Axé sur la cybersécurité des systèmes du futur, le projet EIC (Environnement pour l’interopérabilité et l’intégration en cybersécurité) mené sous l’égide de l’IRT SystemX durant cinq ans vient de s’achever.... Il s’agissait de développer, en collaboration avec l’Anssi (Agence nationale de la sécurité des systèmes d'information) et des partenaires industriels et académiques (*), une plate-forme expérimentale de confiance pour évaluer le couplage de plusieurs technologies de cybersécurité.
Selon SystemX, les travaux de R&D menés dans le cadre du projet ont permis de mener à bien plusieurs avancées scientifiques et technologiques, notamment une meilleure connaissance et une anticipation précoce des menaces de cybersécurité, une évaluation de la robustesse des contremesures mises en œuvre dans des cas d’usage réalistes, une réponse unique aux exigences de supervision des attaques au travers d’une gestion opérationnelle intégrée, et une contribution à la sensibilisation aux risques et à l’entraînement des équipes en charge de la sécurité numérique.
Concrètement, à travers ce projet, les équipes impliquées ont bâti une plate-forme technologique baptisée Chess (Simulation et analyse pour l’évaluation de la cybersécurité des architectures de systèmes), labellisée par le Comité de la filière industrielle de la sécurité (CoFIS). Cette plate-forme procure un environnement matériel et logiciel pour les fournisseurs de solutions de sécurité en vue d’une évaluation du niveau de protection atteint par leurs composants dans différents contextes d’utilisation (banques, constructeurs automobiles, opérateurs de transports...).
Ainsi, des cas d’usage variés dans les domaines de l’usine du futur, des véhicules connectés, des smart grids et de l’Internet des objets ont été étudiés sur la plate-forme Chess. SystemX cite en particulier l’utilisation d’une infrastructure de blockchain afin de sécuriser les mises à jour d’objets connectés, l’étude de la viabilité de l’utilisation de la cryptographie homomorphe pour renforcer la sécurité de l’authentification biométrique, la démonstration de la vulnérabilité des smart grids, et l’analyse comportementale d’une baie industrielle de traitement de l’eau et de ses dysfonctionnements.
Notons que durant le projet, SystemX a enquêté auprès d’entreprises, TPE et PME françaises, victimes de cyberattaques réussies, pour quantifier l’impact réel de ces actions malveillantes. Cette étude inédite a permis de montrer, d’une part, que le nombre de cyberattaques réussies, de l’ordre de 2 à 5%, s’avère bien supérieur aux estimations habituellement rendues publiques, tandis que le coût moyen de ces cyberattaques se révèle en revanche beaucoup plus faible que supposé et s’évalue en milliers d’euros.
(*) Airbus, Airbus Defence & Space, Bertin IT, Engie, Gemalto, Prove&Run, Thales pour les industriels, et le CEA et Télécom SudParis/IMT pour les laboratoires de recherche.