Cybersécurité : « le CNRS en tant qu’organisme pluridisciplinaire a une carte très importante à jouer »

Institutionnel

Avec une augmentation record des cyberattaques ces dernières années et le futur avènement de l’ordinateur quantique, la cybersécurité s’impose comme un enjeu majeur sur le plan industriel, technique et scientifique. Nicolas Porquet, responsable de la coopération avec la filière cybersécurité au CNRS, fait le point sur l’implication de l’organisme dans ce domaine.

Quels sont les enjeux de la cybersécurité ?

Nicolas Porquet1  : Il existe principalement deux types de menaces dans le cyberespace. La première, probablement la plus dangereuse, est d’origine étatique avec comme finalité l’espionnage et la déstabilisation. La seconde est d’origine criminelle avec pour objectif l’extorsion de fonds par une prise en otage des données des victimes qui vont être chiffrées par un « rançongiciel2  ». Ces dernières années, on constate ainsi une augmentation exponentielle des cyberattaques avec le recours accru au télétravail lié au Covid-19. Nous avons assisté à une augmentation de 250 % des attaques par rançongiciels en 20203 . Les cyberattaques sont d’ailleurs classées au 5e rang des menaces mondiales selon le rapport du World Economic Forum4 . Et elles affectent le quotidien de chacun - aussi bien des particuliers que les entreprises ou les institutions publiques de toutes tailles.

De nombreux défis attendent la filière car nous pouvons craindre que les cyberattaques augmentent en quantité et en qualité (c’est-à-dire en niveau de sophistication technique). Elles engendreront de nombreux défis scientifiques à relever sur les thématiques de la détection des logiciels malveillants, la sécurité des données dans le cloud, l’identité numérique et l’authentification ou encore la lutte contre la désinformation en ligne (Deepfake, fake news) ... Le défi scientifique majeur porte dès maintenant sur le développement d’une cryptographie résistante à l’ordinateur quantique (cryptographie post-quantique).  L’ordinateur quantique créera en effet une rupture technologique majeure de par ses capacités en déchiffrement des communications. Certains de ces défis sont détaillés dans le livre Les 13 défis de la cybersécurité publié chez CNRS Éditions.

En quoi le CNRS se positionne-t-il comme un acteur stratégique pour les entreprises de cette filière ?

N. P. : La cybersécurité fait appel à des champs disciplinaires très étendus incluant l’informatique, les sciences humaines et sociales, les mathématiques, la physique ou encore l’électronique.  Le CNRS en tant qu’organisme pluridisciplinaire a donc une carte très importante à jouer au sein de la filière avec de nombreuses opportunités de collaborations scientifiques avec les industriels et les services de l’Etat. La recherche en cybersécurité au CNRS représente 200 personnels de recherche répartis au sein de 29 unités couvrant l’ensemble du territoire. Parmi les thématiques de recherche : le codage et la cryptographie pour lesquels le CNRS est en pointe au niveau international, mais également les méthodes formelles pour la cybersécurité (utilisées par exemple pour la détection de logiciels malveillants), la sécurité des données multimédias, la sécurité des systèmes matériels… Face à ces défis scientifiques, le CNRS se place comme un acteur incontournable de la recherche en cybersécurité pour mieux protéger notre société et garantir notre souveraineté.

Comment la stratégie nationale d’accélération en cybersécurité se décline-t-elle en matière de recherche académique, d’innovation et de collaboration entre acteurs de la filière ?

N. P. : Le CNRS est copilote, au côté d’Inria et du CEA, du Programme et équipements prioritaires de recherche (PEPR) en Cybersécurité, lancé en juin 2022, doté de 65 millions d’euros sur 6 ans. Ce PEPR vise à accélérer la recherche fondamentale sur 10 projets portant sur deux grands axes qui font consensus dans la communauté scientifique – la sécurité de l’information et la sécurité des systèmes. La stratégie nationale d’accélération Cybersécurité décline également plusieurs mesures à destination des entreprises pour favoriser le développement d’innovations de rupture souveraines dans le domaine. Cette stratégie incite au développement d’approches collaboratives et coopératives entre acteurs de la filière, dynamique dans laquelle le CNRS s’inscrit pleinement. C’est dans ce cadre que le Campus Cyber5  a vu le jour mi-février 2022, lieu totem de la cybersécurité en France au sein duquel le CNRS réside et collabore avec le CEA, l’Inria et les Universités et Grandes Écoles. Le Groupement de recherche en Sécurité Informatique (GDR SI) qui regroupe 1300 chercheuses et chercheurs de l’ESR français en Cybersécurité, a pour objectif de partager les connaissances en cyber, de faire dialoguer l’ensemble de l’Écosystème et se pose en outil complémentaire du Campus Cyber. Nous organiserons, comme l’années dernière, les Journées Nationales du GDR SI au Campus Cyber les 26, 27, 28 juin prochains. Cet évènement scientifique phare permet de réunir la recherche mais aussi des services de l’État et entreprises pour traiter des dernières avancées de la recherche en sécurité informatique.

Le CNRS a mis en place l’année dernière un cycle de trois tables rondes en cybersécurité qui se poursuit sur 2023. Cela fait partie des nombreux outils que propose le CNRS pour renforcer les relations avec les entreprises de la filière…

N. P. : En effet, la première table ronde portant sur le continuum entre recherche, innovation et création d’entreprise s’est tenue avec des chercheurs entrepreneurs6 , des dirigeants d’entreprises (Jean-Noël de Galzain7  et Regis Lhoste8 ) et CNRS Innovation. L’objectif était de faire un état des lieux des outils de collaboration, mais également de montrer comment il est possible de renforcer les collaborations entre recherche et entreprise pour passer d’un concept scientifique à un produit innovant en cybersécurité. Nous continuons ce cycle en 2023 avec une table ronde le 21 Mars 2023 sur l’apport des SHS en cybersécurité, puis le vote électronique et la démocratie numérique9 .

Le CNRS dispose de nombreux autres outils pour favoriser des collaborations avec parmi, eux les laboratoires communs, outil de collaboration au long court entre une entreprise et un ou plusieurs laboratoires. Le laboratoire commun Cybermalix10  est par exemple une collaboration entre l’éditeur européen de logiciels de cybersécurité WALLIX, le CNRS, Inria et l’Université de Loraine. On trouve également des collaborations plus classiques avec par exemple les thèses CIFRE11  en partenariat avec des industriels.

Le programme de transfert du campus Cyber en cours de lancement, doté de 40 millions d’euros sur une durée de 5 ans, constitue une autre déclinaison de la stratégie nationale. Il prévoit le financement de projets de recherche appliquée et de projets de développement expérimental et de transfert technologique. Dans ce cadre, des consortia vont se créer entre les partenaires académiques et des entreprises ainsi que des services de l’Etat pour le développement d’innovations de rupture.

Enfin, CNRS formation entreprises proposera en octobre 2023 une formation courte de sensibilisation aux problématiques de la cybersécurité intitulée « panorama de la cybersécurité ». Cette formation pluridisciplinaire s’adresse aux décideurs dans le secteur public ou de l’entreprise, impliqués directement ou indirectement dans une stratégie de cybersécurité.

  • 1Rattaché à la Direction des Relations avec les Entreprises, il est responsable de la coopération avec la filière Cybersécurité et est également point de contact CNRS au Campus Cyber La Défense.
  • 2Technique d’attaque courante employée par les cybercriminels, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. Ce chiffrement malveillant peut s’accompagner d’une exfiltration des données confidentielles de la victime.
  • 3Données Agence nationale de la sécurité des systèmes d’information (ANSSI). L'ANSSI est l'autorité nationale en matière de sécurité et de défense des systèmes d'information.
  • 4Forum économique mondial ou appelé forum de Davos.
  • 5Le Campus Cyber rassemble les principaux acteurs nationaux et internationaux de la cybersécurité. Il permet d’accueillir sur un même site des entreprises (grands groupes, PME), des services de l’État, des organismes de formation, des acteurs de la recherche et des associations. Le Campus Cyber met en place des actions visant à fédérer la communauté de la cybersécurité et à développer des synergies entre ces différents acteurs.
  • 6Ludovic Perret et Jean-Yves Marion.
  • 7CEO et cofondateur de Wallix.
  • 8Directeur général de Cyber Detect.
  • 9Avec comme invitée Véronique Cortier, médaille d'argent du CNRS 2022 dont les thèmes de recherche portent sur le vote électronique et plus précisément sur le chiffrement des données et l’anonymisation.
  • 10Laboratoire commun spécialisé en cybersécurité et plus spécialement sur l’utilisation de l’IA dans ce domaine.
  • 11Le dispositif des Conventions industrielles de formation par la recherche (Cifre) permet à l'entreprise de bénéficier d'une aide financière pour recruter un jeune doctorant dont les travaux de recherche, encadrés par un laboratoire public de recherche, conduiront à la soutenance d'une thèse.

Le CNRS approche les filières industrielles

Dans le cadre de son contrat d’objectifs et de performance 2019-2023, le CNRS a mis en place une stratégie d’approche des filières industrielles françaises, notamment en se rapprochant des Comités stratégiques de filière installés par le Conseil national de l’industrie. Depuis 2019, neuf filières stratégiques1  ont été ciblées pour ainsi développer les collaborations entre le CNRS et les entreprises avec des équipes dédiées. Leur mission : croiser les connaissances et outils disponibles au sein des laboratoires avec les enjeux qui existent sur toute la chaîne de valeur de chaque filière, afin d’établir, avec les acteurs concernés, des feuilles de route communes de recherche qui serviront de base pour identifier, proposer et conduire des projets et développer des relations bilatérales ou multilatérales avec les entreprises d'un secteur. En cybersécurité, c’est Jean-Yves Marion, directeur du Laboratoire lorrain de recherche en informatique et ses applications2  qui assure la fonction de référent scientifique de la filière. Il met à profit son expérience de chercheur, de co-fondateur de la start-up Cyber-Detect3  et de responsable académique du Laboratoire Commun CyberMallix4  pour accompagner et conseiller la Direction des Relations avec les Entreprises en matière de relations avec les entreprises de la filière.

  • 1Filière Aéronautique ; Filière Automobile, Filière Chimie des matériaux ; Filière Cybersécurité ; Filière Eau ; Filière Électronique ; Filière Energie ; Filière Parfumerie ; Filière Sante.
  • 2CNRS/Institut national de recherche en informatique et en automatique/Université de Lorraine.
  • 3Cyber-Detect développe la suite logicielle GORILLE, basée sur l'analyse morphologique, pour analyser et arrêter les menaces sophistiquées.
  • 4CyberMallix vise à concevoir et de développer des solutions de cybersécurité prédictive, basées sur l’intelligence artificielle, afin de maximiser la détection de logiciels malveillants.