Détection dynamique des intrusions dans les systèmes informatiques

La democratisation d’Internet, couplee a l’effet de la mondialisation, a pour resultat d’interconnecter les personnes, les etats et les entreprises. Le cote deplaisant de cette interconnexion mondiale des systemes d’information reside dans un phenomene appele « Cybercriminalite ». Des personnes, des groupes mal intentionnes ont pour objectif de nuire a l’integrite des systemes d’information dans un but financier ou pour servir une cause. Les consequences d’une intrusion peuvent s’averer problematiques pour l’existence d’une entreprise ou d’une organisation. Les impacts sont synonymes de perte financiere, de degradation de l’image de marque et de manque de serieux. La detection d’une intrusion n’est pas une finalite en soit, la reduction du delta detection-reaction est devenue prioritaire. Les differentes solutions existantes s’averent etre relativement lourdes a mettre place aussi bien en matiere de competence que de mise a jour. Les travaux de recherche ont permis d’identifier les methodes de fouille de donnees les plus performantes mais l’integration dans une systeme d’information reste difficile. La capture et la conversion des donnees demandent des ressources de calcul importantes et ne permettent pas forcement une detection dans des delais acceptables. Notre contribution permet, a partir d’une quantite de donnees relativement moindre de detecter les intrusions. Nous utilisons les evenements firewall ce qui reduit les besoins en terme de puissance de calcul tout en limitant la connaissance du systeme d’information par les personnes en charge de la detection des intrusions. Nous proposons une approche prenant en compte les aspects techniques par l’utilisation d’une methode hybride de fouille de donnees mais aussi les aspects fonctionnels. L’addition de ces deux aspects est regroupe en quatre phases. La premiere phase consiste a visualiser et identifier les activites reseau. La deuxieme phase concerne la detection des activites anormales en utilisant des methodes de fouille de donnees sur la source emettrice de flux mais egalement sur les actifs vises. Les troisieme et quatrieme phases utilisent les resultats d’une analyse de risque et d’audit technique de securite pour une prioritisation des actions a mener. L’ensemble de ces points donne une vision generale sur l’hygiene du systeme d’information mais aussi une orientation sur la surveillance et les corrections a apporter. L’approche developpee a donne lieu a un prototype nomme D113. Ce prototype, teste sur une plate-forme d’experimentation sur deux architectures de taille differentes a permis de valider nos orientations et approches. Les resultats obtenus sont positifs mais perfectibles. Des perspectives ont ete definies dans ce sens.