Séminaire SoSySec

Sécurité des logiciels et des systèmes

Accueil     Présentation     Archives

Première Journée défis technologiques de la cybersécurité


Évaluation des solutions de supervision de la sécurité

mots-clés : détection d'intrusion, supervision de la sécurité, NIDS, HIDS, SIEM, SOC, évaluation


Les journées "Défis technologiques de la cybersécurité" organisées par le pôle de recherche cyber ont vocation à réunir des acteurs de la cybersécurité, recherche académique, PME, grands groupes, administration afin de faire un point sur un sujet technologique important. L'objectif général de ces journées est de faire un état des lieux de la recherche, des meilleures pratiques industrielles et de travailler sur la définition d'une feuille de route qui servira de référence aux actions du pôle de recherche cyber et de ses partenaires dans ce domaine. A cette fin, la journée se compose d'exposés d'état de l'art donnés par les meilleurs experts du domaine et de sessions de travail parallèles destinées à faire des propositions d'orientations pour des projets de recherche. Les travaux de ces groupes font l'objet d'une restitution à la fin de la journée et son consolidés en une feuille de route transmise à l'ensemble des participants.


Le pôle de recherche cyber organise à Rennes, le 30 janvier 2017, une journée "défis technologiques de la cybersécurité" sur l'évaluation des solutions de supervision de la sécurité. Ce workshop d'une journée est à destination des chercheurs, des ingénieurs, des industriels et des institutionnels intéressés par la thématique de la supervision de sécurité et de l'évaluation de solutions de supervision.


La mise en place de solutions de supervision de sécurité (NIDS, HIDS, SIEM, SOC, etc.) est de plus en plus courante au sein des entreprises et des ministères. En effet, les mesures mises en œuvre pour protéger les systèmes ne peuvent prétendre couvrir toutes les menaces, d'autant plus que l'état de l'art des attaques évolue constamment. La supervision de sécurité constitue donc un complément indispensable à la sécurisation d'un système. Pourtant, aucune méthodologie d'évaluation de la qualité de la détection n'a été définie jusque là de manière satisfaisante.


En ne considérant que les NIDS, la problématique est déjà complexe, notamment du fait de la diversité des solutions en termes de données d'entrées, de possibilités de configuration et de la diversité des domaines d'application. D'autres difficultés plus spécifiques sont apparues récemment : comment évaluer les solutions de détection d'APTs fondées sur la fouille de données, alors que ces attaques se déroulent sur des temps très longs ?


En considérant les autres produits de supervision ou plus généralement une architecture de supervision, la problématique se complexifie encore et a été beaucoup moins étudiée. Un autre aspect souvent oublié lors des évaluations est celui de l'humain : tous les produits ont pour vocation de remonter de l'information à un opérateur, or la qualité de la remontée d'alertes est une caractéristique qui a été très peu évaluée.


Ce workshop est l'occasion d'aborder ces différentes problématiques pour en dresser un panorama complet et présenter les solutions existantes aujourd'hui. Des groupes de travail spécifiques seront également organisés pour définir les pistes à suivre pour répondre aux problématiques scientifiques et téchniques sans réponse aujourd'hui.


Programme prévisionnel :

  • 9h30 - 10h : accueil
  • 10h00 : David Lubicz - Introduction aux journées défis technologiques de la cybersécurité (5 min)
  • 10h05 : Frédéric Majorczyk - Introduction (10 min)
  • 10h15 : Hervé Debar - Télécom SudParis (25 min)
  • 10h40 : Philippe Wolf - System X (25 min)
  • 11h05 : Erwan Godefroy - DGA-MI - Eléments sur l'évaluation des outils de détection statistiques (15 min)
  • 11h20 : Amir Wonjiga - Inria - Evaluation d'architecture LID dans le cloud (15 min)
  • 11h35 : Pause
  • 11h45 : Guillaume Prigent - Diateam (25 min)
  • 12h10 : Gregory Fresnais - Cyber Test System - How to Test Your Cyber Defense Capabilities by Deploying Cyber Range Cyber Defense Training Center? (30min)
  • 12h40 : Frédéric Guihery - Amossys (25 min)
  • 13h05 : repas
  • 14h20 : Pierre Chifflier - Anssi (25 min)
  • 14h45 : Marie-Thérèse André - DGA-MI - Enjeux industriels et technologiques liés à la détection d'intrusion (15 min)
  • 15h00 : Groupes de travail - 1ère partie (45 min)
  • 15h45 : Pause
  • 16h00 : Groupes de travail - 2nde partie (30 min)
  • 16h30 : Restitution des groupes de travail (30 min)
  • 17h00 : Conclusion (15 min)
  • 17h15 : fin de la journée


Ces journées sont ouvertes au public. Pour participer, il suffit de vous inscrire en retournant à Karine Chatel karine.chatel@irisa.fr le formulaire suivant rempli :
Nom :
Prénom :
Affiliation :
Eventuellement GT auquel vous souhaitez participer parmi : évaluation des NIDS, évaluation des HIDS, évaluation de la corrélation, génération de jeux de données et génération de vie