Comment éviter que la sécurité n’altère la performance
Dans un système embarqué, où les capacités sont limitées, les ressources de calcul font l’objet d’une lutte acharnée. Automates, fonctions opérationnelles, traitement des données tactiques… chacun en réclame légitimement sa part. Malgré leur importance grandissante et l’émergence de nouveaux risques liés à une connectivité croissante, les outils de sécurité informatique (antivirus, pare-feu, chiffrement…) ne sont pas toujours prioritaires. La cybersécurité doit ainsi se faire une place dans un environnement contraint par des exigences techniques et opérationnelles strictes. La répartition et disponibilité de la puissance de calcul fait donc l’objet d’une rivalité pour laquelle il faut faire preuve d’ingéniosité.
Un monde sous contraintes
L’embarqué, aérien et militaire en particulier, est un monde de contraintes, avec lesquelles doivent composer les exigences de cybersécurité. Il y a tout d’abord les contraintes physiques – poids, encombrement, température… – qui restreignent drastiquement le champ des possibles. S’y ajoutent des contraintes de consommation énergétique dans le but souverain d’accroître autant que possible l’autonomie de l’aéronef pour lequel quelques minutes de vol supplémentaires peuvent faire toute la différence. Cette recherche de la moindre consommation énergétique crée elle-même d’autres contraintes, comme par exemple sur la capacité mémoire. Pour minimiser les pertes occasionnées par les conversions successives de tension, il arrive aussi que l’on crée des cartes d’alimentation spécifiques, dont le rendement exige que l’on respecte scrupuleusement une certaine enveloppe énergétique, ce qui constitue encore une contrainte supplémentaire !
Il faut aussi considérer une notion primordiale pour un système de défense embarqué : le traitement en temps réel. Cette exigence liée à la disponibilité opérationnelle du système, et de la plateforme tout entière, est déterministe compte tenu de la criticité des événements gérés lors d’une mission. Il est alors hors de question que le déclenchement d’un antivirus vienne perturber le traitement en temps réel, la régularité et la précision des informations traitées.
Les outils de cybersécurité ne sont pas non plus épargnés par les contraintes opérationnelles. Par exemple, le temps nécessaire pour procéder à une vérification peut allonger un délai d’allumage ou de démarrage du système embarqué et par conséquent de l’aéronef. Si celui-ci est critique pour le succès de la mission, il faut donc arbitrer entre l’exigence de sécurité et sa disponibilité opérationnelle. Il en va de même pour l’effacement d’urgence, lancé lorsque le système pourrait tomber entre de mauvaises mains, où l’on se doit de trouver un équilibre entre l’efficacité de l’opération et sa durée.
Enfin, le choix des composants est lui même limité. Il n’existe d’une part que très peu de logiciels de cybersécurité développés spécifiquement pour répondre aux exigences de l’embarqué de défense. D’autre part, les fonctionnalités offertes par ces outils pour l’embarqué de défense sont soumises à des restrictions à l’exportation, ce qui peut contre indiquer leur implémentation dans un système. Selon les cas, ce peut être des interdictions pures et simples (notamment imposées par le règlement américain ITAR) ou des autorisations soumises à condition (par exemple, un nombre d’unités limité). Souvent, ces limitations empêchent d’utiliser des composants dédiés à la cryptographie, ce qui oblige à implémenter des modules de chiffrement sur les processeurs généralistes, dont ils grèvent ainsi une partie de la puissance.
Anticipation, ingéniosité, rigueur
Bref, obtenir le niveau de sécurisation souhaité tout en minimisant la puissance consommée a des allures de quadrature du cercle. Pour la résoudre, il est impératif de prendre en compte la cybersécurité en amont, dès la spécification du système, car il sera ensuite très difficile – pour ne pas dire impossible – d’insérer de nouvelles exigences dans un ensemble optimisé pour autant de contraintes interdépendantes. Il faut se demander quels sont les risques, quel est le niveau de protection visé et quels sont les composants adaptés pour cela.
À partir de là, le développement est une affaire d’anticipation, d’ingéniosité et de rigueur. Anticipation vis-à-vis de l’ensemble des exigences dans la limite d’un risque jugé acceptable. Ingéniosité pour trouver comment garantir la sécurité, sans gaspiller de la puissance. Rigueur, enfin, quand il s’agit de minimiser la taille du code, de vérifier l’absence de codes morts (reliquats superflus du développement et sources de vulnérabilité), ou encore d’appliquer de bonnes pratiques de codage qui permettent à la fois de limiter les risques et d’optimiser les performances.
Trouver le bon équilibre
L’enjeu ne se résume pas juste à la répartition de la puissance de calcul, il s’agit également de faire converger les diverses exigences sécuritaires et opérationnelles, tout en prenant en considération la pluralité des contraintes environnementales du système embarqué. Un triptyque complexe, qui nécessite une maîtrise à 360° du système, de la plateforme dans laquelle il sera embarqué, et de l’environnement plus large dans lequel il sera amené à évoluer.
Ce défi, tant opérationnel, technologique que sécuritaire, est réalisable dans la mesure où les parties prenantes (le constructeur de la plateforme – aéronautique ou terrestre, l’autorité d’homologation au niveau sécurité et l’industriel) échangent et s’accordent sur les priorités du système. Anticipation, convergence et collaboration en étant les maîtres mots.
A propos d’Atos ALSe
Spécialisée dans la conception de systèmes embarqués à destination des plateformes de défense, l’activité Air Land Sea Electronics (ALSe) du groupe Atos développe méthodes et savoir-faire technologiques nécessaires pour répondre à leurs enjeux spécifiques en matière de cybersécurité :
- se conformer aux exigences de sécurité des systèmes d’informations ;
- respecter les spécifications liées aux contraintes des environnements critiques ;
- maintenir un niveau approprié de performance ;
- garantir la disponibilité opérationnelle des systèmes afin de ne pas compromettre le déroulement des missions.
A propos des auteurs
Norbert Di Costanzo
Chief Operating Officer et membre senior de la communauté scientifique Atos
Norbert est Chief Operating Officer des solutions Air Land Sea electronics chez Atos depuis 2012. Norbert fait partie des communautés d’experts Atos spécialisées dans le calcul avancé et le hard/firmware.