Formalisation and analysis, algebraic and combinatorial, of general attack scenarios

par Cécilia Gallais

Thèse de doctorat en Automatique

Sous la direction de Éric Filiol.

Le président du jury était Jean-Marc Steyaert.

Le jury était composé de Johann Barbier.

Les rapporteurs étaient Maroun Chamoun, Thomas Engel.

  • Titre traduit

    Formalisation et analyse algébrique et combinatoire de scénarios d'attaques généralisées


  • Résumé

    Les définitions actuelles des infrastructures de sécurité (française, européenne, G-20) sont inadaptées à la réalité des attaques observées ou potentielles. Il en est de même des attaques elles-mêmes et en conséquence le terme « cyberattaque » réduit considérablement le champ conceptuel et opérationnel de celui qui est en charge de la protection et de la défense. La quasi-totalité des approches se réduit à identifier le champ strictement technique informatique (systèmes, réseaux) et à oublier d’autres dimensions propres au renseignement. Ainsi les principales méthodologies d’identification et de gestion du risque (EBIOS ou méthodologies similaires) considèrent une définition particulièrement restrictive, statique et locale de la notion d’infrastructure critique. La modélisation elle-même des attaquants et des attaques est extrêmement réduite. La principale erreur est de restreindre les approches techniques et les angles d’attaque d’un attaquant au seul champ informatique. Les angles « cyber » peuvent ne pas exister ou représenter un volet limitée dans un scenario global d’attaque. En outre, l’approche classique néglige le volet opérationnel gouvernant la préparation et la conduite de la manœuvre dans une attaque. Les modélisations par arbres d’attaques sont également très limitées du fait d’une restriction au seul champ cyber (systèmes et réseaux).Il est alors nécessaire de concevoir une définition très élargie, laquelle doit être dictée par la vision de l'attaquant et non celle du défenseur. Cette thèse vise à développer de nouveaux modèles d'infrastructure de sécurité basés sur la théorie des graphes et a modéliser de manière très élargie le concept d’attaque, incluant ou non un champ cyber. Cette représentation déjà utilisée pour décrire la topologie des infrastructures critiques sera enrichie pour appréhender de manière exhaustive l'environnement avec lesquelles elles interagissent. Les interdépendances avec d’autres entités (personnes, autres infrastructures critiques…) sont un élément clef dans la construction de scenarii d’attaques sophistiquées. Cette représentation enrichie doit aboutir à des nouveaux modèles d'attaquants, plus réalistes et mettant en œuvre des composants externes de l'infrastructure mais appartenant à son environnement proche. L'objectif majeur est la recherche de chemins optimaux dans un scénario d'attaque défini par l'objectif de l'adversaire. Cette approche globale, apporte une définition plus fine (et donc plus réaliste) de la sécurité comme étant le coût le plus faible du chemin d'attaque pris sur l'ensemble des adversaires réalistes (polynomiaux, i.e. agissant en temps fini).Le programme de recherche est structuré en cinq étapes. Les deux premières étapes visent à définir les modèles et les objets représentant les infrastructures de sécurité ainsi que les attaquants auxquelles elles sont confrontées. La troisième étape consiste en la définition d'une méthodologie générique pour évaluer la sécurité d'une infrastructure de sécurité. Cette étape doit aboutir à la conception d'heuristiques de recherche de vulnérabilités. Afin de valider les modèles et la méthodologie proposés, le programme de thèse prévoit le développement d'un démonstrateur recherche sous la forme d'une plate-forme d'évaluation. Enfin, la dernière étape consistera à l'évaluation d'un système existant à partir de la plate-forme en mettant en œuvre la méthodologie proposée. L'objectif de cette dernière étape est de valider les modèles et la méthodologie et d'en proposer une amélioration si nécessaire.


  • Résumé

    The current definitions of a critical infrastructure are not adapted to the actual attacks which are observed these days. The problem is the same for the definition of an attack and therefore, the term « cyber attack » tends to reduce the conceptual and operational field of the person in charge of the security. Most of the approaches are reduced to identify the technical and IT domain only, and they forget the others domains specific to the intelligence. Then, the main methodologies to identify and to manage risk (EBIOS or some similar methodologies) take into account a definition of a critical infrastructure which is restrictive, static and local. The model of attacker and attack is also extremely narrowed as the technical approaches and the angles of attack of an attacker tend to be restricted to the IT domain only, even if the « cyber » angles may not exist or may only be a small part of an attack scenario.Therefore, it is necessary to have a new definition of a critical infrastructure, more complete and made according to the attacker point of view. Indeed, critical infrastructures can be protected by assessing the threats and vulnerability. This thesis aims to develop new models of infrastructure and attack accurately, models which will based on graph theory, with or without the cyber part. This graph-based representation is already used a lot to describe infrastructure, it will be enriched in order to have a more exhaustive view of an infrastructure environment. The dependencies with other entities (people, others critical infrastructures, etc.) have to be taken into account in order to obtain pertinent attack scenarios. This enriched representation must lead to new models of attackers, more realistic and implementing external components of the infrastructure which belong to its immediate environment. The main objective is the research of optimal paths or other mathematical structures which can be translated into attack scenarios. This global approach provides a finer (and therefore more realistic) definition of security as the lowest cost of the attack path.The research program is structured in five stages. The first two steps are aimed at defining the models and objects representing the security infrastructures as well as the attackers they are confronted with. The major difficulty encountered in developing a relevant infrastructure model is its ability to describe. Indeed, the more the model is rich, the more it can describe the infrastructure and the adversaries that attack it. The counterpart of developing a relevant model is its exponential characteristic. In these security models, we therefore expect that the problem of finding the vulnerabilities of a security infrastructure is equivalent to difficult problems, i.e. NP-hard or even NP-complete. The locks to be lifted will therefore consist in the design of heuristics to answer these problems in finite time with an ``acceptable" response. The third step is to define a generic methodology for assessing the safety of a security infrastructure. In order to validate the proposed models and methodology, the thesis program provides for the development of a research demonstrator in the form of an evaluation platform. Finally, the last step will be to evaluate an existing system from the platform by implementing the proposed methodology. The objective of this last step is to validate the models and the methodology and to propose an improvement if necessary.


Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse ?

  • Bibliothèque : Arts et Métiers ParisTech. Centre d'enseignement et de recherche. Bibliothèque.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.