Inria (équipe RESIST et Laboratoire de haute sécurité), l’Université Internationale de Rabat (TICLab), et l’Université Carnegie-Mellon (CASOS) ont entamé en décembre 2017 une collaboration d’une durée de 3 ans dans le cadre du projet ThreatPredict. Ce projet financé par l’OTAN vise à prédire pour mieux les prévenir, les menaces pouvant survenir sur Internet.
La sécurité informatique est un enjeu de plus en plus crucial. Au delà de l’impact économique pour les entreprises et personnes touchées, l’augmentation constante de la place que prend le numérique dans nos vies entraîne une progression des risques sur nos sociétés.
Le projet ThreatPredict a été officiellement lancé en décembre 2017 et présenté par Jérôme François à RESSI 2018 de façon à lutter contre ces risques.
Les équipes analysent pour cela des données hétérogènes : données de référence telles que CAPEC, CWE, CVE (listes recensant des vulnérabilités informatiques), sociétales, promotionnelles, ainsi que des tendances issues des réseaux sociaux (notamment Twitter) en vue de prédire les menaces. La difficulté majeure réside dans le nombre de sources à intégrer, sachant qu’elles sont chacune de nature différente. Le défi consiste à mettre au point des modèles prédictifs en combinant des données techniques, telles que celles collectées par des sondes de sécurité par exemple, et des données non techniques, issues notamment des médias sociaux.
Les contributions attendues du projet sont les suivantes:
- Agrégation des données au sein d’un unique dépôt de données.
- Corrélation des données.
- Prédiction des menaces.
Les utilisateurs finaux des résultats obtenus seront l’US Army (Etats-Unis), la Direction Générale de la Sécurité des Systèmes d’Information (Maroc) et Thalès (France).
Des résultats préliminaires sur la corrélation des données ont été présentés
De premiers résultats ont été présentés à l’IEEE Netsoft 2018, dans le cadre de l’atelier ETSN. La publication de Quang-Vinh Dang et Jérôme François à cette occasion se penche sur une méthodologie de structuration des sources d’informations à propos des vulnérabilités SDN (Software Defined Networking, technologies visant à rapprocher les applications de la gestion du réseau, permettant notamment à des applications de gérer la programmation du réseau) et NFV (Network Function Virtualization, virtualisation des fonctions réseau). L’objectif est de modéliser le lien entre les vulnérabilités recensées sur CAPEC, CWE et CVE au travers d’une prédiction de lien et d’une recommandation de lien. Les solutions mises en oeuvre pour cela reposent sur une approche à base de graphe et sur TF-IDF.
La publication peut être consultée à l’adresse suivante : https://hal.inria.fr/hal-01763368v2
Les résultats définitifs, notamment les travaux sur la prédiction des menaces, auront vocation à être partagés au terme du projet en décembre 2020.
