transformer en langage mathématique des exigences exprimées en langage naturel en vue de mieux couvrir les aspects sécurité dès les premiers stades de la conception.

Le CEA-List, un moteur de la stratégie française de cybersécurité

Fort de ses compétences de niveau mondial en cybersécurité, et par son positionnement d’organisme de recherche technologique, le List se place en tiers de confiance, en mesure de développer des liens avec les grands donneurs d’ordre tels que l’ANSSI, les industriels majeurs (Thales, EDF, Siemens…), les acteurs académiques (ANR…), et le monde des startups (Parsec…).

Il veille également à répondre aux besoins internes du CEA, et en particulier à ceux de ses missions souveraines.

La cybersécurité est une discipline mêlant théories mathématiques et approches expérimentales. Sur ce second volet, le List revendique des moyens permettant d’épauler ses équipes et ses partenaires à l’aide d’outils et de techniques à l’état de l’art.

Exemples d’outils mobilisés :

  • BINSEC (analyse formelle de code binaire pour la sécurité) ;
  • Frama-C (analyse de programmes) ;
  • CINGULATA (permet de garantir la confidentialité par conception en réalisant des applications capables d’effectuer des opérations sur des données chiffrées sans les déchiffrer) ;
  • COGITO (compilateur qui ajoute des contre-mesures pour protéger les données et le code s’exécutant sur une architecture électronique, contre les attaques physiques par canaux auxiliaires) ;
  • µArchiFI (analyse RTL pré-silicium de processeurs soumis à des attaques par injection de fautes) ;
  • XanthOS (garantit lors de la conception d’un noyau (OS) les propriétés de sûreté de fonctionnement et de sécurité par construction) ;
  • MAX (simulation et analyse de blockchains) ;
  • SIGMO-IDS (détecte les attaques sur les liens de communication et fournit une réponse instantanée via des contre-mesures de sécurité dans les réseaux);
  • NEON (solution SDN ou software defined network dédiée aux réseaux hétérogènes mais aussi une solution pour répondre au Time-Sensitive Networking ou TSN).

Autres axes de travaux de recherche traités au CEA-List :

Le List est partie prenante de plusieurs initiatives et projets européens et nationaux.

 

Exemples de projets

Le List est partie prenante de plusieurs  initiatives et projets européens et/nationaux.

Implication dans la grande majorité des défis du PEPR cybersécurité piloté par le CEA avec :

 

Campus Cyber : le CEA-List est partenaire du lieu emblématique français de la cybersécurité. Il contribue à la dimension académique et recherche et est impliqué dans plusieurs projets comme :

  • SWHSec pour la sécurisation des archives de Software Heritage ;
  • Forward sur l’apport des méthodes formelles pour l’évaluation de la sécurité de composants matériels ;
  • Secubic pour augmenter les capacités de détection des vulnérabilités liées à la chaîne d’approvisionnement logicielle.

 

De nombreux autres projets nationaux comme EMASS (Analyse Mémoire Efficace de Logiciel Système), Comemov (modèles mémoire collaboratifs pour la vérification formelle), RAR TwinSec (Sécurisation matérielle à la conception des systèmes embarqués), Vedysec (vérification dynamique de propriétés de sécurité) ou TAVA (Vers l’automatisation des analyses de vulnérabilités).

Projets européens :

  • Starlight pour renforcer l’autonomie stratégique de l’UE dans le domaine de l’intelligence artificielle (IA) pour les agences de maintien de l’ordre (LEA).
  • TANGO sur une technologie numérique pour des flux de données sécurisés et fiables, garantissant la souveraineté, la gouvernance et la provenance des données pour les citoyens, les entreprises et les administrations publiques en Europe.
  • ORQESTRA pour le  développement de solutions pratiques et certifiables de cryptographie post-quantique pour les systèmes militaires.
  • SecOpera qui tend à fournir une boîte à outils complète d’audit et de tests de sécurité pour identifier les problèmes de sécurité dans les logiciels et matériels open-source.
  • KINAITICS qui explore les nouvelles opportunités d’attaque offertes par les systèmes basés sur l’IA et développe des approches de défense innovantes pour garantir leur robustesse et résilience face aux attaques.
  • Et plein d’autres comme MedSecurance (IOT médical), AInception (IA pour la cyberdéfense), Trumpet (confidentialité des données et IA pour la santé) …
  • Au niveau de la stratégie européenne, son implication s’illustre notamment par sa participation au projet européen ECCO (European Cybersecurity COmmunity), lancé en 2022 par l’Organisation européenne de cybersécurité (ECSO), pour renforcer le soutien de la communauté de la cybersécurité. L’objectif est de soutenir les activités nécessaires pour développer, promouvoir, coordonner et organiser le travail de la communauté de compétences en cybersécurité aux niveau européen et nationaux.

 

Institutionnels : DGA, ANSSI, …

Industriels : Thales, InGroupe, Dawex, EDF, Idemia, Schneider, RTE…

#analyse logicielle #blockchain #chiffrement homomorphe #cybersécurité #méthodes formelles #protection attaques en fautes #sécurité des IA
Plateformes technologiques

Cybersécurité
Identifier les vulnérabilités de systèmes matériels et logiciels et développer des techniques de protection expertes.
Lire la suite