Cybersécurité : garantir la sûreté et la confidentialité par conception

Un pan essentiel de la transformation numérique

La cybersécurité s’est imposée comme un enjeu majeur de la transformation numérique. Elle est la garante de l’autonomie et de la paix dans le cyberespace. Mais les périmètres des systèmes de traitement de l’information, désormais tentaculaires et décentralisés, créent des asymétries flagrantes entre facilité d’attaque et difficulté à défendre. En outre, les interconnexions entre les mondes physique et numérique génèrent de nouvelles menaces : les cyberattaques « cinétiques » dont l’objectif est non plus de compromettre des ressources virtuelles, mais bien des actifs physiques. À ces défis techniques s’ajoutent des impacts fondamentaux sur les questions de souveraineté et de préservation des données privées dans des contextes économiques et géopolitiques complexes.

Pour répondre à cet ensemble de problèmes, le CEA-List mène des actions collaboratives pour développer de nouveaux moyens technologiques. Il apparaît aussi comme un contributeur actif aux stratégies nationales et européennes dans ce domaine.

Une vision innovante de la cybersécurité

Transformer les experts opérationnels en cyber-centaures

Seule une approche hybride homme-machine des tâches de cybersécurité permettra de surmonter l’immense défi que posent les cybermenaces. Il s’agit d’augmenter les connaissances et capacités de jugement des experts en les dotant d’outils décuplant l’efficacité de leurs gestes et de capacités d’agir plus efficacement sur l’ensemble du cycle de réponse aux attaques.

Forts de ces nouvelles capacités, ils interviendront sur l’évaluation et l’audit de systèmes ou la surveillance et le pilotage des réseaux. Leur périmètre d’action s’étendra aux interfaces de ces systèmes numériques avec le monde physique, à leur évolution dans le temps et aux dépendances vis-à-vis des fournisseurs. Les outils développés par le CEA-List, exploitant des fonctionnalités innovantes d’automatisation, de visualisation et d’analyse, forment la pierre angulaire de ces capacités.

Construire des îlots de confiance et permettre d’exploiter à plusieurs des données sans les révéler

Dans un monde soumis à la cybermenace permanente, il est crucial de disposer d’îlots de confiance, en mesure de stocker des informations sûres ou de jouer le rôle de base arrière en cas d’attaques. Ces îlots serviront de têtes de ponts pour le déploiement de systèmes informatiques cybersécurisés.

L’objectif du CEA-List et de ses partenaires est de créer un ensemble de composants logiciels conçus et configurés pour être cyber-résilients et permettre ainsi la constitution de ces îlots :

capacités de calcul de confiance, quel que soit l’environnement matériel ;
solutions matérielles réduisant les surfaces d’attaque ;
solutions logicielles de contre-mesures pour la protection contre les attaques physiques ;
capacités de monitoring couvrant les mondes numérique et physique ;
capacités d’orchestration sécurisée des exécutions et des communications s’appuyant sur des sondes ultralégères et des fonctions réseaux virtuelles ;
solutions de chiffrement qui garantissent la confidentialité des données échangées et traitées.

Les approches devront également être compatibles avec les contraintes de sûreté et les contraintes environnementales.

Pour garantir la confidentialité au-delà des îlots de confiance, le CEA-List développe également des solutions pour collaborer et exploiter des données sans les révéler, grâce à un procédé de traitement sur données chiffrées.

L’enjeu des environnements intelligents et distribués

De nouvelles sources de vulnérabilité

Les systèmes utilisant des registres distribués, des réseaux de neurones, voire l’ordinateur quantique, font partie de cette nouvelle génération de technologies en plein essor. Le List s’attache à développer des techniques et des outils pour protéger ces types de système soumis au risque d’attaques de type adverse.

Et de nouvelles solutions pour se protéger

Ces mêmes systèmes contribuent à construire des approches innovantes de cybersécurité. Le CEA-List explore ainsi l’utilisation de blockchains innovantes pour servir de preuves d’intégrité, et le chiffrement homomorphe des données pour échanger et exploiter des données sans les révéler. Il s’appuie aussi sur l’IA pour décupler les capacités de traitement de données. Nos chercheurs étudient notamment les moyens d’utiliser cette technologie pour transformer en langage mathématique des exigences exprimées en langage naturel en vue de mieux couvrir les aspects sécurité dès les premiers stades de la conception.

Le CEA-List, un moteur de la stratégie française de cybersécurité

Une position de tiers de confiance

Fort de ses compétences de niveau mondial en cybersécurité, et par son positionnement d’organisme de recherche technologique, le List se place en tiers de confiance, en mesure de développer des liens avec les grands donneurs d’ordre tels que l’ANSSI, les industriels majeurs (Thales, EDF, Siemens…), les acteurs académiques (ANR…), et le monde des startups (Parsec…).

Il veille également à répondre aux besoins internes du CEA, et en particulier à ceux de ses missions souveraines.

Des infrastructures

La cybersécurité est une discipline mêlant théories mathématiques et approches expérimentales. Sur ce second volet, le List revendique des moyens permettant d’épauler ses équipes et ses partenaires à l’aide d’outils et de techniques à l’état de l’art.

Exemples d’outils mobilisés :

BINSEC (analyse formelle de code binaire pour la sécurité) ;
Frama-C (analyse de programmes) ;
CINGULATA (permet de garantir la confidentialité par conception en réalisant des applications capables d’effectuer des opérations sur des données chiffrées sans les déchiffrer) ;
COGITO (compilateur qui ajoute des contre-mesures pour protéger les données et le code s’exécutant sur une architecture électronique, contre les attaques physiques par canaux auxiliaires) ;
XanthOS (garantit lors de la conception d’un noyau (OS) les propriétés de sûreté de fonctionnement et de sécurité par construction) ;
MAX (simulation et analyse de blockchains) ;
SIGMO-IDS (détecte les attaques sur les liens de communication et fournit une réponse instantanée via des contre-mesures de sécurité dans les réseaux).

Des rôles clés dans les grands programmes nationaux et européens

Le List est partie prenante de plusieurs initiatives et projets européens et/nationaux.

Exemples de projets

Projet Sparta (pilote de réseau de compétences lancé par l’UE pour structurer la recherche et l’innovation en Europe en cybersécurité jusqu’en 2027) : le CEA-List est coordonnateur et promoteur du projet européen ;
Campus Cyber : le CEA-List est partenaire du lieu emblématique français de la cybersécurité. Il contribue à la dimension académique et recherche ;
Projet LEIA : au côté de l’entreprise Systerel, le List est partenaire de LEIA, lauréat du Grand Défi Cybersécurité, qui vise à créer une plateforme automatisée d’analyse de logiciels pour garantir la sécurité des objets connectés ;
Projet EIT Digital SNOWPACK_SCALING : dans ce projet, la startup Snowpack exploite la technologie d’invisibilité des échanges sur Internet conçue par le CEA-List. Elle développe avec le List des mécanismes logiciels permettant l’utilisation en toute confiance de la plateforme Snowpack dans un contexte multi-opérateur du réseau. Avec, à la clé, la possibilité pour l’Europe de reprendre l’initiative dans un domaine disputé ;
dans le projet EIT Manufacturing BOOSTER, le CEA-List développe une plateforme de calcul de confiance dans le Cloud pour répondre aux besoins de confidentialité des données dans l’industrie, un enjeu pour assurer la souveraineté numérique européenne. Cette technologie logicielle permet à chaque acteur d’externaliser et de partager des données sensibles avec des tiers sur des infrastructures non fiables, sans recourir à un élément matériel de sécurité. Grâce à cette plateforme, il est possible d’effectuer des traitements sur des données sensibles en « aveugle » : maintenance prédictive, apprentissage fédéré, etc.