A l’heure du tout numérique, les attentes en termes de protection des données et de cybersécurité vont croissant. Par conséquent, la qualité de la définition des exigences dans ce domaine devient un enjeu déterminant du développement des systèmes complexes. Le CEA-List a mis en œuvre son expertise en ingénierie dirigée par les modèles, via sa plate-forme Papyrus, dans plusieurs projets.
Les chercheurs ont ainsi développé une méthodologie outillée permettant de prendre en compte les exigences de la règlementation en matière de protection des données privées (RGPD) dès la conception du système. Réalisé dans le cadre du projet européen PDP4E, leur outil permet d’exprimer les obligations légales en exigences fonctionnelles et en contraintes techniques, puis de construire l’architecture système en s’assurant qu’elles sont bien prises en compte. Prochaine étape : valider la robustesse de ces outils en les alimentant avec des cas d’étude industriels.
Dans le cadre du projet ModSecAéro mené en collaboration avec la DGA, les chercheurs du CEA-List développent un cadre méthodologique pour évaluer la résistance des systèmes embarqués dans les aéronefs face aux cyberattaques. S’appuyant sur Papyrus, leurs outils permettront de modéliser des analyses de risques selon une méthodologie conforme aux standards du domaine : identification des composants critiques et des menaces associées, détermination des attaques possibles sur ces points sensibles et enfin, mise en place d’une série de contre-mesures. Le tout est intégré au cœur d’un modèle qui permet de faire évoluer l’analyse au cours du temps. Un partenariat entre le concepteur de logiciels Trialog et le CEA-List prévoit d’ores et déjà la valorisation industrielle de ces outils.