Une nouvelle stratégie nationale pour développer la cybersécurité

Recherche

Après le quantique, le président Emmanuel Macron vient d’annoncer le plan « cybersécurité » du gouvernement pour soutenir et stimuler la filière. Le CNRS s’investit sur la partie recherche et innovation.

« La France fait partie des pays qui comptent en cybersécurité », soutient Gildas Avoine, professeur à l'INSA Rennes. Il a été nommé pilote scientifique du CNRS pour le « Programme et équipements prioritaires de recherche » (PEPR) dédié à ce domaine. Cette discipline particulière – « une des rares où, pour avancer, il faut essayer de casser le travail des autres, et le sien » – rassemble informatique, mathématiques, électronique et traitement du signal pour s’intéresser à la cryptographie et à la sécurité des données, systèmes matériels ou numériques, logiciels et réseaux.

Ce PEPR s’inscrit dans la stratégie nationale d’accélération, incluse dans le PIA4, que le gouvernement vient de présenter. D’un montant d'un milliard d’euros, cette stratégie définit 20 mesures afin de renforcer la filière, de la recherche aux marchés en passant par la formation. Le but, « ambitieux » selon Gildas Avoine : plus que tripler le chiffre d'affaires de la filière d'ici 2025 et, surtout, développer des solutions souveraines. Car le domaine présente de forts enjeux, rendus encore plus visibles lors de la crise sanitaire et l’amplification du télétravail, des achats en ligne ou encore de la télémédecine. Une question de sécurité nationale également, avec le risque de cyberattaques contre les systèmes d’information d’entreprises nationales et de l’État.

Salon cybersécurité
Le CNRS est présent tous les ans au Forum International de la Cybersécurité (FIC) à Lille sous la bannière de l'alliance Allistene (ici avec Lilian Bossuet du Laboratoire Hubert Curien). © Olivier Cappé

Pour relever le défi, la stratégie s’appuie donc sur la recherche française qui est reconnue (voir encadré), en confiant à trois opérateurs nationaux – le CNRS, Inria et le CEA – le pilotage du PEPR, à hauteur de 65 millions d’euros. Un montant qui va « donner un coup de fouet » à un domaine qui est cependant « déjà bien soutenu ». Avec ses homologues, Gildas Avoine entend alors « faire monter en puissance » certaines thématiques comme la sécurité des données multimédias ou la protection de la vie privée, en les « tirant vers le haut grâce à l’excellence déjà présente dans les autres sous-domaines », tels la cryptographie ou les méthodes formelles pour la sécurité1. Dix projets prioritaires ont ainsi été identifiés, qui « font consensus dans la communauté scientifique », et devraient être dévoilés sous peu.

Une communauté scientifique dynamique

Celle-ci compte plus de 1000 personnes, issues des trois organismes choisis pour piloter le PEPR, mais aussi des universités et écoles. Elle se répartit majoritairement sur trois bassins – la Bretagne avec notamment l’unité IRISA2, l’Île-de-France et la région Auvergne-Rhône-Alpes – même si d’autres équipes se sont formées à Nancy, Toulouse, Lille ou encore Montpellier. Une communauté « relativement petite », surtout en termes de permanents (environ 400 chercheurs et enseignants-chercheurs), mais « dynamique ».

La France serait par exemple en pointe sur le vote électronique, d’après le pilote scientifique du PEPR. Un sujet « en plein développement » qui a l’avantage de se situer « à la croisée de la théorie mathématique et des applications industrielles » et ne nécessite pas d’équipement coûteux, explique Véronique Cortier, directrice de recherche CNRS au Laboratoire lorrain de recherche en informatique et ses applications3 (LORIA).

Statistiques sur la communauté cybersécurité française

À ces scientifiques, s’ajoutent plusieurs industriels qui font de la R&D, comme Orange Labs, Thalès ou des PME et start-ups. Particularité du domaine, plusieurs services étatiques sont impliqués dans la recherche. L’Agence nationale de la sécurité des systèmes d'information (ANSSI), qui dépend du Premier ministre, et la branche Maîtrise de l’information de la Direction générale de l'armement représentent une expertise de haut niveau.

Créé en 2016 et piloté par le CNRS, le GDR Sécurité informatique anime aujourd’hui cette communauté, avec des représentants de la vingtaine de laboratoires concernés par le sujet, en plus d’industriels. « La stratégie d’accélération nationale sera l’occasion d’amplifier les activités de notre récent club d’industriels », explique Gildas Avoine qui est aussi directeur de ce groupement de recherche. Car « tous les leviers sont bons » pour mettre en application la volonté « claire mais difficile » du gouvernement de rapprocher les mondes académique et industriel.

  • 1. Les méthodes formelles pour la sécurité donnent des preuves mathématiques de la sécurité de protocoles, algorithmes ou systèmes.
  • 2. Institut de recherche en informatique et systèmes aléatoires (CNRS/Université Rennes 1/ENS Rennes/Insa Rennes/Université Bretagne-sud/Inria/Institut Mines-Telecom Atlantique).
  • 3. LORIA (CNRS/Inria/Université de Lorraine).

La cybersécurité dans le monde : la recherche française reconnue

Derrière les États-Unis et Israël, où les investissements sont considérables et les questions de souveraineté importantes, la France devrait « clairement se dégager », selon Gildas Avoine, notamment en cryptographie. La prestigieuse présidence de l’Association mondiale des cryptographes (IACR) a ainsi été confiée à Michel Abdalla, directeur de recherche CNRS au Département d'informatique de l'École normale supérieure8.

La communauté multiplie les bourses ERC et quatre algorithmes proposés par des équipes impliquant des personnels d’Inria et du CNRS figurent parmi les sept finalistes de la compétition internationale de cryptologie post-quantique organisée par le National Institute of Standards and Technology aux États-Unis. « La recherche est importante dans ce domaine, pas seulement pour faire face à un éventuel futur ordinateur quantique mais aussi pour d’autres applications de sécurité qui intéressent également les industriels », témoigne Pierre-Alain Fouque, dont l’un des algorithmes est finaliste.

Au niveau européen, les pays où « les services de renseignement sont puissants » comme la France, l’Allemagne et le Royaume-Uni, se détachent.

  • 8. CNRS/ENS Paris/Inria.

Soutenir les industriels et start-up

Pour renforcer les synergies entre les acteurs de la filière, le plan Cybersécurité prévoit ainsi la création d’un « lieu totem » : financé par 74 M€, ce campus Cyber ouvrira à la Défense dès cette année et accueillera des industriels de toute taille ainsi que des services étatiques et des académiques.

Les start-up semblent au cœur du projet gouvernemental, afin que le pays maîtrise les technologies des « briques critiques » de la cybersécurité que sont le chiffrement, la supervision de la sécurité et la détection des intrusions, par exemple. Même si le CNRS « s’intéresse surtout aux recherches fondamentales » selon Gildas Avoine, plus d’une vingtaine de start-up sur le sujet sont sorties de ses laboratoires ces dernières années.  Cyber-Detect, fruit de dix années de recherche au LORIA, offre par exemple plusieurs produits et services, notamment en analyse de codes malveillants et de virus informatiques. Lauréate du concours i-lab 2019, la start-up Cosmian propose une plateforme pour diffuser et exploiter des données, notamment personnelles, sans les compromettre : David Pointcheval, directeur de recherche CNRS au Département d'informatique de l'École normale supérieure, s'appuiera sur cette start-up pour mener son ERC "Proof of Concept". Issue du Laboratoire d’informatique et systèmes4, KeeeX développe un certificat d’authenticité numérique universel et inviolable qui protège les documents, les photos et les vidéos contre toute tentative de fraude. Enfin, la start-up rennaise Acklio, issue de l’IRISA, entend sécuriser les échanges tout en garantissant l’interopérabilité des différents réseaux de l’Internet des objets.

Couverture du livre "13 défis de cybersécurité"
Pour identifier les 10 projets prioritaires soutenus par le PEPR, les pilotes scientifiques se sont appuyés sur « des réflexions en amont » menées par la communauté, en particulier le livre « 13 défis de la cybersécurité ».

Afin de créer des emplois, la stratégie nationale reprend également le Grand défi pour la cybersécurité, un financement d’un montant global de 30 millions d’euros à destination des PME. Les académiques pourront en bénéficier en s’associant avec des PME ou via le financement de thèses CIFRE5. Le plan « France Relance6 » facilitera aussi l’accueil d’ingénieurs ou scientifiques issus de l’industrie dans des laboratoires publics et la stratégie d’accélération mentionne la création de formations pour les professionnels, mais aussi pour les jeunes.

Former les scientifiques de demain

Dans ce cadre, le PEPR soutiendra aussi de nombreuses thèses. « Les thématiques encore en retrait en cybersécurité en France le sont notamment par manque d’étudiants », confie Gildas Avoine. Un constat partagé par Véronique Cortier qui envie les bourses « alléchantes » proposées aux étudiants allemands.

Cependant, le nombre de formations pour ce domaine « encore jeune » a « explosé ces dernières années », constate Gildas Avoine. L’ANSSI a labellisé plus de 150 formations, initiales et continues, et estime que ses labels ne couvrent pas la totalité de l’offre disponible. L’École universitaire de recherche en cybersécurité CyberSchool7 a ouvert à Rennes en septembre 2020, avec un budget de près de 6 millions d’euros sur 9 ans. Son directeur, Pierre-Alain Fouque, entend proposer une formation « par la recherche » permettant des débouchées autant dans la recherche académique que dans l’industrie et ce, « en effectuant un stage de recherche le plus tôt possible dans le cursus des étudiants, soit au niveau Master 1 ». Objectif : doubler le nombre d’étudiants en cybersécurité à Rennes, pour atteindre 200 étudiants en master et 150 doctorants (sur les trois années). « Le besoin pour la recherche mais aussi pour l’écosystème économique rennais, est considérable », atteste le chercheur. « Le PEPR et, plus largement, la stratégie nationale devront s’appuyer sur ces futurs scientifiques », conclut Gildas Avoine :  « Nous recherchons bien sûr l’excellence mais nous souhaitons surtout développer des communautés, notamment dans les thématiques encore émergentes. »

  • 4. LIS (CNRS/Aix-Marseille Université).
  • 5. Le dispositif de convention industrielle de formation par la recherche (Cifre) permet à une entreprise de « bénéficier d'une aide financière du MESRI pour recruter un doctorant dont les travaux de recherche, encadrés par un laboratoire public de recherche, conduiront à la soutenance d'une thèse ».
  • 6. Présenté par le Premier ministre le 3 septembre 2020, suite à la crise du COVID-19, le plan « France Relance » est présenté comme une « feuille de route pour la refondation économique, sociale et écologique du pays » avec un budget de 100 milliards d’euros.
  • 7. Labellisée par le PIA3, cette École universitaire de recherche (EUR) a pour partenaires deux organismes de recherche (CNRS, Inria) et huit institutions de formation (Université Rennes 1, Université Rennes 2, CentraleSupélec, ENSAI, ENS Rennes, IMT Atlantique, INSA Rennes, Sciences Po Rennes).