Le PEPR Cybersécurité dévoile ses 7 premiers projets ciblés
Piloté par le CNRS, Inria et le CEA, le programme et équipements prioritaires de recherche (PEPR) Cybersécurité, qui vise à soutenir le développement de la filière, présente ses 7 premiers projets.
Alors que les menaces cyber pèsent sur les citoyens et l’ensemble des secteurs d’activités, la course mondiale pour trouver les solutions s’accélère. La France s’est dotée d’une Stratégie nationale cybersécurité en février 2021 – inscrite dans la stratégie nationale d’accélération du PIA4.
Le Programme et équipements prioritaires de recherche1 (PEPR) Cybersécurité, doté de 65 millions d’euros sur 6 ans, constitue le volet recherche amont de cette stratégie. Piloté par le CEA, le CNRS et Inria, il implique également 22 autres partenaires, universités2 et grandes écoles3 . « Au total, ce sont environ 200 chercheuses et chercheurs en informatique, mathématiques, électronique et traitement du signal qui s’impliqueront pour s’intéresser à la cryptographie et à la sécurité des données, systèmes matériels ou numériques, logiciels et réseaux », indique Gildas Avoine, professeur à l'INSA Rennes et pilote pour le CNRS de ce PEPR, rappelant qu’environ 140 thèses seront également financées.
La recherche, soutien amont d’une stratégie nationale
L’objectif de la stratégie d’accélération cybersécurité : tripler le chiffre d'affaires de la filière d'ici 2025 et développer des solutions souveraines alors que le domaine présente de forts enjeux, rendus encore plus visibles lors de la crise sanitaire et l’amplification du télétravail, des achats en ligne ou encore de la télémédecine. « La cybercriminalité pour de l’argent représente la majorité des attaques », souligne Gildas Avoine. La cybersécurité implique également des questions de sécurité nationale, avec le risque d’attaques contre les systèmes d’information d’entreprises nationales et de l’État. « Il y en a beaucoup plus qu’on ne le croit – et il s’agit principalement de renseignement économique », note-t-il.
Alors que la stratégie nationale a pour objectif de développer la filière cybersécurité, « le PEPR doit soutenir ce développement par des actions de recherche spécifiques et par des transferts de connaissance entre académiques et industriels. » Il ajoute : « Par exemple, il existe dans le monde académique des outils très difficiles à prendre en main pour des industriels. C’est le cas par exemple dans le domaine de la vérification de protocoles de sécurité. Le PEPR est l’occasion de rendre ces outils plus accessibles au secteur privé à travers ses actions. »
Sept projets ciblés, de montants allant de 5,5 à 7,5 millions d’euros, ont été présentés le 21 juin au Campus cyber4 à Paris. Ces projets ont été définis par un processus qui a impliqué la communauté scientifique à travers Udice5 , CPU6 , CDEFI7 et Allistene8 , ainsi que ANSSI9 et DGA/AID10 . Et un appel à projets lancé au début de l’été permettra de financer trois projets additionnels. Ce sont donc au total 10 projets portant sur deux grands axes qui font consensus dans la communauté scientifique – la sécurité de l’information et la sécurité des systèmes - que le PEPR Cybersécurité financera.
- 1Les Programmes et équipements prioritaires de recherche (PEPR) visent à construire et consolider un leadership français dans des domaines scientifiques considérés comme prioritaires aux niveaux national ou européen et liés - ou susceptibles d’être liés - à une transformation de grande ampleur, qu’elle soit technologique, économique, sociétale, sanitaire ou environnementale.
- 2Sorbonne Université ; Université Bretagne Occidentale ; Université Bretagne Sud ; Université de Lille ; Université de Lorraine ; Université de Montpellier ; Université de Rennes 1 ; Université de Versailles Saint-Quentin-en-Yvelines ; Université Grenoble Alpes ; Université Jean Monnet St Etienne ; Université Paris-Saclay.
- 3CentraleSupédec/ EDHEC/ ENS Rennes/ENSTA Bretagne/ENS PSL/EURECOM/Grenoble INP/INSA CVL/INSA Lyon/INSA Rennes/Institut Mines Télécom.
- 4Le campus cyber a ouvert à la Défense en 2021 dans le cadre du plan Cybersécurité et accueille des industriels que des services étatiques et des académiques de la spécialité.
- 5Udice est une association d'universités de recherche françaises
- 6Conférence des présidents d'université.
- 7Conférence des directeurs des écoles françaises d'ingénieurs.
- 8Alliance des sciences et technologies du numérique.
- 9Agence nationale de la sécurité des systèmes d'information.
- 10Agence de l'innovation de défense du Ministère des Armées.
Les 7 projets ciblés
1. Projet iPoP (Projet interdisciplinaire sur la protection des données personnelles), piloté par Inria
Projet interdisciplinaire sur la protection des données personnelles, il mélange informatique en lien étroit avec les sciences humaines et sociales – pour son aspect économique relatif à la vente des données personnelles, ou encore législatif en lien avec le RGPD1 . L’objectif est de concevoir des techniques pour protéger des données, mais également pour les "desanonymiser", c’est-à-dire supprimer leurs protections. « Un attaquant est-il capable de le faire ? C’est un vrai travail pour les académiques car les industriels sont plus investis dans la protection que dans l’attaque. »
2. Projet SecureCompute (Sécurité des calculs), piloté par l’ENS PSL
L’objectif du projet est de réaliser des calculs ou du stockage dans un cloud de manière sécurisée sans révéler d’informations sur les données en question. Ce projet adresse des techniques reposant sur la cryptographie encore très gourmandes en ressources. « L’objectif est de faire des calculs sur des données sans révéler ces données. Ainsi, il sera possible de déporter des calculs et du stockage en envoyant des données chiffrées à des prestataires sans devoir leur accorder notre confiance. »
3. Projet SVP (Vérification de protocoles de sécurité), piloté par le CNRS
Ce projet a pour objectif d’analyser la sécurité des protocoles cryptographiques. L’objectif est d’améliorer la maturité d’analyse d’un protocole pour arriver à des protocoles sûrs et sans faille. « Aujourd’hui, la défense des protocoles cryptographique, comme par exemple le protocole ‘https’, fonctionne ainsi : le protocole se fait attaquer, la faille est comprise et réparée, puis le protocole est de nouveau attaqué, etc. Nous devons développer la connaissance autour de la conception de protocoles pour sortir de ce type de cycle infernal. »
4. Projet DefMal (Défense contre les programmes Malveillants) piloté par l’Université de Loraine
L’objectif du projet est d’améliorer la connaissance et la compréhension des programmes malveillants et développer des contre-mesures. Le projet implique les sciences humaines et sociales alors que, dans la majorité des attaques informatiques, l’humain est impliqué comme étant "le maillon faible". « Aujourd’hui, les programmes malveillants sont de plus en plus sophistiqués et parviennent à se cacher, et à cacher ce qu’ils font. Nous devons trouver des nouvelles techniques pour analyser ces programmes et comprendre leurs modes d’opération. »
5. Projet Superviz (Supervision et orchestration de la sécurité), piloté par Inria
L’objectif du projet Superviz est de concevoir des techniques pour protéger les grands systèmes informatiques, comme le parc informatique d’une grande entreprise. « Il est essentiel de concevoir des techniques pour superviser la sécurité des systèmes informatiques en renforçant les mécanismes de protection préventifs et en palliant leurs insuffisances. À noter que le projet considère également les systèmes physiques, comme les capteurs ou les machines connectées aux réseaux informatiques. »
6. Projet Arsene (Architecture SEcurisées pour le Numérique Embarqué), piloté par le CEA
Le projet Arsene porte sur la sécurité matérielle et les processeurs fortement contraints pour l’informatique embarquée, comme les oreillettes ou les systèmes informatiques embarqués dans les voitures. « Sur tous ces dispositifs, nous avons un système contraint avec peu de capacités de calcul et peu de ressources donc moins de possibilité en sécurité. »
7. Projet SECUREVAL (Evaluation de la sécurité des logiciels), piloté par le CEA
Le projet SECUREVAL vise à accélérer de manière coordonnée et structurée la recherche et le développement de solutions de sécurité souveraines et industrialisables. « L’objectif est de réussir à évaluer la qualité du code informatique en termes de sécurité et obtenir des preuves de conformités. »
Enfin le futur appel financera trois projets additionnels sur trois axes thématiques :
- L’axe Protection des données multimédia porte en particulier sur la voix et le son avec l’image et la vidéo. Cet axe couvre plusieurs thèmes allant du marquage vidéo à la biométrie, en passant par la sécurité des IA (avec par exemple les capteurs d’images d’un véhicule autonome et son système de défense aux attaques) ou encore l’hypertrucage ou deepfake, c’est-à-dire la manipulation d’un contenu multimédia.
- L’axe Recherche et techniques d’exploitation de vulnérabilités porte sur la détection de failles dans un système informatique et implique les sciences forensiques2 . L’objectif est de détecter et comprendre les vulnérabilités.
- L’axe Cryptanalyse de primitives cryptographiques porte sur l’analyse de primitives cryptographiques, par exemple pour chiffrer ou signer des données. L’objectif est de concevoir des techniques pour évaluer et éventuellement prouver la sécurité de telles primitives.