Une centaine d’experts a pour mission de concevoir des solutions pour l’analyse sécuritaire et la protection de systèmes. Cette expertise s’applique sur toutes les fonctions de sécurité (identifier, protéger, détecter, répondre, remédier) et à différents niveaux allant du logiciel, à la microarchitecture, le réseau, l’analyse et le chiffrement de données, la sécurité des systèmes d’IA …
Les travaux en cybersécurité du CEA-List mobilisent une centaine d’experts ayant pour mission de concevoir des solutions pour évaluer et sécuriser les systèmes numériques.
Les équipes conçoivent ou mettent en œuvre des solutions à l’état de l’art pour répondre aux besoins opérationnels du tissu industriel français et répondre aux enjeux nationaux de cybersécurité.
Pour ce faire, les équipes travaillent de concert avec différents partenaires académiques sur les plans européen et international.
Elles entretiennent des liens forts avec les principaux acteurs industriels de la cybersécurité (Thales, InGroupe, Sopra Steria, Naval Group, Airbus, …) mais aussi avec les institutionnels du domaine (ANSSI, DGA/AID, ENISA, …).
Les chercheurs accompagnent également les activités de recherche des Centres d’Évaluation de la Sécurité des Technologies de l’Information (CESTI), laboratoires reconnus par l’ANSSI et dédiés à l’évaluation de produits sécurisés en vue de certifications (CSPN, Certification de Sécurité de Premier Niveau ou CC, certification la plus avancée de type Critères Communs).
de locaux
chercheurs
sur les 3 dernières années
brevets
de logiciels open-source
Pour tendre vers une détection exhaustive des vulnérabilités, le CEA-List développe plusieurs solutions basées sur les méthodes formelles comme Frama-C pour l’analyse de code source, BINSEC pour l’analyse de code binaire, Codex pour l’analyse modulaire de code pour la preuve de memory-safety, environnement de simulation pour l’analyse de code et µArchiFI pour l’analyse de conceptions matérielles.
Pour sécuriser les systèmes numériques dans toutes leurs dimensions, les experts du CEA-List font appel à une palette d’outils tout aussi innovants :
Les travaux du CEA-List en cybersécurité ne s’arrêtent pas là. En effet, les chercheurs travaillent également sur de nombreux axes comme par exemple , de façon non exhaustive, des techniques de chiffrement avancé comme le FHE ou des solutions pour le chiffrement post-quantique, des , pour rendre infalsifiables les échanges de données sur un réseau, des techniques de fuzzing avancé pour la détection de backdoors, les problématiques autour de la confiance numérique ou alors la sécurité des systèmes d’IA.
Le CEA-List est aujourd’hui reconnu par ses partenaires académiques, industriels, et institutionnels comme un acteur de référence de la filière cybersécurité française et européenne. En témoigne, notamment, sa participation au comité technique du Grand Défi Automatisation de la cybersécurité et son rôle dans la direction stratégique et exécutive du projet européen .
Il entretient des partenariats avec une grande partie de l’écosystème français, et les acteurs de référence au niveau européen.
Le CEA-List travaille conjointement avec l’ANSSI (l’agence nationale pour la sécurité des systèmes d’information) et les ministères des Armées et de l’Intérieur. La coordination s’effectue aux niveaux technique (avec des programmes de recherche suivis entre nos équipes et celles des laboratoires de l’ANSSI entre autres et stratégique (rôle pivot du CEA dans les actions de structuration de la filière pilotées par ces acteurs).
Le CEA-List entretient des relations avec une large partie de la filière cybersécurité : opérateurs, systémiers, intégrateurs, fournisseurs de technologie et de services, éditeurs d’outils, et acteurs de la certification. Ces partenariats touchent l’ensemble des domaines verticaux industriels, depuis l’énergie jusqu’aux transports, aux télécommunications et aux services Internet. Le positionnement de l’Institut est reconnu par la filière comme un gage d’impartialité.
Ses collaborations avec les acteurs académiques ont contribué au développement des outils phares du CEA-List et à leur rayonnement dans un milieu international fortement compétitif. Le CEA-List collabore avec les IRT (SystemX et Nanoelec en particuliier), le CNRS et INRIA et de nombreuses universités (CS, SU, UGA…) pour renforcer la cybersécurité tant au niveau national qu’européen. En partenariat avec les IRT, il développe des solutions pour la sécurisation des infrastructures critiques, des objets connectés et des systèmes embarqués. Avec le CNRS et INRIA et autres partenaires académiques, ils mènent des recherches sur les méthodes formelles, l’IA sécurisée. Le CEA-List travaille également de concert avec ces partenaires académiques pour la création et l’animation de réseaux européens d’excellence, comme SPARTA ou l’ECCC. Ces collaborations visent à innover et à transférer les résultats de la recherche vers l’industrie, tout en renforçant la cybersécurité à l’échelle européenne.
Le CEA est un des acteurs principaux académiques de la stratégie nationale en cybersécurité via une implication notable dans 7 des 10 défis du PEPR Cybersécurité de France 2030 (www.pepr-cybersecurite.fr).
L’outil Frama-C/WP a été reconnu, fin 2021, par le centre de certification national (ANSSI/CCN) comme le troisième outil de méthodes formelles permettant d’atteindre les plus hauts niveaux de certification de sécurité à savoir EAL6 et 7 des critères communs (https://hal.science/hal-03695829).
Snowpack (https://snowpack.eu/), spin-off du CEA créée en 2021, autour de la sécurité des communications réseaux, cumule les distinctions depuis sa création : I-lab 2022, Prix de l’innovation des Assises de la cybersécurité, Label France Cybersecurity et prix de la start-up Forum InCyber en 2024.