Description du sujet de thèse

Objectifs de la thèse :
Dans son rapport d’incidentologie, interCERT France révèle que MTTR (Mean-Time-To-Respond) moyen, i.e. le temps moyen de résolution des incidents de cybersécurité une fois détecté, est de 28,5 jours dans les grandes entreprises. Ce chiffre souligne les limites des méthodes actuelles, souvent trop lentes pour faire répondre à des menaces en constante évolution et de plus en plus sophistiquées. Face à cette réalité, la nécessité de solutions de cybersécurité automatisées et adaptatives devient urgente.
Les solutions de type SOAR (Security Orchestration, Automation and Response) ou XDR
(eXtended detection and response) ont récemment vu le jour pour tenter de répondre à cette problématique en promettant d’automatiser l’orchestration d’une partie des processus de sécurité afin d'améliorer la rapidité et l'efficacité de la détection et réponse aux incidents.
Cette automatisation (qui peut être aussi de la semi-automatisation car les procédures peuvent inclure des actions effectuées par des êtres humains) se fait au moyen de scripts appelés playbooks qui décrivent les séquences d’actions à mener en cas d’incident.
Cependant, créer des playbooks est une tâche complexe qui nécessite de prévoir pour chaque type d’incidents les actions précises à mener. Bien qu'il puisse exister des playbooks « prêts à l'emploi » fournis par les éditeurs de SOAR1, ces playbooks nécessitent la plupart du temps des modifications importantes afin qu’ils soient adaptés à l’environnement cible. De plus, les playbooks représentent des comportements de réaction rigides, définis a priori. En effet, une fois chargés dans le SOAR, les playbooks ne changent plus. Cela pose un problème car, par exemple si deux incidents sont détectés dans une même période, il est possible d’avoir deux réponses conflictuelles provenant de deux playbooks différents. L’objectif de cette thèse est donc de proposer un cadriciel permettant de planifier, d’orchestrer et de déployer dynamiquement des réponses globales aux incidents. Ces actions de réponse à incidents élicitées seront adaptées à l’environnement à protéger et pourront être réajustées selon l’évolution du niveau de détection/compréhension des incidents. Le mécanisme de planification devra aussi trouver le meilleur compromis entre le niveau de sécurité et l’impact des mesures de sécurité sur les services et donc l’activité de l’organisation. Enfin les mesures de sécurité pourront soit être déployées automatiquement, soit être proposées sous la forme d’une aide à la prise de décision par exemple pour les cellules décisionnelles de gestion de crise dans le cas de la gestion de crise cyber.

Verrous scientifiques et approches envisagées :
Les verrous scientifiques sont les suivants :
1. Qualification des incidents et déduction des situations de sécurité – Nous travaillerons sur la qualification des incidents de sécurité afin de déterminer leur importance et en déduire les situations de sécurité dans lesquels se trouve l’organisation. Nous étendrons la modélisation des situations de sécurité introduite dans nos travaux précédents sur l’adaptabilité et la dynamicité de la gestion de la sécurité ou sur l’analyse de risque dirigée par les situations de sécurité.
2. Planification et orchestration des mesures correctives – L’objectif sera de pouvoir planifier des stratégies globales de réponse en fonction à la fois de la situation actuelle de sécurité mais aussi des capacités des fonctions de sécurité disponibles. Cette stratégie prendra en compte l’impact des mesures sur le niveau de service afin de trouver le meilleur compromis entre la sécurité et le coût des mesures de sécurité en termes de perte de service. Différentes approches seront étudiées comme l’inférence de stratégies basées sur les bonnes pratiques de cybersécurité formalisées en logique comme dans nos travaux précédents, ou l’utilisation d’une IA générative augmentée avec les connaissances cyber.
3. Déploiement des mesures correctives – Potentiellement après une validation humaine, la stratégie de réaction définie dans la phase de planification doit ensuite être raffinée en mesures techniques de sécurité qui seront ensuite déployées sur les équipements. Pour ce faire, nous pourrons nous appuyer sur les architectures de gestion à base de politiques ou les récents standards I2NSF ou OpenC2.

Contexte de travail

La thèse sera financée par l’Agence Nationale de la Recherche (ANR) dans le cadre du PEPR Cybersécurité (https://www.pepr-cybersecurite.fr/). La personne retenue pourra collaborer avec des experts en cybersécurité en particulier celles et ceux impliqués dans le projet SuperViz qui traite de la supervision et de l’orchestration de la cybersécurité.

L'Institut de Recherche en Informatique de Toulouse regroupe plus de 700 membres dont 400 chercheurs et enseignants-chercheurs. C'est le plus grand laboratoire d'informatique en France. Les membres de l'IRIT appartiennent à l'une des institutions suivantes : CNRS (Centre National de la Recherche Scientifique), INPT (Institut National Polytechnique de Toulouse), UT (Université de Toulouse), UT1 (Université de Toulouse 1 Capitole) et UT2J (Université de Toulouse Jean Jaurès). Les 24 équipes de recherche de l'IRIT travaillent dans sept thèmes scientifiques couvrant la majeure partie de l'informatique. Le personnel de l’équipe SIERA qui encadrera le ou la doctorante possède une expertise avérée dans les domaines de la sécurité, de la protection de la vie privée, de l'ingénierie et des réseaux, et entretiennent des liens de collaboration étroits avec d'autres partenaires universitaires et industriels. Plus d'informations sur https://www.irit.fr


Le poste se situe dans un secteur relevant de la protection du potentiel scientifique et technique (PPST), et nécessite donc, conformément à la réglementation, que votre arrivée soit autorisée par l'autorité compétente du MESR.