La confiance est au centre de tout travail de cybersécurité, déclare Shyu du ministère de la Défense au CERIAS – Research at Purdue
WEST LAFAYETTE, Indiana. La cybersécurité dans le domaine de la défense se résume à un mot : confiance. C’était le message de Heidi Shyu, sous-secrétaire à la défense pour la recherche et l’ingénierie, invitée au coin du feu du symposium annuel sur la sécurité du Centre d’éducation et de recherche sur l’assurance et la sécurité de l’information (CERIAS), le 2 avril au Stewart Center de l’Université Purdue.
La cybersécurité équivaut à tout ce que nous faisons, a déclaré Shyu à Eugene Spafford, directeur exécutif émérite du CERIAS et fondateur de l’organisation, qui a dirigé la discussion. Si vous ne pouvez pas faire confiance au système, vous n’en voulez pas.
C’est également son message aux entreprises qui cherchent à travailler avec le ministère de la Défense, a déclaré Shyu, notant que le travail traditionnel en matière de cybersécurité se poursuit même avec l’émergence de l’influence de l’intelligence artificielle dans l’informatique.
L’IA fiable et l’autonomie font partie des domaines technologiques critiques qu’elle supervise dans son rôle, a-t-elle déclaré, et ces technologies sont fréquemment liées. Mais la première fois qu’un utilisateur utilise un système et qu’il fait quelque chose que vous n’aviez pas prévu, vous perdrez confiance dans le système, a déclaré Shyu. Je demande aux chercheurs : comment puis-je valider cette voie potentielle ? Comment puis-je faire confiance au modèle ?
Shyu a déclaré que le ministère de la Défense réfléchissait à ce qu’il pouvait faire pour tirer parti de l’IA, car de nombreux autres pays expérimentent également l’IA et l’autonomie. Ce qui nous intéresse, c’est que, parce que nous utilisons des systèmes militaires, nous avons besoin de garanties supplémentaires dans le système et qu’il n’existe aucune méthode pour le pirater et modifier son comportement, y compris les attaques de capteurs.
Les attaques de capteurs faisaient partie des nombreux sujets abordés parmi les plus de 300 participants au symposium des 2 et 3 avril. Il s’agissait du 25e anniversaire de cet événement annuel qui rassemble les meilleurs experts du monde universitaire, du gouvernement et de l’industrie pour discuter des dernières avancées et défis auxquels est confrontée la cybersécurité. L’événement a été fondé par le Purdues Center for Education and Research in Information Assurance and Security.
Le CERIAS est considéré comme la principale entité universitaire interdisciplinaire au monde pour la sécurité des systèmes cyber et cyber-physiques. L’interdisciplinarité est l’une des forces du CERIAS, a déclaré Spafford. Si nous n’avions pas d’ordinateurs, nous n’aurions pas d’abus informatiques, a-t-il déclaré. Mais il en serait de même si nous n’avions personne. Pour réellement résoudre les problèmes difficiles, il faut examiner un éventail de questions.
Comme on peut l’imaginer, l’orientation des recherches du CERIAS a autant évolué au fil des années que le terme cybersécurité.
Les cyber-risques et vulnérabilités sont bien différents aujourd’hui de ce qu’ils étaient il y a 25 ans, a déclaré Joel Rasmus, directeur général du CERIAS. Lorsque l’événement a commencé, nous ne parlions même pas de cybersécurité ; il s’agissait d’assurance de l’information, et il s’agissait de protéger les informations sur votre ordinateur, a-t-il déclaré.
Aujourd’hui, la cybersécurité va bien au-delà de la simple protection des informations. Il s’agit de connecter les systèmes et de leur faire faire quelque chose pour lequel ils n’ont pas été conçus, a déclaré Rasmus, comme injecter des vulnérabilités dans un composant fabriqué, fermer un réseau électrique ou arrêter la chaîne d’approvisionnement agricole du pays.
En effet, ces sujets et d’autres constituaient l’ordre du jour de l’événement de cette année. Les drones en sont un exemple notable. Fin 2023, plus de 800 000 drones étaient utilisés aux États-Unis dans une myriade d’applications, a déclaré Ashok Raja, professeur adjoint de cybersécurité, de technologie de l’information et de graphisme chez Purdue. Mais, a-t-il noté, une attaque de capteurs peut les exploiter, une frappe furtive sur le contrôle basé sur la perception du véhicule aérien sans pilote qui dégrade ses performances mais reste non détectée.
Les drones peuvent être induits en erreur à travers une série d’étapes et finalement conduire à un crash, a déclaré Raja. Les capteurs de perception peuvent être exploités par des entités malveillantes comme canal pour attaquer les algorithmes d’IA. Il a déclaré que pour protéger un drone utilisé pour quelque chose comme une inspection de pont, des échantillons contradictoires peuvent être utilisés pour entraîner le drone à résister à une attaque.
Le cyber est également désormais un domaine de guerre, a déclaré Chris Cleary, vice-président des solutions cyber mondiales pour ManTech et ancien conseiller principal en cyber de la Marine. Dans le passé, les responsables ne parlaient pas de cybersécurité parce que cela était généralement classifié, mais ils en parlaient tout le temps dans les cercles de la défense, a-t-il déclaré.
Ce n’est un secret pour personne. Certains de nos adversaires construisent intentionnellement des armes pour pénétrer dans certaines de nos infrastructures, via la préparation de l’environnement ou en dégradant la capacité d’utiliser les capacités, a déclaré Cleary.
Le cyber a besoin d’attention maintenant, a-t-il déclaré. Dans tout incident, une éventuelle cyberattaque doit faire l’objet d’une enquête et être exclue car l’adversaire obtient désormais un vote, a-t-il déclaré. L’adversaire peut trouver un moyen de contourner ce problème en exploitant des vulnérabilités ou des technologies.
En plus des présentations, les étudiants ont présenté une soixantaine d’affiches mettant en lumière certains des projets de recherche en cours sur la cybersécurité dans le cadre du CERIAS.
Au cours de la vie du CERIAS, nous avons contribué à la production de 300 doctorats en cybersécurité, ainsi que de milliers de diplômés de premier cycle et de maîtrise, a déclaré Spafford. Nos partenaires de l’industrie et du gouvernement sont ravis de soutenir non seulement notre recherche, mais aussi notre vaste mission éducative. Ils savent que nos plus grands défis nécessitent non seulement l’application de technologies innovantes, mais aussi le travail acharné de personnes excellentes.
La seule constante en 25 ans est que Purdues CERIAS a été à l’avant-garde de l’identification et de l’atténuation de ces risques et vulnérabilités, a déclaré Rasmus, ainsi que de la formation de la prochaine génération de main-d’œuvre.
Il y a de grandes choses ici, dit-il. Il ne s’agit pas d’une conférence typique sur la cybersécurité, car de nombreuses personnes du gouvernement et du secteur commercial y assistent et y sont présentes. Dès le début, nous avons eu la volonté profonde de résoudre les vrais problèmes.
Le monde universitaire ne peut pas rester dans la tour d’ivoire, a-t-il déclaré. Nous devons impliquer l’industrie pour changer le monde.
Contact écrivain/média : Evamarie Socha, ecsocha@purdue.edu