Des entreprises, des sociétés et des hôpitaux sont de plus en plus victimes de cyberattaques. Ils doivent se protéger. Un défi pour la recherche qui associe industriels, militaires et scientifiques. La Bretagne est en pointe dans ce domaine.
Vol de données, prise de contrôle à distance, blocage informatique, demande de rançons... Les cyberattaques sont de plus en plus fréquentes, notamment dans les hôpitaux1. C'est pourquoi le 18 février dernier, le Président de la République a présenté un plan d'un milliard d'euros pour renforcer la cybersécurité. En effet, les conséquences peuvent être lourdes selon les caractéristiques du réseau visé. Ce réseau peut être privé, tel l’intranet d’une entreprise, ou public comme Internet. Il peut contenir des données confidentielles ou permettre le fonctionnement d’équipements. L’avènement du numérique a révolutionné ces dernières années le stockage et l’échange d’informations qui nécessitent d’être protégées.
Améliorer les algorithmes
« Pour attaquer un système informatique, un cybercriminel peut décoder un algorithme, infiltrer un réseau ou s’en prendre physiquement aux équipements. » Jean-Marc Jézéquel est professeur en informatique à l’Université de Rennes 1 et a dirigé pendant neuf ans l’Irisa2. « Pour lutter efficacement, la recherche doit être collaborative et inter-disciplinaire, explique-t-il. La cybersécurité regroupe un large ensemble de thématiques allant des mathématiques aux sciences humaines et sociales, en passant par l’informatique et l’électronique. »
L’Institut de recherche mathématique de Rennes s’est spécialisé dans les algorithmes de chiffrement. Les messages informatiques sont codés pour protéger leurs contenus. « En améliorant l’algorithme, les mathématiciens empêchent l’attaquant de casser le code. » En effet, le nombre de tentatives pour trouver la bonne clé de déverrouillage peut demander à la machine adverse une très grande puissance ou un temps de calcul quasi infini. Une autre manière d’attaquer un système consiste à s’en prendre physiquement à sa puce électronique.
À Rennes, le laboratoire de haute sécurité3 a démontré que des impulsions électromagnétiques peuvent permettre le piratage du contenu de ces puces omniprésentes dans nos vies4. La protection des données concerne donc tous les citoyens5. La principale thématique de recherche sur la cybersécurité reste l’informatique. Pour atteindre un système, la première étape consiste à repérer ses failles.
« L’attaquant exploite une erreur de programmation ou une mauvaise configuration d’un programme pour le détourner de sa fonction de départ », explique Valérie Viet Triem Tong. Professeure en cybersécurité à CentraleSupélec à Rennes, elle coordonne l’équipe Cidre6 spécialisée dans la compréhension, la détection et la résistance aux cyberattaques. « Nous analysons les codes malveillants pour comprendre comment un attaquant s’introduit dans un système. »
Il existe deux types de cybercriminels : ceux qui visent une cible particulière et les opportunistes qui ratissent large. Une méthode bien connue est le phishing. Elle repose sur l’envoi de mails frauduleux à un maximum de personnes. Les rançongiciels sont aussi largement répandus.
« Ils chiffrent les données sensibles d’une entreprise et ne les déchiffrent qu’en échange d’une rançon. » Enfin, certaines attaques plus redoutables visent des équipements stratégiques. Le logiciel Stuxnet a par exemple endommagé des centaines de centrifugeuses sur le site d’enrichissement de Natanz en 2010.
Déceler les anomalies
« Les hôpitaux sont des cibles prisées par les pirates pour utiliser leurs technologies et les données personnelles des patients », précise David Pichardie, enseignant-chercheur en informatique à l’ENS de Rennes. Mais le monde maritime, les institutions et les banques essuient aussi leur lot de tentatives d’intrusion. « Dans le privé, les informaticiens sont peu formés à la cybersécurité et peinent à lutter. » Face aux pertes économiques liées aux cyberattaques7 et à leur potentielle incidence tant civile que militaire, leur détection est un enjeu majeur.
Pour déceler les anomalies, Valérie Viet Triem Tong et son équipe sondent l’ensemble des évènements d’un réseau. « Ce sont des connexions à des heures anormales ou qui utilisent un protocole exotique. » L’équipe développe des moyens de résistance aux intrusions. L’astuce ? Renforcer la sécurité du programme ou leurrer l’attaquant. « Pour empêcher un virus d'agir, on peut lui faire croire qu’il est surveillé. »
Une cyber région
Depuis 1990, la Bretagne est devenue une place forte pour la recherche en cybersécurité. Y siège d’ailleurs la Direc-tion générale de l’armement Maîtrise de l’information (DGA-MI), centre de référence en cyberdéfense au sein des armées, installée à Bruz. « Notre centre regroupe des ingénieurs de haut niveau qui étudient et anticipent l’évolution de la menace, explique Damien Bégoc, conseiller coordonnateur à la Direction générale du numérique. Nous collaborons avec les industriels et les universitaires pour développer des outils de lutte. » La création du Pôle d’excellence cyber a aussi été une avancée. Pierre angulaire de la cybersécurité en Bretagne, « cet écosystème rassemble les acteurs académiques et économiques8 qui améliorent la recherche, la formation et le développement industriel en cybersécurité », explique Jean-Marc Jézéquel. Depuis 2014, le Pôle a encouragé l'ouverture d'une vingtaine de spécialisations et la création de la CyberSchool en 2019. Son but ? « Faire face à la pénurie d’agents cyber, révèle David Pichardie. L’objectif est de doubler le nombre de diplômés d’ici 10 ans. »
Avec 150 chercheurs, 76 entreprises spécialisées, une implantation récente9 du commandement militaire de la cyberdéfense et déjà plus de 880 cybercombattants du ministère des Armées10, la métropole rennaise est devenue la capitale française de la cyberdéfense. D’ici 2025, l’Anssi11 s’installera aussi pour renforcer la coordination des dispositifs. Et les formations à Vannes et Lannion ainsi que la présence de France cyber maritime à Brest renforcent l’excellence bretonne en cybersécurité.
1. Notamment l'APHP le 25 mars 2020, l'hôpital de Dax (Landes) le 9 février 2021 et l'hôpital de Villefranche-sur-Saône (Rhône) le 15 février 2021.
2. Institut de recherche en informatique et systèmes aléatoires.
3. Commun à la Région Bretagne, la DGA, l’Inria, la CentraleSupelec et au CNRS.
4. Par exemple dans les cartes bancaires, les téléphones et les badges.
5. L'Union européenne a mis en place le réglement RGPD qui renforce l'obligation de transparence des entreprises à l'égard des utilisateurs.
6. Confidentialité, intégrité, disponibilité, répartition (Inria, CentraleSupélec, Université de Rennes 1, CNRS).
7. Estimées à 1,6 milliard d’euros en 2019.
8. Des entreprises (Orange, Thalès), le ministère des Armées, la Région Bretagne, les universités de Rennes et de grandes écoles (ENS de Rennes, Sciences Po, CentraleSupélec, IMT Atlantique, INSA, ENSAI).
9. À Saint-Jacques-de-la-Lande fin 2019.
10. Rapport de l’Audiar de nov. 2020 intitulé “L’excellence cybersécurité civile et militaire dans Rennes métropole”.
11. Agence nationale de la sécurité des systèmes d’information.
TOUT LE DOSSIER
du magazine Sciences Ouest