Un système pour une contextualisation de la réponse aux incidents de sécurité

Christophe Bobineau
Calendar
When:
30/11/2022 – 01/12/2022 all-day
2022-11-30T01:00:00+01:00
2022-12-01T01:00:00+01:00
theses

Offre en lien avec l’Action/le Réseau : – — –/Doctorants

Laboratoire/Entreprise : Laboratoire CEDRIC/ ALEKSO Cyber Consulting
Durée : 3ans
Contact : ilham.lammari@lecnam.net
Date limite de publication : 2022-11-30

Contexte :
La réponse à un incident avéré est un processus critique actionné par des experts en sécurité du SOC qui, bien que disposant actuellement d’une panoplie d’outils, doivent mobiliser, sous pression temporelle, un large éventail de connaissances et de compétences leur permettant de choisir le plan qui minimiserait au maximum l’impact de l’incident. De plus, pour l’exercice de leurs tâches, les analystes doivent souvent naviguer dans une panoplie d’outils et voir même être suffisamment performants dans plusieurs langages de script. Pour pallier cet inconvénient et surmonter la courbe d’apprentissage des outils individuels, des plateformes SOAR sont disponible sur le marché mais qui malheureusement sont financièrement inaccessibles pour des petites structures. De plus, l’adoption de telles plateformes oblige les entreprises à avoir les compétences nécessaires pour le développement et la maintenance des playbooks. En dépit de cette prolifération des systèmes avancés de cyberdéfense, l’amélioration des capacités de réponse des entreprises aux incidents reste jusqu’à nos jour un défi majeur dû, entre autres, (a) au manque de personnel de sécurité qualifié, (b) au taux de rotation élevé d’experts en sécurité compte tenu de la nature des tâches à effectuer et qui oblige les entreprises à dépenser beaucoup de ressources pour former de nouveaux experts, à la faible collaboration entre experts engendrée par la pression temporelle à laquelle ils sont confrontés et accentuée, dans certaines entreprises, par le manque d’outils collaboratifs.
Bien que la littérature sur la réponse aux incidents de sécurité soit riche, il n’y a, à notre connaissance aucun travail de recherche qui se focalise sur l’automatisation de la phase de confinement, d’éradication et de récupération

Sujet :
L’objectif de la thèse est donc de proposer un système d’aide à la décision permettant de supporter l’activité d’un expert de sécurité chargé de répondre à un incident avéré. Ce système devrait être amène à fournir des plans d’action mesurables en s’appuyant sur les données de contexte et sur des connaissances capitalisées au sein d’une ontologie de domaine dont la construction fait partie aussi de la thèse. Afin de garantir son évolutivité et sa portabilité, la conception du système projeté doit être dirigée par les modèles.

Profil du candidat :
Le candidat à cette thèse doit avoir :
– un Master 2 recherche en informatique (ou équivalent)
– des compétences en représentation des connaissances et/ou en web sémantique et/ou en modélisation conceptuelle des systèmes d’information.
– des compétences en programmation
Il doit aussi avoir une bonne maîtrise du français (oral et écrit) et de l’anglais (oral et écrit)
Des connaissances en cybersécurité et une expertise en R&D dans la cybersécurité seront un plus.

Formation et compétences requises :
Master 2 recherche en informatique (ou équivalent)

Adresse d’emploi :
ALEKSO Cyber Consulting à Le Plessis-Robinson