SecurEval

Défi : l’évaluation de la sécurité des logiciels

Aperçu

Concevoir des nouveaux outils d’analyses de conformité et de vulnérabilité des logiciels pour mieux évaluer leur sécurité.

Patricia Mouy, Cheffe de laboratoire CEA
Sébastien Bardin, Fellow CEA

Dans le cadre du projet SecurEval, des approches d’analyse et de vérification de systèmes numériques s’appliquent dans les domaines du test, de l’analyse statique, de la vérification formelle, et de la simulation aux problématiques d’évaluation de cybersécurité. Le projet adresse les questions du traitement de nouvelles cibles, de nouvelles propriétés, et du passage à l’échelle de leurs combinaisons. 

Un autre objectif est la mise en œuvre de ces techniques outillées dans leurs méthodologies et leurs pratiques concrètes.

Mots clefs : Test, analyse de code, caractérisation, vérification formelle, preuve de conformité, analyse de vulnérabilités

Faire évoluer

Nos recherches


Les techniques d’analyse de code, issues du monde des systèmes critiques.

Pour traiter efficacement du cas des systèmes numériques modernes, les techniques d’analyse de code, issues du monde des systèmes critiques, doivent être refondues pour s’adapter aux objectifs de l’évaluation de sécurité et passer à l’échelle de systèmes complexes, mêlant fonctionnalités dédiées et bibliothèques tierces. On citera par exemple l’enjeu de la conception de nouveaux modèles de fautes, du support de langages émergents, la visualisation des garanties formelles apportées, l’utilisation de techniques d’apprentissage pour automatiser les gestes répétitifs ou optimiser l’extraction d’informations pertinentes, ou encore l’élaboration d’approches combinant analyses statiques et dynamiques.


La preuve de conformité et de respect des normes.

En aval de l’évaluation, la preuve de conformité et de respect des normes reste aujourd’hui une étape manuelle et très consommatrice de temps. Le projet prioritaire visera à rechercher des méthodologies et des outils permettant d’apporter la preuve de conformité de systèmes logiciels, y compris lorsqu’ils évoluent en réponse à̀ une campagne de tests de vulnérabilités (bug bounty) par exemple.

Le consortium

CEA, Inria, Sorbonne Université, UGA, Université Paris-Saclay, CentraleSupélec

Implantation du consortium

Les autres projets du PEPR Cybersécurtié

Doctor using technology document management on computer system management for cardiologist
IPoP
La protection des données personnelles
Voir plus
une personne devant des datacenter
SecureCompute
La sécurité du traitement des données dans le cloud
Voir plus
Picture of a woman typing on a computer
SVP
La sécurité des protocoles et du vote électronique
Voir plus
Illustration : lignes de code, sécurité des données, vie privée
COMPROMIS
La sécurité des données multimédia
Voir plus
Office worker in front of computer with warning about virus attack on screen
DefMal
La défense contre les programmes malveillants
Voir plus
Technical Controller Working at His Workstation with Multiple Displays. Displays Show Various Technical Information. He's Alone in System Control Center.
SuperviZ
La supervision et l’orchestration de la sécurité
Voir plus
Close up picture of an engineer made machine
ARSENE
La sécurité matérielle et logicielle des systèmes embarqués
Voir plus
Picture of a woman, standing in between two whiteboards and writing equations on them
Cryptanalyse
La résistance des systèmes cryptographiques
Voir plus
 REV
REV
L’exploitation de vulnérabilités en investigation numérique
Voir plus