Séminaire ISID : Application des outils du « Machine Learning » pour l’investigation numérique dans des gros volumes de logs

Carte non disponible

Date/heure
Date(s) - 06/02/2020
14 h 00 - 15 h 00

Séminaire ISID : Application des outils du « Machine Learning » pour l'investigation numérique dans des gros volumes de logs

Emplacement
Amphithéâtre Laussédat (31.3)

Catégories Pas de Catégories


L’équipe ISID a le plaisir de vous convier au séminaire qu’elle organise le 6 février 2020 de 14h à 16h en amphithéâtre Laussédat.  Nous accueillerons  Véronique Legrand (Professeur Titulaire de la Chair sécurité informatique du Cnam) et Eric Filiol (Professeur d’université et consultant senior en cyber sécurité et en renseignement)

Pour un exposé intitulé :    Application des outils du « Machine Learning » pour l’investigation numérique dans des gros volumes de logs

Résumé

Les dispositifs de supervision de la sécurité visent le maintien de la confidentialité, l’intégrité, la disponibilité et la traçabilité. Ils disposent, pour cela, de fonctions de détection d’anomalies et d’analyse d’incidents de sécurité. En cas d’écart, une alerte est émise. Après analyse de cette alerte, l’expert engage une investigation pour expliquer les causes de l’incident de sécurité. En place depuis les années 90, ces dispositifs guident avec efficacité l’expert dans son analyse locale du système cible en s’appuyant sur ses expériences et sur des référentiels de sécurité. Néanmoins, à l’heure actuelle, l’automatisation de l’investigation doit faire face à de nouveaux enjeux liés au besoin d’analyse globale d’’infrastructures émergentes : « edge », « fog », « cloud ». La dernière génération d’outils, développés autour du concept de vision globale, que sont les outils SIEM (Security Information and Events Management) se sont adaptés au contexte du big-data pour collecter et centraliser l’ensemble des journaux d’évènements générés par une multitude d’équipements interconnectés. Cependant, les méthodes et bases de connaissances n’ont pas évolué depuis les années 90 et leurs structures ne sont pas adaptées à une analyse globale. Ces outils SIEM produisent des quantités importantes de faux-positifs et de faux-négatifs. En parallèle, les journaux collectés concernent les infrastructures « backbone » des entreprises, laissant sans surveillance les autres équipements ou environnement en source ouverte, comme les réseaux sociaux, les objets connectés, les « end point », « CPS » ou « objets virtualisés ». En somme, les outils et méthodes actuels ne se prêtent pas à l’automatisation du processus d’investigation. L’emploi des outils de Machine Learning (ML) est une perspective prometteuse pour automatiser ce processus.
Le séminaire commencera par une revue de l’état de l’art et la présentation des premiers travaux menés dans le cadre du projet HuMa : un ensemble d’outils et méthodes d’analyse globale reposant sur un framework multi-analyse à base de Machine Learning (ML) capable de guider l’investigateur. Les premières conclusions ont montré l’intérêt d’utiliser le Machine Learning (ML) pour guider l’expert et améliorer certains traitements big-data. Il se poursuivra ensuite par une présentation des méthodes d’investigation en source locale et ouvertes.

Bio

Véronique Legrand est professeur au CNAM, titulaire de la chaire de sécurité informatique. Depuis 2017, elle développe son activité de « Threat modeling and reasoning » au sein de l’équipe émergente EESD du Cnam (futur laboratoire « Sécurité-Défense-Renseignement » du Cnam, en cours de création). Ses tous premiers travaux de recherche ont concerné la cryptographie par attribut fondée sur l’historique des échanges. Actuellement, elle s’intéresse au processus d’investigation et en particulier à la fouille dans les journaux d’événements en vue de l’extraction de connaissances en s’appuyant sur les outils de représentation des connaissances (KM) et d’apprentissage automatique (ML).Véronique Legrand possède également une solide expertise industrielle pour les applications de supervision et d’analyse de la sécurité. Elle a exercé une activité industrielle qui lui a permis de réaliser pendant plus de 15 ans des missions de consulting et d’ingénierie en réseaux, télécoms et systèmes. Elle a dirigé la RD au sein de plusieurs entreprises « pure player » de la sécurité.

Éric Filiol a le grade de Professeur d’Université. Il est expert en cryptologie et virologie informatique. Il est actuellement :

  • Consultant senior en cyber sécurité et en renseignement,
  • Professeur Associé à l’ENSIBS (École Nationale Supérieure d’Ingénieurs de Bretagne-Sud),
  • Professeur Associé à l’université Lomonossov (Moscou State University) et au Higher School of Economics de Moscou.

Eric Filiol a dirigé, pendant 12 ans, la recherche du groupe ESIEA (Grande École d’ingénieurs dédiée à l’enseignement et à la recherche en sciences et technologies du numérique) et son laboratoire de cyber sécurité. Il détient plusieurs certifications OTAN dans le domaine du renseignement. Il est éditeur en chef du journal de recherche « Journal in Computer Virology and Hacking Techniques ».

Haut