Détection contextuelle de cyberattaques par gestion de confiance à bord d'un navire / Trust management for contextual cyberattacks detection on board ship

Coste, Benjamin

18 December 2018

Dans le domaine maritime, la maitrise de la navigation et de la conduite d’un navire sont deux aspects essentiels pour la bonne marche et la sécurité du navire, des personnels et la préservation de l’environnement maritime. Or, les navires modernes embarquent de plus en plus de technologies informatisées, connectées et automatisées pour gérer ces fonctions primordiales. Ces technologies (capteurs, actionneurs, automates, logiciels) qui constituent le système d’information (SI) d’un navire peuvent cependant être leurrées ou corrompues par un tiers, remettant ainsi en cause la confiance qui leur est accordée. Dans ce contexte, une nouvelle approche de détection des falsifications des informations fondée sur l’évaluation de la confiance dans les composants du SI est proposée. Du fait de leurcomplexité, les systèmes d’information des navires peuvent être considérés comme des ensembles de blocs fonctionnels inter-reliés qui produisent, traitent et reçoivent des informations. La confiance d’un bloc fonctionnel producteur d’information est évaluée au travers de sa capacité, divisée en deux composantes (compétence et sincérité), à rendre compte de la situation réelle du navire. Elle se propage ensuite, à l’instar de l‘information, aux autres entités du système, quelle que soit leur complexité. Différents scénarios ont été expérimentés grâce à l’élaboration d’un simulateur. La variabilité de la confiance face à des altérations volontaires d’informations numériques permet de déduire la survenue d’une attaque ainsi que sa cible sous certaines conditions. Sans se restreindre aux systèmes navals, l’approche proposée permet de s’adapter à une grande variété de situations incluant le facteur humain. Les travaux de cette thèse ont été soutenus et co-financés par la région Bretagne ainsi que la Chaire de Cyber Défense des Systèmes Navals impliquant l’Ecole Navale, IMT Atlantique, NavalGroup et Thales. / Navigation and ship’s management are two essential aspects for the security of the ship itself and people on board as much as the maritime environment protection. Modern ships ensure these functions by increasingly embedding connected and automated technologies such as sensors, actuators, programmable logic controllers and pieces of software. However, the security of this objects as well as the trust in the information they produce cannot be guaranteed: they can be deceived or under the control of a malicious third party. In this context, a novel approach of data falsification detection is proposed. It is based on trust assessment of information system components which can be seen as inter-related functional blocks producing, processing and receiving pieces of information. The trust one can have inproduction blocks, called information sources, is assessed through its ability to report real situation of the ship. Trust is then propagated to the remainder part of the system. A simulator was made thanks to which we experiment several scenarios including intentional modification of numerical data. In these cases and under some conditions, the variability of trust give us the ability to identify the attack occurrence as much as its target. Our proposition is not restricted to naval information systems and can be employed in various situations even with human factor.

Confiance

Sécurité des systèmes d’information

Systèmes d’information

Trust

Security

Information systems

004

Lutte contre les botnets : analyse et stratégie / The fight against botnets : from observation to strategy

Freyssinet, Eric

12 November 2015

Les botnets, ou réseaux d’ordinateurs infectés par un code malveillant et connectés à un système de commande et de contrôle, constituent le premier outil de la délinquance sur Internet. Ils permettent de concrétiser le développement d’un nouveau type d’activités criminelles: le crime comme un service (CaaS). Ils constituent un défi en matière de répression. D’abord par l’importance de leur impact sur la sécurité des réseaux et la commission d’infractions sur Internet. Ensuite par la dimension extrêmement internationale de leur diffusion et donc une certaine difficulté à mener des investigations. Enfin, par le grand nombre des acteurs qui peuvent être impliqués (codeurs, maîtres de botnets, intermédiaires financiers). Cette thèse porte sur l’étude des botnets (composantes, fonctionnement, acteurs), la proposition d’une méthode de collecte de données sur les activités liées aux botnets et les dispositifs techniques et organisationnels de lutte contre les botnets ; elle conclut sur des propositions en matière de stratégie pour cette lutte. Les travaux menés ont permis de confirmer la pertinence, pour l’étude efficace des botnets, d’un modèle englobant l’ensemble de leurs composants, y compris les infrastructures et les acteurs. Outre un effort de définition, la thèse apporte un modèle complet du cycle de vie d’un botnet et propose des méthodes de catégorisation de ces objets. Il en ressort la nécessité d’une stratégie partagée qui doit comporter les éléments de détection, de coordination et la possibilité, voire l’obligation, pour les opérateurs de mettre en œuvre des mesures de mitigation. / Botnets, or networks of computers infected with malware and connected to a command and control system, is one of the main tools for criminal activities on the Internet today. They allow the development of a new type of crime: crime as a service (CaaS). They are a challenge for law enforcement. First by the importance of their impact on the security of networks and the commission of crimes on the Internet. Next, with regards to the extremely international dimension of their dissemination and therefore the enhanced difficulty in conducting investigations. Finally, through the large number of actors that may be involved (software developers, botnet masters, financial intermediaries, etc.). This thesis proposes a thorough study of botnets (components, operation, actors), the specificaion of a data collection method on botnet related activities and finally the technical and organizational arrangements in the fight against botnets; it concludes on proposals on the strategy for this fight. The work carried out has confirmed the relevance, for the effective study of botnets, of a model encompassing all their components, including infrastructure and actors. Besides an effort in providing definitions, the thesis describes a complete model of the life cycle of a botnet and offers methods for categorization of these objects. This work shows the need for a shared strategy which should include the detection elements, coordination between actors and the possibility or even the obligation for operators to implement mitigation measures.

Botnet

Cybercriminalité

Logiciel malveillant

Réseau

Sécurité des systèmes d’information

Renseignement sur la menace

Botnet

Cybercrime

005.8

Quels élements d'influence pour l'adoption symbolique de la sécurité des systèmes d'information? / Which elements of influence for the information system security's symbolic adoption

Fantino, Benoît

17 December 2018

La sécurité des systèmes d’information s’inscrit dans la dépendance croissante des entreprises envers leur SI en perspective du nombre grandissant d’incidents de sécurité. Dans cette recherche, nous nous intéressons à la gestion des risques SI, pour laquelle la littérature souligne le manque d’implication des top-managers. Nous abordons cette problématique sous l’angle de la décision des dirigeants, au travers de quatre approches théoriques : modèles des perceptions managériales des risques SI, perception des risques en psychologie, théorie néo-institutionnelle et théorie sur l’adoption symbolique des innovations. L’objectif est de rendre intelligible les influences sur l’adoption symbolique de la SSI. Nous employons une méthode qualitative organisée autour de 17 études de cas dans des entreprises d’activités variées. La SSI y est observée comme un processus de décision de gestion des risques SI. Nos résultats montrent la pertinence d’étudier la SSI selon une perspective individuelle de gestion des risques. D’une part, les caractéristiques de l’évaluation psychologique des risques éclairent les biais pour la gestion du risque SI. D’autre part, l’étude de ces biais apporte une perspective nouvelle sur la compréhension de l’investissement des top-managers pour la SSI. Nous montrons l’insensibilité des top-managers à l’exposition du risque, une préférence à aborder les risques sous l’angle des menaces. Aussi, nous exposons les influences qui contribuent à adopter une SSI technique et non managériale pourtant suggérée dans la littérature. Enfin, notre analyse fait émerger des perspectives pour prolonger la compréhension d’une SSI réactive, décriée par les auteurs en SSI. / The information system security for which the interest joins in the increasing dependence of companies to them information system and in prospect of increasing number of security incidents. We are interested in the information system risk management, for whom the literature underlines the lack of involvement of top-managers.We approach the concern under the view of the decision of top executives for ISS, through four theoretical streams: the models of the managerial perceptions of IS risks, the risks perception in psychology, the institutional theory and the theory about symbolic adoption of the innovations. The aim is to make intelligible the influences on the symbolic adoption of such ISS approach. We use a qualitative method organized around 17 case studies in companies with varied activities. Our results highlight the relevance to study the ISS according to an individual perspective of risk management. On one hand, the characteristics of the psychological evaluation of the risks enlighten the biases for the management of the information system risk. On the other hand, the study of these biases brings a new perspective on the understanding of the investment of the top executives for the ISS. In particular, we underline the insensitivity of the top managers in the exposure of the risk, a preference to approach the risks under a threats point of view. We expose the influences which contribute to adopt a technical and not managerial ISS such as suggests by the Research. Finally, our analysis brings to the foreground perspectives to extend the comprehension of a reactive ISS, defame by ISS’ academics.

Ssi

Sécurité des systèmes d’information

Influences

Décision

Risques

Adoption symbolique

Perception

Iss

Information security system

Influences

Decision

Risks

Symbolic adoption

Perception