Mois : mars 2024

Concevoir les puces de demain grâce aux FPGA*s, une « glaise électronique » re-modelable a volonté, nous explique Bruno Levy.  Bruno est Directeur de Recherche Inria au sein du projet ParMA de l’Inria Saclay et du Laboratoires de Mathématiques d’Orsay. Il conduit des recherches en physique numérique et en cosmologie. Il joue également le rôle d’ambassadeur pour Risc-V.  Pierre Paradinas.

(*) FPGA : Pour « Field Programmable Gate Array », à savoir, ensemble de portes logiques programmable « sur le terrain » …

« S’il te plait, dessine moi la super-puce du futur pour l’IA de demain ? »
« Ça, c’est la caisse, la super-puce que tu veux est dedans ! » (D’après St Exupéry et Igor Carron)

La micro-electronique : des milliards de connexions sans s’emmêler les fils ! Les circuits intégrés, ou « puces », sont d’incroyables réalisations technologiques. Ils ont été inventés en 1958 par Jack Kilby dans l’objectif de simplifier la fabrication des circuits électroniques. Cette industrie était alors confrontée au problème d’arriver à fabriquer de manière fiable un grand nombre d’éléments. Le plus gros problème était posé par le nombre considérables de fils censés connecter les composants entre eux ! En gravant directement par un procédé photographique les composants et leurs connexions dans un morceau de semi-conducteur de quelques millimètres carrés, son invention révolutionne ce domaine, car elle a permis non-seulement d’automatiser le processus de fabrication, mais également de miniaturiser la taille des circuits et leur consommation énergétique de manière spectaculaire. Grâce à son invention, il propose une dizaine d’années plus tard, en 1972, la première calculatrice de poche. Dans la même période (en 1971), la firme Intel, à présent bien connue, sort une puce révolutionnaire, le Intel 4004, qui contient un ordinateur quasi complet (le tout premier microprocesseur), également dans l’objectif de fabriquer des calculatrices de poches. En quelques décennies, cette technologie progresse plus rapidement que n’importe quelle autre. Les premières puces des années 70 comportaient quelques milliers d’éléments (des transistors), connectés par des fils de quelques micromètres d’épaisseur (dans un millimètre on casait 1000 fils, ce qui était déjà considérable, mais attendez la suite…). Les puces d’aujourd’hui les plus performances comportent des centaines de milliards de transistors, et les fils font quelques nanomètres de large (dans un millimètre, on case maintenant un million de fils).

Comment fabrique-t-on une puce ? Il y a un petit problème : arriver à structurer la matière à l’échelle atomique ne peut pas se faire dans un garage ! Pour donner une idée de la finesse de gravure (quelques nanomètres), on peut garder à l’esprit que la lumière visible a une longueur d’onde entre 300 et 500 nanomètres. Autrement dit, dans l’intervalle minuscule correspondant à une seule longueur d’onde électromagnétique de lumière visible, on sait graver une centaine de fils !!! Alors avec quoi peut-on réaliser ce tour de force ? Toujours avec des ondes électromagnétiques, mais de très très petite longueur d’onde, émises par un laser, à savoir des ultra-violets très énergétiques (qui sont une forme de « lumière » invisible), appelés EUV pour Extreme Ultra Violets. La firme néerlandaise ASML maîtrise cette technologie et équipe les principaux fabricants de puces (appelés des « fondeurs »), dont le Taïwanais TSMC, Samsung et Intel, avec sa machine (à plusieurs centaines de millions d’Euros, grosse comme un autobus, bourrée de technologie) qui permet de graver la matière à l’échelle atomique . La machine, et surtout l’usine autour de celle-ci, coûtent ensemble plusieurs dizaines de milliards d’Euros ! A moins d’être elle-même un fondeur (comme Intel), une entreprise conceptrice de puces va donc en général dépendre de l’une de ces entreprises, qui a déjà réalisé les investissements colossaux, et qui va fabriquer les puces à partir de son design. Cela a été le cas par exemple de Nvidia (qui fabrique à présent la plupart des puces pour l’IA), qui a fait fabriquer ses trois premières générations de puces graphiques dans la fin des années 1990 par le fondeur Franco-Italien ST-Microelectronics (qui gravait alors en 500 nanomètres, puis 350 nanomètres), pour passer ensuite au Taïwanais TSMC, qui avait déjà à l’époque un processus plus performant.

Représentation de l’intérieur d’un FPGA, constitué d’un grand nombre de portes logiques, de cellules de mémoire et d’aiguillages permettant de les connecter. Ici, le circuit correspond à FemtoRV, un petit processeur Risc-V conçu par l’auteur.

Et les petits acteurs ? Comment un petit acteur concepteur de puces peut-il accéder à cette technologie ? Le coût en faisant appel à un fondeur reste important, car pour chaque puce plusieurs étapes de développement sont à réaliser, comme la création des masques, sortes de « négatifs photo » permettant de créer par projection les circuits sur la puce. Afin de réaliser des prototypes, ou encore quand les exigences de performances sont moins importantes, il serait bien d’avoir une sorte de « boite » remplie de portes logiques, de fils et de cellules mémoires (comme sur l’illustration sous le titre), et de pouvoir rebrancher à volonté tous ces éléments au gré de l’imagination du concepteur. C’est exactement ce que permet de réaliser un FPGA. Un tel FPGA se présente sous la forme d’un circuit intégré, avec à l’intérieur tous ces éléments génériques, et un très grand nombre d’ « aiguillages » reconfigurables par logiciel (voir la figure). On peut le considérer comme une « glaise électronique », modelable à façon, permettant de réaliser n’importe quel circuit logique, à l’aide de langages de description spécialisés.

Il existe une grande variété de FPGA, des plus petits, à quelques dizaines d’Euros, comportant quelques milliers d’éléments logiques, jusqu’au plus gros, à plusieurs milliers d’Euros, comportant des millions d’éléments. Ceci rend le « ticket d’entrée » bien moins onéreux. Combinées avec la disponibilité de FPGAs à faible coût, deux autres nouveautés favorisent considérablement l’émergence de petits acteurs dans ce domaine :

• tout d’abord, l’apparition d’outils Open-Source, tels que Yosys et NextPNR, qui remplacent de grosses suites logicielles monolithiques par un ensemble d’outils simples, faciles à utiliser et réactifs. Ceci rend cette technologie accessible non-seulement aux petits acteurs, mais également à toute une communauté de hobbyistes, de manière similaire à ce qui s’est passé pour l’impression 3D.
• d’autre part, le standard ouvert RiscV fournit à tous ces projets une norme libre de droit, facilitant l’émergence d’un écosystème de composants compatibles entre eux (c.f. cet article sur binaire ). Il est assez facile de réaliser un processeur Risc-V à partir d’un FPGA (tutoriel réalisé par l’auteur ici ).
• et enfin, des initiatives comme TinyTapeOut, qui permettent à tout un chacun de s’initier à la fabrication de circuit intégrés, en intégrant les projets de plusieurs personnes sur une seule puce afin de réduire les coûts de production.

Pourquoi est-ce intéressant et qu’est-ce que ça change ? Au-delà d’introduire plus de « bio-diversité » dans un domaine jusqu’à présent dominé par quelques acteurs, certains domaines peuvent grandement bénéficier de la possibilité de créer facilement des circuits électroniques : par exemple, les expériences réalisées à l’aide de l’accélérateur à particules LHC (Large Hadron Collider) du CERN génèrent un très grand volume de données, qui nécessite une électronique spécialisée pour leur traitement. D’autres domaines d’application nécessitent de contrôler très exactement le temps, d’une manière telle que seule un circuit spécialisé peut le faire. Enfin, un grand nombre de gadgets de type « Internet des Objets » possède à l’intérieur un système informatique complet, tournant sous Linux, ce qui représente un ensemble de problèmes en termes de sécurité informatique. Ceci est résumé dans cet article qui décrit un scénario fictif, où des brosses à dents connectés sont utilisées pour organiser une attaque par déni de service. Même si ce scénario était fictif, il reste malheureusement très réaliste ! Grâce aux FPGAs, il sera possible de remplacer tous ces petits ordinateurs génériques de l’Internet des objets par des versions spécialisées, à la fois plus économes en énergie et moins sensibles aux attaques informatiques.

Et demain, une convergence entre le soft et le hard ? Avec les FPGAs, on assiste à une évolution où la frontière entre le soft (le logiciel) et le hard (le matériel) est de plus en plus ténue. Si on imagine qu’elle devienne totalement poreuse, on voit alors des ordinateurs qui reconfigurent automatiquement leurs circuits en fonction du programme à exécuter, afin d’être plus efficace et/ou de consommer moins d’énergie. Intel et AMD explorent déjà cette voie, en intégrant un FPGA dans un microprocesseur, ce qui permet de définir pour ce dernier de nouvelles instructions à volonté. En extrapolant encore plus loin cette vision, on pourra imaginer dans un futur proche une grande variété de schémas de conceptions et de modèles d’exécution, permettant de remplacer la puissance brute de calcul par plus de créativité et d’intelligence, réelle ou artificielle !

Alors, de quoi rêvent les FPGAs … ?

… de moutons électriques, bien évidement !

Bruno Lévy, Inria

C’est une plainte en bonne et due forme qu’a déposée la Commission américaine de réglementation et de contrôle des marchés financiers (SEC) contre la société SolarWinds et son Chief Information Security Officer dans le cadre de l’attaque qu’elle a subie. Elle avait fait du bruit car elle a permis à des hackers de diffuser, depuis l’intérieur des systèmes de la société, une version modifiée du logiciel de gestion des réseaux que la compagnie propose à ses clients (Orion). Il faut dire que les dégâts furent considérables puisque les entreprises qui avaient installé la version modifiée permettaient aux hackers d’entrer librement dans leur réseau.

L’enquête de la SEC relatée dans le dépôt de plainte montre l’inimaginable en termes de manque de culture de sûreté, de déficience et de négligence, le tout mâtiné de mauvaise foi.

Absence de cadre de référence de sûreté

SolarWinds a d’abord prétendu et publié qu’il avait implémenté la méthodologie de l’agence chargée du développement de l’économie notamment en développant des normes  (NIST, National Institute of Standards and Technology) pour évaluer les pratiques de cybersécurité et pour atténuer les risques organisationnels mais ce n’était pas vrai. Des audits internes ont montré qu’une petite fraction seulement des contrôles de ce cadre de référence était en place (40 %). Les 60% restants n’étaient tout simplement pas implémentés. SolarWinds, dans le cadre de ses évaluations internes, avait identifié trois domaines à la sécurité déficiente : la manière de gérer cette sécurité dans les logiciels tout au long de leur vie commerciale, les mots de passe et les contrôles d’accès aux ressources informatiques.

Un développement sans sécurité

Le logiciel de base qui sert à son produit Orion, faisait partie des développements qui ne suivaient absolument aucun cadre de sécurité. L’enquête a montré en 2018 qu’il y avait eu un début d‘intention pour introduire du développement sûr de logiciel mais qu’il fallait commencer par le début… une formation destinée aux développeurs pour savoir ce qu’est un développement sûr, suivi par des expériences pilotes pour déployer graduellement cette méthodologie, par équipe, sans se presser, sur une base trimestrielle. Entretemps, SolarWinds continuait à prétendre qu’elle pratiquait ses développements en suivant les méthodes de sécurité adéquates.

Mot de passe

La qualité de la politique des mots de passe était elle aussi défaillante : à nouveau, entre ce que SolarWinds prétendait et ce qui était en place, il y avait un fossé. La politique des mots de passe de SolarWinds obligeait à les changer tous les 90 jours, avec une longueur minimum et, comme toujours, imposait des caractères spéciaux, lettres et chiffres. Malheureusement, cette politique n’était pas déployée sur tous les systèmes d’information, applications ou bases de données. La compagnie en était consciente mais les déficiences ont persisté des années durant. Un employé de SolarWinds écrivit même un courriel au nouveau patron de l’informatique que des mots de passe par défaut subsistaient toujours pour certaines applications. Le mot de passe ‘password’ fut même découvert ! Un audit a mis en évidence plusieurs systèmes critiques sur lesquels la politique des mots de passe n’était pas appliquée. Des mots de passe partagés ont été découverts pour accéder à des serveurs SQL. Encore pire : on a trouvé des mots de passe non chiffrés sur un serveur public web, des identifiants sauvés dans des fichiers en clair. C’est via la société Akamai qui possède des serveurs un peu partout dans le monde et qui duplique le contenu d’internet notamment (les CDN, Content Distribution Networks) que SolarWinds distribuait ses mises à jour. Un chercheur fit remarquer à SolarWinds que le mot de passe pour accéder au compte de l’entreprise sur Akamai se trouvait sur Internet. Ce n’est pourtant pas via Akamai que la modification et la diffusion du logiciel eut lieu. Les hackers l’ont fait depuis l’intérieur même des systèmes de SolarWinds.

Gestion des accès

La gestion des accès c’est-à-dire la gestion des identités des utilisateurs, les autorisations d’accès aux systèmes informatique et la définition des rôles et fonctions pour savoir qui peut avoir accès à quoi dans l’entreprise étaient eux aussi déficients. La direction de SolarWinds savait entre 2017 et 2020 qu’on donnait de manière routinière et à grande échelle aux employés des autorisations qui leur permettaient d’avoir accès à plus de systèmes informatiques que nécessaires pour leur travail. Dès 2017, cette pratique était bien connue du directeur IT et du CIO. Pourquoi diable a-t-on donné des accès administrateurs à des employés qui n’avaient que des tâches routinières à faire ? Cela a aussi compté dans l’attaque.

Les VPN furent un autre souci bien connu et non pris en compte. A travers le VPN pour accéder au réseau de SolarWinds, une machine qui n’appartient  pas à SolarWinds pouvait contourner le système qui détecte les fuites de données (data loss prevention). L’accès VPN contournait donc cette protection. Comme d’habitude, serait-on tenté de dire à ce stade, c’était su et connu de la direction. Toute personne avec n’importe quelle machine, grâce au VPN de SolarWinds et un simple identifiant (volé), pouvait donc capter des données, de manière massive sans se faire remarquer. En 2018, un ingénieur leva l’alerte en expliquant que le VPN tel qu’il avait été configuré et installé pouvait permettre à un attaquant d’accéder au réseau, d’y charger du code informatique corrompu et de le stocker dans le réseau de SolarWinds. Rien n’y fit, aucune action correctrice ne fut menée. En octobre 2018, SolarWinds, une vraie passoire de sécurité, faisait son entrée en bourse sans rien dévoiler de tous ces manquements. C’est d’ailleurs la base de la plainte de la SEC, le régulateur américain des marchés. Toutes ces informations non divulguées n’ont pas permis aux investisseurs de se faire une bonne idée de la valeur de la société. Solarwinds ne se contenta pas de mentir sur son site web : dans des communiqués de presse, dans des podcasts and des blogs, SolarWinds faisait, la main sur le cœur, des déclarations relatives à ses bonnes pratiques cyber.

Avec toutes ces déficiences dont la direction était au courant, il est clair pour la SEC que la direction de SolarWinds aurait dû anticiper qu’il allait faire l’objet d’une cyberattaque.

Alerté mais silencieux

Encore plus grave : SolarWinds avait été averti de l’attaque par des clients et n’a rien fait pour la gérer. C’est bien via le VPN que les attaquants ont pénétré le réseau de SolarWinds via des mots de passe volés et via des machines qui n’appartenaient pas à SolarWinds (cette simple précaution de n’autoriser que des machines répertoriées par la société aurait évité l’attaque). Les accès via le VPN ont eu lieu entre janvier 2019 et novembre 2020. Les criminels eurent tout le temps de circuler dans le réseau à la recherche de mots de passe, d’accès à d’autres machines pour bien planifier l’attaque. Celle-ci a donc finalement consisté à ajouter des lignes de code malicieuses dans Orion, le programme phare de SolarWinds, utilisé pour gérer les réseaux d’entreprise. Ils n’ont eu aucun problème pour aller et venir entre les espaces de l’entreprise et les espaces de développement du logiciel, autre erreur de base (ségrégation et segmentation). A cause des problèmes relevés ci-dessus avec les accès administrateurs, donnés à tout bout de champ, notamment, les antivirus ont pu être éteints. Les criminels ont ainsi pu obtenir  des privilèges supplémentaires, accéder et exfiltrer des lignes de codes sans générer d’alerte. Ils ont aussi pu récupérer 7 millions de courriels du personnel clé de Solarwind.

Jusqu’en février 2020, ils ont testé l’inclusion de lignes de code inoffensives dans le logiciel sans être repérés. Ils ont donc ensuite inséré des lignes de code malicieuses dans trois produits phares de la suite Orion. La suite, on connait : ce sont près de 18 000 clients qui ont reçu ces versions contaminées. Il y avait dans ces clients des agences gouvernementales américaines.

On s’est bien retranché, chez SolarWinds, derrière une soi-disant attaque d’un État pour justifier la gravité de ce qui s’est passé et sous-entendre qu’il n’y avait rien à faire pour la contrer mais le niveau de négligence, analyse la SEC, est si immense qu’il ne fallait pas être un État pour mettre en œuvre Sunburst, le surnom donné à l’attaque. Il y a aussi eu des fournisseurs de service  (MSP) attaqués : ceux-ci utilisent les produits de SolarWinds pour proposer des services de gestion de leur réseau aux clients, ce qui donc démultipliait les effets.

Alors que des clients ont averti que non seulement le produit Orion était attaqué mais que les systèmes même de SolarWinds étaient affectés, la société a tu ces alertes. Elle fut aussi incapable de trouver la cause de ces attaques et d’y remédier. SolarWinds a même osé prétendre que les hackers se trouvaient déjà dans le réseau des clients (rien à avoir avec SolarWinds) ou que l’attaque était contre le produit Orion seul (sur laquelle une vulnérabilité aurait été découverte par exemple) alors que cette attaque avait eu lieu parce que les hackers avaient réussi à infester le réseau de SolarWinds

Pour la SEC, le manque de sécurité mise en place justifie déjà à lui seul la plainte et l’attaque elle-même donne des circonstances aggravantes.

L’audit interne a montré que de nombreuses vulnérabilités étaient restées non traitées depuis des années. De toute façon le personnel était largement insuffisant, a pu constater la SEC dans les documents internes, pour pouvoir traiter toutes ces vulnérabilités en un temps raisonnable. On parlait d’années. Lors de l’attaque, SolarWinds a menti sur ce qui se passait. Au lieu de dire qu’une attaque avait lieu, SolarWinds avait écrit que du code dans le produit Orion avait été modifié et pourrait éventuellement permettre à un attaquant de compromettre les serveurs sur lesquels le produit Orion avait été installé et tournait !

Que retenir de tout ceci ? Il ne faut pas se contenter des déclarations des fournisseurs sur leurs pratiques de sécurité. En voilà un qui a menti tout en sachant que son produit était une passoire. Ce qui frappe est la quantité d’ingénieurs et d’employés qui ont voulu être lanceurs d’alerte au sein de SolarWinds. Ils ne furent pas écoutés. Faut-il légiférer et prévoir une procédure de lanceur d’alerte sur ces matières-là aussi vers des autorités ? On se demande aussi si dans tous les clients d’Orion, il n’y en a eu aucun pour faire une due diligence avec des interviews sur site. Il est quasiment certain que des langues se seraient déliées.

Jean-Jacques Quisquater (Ecole Polytechnique de Louvain, Université de Louvain et MIT) & Charles Cuvelliez (Ecole Polytechnique de Bruxelles, Université de Bruxelles)

Pour en savoir plus : Christopher BRUCKMANN, (SDNY Bar No. CB-7317), SECURITIES AND EXCHANGE COMMISSION, Plaintiff, Civil Action No. 23-cv-9518, against SOLARWINDS CORP. and TIMOTHY G. BROWN

Concrètement, quelles actions pour plus d’égalité entre les sexes dans le domaine du numérique ont démontré leur efficacité avec, parfois, des retombées étonnamment rapides ? 

Comment penser notre société de demain, un monde où le numérique nourrit tous les secteurs – la santé, les transports, l’éducation, la communication, l’art, pour n’en citer que certains –, un thème mis en avant par l’ONU : « Pour un monde digital inclusif : innovation et technologies pour l’égalité des sexes ». 

Pour répondre à ces questions, nous poursuivons notre lecture croisée d’ouvrages et de points de vue de la sociologue et politologue Véra Nikolski [Nikolski, 2023], de l’anthropologue Emmanuelle Joseph-Dailly [Joseph-Dailly, 2021], de l’informaticienne Anne-Marie Kermarrec [Kermarrec, 2021], de la philosophe Michèle Le Dœuff [Le Dœuff, 2020], et de l’informaticienne et docteure en sciences de l’éducation Isabelle Collet [Collet, 2019].

Féminisme et numérique

Bien avant le numérique et l’informatique née au milieu du XX^e siècle, l’égalité entre les sexes a été une question dont plusieurs mouvements féministes se sont emparés dès la fin du XIX^e siècle, avec des textes majeurs et des luttes de fond à travers le monde : Dona Haraway, pionnière du cyberféminisme aux États-Unis, Gisèle Halimi en France, Nawal El Saadaoui en Égypte, Prem Chowdhry en Inde, Wassyla Tamzali en Algérie, et bien d’autres.

Dans son ouvrage Féminicène, Véra Nikolski questionne la corrélation directe entre les progrès de l’émancipation féminine et les efforts pour y parvenir :

« Il y a bien, d’un côté, l’histoire des féminismes, retraçant les actions et les tentatives d’action des individus, puis des mouvements ayant pour but l’amélioration de la condition des femmes et, de l’autre, l’histoire des avancées législatives et pratiques dont les femmes bénéficient, ces deux histoires suivant chacune son rythme, sans qu’on puisse établir entre elles un quelconque rapport de cause à effet. » [Nikolski, 2023]

Véra Nikolski fait le constat que des avancées législatives pour les droits des femmes ont parfois été obtenues sans mobilisation, au sens de soulèvements et luttes féministes. Par exemple, si le droit de vote des femmes proposé en 1919 aux États-Unis fait suite aux manifestations et luttes pour le suffrage féminin, dans de nombreux autres pays y compris les premiers à avoir accordé le droit de vote aux femmes (la Nouvelle-Zélande en 1893, l’Australie en 1901, puis les pays scandinaves à partir de 1906), il n’y a pas eu de soulèvement spectaculaire. Un constat similaire est fait concernant l’ouverture des lycées publics aux jeunes filles en 1880 en France, l’exercice des professions médicales ou du métier d’avocate entre 1881 et 1899. Quel a donc été le facteur majeur de ces avancées ? Le point de bascule, selon Véra Nikolski, est la révolution industrielle et la période de l’anthropocène. Le progrès économique et technologique décolle à partir de cette révolution, et apporte progrès technologique et progrès médical, les deux, et en particulier, ce dernier étant particulièrement favorables à la condition des femmes. À cela s’ajoute le capitalisme qui ne rend pas uniquement le travail des femmes possible, mais indispensable : « il faut faire des femmes des travailleurs comme les autres ».

Après la révolution industrielle, suit la révolution numérique que nous vivons actuellement, et qui voit la transformation d’un monde où les technologies numériques se généralisent à de nombreux secteurs et les affectent profondément, tels que la santé, les transports, l’éducation, la communication, ou l’art, pour n’en citer que certains [Harari, 2015]. Le secteur du numérique est devenu source de richesse, et sa part dans l’économie de plus en plus importante. Selon l’OCDE, en 2019, la part du numérique dans le PIB était de 6% en France, 8% aux États-Unis, 9,2% en Chine, 10% au Royaume-Uni, et 10,1% en Corée du Sud. Plus récemment, une étude en 2020 montre que les STIM représentent 39% du PIB des États-Unis. Cette étude est plus inclusive et considère non seulement les ingénieurs et docteurs du domaine, mais également des spécialistes de domaines d’application des STIM qui ne détiennent pas forcément un diplôme de bachelor mais d’autres formations plus courtes et spécifiques pour la montée en compétence en STIM. Les chiffres globaux inclusifs montrent alors que les employés en STIM représentent deux travailleurs États-Uniens sur trois, avec un impact global de 69% du PIB des États-Unis.

Ainsi, le besoin de main d’œuvre croissant pousse les entreprises à rechercher des talents dans les rangs féminins, et à mettre en place des actions pour plus de diversité et de parité. Ce besoin croissant de main d’œuvre dans le numérique fait également prendre conscience aux gouvernements de la nécessité d’une politique de formation en STIM plus inclusive pour les femmes. Aujourd’hui, tous types d’acteurs arrivent à la même conclusion, à savoir la nécessité de mettre en place une action volontariste pour une égalité entre les sexes dans les STIM, en termes de nombre de femmes formées, d’égalité des salaires à postes équivalents, d’évolution de carrière et d’accès aux postes de direction.

Elles et ils l’ont fait, et ça a marché

Quelles actions pour plus d’inclusion de femmes dans le domaine des STIM ont démontré leur efficacité ? Un exemple concret est celui de l’école d’ingénieur.es l’INSA Lyon qui a réussi, à travers plusieurs actions proactives, à avoir 45% de jeunes femmes en entrée de l’école. L’INSA Lyon compte un institut – l’Institut Gaston Berger (IGB) – qui a pour objectif, entre autres, de promouvoir l’égalité de genre. Pour ce faire, l’IGB a mis en place des actions auprès des plus jeunes, en faisant intervenir des étudiantes et des étudiants de l’INSA Lyon auprès d’élèves de collèges et de lycées. L’INSA Lyon a par ailleurs mis en place, et ce depuis plusieurs années, un processus de sélection après le baccalauréat qui prend en compte les résultats scolaires à la fois en classe de terminale et en classe de première au lycée, ce qui a eu pour effet d’augmenter les effectifs féminins admis à l’INSA Lyon ; les jeunes filles au lycée feraient preuve de plus de régularité dans leurs études et résultats scolaires.

Cela dit, malgré ce contexte favorable, après les deux premières années de formation initiale généraliste à l’INSA Lyon, lorsque les étudiant.es choisissaient une spécialité d’études pour intégrer l’un ou l’autre des départements de formation spécialisée de l’INSA Lyon, les étudiant.es optant pour le département Informatique comptaient seulement entre 10% et 15% de femmes. Le département Informatique a alors mis en place une commission Femmes & Informatique dès 2018, avec pour objectif là encore de mener des actions proactives pour augmenter la participation féminine en informatique. En effet, le vivier de femmes était juste là, avec 45% de femmes à l’entrée de l’INSA Lyon. Des rencontres des étudiant.es en formation initiale à l’INSA Lyon (avant leur choix de spécialité) avec des étudiantes et des étudiants du département Informatique, ainsi que des enseignantes et des enseignants de ce département, ont été organisées. Ces rencontres ont été l’occasion de présenter la formation en informatique et les métiers dans le secteur du numérique, de briser les idées reçues et les stéréotypes de genre, et de permettre aux étudiantes et étudiants en informatique de faire part de leur parcours et choix d’études, et de partager leur expérience. Par ailleurs, l’Institut Gaston Berger conjointement avec le département Informatique ont mis en place pour les élèves de première année à l’INSA Lyon des aménagements pédagogiques et des séances de tutorat pour l’algorithmique et la programmation. Deux ans plus tard, les étudiant.es de l’INSA Lyon rejoignant le département d’Informatique comptent 30% de femmes. Preuve, s’il en faut, que des actions proactives ciblées peuvent avoir des retombées rapides. Des actions spécifiques pour l’augmentation des effectifs féminins ont également été menées avec succès dans d’autres universités, à Carnegie Mellon University aux États-Unis, et à la Norwegian University of Science and Technology en Norvège.

Hormis les actions proactives de ce type, Isabelle Collet mentionne dans son ouvrage Les oubliées du numérique un certain nombre de bonnes pratiques pour l’inclusion des femmes, dont la lutte contre les stéréotypes avec, toutefois, un regard circonstancié [Collet, 2019] :

« La lutte contre les stéréotypes est un travail indispensable, mais dont il faut connaître les limites. En particulier, il est illusoire de penser qu’il suffit de déconstruire les stéréotypes (c’est-à-dire de comprendre comment ils ont été fabriqués) pour qu’ils cessent d’être opérants.
[..]

Un discours exclusivement centré sur les stéréotypes a tendance à rendre ceux-ci déconnectés du système de genre qui les produit. [..] L’entrée unique « lutte contre les stéréotypes » fait peser la responsabilité de la discrimination sur les individus et évite d’attaquer la source du problème (le système de genre) en ne s’occupant que de ses sous-produits (les stéréotypes), présentés comme premiers, obsolètes, désincarnés. »

Sur la question des stéréotypes, dans son ouvrage Le sexe du savoir, Michèle Le Dœuff rappelle que durant la Grèce antique, l’intuition était une qualité intellectuelle très valorisée, la plus élevée [Le Dœuff, 2020]. Elle était alors jugée comme une qualité masculine, dont les hommes étaient principalement dotés. Aujourd’hui, la qualité intellectuelle jugée la plus élevée est le raisonnement logique – une qualité là encore perçue comme masculine –, alors que les femmes sont à présent jugées plus intuitives. Et Isabelle Collet de conclure à ce propos :

« Si l’on se met à croire que les disciplines scientifiques, telles que les mathématiques et l’informatique, nécessitent avant tout de l’intuition, et de manière moindre, de la logique et du raisonnement, cette compétence jugée aujourd’hui féminine redeviendra l’apanage des hommes. »

Un autre type d’action d’inclusion féminine est l’action affirmative[2], avec l’application de quotas et de places réservées. Dans son ouvrage Numérique, compter avec les femmes, Anne-Marie Kermarrec dresse le pour et le contre d’une telle mesure [Kermarrec, 2021]. Ce type d’action, appliqué dans différentes universités dans le monde, mais également dans des conseils d’administration et des instances politiques, a le mérite de démontrer des résultats rapides et efficaces. Ainsi, en France, de nouvelles lois ont été instaurées pour garantir la parité politique. En 2000, une loi est promulguée pour une égalité obligatoire des candidatures femmes et hommes pour les scrutins de liste. En 2013, une autre loi est mise en place obligeant les scrutins départementaux et les scrutins municipaux pour les communes de plus de 1000 habitants à présenter un binôme constitué obligatoirement d’une femme et d’un homme. Une nouvelle législation s’applique également aux entreprises. En 2011, une loi est adoptée pour imposer 40% de femmes dans les conseils d’administration et de surveillance des grandes entreprises cotées. En 2021, une autre loi est promulguée pour imposer des quotas de 40 % de femmes dans les postes de direction des grandes entreprises à horizon 2030, sous peine de pénalités financières pour les entreprises. Et en 2023, une loi visant à renforcer l’accès des femmes aux responsabilités dans la fonction publique porte à 50% le quota obligatoire de primo-nominations féminines aux emplois supérieurs et de direction. En résumé, alors que ces pratiques se généralisent au monde politique et aux entreprises, verra-t-on des pratiques similaires pour la formation des jeunes femmes aux sciences et aux STIM, pour le recrutement des enseignant.es de ces domaines, pour une inclusion effective des femmes dans l’innovation et l’économie de ces secteurs ?

La promulgation de lois sur des quotas a montré des effets rapides et a aidé à briser le plafond de verre. Cela dit, le principe de quota peut soulever des interrogations et causer une appréhension de la part de certaines personnes qui bénéficieraient de ces mesures, et qui ne pourraient s’empêcher de se demander si elles ont été choisies pour leurs compétences ou uniquement pour leur genre. À propos de ce dilemme, Isabelle Collet, invitée aux assises de féminisation des métiers du numérique en 2023, répond ceci :

« Soyons clair.es. Je préfère être recrutée parce que je suis une femme, plutôt que ne pas être recrutée parce que je suis une femme. »

Même si l’on peut reprocher à la mesure d’être imparfaite – à vrai dire, l’imperfection vient de la cause et non de la mesure –, le choix à faire aujourd’hui est clair.

Et (en cette veille de) demain ?

Nous vivons actuellement des transformations de notre monde, certes, des transformations et des évolutions technologiques qui ont amélioré notre qualité de vie, mais également des transformations dues à l’impact de l’activité humaine sur la planète, la raréfaction des ressources naturelles, et l’altération de l’environnement et de sa stabilité. Dans ce contexte, nous devons être conscients que l’émancipation féminine reste fragile. En effet, par temps de crise, les acquis d’égalité entre les sexes peuvent malheureusement être réversibles. Comment sauvegarder et développer les droits des femmes ? Véra Nikolski conclut dans Féminicène par l’importance de « comprendre les lois naturelles et historiques, et à travailler au maintien des conditions matérielles de l’émancipation [..] Ce travail passe, entre autres, par la sauvegarde de l’infrastructure technologique qui, si étonnant que cela puisse paraître, a favorisé l’émancipation des femmes ».

Alors, mesdames, investissons massivement tous les secteurs d’un numérique qui s’inscrit dans les limites planétaires. Et mesdames et messieurs, travaillons à permettre l’inclusion massive des jeunes filles dans les formations scientifiques, et ce dès le plus jeune âge.

Sara Bouchenak, Professeure d’informatique à l’INSA Lyon, Directrice de la Fédération Informatique de Lyon.

[2] Ou sa variante anglophone positive discrimination.

Pour aller plus loin

• Isabelle Collet. Les oubliées du numérique. Le Passeur, 2019.
• Catherine Dufour. Ada ou la beauté des nombres. Fayard, 2019.
• David Alan Grier. When Computers Were Human. Princeton University Press, 2007.
• Yuval Noah Harari. Sapiens : Une brève histoire de l’humanité. Albin Michel, 2015.
• Emmanuelle Joseph-Dailly. La stratégie du poulpe. Eyrolles, 2021.
• Emmanuelle Joseph-Dailly, Bernard Anselm. Les talents cachés de votre cerveau au travail. Eyrolles, 2019.
• Anne-Marie Kermarrec. Numérique, compter avec les femmes. Odile Jacob, 2021.
• Michèle Le Dœuff. Le Sexe du savoir. Flammarion, 2000.
• Véra Nikolski. Féminicène. Fayard, 2023.