Formalisation and analysis, algebraic and combinatorial, of general attack scenarios

par Ce?cilia Gallais

Thèse de doctorat en Automatique

Sous la direction de ?ric Filiol.

Le président du jury était Jean-Marc Steyaert.

Le jury était composé de Johann Barbier.

Les rapporteurs étaient Maroun Chamoun, Thomas Engel.

  • Titre traduit

    Formalisation et analyse alg?brique et combinatoire de sc?narios d'attaques g?n?ralis?es


  • Résumé

    Les d?finitions actuelles des infrastructures de s?curit? (fran?aise, europ?enne, G-20) sont inadapt?es ? la r?alit? des attaques observ?es ou potentielles. Il en est de m?me des attaques elles-m?mes et en cons?quence le terme ? cyberattaque ? r?duit consid?rablement le champ conceptuel et op?rationnel de celui qui est en charge de la protection et de la d?fense. La quasi-totalit? des approches se r?duit ? identifier le champ strictement technique informatique (syst?mes, r?seaux) et ? oublier d?autres dimensions propres au renseignement. Ainsi les principales m?thodologies d?identification et de gestion du risque (EBIOS ou m?thodologies similaires) consid?rent une d?finition particuli?rement restrictive, statique et locale de la notion d?infrastructure critique. La mod?lisation elle-m?me des attaquants et des attaques est extr?mement r?duite. La principale erreur est de restreindre les approches techniques et les angles d?attaque d?un attaquant au seul champ informatique. Les angles ? cyber ? peuvent ne pas exister ou repr?senter un volet limit?e dans un scenario global d?attaque. En outre, l?approche classique n?glige le volet op?rationnel gouvernant la pr?paration et la conduite de la man?uvre dans une attaque. Les mod?lisations par arbres d?attaques sont ?galement tr?s limit?es du fait d?une restriction au seul champ cyber (syst?mes et r?seaux).Il est alors n?cessaire de concevoir une d?finition tr?s ?largie, laquelle doit ?tre dict?e par la vision de l'attaquant et non celle du d?fenseur. Cette th?se vise ? d?velopper de nouveaux mod?les d'infrastructure de s?curit? bas?s sur la th?orie des graphes et a mod?liser de mani?re tr?s ?largie le concept d?attaque, incluant ou non un champ cyber. Cette repr?sentation d?j? utilis?e pour d?crire la topologie des infrastructures critiques sera enrichie pour appr?hender de mani?re exhaustive l'environnement avec lesquelles elles interagissent. Les interd?pendances avec d?autres entit?s (personnes, autres infrastructures critiques?) sont un ?l?ment clef dans la construction de scenarii d?attaques sophistiqu?es. Cette repr?sentation enrichie doit aboutir ? des nouveaux mod?les d'attaquants, plus r?alistes et mettant en ?uvre des composants externes de l'infrastructure mais appartenant ? son environnement proche. L'objectif majeur est la recherche de chemins optimaux dans un sc?nario d'attaque d?fini par l'objectif de l'adversaire. Cette approche globale, apporte une d?finition plus fine (et donc plus r?aliste) de la s?curit? comme ?tant le co?t le plus faible du chemin d'attaque pris sur l'ensemble des adversaires r?alistes (polynomiaux, i.e. agissant en temps fini).Le programme de recherche est structur? en cinq ?tapes. Les deux premi?res ?tapes visent ? d?finir les mod?les et les objets repr?sentant les infrastructures de s?curit? ainsi que les attaquants auxquelles elles sont confront?es. La troisi?me ?tape consiste en la d?finition d'une m?thodologie g?n?rique pour ?valuer la s?curit? d'une infrastructure de s?curit?. Cette ?tape doit aboutir ? la conception d'heuristiques de recherche de vuln?rabilit?s. Afin de valider les mod?les et la m?thodologie propos?s, le programme de th?se pr?voit le d?veloppement d'un d?monstrateur recherche sous la forme d'une plate-forme d'?valuation. Enfin, la derni?re ?tape consistera ? l'?valuation d'un syst?me existant ? partir de la plate-forme en mettant en ?uvre la m?thodologie propos?e. L'objectif de cette derni?re ?tape est de valider les mod?les et la m?thodologie et d'en proposer une am?lioration si n?cessaire.


  • Résumé

    The current definitions of a critical infrastructure are not adapted to the actual attacks which are observed these days. The problem is the same for the definition of an attack and therefore, the term ? cyber attack ? tends to reduce the conceptual and operational field of the person in charge of the security. Most of the approaches are reduced to identify the technical and IT domain only, and they forget the others domains specific to the intelligence. Then, the main methodologies to identify and to manage risk (EBIOS or some similar methodologies) take into account a definition of a critical infrastructure which is restrictive, static and local. The model of attacker and attack is also extremely narrowed as the technical approaches and the angles of attack of an attacker tend to be restricted to the IT domain only, even if the ? cyber ? angles may not exist or may only be a small part of an attack scenario.Therefore, it is necessary to have a new definition of a critical infrastructure, more complete and made according to the attacker point of view. Indeed, critical infrastructures can be protected by assessing the threats and vulnerability. This thesis aims to develop new models of infrastructure and attack accurately, models which will based on graph theory, with or without the cyber part. This graph-based representation is already used a lot to describe infrastructure, it will be enriched in order to have a more exhaustive view of an infrastructure environment. The dependencies with other entities (people, others critical infrastructures, etc.) have to be taken into account in order to obtain pertinent attack scenarios. This enriched representation must lead to new models of attackers, more realistic and implementing external components of the infrastructure which belong to its immediate environment. The main objective is the research of optimal paths or other mathematical structures which can be translated into attack scenarios. This global approach provides a finer (and therefore more realistic) definition of security as the lowest cost of the attack path.The research program is structured in five stages. The first two steps are aimed at defining the models and objects representing the security infrastructures as well as the attackers they are confronted with. The major difficulty encountered in developing a relevant infrastructure model is its ability to describe. Indeed, the more the model is rich, the more it can describe the infrastructure and the adversaries that attack it. The counterpart of developing a relevant model is its exponential characteristic. In these security models, we therefore expect that the problem of finding the vulnerabilities of a security infrastructure is equivalent to difficult problems, i.e. NP-hard or even NP-complete. The locks to be lifted will therefore consist in the design of heuristics to answer these problems in finite time with an ``acceptable" response. The third step is to define a generic methodology for assessing the safety of a security infrastructure. In order to validate the proposed models and methodology, the thesis program provides for the development of a research demonstrator in the form of an evaluation platform. Finally, the last step will be to evaluate an existing system from the platform by implementing the proposed methodology. The objective of this last step is to validate the models and the methodology and to propose an improvement if necessary.


Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse ?

  • Bibliothèque : Arts et Métiers ParisTech. Centre d'enseignement et de recherche. Bibliothèque.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.