Yohann THOMAS

Je suis titulaire d'un doctorat d'informatique de l'Ecole Nationale Supérieure des Télécommunications de Bretagne (ENSTB), fruit de trois années passées au laboratoire Network and Service Security d'Orange Labs (Caen).

CV: [en][fr]

Thème de recherche : Utilisation d'une politique de sécurité contextuelle pour automatiser la réponse aux menaces informatiques. [ .pdf | slides ]

Directeur : Frédéric Cuppens
Co-encadrant : Hervé Debar

Mots-clés : Détection d'intrusions, politiques de sécurité, réaction, Or-BAC

Description

Nous présentons dans cette thèse une nouvelle approche de réponse face aux menaces auxquelles les systèmes informatiques sont soumis. Cette approche est basée sur l'intégration de la notion de contre-mesure au sein même de la politique de sécurité. En particulier, la notion de contexte permet d'évaluer l'état courant du système, et d'exprimer la politique en fonction de cet état. Pour ce faire, le modèle de contrôle d'accès basé sur l'organisation (Or-BAC) est utilisé, distinguant la définition générique de la politique de son implémentation effective en fonction du contexte.

Le contexte intègre aussi bien des paramètres spatiaux et temporels que des paramètres plus proprement liés au domaine de la sécurité opérationnelle, comme les alertes remontées par les systèmes de détection d'intrusions (IDS). Ces alertes permettent la caractérisation de la menace à laquelle est soumis le système d'information à un instant donné. Des contextes de menace sont instanciés par notre système de réponse, permettant de déclencher des mises à jour de la politique et son déploiement subséquent. Ainsi, le système est capable d'adapter dynamiquement ses paramètres de fonctionnement en considérant notamment la menace.

Nous proposons une approche innovante établissant le lien entre la politique de sécurité et l'un des principaux moyen qui permet d'en contrôler le respect, à savoir les systèmes de détection d'intrusions. Ce lien n'existait pas jusqu'alors, c'est-à-dire que les violations de la politique de sécurité détectées par les IDS n'avaient que peu de conséquences sur les exigences de la politique de sécurité effectivement implémentées par les points d'application. Pourtant, force est de constater que l'implémentation de la politique ne doit pas être statique. En particulier, nous montrons qu'il est possible de gérer dynamiquement l'accès aux services et aux ressources en fonction de la menace.

En outre, ce travail fournit un début de réponse à la problématique de la réactivité et de la pertinence de la réponse face aux menaces. La réponse aux attaques informatiques est le plus souvent gérée manuellement par l'opérateur de sécurité. Ce même opérateur de sécurité manque malheureusement bien souvent de réactivité et de discernement pour répondre de manière adéquate à la menace, notamment parce qu'il est bien souvent noyé sous le flot des alertes ; le travail d'analyse est fastidieux et difficile au vu du nombre de paramètres à considérer. D'un autre côté, les attaques se multiplient, les attaquants mettent de moins en moins de temps à pénétrer les systèmes et à produire des dégâts qui peuvent rapidement se chiffrer en millions d'euros pour les entreprises. Automatiser la réponse est donc une nécessité.

Publications

[4]	Response: bridging the link between intrusion detection alerts and security policies. Hervé Debar, Yohann Thomas, Frédéric Cuppens, and Nora Cuppens-Boulahia. Book chapter, 2008. [ bib \| .pdf ]
[3]	Enabling automated threat response through the use of a dynamic security policy. Hervé Debar, Yohann Thomas, Frédéric Cuppens, and Nora Cuppens-Boulahia. Journal in Computer Virology, 2007. [ bib \| .pdf ]
[2]	Using Contextual Security Policies for Threat Response. Hervé Debar, Yohann Thomas, Nora Cuppens-Boulahia, and Frédéric Cuppens. In Roland Bueschkes and Pavel Laskov, editors, Proceedings of the 3rd Conference on Detection of Intrusions and Malware & Vulnerability Assessment (DIMVA 06), Berlin, Germany, July 2006. Springer. [ bib \| .pdf \| slides]
[1]	Improving Security Management through Passive Network Observation. Yohann Thomas, Hervé Debar, and Benjamin Morin. In ARES '06: Proceedings of the First International Conference on Availability, Reliability and Security (ARES'06), pages 382-389. IEEE Computer Society, 2006. [ bib \| .pdf \| slides]

Contact

Liens

http://perso.orange.fr/yohann.thomas http://pagesperso-orange.fr/yohann.thomas