La prise de conscience
Imaginez-vous à votre poste de travail quand soudainement l’ordinateur ne répond plus. Autour de vous, les machines de vos collègues souffrent de la même défaillance. Dans la pièce voisine, les automates deviennent fous. Certains tombent en panne quand d’autres deviennent incontrôlables au point d’endommager toute la chaîne de production. Un scénario digne d’une dystopie hollywoodienne ? C’est pourtant ce qu’a subi en 2010 le site nucléaire de Natanz en Iran. Victime d’une cyberattaque perpétrée par le ver informatique Stuxnet, l’usine a perdu le contrôle des centrifugeuses destinées au programme nucléaire iranien qui se sont mises à tourner à des vitesses folles, provoquant des dégâts irréversibles. «
Cet événement a fait réaliser à la communauté internationale que n’importe quel système industriel pouvait être sous cette menace », commente Laurent Olmedo, directeur du programme transversal Sécurité globale à la Direction des applications militaires du CEA.
La cybersécurité, un enjeu de défense et de sécurité nationale
Trois ans plus tôt, l’Estonie faisait également les frais d’une telle déconvenue. Le 27 avril 2007, le pays balte très actif en matière de numérisation de ses services publics, subit une attaque qui déclenche un déni de service généralisé dans ses infrastructures. 22 jours durant, la cyberattaque perdure, mettant hors de service de nombreux distributeurs de billets et prestations bancaires à travers le pays. Les employés gouvernementaux ne peuvent plus s’envoyer d’emails, et les journaux et chaines de télévision sont empêchés de diffuser l’information. «
Ça a été une onde de choc. Si nous avions conscience de la menace cyber, nous n’avions jamais encore vu d’attaque d’une telle ampleur », décrit Bruno Charrat, coordinateur des actions en cybersécurité à la Direction de la recherche technologique du CEA. Aussitôt, un centre de cyberdéfense est mis en place à Tallin par l’OTAN. Et l’année suivante, la France intègre la question de la cybersécurité dans
son livre blanc sur la Défense et la sécurité nationale.
© iStock
Impact économique et industriel de la cybercriminalité
Profitant de la transition numérique, d’autres virus comme Mirai, Notpeya et Wannacry entre 2015 et 2017 ou plus récemment Ryuk ont, eux aussi, trouvé leurs cibles. Ce dernier, un ransomware (logiciel rançonneur) apparu à la mi-août 2019, court toujours et coûte très cher aux entreprises. Sa méthode ? Demander des rançons de centaines de milliers de dollars, sous peine de ne pas débloquer des fichiers pris en otage dans les systèmes informatiques de l’entreprise. «
1% du PIB mondial, soit 1000 milliards de dollars, partirait chaque année en fumée à cause de la cybercriminalité, indique Bruno Charrat.
On imagine souvent le pirate informatique comme un individu isolé en sweat à capuche mais, comme le rappelle souvent l’Anssi (Agence nationale de la sécurité des systèmes d'information), il s’agit aujourd’hui d’organisations qui ont des centaines de millions de dollars de revenus. » Au point qu’une récente tribune du Cigref, le Club informatique des grandes entreprises françaises qui regroupe 148 acteurs, adressée au premier ministre, implorait de s’atteler sérieusement à cette problématique pour éviter la catastrophe.
1% du PIB mondial, soit 1000 milliards de dollars, partirait chaque année en fumée à cause de la cybercriminalité. » B. Charrat
Cybersécurité opérationnelle
C’est dans ce contexte que la Direction générale du CEA a regroupé en 2019 ses activités sur la cybersécurité dans un grand programme. Il structure aujourd’hui près de 200 ingénieurs-chercheurs au sein d’une quinzaine d’équipes appartenant à toutes les directions opérationnelles du CEA.
Avec le CNRS,
Inria et l’Institut Mines-Télécom, le CEA se positionne ainsi comme l’un des quatre principaux acteurs de la
cybersécurité dans l’écosystème français. «
Avec de surcroît des liens étroits auprès des autorités nationales », décrit Laurent Olmedo. «
… et la spécificité d’une expertise en cybersécurité opérationnelle,
très appréciée par les industriels, qui nous différencie nettement de nos confrères académiques », complète Bruno Charrat. Le CEA doit en effet garantir la sécurité de ses installations, notamment nucléaires, selon des règles édictées par l’Anssi. Si pour l’heure, il a su se prémunir des tentatives de cyberattaques qu’il subit, la vigilance reste plus que jamais de mise. De Bruyères-le-Châtel à Cadarache, en passant par Saclay et Grenoble, tous les centres du CEA traitent activement de la question.
Résister aux cybermenaces
Parce que la cybersécurité ne peut se limiter à la correction de vulnérabilités dans les codes des logiciels, ni même à la seule sécurité matérielle, la dimension humaine a sa part. Qui plus est en pleine crise sanitaire pendant laquelle le télétravail s’est généralisé, augmentant de fait la surface d’attaque, et a multiplié par quatre le nombre de victimes en France et en Allemagne (selon un rapport de l’Anssi et du BSI, son homologue allemand). Aussi le CEA a-t-il adopté la définition complète de la cybersécurité donnée par l’Anssi : « Etat recherché pour un système d’information lui permettant de résister à des évènements issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données, stockées, traitées ou transmises, et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ».
La cybersécurité n’est pas statique, c’est un « état » à maintenir par des compétences fortes et des outils de détection et de réponse afin de revenir au plus vite à un état normal après une attaque. » B. Charrat
S’armant de trois piliers, d’un processus en cinq phases, et de deux axes de recherche, le CEA se donne les moyens de préserver cet état. Entre ses murs, et au service des institutions françaises et de la filière industrielle nationale.
Les 3 piliers de la cybersécurité
Du personnel formé
Des processus rigoureux
Des technologies
Les 5 phases de la cybersécurité
Identifier les vulnérabilités des systèmes
Protéger ces systèmes en les sécurisant
Détecter les attaques
Répondre à ces menaces
Restaurer l’intégrité et la disponibilité des systèmes attaqués
Deux axes de recherches au CEA