En quoi consiste le programme transversal « Sécurité globale » du CEA, et qu’est-ce qui le distingue de celui consacré à la Cybersécurité ?
Le premier axe de ce programme, lancé en 2005, concerne l’ensemble de la R&D relative à
la lutte contre le terrorisme NRBC-E (Nucléaire, Radiologique, Biologique, Chimique et Explosifs). Un deuxième axe relatif à la cybersécurité a été créé en 2014. L’ensemble des recherches de ce programme est conduit dans les quatre directions opérationnelles du CEA, en lien étroit avec les services de l’Etat, en particulier la Direction générale de l’armement (DGA) et le Secrétariat général de la défense et de la sécurité nationale (SGDSN).
Le programme Cybersécurité structure la stratégie globale du CEA pour toutes ses recherches en la matière. Le programme transversal que je pilote en assure la coordination pour le volet Défense.
Les recherches en cybersécurité du CEA sont donc duales, pour la Défense nationale et pour les industriels. Sont-elles scindées ou se confondent-elles ?
La définition de la dualité concerne une activité dans un domaine qui répond aux besoins de l’autre domaine ; de la défense vers le civil ou du civil vers la défense selon l’activité concernée. Effectivement, les recherches en cybersécurité sont intrinsèquement duales et visent à servir aussi bien les secteurs civils que ceux de la Défense. L’objectif est de proposer à chacun des innovations technologiques pour assurer sa cyberprotection. Nous implémentons donc des avancées issues de la recherche académique dans des solutions concrètes et opérationnelles. Il n’en demeure pas moins qu’un nombre significatif de projets reste totalement internalisé, notamment sur certains sujets à forte criticité.
Le CEA les conduit pour ses besoins propres ?
Oui, le CEA est fortement concerné par la cybersécurité opérationnelle, pour ses activités nucléaires civiles et de Défense. A ce titre, les experts de la Direction des applications militaires du CEA réalisent des développements au meilleur niveau mondial. Et nos propres systèmes d’information et systèmes industriels doivent être opérés en cohérence avec une réglementation édictée notamment par l’Agence nationale de la sécurité des systèmes d'information (Anssi).
Avec quel type d’entreprises le CEA collabore-t-il sur la question de la cybersécurité ?
Nous intervenons auprès de toutes les classes d’acteurs qui constituent la chaîne de valeur : les pourvoyeurs de technologies ; les fournisseurs de composants software ou hardware comme STMicroelectronics ; les équipementiers avec par exemple Schneider Electric qui produit des automates ; les systémiers (Thalès) ; les opérateurs (EDF).
Au-delà d’être pourvoyeur de ruptures technologiques, le CEA joue également un rôle de constructeur d’écosystèmes, y compris au niveau européen…
En effet, le CEA est le coordinateur de Sparta, un réseau de compétences en cybersécurité financé par la Commission européenne qui a démarré en février 2019. Ce réseau regroupe 44 acteurs majeurs du domaine dans 14 états membres avec pour principaux partenaires français l’Inria, l’Anssi et Thalès. Grâce à des cas d’applications stratégiques concrètes pour l’autonomie européenne, Sparta contribue à repenser la recherche européenne en cybersécurité.
Parallèlement, en plus de participer de longue date aux travaux de l’European Organisation for Security (EOS) et de l’European Association of Research and Technology Organisation (EARTO), le CEA a depuis 2016 un représentant au comité des directeurs de l’European Cyber Security Organisation (ECSO) de la Commission européenne. ECSO fédère désormais 245 acteurs dont 55 grands groupes à travers 28 pays. Notre présence a par exemple permis de coéditer les propositions de projets pour la période 2018-2020 du programme européen H2020 pour la recherche et le développement.