A l’occasion du FIC, Le CEA présente quatre technologies destinées à renforcer la cybersécurité des systèmes et de leurs composants.

Des objets de la vie quotidienne (smartphone, montres connectées…) aux grandes infrastructures de transport (aéroport, trains à grande vitesse…), le numérique occupe une place de plus en plus importante dans notre vie. Les logiciels pilotent et produisent de nombreuses données sur les états des systèmes et de leurs interactions. Ces systèmes sont devenus des cibles privilégiées pour qui voudrait les compromettre à des fins stratégiques, criminelles ou de vandalisme. Ainsi, pour les particuliers comme pour les entreprises, la confidentialité et l’intégrité des données, la sécurité et la fiabilité des logiciels informatiques et des composants électroniques qui les exploitent sont devenues des sujets essentiels de la transition numérique que vit notre société.

Le CEA présente quatre des technologies qu’il développe dans ce domaine. Celles-ci sont issues des recherches de l’institut CEA-List, labellisé Carnot, spécialisé dans les systèmes numériques intelligents.

Quatre technologies CEA au Forum FIC2019

1. Sécuriser les logiciels critiques

La sécurité de fonctions logicielles critiques est un élément clé de confiance dans les systèmes informatiques. En s’appuyant sur des techniques de raisonnement automatisé, les outils de la plateforme Frama-C, développés par le CEA, permettent d’appuyer l’évaluation de sécurité des composants logiciels exposés, et de fournir des garanties exhaustives d’absence des failles les plus dangereuses. Leur mise en œuvre permet d’établir des différenciateurs qualitatifs, reconnus internationalement, de systèmes numériques de pointe.

La technologie Frama-C s’adresse aux développeurs d’applications critiques dotés de forts objectifs de sécurité. La démonstration intéressera en particulier les développeurs de produits ou les entreprises ayant une vraie sensibilité sur le développement de produits sûrs et sécurisés.

2. Détecter et contrer les attaques ciblant un réseau industriel IoT sans-fil

L’évolution actuelle des réseaux de communication tend vers un accroissement de leur complexité, de leur criticité, et du caractère massif de leur déploiement. Il est nécessaire d’en définir des mécanismes de protection tant préventifs que réactifs destinés à se complémenter l’un l’autre.

Les équipes du CEA développent et transfèrent des solutions de sécurité réseaux réactives et efficaces. Ces dernières doivent être en mesure de détecter des attaques connues et inconnues, et d’y réagir rapidement et de manière appropriée, en particulier dans des topologies IoT.

La technologie s’adresse en particulier aux opérateurs d’infrastructures ou développant des produits intégrés dans des systèmes industriels

3. Renforcer la sécurité des systèmes embarqués IoT contre les attaques physiques

Les attaques par canaux auxiliaires (ou attaques physiques)[1] n’étaient réservées jusqu’à récemment qu’à des laboratoires spécialisés en évaluation sécuritaire et disposant d’équipements et de compétences bien spécifiques. L’évolution des connaissances et des matériels les a rendues aujourd’hui beaucoup plus accessibles et simples à mettre en œuvre.

Face à ces nouveaux risques d’attaque physiques à bas coût des technologies logicielles ont été développées afin de renforcer la sécurité de composants existants et complexifier, voire rendre impossible le travail des attaquants C’est le cas de Cogito, développé par le CEA.

Le démonstrateur met en évidence la nécessité de se protéger contre ces attaques physiques et les contre-mesures proposées, par exemple grâce au principe du polymorphisme de code qui apporte de la variabilité comportementale au composant à protéger, sans dénaturer la fonction originale du composant.

La démonstration intéressera en particulier les développeurs de produits et les industriels souhaitant déployer des produits IoT sécurisés à partir de composants génériques

4. Renforcer la confidentialité des données vis-à-vis du RGPD

Les nouvelles technologies de chiffrement ouvrent de nouvelles voies de sécurisation de données dans le cloud permettant de renforcer la protection de la vie privée et du secret industriel face à la cybercriminalité.

Cingulata, une technologie développée par le CEA, permet de créer des applications de traitement et d’analyse de données sur des serveurs distants non sécurisés, tout en préservant leur confidentialité sur l’ensemble du processus de la collecte à l’utilisation. Les données sont chiffrées à leur création, puis manipulées uniquement sous forme chiffrée, et le résultat des opérations n’est accessible qu’au processeur de la clef de déchiffrement. Avec l’arrivée de la nouvelle règlementation européenne sur la protection des données personnelles (RGPD), Cingulata offre une solution attractive pour garantir la vie privée des utilisateurs sur leurs données critiques tout en permettant la poursuite d’applications existantes voire le développement de nouveaux services bénéficiant de cette technologie.

La démonstration intéressera toutes les sociétés travaillant avec des données sensibles et désireuses d’utiliser la puissance de calcul du cloud pour le traitement de ces données tout en respectant les nouvelles règlementations