Abstract EN:

Nous présentons dans cette thèse une nouvelle approche de réponse face aux menaces auxquelles les systèmes informatiques sont soumis. Cette approche est basée sur l'intégration de la notion de contre-mesure au sein même de la politique de sécurité. En particulier, la notion de contexte permet d'évaluer l'état courant du système, et d'exprimer la politique en fonction de cet état. Pour ce faire, le modèle de contrôle d'accès basé sur l'organisation (Or-BAC) est utilisé, distinguant la définition générique de la politique de son implémentation effective en fonction du contexte. Le contexte intègre aussi bien des paramètres spatiaux et temporels que des paramètres plus proprement liés au domaine de la sécurité opérationnelle, comme les alertes remontées par les systèmes de détection d'intrusions (IDS). Ces alertes permettent la caractérisation de la menace à laquelle est soumis le système d'information à un instant donné. Des contextes de menace sont instanciés par notre système de réponse, permettant de déclencher des mises a jour de la politique et son déploiement subséquent. Ainsi, le système est capable d'adapter dynamiquement ses paramètres de fonctionnement en considérant notamment la menace. Nous proposons une approche innovante établissant le lien entre la politique de sécurité et l'un des principaux moyens qui permet d'encontrôler le respect, à savoir les systèmes de détection d'intrusions. Ce lien n'existait pas jusqu'alors, c'est-à-dire que les violations de la politique de sécurité détectées par les IDS n'avaient que peu de conséquences sur les exigences de la politique de sécurité effectivement implementées par les points d'application. Pourtant, force est de constater que l'implementation de la politique ne doit pas être statique. En particulier, nous montrons qu'il est possible de gérer dynamiquement l'accès aux services et aux ressources en fonction de la menace. En outre, ce travail fournit un début de réponse a la problématique de la réactivité et de la pertinence de la réponse face aux menaces. La réponse aux attaques informatiques est le plus souvent gérée manuellement par l'opérateur de sécurité. Ce même opérateur de sécurité manque malheureusement bien souvent de réactivité et de discernement pour répondre de manière adéquate à la menace, notamment parce qu'il est bien souvent noyé sous le flot des alertes ; le travail d'analyse est fastidieux et difficile au vu du nombre de paramètres a considérer. D'un autre côté, les attaques se multiplient, les attaquants mettent de moins en moins de temps a pénétrer les systèmes et à produire des dégâts qui peuvent rapidement se chiffrer en millions d'euros pour les entreprises. Automatiser la réponse est donc une nécessité.