fbpx

publiée le 06/10/2021

Dossier

Cyber
SÉCURITÉ

Microélectronique et
cybersécurité : la défense intégrée

Les tentatives de cyberattaque et d’intrusion des systèmes sont monnaie courante, alors que les techniques utilisées par les malfaiteurs sont de plus en plus raffinées et sophistiquées. Face à ce fléau, l’industrie de la microélectronique doit changer son approche et se protéger davantage grâce à la sécurité incorporée.

Le mandat d’un développeur en microélectronique est, avant tout, de concevoir des fonctionnalités pouvant accomplir des tâches, et que ces tâches s’accomplissent le plus efficacement possible.

Traditionnellement, les considérations de cybersécurité - quand il y en a - n'arrivent qu'en fin du processus de conception, comme une couche additionnelle ou une option. 

 

Cette manière de procéder peut être comparée à une voiture propulsée à l’essence, dont le modèle est par la suite converti à l’électricité par le manufacturier : il faut faire des compromis d’adaptation, alors qu’il aurait été préférable d’intégrer la caractéristique électrique dès la conception du modèle.

 

Il en est de même dans le cas d’un microprocesseur, où la couche de cybersécurité est une facette qui, bien que primordiale, demeure plus vulnérable lorsqu’elle n’est pas intégrée dès le départ.

umberto-jXd2FSvcRr8-unsplash

La cybersécurité ajoutée après la conception et la production du processeur, « c’est comme une ville protégée par une haute muraille, mais sans service de police à l’intérieur, explique Nicolas Duguay, directeur du développement des marchés chez In-Sec-M, grappe canadienne de l’industrie de la cybersécurité. Une fois cette haute muraille franchie, les criminels entrent dans la ville et font ce qu’ils veulent sans opposition. Il est alors trop tard. »

Cette approche est encore trop fréquente au sein de l’industrie électronique québécoise, ce qui pousse le gouvernement provincial à encourager les entreprises du milieu à améliorer leurs habitudes, non seulement par souci de sécurité, mais par souci de compétitivité dans ce secteur important.

Via le Programme d’innovation en cybersécurité du Québec (PICQ), mis sur pied par le gouvernement et géré par PROMPT, l’organisme dont le mandat est de favoriser les partenariats de recherche et soutenir l’innovation technologique, un apport financier est disponible pour accélérer les avancées en cybersécurité.

En plus du financement offert pour le développement de solutions de cybersécurité, l’initiative du PICQ comprend également un volet de soutien pour la certification, question de démontrer le sérieux d’une entreprise dans la protection de ses données et celles des autres. Sachant qu’une certification est un outil de haute valeur pour conquérir de nouveaux marchés, cet aspect du processus prend toute son importance.

Alors que les entreprises et institutions sont confrontées à des cyberattaques de grande expertise et de plus en plus dommageables, autant financièrement qu’en termes de données et d’informations volées, la sécurité incorporée (« embedded security », en anglais) devient un besoin essentiel que la microélectronique est en mesure de combler. En fait, la cybersécurité se doit d’être un critère fondamental servant à guider la conception en microélectronique. Pour se convaincre que le domaine navigue dans les eaux d’un nouveau paradigme, les exemples ne manquent pas.

« Pensons aux rançongiciels qui se multiplient, note Nicolas Duguay. Souvent, les entreprises se pensent en sécurité car elles ont des sauvegardes de leurs données et croient qu’elles peuvent ainsi contourner la menace. Jusqu’au moment où elles réalisent que les cyberpirates ont pris soin de chiffrer leurs sauvegardes à l’avance ! »

D’autant plus que les équipes de cyberpirates sont extrêmement patientes et visent maintenant les entreprises faisant partie de la chaîne d’approvisionnement de leurs véritables cibles, qui sont ensuite infiltrées et attaquées de l’intérieur. Les enjeux commerciaux et technologiques étant immenses, l’innovation doit primer dans la conception et la fabrication de la sécurité incorporée des microprocesseurs.

 

Il est donc nécessaire que les PME, fournisseurs et sous-traitants en microélectronique atteignent des niveaux aussi sécuritaires que les grandes entreprises qui les embauchent. C’est un message qu’In-Sec-M martèle depuis quelque temps déjà.

« Le Québec accuse clairement un retard considérable par rapport aux bonnes pratiques en matière de cybersécurité, déclare Nicolas Duguay. Nous avons beaucoup de rattrapage à faire et nous avons besoins d'exigences claires. Aux États-Unis, par exemple, une certification spécifique en cybersécurité est désormais obligatoire aux fournisseurs désireux de pénétrer la chaîne d'approvisionnement du Département de la défense. De telles exigences, en 2021, devraient exister ici, pour protéger tous les secteurs névralgiques de notre économie, quels qu'ils soient. »

micro-or

D’où l’importance d’obtenir l’une des nombreuses certifications de cybersécurité parmi celles financées par le PICQ, dont la valeur est exigée par certains secteurs d’activité (défense, santé) ou reconnue au-delà des frontières québécoises et canadiennes.

Pour Daniel Bindley, directeur général de l’ISEQ, l’organisme dont la mission est de mobiliser l’industrie québécoise des systèmes électroniques, l’absence de normes portant sur la conception et la fabrication des microprocesseurs est devenue une grande problématique.

« Par exemple, le domaine électrique doit respecter les normes CSA, qui encadrent rigoureusement la fabrication et les tolérances des appareils, et tout produit électrique affiche le logo de la CSA. Le consommateur sait donc que le produit est conforme et qu’il peut avoir confiance, souligne-t-il. Cependant, il n’y a rien de tel pour afficher le niveau de cybersécurité des produits microélectroniques. »

 

« De nos jours, tous les appareils sont connectés à un réseau, continue Daniel Bindley. Votre cellulaire, votre sonnette de porte avec caméra, la tablette éducative de votre jeune enfant. Qui sait quelles données sont interceptées ? Mais avec des certifications de cybersécurité embarquée, si un système microélectronique ne contient pas sa propre clé de chiffrement des communications, implantée directement dans le processeur, il ne répondrait pas aux normes et ne pourrait pas être commercialisé. »

De plus, contrairement à d’autres industries où les grands joueurs forment un comité unique pour déterminer un modèle de fabrication standardisé (pensons, par exemple, aux prises HDMI présentes sur tous les téléviseurs modernes), une approche équivalente n’existe pas dans le domaine de la cybersécurité intégrée à la microélectronique. Cela fait en sorte que les cyberpirates ont un grand terrain de jeu dans lequel chercher et trouver des failles.

mika-baumeister-FAmZ41x-z90-unsplash

« Au Québec, des institutions telles que le Cégep de Gatineau, Concordia, la Polytechnique et l’École de technologie supérieure effectuent des tests pour évaluer le niveau de sécurité qu’offrent certains microprocesseurs, indique Maxime Clerk, directeur du PICQ. Cependant, sans la présence de normes, l’exercice se limite aux résultats obtenus. Cela permet néanmoins de vérifier l’armure de protection au plan microélectronique, ce qui peut démontrer le sérieux de la conception et servir d’outil de commercialisation. »

Vu l’absence de normes et de stratégies internationales, est-ce que le Québec pourrait adopter les siennes dans l’intervalle ?

Micro

« L’ISEQ pousse fort en ce sens, confirme Daniel Bindley. Nous aimerions établir une base pour le matériel électronique, soit un guide de bonnes pratiques pour les concepteurs. La solution que nous proposons, c’est de rédiger un projet visant à créer des normes de cybersécurité pour les appareils électroniques. »

Pour toute entreprise québécoise n’accordant pas suffisamment d’importance à la cybersécurité, le résultat est très prévisible selon Daniel Bindley.

 

« C’est simple. Elle ne sera pas longtemps en affaires. »

Pour toute question sur le programme et ses volets de financement:

Volet innovation

Volet certification