Modélisation et analyse des risques de sécurité dans les systèmes complexes

Enseignant : Jean Leneutre

Cours :

L’enseignement porte sur la sécurité des systèmes d’Information avec une forte orientation sur la modélisation des risques pour les systèmes complexes.
L’objectif est dans un premier temps de présenter les méthodes classiques (informelles) d’analyse de risques de sécurité pour ces systèmes. Les limitations de ces méthodes sont une justification à l’introduction d’approches plus formelles.
Des exemples d’application sont pris dans le contexte de la sécurité des systèmes industriels. Les aspects d’interdépendances entre sécurité et sûreté de fonctionnement sont aussi une problématique émergente qui sera abordée.
Méthodes informelles d’analyse de risques de sécurité (ISO27005, EBIOS, Mehari, Cramm, Octave, ….)
Méthodes et outils pour la modélisation des attaques et défense
– Arbres d’attaques
– Arbres d’attaques défense
– Réseaux bayésiens pour la sécurité
– Graphes d’attaques
Méthodes quantitatives pour l’analyse de risques
– Adversary-driven state-based system security evaluation (ADVISE)
– Approches basées sur la théorie des jeux,…
Approches jointes Sécurité/Sûreté de fonctionnement
Applications à la sécurité des systèmes complexes/industriels
– Stratégies de défense optimales dans les smartgrids
– Gestion des patchs dans les systèmes critiques
– Détection d’intrusion dans les systèmes SCADA

TD : 10.5 heures de TD pour 10.5 heures de cours.

Prérequis :