Thèse soutenue

Simulation d'activités et d'attaques : application à la cyberdéfense
FR  |  
EN
Accès à la thèse
Auteur / Autrice : Pierre-Marie Bajan
Direction : Hervé Debar
Type : Thèse de doctorat
Discipline(s) : Réseaux, information et communications
Date : Soutenance le 05/07/2019
Etablissement(s) : Université Paris-Saclay (ComUE)
Ecole(s) doctorale(s) : École doctorale Sciences et technologies de l'information et de la communication (Orsay, Essonne ; 2015-....)
Partenaire(s) de recherche : Laboratoire : Télécom SudParis (France) - Réseaux, Systèmes, Services, Sécurité / R3S-SAMOVAR - Département Réseaux et Services de Télécommunications / RST
Equipe de recherche : R3S
établissement de préparation de la thèse : Institut national des télécommunications (Evry ; 1979-2009)
Jury : Examinateurs / Examinatrices : Christophe Bidan, Michaël Hauspie, Gaël Thomas, Isabelle Chrisment
Rapporteurs / Rapporteuses : Christophe Bidan, Michaël Hauspie

Résumé

FR  |  
EN

Alors que l'importance des infrastructures ne fait que croître, les systèmes de détections et de traitements des attaques sont majoritairement faits pour remonter un seul type des deux grands formats d'attaques : les attaques de masses. Les attaques ciblées quant à elle, bien que d'une grande dangerosité de par leur spécificité et des profondeurs atteintes dans les systèmes, restent traités avec une certaine inefficacité par les systèmes informatiques. Pourtant il y a des équipements remontants des informations et des alertes mais les opérateurs souvent peu entraînés à la gestion des incidents se retrouvent engloutis par la quantité d'informations qu'ils leur sont remontés. Le principe de cette thèse serait de fournir des outils permettant la formation des opérateurs et un meilleur traitement des informations remontées. On approcherait le problème de la manière suivante : on va tout d'abord émuler le système informatique d'une petite entreprise avec ces différents utilisateurs et ces services informatiques. Cela servira à générer les données d'un comportement normal et régulier du système mais également le comportement d'une attaque. Une fois le système est émulé et les données sont générées on va se servir de ces données pour simuler le système selon les besoins que nous avons de la simulation. Cette simulation sera plus légère que l'émulation et sera capable de passage à l'échelle et une modification plus dynamique de l'architecture et du comportement du système. Le but étant d'avoir un outil léger et adaptable capable de simuler différents comportements et conditions d'un système d'entreprise pour être utiliser pour faire des formations d'opérateurs et des tests d'utilisation plus complet d'outil de sécurité. Le tout sera supervisé par la console de contrôle de simulation qui va gérer la simulation mais également recevoir les informations de chaque composant et de la console opérateur. Le contrôle de la simulation inclue la capacité de créer des incidents et problèmes dans le système mais également de créer des attaques à l'encontre du système.