Planification et orchestration adaptatives et automatisées des réponses à incidents // Adaptive and Automated Planning and Orchestration of Incident Responses
|
ABG-130117
ADUM-64134 |
Sujet de Thèse | |
| 27/03/2025 | Autre financement public |
Université de Toulouse
Toulouse cedex 4 - France
Planification et orchestration adaptatives et automatisées des réponses à incidents // Adaptive and Automated Planning and Orchestration of Incident Responses
- Informatique
Cybersécurité , Détection d'incidents et orchestration
Cybersecurity , Security Orchestration
Cybersecurity , Security Orchestration
Description du sujet
Les cyberattaques se complexifient et évoluent rapidement, exploitant des vulnérabilités toujours plus sophistiquées. La détection d'un incident ne signifie pas sa résolution immédiate, selon le dernier rapport d'incidentologie [1], interCERT France révèle que MTTR (Mean-Time-To-Respond) moyen, i.e. le temps moyen de résolution des incidents de cybersécurité une fois détecté, est de 28,5 jours dans les grandes entreprises. Ce chiffre souligne les limites des méthodes actuelles, souvent trop lentes pour faire répondre à des menaces en constante évolution et de plus en plus sophistiquées. Face à cette réalité, la nécessité de solutions de cybersécurité automatisées et adaptatives devient urgente.
Pour accélérer la réponse aux incidents, des solutions telles que SOAR (Security Orchestration, Automation and Response) ou XDR (eXtended detection and response) ont émergé pour tenter de répondre à cette problématique en promettant d'automatiser l'orchestration d'une partie des processus de sécurité afin d'améliorer la rapidité et l'efficacité de la détection et réponse aux incidents [2]. Cette automatisation (qui peut être aussi de la semi-automatisation car les procédures peuvent inclure des actions effectuées par des êtres humains) se fait au moyen de scripts appelés playbooks qui décrivent les séquences d'actions à mener en cas d'incident [3], [4].
Pour adresser les limitations des solutions existantes, l'objectif de cette thèse est donc de proposer un cadriciel permettant de planifier, d'orchestrer et de déployer dynamiquement des réponses globales aux incidents. Ces actions de réponse à incidents élicitées seront adaptées dynamiquement à l'environnement à protéger et pourront être réajustées selon l'évolution du niveau de détection/compréhension des incidents. Le mécanisme de planification devra aussi trouver le meilleur compromis entre le niveau de sécurité et l'impact des mesures de sécurité sur les services et donc l'activité de l'organisation. Enfin les mesures de sécurité pourront soit être déployées automatiquement, soit être proposées sous la forme d'une aide à la prise de décision par exemple pour les cellules décisionnelles de gestion de crise dans le cas de la gestion de crise cyber.
Nous travaillerons sur une approche adaptative pour la gestion des incidents de cybersécurité en intégrant la qualification des incidents, la planification des réponses et leur déploiement automatisé. Tout d'abord, il s'agit d'analyser et de qualifier les incidents détectés afin d'évaluer leur criticité et d'en déduire l'état de sécurité global de l'organisation, en s'appuyant sur des modèles dynamiques existants [5][6]. Sur cette base, une planification stratégique des réponses sera effectuée en tenant compte des capacités des fonctions de sécurité disponibles et de l'impact des mesures correctives sur la perte des services, en explorant des approches basées sur les bonnes pratiques de cybersécurité formalisées en logique comme dans nos travaux précédents [7], ou l'utilisation d'une IA générative augmentée avec les connaissances cyber comme dans [8]. Enfin, ces stratégies seront déployées de manière automatisée sur les équipements. Pour ce faire, nous pourrons nous appuyer sur les architectures de gestion à base de politiques [5] ou les récents standards I2NSF ou OpenC2 [9].
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Cyberattacks are becoming increasingly complex and evolving rapidly, exploiting ever more sophisticated vulnerabilities. Detecting an incident does not equate to its immediate resolution. According to the latest incidentology report [1], interCERT France reveals that the average Mean-Time-To-Respond (MTTR)—i.e., the average time taken to resolve cybersecurity incidents once detected—is 28.5 days in large enterprises. This statistic highlights the limitations of current approaches, which are often too slow to counter constantly evolving and increasingly sophisticated threats. In light of this reality, the need for automated and adaptive cybersecurity solutions is becoming urgent.
To accelerate incident response, solutions such as SOAR (Security Orchestration, Automation, and Response) and XDR (eXtended Detection and Response) have emerged. These solutions aim to automate part of the security process orchestration to enhance the speed and efficiency of incident detection and response [2]. This automation (which can also be semi-automated, as procedures may include actions performed by human operators) relies on playbooks, which define the sequence of actions to be executed in case of an incident [3][4].
However, creating playbooks is a complex task that requires anticipating precise actions for each type of incident. Although some vendors provide predefined playbooks, they often require significant modifications to be tailored to the specific environment. Additionally, playbooks represent rigid reaction behaviors that are predefined and do not adapt dynamically to emerging threats or evolving situations. This rigidity poses a challenge, particularly when multiple incidents occur simultaneously, as conflicting responses from different playbooks may arise.
To address the limitations of existing solutions, this thesis aims to propose a framework that enables the dynamic planning, orchestration, and deployment of global incident responses. The generated incident response actions will be dynamically adapted to the target environment and continuously refined based on the evolving detection and understanding of incidents. The planning mechanism must also find an optimal trade-off between security enhancement and the operational impact of security measures on services and organizational activities. Finally, security measures may either be automatically deployed or presented as decision-support recommendations for cybersecurity crisis management teams.
PhD Offer
This research will adopt an adaptive cybersecurity incident management, integrating incident qualification, response planning, and automated deployment. The first step involves analyzing and qualifying detected incidents to assess their severity and derive the organization's overall security posture, leveraging existing dynamic security models [5][6]. Based on this assessment, a strategic response planning phase will be carried out, considering both the available security functions and the impact of corrective measures on service continuity. This will involve exploring logic-based cybersecurity best practices, as in our previous work [7], or leveraging generative AI enhanced with cybersecurity knowledge [8]. Finally, the planned strategies will be automatically deployed across security infrastructures. For this purpose, we will rely on policy-based management architectures [5] or recent industry standards such as I2NSF and OpenC2 [9]
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Début de la thèse : 01/09/2025
Pour accélérer la réponse aux incidents, des solutions telles que SOAR (Security Orchestration, Automation and Response) ou XDR (eXtended detection and response) ont émergé pour tenter de répondre à cette problématique en promettant d'automatiser l'orchestration d'une partie des processus de sécurité afin d'améliorer la rapidité et l'efficacité de la détection et réponse aux incidents [2]. Cette automatisation (qui peut être aussi de la semi-automatisation car les procédures peuvent inclure des actions effectuées par des êtres humains) se fait au moyen de scripts appelés playbooks qui décrivent les séquences d'actions à mener en cas d'incident [3], [4].
Pour adresser les limitations des solutions existantes, l'objectif de cette thèse est donc de proposer un cadriciel permettant de planifier, d'orchestrer et de déployer dynamiquement des réponses globales aux incidents. Ces actions de réponse à incidents élicitées seront adaptées dynamiquement à l'environnement à protéger et pourront être réajustées selon l'évolution du niveau de détection/compréhension des incidents. Le mécanisme de planification devra aussi trouver le meilleur compromis entre le niveau de sécurité et l'impact des mesures de sécurité sur les services et donc l'activité de l'organisation. Enfin les mesures de sécurité pourront soit être déployées automatiquement, soit être proposées sous la forme d'une aide à la prise de décision par exemple pour les cellules décisionnelles de gestion de crise dans le cas de la gestion de crise cyber.
Nous travaillerons sur une approche adaptative pour la gestion des incidents de cybersécurité en intégrant la qualification des incidents, la planification des réponses et leur déploiement automatisé. Tout d'abord, il s'agit d'analyser et de qualifier les incidents détectés afin d'évaluer leur criticité et d'en déduire l'état de sécurité global de l'organisation, en s'appuyant sur des modèles dynamiques existants [5][6]. Sur cette base, une planification stratégique des réponses sera effectuée en tenant compte des capacités des fonctions de sécurité disponibles et de l'impact des mesures correctives sur la perte des services, en explorant des approches basées sur les bonnes pratiques de cybersécurité formalisées en logique comme dans nos travaux précédents [7], ou l'utilisation d'une IA générative augmentée avec les connaissances cyber comme dans [8]. Enfin, ces stratégies seront déployées de manière automatisée sur les équipements. Pour ce faire, nous pourrons nous appuyer sur les architectures de gestion à base de politiques [5] ou les récents standards I2NSF ou OpenC2 [9].
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Cyberattacks are becoming increasingly complex and evolving rapidly, exploiting ever more sophisticated vulnerabilities. Detecting an incident does not equate to its immediate resolution. According to the latest incidentology report [1], interCERT France reveals that the average Mean-Time-To-Respond (MTTR)—i.e., the average time taken to resolve cybersecurity incidents once detected—is 28.5 days in large enterprises. This statistic highlights the limitations of current approaches, which are often too slow to counter constantly evolving and increasingly sophisticated threats. In light of this reality, the need for automated and adaptive cybersecurity solutions is becoming urgent.
To accelerate incident response, solutions such as SOAR (Security Orchestration, Automation, and Response) and XDR (eXtended Detection and Response) have emerged. These solutions aim to automate part of the security process orchestration to enhance the speed and efficiency of incident detection and response [2]. This automation (which can also be semi-automated, as procedures may include actions performed by human operators) relies on playbooks, which define the sequence of actions to be executed in case of an incident [3][4].
However, creating playbooks is a complex task that requires anticipating precise actions for each type of incident. Although some vendors provide predefined playbooks, they often require significant modifications to be tailored to the specific environment. Additionally, playbooks represent rigid reaction behaviors that are predefined and do not adapt dynamically to emerging threats or evolving situations. This rigidity poses a challenge, particularly when multiple incidents occur simultaneously, as conflicting responses from different playbooks may arise.
To address the limitations of existing solutions, this thesis aims to propose a framework that enables the dynamic planning, orchestration, and deployment of global incident responses. The generated incident response actions will be dynamically adapted to the target environment and continuously refined based on the evolving detection and understanding of incidents. The planning mechanism must also find an optimal trade-off between security enhancement and the operational impact of security measures on services and organizational activities. Finally, security measures may either be automatically deployed or presented as decision-support recommendations for cybersecurity crisis management teams.
PhD Offer
This research will adopt an adaptive cybersecurity incident management, integrating incident qualification, response planning, and automated deployment. The first step involves analyzing and qualifying detected incidents to assess their severity and derive the organization's overall security posture, leveraging existing dynamic security models [5][6]. Based on this assessment, a strategic response planning phase will be carried out, considering both the available security functions and the impact of corrective measures on service continuity. This will involve exploring logic-based cybersecurity best practices, as in our previous work [7], or leveraging generative AI enhanced with cybersecurity knowledge [8]. Finally, the planned strategies will be automatically deployed across security infrastructures. For this purpose, we will rely on policy-based management architectures [5] or recent industry standards such as I2NSF and OpenC2 [9]
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Début de la thèse : 01/09/2025
Nature du financement
Autre financement public
Précisions sur le financement
ANR Financement d'Agences de financement de la recherche
Présentation établissement et labo d'accueil
Université de Toulouse
Etablissement délivrant le doctorat
Université de Toulouse
Ecole doctorale
475 EDMITT - Ecole Doctorale Mathématiques, Informatique et Télécommunications de Toulouse
Profil du candidat
Les candidats devront posséder un Master en informatique ou un niveau équivalent.
Candidates must have a Master's degree in computer science
Candidates must have a Master's degree in computer science
30/06/2025
Postuler
Fermer
Vous avez déjà un compte ?
Nouvel utilisateur ?
Besoin d'informations sur l'ABG ?
Vous souhaitez recevoir nos infolettres ?
Découvrez nos adhérents
PhDOOC 
Groupe AFNOR - Association française de normalisation 
Institut Sup'biotech de Paris 
Ifremer 
SUEZ 
Laboratoire National de Métrologie et d'Essais - LNE 
Aérocentre, Pôle d'excellence régional 
ANRT 
CASDEN 
ADEME 
MabDesign 
CESI 
Tecknowmetrix 
ASNR - Autorité de sûreté nucléaire et de radioprotection - Siège 
Nokia Bell Labs France 
ONERA - The French Aerospace Lab 
Généthon - MabDesign
TotalEnergies
-
Sujet de ThèseRef. 130176Strasbourg , Grand Est , FranceInstitut Thématique Interdisciplinaire IRMIA++
Schrödinger type asymptotic model for wave propagation
Expertises scientifiques :Mathématiques - Mathématiques
-
EmploiRef. 130080Paris , Ile-de-France , FranceAgence Nationale de la Recherche
Chargé ou chargée de projets scientifiques bioéconomie H/F
Expertises scientifiques :Biochimie
Niveau d’expérience :Confirmé
