Thèse soutenue

Science de la donnée en appui des opérations de cybersécurité : Détection d'anomalies adaptable, robuste et explicable pour les analystes de sécurité
FR  |  
EN
Accès à la thèse
Auteur / Autrice : Alexandre Dey
Direction : Yann BusnelÉric Totel
Type : Thèse de doctorat
Discipline(s) : Informatique
Date : Soutenance le 02/12/2022
Etablissement(s) : Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire
Ecole(s) doctorale(s) : École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes)
Partenaire(s) de recherche : Laboratoire : Dependability Interoperability and perfOrmance aNalYsiS Of networkS - Département Systèmes Réseaux, Cybersécurité et Droit du numérique - Institut de recherche en informatique et systèmes aléatoires (Rennes)
Entreprise : Airbus Defence and Space
Jury : Président / Présidente : Guillaume Doyen
Examinateurs / Examinatrices : Yann Busnel, Éric Totel, Michaël Hauspie, Hervé Debar, Isabelle Chrisment
Rapporteurs / Rapporteuses : Michaël Hauspie, Hervé Debar

Résumé

FR  |  
EN

Pour se prémunir des organisations cyber-criminelles et des APTs, les opérateurs de systèmes d’information doivent définir et mettre en oeuvre des politiques de sécurité strictes. Cependant, il est impossible de définir et maintenir des politiques qui bloquent toutes les attaques sans impacter les fonctionnalités du système. Par conséquent, pour réagir au plus vite aux attaques, la supervision des systèmes et la réponse aux incidents de sécurité sont souvent confiées aux Security Operation Centres (SOC) et aux Computer Emergency Response Teams (CERT). Lors de la supervision de systèmes d’information, des comportements légitimes entraînent régulièrement des fausses alertes. Ceci entraîne une fatigue liée aux alertes, les analystes étant surchargés d’informations au point où ils ne sont plus attentifs aux variations causées par des comportements adverses. Cette thèse décrit des méthodes s’adressant aux analystes ne possédant pas de connaissances en science de la donnée. Elles leur permettent de créer et adapter des analytiques de sécurité qui reposent sur des méthodes d’apprentissage machine afin d’automatiser une plus grande part de leur procédures d’investigation. Cette thèse se concentre sur la détection d’anomalies pour relever des comportements inhabituels, ainsi que sur le regroupement d’alertes par similarité. En particulier, l’application de ces méthodes à la détection d’attaques inconnues est explorée. Nous décrivons également une méthode permettant de générer de l’activité utilisateur dans le but de créer des jeux de données d’évaluation réalistes.