Pedro Merino Laso
Directeur(s): John Puentes
Encadrant(s): David Brosset
SUJET DE THÈSE
Détection de dysfonctionnements et d’actes malveillants basée sur des modèles de qualité de données multi-capteurs
La première soutenance de thèse a eu lieu le 7 décembre 2017 et Pedro Merino Laso a obtenu et reçu le grade et diplôme de docteur d’IMT Atlantique.
Les systèmes cyber-physiques sont aujourd'hui utilisés dans de nombreux domaines comme le transport, l'industrie, la maison connectée et l'internet des objets. De par leur importance et criticité, la sécurité de ces systèmes devient un enjeu majeur. Le domaine naval est un cas particulier de système cyber-physique, dans lequel un réseau de capteurs embarqués permet de naviguer en sécurité, sur les routes optimales. Ces systèmes en constante évolution, intègrent souvent des connections vers l'extérieur permettant une surveillance et un contrôle à distance.
Les systèmes cyber-physiques ont cependant été faiblement sécurisés, du fait de la grande importance donnée au fonctionnement optimal et performant. Par conséquent, la rapidité de traitement fut au cœur de la conception au détriment de la sécurité. Actuellement, les systèmes traditionnels de détection et de réaction contre les cyber-menaces ne sont pas adéquats, ni dans le cadre des systèmes cyber-physiques, ni des systèmes navals, à cause par exemple, de la limitation des réponses en temps réel. L’objectif de ce sujet de thèse est de définir une méthodologie de détection d'anomalies et en particulier de cyber-attaques sur les flux des capteurs, en mesurant la qualité des données et des informations qui en découlent. Grâce à cette détection, nous cherchons à éviter ou modifier les décisions basées sur des informations anomales selon le problème subi.
Travaux réalisés
Première année
La thèse a commencé avec une étude exhaustive des travaux existants sur les différents axes du sujet. Les particularités des systèmes cyber-physiques, et plus précisément de ceux embarquées sur des bâtiments navals comme systèmes SCADA, ont été analysées en détail. Ainsi, le domaine de la détection d'anomalies et cyber-attaques à été étudié pour détecter leurs faiblesses et comment la qualité de données pourrai apporter un nouveau point de vu sur cette problématique. De la même façon, l’état de l'art sur la qualité des données a été parcouru. L’inexistence de travaux adaptés aux systèmes cyber-physiques ont guidé la suite la suite de la thèse. Un rapport avec l'état de l'art a culminé la fin de cette étape.
Les pistes identifiées pendant la première étape ont été explorées en détail. Leur exploitation a donné comme résultat l'écriture d'un article. Ce premier article étend la qualité de données vers les systèmes cyber-physiques en analysant leurs dimensions de qualité et en introduisant une méthodologie de mesure de la qualité de leur flux de données.
Deuxième année
À partir de différentes expérimentations nous avons démontré que les anomalies et les cyber-attaques, considérées comme anomalies provoquées, ont un impact sur la qualité. Par conséquent, une méthode de détection d'anomalies a été présentée à partir des mesures de qualité. Ce résultat a mené à l'écriture d'un deuxième article avec la présentation d'une technique qui permet la détection et la catégorisation d'anomalies sur les systèmes cyber-physiques.
Ces deux articles ont été refusés à cause du manque d'un cas d'étude solide et l’expérimentation sur de vraies données. Ce pour cela, que la recherche de données a guidé les travaux de la deuxième année de thèse. Un simulateur de données radar fourni par Thales a été exploré ainsi que des collaborations avec d'autres organismes de recherche mais on n'a pas réussi à avoir les résultats désirés. Finalement, la plateforme utilisée par le cyber-challenge interarmées a permis de créer un cas d’étude plus pertinents et les articles ont été acceptés pour leur publication. Aussi, l'achat d'un drone aérien ouvre la possibilité à résoudre cette problématique.
Troisème année
La troisième année débute avec la création d'un dataset à partir des expérimentations avec la plateforme. Ce dataset permettra de partager avec d’autres chercheurs 15 fichiers de logs avec différents types d'intrusions sur un sous-système critique. La rédaction d'une publication permettra leur diffusion. Un deuxième cas d’application a été développé et implique deux drones aériens et onze scénarios de risque ont été étudiés. Un article de journal est en cours de soumission.
Soutenance
Le jury était composé des personnes suivantes :
Depuis l’obtention de son doctorat, Pedro Merino Laso a rajoint l’ENSM à Nantes et continue ses activités de recherche dans le domaine maritime et la cyber-sécurité.
Publications
- Merino Laso, D. Brosset, J. Puentes, Monitoring Approach of Cyber-physical Systems by Quality Measures. 7th European Alliance for Innovation International Conference on Sensor Systems and Software (S-Cube), décembre 2016. 12 pp.
- Merino Laso, D. Brosset, J. Puentes, Analysis of Quality Measurements to Categorize Anomalies in Sensor Systems. IEEE Science and Information Conference (SAI) Londres, juillet 2017. 9 pp.
- Brosset, Y. Kermarrec, P. Merino Laso, B. Costé, C. Cavelier, Cr@ck3n: a cyber alerts visualization object. International Conference on Cyber Situational Awareness, Data Analytics and Assessment 2017 (CyberSA 2017), London, UK
- Yvon Kermarrec, Xavier Boudvin, Gael Héno, David Brosset, Benjamin Costé and Pedro Merino Laso. Generating data sets as inputs of reference for Cyber security issues and industrial control systems (ICS). IEEE Eleventh International Conference on Research Challenges in Information Science, 2017, Brighton, United Kindgom
- Merino Laso, D. Brosset, J. Puentes, Dataset of anomalies and malicious acts on a cyber-physical subsystem. Data in brief. Elsevier Journal.
- Merino Laso, Détection de dysfonctionements et d'actes malveillants basée sur des modèles de qualité de données multi-capteurs , Thèse de doctorat en Informatique.
