Utilisation d'une politique de sécurité contextuelle pour la réponse aux intrusions

We present in this thesis a novel approach for automated threat response. The emergence of SIM (Security Information Management) platforms, as well as recent advances in the field of intrusion detection, raises the question of response to the threat reported by such tools. Till now, response is mainly left to the initiative of the security officer. Due to complexity of the analysis, such manual response suffers from a lack of reactivity and possibly relevancy. We propose to replace the security officer by a component in charge of assessing threats considering alerts reported by security monitoring tools, and responsible for deciding which countermeasures are suitable. The core of our proposal relies on the use of a contextual security policy, which is instantiated depending on current context. Beyond traditional operational requirements, the policy includes reaction and minimal requirements. The reaction policy deals with threat contexts, which are activated considering alerts, so that new policy instances (permissions or prohibitions) may be deployed according to threat. The minimal policy allows to guarantee requirements which must always be ensured, even in case of threat. The corresponding architecture of a threat response system is provided, and the use of Or-BAC to model reaction and minimal requirements is discussed, to allow fine-grained and suitable countermeasures. Our approach allows to establish the missing connection between security policies and security monitoring (IDS). This results in a continuous assessment of the best compromise between multiple adjustment variables, including security, but also other requirements such as performance, convenience and business constraints..Nous présentons dans cette thèse une nouvelle approche de réponse face aux menaces auxquelles les systèmes informatiques sont soumis. Cette approche est basée sur l'intégration de la notion de contre-mesure au sein même de la politique de sécurité. En particulier, la notion de contexte permet d'évaluer l'état courant du système, et d'exprimer la politique en fonction de cet état. Pour ce faire, le modèle de contrôle d'accès basé sur l'organisation (Or-BAC) est utilisé, distinguant la définition générique de la politique de son implémentation effective en fonction du contexte. Le contexte intègre aussi bien des paramètres spatiaux et temporels que des paramètres plus proprement liés au domaine de la sécurité opérationnelle, comme les alertes remontées par les systèmes de détection d'intrusions (IDS). Ces alertes permettent la caractérisation de la menace à laquelle est soumis le système d'information à un instant donné. Des contextes de menace sont instanciés par notre système de réponse, permettant de déclencher des mises a jour de la politique et son déploiement subséquent. Ainsi, le système est capable d'adapter dynamiquement ses paramètres de fonctionnement en considérant notamment la menace. Nous proposons une approche innovante établissant le lien entre la politique de sécurité et l'un des principaux moyens qui permet d'encontrôler le respect, à savoir les systèmes de détection d'intrusions. Ce lien n'existait pas jusqu'alors, c'est-à-dire que les violations de la politique de sécurité détectées par les IDS n'avaient que peu de conséquences sur les exigences de la politique de sécurité effectivement implementées par les points d'application. Pourtant, force est de constater que l'implementation de la politique ne doit pas être statique. En particulier, nous montrons qu'il est possible de gérer dynamiquement l'accès aux services et aux ressources en fonction de la menace. En outre, ce travail fournit un début de réponse a la problématique de la réactivité et de la pertinence de la réponse face aux menaces. La réponse aux attaques informatiques est le plus souvent gérée manuellement par l'opérateur de sécurité. Ce même opérateur de sécurité manque malheureusement bien souvent de réactivité et de discernement pour répondre de manière adéquate à la menace, notamment parce qu'il est bien souvent noyé sous le flot des alertes ; le travail d'analyse est fastidieux et difficile au vu du nombre de paramètres a considérer. D'un autre côté, les attaques se multiplient, les attaquants mettent de moins en moins de temps a pénétrer les systèmes et à produire des dégâts qui peuvent rapidement se chiffrer en millions d'euros pour les entreprises. Automatiser la réponse est donc une nécessité.RENNES1-BU Sciences Philo (352382102) / SudocBREST-Télécom Bretagne (290192306) / SudocCESSON SEVIGNE-Télécom Breta (350512301) / SudocSudocFranceF