Soutenance de thèse d'Alexandre DEY

Résumé : Pour se prémunir des organisations cyber-criminelles et des APTs, les opérateurs de systèmes d’information doivent définir et mettre en œuvre des politiques de sécurité strictes. Cependant, il est impossible de définir et maintenir des politiques qui bloquent toutes les attaques sans impacter les fonctionnalités du système. Par conséquent, pour réagir au plus vite aux attaques, la supervision des systèmes et la réponse aux incidents de sécurité sont souvent confiées aux Security Operation Centres (SOC) et aux Computer Emergency Response Teams (CERT). Lors de la supervision de systèmes d’information, des comportements légitimes entraînent régulièrement des fausses alertes. Ceci entraîne une fatigue liée aux alertes, les analystes étant surchargés d’informations au point où ils ne sont plus attentifs aux variations causées par des comportements adverses. Cette thèse décrit des méthodes s’adressant aux analystes ne possédant pas de connaissances en science de la donnée. Elles leur permettent de créer et adapter des analytiques de sécurité qui reposent sur des méthodes d’apprentissage machine afin d’automatiser une plus grande part de leur procédures d’investigation. Cette thèse se concentre sur la détection d’anomalies pour relever des comportements inhabituels, ainsi que sur le regroupement d’alertes par similarité. En particulier, l’application de ces méthodes à la détection d’attaques inconnues est explorée. Nous décrivons également une méthode permettant de générer de l’activité utilisateur dans le but de créer des jeux de données d’évaluation réalistes.