Ontologie de playbook pour la réponse à incident

During the last few years, the world of information technology has kept growing until it became omnipresent in our society. Today, companies depend on their IT environment. Their data and their activities pass through their information systems. This makes them a prime target for attackers and it is not a coincidence that the number of attacks has been increasing over the years. To deal with this, companies are deploying various defense mechanism. The objective is to protect their assets, to detect potential security breaches and to respond as efficiently as possible. However, the multiplication of attacks and their increasing complexity present news challenges to traditional defense methods. Security incident response capabilities are no longer sufficient. Indeed, analysts increasingly struggles to manually process the large volume of alerts they receive. It is necessary to find new alternatives in order to solve these new challenges that the IT security world is facing today. This is why new concepts were born. SOAR (Security Orchestration Automation & Response) in particular, whose recent arrival in the world of IT security is seen as relevant. This master's thesis presents work based on the use of ontologies to enable the automation of incident response using SOAR.

Résumé

Durant ces dernières années, le monde de l’informatique n’a cessé de se développer jusqu’à devenir omniprésent dans notre société. Aujourd’hui, les entreprises sont dépendantes de leur environnement informatique. Leurs données et leurs activités passent par leurs systèmes d’information. Cela en fait une cible de choix pour les attaquants et ce n’est pas un hasard si le nombre d’attaques n’a cessé d’augmenter au cours des années. Pour faire face à cela, les entreprises déploient divers mécanismes de défense. L’objectif est de protéger leurs actifs, de détecter de potentielles brèches de sécurité et d’y répondre le plus efficacement possible. Cependant, la démultiplication des attaques ainsi que leur complexification posent d’énormes problèmes aux méthodes de défense traditionnelles. Les capacités de réponse aux incidents de sécurité ne sont plus suffisantes. En effet, les analystes peinent de plus en plus à traiter manuellement le volume important d’alertes qu’ils reçoivent. Il est nécessaire de trouver de nouvelles alternatives afin de faire face à ces nouveaux défis que rencontre aujourd’hui le monde de la sécurité informatique. C’est ainsi que de nouveaux concepts ont vu le jour. Celui de SOAR (Security Orchestration Automation & Response) notamment, dont l’arrivée récente dans le monde de la sécurité informatique est perçu comme opportune. Ce mémoire de maîtrise présente des travaux basés sur l’utilisation des ontologies afin de permettre l’automatisation de la réponse à incident à l’aide de ce nouvel outil qu’est le SOAR.