La cryptographie dans un monde quantique et la détection d’intrusion, deux piliers d’une nouvelle stratégie de recherche
itrust consulting a profité de la période de confinement pour repenser son département recherche et innovation et revoir ses priorités. Avec un nouveau responsable à sa tête, le département entend construire une stratégie de recherche qui lui est propre, indépendante du financement de projets isolés. Carlo Harpes, fondateur et directeur d’itrust consulting, Matthieu Aubigny, Security Consultant, et Arash Atashpendar, Head of Research, Development and Innovation (RDI), nous parlent ainsi des projets de recherche phares de l’entreprise.
Quels sont les changements à l’œuvre au sein d’itrust consulting?
CH: Notre entreprise a toujours mis ses ressources au service des projets pour lesquels elle trouvait un financement sans se doter de sa propre stratégie de recherche. Aujourd’hui, nous voudrions opérer un changement de paradigme et organiser nos activités en fonction des priorités que nous dégageons en observant les failles qui existent dans nos infrastructures modernes. Nous avons donc recruté un nouveau responsable du département recherche, développement et innovation, Arash Atashpendar, afin de bâtir une stratégie de recherche qui nous est propre. Nous essayerons de débloquer des fonds, notamment auprès du FNR, pour financer notre équipe dans son ensemble et non plus uniquement certains projets isolés. L’objectif étant aussi d’encadrer davantage de doctorants de manière continue, comme le ferait un institut universitaire.
En parallèle, nous veillons à favoriser les synergies entre nos activités de conseil et de recherche. Notre force réside dans l’étroite collaboration entre ces deux départements. Les chercheurs savent que leur travail sera utilisé sur le terrain par leurs collaborateurs dans le conseil, de même qu’ils savent que le chiffre d’affaires généré par nos activités de conseil nous permet d’investir dans la recherche afin de mettre à jour nos outils et nos compétences.
Matthieu Aubigny, vous avez cédé votre place à Arash Atashpendar à la tête du département RDI. Quelles sont les raisons de ce changement?
MA: Ce changement est intervenu à un moment charnière où les projets que je menais se clôturaient et d’autres évoluaient quant à eux davantage dans le domaine de spécialisation d’Arash, celui de la cryptographie quantique et l’algorithmique. Quant à moi, j’avais de plus en plus de travail au niveau de la consultance; cette transition s’est donc faite naturellement. Nous restons bien sûr en collaboration et j’ai repris de rôle de défense des attentes des clients dans la définition de nos produits de recherche!
AA: En tant que responsable de ce département, j’encadre aujourd’hui une équipe de recherche de quatre personnes, y compris des étudiants réalisant leur mémoire de master et que nous prévoyons d’engager pour nos projets. En parallèle, je dois évaluer le travail effectué et déterminer s’il peut déboucher sur des articles scientifiques qui soutiendraient nos demandes de fonds.
Mon domaine de spécialisation est la cryptographie et le calcul quantique. Quand j’ai rejoint itrust, les équipes travaillaient déjà sur le projet Quartz. Celui-ci part d’un constat simple: l’infrastructure qui sécurise actuellement nos communications et le flux de nos données sera menacée dans les années à venir par des attaquants quantiques. En effet, si des personnes mal intentionnées réussissent à développer un ordinateur quantique stable et fonctionnel, qui serait par exemple capable d’exécuter l’algorithme de factorisation de Shor de manière effective, alors les algorithmes cryptographiques utilisés aujourd’hui pour sécuriser nos infrastructures modernes, notamment bancaires, seraient gravement menacés. Le monde des ordinateurs quantiques a, entre autres, besoin d’échange de clés et d’une nouvelle famille d’algorithmes à inventer dans le domaine de la cryptographie post-quantique. Conformément à la stratégie nationale du ministère de l’Économie, supporté par des initiatives européennes, nous avons choisi ce sujet comme le pilier de la vision à long terme de notre propre stratégie: nous voulons anticiper certaines menaces qui n’existent pas encore.
Une idée est d’utiliser des mécanismes qui établissent des clés qui ne soient pas vulnérables en cas d’attaque par un ordinateur quantique, notamment la distribution quantique de clés. Dans le cadre du projet Quartz, itrust joue un rôle important et conçoit et sécurise une application de distribution quantique de clés, cette dernière effectuée par des satellites.
Travaillez-vous sur d’autres projets de recherche?
AA: Nous travaillons sur un deuxième pilier à court terme, dont le principal projet est Critisec. Cette initiative a pour but de créer un outil capable de détecter les intrusions dans des réseaux informatiques industriels et dans les maisons intelligentes. À terme, l’objectif serait de créer un réseau avec des appareils de moins de 100 euros pour détecter des attaques, alerter l’utilisateur en cas d’anomalie et le cas échéant, informer un système expert centralisé. Ce dernier analyse alors ces anomalies en mettant en œuvre une puissance de calcul importante et une expertise humaine afin d’alerter aussi les autres appareils; un grand travail de recherche est nécessaire pour résoudre le problème de performance, or ce ne sera possible que si on y accorde un certain budget, indépendamment des objectifs business quotidiens. Nous voulons développer nos propres stratégies ainsi que la recherche dans ces domaines car les utilisateurs attendent déjà aujourd’hui d’être mis en garde dès qu’une activité réseau dangereuse et malveillante est détectable.
CH: Une fois notre outil de surveillance finalisé et décliné pour le contrôle des réseaux domestiques, nous devrons trouver une masse critique d’activité pour créer un centre de compétences qui serait doté des outils de la recherche et d’algorithmes plus élaborés pour mettre à jour et faire évoluer nos appareils de détection.
MA: Souvent ces attaques utilisent des ressources informatiques distribuées qui infectent les ordinateurs les uns après les autres avant de passer à une grosse attaque. L’idée est de pouvoir repérer les petites intrusions et réagir dès le départ. Pour ce faire, il faut avoir des sondes un peu partout dans le système et pouvoir considérer et évaluer la menace à l’avance. Il s’agit d’une de nos activités principales: c’est l’analyse de risques par rapport aux vulnérabilités.
Il faudrait par ailleurs davantage de collaboration au niveau européen pour créer des solutions qui ne dépendent pas de systèmes extérieurs dont nous n’avons pas le code source et que nous ne comprenons pas toujours entièrement.
Quels sont les éléments qui font la force de votre équipe de recherche?
CH: Chez itrust, nous sommes prêts à prendre des risques – peut-être que la crypto-quantique ne rencontrera pas immédiatement un succès commercial – en mélangeant ces risques avec nos objectifs à court terme de créer des produits ayant une utilité garantie comme la détection de cyberattaques.
Nous faisons aussi preuve d’un véritable esprit d’équipe! Chaque personne est complémentaire et s’efforce d’assister les autres. Enfin, à l’embauche nous misons sur le potentiel des candidats plutôt que sur leur expérience et nous prévoyons de les former en interne et de leur donner des responsabilités. Nous leur offrons une plateforme de formation et des défis dans le développement de nouveaux produits en collaboration avec l’équipe tout en leur laissant une autonomie de conception.