La cybersécurité des opérateurs d’importance vitale : analyse géopolitique des enjeux et des rivalités de la coopération public-privé / The cybersecurity of critical infrastructures : geopolitical analysis of the challenges and rivalities of public-private cooperation in france

D'elia, Danilo

07 December 2017

En France dès 2008, le Livre blanc sur la défense et la sécurité nationale identifiait les attaques contre les systèmes d’information comme l’une des principales menaces qui pèsent sur la défense et la sécurité. Pour faire face aux nouvelles menaces sur les systèmes d’information, les pouvoirs publics ont fait preuve de volontarisme dans la structuration d’un vaste chantier de politiques publiques. L’interventionnisme public s’est traduit par le vote de l’article 22 de la loi de programmation militaire de 2013 qui impose désormais aux opérateurs d’importance vitale de renforcer la sécurité des systèmes d’information qu’ils exploitent. Pourtant la mise en place de cette stratégie passe par la coopération entre sphère publique et acteurs privés qui soulève nombreux conflits de nature économique, organisationnelle, politique et diplomatique. Ainsi les critiques provenant de deux côtés (public et privé) sont de plus en plus récurrentes. La question principale à laquelle cette thèse répond s’inscrit dans les préoccupations de la géopolitique: quelle est la géographie (les frontières et les territoires) de la coopération public-privé ? Si le territoire et la responsabilité territoriale sont clairs en matière de sécurité physique, dès qu’il s’agit de la cybersécurité, cela devient plus compliqué. La transformation numérique empêche une défense au périmètre et pose la question de comment agir pour dépasser les limites du modèle ancien : à une menace sur un territoire correspond un institution pour mettre en place sa défense. Mon hypothèse principale est que la coopération public-privé est le résultat d’un rapport de force politique entre acteurs. / In France in 2008, the White Paper on Defense and National Security identified attacks on information systems as one of the main threats to the national defense and security. In response to new threats to information systems, public authorities have been proactive in structuring a vast public policy project. Public interventionism resulted in the vote and implementation of the Article 22 of the Military Programming Act of 2013, which now requires operators of vital importance to strengthen the security of the information systems they operate. Yet the implementation of this strategy involves cooperation between the public sphere and private actors, which raises numerous conflicts of an economic, organizational, political and diplomatic nature. Thus critics from both sides (public and private) are more and more recurrent. The main question to which this thesis responds is a geopolitical issue: what is the geography (boundaries and territories) of public-private cooperation? If the territory and territorial responsibility are clear in terms of physical security, when it comes to cybersecurity, it becomes more complicated. The digital transformation prevents a perimeter defense and raises the question of how to act to overcome the limits of the old model: to a threat on a territory corresponds an institution to set up its defense. My main hypothesis is that public-private cooperation is the result of a political balance of power between actors acting at different territorial scales.

Géopolitique

Politiques publiques

Cybersécurité

Opérateurs d'importance vitale

Toward self-detection of cyber-physical attacks in control systems / Vers l’auto-détection des attaques cyberphysiques dans les systèmes de contrôle

Yaseen, Amer Atta

20 March 2019

Un Système Contrôlé en Réseau (SCR en français, NCS (Networked Control System) en anglais) est un système de contrôle/commande distribué dans lequel les informations sont échangées en temps réel via un réseau reliant capteurs, actionneurs, contrôleurs, …) Ces SCR sont présents dans de nombreuses applications industrielles tels que les systèmes de production, les systèmes contrôlés à distance, les véhicules autonomes, la téléopération, …. Les principaux avantages de ces systèmes sont la flexibilité de leur architecture et la réduction des coûts d'installation et de maintenance, le principal inconvénient est les effets dus au réseau tels que les retards de transmission, qui influencent les performances et la stabilité de la boucle de régulation, ces systèmes sont également vulnérables aux cyber – attaques.Cette thèse apporte quelques contributions sur la détection des cyber attaques ainsi que le développement d'un contrôleur capable de traiter les effets des retards temporels.Pour atteindre cet objectif, la méthode proposée est d'adapter une commande sans modèle et d'améliorer son utilisation dans les Systèmes Contrôlés en Réseau. L'idée principale est basée sur le bénéfice mutuel d'un prédicteur de Smith et du modèle de base de la commande sans modèle. Ensuite, la structure intelligente de la commande sans modèle est appliquée avec une commande prédictive généralisée (GPC Generalized Predictive Control) de manière à obtenir une commande prédictive généralisée intelligente, qui est une amélioration du contrôleur généralisé standard. Ce contrôleur est conçu selon deux méthodes différentes pour détecter les cyber attaques.Parallèlement, un nouveau mécanisme de sécurité basé sur une réponse trompeuse pour les cyber attaques dans les Systèmes Contrôlés en Réseau est proposé. Le mécanisme proposé peut permettre d'arrêter une cyber-attaque en apportant une dernière ligne de défense lorsque l'attaquant a un accès à l'installation distante.Enfin, deux détecteurs d'attaque de piratage de commande sont introduits. L'objectif est de pouvoir détecter une attaque tel que le cas Stuxnet où le contrôleur a été détourné par reprogrammation. L'avantage des détecteurs proposés est qu'il ne nécessite pas d'avoir a priori un modèle mathématique du contrôleur. / A networked control system (NCS) is a control system in which the control loop is closed over a real-time network. NCSs are used in many industrial applications, and also in applications such as remote control, unmanned aerial vehicles or surgical teleoperation, ... The major advantages of NCS are a flexible architecture and a reduction of installation and maintenance costs, the main disadvantage of NCS is the network effects, such as time-delays, that influence the performance and stability of the control loop. These systems are also vulnerable to cyber attacks.This thesis makes some contributions regarding the detection of cyber-physical attacks as well as the development of a controller which capable of dealing with the other the bad effects of the network like time-delays.To achieve this goal, the proposed approach is to adapt model-free controller and to improve its use in NCS. The main idea is based on mutual benefit between Smith predictor and the basic model-free controller. Then, the intelligent structure of model-free control is applied along with Generalized Predictive Controller (GPC) to achieve the Intelligent Generalized Predictive Controller (IGPC) as an enhancement for the standard GPC. The IGPC is designed along with two different methods for cyber-attack detection.Moreover, a new security mechanism based on the deception for the cyber-physical attacks in NCS is proposed, this mechanism can allow to stop the cyber-attacks by providing the last line of defense when the attacker has an access to the remote plant.Finally, two detectors for controller hijacking attack are introduced. The objective is to be able to detect an attack such as the Stuxnet case where the controller has been reprogrammed and hijacked. The advantage of these proposed detectors is that there is not necessary to have a priori mathematical model of the controller.

Attaques cyberphysiques

Commande sans modèle

Système Contrôlé en Réseau

Cybersécurité

629.895

Détection d'intrusions pour les systèmes de contrôle industriels / Intrusion detection for industrial control systems

Koucham, Oualid

12 November 2018

L’objectif de ce travail de thèse est le développement de techniques de détection d’intrusions et de corrélation d’alertes spécifiques aux systèmes de contrôle industriels (ICS). Cet intérêt est justifié par l’émergence de menaces informatiques visant les ICS, et la nécessité de détecter des attaques ciblées dont le but est de violer les spécifications sur le comportement correct du processus physique.Dans la première partie de nos travaux, nous nous sommes intéressés à l’inférence automatique de spécifications pour les systèmes de contrôle séquentiels et ce à des fins de détection d’intrusions. La particularité des systèmes séquentiels réside dans leur logique de contrôle opérant par étapes discrètes. La détection d’intrusions au sein de ces systèmes a été peu étudiée malgré leur omniprésence dans plusieurs domaines d’application. Dans notre approche, nous avons adopté le formalisme de la logique temporelle linéaire (LTL) et métrique (MTL) permettant de représenter des propriétés temporelles d’ordre qualitatif et quantitatif sur l’état des actionneurs et des capteurs. Un algorithme d’inférence de propriétés a été développé afin d’automatiser la génération des propriétés à partir de motifs de spécifications couvrant les contraintes les plus communes. Cette approche vise à pallier le nombre conséquent de propriétés redondantes inférées par les approches actuelles.Dans la deuxième partie de nos travaux, nous cherchons à combiner l’approche de détection d’intrusions développée dans le premier axe avec des approches de détection d’intrusions classiques. Pour ce faire, nous explorons une approche de corrélation tenant compte des spécificités des systèmes industriels en deux points: (i) l’enrichissement et le prétraitement d’alertes venant de domaines différents (cyber et physique), et (ii) la mise au point d’une politique de sélection d’alertes tenant compte du contexte d’exécution du processus physique. Le premier point part du constat que, dans un système industriel, les alertes qui sont remontées au corrélateur sont caractérisées par des attributs hétérogènes (attributs propres aux domaines cyber et physique). Cependant, les approches de corrélation classiques présupposent une certaine homogénéité entre les alertes. Afin d’y remédier, nous développons une approche d’enrichissement des alertes du domaine physique par des attributs du domaine cyber sur la base d’informations relatives aux protocoles supportés par les contrôleurs et à la distribution des variables du processus au sein des contrôleurs. Le deuxième point concerne le développement d’une politique de sélection d’alertes qui adapte dynamiquement les fenêtres de sélection des alertes selon l’évolution des sous-processus.Les résultats de l’évaluation de nos approches de détection et de corrélation montrent des performances améliorées sur la base de métriques telles que le nombre de propriétés inférées, le taux de réduction des alertes et la complétude des corrélations. / The objective of this thesis is to develop intrusion detection and alert correlation techniques geared towards industrial control systems (ICS). Our interest is driven by the recent surge in cybersecurity incidents targeting ICS, and the necessity to detect targeted attacks which induce incorrect behavior at the level of the physical process.In the first part of this work, we develop an approach to automatically infer specifications over the sequential behavior of ICS. In particular, we rely on specification language formalisms such as linear temporal logic (LTL) and metric temporal logic (MTL) to express temporal properties over the state of the actuators and sensors. We develop an algorithm to automatically infer specifications from a set of specification patterns covering the most recurring properties. In particular, our approach aims at reducing the number of redundant and unfalsifiable properties generated by the existing approaches. To do so, we add a pre-selection stage which allows to restrict the search for valid properties over non redundant portions of the execution traces. We evaluate our approach on a complex physical process steered by several controllers under process oriented attacks. Our results show that a significant reduction in the number of inferred properties is possible while achieving high detection rates.In the second part of this work, we attempt to combine the physical domain intrusion detection approach developed in the first part with more classical cyber domain intrusion detection approaches. In particular, we develop an alert correlation approach which takes into account some specificities of ICS. First, we explore an alert enrichment approach that allows to map physical domain alerts into the cyber domain. This is motivated by the observation that alertscoming from different domains are characterized by heterogeneous attributes which makes any direct comparison of the alerts difficult. Instead, we enrich the physical domain alerts with cyber domain attributes given knowledge about the protocols supported by the controllers and the memory mapping of process variables within the controllers.In this work, we also explore ICS-specific alert selection policies. An alert selection policy defines which alerts will be selected for comparison by the correlator. Classical approaches often rely on sliding, fixed size, temporal windows as a basis for their selection policy. Instead, we argue that given the complex interdependencies between physical subprocesses, agreeing on analert window size is challenging. Instead, we adopt selection policies that adapt to the state of the physical process by dynamically adjusting the size of the alert windows given the state of the subprocesses within the physical process. Our evaluation results show that our correlator achieves better correlation metrics in comparison with classical temporal based approaches.

Détection d'intrusions

Système de contrôle industriels

Cybersécurité

Intrusion detection

Industrial control systems

Cybersecurity

004

620

La sécurité intérieure européenne. Les rapports entretenus entre le droit et la politique publique / European internal security. The relationship between law and public policy

Berthelet, Pierre

28 November 2016

Le droit joue un rôle majeur dans l’élaboration d’une nouvelle politique de l’Union européenne : la sécurité intérieure. Il lui confère toute sa substance, mais surtout il est, au regard du principe de légalité, la condition et la limite de l’édification de cette politique intervenant dans un domaine sensible pour les États. En retour, le droit subit des fluctuations, conséquences des rapports interinstitutionnels. L’opérationnalité, comme forme de normativité spécifique, est une caractéristique essentielle de cette politique de nature très étatique. Intimement liée au succès de la nouvelle gouvernance dans la construction européenne, elle est la manifestation de nouvelles formes de régulations atypiques qui tendent à pénétrer le droit européen. La méthode communautaire ne disparaît pas pour autant, mais elle est repensée, tout comme le droit de l’Union dit « classique ». Sa rationalité change au fil de son évolution en direction d’un « droit néo-moderne » (C.-A. De Morand). / Law plays a major role in the development of a new policy of the European Union, named the internal security policy. It gives it all its substance, but, in the light of the legality principle, it is the condition and the limit to building this policy in a sensitive area for States. In return, law undergoes fluctuations, consequences of the interinstitutional relations. The operationality, as a form of « light » normativity, is an essential characteristic of this very nature of this state policy. Intimately linked to the success of the new governance in the European construction, the operationality is the manifestation of new forms of atypical regulations that tend to penetrate the European law. The Community method does not disappear, but it is redesigned, as well as the EU « classical » law. Rationality changes throughout its evolution towards a « neo-modern right » (C.-A. De Morand).

Union européenne

Sécurité intérieure

Sécurité nationale

Terrorisme

Cybersécurité

EU

Internal security

National security

Terrorism

Cybersecurity

341.242

Dealing with uncertainty in risk analysis : combining safety and security / Traiter l'incertitude dans l'analyse des risques : combinant sureté et sécurité

Abdo, Houssein

12 December 2017

L'analyse des risques est un élément essentiel pour la prise de décision réglementaire liée aux industries à haut risques. Une analyse systématique des risques se compose de trois étapes: (i) l’identification des scénarios indésirables de risque. (ii) l’estimation de la probabilité d'occurrence des scénarios des risques. (iii) le calcul d’effet des conséquences des scénarios de risque identifiés. L'analyse de la vraisemblance et de la gravité s'effectue à l'aide de modèles qui dépendent de plusieurs paramètres d'entrée. Cependant, la fiabilité de l'analyse de risque est limitée grâce à diverses sources d'incertitude. L’incertitude des paramètres, du modèle et d'incomplétude sont les principales sources d'incertitude. L’incertitude de paramètres découle de l'incapacité de définir des valeurs exactes à certains paramètres d'entrée utilisés pour l'analyse de la probabilité et de l’effet. L'incertitude de l’incomplétude provient de ne pas tenir compte de l’ensemble des contributions au risque dans le processus d'identification (certains événements initiateurs sont ignorés). L'incertitude du modèle n'est pas prise en compte dans ce travail. L'INERIS (Institut national de l'environnement industriel et des risques) a développé une approche semi-quantitative d'intervalle pour l’évaluation de la probabilité des risques qui utilise des informations quantitatives si disponibles ou des informations qualitatives, sinon. Cependant, cette approche semi-quantitative d'intervalle présente certains inconvénients en raison de l'incertitude des paramètres. L'information concernant les paramètres d’entrée des modèles d’effets est souvent incomplète, vague, imprécise ou subjective. En outre, certains paramètres peuvent être de nature aléatoire et ont des valeurs différentes. Cela conduit à deux différents types d'incertitude des paramètres. L'incertitude aléatoire dû à la variabilité naturelle. L’autre est l’incertitude épistémique, causée par le manque d'informations, par exemple, une imprécision de mesure. De plus, dans les méthodes d'analyse de risque actuelles, l'étape d'identification est incomplète. Juste les scénarios liés à la sûreté causés par des événements accidentels sont pris en compte durant l’analyse. L'introduction de systèmes connectés et de technologies numériques dans l’Industrie crée de nouvelles menaces de cyber-sécurité qui peuvent entraîner des accidents de sûreté indésirables. Ces événements liés à la cyber-sécurité doivent être pris en compte lors de l'analyse des risques industriels. Cette recherche vise à développer des méthodologies d'analyse d'incertitude pour traiter l'incertitude dans le processus d'analyse de risque de l’INERIS. En d'autres termes, analyser l'incertitude dans l'analyse de la probabilité, l'analyse des effets et l'étape d'identification. Dans ce travail, nous traitons les limites de l'approche semi-quantitative d'intervalle en introduisant la notion de nombres flous au lieu d'intervalles. Les nombres flous sont utilisés pour traiter l'incertitude dans les données d’entrée. Une méthodologie hybride qui traite chaque cause de l'incertitude des paramètres dans l'analyse des effets avec la bonne théorie est développée. La théorie de la probabilité est utilisée pour représenter la variabilité, les nombres flous sont utilisés pour représenter l'imprécision et la théorie d’évidence est utilisée pour représenter l'ignorance, l'incomplétude ou le manque de consensus. Une nouvelle méthodologie d'identification des risques qui considère la sûreté et la sécurité ensemble lors de l'analyse des risques industriels est développée. Cette approche combine Nœud-Papillon (BT), utilisé pour l'analyse de sûreté, avec une nouvelle version étendue de l’arbre d’attaque (AT), introduite pour l'analyse de cybersécurité des systèmes de contrôle industriel. L'utilisation combinée d'AT-BT fournit une représentation exhaustive des scénarios de risque en termes de sûreté et de sécurité. / Risk analysis is a critical part for regulatory decision-making related to high-risk risk industries. A systematic risk analysis is made up of three steps: (i) identifying the undesirable risk scenarios. A risk scenario is characterized by referencing to the potential event with its causes and consequences. (ii) Estimating the likelihood of occurrence of risk scenarios. (iii) Calculating the effect of consequences of the identified risk scenarios. Likelihood and effect analysis are carried out with the help of models that depend on several number of input parameters.However, the trustworthiness of risk analysis is limited when inaccuracies in the results can occur, and are due to various sources of uncertainty. Parameter, model and completeness uncertainties are the main sources of uncertainty. Parameter uncertainty arises from the inability to set exact values for certain input parameters used for likelihood and severity analysis. Completeness uncertainty originates from not considering all contributions to risk in the identification process (some initiating events are ignored). Model uncertainty is not considered in this work.The INERIS (French National Institute for Industrial Environment and Risks) has developed an interval semi-quantitative approach that uses both quantitative information if available or qualitative information if not. However, this interval semi-quantitative approach has some drawbacks due to parameter uncertainty.Information regarding model parameters used for effect analysis is often incomplete, vague, imprecise or subjective. Moreover, some of the parameters may be random in nature and have different values. This leads to two different types of parameter uncertainty that need to be accounted for an accurate risk analysis and effective decision-making. Aleatoric uncertainty arises from randomness due to natural variability resulting from the variation of a value in time. Or epistemic uncertainty caused by the lack of information resulting, for example, from measurement errors, subjectivity expert judgment or incompleteness.Moreover, the identification step is incomplete where only safety related scenarios caused by accidental events are considered. The introduction of connected systems and digital technology in process industries creates new cyber-security threats that can lead to undesirable safety accidents. These cyber-security related events should be considered during industrial risk analysis.This research aims to develop uncertainty analysis methodologies to treat uncertainty in the INERIS risk analysis process. In other words, to analyze uncertainty in likelihood analysis, effect analysis and the identification step.In this work, we propose a fuzzy semi-quantitative approach to deal with parameter uncertainty in the likelihood analysis step. We handle the limits of the interval semi-quantitative approach by introducing the concept of fuzzy numbers instead of intervals. Fuzzy numbers are used to represent subjectivity in expert judgments (qualitative data) and covers uncertainty in the quantitative data if this data exists.A hybrid methodology that treat each cause of parameter uncertainty in effect analysis with the right theory is developed. Probability theory is used to represent variability, fuzzy numbers are used to represent imprecision and evidence theory is used to represent vagueness, incompleteness and the lack of consensus.A new risk identification methodology that considers safety and security together during industrial risk analysis is developed. This approach combines Bow-Tie Analysis (BTA), commonly used for safety analysis, with a new extended version of Attack Tree Analysis (ATA), introduced for security analysis of industrial control systems. The combined use of AT-BT provides an exhaustive representation of risk scenarios in terms of safety and security.

Analyse des risques

Incertitude

Sûreté

Cybersécurité

Risk analysis

Uncertainty

Safety

Security

620

Security Analysis and Access Control Enforcement through Software Defined Networks / Analyse de sécurité et renforcement de control d’accès à travers les réseaux programmables

Zerkane, Salaheddine

05 November 2018

Les réseaux programmables (SDN) sont un paradigme émergent qui promet de résoudre les limitations de l'architecture du réseau conventionnel. Dans cette thèse, nous étudions et explorons deux aspects de la relation entre la cybersécurité et les réseaux programmables. D'une part, nous étudions la sécurité pour les réseaux programmables en effectuant une analyse de leurs vulnérabilités. Une telle analyse de sécurité est un processus crucial pour identifier les failles de sécurité des réseaux programmables et pour mesurer leurs impacts. D'autre part, nous explorons l'apport des réseaux programmables à la sécurité. La thèse conçoit et implémente un pare-feu programmable qui transforme la machine à états finis des protocoles réseaux, en une machine à états équivalente pour les réseaux programmables. En outre, la thèse évalue le pare-feu implémenté avec NetFilter dans les aspects de performances et de résistance aux attaques d’inondation par paquets de synchronisation. De plus, la thèse utilise l'orchestration apportée par les réseaux programmables pour renforcer la politique de sécurité dans le Cloud. Elle propose un Framework pour exprimer, évaluer, négocier et déployer les politiques de pare-feu dans le contexte des réseaux programmables sous forme de service dans le Cloud. / Software Defined Networking (SDN) is an emerging paradigm that promises to resolve the limitations of the conventional network architecture.SDN and cyber security have a reciprocal relationship. In this thesis, we study and explore two aspects of this relationship. On the one hand, we study security for SDN by performing a vulnerability analysis of SDN. Such security analysis is a crucial process in identifying SDN security flaws and in measuring their impacts. It is necessary for improving SDN security and for understanding its weaknesses.On the other hand, we explore SDN for security. Such an aspect of the relationship between SDN and security focusses on the advantages that SDN brings into security.The thesis designs and implements an SDN stateful firewall that transforms the Finite State Machine of network protocols to an SDN Equivalent State Machine. Besides, the thesis evaluates SDN stateful firewall and NetFilter regarding their performance and their resistance to Syn Flooding attacks.Furthermore, the thesis uses SDN orchestration for policy enforcement. It proposes a firewall policy framework to express, assess, negotiate and deploy firewall policies in the context of SDN as a Service in the cloud.

Réseaux programmables

Cybersécurité

Pare-feu

Orchestration

Vulnérabilité

Contrôle d’accès

Software Defined Networks

Cyber security

Firewall

Orchestration

Vulnerability

Access Control

005.8

Modelization and identification of multi-step cyberattacks in sets of events / Modélisation et identification de cyberattaques multi-étapes dans des ensembles d'événements

Navarro Lara, Julio

14 March 2019

Une cyberattaque est considérée comme multi-étapes si elle est composée d’au moins deux actions différentes. L’objectif principal de cette thèse est aider l’analyste de sécurité dans la création de modèles de détection à partir d’un ensemble de cas alternatifs d’attaques multi-étapes. Pour répondre à cet objectif, nous présentons quattre contributions de recherche. D’abord, nous avons réalisé la première bibliographie systématique sur la détection d’attaques multi-étapes. Une des conclusions de cette bibliographie est la manque de méthodes pour confirmer les hypothèses formulées par l’analyste de sécurité pendant l’investigation des attaques multi-étapes passées. Ça nous conduit à la deuxième de nos contributions, le graphe des scénarios d’attaques abstrait ou AASG. Dans un AASG, les propositions alternatives sur les étapes fondamentales d’une attaque sont répresentées comme des branches pour être évaluées avec l’arrivée de nouveaux événements. Pour cette évaluation, nous proposons deux modèles, Morwilog et Bidimac, qui font de la détection au même temps que l’identification des hypothèses correctes. L’évaluation des résultats par l’analyste permet l’évolution des modèles.Finalement, nous proposons un modèle pour l’investigation visuel des scénarios d’attaques sur des événements non traités. Ce modèle, qui s’appelle SimSC, est basé sur la similarité entre les adresses IP, en prenant en compte la distance temporelle entre les événements. / A cyberattack is considered as multi-step if it is composed of at least two distinct actions. The main goal of this thesis is to help the security analyst in the creation of detection models from a set of alternative multi-step attack cases. To meet this goal, we present four research contributions. First of all, we have conducted the first systematic survey about multi-step attack detection. One of the conclusions of this survey is the lack of methods to confirm the hypotheses formulated by the security analyst during the investigation of past multi-step attacks. This leads us to the second of our contributions, the Abstract Attack Scenario Graph or AASG. In an AASG, the alternative proposals about the fundamental steps in an attack are represented as branches to be evaluated on new incoming events. For this evaluation, we propose two models, Morwilog and Bidimac, which perform detection and identification of correct hypotheses. The evaluation of the results by the analyst allows the evolution of the models. Finally, we propose a model for the visual investigation of attack scenarios in non-processed events. This model, called SimSC, is based on IP address similarity, considering the temporal distance between the events.

Cybersécurité

Attaque multi-étapes

Correlation d’événements

Détection d’attaques

Cybersecurity

Multi-step attack

Event correlation

Attack detection

005.8

La sécurisation du commerce électronique dans l'espace OHADA / Securing electronic commerce in OHADA space

Billong Billong, Abel Henri

09 February 2017

La thèse a pour ambition de faire un état des lieux de la sécurisation du commerce électronique dans l'espace OHADA. Compte tenu de l'inexistence d'un Acte uniforme dédié à la matière et que les Actes uniformes consacrés par le législateur OHADA concerne surtout les aspects traditionnels de du commerce, il sera également question d'accroître la sécurité en améliorant le processus qui y conduit. L’intérêt du sujet tient notamment au fait que le commerce électronique n’a pas encore fait l’objet d’une réglementation en droit OHADA. Il s’agit d’une réflexion prospective visant à dégager des propositions pour une évolution de la matière. De notre point de vue, la réglementation OHADA actuelle, est illisible et source de difficultés par rapport aux objectifs de sécurisation poursuivis en Afrique. Il est donc intéressant de proposer un modèle de sécurisation à partir des initiatives existantes dans l’espace OHADA et dans le droit français et européen très en avance en la matière. / Besides the opportunity of a regulation on electronic commerce and its actors, the rules governing the construction process particularly interested observer. Regarding supervision of business law, the position of the common legislator OHADA is not indisputable. New methods to achieve commercial transactions in Africa have indeed revealed the fragility of its foundations. Thus, the balance inherent in the establishment of OHADA is increasingly threatened .The intervention of the common organization was actively expected in order to legally manage the consequences of using the Internet. Those expectations have not been actually entirely satisfied. Indeed, OHADA has not yet released any uniform act dedicated to e-commerce. This leads to the usage of the existing rules, still embryonic. This is the state initiatives whose legitimacy and effectiveness depend on the principles of OHADA. Although likely to fill gaps of the latter, they are nevertheless clearly insufficient. They do not make it possible to grasp all the changes and developments of practices inherent in dematerialization and ubiquity.Yet, as far as their vehicles namely the Internet, the emergence of online economic activity generates important security needs. The control of multiple security risks depends on the emergence of other standard-setting initiatives. The model building should reinforce the coherence of the process as well as the modernization of the rules concerned. In addition to French and community laws, despite the observed imperfections, processes and resulting rules represent a nourishing source of secure e-commerce model in OHADA.

Commerce électronique

Cybercriminalité

Sécurisation

Espace OHADA

Harmonisation

Internet

Cybersécurité

Securisation

E-Commerce

Cybercrime

Cybersecurity

Security

Safety

Harmonization

Internet

Ohada

340

ÉVALUATION DU RISQUE POUR LA SÉCURITÉ DES RÉSEAUX ÉLECTRIQUE FACE AUX ÉVÉNEMENTS INTENTIONNELS

Tranchita, Carolina

30 April 2008

Les réseaux électriques sont des infrastructures critiques fortement interconnectées et dépendantes d'autres infrastructures essentielles pour assurer diverses activités humaines. Compte tenu ce rôle clef, le secteur électrique est, et continuera à l'être, une cible privilégiée pour les groupes terroristes. Pour palier à ces attaques terroristes, il est indispensable d'avoir une grande capacité d'anticipation, de moyens de réflexion lors des périodes d'accalmies, et une bonne gestion (de crise) de la part des exploitants. Ainsi, les aléas résultants des attaques terroristes doivent être pris en compte dans l'évaluation de la sécurité du réseau. Cette thèse présente une méthode basée sur l'évaluation du risque, ce qui permet aux exploitants et aux planificateurs d'estimer la sécurité du réseau en considérant l'occurrence d'actes malveillants. L'utilisation de l'inférence probabiliste et de la théorie de la possibilité, permet de prendre en considération les incertitudes liées à la dynamique terroriste ainsi que les incertitudes dues aux prévisions de charge et de production. Nous avons aussi étendu notre méthodologie aux actes de malveillance liés aux cyberattaques sur les systèmes de communication du réseau électrique qui peuvent affecter la sécurité de ce dernier. Les méthodes sont testées avec des réseaux test standards, en prenant comme exemple l'expérience de l'infrastructure électrique Colombienne, fortement menacée par les attaques terroristes.

[SPI] Engineering Sciences

évaluation du risque

réseaux Bayésiens

théorie de la possibilité

nombres flous

Un système de surveillance et détection de menaces utilisant le traitement de flux comme une fonction virtuelle pour le Big Data / A monitoring and threat detection system using stream processing as a virtual function for Big Data

Andreoni Lopez, Martin Esteban

06 June 2018

La détection tardive des menaces à la sécurité entraîne une augmentation significative du risque de dommages irréparables, invalidant toute tentative de défense. En conséquence, la détection rapide des menaces en temps réel est obligatoire pour l'administration de la sécurité. De plus, la fonction de virtualisation de la fonction réseau (NFV) offre de nouvelles opportunités pour des solutions de sécurité efficaces et à faible coût. Nous proposons un système de détection de menaces rapide et efficace basé sur des algorithmes de traitement de flux et d'apprentissage automatique. Les principales contributions de ce travail sont : i) un nouveau système de détection des menaces de surveillance basé sur le traitement en continu, ii) deux ensembles de données, d'abord un ensemble de données de sécurité synthétiques contenant à la fois du trafic légitime et malveillant, et le deuxième, une semaine de trafic réel d'un opérateur de télécommunications à Rio de Janeiro, au Brésil, iii) un algorithme de pré-traitement de données, un algorithme de normalisation et un algorithme de sélection de caractéristiques rapides basé sur la corrélation entre des variables, iv) une fonction de réseau virtualisé dans une plate-forme Open Source pour fournir un service de détection des menaces en temps réel, v) placement quasi-optimal des capteurs grâce à une heuristique proposée pour positionner stratégiquement les capteurs dans l'infrastructure du réseau, avec un nombre minimal de capteurs, et enfin vi) un algorithme glouton qui alloue à la demande une séquence de fonctions de réseau virtuel. / The late detection of security threats causes a significant increase in the risk of irreparable damages, disabling any defense attempt. As a consequence, fast real-time threat detection is mandatory for security administration. In addition, Network Function Virtualization (NFV) provides new opportunities for efficient and low-cost security solutions. We propose a fast and efficient threat detection system based on stream processing and machine learning algorithms. The main contributions of this work are i) a novel monitoring threat detection system based on streaming processing, ii) two datasets, first a dataset of synthetic security data containing both legitimate and malicious traffic, and the second, a week of real traffic of a telecommunications operator in Rio de Janeiro, Brazil, iii) a data pre-processing algorithm, a normalizing algorithm and an algorithm for fast feature selection based on the correlation between variables, iv) a virtualized network function in an Open source Platform for providing a real-time threat detection service, v) near-optimal placement of sensors through a proposed heuristic for strategically positioning sensors in the network infrastructure, with a minimum number of sensors, and finally vi) a greedy algorithm that allocates on demand a sequence of virtual network functions.

Cybersécurité

Gros volumes de données

Apprentissage automatique

Données de sécurité

Sécurité de réseau

Fonction de réseau virtuel

Machine learning

Virtual network function

Network security

005.8