Close
  • Français
  • English

02/07/2015En route vers le CERI – l’Institut de recherche européen sur la cybersécurité (Cyber-security European Research Institute) [par le CERI]

La cybersécurité – l’un des plus grands et plus pressants défis de la société, de la science et de l’économie

Aujourd’hui, le bien-être de tous les citoyens, la compétitivité industrielle et la souveraineté des nations sont fortement influencés par le bon fonctionnement de systèmes informatiques de plus en plus complexes et interconnectés. La sécurité de ces systèmes et leur capacité à protéger les données personnelles doivent donc être soutenues par des technologies de pointe. Force est de constater, cependant, que le niveau de cybersécurité n’a pas été en mesure de suivre les demandes toujours croissantes qui lui ont été imposées ces dernières décennies. En effet, des systèmes informatiques défaillants sont utilisés pour espionner et saboter les infrastructures les plus critiques du point de vue de la sécurité (par exemple, les réseaux de distribution d’énergie ou d’adduction d’eau, les réseaux de communication ou de transport, le secteur financier). Internet aussi est devenu un bazar virtuel où les individus échangent librement données et marchandises dans un anonymat relatif, sans crainte d’être tenus pour responsables de leurs méfaits. Enfin, les consommateurs mettent des quantités colossales d’informations personnelles sur les réseaux sociaux et dans le Cloud, sans réaliser les graves problèmes de vie privée que ce type de divulgation numérique pourra causer à long terme. Plus encore que les autres infrastructures critiques, les systèmes informatiques font l’objet d’une évolution technique marquée et toujours plus rapide. De ce fait, il est difficile de définir et de garantir les caractéristiques critiques de ces systèmes, mais dans le même temps, cela permet d’exercer une influence active sur cette évolution plutôt que de simplement s’y soumettre.

 Avantages d’un institut de recherche transfrontalier

Les problèmes sous-jacents sont d’une grande complexité et nécessitent des progrès considérables dans le domaine de la cybersécurité – qui vont de la recherche fondamentale (p. ex. dans les domaines de la cryptographie, de la protection des données personnelles et de l’analyse des logiciels) à la recherche applicative (p. ex. dans le développement de solutions sécurisées pour les logiciels et les systèmes). Bon nombre de ces tâches présentent un intérêt européen (p. ex. la détection précoce et la défense collaboratives contre les cyberattaques, la mise en œuvre technique des exigences européennes ambitieuses en matière de protection des données personnelles, etc.), et les instituts et pôles de recherche existants doivent parvenir à les traiter de la manière holistique et intégrée qui convient. Pour obtenir des solutions durables qui bénéficient d’un soutien international et sont capables d’influencer ce domaine, il est nécessaire d’adopter des approches radicalement nouvelles et de développer des nouvelles formes de coopération entre les meilleurs chercheurs de différentes disciplines (et les unités organisationnelles correspondantes), car jusqu’à présent, leurs approches et leurs objectifs de recherche ont souvent été isolés.

Pour cela, les activités gouvernementales en Europe doivent mettre au cœur de leurs priorités le développement d’une position mondiale de leader dans la recherche sur la cybersécurité afin de comprendre et d’avoir une influence active sur les développements technologiques et de pouvoir formuler des recommandations à l’intention des sphères politique et économique et au grand public. Cela nécessite une stratégie de solutions holistique basée sur une recherche de pointe durable, sur la mise en commun des forces existantes et sur une coopération établie dans ce domaine de recherche. En particulier, il convient de créer des solutions européennes qui se concentreraient sur les frontières nationales. L’Allemagne et la France sont des partenaires très forts et pertinents pour ce type d’initiative dans le domaine de la cybersécurité, pour des raisons tant géopolitiques que de contenu : les deux pays sont des leaders mondiaux dans la recherche sur la cybersécurité et dans les industries et services liés à la sécurité informatique (p. ex. Maltose, Thales, Airbus, etc.), ont une collaboration bien établie au niveau de leurs agences nationales de sécurité respectives (ANSSI et BSI), et peuvent avoir des échanges plus proches et une collaboration plus intense du fait qu’ils sont voisins. En outre, l’établissement d’un institut collectif dépassant les frontières nationales est en parfaite cohérence avec les plans stratégiques d’internationalisation des deux pays, comme par exemple le Plan d’action de coopération internationale du BMBF1 qui vise « à atteindre une nouvelle qualité dans la coopération scientifique européenne et internationale et à faire avancer un peu plus la stratégie d’internationalisation ».

 Accent mis sur le contenu

Pour s’attaquer de manière holistique à tous les problèmes importants et urgents en matière de cybersécurité, un tel institut doit adopter une approche globale de tous les thèmes pertinents dans le cadre d’un programme de recherche stratégiquement aligné. Cela nécessite, d’une part, de mettre fortement l’accent sur les fondamentaux scientifiques de la cybersécurité, d’autre part, d’élaborer des méthodes, des outils et des systèmes prototypes capables de satisfaire les besoins pratiques à moyen/long terme.

Il est impératif de se concentrer sur les thèmes suivants :

Protection de la vie privée
Cryptographie
• – Bases de la cybersécurité
• – Sécurité des systèmes
• – Sécurité utilisable
– Sécurité des réseaux
– Responsabilité
– Criminalistique des ordinateurs et des réseaux
– Ingénierie de logiciels sécurisés
– Garanties de sécurité pour les applications critiques
– Détection, analyse et défense contre les cyberattaques
– Risque et conformité

Les partenaires

Pour créer une dynamique réelle, forte et durable, nous prévoyons de construire le centre entre Nancy et Sarrebruck, avec des collaborations fortes entre les deux pays concernés et avec d’autres partenaires en Europe.

Sarrebruck est en Allemagne l’emplacement naturel pour un institut franco-allemand de cybersécurité. Outre sa proximité avec la France et la multitude de collaborations en cours avec des partenaires français, Sarrebruck est l’un des pôles les plus visibles au monde dans le domaine de la recherche sur la cybersécurité : l’Université de la Sarre héberge déjà le centre national d’excellence sur la cybersécurité (CISPA), qui constitue un pôle d’attraction international sur le site. Cette expertise est renforcée par les instituts partenaires voisins : l’Institut Max Planck pour l’informatique (MPI-INF), l’Institut Max Planck pour les systèmes logiciels (MPI-SWS), le Centre de recherche allemande sur l’intelligence artificielle (DFKI) et le Pôle d’excellence sur l’interaction et l’informatique multimodale (MMCI). La cybersécurité constitue un thème essentiel pour tous ces instituts.

Nancy est en France l’emplacement naturel pour la partie française d’un institut franco-allemand de cybersécurité. Depuis plusieurs décennies, il existe une forte tradition d’étroite collaboration avec des partenaires allemands, en particulier issus de Sarrebruck. Avec l’Université de Lorraine et le CNRS, l’Inria a développé à Nancy une forte compétence en cybersécurité, avec quatre équipes de projet travaillant dans les domaines de la cryptologie, de la cryptographie et des protocoles de vote, de la virologie et de la sécurité des réseaux. Un laboratoire Haute sécurité spécifique a été créé pour héberger des données sensibles et effectuer, dans un environnement sécurisé, des expériences sur les logiciels de sécurité et les logiciels malveillants.

Il existe déjà une longue coopération institutionnalisée entre les sites de recherche sur la cybersécurité de Sarrebruck et de Nancy (p. ex. à travers des programmes comme l’Université de la Grande Région ou des accords-cadres de recherche entre le MPI-INF / CISPA et l’Inria, entre l’Université de Lorraine et le CNRS / LORIA à Nancy, et bien d’autres). Tout ceci fait des sites de recherche sur la cybersécurité de Nancy et Sarrebruck des partenaires tout à fait idéaux pour le concept d’institut proposé, surtout si l’on y ajoute la proximité géographique (en voiture, 90 minutes suffisent pour couvrir la distance Nancy-Sarrebruck). Ce point est un élément essentiel pour une coopération étroite entre les sites.

Structure de l’institut et personnel requis

Le CERI sera réparti entre Nancy et Sarrebruck, avec des chercheurs accueillis sur les deux sites. Il sera dirigé par deux directeurs, un par site. Les directeurs définiront conjointement la stratégie globale commune de développement de l’institut. Outre les directeurs, chaque site comprendra 12 groupes principaux, qui couvriront les domaines de recherche indiqués plus haut. Tous ces domaines de recherche sont en train d’élaborer des principes fondamentaux et des approches méthodologiques qui devront être mis en œuvre dans des prototypes et qui, pour cette raison, comprennent un niveau élevé de développement de logiciels prototypes. Par conséquent, l’institut devrait inclure un soutien en matière de réalisation de logiciels prototypes et, plus particulièrement, garantir l’interopérabilité entre les différents prototypes. L’institut offrira également aux chercheurs un soutien sous la forme de services de secrétariat, d’une aide à la gestion des ressources humaines et des déplacements, et d’une assistance en matière de commandes, d’élaboration des budgets et de comptabilité. Au total, le nombre d’employés de l’institut sera proche de celui des instituts de recherche internationaux comparables : sur chaque site, l’institut hébergera environ 110 à 120 chercheurs, un groupe d’infrastructure d’environ 6 à 8 ingénieurs, plus des administrateurs informatiques et du personnel administratif, ce qui correspondra à un financement de base d’environ 8 Me/an pour chaque site, en plus de ce qui existe actuellement.

Impact sur la recherche, le transfert de technologie et l’innovation en Europe

Grâce au développement d’une initiative aussi ambitieuse, nous prévoyons d’avoir un impact fort et décisif sur la recherche, le transfert de technologie et l’innovation dans le domaine de la cybersécurité. L’institut vise à générer un impact principalement à travers des publications d’excellente qualité, des artéfacts logiciels et des transferts technologiques en direction de l’industrie et des sociétés issues de l’essaimage ; en étant un terrain de formation des élites pour les chercheurs et les étudiants en cybersécurité ; en effectuant des activités de sensibilisation pour les médias et le secteur ; et en exerçant une influence au niveau politique et gouvernemental. Dans ce but, nous collaborerons étroitement avec d’autres grands laboratoires de cybersécurité, basés tant dans les deux pays concernés qu’en Europe et à travers le monde.

État d’avancement

Le concept du CERI a été présenté aux partenaires et a reçu de nombreuses lettres de soutien enthousiastes. Nous espérons donc que la décision de création sera prise rapidement. S’agissant d’un projet très ambitieux, son financement durable fait actuellement l’objet de discussions entre les ministères français et allemand de la recherche et avec les collectivités locales. En particulier, le 22 juin, la Région Lorraine a organisé à Metz un colloque intitulé « Cybersécurité civile en Lorraine : enjeux et propositions – Une dimension nouvelle pour la coopération franco-allemande ».

Personnes de contact :

Michael Backes – CISPA, Université de la Sarre et MPI-SWS

Claude Kirchner- Inria

1 Une version abrégée est disponible à l’adresse suivante : http://www.bmbf.de/pub/International_Cooperation_action_plan.pdf