Au sein de la sous-direction Opérations (SDO) et de la division Détection (DD), le bureau Dispositifs de Détection Réseaux (DDR) et son pendant le bureau Dispositifs de Détection Système (DDS) devraient fusionner fin 2025 en bureau Techniques et Logique de Détection (TLD). Il sera chargé de la conception des solutions logicielles et matérielles et des règles concourant à l’identification d’activités malveillantes.

Dans le cadre de la supervision réseau des systèmes d’information, certains systèmes de détection d’intrusion utilisent des signatures pour lever des alertes. Des travaux académiques montrent que 0,5% des règles sont responsables de plus de 80% des alertes [1]. De plus, une très faible proportion de ces alertes nécessite une investigation plus poussée (1.2% dans [1] et 0.01% dans [2]). La qualité des signatures influe ainsi directement sur la quantité et la qualité des alertes qui sont remontées aux analystes. Pour éviter de surcharger ces derniers, il est donc essentiel d’utiliser des signatures qui sont assez précises afin de réduire les faux positifs.

Dans ce contexte, l’objectif du stage est de concevoir une méthode pour analyser automatiquement les bases de signatures existantes, leur performance et étudier leur viabilité en pratique. Les sous-objectifs envisagés sont les suivants :

• Analyse quantitative du contenu des règles en utilisant des techniques de traitement du langage ;

• Recherche et analyse de trafic réseau labellisé en source ouverte ;

• Automatisation du passage de règles Suricata et de la collecte des alertes associées sur un environnement de test ;

• Génération automatisée de captures réseau pour déclencher des règles précises ;

• Exploration des données issues des alertes Suricata collectées, dont tri par volumétrie, type d’alerte/menace identifiée, répartition dans le SI, impact sur la performance.

[1] Mathew Vermeer, Michel van Eeten, Carlos Gañán, “Ruling the Rules: Quantifying the Evolution of Rulesets, Alerts and Incidents in Network Intrusion Detection”, ACM CCS 2022

[2] Limin Yang, Zhi Chen, Chenkai Wang, Zhenning Zhang, Sushruth Booma, Phuong Cao, Constantin Adam, Alexander Withers, Zbigniew Kalbarczyk, Ravishankar K. Iyer, and Gang Wang, “True Attacks, Attack Attempts, or Benign Triggers? An Empirical Measurement of Network Alerts in a Security Operations Center”, Usenix 2024

Vous avez des compétences solides en informatique et suivez une formation de niveau Bac+5 en école d’ingénieur ou cursus universitaire équivalent dans le domaine de la data science. Une appétence pour le réseau ou la cybersécurité sera appréciée.

Compétences requises

• Analyse de données, statistiques, apprentissage automatique ;

• Maîtrise du langage Python et des librairies communes pour le traitement de données (pandas, numpy, matplotlib, scikitlearn) ;

• Capacités de communication orale et écrite ;

• Maîtrise de l’anglais technique ;

• Des connaissances dans le domaine de la cybersécurité et en particulier en détection d’intrusion (élaboration de signatures, procédés de corrélation d’alertes, etc.) sera un atout.

Qualités attendues

• Rigueur ;

• Dynamisme, réactivité et disponibilité ;

• Autonomie et capacité à travailler en équipe ;

• Qualités relationnelles ;

• Esprit de synthèse ;

• Sens du service publique.

Si votre candidature est présélectionnée, vous serez contacté(e) pour apprécier vos attentes et vos motivations au cours d’un entretien téléphonique ou physique.

Des tests techniques pourront vous être proposés.