Offre en lien avec l’Action/le Réseau : – — –/– — –

Laboratoire/Entreprise : CEDRIC (Centre d’étude et de recherche en informat
Durée : 3 ans
Contact : lammari@cnam.fr
Date limite de publication : 2020-09-01

Contexte :
Cette thèse est co-financée par le centre régional du Cnam Grand Est. Dans le cadre de son plan stratégique 2019-2023, ce dernier met la question des Transition(s), notamment numérique, au cœur de ses préoccupations d’investissements et d’actions.
L’accompagnement à la transformation des organisations, en particulier dans le champ des vulnérabilités des systèmes d’information de celles-ci est une ligne d’action explicite.
Hébergeur du LabS’DN, à l’initiative de nombreuses actions sur l’entrepreneuriat dans le contexte de l’économie de proximité et des TPE/PME-PMI, le centre montre une forte capacité d’innovation.
Il a été récemment retenu pour porter un projet d’enseignement innovant de cybersécurité, totalement à distance.
L’originalité de ce projet vise l’enseignement de la connaissance technique cyber de pointe et en particulier les capacités de remédiation en situation adverse.
La plateforme propose pour cette raison la capacité de confronter des équipes attaquantes (« red team ») et de défense (« blue team »).
L’un des points crucial pour le succès de ce projet sera la capacité de construire et diversifier des scenarii pédagogiques attaque/défense à des fins d’entrainement et d’enseignement.
Les contributions de cette thèse visent à alimenter cette future plateforme.
Le Centre régional Grand Est collaborera dans le cadre de cette thèse avec les deux laboratoires du Cnam : CEDRIC (Centre d’étude et de recherche en informatique et communication) et LSD (Laboratoire Sécurité Défense) du Cnam

Sujet :
L’investigation numérique consiste à reconstituer le scenario d’attaque suite à un incident de sécurité informatique. Cette reconstitution s’effectue, par tâtonnement, au travers d’une analyse des traces émises dans les journaux d’événements (logs) ; ce qui induit un traitement lourd compte tenu du volume, de la variété et de la variabilité des données ainsi que de leur forte dépendance du contexte. Elle est également non formalisée. Elle produit une chaîne d’hypothèses beaucoup trop dense, un taux important d’explications erronées et une quantité importante de faux-positifs et faux-négatifs qui ne permet pas de caractériser correctement les incidents, les vulnérabilités ou les comportements malveillants.
En outre, la quantité de donnée introduit une lenteur dans la démarche voire même jusqu’à rendre inopérantes les opérations d’un analyste non expérimenté. De même, l’analyste ne peut pas s’appuyer totalement sur les outils d’aide à l’analyse de sécurité à base de Machine Learning (ML), du fait de leur incapacité à prendre en compte/combiner le contexte et les expertises des analystes.
La littérature propose une pléthore d’algorithmes à base de ML, qui se montre efficace pour la détection d’incidents de sécurité.
À notre connaissance, il n’existe pas de travaux de recherche proposant un choix d’algorithmes adapté à l’incident analysé tout en prenant en compte le contexte.
La plupart des travaux de recherche en ML traitant des logs hétérogènes s’appuie sur des algorithmes prenant la structure des logs (syntaxe) ou les mots présents dans les logs tout en ignorant leur sens (sémantique).
Cependant, ces algorithmes à base de ML sont des bons candidats pour guider l’humain lors de son investigation numérique dans les logs.
Ils sont en effet efficaces pour explorer des bases de données massives. Ils sont en mesure d’apporter de nouvelles capacités d’analyse à condition qu’on les alimente de connaissances adéquates.

L’objectif de la thèse est de fournir un système d’aide à la décision fondé sur le Machine Learning. Ce système servira à l’explication d’incidents de sécurité en s’appuyant sur les algorithmes à base de ML qui exploiteraient les connaissances du domaine tel que les arbres d’attaque cachés dans les bases de connaissances CVE et qui prendraient en compte le contexte de l’entreprise.

Profil du candidat :
Le candidat à cette thèse doit avoir un Master 2 en informatique (ou équivalent).

Formation et compétences requises :
Le candidat doit avoir des compétences dans au moins 2 des domaines suivants :
– Représentation des connaissances/modélisation conceptuelle des systèmes d’information
– Cybersécurité
– Machine Learning
Une expertise en R&D dans l’un de ces domaines seront un plus. Des compétences en programmation sont exigées

Adresse d’emploi :
Cnam Paris et le centre régional du Cnam Grand Est.

Document attaché : 202007271109_THESE AHEAD.txt