Auteur / Autrice : | Alexandre Dey |
Direction : | Yann Busnel, Éric Totel |
Type : | Thèse de doctorat |
Discipline(s) : | Informatique |
Date : | Soutenance le 02/12/2022 |
Etablissement(s) : | Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire |
Ecole(s) doctorale(s) : | École doctorale Mathématiques et sciences et technologies de l'information et de la communication (Rennes) |
Partenaire(s) de recherche : | Laboratoire : Dependability Interoperability and perfOrmance aNalYsiS Of networkS - Département Systèmes Réseaux, Cybersécurité et Droit du numérique - Institut de recherche en informatique et systèmes aléatoires (Rennes) |
Entreprise : Airbus Defence and Space | |
Jury : | Président / Présidente : Guillaume Doyen |
Examinateurs / Examinatrices : Yann Busnel, Éric Totel, Michaël Hauspie, Hervé Debar, Isabelle Chrisment | |
Rapporteurs / Rapporteuses : Michaël Hauspie, Hervé Debar |
Mots clés
Résumé
Pour se prémunir des organisations cyber-criminelles et des APTs, les opérateurs de systèmes d’information doivent définir et mettre en oeuvre des politiques de sécurité strictes. Cependant, il est impossible de définir et maintenir des politiques qui bloquent toutes les attaques sans impacter les fonctionnalités du système. Par conséquent, pour réagir au plus vite aux attaques, la supervision des systèmes et la réponse aux incidents de sécurité sont souvent confiées aux Security Operation Centres (SOC) et aux Computer Emergency Response Teams (CERT). Lors de la supervision de systèmes d’information, des comportements légitimes entraînent régulièrement des fausses alertes. Ceci entraîne une fatigue liée aux alertes, les analystes étant surchargés d’informations au point où ils ne sont plus attentifs aux variations causées par des comportements adverses. Cette thèse décrit des méthodes s’adressant aux analystes ne possédant pas de connaissances en science de la donnée. Elles leur permettent de créer et adapter des analytiques de sécurité qui reposent sur des méthodes d’apprentissage machine afin d’automatiser une plus grande part de leur procédures d’investigation. Cette thèse se concentre sur la détection d’anomalies pour relever des comportements inhabituels, ainsi que sur le regroupement d’alertes par similarité. En particulier, l’application de ces méthodes à la détection d’attaques inconnues est explorée. Nous décrivons également une méthode permettant de générer de l’activité utilisateur dans le but de créer des jeux de données d’évaluation réalistes.