Piloté par le CNRS, Inria et le CEA, le programme et équipement prioritaire de recherche (PEPR) cybersécurité vise à soutenir le développement de la filière cybersécurité en France. Lancé ce 21 juin 2022, il s’inscrit dans une stratégie nationale annoncée par Emmanuel Macron le 21 février 2021, dont il constitue le volet recherche amont. Doté d’un budget de 65 millions d’euros sur 6 ans, financé dans le cadre du PIA 4 (accompagnant l'initiative France Relance), le programme intègre 7 premiers projets de recherche ciblés. Le contexte est plus qu’approprié. La menace cyber croît à grande vitesse, impactant tous les secteurs sans exception et s’installant de manière durable dans le monde entier. L’enjeu de cybersécurité est devenu encore plus visible lors de la crise sanitaire, porté par l’amplification du télétravail, et les cyberattaques contre les opérateurs d’importance vitale et les institutions, comme le rapporte l’Anssi dans son dernier Panorama de la menace cyber.
De fait, l’urgence pour trouver des solutions pour protéger la population, les acteurs économiques mais aussi institutionnels, démontre le besoin d’une stratégie nationale cybersécurité. En ce sens et dans le cadre du PIA4, le programme aura pour but de tripler le chiffre d'affaires de la filière d'ici 2025, former plus de professionnels et développer des solutions souveraines. Notons que les résultats du PEPR cybersécurité « nourriront les actions futures de cette stratégie, telles que le programme de transfert du Campus Cyber opéré par Inria ainsi que le prototypage de solutions souveraines dans les appels à projets », rapporte le CNRS dans un communiqué. Le programme implique environ 200 chercheurs et enseignants-chercheurs permanents issus du CNRS, du CEA, d’Inria, ainsi que 22 universités et grandes écoles.
4 projets sécurité de l’information ciblés à travers ce PEPR
Le PEPR soutient des actions spécifiques avec notamment la mise en place de projets ciblés. 7 premiers projets portant sur deux axes – la sécurité de l’information et la sécurité des systèmes – ont été mis sur pied. Côté sécurité de l’information, un premier projet, iPOP (Projet interdisciplinaire sur la protection des données personnelles), vise à étudier les menaces vis-à-vis de la vie privée introduites par ces services et de concevoir des solutions théoriques et techniques de protection de la vie privée, compatibles avec la réglementation française et européenne. Un second, appelé Secure Compute vise à étudier les mécanismes cryptographiques assurant la sécurité des données, au cours de leur transfert ainsi que pendant toute la période de stockage, et lors de traitements.
Deux autres projets portant sur la même thématique sont soutenus. Le projet SVP (Vérification de protocoles de sécurité) aide à l’analyse de protocoles déployés ou en cours de déploiement, aussi bien au niveau des spécifications de ces protocoles, que de leurs implémentations. Il développera des techniques et des outils permettant la mise en place de solutions dont la sécurité ne sera plus remise en question de manière cyclique. Enfin, le projet Defmal (Défense contre les programmes malveillants) étudie les logiciels/programmes malveillants (malware, ransomware, botnet, etc). Il développera d’autres approches pour analyser les programmes malveillants et aider à la compréhension globale de l’écosystème du malware.
3 projets pour la supervision et l'automatisation de la sécurité
La sécurité de l’information va de pair avec la sécurité des systèmes. Ainsi, le projet Superviz (Supervision et orchestration de la sécurité) cible la détection, la réponse et la remédiation aux attaques informatiques, sujets regroupés sous l’appellation de « supervision de sécurité », qui cherche à renforcer les mécanismes de protection préventifs et à pallier leurs insuffisances. Un autre projet, Secureval propose de concevoir des outils pour vérifier l’absence de vulnérabilités matérielles comme logicielles, et réaliser les preuves de conformité requises.
Enfin le projet Arsene vise à accélérer de manière coordonnée et structurée la recherche et le développement de solutions de sécurité souveraines et industrialisables. La mise en œuvre de démonstrateurs ASIC et FPGA intégrant les briques étudiées et développées permettra dans une dernière étape de tester et valoriser ces travaux de recherche.