La granulométrie la plus fine de la recherche publique française est le laboratoire, lui-même dépendant très souvent d’une UMR, unité mixte de recherche. Le « mixte » n’a rien de « genré », mais signifie que cette UMR a plusieurs organismes ou établissements tutelles, université, CNRS ou autres organismes de recherche. Si les universités sont encore très largement autogérées avec un président élu et un corps social qui n’évolue que lentement, on a assisté depuis quelques décennies à une personnalisation forte des organismes de recherche en fonction de leur dirigeant, celui-ci étant maintenant majoritairement un Président-Directeur général.
Ce n’est donc pas une surprise qu’après le départ d’Antoine Petit au CNRS, INRIA entame une évolution de sa stratégie avec son nouveau P-DG, Bruno Sportisse. Cette évolution concerne notamment une structuration de l’offre d’INRIA en matière de partenariat, des objectifs très ambitieux de création de spin-offs et la recherche d’un développement de l’innovation dans 5 secteurs-clés dont défense et sécurité.
A ce titre, la note sur la politique d’établissement stipule que des relations privilégiées doivent être envisagées avec des ministères en très forte demande sur le numérique, notamment dans la sphère Défense-Sécurité, avec des partenariats à envisager au niveau stratégique avec la DGA, et plus généralement l’Agence de l’innovation de défense, et l’ANSSI.
Dans ces secteurs, la transformation numérique de la société crée de formidables opportunités mais entraîne aussi une exposition accrue des systèmes d’information et des données personnelles aux attaques. Les risques sont également majeurs pour les États ou les opérateurs d’importance d’un point de vue humain et économique.
Saluons donc la récente publication d’un livre blanc sur la cybersécurité qui fournit un aperçu des travaux académiques sur différents aspects relatifs à la cybersécurité, avec en particulier une cartographie des activités de recherche menées par les équipes Inria.
Le livre blanc commence par une description des menaces et des modèles d’attaques, que ce soit au niveau matériel, réseau, système d’exploitation, application, ou humain. Face à ces menaces, les « primitives cryptographiques », telles que le chiffrement, constituent une première défense pour garantir la confidentialité et l’intégrité des données. Mais la sécurité de ces primitives doit aussi être continuellement scrutée : c’est le rôle de la cryptanalyse. L’établissement de communications sécurisées, y compris en présence d’attaquants, utilise des protocoles cryptographiques, construits au-dessus des primitives de base. La complexité de ces protocoles rend nécessaire leur validation via des techniques formelles, qui se sont avérées particulièrement efficaces pour la détection de failles ou pour garantir l’absence de certains types d’attaques. Munis de ces primitives et protocoles, l’étape suivante consiste à construire des services de sécurité, par exemple pour l’authentification ou le contrôle d’accès, que ce soit au sein du système d’exploitation ou d’Internet. Cependant, comme rien n’est infaillible, une surveillance de ces systèmes d’informations est aussi nécessaire pour détecter les violations des politiques de sécurité, et des mécanismes automatiques doivent être ajoutés pour pouvoir réagir rapidement en cas d’attaque afin d’en limiter les impacts.
Le respect de la vie privée, aspect essentiel de la cybersécurité, est également complexe, car intégrant aussi des dimensions légales, économiques et sociétales. Plusieurs facettes sont explorées, que ce soit dans la compréhension des principes, dans la construction d’outils, ou dans la mise en évidence des pratiques de captation de données personnelles.
Enfin, différents domaines applicatifs posent de sérieuses questions en matière de cybersécurité, car en devenant connectés, les systèmes numériques ont largement augmenté la surface d’attaque possible et sont devenus potentiellement plus vulnérables.
Ce Livre Blanc identifie plusieurs défis scientifiques et technologiques, notamment :
- Penser la cryptographie post-quantique. Comme l’apparition à moyen terme d’un ordinateur quantique, capable de casser la majorité des systèmes cryptographiques actuels, semble de plus en plus vraisemblable, il faut dès maintenant concevoir des primitives cryptographiques qui résistent à un ordinateur quantique afin que les informations sensibles dans les messages chiffrés aujourd’hui restent indéchiffrables demain.
- Calculer sur des données chiffrées. L’apparition du “cloud” et l’externalisation du stockage et du traitement de données ont créé le besoin de réaliser des calculs sur des données chiffrées pour garantir leur confidentialité. L’’efficacité des chiffrements homomorphes et fonctionnels qui répondent à ces besoins est actuellement insuffisante pour passer à l’échelle et reste un sujet de recherche essentiel avec un impact économique potentiel considérable.
- Prouver de bout en bout des protocoles cryptographiques. Garantir la sécurité de protocoles cryptographiques est extrêmement complexe, que ce soit au niveau des spécifications ou de l’implémentation. Les méthodes formelles et les preuves assistées par ordinateur sont essentielles pour assurer un niveau de confiance suffisant. Il faut donc en généraliser l’utilisation. Il faudrait aussi les étendre pour permettre la certification de propriétés complexes comme l’anonymat.
- Développer la sécurité de l’Internet des Objets.Sécuriser les objets connectés de l’Internet des objets est un défi majeur, du fait de la quasi absence de protection de beaucoup d’entre eux, de leur caractère intrusif dans le monde physique, et de l’ampleur des attaques permises.
- Renforcer la protection de la vie privée des citoyens. L’accroissement massif du volume et du caractère intrusif des collectes de données personnelles pose de nombreuses questions. Des recherches transversales sont nécessaires afin d’apporter la transparence et de mettre en évidence les pratiques, bonnes ou mauvaises, dans ces environnements complexes sujets à de constantes évolutions technologiques.
Signalons aussi deux autres livres blancs publiés par Inria, concernant l’Intelligence Artificielle et les véhicules autonomes et connectés.
Le premier pose les bases d’une vision globale des problématiques liées à l’Intelligence Artificielle et dessine les orientations stratégiques et scientifiques de l’institut. Il invite le lecteur à repenser le transhumanisme, percer les secrets de l’apprentissage automatique… et, pourquoi pas, remettre en perspective une certaine « robot-phobie » ?
Le deuxième fait le point et soulève l’ensemble des problématiques liées aux grandes avancées et innovations dans le domaine des véhicules autonomes et connectés. Quels défis technologiques et scientifiques ? Quels enjeux économiques, sociaux et environnementaux ? Quels impacts légaux et éthiques ? Un texte qui mesure, questionne et anticipe.
https://www.inria.fr/actualite/actualites-inria/inria-publie-son-livre-blanc-sur-la-cybersecurite
https://www.inria.fr/actualite/actualites-inria/livre-blanc-vehicules-autonomes-et-connectes
