L’actualité nous rappelle quasi-quotidiennement combien la transformation numérique des entreprises, des administrations et de l’ensemble de la société a fait de la cyber sécurité un enjeu majeur. Il est même parfois souhaitable de choisir des fournisseurs de produits ou de services de sécurité en fonction du contexte géopolitique. La guerre en Ukraine a ainsi conduit récemment nombre d’acteurs à un changement de solution antivirale. La maîtrise d’une offre nationale et européenne de technologies et services de cyber sécurité apparait donc indispensable à l’exercice de notre souveraineté numérique.
Dans ce contexte, le constat dressé en 2015 dans le cadre du plan cyber sécurité pour la nouvelle France industrielle[1] reste d’actualité : la filière industrielle française en cyber sécurité se caractérise par l’existence de quelques grands groupes, très orientés vers le marché de la défense, et de nombreuses petites ou très petites entreprises, à l’expertise parfois très grande, mais qui ne peuvent pas viser un marché très large. On peut ajouter que les solutions nationales peuvent en outre, même sur leur marché local, être ignorées au profit de celles de grands acteurs internationaux. Face à ce constat, la revue préconise en particulier d’inciter les grands industriels à davantage investir les marchés civils, de favoriser la création d’ETI à partir des PME les plus prometteuses, de multiplier le nombre de startup innovantes. Cette dernière préconisation s’appuie bien entendu sur la stimulation de l’innovation publique et privée.
Si recherche et innovation technologique sont des concepts distincts, ils sont évidemment très liés. La recherche consiste à produire des connaissances nouvelles ; le transfert de ces connaissances vers le monde économique participe à l’innovation. Dans certains domaines, les connaissances produites sont plus directement exploitables. C’est le cas de la cyber sécurité, domaine pour lequel la composante technologique est essentielle puisqu’il faut tenir compte pour la sécuriser efficacement de la réalité des machines existantes : leurs bases matérielles (hardware), leurs systèmes d’exploitation, leurs logiciels, les technologies réseau qui permettent de les faire communiquer.
On sait cependant que le transfert technologique, qui implique de passer d’un prototype de recherche prouvant la validité d’un concept à un produit minimal, demande un travail important. Pour soutenir ce transfert, les interactions entre les entreprises et les équipes de recherche doivent être facilitées et renforcées, afin de rendre plus aisée l’identification de problèmes industriels intéressant les chercheurs, dont les travaux seront alors susceptibles d’apporter des réponses à des besoins concrets dans le cadre de cas d’usage réels.
Le Campus Cyber
Dans le cadre de France 2030[2], une « stratégie d’accélération[3] Cybersécurité[4] » a été définie, dont une des priorités est précisément de renforcer les liens entre les acteurs de la filière, comprise ici au sens large d’un écosystème d’innovation intégrant chercheurs, start-up, PME, grands industriels, utilisateurs, services de l’État, acteurs de la formation, capital-risqueurs. Cette stratégie d’accélération repose sur la conviction que la réponse aux enjeux de la cyber sécurité passe par une implication équilibrée et sans exclusive de l’ensemble des acteurs cet écosystème. Une opération majeure concrétisant cette vision a été la création, début 2022, du « Campus Cyber » localisé à la Défense près de Paris. Ce campus regroupe d’ores et déjà près d’un millier de personnes dans un espace commun d’environ vingt mille mètres-carrés. Cette logique est en outre déclinée dans certaines régions, où des « campus cyber territoriaux » sont en cours de création.
Le Campus Cyber ambitionne de fédérer les acteurs industriels et de la recherche en multipliant les échanges et en développant une dynamique collective dépassant les clivages habituels. Il vise à apporter à chacun de ses membres des avantages en termes de performances et de compétitivité. A cette fin, il propose un accès à des moyens communs, comme le partage d’information sur les menaces cyber. Il permet de colocaliser des équipes et de jouer sur l’effet de proximité pour développer des partenariats entre elles. Il offre à ses membres une visibilité et une capacité de communication visant à les rendre plus visibles sur la carte de la cyber sécurité européenne et mondiale. Enfin, il entend aussi favoriser la formation initiale et continue en cyber sécurité, action essentielle quand le recrutement de talents est une difficulté majeure pour tous les acteurs de la filière, quel que soit leur type. Le Campus Cyber se positionne ainsi très clairement sur le triptyque Formation-Recherche-Innovation et Entrepreneuriat.
Programme de Transfert du Campus Cyber
La communauté académique française en cyber sécurité est constituée de chercheurs d’organismes de recherche (principalement le CEA, le CNRS et Inria) et d’enseignants-chercheurs d’universités et d’écoles d’ingénieurs. La majorité de ces personnels sont en fait souvent regroupées dans des équipes communes à plusieurs institutions, par exemple dans le cadre d’Unités Mixte de Recherche (UMR) du CNRS ou d’équipe-projet Inria. En outre, cette communauté est animée globalement sur le plan scientifique dans le cadre du groupement de recherche (GDR) en sécurité informatique, auquel participent tous les acteurs. L’implication de ces mêmes acteurs dans le Campus Cyber passe par un programme spécifique piloté par Inria, baptisé Programme de Transfert du Campus Cyber (PTCC). Doté de quarante millions d’euros, ce programme permet en particulier, en cohérence avec les objectifs du Campus Cyber, de susciter et d’assurer la mise en œuvre de projets de recherche cherchant à lever des verrous technologiques actuels et considérés comme importants par des industriels et des organismes étatiques telle que l’Agence Nationale pour la Sécurité des Système d’Information (ANSSI). Plusieurs projets de ce type sont d’ores et déjà en cours de montage pour un lancement avant la fin 2022. Ces projets disposeront d’espaces et de facilités (plateformes numériques, Fab Lab) installées sur le Campus Cyber. Le PTCC va aussi permettre de soutenir la création et le développement d’entreprises innovantes, tout particulièrement en continuité des projets qui auront été réalisés. Enfin, le PTCC va également inclure un volet formation, répondant au besoin des entreprises en exploitant l’expertise de la communauté académique.
Programmes et Équipements Prioritaires de Recherche
La stratégie nationale d’accélération en cyber sécurité intègre aussi un programme spécifique destinée au monde académique, via une action baptisée « Programmes et Équipements Prioritaires de Recherche » (PEPR). Il s’agit de susciter et mettre en œuvre des projets de recherche sur des sujets estimés prioritaires, projets qui devront chercher à produire de nouvelles connaissances (on pourrait parler de recherche amont), même si l’objectif de transfert à terme est souhaité.
La communauté académique française est internationalement reconnue pour son excellence dans certains sous-domaines de la cyber sécurité, tels que la cryptographie et les méthodes formelles. En revanche, d’autres sous-domaines sont moins clairement perçus au niveau international et demandent à être renforcés. Doté de soixante-cinq million d’euros et piloté conjointement par le CEA, le CNRS et Inria, le PEPR Cybersécurité vise donc à maintenir et développer l’excellence de la recherche française en cyber sécurité dans ses sous-domaines forts, tout en en renforçant son impact là où elle est actuellement moins présente. Au final, le souhait est clairement de créer les conditions permettant à terme de produire des produits et services de sécurité souverains dans les différents sous-domaines.
Pour identifier les thématiques des projets des PEPR, l’état a mis en œuvre une démarche à mi-chemin entre financement pérenne et appels à projets ouverts. Ainsi, en consultant des instances jugées représentatives de la communauté de recherche en cyber sécurité, ont été identifiés des sujets d’importance, pour lesquels il pouvait exister une recherche nationale forte ou bien pour lesquels cette recherche demandait à être renforcée. Chacun de ces sujets a ensuite été confié à un ou une scientifique reconnue pour ses travaux antérieurs sur ce sujet et, sur la base de sa connaissance du milieu scientifique national, cette personne a rassemblé un groupe de chercheurs qui a proposé des travaux précis à réaliser dans les 6 ans à venir.
Cette démarche, jugée insuffisamment ouverte par une partie de la communauté, a bousculé les habitudes du monde académique. Son objectif était de répondre à certaines imperfections des modes de financement usuels. Les financements pérennes ne facilitent pas toujours l’émergence spontanée et rapide de compétences dans des thématiques jusque-là peu explorées. Les financements par appels à projets, qui impliquent la constitution de consortium soumettant une réponse qui sera jugée à priori par un comité de sélection constitué de pairs, et qui entrainent le rejet de nombreuses propositions et par là-même le gâchis d’une part importante du travail réalisé par les soumissionnaires.
Au final, sept projets ont ainsi été construits ces derniers mois. Ils impliquent environ 200 chercheurs et enseignants-chercheurs permanents spécialistes de plusieurs disciplines (mathématiques, informatique, électronique, traitement du signal). Ils permettront en outre à près de cent cinquante doctorants de réaliser une thèse dans le domaine de la cyber sécurité. Enfin, des postdoctorants et des ingénieurs de recherche seront aussi financés. Le rôle de ces derniers est particulièrement important dans l’optique du transfert technologique à moyen terme qui est recherché.
Ces sept projets du PEPR visent à étudier la sécurisation du matériel, du logiciel et des données. Lancés en juin 2022, ils portent sur la protection des données personnelles (solutions théoriques et techniques compatibles avec la réglementation française et européenne et tenant compte des contraintes d’acceptabilité), la sécurité des calculs (mécanismes cryptographiques permettant d’assurer la sécurité des données y compris lors du traitement de ces données en environnement non maîtrisé comme dans le Cloud), la vérification des protocoles de sécurité permettant de prouver une identité ou de voter à distance, par exemple (vérification tant au niveau des spécifications de ces protocoles que de leurs implémentations), la défense contre les programmes malveillants (virus comme les rançongiciels, botnet, etc.), la supervision de la sécurité (détection et réponse aux attaques informatiques), la sécurisation des processeurs (RISC-V 32 bits utilisés pour le objets de « l’internet des objets » et à sécuriser contre des attaques physiques ; RISC-V 64 bits utilisés pour des applications plus riches et à sécuriser contre les attaques logicielles exploitant des failles matérielles), la recherche de vulnérabilités (ou la preuve d’absence de telles vulnérabilités). En outre, trois autres projets seront financés prochainement, mais cette fois sur la base d’un appel à projets ouvert opéré par l’Agence Nationale de la Recherche (ANR). Les thématiques retenues pour cet appel à projets sont la protection des données multimédias (marquage vidéo, biométrie, sécurité des systèmes à base d’intelligence artificielle), les techniques d’exploitation des vulnérabilités, la cryptanalyse (recherche de problème dans les primitives cryptographiques et donc l’évaluation de leur sécurité).
On le voit, l’ensemble des projets couvrent largement le domaine de la cyber sécurité, sans toutefois prétendre à l’exhaustivité. Il faut noter également que tout ce qui touche au « risque quantique » est traité dans un autre PEPR, précisément dédié aux techniques quantiques.
Nous avons présenté dans cet article deux actions lancées récemment qui visent à renforcer la production de connaissances et de mécanismes technologiques innovants dans divers sous-domaines relevant de la cyber sécurité : le Programme de Transfert du Campus Cyber et le PEPR Cyber Sécurité. Ces actions cherchent à favoriser le transfert des connaissances et innovations issue du monde académique vers le milieu industriel, contribuant ainsi à créer ou enrichir des produits et services de sécurité souverains, sans lesquels notre souveraineté numérique resterait illusoire. La recherche académique en cyber sécurité souhaite ainsi se montrer en mesure d’apporter sa contribution à la construction de la souveraineté numérique française.
Hubert Duault et Ludovic Mé (Inria)
(1) pour vous en convaincre ;), vous pouvez par exemple saisir le mot Cybersécurité dans notre moteur de recherche (à droite de l’écran) et constater le nombre d’articles de binaire consacré à ce sujet.
Pour aller plus loin
Livre blanc Inria sur la cybersécurité
[1] https://www.ssi.gouv.fr/uploads/2015/01/Plan_cybersecurite_FR.pdf
[2] Nom donné au quatrième Plan d’Investissement d’Avenir (PIA 4), qui vise à rattraper le retard de la France dans certains secteurs et la création de nouvelles filières industrielles et technologiques.
[3] D’autre stratégies d’accélérations ont aussi été définies : cloud, 5G, quantique, IA, mais aussi santé numérique, systèmes agricoles durables, ou développement de l’hydrogène décarboné. Pour plus de détail, voir https://www.gouvernement.fr/strategies-d-acceleration-pour-l-innovation
[4] https://minefi.hosting.augure.com/Augure_Minefi/r/ContenuEnLigne/Download?id=2A6148DF-BF21-4A64-BDF8-79BACE2AE255&filename=686%20-DP%20cyber.pdf
Laisser un commentaire