Reacting to “N-Day” Vulnerabilities in Information Systems

Defense type
Thesis
Starting date
End date
Location
IRISA Rennes
Room
Métivier
Speaker
Clément ELBAZ (MYRIADS)
Theme

Reacting to “N-Day” Vulnerabilities in Information Systems

Les vulnérabilités n-day sont des vulnérabilités logicielles et matérielles publiques, récemment divulguées, mais pas encore bien connues. Des vulnérabilités n-day passées comme Heartbleed, Shellshock et EternalBlue ont déjà eu un impact important sur des milliers de systèmes d’information et organisations autour du globe. Durant les premiers jours après la divulgation d’une vulnérabilité, les informations préliminaire à propos de celle ci ne sont pas disponibles dans un format lisible automatiquement, ce qui retarde l’usage de processus automatisés de gestion de vulnérabilité. Cette situation créée une période de temps où seule une coûteuse analyse manuelle peut être utilisée pour réagir à une nouvelle vulnérabilité car aucune donnée n’est disponible pour des analyses automatisées moins coûteuses. Nous proposons plusieurs contributions visant d’une part à automatiquement analyser les vulnérabilités

récemment divulguées pour prédire leurs propriétés inhérentes (comme le logiciel ou matériel qu’elles affectent, ou leur sévérité), et d’autre part à automatiquement évaluer le risque qu’elles posent à un système d’information
donné. Nos contributions prennent place dans une stratégie complète de mitigation du risque posé par les vulnérabilités pour les systèmes d’information.

Composition of the jury
- Hervé Debar, Professeur à Télécom SudParis - Rapporteur
- Olivier Festor, Professeur à l'Université de Lorraine - Rapporteur
- Rémi Badonnel, Maître de conférences à l'Université de Lorraine - Examinateur
- Anaël Beaugnon, Data Scientist à Roche - Examinatrice
- Sophie Pinchinat, Professeur à l'Université de Rennes 1 - Examinatrice
- Sasha Romanosky, Senior Policy Researcher à RAND Corporation - Examinateur
- Eddy Caron, Maître de conférences, HDR à l'ENS Lyon - Invité
- Louis Rilling, Ingénieur-chercheur à DGA Maîtrise de l’Information - Co-directeur de thèse
- Christine Morin, Directrice de recherche à Inria Rennes-Bretagne Atlantique - Directrice de thèse


[Présence en salle Metivier limitée aux membres du jury]