Stratégie nationale PEPR Cybersécurité

Improving Software Systems Security Evaluation

SECUREVAL

Mots-clés : evaluation sécuritaire, logiciels, certification, critères communs, vulnérabilités, propriétés de sécurité, conformité, défis

Résumé

Le projet SecurEval s’articule autour de trois axes techniques conçus pour répondre aux besoins de l’évaluation de sécurité logicielle, notamment dans le cadre de certifications CSPN ou CC. Le premier axe porte sur la recherche de vulnérabilités, aussi bien dans le code source que dans les binaires. Il vise à améliorer les outils de détection pour couvrir un maximum de cas, tout en permettant de qualifier les vulnérabilités selon leur criticité. Cette phase est essentielle mais très chronophage, en raison du volume souvent important de vulnérabilités détectées. Les travaux portent donc sur l’automatisation de ces outils et la priorisation des résultats, afin de permettre aux évaluateurs de se concentrer sur des tâches à plus forte valeur ajoutée, comme l’analyse de l’exploitabilité des vulnérabilités les plus critiques.

Le deuxième axe concerne la preuve de conformité aux propriétés de sécurité, telles que la confidentialité ou l’intégrité des données. Il s’agit de développer des outils facilitant la démonstration du respect de ces propriétés, en améliorant leur utilisabilité et leur niveau d’automatisation. Aujourd’hui encore, cette activité reste complexe et nécessite de nombreuses interventions manuelles pour établir les preuves attendues. L’objectif est donc de mieux outiller les évaluateurs afin de les accompagner dans ces démarches, tout en leur permettant de consacrer davantage de temps à l’étude d’attaques nouvelles ou plus complexes.

Le troisième axe vise à faire évoluer les outils développés dans les deux premiers axes pour répondre aux enjeux actuels de l’évaluation de sécurité et aux nouvelles réglementations européennes, qui concernent un nombre croissant de produits et de secteurs. Les logiciels à évaluer sont de plus en plus variés, complexes et évolutifs, et s’appuient sur de nouvelles technologies, comme des langages émergents ou des architectures inédites. Cela impose d’anticiper ces évolutions et d’adapter en continu les approches et les outils développés dans le cadre du projet.

L'auteur de ce résumé est le coordinateur du projet, qui est responsable du contenu de ce résumé. L'ANR décline par conséquent toute responsabilité quant à son contenu.

Acronyme projet : SECUREVAL
Référence projet : 22-PECY-0005
Région du projet : Île-de-France
Discipline : 1 - Math Info
Aide PIA : 7 650 246 €
Début projet : juin 2022
Fin projet : juin 2029

Coordination du projet : Patricia MOUY
Email : patricia.mouy@cea.fr

Etablissement coordinateur : CEA Paris
Partenariat : INRIA siège, Sorbonne Université, Université Grenoble Alpes, Université Paris-Saclay, CentraleSupélec, Université de Rennes, CNRS Alpes (Grenoble), Institut National Polytechnique Grenoble, CNRS Siège

Explorez notre base de projets financés

L’ANR met à disposition ses jeux de données sur les projets, cliquez ici pour en savoir plus.