Sécurité numérique

L’essentiel sur : la cybersécurité

Date:
Mis à jour le 17/02/2022
À qui s'adressent les cyberattaques ? À quoi sert la cybersécurité ? Quelle place pour la recherche dans ce domaine ? Inria fait le point dans un article explicatif, accessible à tous.
Serveur sécurisé de l'équipe Tamis, acquis grâce à un partenariat avec Cisco
© Inria / Photo C. Morel

Qu’est-ce que la cybersécurité ?

La cybersécurité représente le développement de technologies, de processus et de contrôles pour protéger les systèmes, les réseaux, les programmes, les dispositifs et les données contre de potentielles attaques numériques, dans le but d’assurer trois propriétés de l’information, des services et de l’infrastructure informatiques : confidentialité, intégrité, et disponibilité.

Ces cyberattaques, toujours plus innovantes et nombreuses, ont pour principal but de récupérer des informations sensibles, les modifier ou les détruire, mais également d’extorquer de l'argent ou d’interrompre des processus commerciaux.

Cybersécurité et sûreté numérique, quelle différence ?

Nombreuses sont les personnes qui utilisent les deux termes indifféremment comme s’ils étaient interchangeables. Si la différence entre eux ne parait pas évidente de prime abord, elle n’en est pas moins bien réelle.

Si la cybersécurité se concentre généralement sur la protection de l’infrastructure numérique pour empêcher les pirates d’accéder à des données sensibles sur un réseau, un ordinateur ou un programme, la sûreté numérique, elle, fait référence aux menaces accidentelles, et se concentre sur des mécanismes de protection contre celles-ci.

Pourquoi la cybersécurité est-elle un domaine à enjeu fort ?

Le numérique a transformé notre manière de vivre, à tel point qu’une grande partie de notre vie, personnelle et professionnelle, se déroule en ligne. Chaque jour, nous effectuons des recherches, payons des factures et réalisons des achats divers, ou encore échangeons des informations personnelles dans le monde numérique. Pourtant, à mesure que notre empreinte numérique croît - de manière exponentielle - le risque de voir nos données personnelles mises à mal par une cyberattaque augmente.

Ces attaques numériques peuvent, au niveau individuel, entraîner toutes sortes de conséquences, du vol d'identité aux tentatives d'extorsion, en passant par la perte de données importantes. Les organisations, quelle que soit leur taille ou leur statut - publiques ou privées - sont également chaque jour la cible d’attaques allant de simples courriels d'hameçonnage à des opérations complexes et détaillées orchestrées par des bandes criminelles.

Les risques sont également majeurs pour les États ou les opérateurs d’importance d'un point de vue humain et économique. Selon The hidden costs of cybercrime, une étude réalisée en 2020 par McAfee et le CSIS (Centre for Strategic and International Studies), sur la base de données recueillies par Vanson Bourne, l'économie mondiale perdrait ainsi plus de mille milliards de dollars chaque année.

Chaque pays dépend d'infrastructures essentielles comme les centrales électriques, les hôpitaux et les sociétés de services financiers. Des attaques sur les systèmes qui y sont liés (on peut citer l’hôpital de Dax, dans les Landes, dont le système informatique a été littéralement paralysé par un rançongiciel début 2021, ou les cyberattaques ayant parallèlement visé des médias (tels TV5 Monde ou France Télévisions) ou des mairies (comme celles d'Angers ou de Douai)) pourraient être particulièrement problématiques. La sécurisation de ce type d’organisations est ainsi essentielle au bon fonctionnement de notre société.

Enfin, la sécurité numérique pose une véritable question de souveraineté pour les États et l’Union européenne, qui doivent être en mesure de couvrir les besoins croissants en cybersécurité et de s’assurer de la souveraineté de leurs infrastructures et applications.

Inria publie un livre blanc sur la cybersécurité

Quels sont les différents types de menaces liées à la cybersécurité ?

Afin de mettre en place des mécanismes de protection efficaces et adaptés, il est important de connaitre les menaces et attaques qui ciblent tant le matériel que le réseau, le système ou les applications, mais également les utilisateurs eux-mêmes. Voici quelques exemples de cybermenaces courantes :

  • Les logiciels malveillants

Parmi les menaces de cybersécurité les plus courantes, les malwares sont les multiples formes de logiciels nuisibles qui s’exécutent lorsqu’un utilisateur les télécharge par erreur. Cela inclut les virus, les chevaux de Troie et les logiciels espions.

Les rançongiciels sont un autre type de logiciels malveillants, conçus pour extorquer de l'argent en bloquant par chiffrement l'accès à des fichiers ou à un système informatique et exigeant le paiement d’une rançon pour les déchiffrer et les déverrouiller.

  • Les attaques par déni de service distribué 

Les attaques DDoS (déni de service distribué) inondent les serveurs, les systèmes et les réseaux de trafic (messages, demandes de connexion ou de paquets) pour les ralentir ou les mettre hors ligne, empêchant ainsi le trafic légitime de les utiliser.

  • Menaces persistantes avancées

Les menaces persistantes avancées (APT) sont des attaques ciblées prolongées au cours desquelles un attaquant infiltre un réseau et reste non détecté pendant de longues périodes dans le but de voler des données.

  • Les attaques par empoisonnement du DNS

Les attaques par empoisonnement du DNS (système de noms de domaine) compromettent le DNS pour rediriger le trafic vers des sites malveillants.

  • L'ingénierie sociale

Cette tactique s'appuie sur l'interaction humaine pour inciter les utilisateurs à enfreindre les procédures de sécurité afin d'obtenir des informations sensibles qui sont généralement protégées. Bien connu de tous, le phishing est une forme d'ingénierie sociale qui consiste à envoyer à des utilisateurs des courriels frauduleux qui ressemblent à des messages provenant de sources fiables, comme ceux des services de l’État. Réalisées de manière aléatoire, ces attaques ont pour principal objectif de voler des données sensibles, comme des informations de carte de crédit ou de connexion. Il existe désormais également de l’hameçonnage ciblé, appelé spear phishing, qui consiste à viser une personne en particulier et non pas une grande quantité de personnes.

  • Attaque dite "de l’homme du milieu"

Les attaques de type "Man-in-the-middle" (MitM) se produisent lorsque des cybercriminels interceptent et modifient le trafic réseau circulant entre les systèmes informatiques. L'attaquant MITM se fait passer pour un expéditeur et un destinataire sur le réseau. Cette attaque vise en particulier à interférer dans les échanges de clés permettant de chiffrer des échanges ultérieurs. Le but du pirate est de remplacer la clé échangée par une clé qu’il connaît afin de pouvoir déjouer la protection du chiffrement pour des attaques ultérieures.

Des préoccupations actuelles… et à venir

Le développement de nouvelles technologies apporte son lot de questionnements concernant leur niveau de sécurité et, par conséquent, la naissance de nouvelles menaces et attaques.

C’est par exemple le cas de l’Internet des objets, véritable catalyseur des infrastructures intelligentes telles que l'industrie 4.0 et le transport intelligent, mais dont la révolution s’accompagne d’enjeux pour la sécurité et la protection de la vie privée : « Les objets connectés forment ainsi un réseau informatique à part entière, fonctionnant de façon plus "ouverte", "dynamique" et "flexible" qu’un réseau "classique", dont l’architecture, plus "rigide", est aussi plus résistante aux attaques. Les IoT doivent en effet échanger de nombreuses données en provenance de l’environnement pour pouvoir offrir diverses fonctionnalités à leurs utilisateurs, ce qui les rend potentiellement plus vulnérables… » explique Jérôme François, chercheur Inria au sein de l’équipe Resist, dans un article sur le projet SecureIoT.

Un constat également vrai pour la blockchain, massivement adoptée par les gouvernements et industries, et le Cloud, dont l'essor du lieu de travail hybride et la nécessité de passer rapidement à des modèles d'entreprise numériques ont accru l'adoption. La sécurisation des environnements cloud, au travers de la préservation de la confidentialité et la sécurité des données dans les infrastructures, applications et plates-formes en ligne, est ainsi une étape essentielle pour protéger les organisations.

Le réseau 5G, qui aspire à être plus sécurisé que les réseaux des générations précédentes, pose également de nouvelles questions de sécurité, notamment à cause des multiples applications et appareils qui vont reposer sur ses réseaux, impliquant un nombre croissant de portes d’entrée sur le réseau : télévisions, serrures, chauffages connectés, etc. Si ces appareils ne sont pas suffisamment protégés contre les cyberattaques, de nombreux risques peuvent se poser, à commencer par des problématiques d’atteintes à la vie privée et aux personnes.

Enfin, l’ordinateur quantique, qui promet de s’attaquer à la résolution de problèmes complexes, difficiles voire impossibles pour un ordinateur classique, rendra obsolètes les méthodes actuelles de chiffrement, devenant ainsi une menace sérieuse pour les systèmes de cybersécurité sur lesquels s'appuient pratiquement toutes les entreprises.

Des méthodes toujours plus nombreuses pour faire avancer la cybersécurité

Face à l’émergence de ces problématiques de sécurité, de nouvelles techniques - et de nouveaux outils - voient le jour pour tenter d’assurer la sécurité des données. Portées par la recherche en cybersécurité, elles s’adaptent constamment aux nouvelles technologies et à celles qui devraient se développer dans les années à venir.

On peut notamment citer la cryptographie, véritable pilier de la cybersécurité, qui vise à fournir des techniques et des outils pour sécuriser les communications, même en présence d’un adversaire, et allant au-delà de la simple confidentialité. Elle fournit, notamment, des outils pour protéger l’intégrité et l’authenticité des messages (en évitant par exemple que le montant d’une transaction financière soit modifié), assurer la non-répudiation (l’expéditeur ne peut nier être l’auteur du message) et l’anonymat. La cryptographie est utilisée dans de nombreux objets de la vie courante : wifi, cartes Navigo, téléphones mobiles, consoles de jeux, cartes de paiement, passeports électroniques, etc. À l’inverse, la cryptanalyse, elle, a pour objectif d’étudier les attaques contre les mécanismes de cryptographie en "cassant" ces derniers afin de vérifier leur robustesse.

Plus récente, la cryptographie postquantique a pour objectif de sécuriser les données et les communications actuelles contre la menace posée par l’arrivée d’une génération d’ordinateurs quantiques fonctionnels, capables de fragiliser une grande partie de la cryptographie connue aujourd’hui jusqu’à mettre en danger la protection des données personnelles. « C’est pour cela qu’il faut chercher de nouveaux problèmes de mathématiques difficiles qui ne présentent pas cette faille. Ces nouveaux problèmes, dans leur finalité, permettraient de contrer les risques d’attaques rendus possibles par les ordinateurs quantiques » explique Antonin Leroux, membre de l’équipe-projet GRACE (commune Inria - École polytechnique), dans un article consacré au sujet. C’est ce sur quoi travaillent déjà scientifiques et grandes entreprises de la sécurité, en développant diverses normes de cryptographie postquantique qui peuvent être mises en œuvre à l'aide des ordinateurs classiques d'aujourd'hui mais qui seront imperméables aux attaques des ordinateurs quantiques de demain. « Nous ne savons pas quand cet ordinateur quantique fonctionnel verra le jour, mais il faut que nous soyons prêts le moment venu », ajoute Antonin Leroux.

Les méthodes formelles sont, elles aussi, utilisées dans le domaine de la cybersécurité afin de s’assurer qu’un système est sûr, et ce au travers de preuves mathématiques. Elles consistent ainsi à modéliser tout ou partie d’un système informatique et à appliquer des algorithmes de vérification : « Un tel algorithme prend en entrée le modèle conçu et une propriété de sécurité à vérifier, par exemple la confidentialité d’un message, et retourne une réponse "oui" (la propriété est vérifiée sur le modèle) ou "non" (une attaque est possible). La recherche d’une attaque est exhaustive : si une seule attaque existe contre la propriété dans le modèle, l’algorithme la trouvera », indique Jean-Goubault Larrecq dans un article.

Cybersécurité : quelle place pour la recherche ?

Depuis plus de dix ans, la France place la cybersécurité parmi ses priorités nationales, présentant diverses stratégies d’accompagnement et invitant acteurs de la recherche et industriels à travailler conjointement au développement d’un numérique plus sûr.

Dans le cadre du plan France Relance, engagé par le gouvernement en septembre 2020, un volet cybersécurité doté d’un fonds de 136 millions d’euros et piloté par l’ANSSI a ainsi vu le jour, dans le but de renforcer la sécurité des administrations, des collectivités, des établissements de santé et des organismes publics tout en dynamisant l’écosystème industriel français. Dans la même temporalité, le gouvernement annonçait le lancement des programmes et équipements prioritaires de recherche (PEPR) cybersécurité, copilotés par le CNRS, INRIA et le CEA, et dont la vocation est de financer la recherche amont et soutenir l’excellence scientifique française.

Les forces académiques françaises dans le domaine sont principalement représentées par le CNRS, le CEA, les enseignants-chercheurs de l’IMT et Inria. Chez Inria, la recherche en cybersécurité fait partie des enjeux structurants, couvrant près de 7% de l’activité de l’institut avec une trentaine d’équipes travaillant sur le sujet (comme Resist, Cascade, Cosmiq, Caramba, Pesto, Prosecco ou encore Grace), principalement dans les domaines de la cryptologie.

L’institut collabore par ailleurs régulièrement sur des projets centrés autour de cette thématique, d’une part avec les autres instituts, mais également avec les forces non académiques spécialisées en cybersécurité comme l’ANSSI et la CNIL.