Thèse soutenue

Comprendre les menaces sophistiquées : Intentions, moyens, manières et connaissances convergentes des adversaires
FR  |  
EN
Accès à la thèse
Auteur / Autrice : Aïmad Berady
Direction : Valérie Viêt Triêm TôngGilles GuetteMathieu Jaume
Type : Thèse de doctorat
Discipline(s) : Informatique
Date : Soutenance le 10/11/2022
Etablissement(s) : CentraleSupélec
Ecole(s) doctorale(s) : École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes)
Partenaire(s) de recherche : Laboratoire : IRISA - CIDRE (Institut de recherche en Informatique et Systèmes Aléatoires) (Confidentialité, Intégrité, Disponibilité et Répartition)
Jury : Président / Présidente : Vincent Nicomette
Examinateurs / Examinatrices : Aurélien Francillon, Marie-Laure Potet, Jérôme François, Eric Freyssinet
Rapporteurs / Rapporteuses : Aurélien Francillon, Marie-Laure Potet

Résumé

FR  |  
EN

Depuis quelques années, les experts du secteur de la cybersécurité observent une intensification d'attaques sophistiquées. Ces attaquants, qui agissent en profondeur, sont amenés à se propager dans les systèmes d'information de leurs victimes et à progresser furtivement vers leurs objectifs finaux. C'est pourquoi, des sondes doivent être disposées à des points stratégiques des systèmes d'information. Les entreprises ont également dû reconsidérer leurs mesures de cyberprotection, en mettant en place des systèmes centralisés de collecte de traces afin qu'elles puissent être exploitées dans l'éventualité d'une réponse à incident. Dans le cadre de cette thèse, les travaux que nous avons conduits ont permis de formaliser, d'un point de vue macroscopique, les différentes phases opérationnelles d'une campagne d'attaque. Parmi elles, celle de "propagation réseau" nous est apparue comme étant la plus pertinente pour détecter l'attaquant. En nous focalisant sur cette phase, nous avons ensuite mis en perspective les visions de l'attaquant et du défenseur dans le contexte d'une même campagne en confrontant leurs connaissances acquises au cours de leurs opérations respectives. Enfin, nous avons défini un modèle permettant une représentation de l'évolution de la connaissance de l'attaquant à propos du système d'information et de son espace de propagation. Ce modèle repose sur une sémantique, qui permet de spécifier formellement les techniques mises en œuvre par l'attaquant pour progresser vers ses objectifs finaux. Une expérimentation de grande envergure est venue renforcer cette contribution.