Vous êtes ici : Accueil > Éditions & rapports > Préparer des systèmes à très haute confiance

Clefs CEA | Article | Santé & sciences du vivant


Clefs CEA n°67 - Les voix de la recherche - La médecine du futur

Préparer des systèmes à très haute confiance

La transformation numérique mondiale en cours ouvre des perspectives immenses de création de valeurs socio-économiques dans le domaine de la santé. Dans ce contexte, la confiance portée aux systèmes numériques, et leur rôle dans la protection des informations, des environnements et des personnes,
sont devenus des enjeux centraux.

Version détaillée de l'article paru dans le numéro de Clefs CEA n°67 - La médecine du futur. 

Publié le 21 janvier 2019

Cybersécurité


Les attaques sur les systèmes numériques de santé sont devenues de plus en plus fréquentes comme l'illustrent de nombreux exemples récents : l'infection des hôpitaux britanniques par le rançongiciel WannaCry, le vol de 160 000 dossiers médicaux à Singapour, les failles du robot de télé-opération Raven II ou, plus récemment, les vulnérabilités des stimulateurs cardiaques Medtronic. 

La menace s'est ainsi généralisée et perfectionnée, exploitant notamment des vulnérabilités logicielles et réseaux complexes. Les « attaquants » montrent une connaissance avancée des systèmes visés, y compris de leurs composants propriétaires, historiquement protégés par le secret industriel. Ces attaques peuvent avoir des motifs variés (voler des données, arrêter des installations ou encore prendre le contrôle de systèmes sensibles) mais toutes ont des conséquences très fortes pour les patients, les médecins, les hôpitaux, les fournisseurs d'équipements et les états. 

En retour, les « défenseurs » doivent aujourd'hui reprendre l'initiative pour protéger en profondeur, parer aux déplacements latéraux et maintenir la maîtrise de leurs périmètres informatiques, voire de leur souveraineté numérique. 

Les équipes cybersécurité du CEA mènent des programmes d'innovation et de transfert technologique, sur l'ensemble du spectre des systèmes informatiques, avec pour objectif d'accompagner le développement de l'écosystème industriel dans le domaine de la cybersécurité et de donner les moyens techniques à l'industrie française d'assurer sa cyber-protection. Elles intègrent des avancées issues de la recherche académique avec pour objectif de créer des plateformes technologiques innovantes, fournissant des solutions concrètes et opérationnelles. 


Une expertise reconnue internationalement 

Nos équipes produisent des développements très innovants, portant sur les éléments clés de la chaîne de sécurité logicielle, depuis la protection des données jusqu'à celle des logiciels, des réseaux et de leurs opérateurs. En témoignent par exemple l'octroi du prix Européen ICT-2015 pour le démonstrateur USEMP d'analyse sémantique pour la protection de la vie privée , la victoire de la plateforme Frama-C d'analyse formelle de code au challenge SATE V organisé par le National Institute of Standards and Technology (NIST) en cybersécurité ou l'excellente 2e place des équipes de cryptographie homomorphe et de la chaîne de compilation Cingulata au concours « Genomic Data Privacy and Security Protection Competition » iDASH-2017 (voir le paragraphe "sécuriser l'information génomique") devant leurs compétiteurs de KU Leuven, de l'EPFL et de Microsoft Research


Analyse de code avec Frama-CL'identification, l'analyse et la poursuite d'opportunités de rupture, ainsi qu'une capitalisation autour de plateformes technologiques sont les points forts du CEA. Les équipes du CEA se coordonnent autour d'actions structurées, basées sur des investissements stratégiques, visant à produire des résultats concrets et décisifs - comme l'utilisation de techniques avancées d'analyse pour automatiser l'évaluation sécuritaire de logiciels, la mise en œuvre d'intelligences artificielles pour augmenter les capacités de réponse des opérateurs de réseaux ou l'utilisation de registres distribués et de contrats intelligents pour garantir l'intégrité de données critiques. Le CEA capitalise ces actifs techniques sous la forme de plateformes d'intégration uniques en France, qui sont en particulier mises au service du programme transverse « Sécurité globale ». Sur la base de ces résultats, les équipes du CEA préparent demain l'émergence de systèmes numériques médicaux à très haute confiance, depuis les instruments jusqu'aux systèmes, capables de garantir la sécurité des patients, des médecins, et des données de santé. 


Sécuriser l'information génomique

Un nouvel enjeu pour la génomique est celui de l'exploitation automatique, robuste et sécurisée des technologies émergentes de séquençage massif pour la médecine personnalisée. Les applications prometteuses qui en découlent nécessitent le développement d'infrastructures de traitement de la donnée génomique qui soient ouvertes - en raison du besoin d'intégrer diverses sources d'information médicales pour justement valoriser l'information génomique, fiables - le contexte médical l'exige, et sécurisées - la donnée génomique étant par essence très sensible. Ainsi, le projet PPGEN, résultat d'une collaboration entre le List et le CNRGH à Evry, visait à démontrer une capacité de prédiction phénotypique qui soit automatique et sécurisée pour une première sélection de biomarqueurs d'intérêt clinique immédiat. Sur le plan de la cybersécurité, il s'agissait de démontrer que l'information génomique pouvait être traitée sous forme chiffrée, c'est-à-dire sans que la plateforme de traitement ne la déchiffre, en utilisant des techniques de cryptographie homomorphe développées au List. Les premiers résultats sont concluants et ont été récompensés à iDASH-17. 



​Les contributeurs de l'article

 Florent Kirchner
Florent Kirchner est chef du Laboratoire pour la sécurité et sûreté
du logiciel (Département d’ingénierie logiciels et systèmes) au CEA/List.






Sara Tucci
Sara Tucci est responsable programme blockchain au Département d’ingénierie logiciels et systèmes du CEA/List.


Renaud Sirdey
Renaud Sirdey est directeur de recherche au Département architecture conception et logiciels embarqués au CEA/List.

Les autres articles de Clefs


Les autres articles de Clefs CEA

Flux rss




Haut de page