Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Grand Défi Cyber CONSEIL DE L’INNOVATION Grand Défi cyber-sécurité « Automatisa

Grand Défi Cyber CONSEIL DE L’INNOVATION Grand Défi cyber-sécurité « Automatisation de la cyber-sécurité » Feuille de route – William Lecat I. Rappel général sur l’initiative des Grands Défis L’initiative des Grands Défis est issue, à l’origine, d’une recommandation du rapport Villani sur l’intelligence artificielle. Elle a été reprise et élargie au-delà de l’IA par le Conseil de l’Innovation (constitué de 7 ministres et 7 personnalités qualifiées, co-présidé par Bruno Lemaire et Frédérique Vidal). Le principe reste le même et s’inspire de ce que peut faire la DARPA (l’agence d’innovation de défense américaine). Il s’agit de sélectionner une thématique avec un fort enjeu économique et sociétal, de nommer un directeur de programme sur le sujet, de le doter d’un budget de 30M€, d’un mandat de principe de trois ans et d’une grande autonomie pour avoir un impact sur la thématique (en faisant émerger des avantages technologiques, économiques, voire stratégiques). Quatre Grands Défis ont déjà été lancés : IA de confiance, diagnostic médical et IA, automatisation de la cyber-sécurité et bioproduction médicale. II. Notions de cyber-sécurité La cyber-sécurité est un domaine très vaste aux contours parfois un peu flous. La description qui suit n’a pas pour vocation d’être exacte ou particulièrement précise, mais plutôt de donner des notions de base pour fournir un canevas d’analyse aux lecteurs peu familiers avec le sujet. Le modèle standard de la cyber-sécurité est centré sur les trois concepts suivants : confidentialité, intégrité et accessibilité. Pour expliciter un peu plus ces aspects, l’exemple de l’email est parlant et simple. On souhaite pouvoir échanger des emails sans que tout Internet puisse les lire (dans l’idéal juste l’expéditeur et les destinataires devraient avoir cette capacité). De même, on attend de ce service d’emails d’avoir une garantie sur l’authenticité du mail (i.e. qu’il n’ait pas été modifié en chemin) et de l’expéditeur (ce qui n’est souvent pas le cas en réalité). Enfin, on doit pouvoir avoir accès à sa messagerie pour pouvoir utiliser ce service. Ce modèle peut être appliqué de manière immédiate aux données, mais a toute sa place au niveau des équipements et des réseaux. Les réseaux contiennent les équipements qui contiennent eux-mêmes les données. Il y a donc plusieurs niveaux d’observation où la sécurité peut s’appliquer de manière complémentaire. Cette approche technique doit être complétée par son pendant organisationnel au niveau de l’information, de l’utilisateur et de l’organisation. Grand Défi Cyber Enfin, la mise en œuvre de cette cyber-sécurité peut être comprise en trois phases, qui se répètent éventuellement pour former un cycle : la phase amont de maitrise du risque (analyse de risque, conception, protection, parfois qualification, etc.), la phase d’opération (détection, supervision) et la phase de remédiation (maintien en condition de sécurité avec les mises à jour, restauration, réponse à incident, etc.). III. Organisation, constats et grands principes a. Démarche préalable Pour permettre la rédaction d’une feuille de route à trois ans, basée sur des constats issus du terrain et en complément de la lettre de mission originale, une démarche de rencontre d’un maximum d’acteurs de l’écosystème a été opérée (et se poursuivra probablement au moins un temps), permettant de bien identifier le positionnement de chacun et les ambitions existantes. Cela a ainsi permis de rencontrer plus d’une centaine d’acteurs et de nourrir la feuille de route, avec une vision la plus globale possible. L’intérêt s’est porté sur tous les travaux en cyber-sécurité (ou pouvant s’y appliquer) pour recueillir un maximum d’idées. Les seules guidelines fixées au préalable ont été de se concentrer sur des projets de développement logiciel (par opposition au « hardware ») de produits (par opposition aux services, même si le développement de produits ayant vocation à être intégrés dans une offre de service reste dans le périmètre). b. Constats Cette démarche a permis d’établir plusieurs constats regroupés dans 5 axes. Les trois premiers axes, correspondant à des thématiques distinctes et qualifiés de « verticaux », sont : « le dynamisme des réseaux », « les objets connectés (IoT) » et « la protection des petites structures contre la cybercriminalité ». Les deux autres axes, qualifiés de transverses car ils touchent plusieurs axes verticaux et peuvent dépasser le cadre du Grand Défi, sont : « l’amorçage en cyber-sécurité » et « la problématique des données cyber ». L’approche globale est donc résumée de la manière suivante : Figure 1 : approche globale du Grand Défi Cyber Grand Défi Cyber c. Positionnement des financements Dans le cadre du défi cyber, l’idée est d’investir sur des approches innovantes pouvant donner à la France et à l’Europe une avance technologique et un avantage compétitif. Il s’agit bien de se positionner sur des aspects de « rupture », faisant émerger de nouveaux types de technologies ou d’acteurs. On se focalise en particulier sur les aspects ambitieux trouvant difficilement des financements portés uniquement par des acteurs privés (car ils sont trop risqués techniquement, trop long terme, etc.) ou nécessitant une dynamique globale et une fédération de l’écosystème. d. Sélection des projets Le mode de sélection des entreprises ou des projets reste très ouvert. Néanmoins, la contrainte de temps (la durée du programme est de 3 ans) et la vitesse d’évolution du domaine sont très importantes. Dans ce contexte, et en cohérence avec la démarche actuelle, le mode de sélection le plus simple sera d’identifier directement les projets (appelé « projets directs » dans la suite), les acteurs pertinents et leurs besoins de financement au travers des discussions et des rencontres de l’écosystème. Cela n’exclut pas la possibilité de mise en place d’appels à projets thématiques pour faire émerger ou identifier de nouveaux acteurs. Dans tous les cas, les acteurs intéressés doivent contacter le directeur de programme pour présenter leur projet éventuel, garantissant ainsi à tous la possibilité d’entrer dans le processus de sélection du Grand Défi. Une grille d’éligibilité et de sélection sera établie pour permettre une sélection transparente et objective. e. Types de financements Là aussi, le sujet est très ouvert. Il reste quand même un certain nombre de contraintes dues à la simplicité (ou difficulté) de mise en œuvre administrative. Le plus simple et le plus efficace sera de soutenir les acteurs via des subventions R&D. Si cela se justifie par une valeur ajoutée importante, il sera aussi envisageable, au cas par cas, d’apporter des financements en fonds propres (ou quasi fonds propres) pour les acteurs ne pouvant bénéficier d’un soutien en subventions. Néanmoins, quand cela sera possible, la priorité sera mise, si le financement nécessaire est en fonds propres, sur l’orientation vers des outils existants utilisables conjointement au Grand Défi comme le fonds opéré par Bpifrance « Digital Venture », ou les fonds PIA « ambition amorçage angels » et « French Tech Seed ». f. Constitution des projets Les projets se constitueront le plus possible autour d’un modèle composé de deux types d’acteurs. Tout d’abord, un acteur (ou un groupe d’acteurs) réalisant le projet innovant. Ensuite, un deuxième acteur qui amènera un cas d’usage concret. Cela permettra de garantir que le projet répond réellement et directement à une problématique concrète, facilitant l’accès au marché en fin de développement. Cet acteur devra permettre des expérimentations en boucle courte, rendant ainsi possible un cycle court complet (développement -> déploiement -> exploitation -> retours). Enfin, les acteurs réalisant le projet devront pouvoir justifier des financements complémentaires pour mener à bien le projet. En effet, dans la majorité des cas, le Grand Défi apportera un financement sous forme de subvention R&D, ce qui a plusieurs implications. D’abord, cette subvention n’adressera que la partie R&D du projet, alors que la partie commerciale sera tout aussi importante pour le succès du projet. Ensuite, en conformité des règles fixées par la Commission européenne, sur un projet de développement logiciel Grand Défi Cyber en cyber-sécurité, le montant de subventions ne dépassera pas, en général, 50 % de la charge R&D. Cela laisse donc une partie importante du projet à financer (en auto financement ou via un co- financeur, bancaire par exemple) garantissant le partage du risque. g. Jalonnement des projets Les projets s’organiseront dans une suite de jalons relativement courts (6 à 12 mois) : technologiques, de démonstration et éventuellement commerciaux. L’idée est de pouvoir, à chacune de ces étapes, réévaluer l’avancée des travaux, l’atteinte des objectifs et les perspectives de développement à venir. Cela permettra l’arrêt éventuel des projets qui sous-performeront, ainsi que la réorientation de certains projets si cela est nécessaire. De plus, chaque projet se déroulera en deux phases sur un modèle d’entonnoir : une première phase où le financement sera accordé à différents projets (appelée « tranche – financement spécifique ») et une seconde, optionnelle, où des financements complémentaires seront accordés à certains des projets déjà soutenus, dans une logique de mise en concurrence, pour approfondir les premiers développements. Cela permettra de pousser les projets les plus performants plus loin sans avoir à prévoir lesquels dès le lancement. h. Recherche académique Afin de favoriser des aspects plus amonts dans les projets, l’opportunité de thèses CIFRE sera systématiquement explorée dans la constitution des projets. Cette démarche sera uploads/Ingenierie_Lourd/ grand-defi-cyber-feuille-de-route-grand-public-finale-003.pdf