Analyse Contextuelle d'Evénements Sécurité – ACES

Le projet ACES s'intéresse à la valorisation des informations liées à la gestion des systèmes d'information et des réseaux, dans un contexte de sécurité opérationnelle du système ou réseau surveillé. Nous désirons, dans un cadre de gestion de la sécurité, évaluer le réel risque présenté par un ensemble d'alertes, en fonction des informations topologiques et de configuration disponibles. Cette valorisation intervient à travers le développement de trois gestionnaires (contexte, configuration et corrélation) qui permettent de collecter les informations contextuelles pertinentes, de configurer les mécanismes de surveillance, et de corréler les alertes pour faire apparaître le risque réel et ordonner les contre-mesures.

1) Introduction

Le projet ACES s'intéresse à la valorisation des informations contextuelles décrivant le fonctionnement d'un système d'information, afin d'apporter une évaluation précise du risque réel encouru du fait d'actions malveillantes en cours. D'un coté, l'administration de systèmes et réseau collecte des informations contextuelles (configuration, topologie, applications); de l'autre, l'administration de la sécurité met en place des sondes pour visualiser les attaques au travers de l'émission d'alertes. Nous souhaitons intégrer l'ensemble de ces informations pour réaliser trois composants logiciels:

1. un gestionnaire de contexte, chargé de recueillir, d'unifier et d'actualiser des informations contextuelles hétérogènes,

2. un gestionnaire de configuration, chargé d'optimiser la collecte des alertes et d'assurer une couverture optimale de la surveillance du fonctionnement du SI en temps réel, et

3. un gestionnaire de corrélation, pour évaluer les alertes fournies par les sondes en fonction du contexte, d'évaluer précisément le risque réel encouru par le système d'information surveillé, et de prioriser les risques et les contre-mesures.

Le projet ACES s'inscrit dans l'objectif sécurité du présent appel du RNRT.
Nous apportons des solutions aux points e) (sécurité des systèmes d'information -- détection d'intrusions et systèmes de leurres) et f) (sécurité des réseaux -- Evaluation réaliste des vulnérabilités sur le plan opérationnel) de l'objectif sécurité de l'appel. En effet, l'objectif final du projet est bien de fournir une solution qui permette d'évaluer et de gérer de façon réaliste les vulnérabilités d'un système d'information sur un plan opérationnel. Pour ce faire, nous intégrons dans une solution originale des systèmes de détection d'intrusions et des systèmes de leurre, situés non seulement au sein du système à protéger mais également disséminés dans le monde entier.

2) Objectifs du projet

Il existe, sur chacun des trois gestionnaires logiciels, des solutions partielles, manuelles et propriétaires. L'intérêt du projet réside dans d'une part une vue globale du problème associée à une approche systématique d'investigation des sources de données, et d'autre part en une évaluation précise des risques opérationnels, permettant la mise en place de systèmes automatisés de gestion du risque opérationnel intégrés à la corrélation d'alertes.

Les innovations technologiques du projet sont portées par chacun des trois composant