Inférence de scénarios de pénétration depuis un outil d'analyse de risques

Inférence de scénarios de pénétration depuis un outil d’analyse de risques

Profil Etudiant en fin de bac en informatique ou en cours de master
Prérequis Bonnes capacité de programmation (ex. parcours de graphes) dans un langage tel que Java ou Python, connaissance de base de javascript (partie intégration)
Durée min 15 semaines, ampleur du travail modulée en fonction de la durée

Département: Ingénierie logicielle basée sur les modèles et systèmes informatiques distribués 

Expertises:

Ingénierie des systèmes IT complexes 

Thème d'innovation: Cyber Sécurité 

A propos du projet: CyberExcellence 

Contact : Christophe Ponsard

Contexte

Dans le cadre du plusieurs projets de cybersécurité notamment CyberExcellence et de grands défis industriels associés, le CETIC met en oeuvre de méthodes et outils de sécurisation de systèmes IT/OT complexes au moyen d’une démarche d’analyse de risques, dirigée par un processus DevSecOps et ciblant l’identification de scénarios de pénétration du système. Le travail proposé s’inscrit plus spécifiquement dans le cadre du grand défi sur la conception de test de pénétration dirigée par les risques.

Analyse des risques

Afin de soutenir une démarche d’analyse de risques ancrée dans des modèles et de l’intégrer plus largement dans des chaînes outillées automatisées, ce stage s’ancre dans la méthode outillée Open Source Monarc qui implémente les exigences de la norme ISO 27005. Il s’appuie également sur un éditeur permettant de modéliser la structure d’un système du point de vue de sa valeur métier et des biens de support (matériel/logiciel/réseau/personnes/...).

Editeur

Travail à réaliser

Sur base de cet existant, le travail consistera en l’exploitation des informations contenues dans le modèle du métier et de l’infrastructure, ainsi que de l’évaluation des risques afin de produire des scénarios de pénétration du système les plus pertinents d’un point de vue de leur faisabilité technique et probabilité de succès. Il prendra en tenant compte les dimensions relatives aux impacts, menaces, vulnérabilités ainsi que des mesures déjà en place. Diverses techniques pourront être envisagées et combinées : découpage en phase de pentesting, exploration de graphes, patterns d’attaques, prise en compte des informations détaillées de CVE, techniques d’IA/ML,...

Une liste indicative de tâches structurant le stage est la suivante :

  • la prise en main comme utilisateur de la méthode et de l’outil Monarc ainsi que de l’outil de modélisation existant
  • prise de connaissance sur les techniques de pénétration d’un système et des techniques et outils de modélisation des scénarios d’attaque
  • la configuration d’un environnement de développement et de validation pour le stage
  • conception d’algorithmes pour générer des scénarios en partant de techniques simples, en les élaborant et combinant progressivement sur base de retours de validation
  • la validation dans le cadre des uses cases industriels du grand défi et sur une base de données d’analyse de risques, notamment en comparant avec des scénarios produits indépendamment par des experts ou d’autres outils
  • intégration dans le front-end Monarc et documentation

Les tâches à réaliser suivront le schéma suivant qui sera réalisé selon une gestion de projet agile. Les premiers sprints seront plus dédiés à la prise de connaissance, les sprints suivants au développement avec un retour de validation permettant de diriger le travail. Les derniers sprints incluront plus d’effort de stabilisation, test, documentation et rédaction.

Informations complémentaires

Le travail se fera au sein de l’équipe d’experts en cybersécurité du département MBEDIS. Il impliquera aussi des contacts réguliers avec certains partenaires et industriels associés au grand défi 2 du projet CyberExcellence, notamment dans le cadre de groupes de travail.

Références