Une centaine d’experts a pour mission de concevoir des solutions pour l’analyse sécuritaire et la protection de systèmes. Cette expertise s’applique sur toutes les fonctions de sécurité (identifier, protéger, détecter, répondre, remédier) et à différents niveaux allant du logiciel, à la microarchitecture, le réseau, l’analyse et le chiffrement de données, la sécurité des systèmes d’IA …
Les travaux en cybersécurité du CEA-List mobilisent une centaine d’experts ayant pour mission de concevoir des solutions pour évaluer et sécuriser les systèmes numériques.
Les équipes conçoivent ou mettent en œuvre des solutions à l’état de l’art pour répondre aux besoins opérationnels du tissu industriel français et répondre aux enjeux nationaux de cybersécurité.
Pour ce faire, les équipes travaillent de concert avec différents partenaires académiques sur les plans européen et international.
Elles entretiennent des liens forts avec les principaux acteurs industriels de la cybersécurité (Thales, InGroupe, Sopra Steria, Naval Group, Airbus, …) mais aussi avec les institutionnels du domaine (ANSSI, DGA/AID, ENISA, …).
Les chercheurs accompagnent également les activités de recherche des Centres d’Évaluation de la Sécurité des Technologies de l’Information (CESTI), laboratoires reconnus par l’ANSSI et dédiés à l’évaluation de produits sécurisés en vue de certifications (CSPN, Certification de Sécurité de Premier Niveau ou CC, certification la plus avancée de type Critères Communs).
de locaux
collaborateurs
sur les 3 dernières années
brevets
de logiciels open-source
Le CEA-List développe plusieurs solutions basées sur les méthodes formelles pour identifier la menace et plus précisément les vulnérabilités au niveau logiciel :
Pour la protection des logiciels contre des vulnérabilités autant matérielles que logicielles, le CEA-List propose :
Sur la protection des données, que ce soit en termes de confidentialité ou d’intégrité, le CEA-List développe différentes solutions :
Pour la détection et la réponse d’intrusions au niveau réseau, le CEA-List développe :
Sur la partie recouvrement, le CEA-List met à disposition :
Les équipes du CEA-List travaillent également activement sur la sécurité des systèmes d’IA :
[1] Le fuzzing est une technique de test de sécurité basée sur l’envoi de données plus ou moins aléatoires ou malformées pour détecter des vulnérabilités ou des comportements inattendus.
[2] L’obfuscation est un procédé visant à suffisamment transformer un code informatique pour qu’il devienne illisible, ou très difficilement compréhensible.
Le CEA-List travaille conjointement avec l’ANSSI (l’agence nationale pour la sécurité des systèmes d’information) et les ministères des Armées et de l’Intérieur. La coordination s’effectue aux niveaux technique (avec des programmes de recherche suivis entre nos équipes et celles des laboratoires de l’ANSSI entre autres) et stratégique (rôle pivot du CEA dans les actions de structuration de la filière pilotées par ces acteurs). En témoigne la grande implication du CEA-List dans la stratégie nationale Cyber France 2030.
Au niveau de la stratégie européenne, son implication s’illustre notamment par sa participation au projet européen ECCO (European Cybersecurity COmmunity), lancé en 2022 par l’Organisation européenne de cybersécurité (ECSO), pour renforcer le soutien de la communauté de la cybersécurité. L’objectif est de soutenir les activités nécessaires pour développer, promouvoir, coordonner et organiser le travail de la communauté de compétences en cybersécurité aux niveau européen et nationaux.
Le CEA-List entretient des relations avec une large partie de la filière cybersécurité : opérateurs, systémiers, intégrateurs, fournisseurs de technologies et de services, éditeurs d’outils et acteurs de la certification. Ces partenariats touchent l’ensemble des domaines industriels principalement selon deux axes :
Les chercheurs du CEA-List contribuent activement à faire évoluer l’état de l’art scientifique via de nombreuses publications dans les meilleures conférences du domaine mais également en participant à différents groupes de recherche en sécurité comme le GDR-Secu au niveau national.
Les collaborations de l’institut avec les acteurs académiques ont contribué au développement des outils phares du CEA-List et à leur rayonnement dans un milieu international fortement compétitif. On peut citer l’exemple de l’intégration de techniques de méthodes formelles issues de plusieurs équipes d’Inria dans Frama-C et Binsec ou d’algorithmes de cryptographie issus du CNRS dans la chaîne de compilation Cingulata. Les outils du CEA-List sont, par ailleurs, largement mis à contribution par différents instituts de recherche (IRT SystemX et Nanoelec, en particulier) pour la réalisation de démonstrateurs.
Le CEA est un des acteurs principaux académiques de la stratégie nationale en cybersécurité via une implication dans 7 des 10 défis du PEPR Cybersécurité de France 2030 (www.pepr-cybersecurite.fr).
L’outil Frama-C/WP a été reconnu, fin 2021, par le centre de certification national (ANSSI/CCN) comme le troisième outil de méthodes formelles
permettant d’atteindre les plus hauts niveaux de certification de sécurité à savoir EAL6 et 7 des critères communs (https://hal.science/hal-03695829).
Snowpack (https://snowpack.eu/), spin-off du CEA créée en 2021, autour de la sécurité des communications réseaux, cumule les distinctions depuis sa création : I-lab 2022, Prix de l’innovation des Assises de la cybersécurité, Label France Cybersecurity et prix de la start-up Forum InCyber en 2024.