Profil | Etudiant en fin de bac en informatique ou en cours de master |
Prérequis | Bonnes capacité de programmation (ex. parcours de graphes) dans un langage tel que Java ou Python, connaissance de base de javascript (partie intégration) |
Durée | min 15 semaines, ampleur du travail modulée en fonction de la durée |
Département: Ingénierie logicielle basée sur les modèles et systèmes informatiques distribués ⊕
Expertises:
Ingénierie des systèmes IT complexes ⊕
Thème d'innovation: Cyber Sécurité ⊕
A propos du projet: CyberExcellence ⊕
Dans le cadre du plusieurs projets de cybersécurité notamment CyberExcellence et de grands défis industriels associés, le CETIC met en oeuvre de méthodes et outils de sécurisation de systèmes IT/OT complexes au moyen d’une démarche d’analyse de risques, dirigée par un processus DevSecOps et ciblant l’identification de scénarios de pénétration du système. Le travail proposé s’inscrit plus spécifiquement dans le cadre du grand défi sur la conception de test de pénétration dirigée par les risques.
Afin de soutenir une démarche d’analyse de risques ancrée dans des modèles et de l’intégrer plus largement dans des chaînes outillées automatisées, ce stage s’ancre dans la méthode outillée Open Source Monarc qui implémente les exigences de la norme ISO 27005. Il s’appuie également sur un éditeur permettant de modéliser la structure d’un système du point de vue de sa valeur métier et des biens de support (matériel/logiciel/réseau/personnes/...).
Sur base de cet existant, le travail consistera en l’exploitation des informations contenues dans le modèle du métier et de l’infrastructure, ainsi que de l’évaluation des risques afin de produire des scénarios de pénétration du système les plus pertinents d’un point de vue de leur faisabilité technique et probabilité de succès. Il prendra en tenant compte les dimensions relatives aux impacts, menaces, vulnérabilités ainsi que des mesures déjà en place. Diverses techniques pourront être envisagées et combinées : découpage en phase de pentesting, exploration de graphes, patterns d’attaques, prise en compte des informations détaillées de CVE, techniques d’IA/ML,...
Une liste indicative de tâches structurant le stage est la suivante :
Les tâches à réaliser suivront le schéma suivant qui sera réalisé selon une gestion de projet agile. Les premiers sprints seront plus dédiés à la prise de connaissance, les sprints suivants au développement avec un retour de validation permettant de diriger le travail. Les derniers sprints incluront plus d’effort de stabilisation, test, documentation et rédaction.
Le travail se fera au sein de l’équipe d’experts en cybersécurité du département MBEDIS. Il impliquera aussi des contacts réguliers avec certains partenaires et industriels associés au grand défi 2 du projet CyberExcellence, notamment dans le cadre de groupes de travail.