Soutenance de thèse de Aïmad BERADY (CIDRE) - jeudi 10 novembre 2022 à 14h00 en salle UBL à CentraleSupélec Campus de Rennes.
Titre : Comprendre les menaces sophistiquées. Intentions, moyens, manières et connaissances convergentes des adversaires.
Résumé :
Depuis quelques années, les experts du secteur de la cybersécurité observent une intensification d'attaques sophistiquées. Ces attaquants, qui agissent en profondeur, sont amenés à se propager dans les systèmes d'information de leurs victimes et à progresser furtivement vers leurs objectifs finaux. C'est pourquoi, des sondes doivent être disposées à des points stratégiques des systèmes d'information. Les entreprises ont également dû reconsidérer leurs mesures de cyberprotection, en mettant en place des systèmes centralisés de collecte de traces afin qu'elles puissent être exploitées dans l'éventualité d'une réponse à incident. Dans le cadre de cette thèse, les travaux que nous avons conduits ont permis de formaliser, d'un point de vue macroscopique, les différentes phases opérationnelles d'une campagne d'attaque. Parmi elles, celle de "propagation réseau" nous est apparue comme étant la plus pertinente pour détecter l'attaquant. En nous focalisant sur cette phase, nous avons ensuite mis en perspective les visions de l'attaquant et du défenseur dans le contexte d'une même campagne en confrontant leurs connaissances acquises au cours de leurs opérations respectives. Enfin, nous avons défini un modèle permettant une représentation de l'évolution de la connaissance de l'attaquant à propos du système d'information et de son espace de propagation. Ce modèle repose sur une sémantique, qui permet de spécifier formellement les techniques mises en œuvre par l'attaquant pour progresser vers ses objectifs finaux. Une expérimentation de grande envergure est venue renforcer cette contribution.
Abstract :
In recent years, cybersecurity experts have observed an intensification of sophisticated threats. The attackers, acting in depth, are therefore led to propagate in their victim's information systems and progress stealthily toward their final objectives. Sensors must be deployed at strategic points in information systems. Companies also have had to reconsider their approaches to protect their information systems by setting up centralized systems to collect traces so that experts can exploit them if an incident occurs. In the context of this thesis, our work has made it possible to formalize the different operational phases of an attack campaign. Among them, "network propagation" appeared to be the most relevant for detecting the attacker. Then, we focused on this phase and put the visions of both the attacker and the defender into perspective. Finally, we defined a model allowing a representation of the attacker's propagation area and their knowledge evolution. This model wields semantics, allowing us to formally describe the techniques performed by the attacker to progress towards their final objectives. A large-scale experiment has reinforced this contribution.
Aurélien FRANCILLON, Professeur, EURECOM
Vincent NICOMETTE, Professeur des universités, INSA Toulouse
Jérôme FRANCOIS, Chercheur, Inria Nancy Grand-EstEric FREYSSINET, Général de brigade, Gendarmerie nationale
Valérie VIET TRIEM TONG, Professeur, CentraleSupélec
Gilles GUETTE, Maître de conférences, Université Rennes 1
Mathieu JAUME, Maître de conférences, Sorbonne Université
Christophe BIDAN, Professeur, CentraleSupélec