Extension d'un outil d'analyse de risques

Extension d’un outil d’analyse de risques

Profil Etudiant en fin de bac en informatique ou en cours de master
Prérequis Bonnes notions de programmation en langage PHP et Javascript (nodeJS)
Durée min 15 semaines, ampleur du travail modulée en fonction de la durée

Département: Ingénierie logicielle basée sur les modèles et systèmes informatiques distribués 

Expertises:

Ingénierie de systèmes IT complexes 

Thème d'innovation: Cyber Sécurité 

A propos des projets

    CYRUS  CyberExcellence 

Contact : Christophe Ponsard

Contexte

Dans le cadre du plusieurs projets de cybersécurité notamment CYRUS et CyberExcellence et de grands défis industriels associés, le CETIC met en oeuvre de méthodes et outils de sécurisation de systèmes IT complexes ancré dans une démarche d’analyse de risques et dirigé par un processus DevSecOps.

Analyse des risques

Afin de soutenir une démarche d’analyse de risques ancrée dans des modèles et de l’intégrer plus largement dans des chaînes outillées automatisée, ce stage cible une série d’extensions à la méthode outillée Open Source Monarc qui implémente les exigences de la norme ISO 27005. Les principales extensions envisagées concernent une meilleure gestion de la modélisation de l’infrastructure, le soutien à des techniques de modularisation/segmentation, la production de résultats en sortie plus diversifiés tels que des esquisses de plans de tests, des rapports ciblant des acteurs spécifiques (ex. sous-traitant), ou encore des API d’interfaçage vers d’autres outils d’une chaîne DevSecOps.

Cartographie des risques actuels et résiduels

Travail à réaliser

Le travail consistera à étendre les fonctionnalités de l’outil dans une ou plusieurs des pistes évoquées ci-dessus. Un sujet plus précis sera établit sur base des compétences de l’étudiant en regard de la complexité, de la durée du stage et des uses cases industriels défini notamment au niveau d’un grand défi sur la conception de test de pénétration dirigée par les risques. Une liste non-exhaustive de tâches est la suivante :
- la prise en main de la méthode et de l’outil Monarc comme utilisateur
- la configuration d’un environnement de développement (plusieurs options possibles, notamment vagrant, WSL)
- la réalisation d’une ou plusieurs extensions (incluant a minima un éditeur d’infrastructure et une génération de rapport dédiée)
- la validation dans le cadre des uses cases industriel du grand défi et sur une base de données d’analyse de risques

Les tâches à réaliser suivront le schéma suivant qui sera réalisé selon une gestion de projet agile
- niveau utilisateur : comprendre le domaine de la cybersécurité et de la méthode Monarc
- niveau développeur : comprendre le fonctionnement de l’outil associé
- analyser le problème et le découper en taches successives de complexité croissante à réaliser dans des sprints successifs
- sprints : implémenter les fonctionnalités et les valider sur base de cas également de complexité croissante et avec un retour industriel
- derniers sprints : générer un outil déployable aisément, documenter, rédiger le rapport

Informations complémentaires

Le travail se fera au sein de l’équipe d’experts en cybersécurité du département MBEDIS. Il impliquera aussi des contacts réguliers avec certains partenaires et industriels associés au grand défi 2 du projet CyberExcellence.

Références

- Grand défi 2
- Site web Monac
- Analyse du projet sur OpenHub