Steve Kremer, Inria : La recherche académique a un rôle majeur à jouer pour aller vers un monde plus sûr
janvier 2019 par Marc Jacob
Lors du FI, l’INRIA sera présent aux côtés de ses partenaires de l’Alliance Allistène, pour présenter ses travaux de recherche. De plus l’institut présentera également en avant-première un Livre blanc sur la cybersécurité, abordant les principaux enjeux du domaine, les activités d’Inria en cybersécurité, les principaux défis scientifiques, ainsi que des recommandations. Steve Kremer, Chercheur, co-auteur du Livre blanc Inria sur la cybersécurité d’Inria estime que la sécurité est la responsabilité de tous et la recherche académique a un rôle majeur à jouer pour aider tous les acteurs de la société à avancer vers un monde plus sûr.
Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?
Steve Kremer : Inria sera présent, aux côtés de ses partenaires de l’Alliance Allistène, pour présenter ses travaux de recherche. L’institut présentera également en avant-première un Livre blanc sur la cybersécurité, abordant les principaux enjeux du domaine, les activités d’Inria en cybersécurité, les principaux défis scientifiques, ainsi que des recommandations.
GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?
Steve Kremer : Les défis dans le domaine de la cybersécurité sont nombreux. D’une manière générale, l’intégration de la sécurité dès la conception de tout système logiciel (OS, application, couche réseau, etc.) est essentielle, la prise en compte de la sécurité a posteriori ayant montré ses faiblesses. Sur le plan technique, il faut disposer d’outils cryptographiques sûrs et aussi réfléchir, dès aujourd’hui, à la cryptographie post-quantique. L’utilisation de méthodes formelles pour la conception, l’analyse et la certification de mécanismes de sécurité est incontournable et doit se répandre. À l’heure où tout est numérique, la sécurité de l’internet des objets et la protection de la vie privée des citoyens sont fondamentales et représentent un défi majeur pour notre société. La sécurité des systèmes industriels ou celle des véhicules autonomes, dont l’attaque peut avoir des conséquences catastrophiques, pose aussi des questions spécifiques d’une importance primordiale. Côté humain, la sensibilisation aux questions de sécurité de tous les acteurs, que ce soit des industriels, des décideurs, ou de simples citoyens, y compris les élèves de tous âges, est essentielle.
GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?
Steve Kremer : Il faut prendre conscience des risques en matière de cybersécurité, les évaluer au mieux et, dans tous les cas, mettre en place une bonne politique de sécurité. Cela passe évidemment par l’éducation et des actions de sensibilisation. Il faut comprendre que la sécurité a un coût financier, bien sûr, mais aussi que certains mécanismes de cybersécurité peuvent nuire à l’utilisabilité. Enfin, il faut concevoir des systèmes résilients et établir des procédures en cas d’attaque parce que la sécurité absolue n’existe pas !
GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?
Steve Kremer : Le RGPD est un texte structurant bienvenu pour promouvoir les bonnes pratiques et inspirant pour de nombreux pays hors de la zone européenne. Cependant, ce règlement soulève aussi de nombreuses questions pour les responsables de traitement, parce que les notions ne sont pas toutes aisées et surtout il manque des guides et des outils pour en faciliter la mise en œuvre. Les établissements de recherche dont Inria ont leur rôle à jouer ici, en menant des travaux interdisciplinaires sur certains concepts clés où les points de vue juridiques et scientifiques doivent être confrontés, en développant des outils pratiques, par exemple d’anonymisation, afin de ménager respect de la vie privée et utilité des données, ou encore en utilisant des méthodes formelles pour concevoir des architectures respectueuses de la vie privée. Le Livre Blanc Inria sur la cybersécurité propose un certain nombre de pistes d’approfondissement sur ces aspects.
Enfin, ce règlement s’applique également à nos activités de recherche et on ne peut plus concevoir aujourd’hui des recherches nécessitant la collecte de données à caractère personnelle sans se poser la question de la conformité à la législation.
Des travaux sont en cours afin d’aboutir à des recommandations pour aider les chercheurs et les comités d’éthique des établissements publics de recherche, dont Inria, et des questions complexes se posent afin d’établir une position juridiquement fondée en phase avec la réalité de la recherche académique.
GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?
Steve Kremer : Début 2018, des attaques logicielles exploitant le hardware, telles que Spectre et Meltdown, ont été révélées. On peut s’attendre à ce que de nouvelles attaques de ce type soient de plus en plus sophistiquées et deviennent plus facilement exploitables. Une crainte souvent exprimée est une attaque coordonnée de grande ampleur contre les états : les dommages pourraient être conséquents, à la fois sur le plan économique mais aussi sur le plan humain. Y sommes-nous suffisamment préparés ? Nos infrastructures sont-elles suffisamment résilientes ?
Heureusement, bien que beaucoup moins médiatisées que les attaques, il y a aussi d’énormes progrès du côté de la défense. Par exemple, des équipes Inria mettent au point des schémas de chiffrement qui ne pourront pas être cassés par un ordinateur quantique ; d’autres développent des librairies cryptographiques dont la sécurité du code est formellement prouvée et qui sont déjà intégrées dans les logiciels Mozilla ; d’autres encore certifient la sécurité de protocoles de votes électroniques, déployés en Suisse.
GS Mag : Quel est votre message à nos lecteurs ?
Steve Kremer : L’investissement en cybersécurité a un coût dont il est difficile de voir les bénéfices immédiats. Mais inversement, l’absence d’investissement dans ce domaine peut un jour coûter très cher à une entreprise, voire la conduire à la faillite. De plus, le risque peut aller au-delà de l’entreprise elle-même qui peut servir involontairement de vecteur à une attaque plus large. La responsabilité est encore plus grande pour une entreprise éditrice de logiciels.
La sécurité est la responsabilité de tous et la recherche académique a un rôle majeur à jouer pour aider tous les acteurs de la société à avancer vers un monde plus sûr.
Articles connexes:
- Alexandre Souillé, Olfeo : la sécurité du SI dépend de la solidité de son maillon le plus faible
- Yann LE BAIL, CEO de BYSTAMP : Nous rendons infalsifiable un document signé
- Guillaume GAMELIN, F-Secure : avec « Rapid Detection and Response Service », le couple Homme -Machine vous apporte une réelle solution clés en main
- Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles
- Nicolas Speciel, UCOPIA : le RGPD conduit les entreprises à mettre en place une stratégie de la sécurité plus holistique
- Renaud GHIA, TIXEO : Il faut revenir à l’essentiel en optant pour des technologies efficaces et reconnues comme le chiffrement de bout-en-bout
- Benoit Grunemwald, ESET : vers une montée en puissance des cyptomineurs en 2019 ?
- Michel Lanaspèze, SOPHOS : plus que jamais, la sécurité n’est pas une option
- Laurent NOE, OVELIANE : Une bonne hygiène des serveurs est indispensable pour éviter la plupart des attaques
- Jacques de La Rivière & Philippe Gillet de Gatewatcher : Il est nécessaire d’anticiper les menaces
- Stéphane Estevez, Splunk : Il est nécessaire de s’équiper de technologies transversales
- Pascal Desmet, Nomios : Les outils aussi automatiques qu’ils soient, doivent être au service d’experts capables de prendre les bonnes décisions
- Jean-Philippe Kalfon, Secret Double Octopus : il faut éliminez les mots de passe des SI pour sécuriser les accès
- Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années
- Gérôme Billois, Wavestone : 2019 sera une année de transition forte avec les 3 piliers que sont le cloud, l’agile et les API
- François-Xavier Vincent, Oodrive : La Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive
- Christophe Chaubard-Willm, ASSYSTEM - BU Connect : pour limiter les risques il faut élaborer une démarche pragmatique de maitrise
- David Bizeul, CTO de SEKOIA : Nos solutions de sécurité n’hésitent pas à casser les idées reçues et surtout qui sont agréables à utiliser !
- Théodore-Michel Vrangos, I-TRACING : Les RSSI jouent u rôle clé dans les entreprises
- Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution
- Christophe da Fonseca, Paessler AG : la détection des événements inhabituels peuvent aider à repérer des activités frauduleuses
- Pascal Le Digol, WatchGuard Technologies : Le déploiement d’outils de sécurité est un gage pour conserver un coup d’avance sur les cyber-malveillants
- Fabien Corrard, Gfi Informatique : la mise en place d’outils de sécurité permet de répondre aux mesures réglementaires
- Emmanuel Gras, ALSID : La prise de conscience de l’importance de la cybersécurité est effective
- David Grout, FireEye : Pour bien se protéger la formation, l’outillage sont clef mais l’intelligence est décisive
- Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes
- Didier Cohen, WALLIX : les entreprises doivent penser « Privacy et Security by Design » !
- Franck Mazeau, Panda Security : Un EDR est aujourd’hui indispensable
- Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant
- Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité
- Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques
- Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité
- Michel Gérard, PDG de Conscio Technologies : Faites de vos collaborateurs le maillon fort de votre défense cyber
- Benoît Mangin, AEROHIVE : N’ayez pas peur de passer aux nouveaux usages et aux nouvelles technologies qui le permettent pour améliorer vos business
- Benjamin Leroux, Advens : Security-as-a-service Factory pour industrialiser vos services de Sécurité clé en main
- Bertin IT accélère sur la mise en conformité LPM et NIS en 2019
- Frédéric Braut, Tech Data : Pour déployer une sécurité efficace, il faut savoir adresser le cloud, l’hybridation des infrastructures, la gestion de la donnée ou encore les flux réseaux
- Coralie Héritier, IDNOMIC : Chacun doit œuvrer pour renforcer la confiance numérique
- Sébastien Gest, Vade Secure : Déjouer le piège au premier regard devient un défi pour l’humain…
- Eric Heddeland, Barracuda Networks : De la réponse aux menaces à la sensibilisation
- Raphael Basset ERCOM : Nos solutions de communications et collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Karl Buffin, Skybox Security : Simplifiez la gestion du Cyber Risk
- Marco Rottigni, Qualys : La transformation numérique et les nouvelles réglementations vont changer le rôle et la place du RSSI
- Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données
- Christian Pijoulat, LogPoint : Automatiser les processus de sécurité est une nécessité !
- Briag Monnier, Scassi : La sécurité n’est pas une fonctionnalité ou une option, c’est un processus
- Kristine Kirchner, inWebo : Il n’y a plus de frein à la généralisation du MFA pour l’intégrer très en amont dans les applications
- Antoine Coutant, Systancia : L’anticipation des menaces passe par le contrôle des accès à privilège
- Matthieu Dierick, F5 : Le déploiement de services applicatifs accroît la capacité des entreprises à prospérer
- Benjamin SCHILZ, Acorus Networks : La protection DDoS ne s’improvise pas !
- Fabrice Clerc, C.E.O. de 6cure : La dématérialisation met tout le monde sur un cyber-champ de bataille