Séminaire confiance numérique (Hervé Debar, Institut Mines-Télécom/Télécom SudParis)

Vers une approche quantitative pour la réponse aux attaques

Le domaine de la sécurité informatique s'est intéressé, depuis le début des années 80 et jusqu'à aujourd'hui, au problème de la détection des attaques informatiques, dite "détection d'intrusions".

Le volume d'alertes généré par les sondes de détection d'intrusion a, au début des années 2000, nécessité la mise en place de plates-formes SIEM et ouvert le champ de la corrélation d'alertes. L'idée de la corrélation d'alertes était de regrouper les alertes entre elles et de les contextualiser pour permettre à un opérateur de sécurité de formuler un diagnostic et de réagir de manière pertinente. Il s'avère que ces mécanismes de corrélation sont aujourd'hui insuffisants pour assurer un traitement humain de tous les phénomènes d'attaques. Il devient donc nécessaire d'automatiser plus avant la réponse à certaines attaques.

Dans cette présentation, nous aborderons le problème du choix de contres mesures en réponse à une détection (alerte levée par une sonde) en proposant un modèle quantitatif permettant de choisir une contre-mesure (ou un ensemble de) pour répondre à une combinaison d'attaques. Nous montrerons un cas d'usage sur l'exemple d'un système critique, un barrage produisant de l'électricité

 

 

220 vues
Jeudi 07 Janvier 2016
Tag(s) : confiance numerique, sécurité informatique
Partager : Facebook
Intégrer :
Vidéos suggérées