Prospective de la R&D en sécurité des systèmes d’information PaRI-STIC 2006 24 novembre 2006

Prospective de la R&Den sécurité des systèmes d’information

PaRI-STIC 200624 novembre 2006

Premier ministre - SGDN / DCSSI Journées PaRI - STIC – 24 novembre 2006 2 http://www.ssi.gouv.fr

Plan

La SSI, c’est grave docteur ?

Les enjeux de la SSI… La DCSSI ?

En quoi est-elle légitime pour vous parler ? Une R&D en SSI, pour quoi faire ?

Le rôle de la recherche nationale Où aller (vu de l’Etat) ?

Les thématiques prioritaires


Les enjeux de la SSI…


Un enjeu de souveraineté

• Les évolutions technologiques récentes confèrent aux systèmes d’information un rôle d’infrastructure critique pour la société.

• Le fonctionnement même de l’État et la survie de la Nation s’avèrent tributaires de la disponibilité de ces infrastructures électroniques.

• Des dispositifs techniques existent pour contrôler les systèmes d’information et garantir leur sécurité.

• Le risque existe qu’ils soient détournés à des fins d’intelligence économique, voire pour restreindre les prérogatives de l’État.

• Seule la compréhension fine de ces technologies de SSI permettra à l’État de prolonger sa souveraineté dans le monde numérique.


Protection de la vie privée et imputabilité

• Notre société attache une importance équivalente aux deux objectifs fondamentaux que sont la protection de la vie privée et la sécurité.

• Ces deux objectifs se prolongent dans le monde numérique où ils peuvent apparaître comme contradictoires.

• Protéger la vie privée dans un domaine où tout invite à la traçabilité est de la responsabilité de l’État.

• Lui seul peut garantir l’équilibre nécessaire entre cette protection de la vie privée et le suivi des actions répréhensibles.

• Lui seul peut réguler la gestion des identités électroniques.


Disponibilité des infrastructures critiques

• Les réseaux informatiques constituent désormais un système nerveux des sociétés modernes, dont ils supportent des fonctions vitales.

• La disponibilité, l’intégrité et l’authenticité de ces fonctions sont cruciales.

• Ne nous leurrons pas ! Des incidents, des accidents, voire des catastrophes, du point de vue de la disponibilité, interviendront sur des réseaux informatiques, et partant, sur les systèmes physiques qu’ils contrôlent.

• Des modes de secours doivent être prévus pour pallier ces dysfonctionnements, qu’ils soient fortuits ou délibérés.


Une menace réelle

• Les attaques contre les systèmes d’information existent, nous les avons rencontré:

– Attaques « ludiques »– Cyber-criminalité– Attaques ciblées: vol d’information y compris

dans le domaine scientifique– Cyber-terrorisme ou cyber-guerre ?

Vous êtes une cible


Pourquoi la DCSSI…


La mission de la DCSSI

• La DCSSI a été créée en 2001 – Au lendemain de la libéralisation de l’usage de la

cryptographie• Sa mission est de :

– Contribuer à la définition et à l'expression de la politique gouvernementale en matière de SSI

– Assurer la fonction d'autorité nationale de régulation pour la SSI

– Évaluer les menaces pesant sur les systèmes d'information, donner l'alerte, développer les capacités à les contrer et à les prévenir

– Assister les services publics en matière de SSI– Développer l'expertise scientifique et technique– Former et sensibiliser à la SSI


Nos grandes priorités

• Préparer l’Etat au cas où …

– Veille, alerte, réponse– Gestion de crise

• Contribuer au développement d’une offre de produits et de services de sécurité répondant aux besoins

• Sensibiliser, démontrer...

Notre légitimité repose sur notre expertise technique


La DCSSI et la recherche

• Au-delà des décrets et des arrêtés d’organisation, la DCSSI c’est

– une centaine d’ingénieurs dont environ un quart ont des activités de recherche

– Trois laboratoires (cryptographie, technologies de l’information, signaux compromettants)

• Leur mission principale n’est pas la recherche mais c’est le moyen trouvé pour garantir le « bon » niveau pour la mission principale d’expertise

• Depuis 2002 :– Quatre thèses soutenues– Cinq thèses en cours dans des laboratoires académiques– Plus de soixante-dix publications scientifiques

» Cryptographie, sécurité électronique, sécurité informatique, méthodes formelles…


Orientation de la R&D en SSI

• Suite au travail d’un groupe piloté par la DCSSI associant des représentants des ministères, de l’INRIA, du CNRS, du CEA, de l’ANR, d’Oséo, un rapport d’orientation a été réalisé :

– Décrivant les enjeux– Identifiant des évolutions en cours qui

impactent la SSI– Analysant, en fonction de ces évolutions, les

domaines techniques à maîtriser• Document public à vocation incitative vers les différentes

initiatives de soutien de la recherche en France


Le rôle de la recherche nationale


La SSI : une tournure d’esprit !

• La SSI résulte plus d’une tournure d’esprit que de théories particulières (les compétences théoriques employées sont les mêmes que dans les autres domaines des TIC)

• La transversalité des disciplines est essentielle

• La communauté académique doit se coordonner autour de ces problématiques de SSI pour espérer couvrir l’ensemble de ces domaines

• Comme la cryptographie, la SSI doit être théorisée, apprise, enseignée et constituer une école de recherche vivace et reconnue au niveau international

Pour cela, il faut, comme en cryptographie, viser l’excellence


R&D en SSI et industrie

• La R&D en SSI nécessite un investissement humain important du fait de la grande dispersion des domaines de compétence à couvrir– La sécurité d’un SI résulte de facteurs extrêmement

divers touchant à des domaines très variés :• Cryptographie, informatique, électronique, micro-électronique,

protocoles, physique, mécanique, chimie des matériaux, etc.• Dans certains domaines, seuls quelques grands groupes industriels

peuvent espérer atteindre la capacité de produire les outils dont la société à besoin– La recherche académique doit donc alimenter la

capacité d’innovation de notre tissu industriel et former ses ingénieurs en SSI.

– D’où l’importance des journées PaRI-STIC• Faire connaître aux industriels les possibilités de R&D en SSI

au plan national en regroupant en un même lieu les équipes reconnues comme compétentes et soutenues par l’Etat


Les thématiques prioritaires


Ne pas oublier les enjeux !

• Les enjeux de la SSI touchent chaque citoyen dans des domaines très variés

• Notre recherche ne doit donc pas se limiter aux domaines où elle excelle mais bien chercher à couvrir tous ces domaines qui s’avèrent cruciaux pour la SSI

– Osez vous attaquer aux problèmes difficiles !– Utilisez les outils théoriques qui font la force de

la recherche nationale à d’autres domaines que ceux pour quoi ils ont été conçus au départ

• Les quelques exemples qui suivent sont extraits du rapport d’orientation


Quelques technologies à maîtriser (1/3)

• Fondations de la SSI

– Systèmes d’exploitation• Le futur est fait d’objets de plus en plus intégrés

dans les systèmes d’information

• Tous ces objets embarquent des systèmes d’exploitation dont la sécurité est une problématique complexe

– Formats de données – protocoles• La communication généralisée se fera en respectant

des normes qui restent encore à établir, surtout au plan de la sécurité



• Architectures…

– des produits et systèmes• Les architectures sont beaucoup plus pérennes que les

technologies dans le domaine de l’information (cf. PC ou TCP/IP). Choisir dès le début des architectures saines au plan de la sécurité est crucial.

– diversifiées• Faire reposer tous les systèmes sur une seule architecture est

un bon moyen de préparer les catastrophes. Proposer de nouvelles architectures permet de contribuer à l’info-diversité.

– auto-organisantes• Réseaux ad-hoc, grilles de calcul, pair-à-pair, autant

d’architectures nouvelles où l’hypothèse classique de l’enceinte à protéger de l’extérieur hostile est battue en brèche.



• Nouvelles technologies– électronique et micro-électronique

• maîtrise et autonomie d’approvisionnement des composants électroniques stratégiques sont des objectifs à moyen terme

– biométrie• À l’heure où la biométrie s’impose dans beaucoup de

domaines, ses apports, ses limitations, ses dangers doivent être précisés

• Outils théoriques– Ergonomie

• L’amélioration de l’ergonomie des solutions de SSI de haut niveau de sécurité faciliterait leur généralisation.

– Supervision• La haute technicité de la SSI fait qu’elle passera sans doute par

la mise en place de services de supervision dont la sécurité reste à concevoir.


Des questions ?

Documents

Prospective de la R&D en sécurité des systèmes d’information PaRI-STIC 2006 24 novembre 2006