Description

Contexte
Dans le développement logiciel moderne, la pression pour livrer rapidement met souvent la sécurité au second plan. Pourtant, plus de la moitié des vulnérabilités signalées proviennent de défauts de conception, entraînant des corrections coûteuses et parfois des failles critiques. L’approche Security-by-Design vise à intégrer la sécurité dès les premières phases (exigences, conception), mais elle est freinée par plusieurs limites : manque d’expertise, difficulté à transformer des objectifs abstraits en mécanismes concrets, et absence d’outils accessibles aux non-spécialistes. Les récents progrès de l’IA (NLP, ML) ouvrent de nouvelles perspectives pour automatiser l’extraction de connaissances et fournir une assistance intelligente et interactive.

Questions de recherche
Le défi consiste à systématiser l’intégration de la sécurité dès la phase d’exigences et de conception, tout en gardant l’approche accessible aux non-experts :

Comment extraire et organiser automatiquement les actifs vulnérables à partir de bases (CAPEC, CWE, ATT&CK) ?

Comment raffiner des objectifs de sécurité de haut niveau en patrons de conception vérifiables ?

Comment proposer une assistance en temps réel sans freiner l’agilité des développeurs ?

Objectifs
La thèse développera le cadre ReqSecDes, combinant extraction et formalisation d’actifs vulnérables avec une assistance outillée. Les résultats attendus incluent :

Bibliothèque automatisée d’actifs vulnérables (extraction NLP/ML, ontologie).

Taxonomie formelle des propriétés de sécurité (raffinement en patrons de conception, vérification formelle).

Assistance interactive (recommandations en temps réel intégrées aux outils de modélisation).

Validation via études de cas industrielles, mesurant réduction de vulnérabilités et facilité d’usage.

Contributions attendues du doctorant

Réaliser un état de l’art.

Développer et entraîner des modèles NLP/ML pour l’extraction d’actifs vulnérables.

Construire et vérifier une taxonomie formelle des propriétés de sécurité.

Implémenter un prototype d’assistant fournissant raisonnement et recommandations en temps réel.

Valider le cadre sur des cas d’usage industriels.

Compétences requises

L'appel est ouvert aux étudiants en master ou aux professionnels ; les étudiants en master à la recherche d'un stage de 6 mois, avec l'intention de poursuivre en doctorat, sont également invités à postuler.

Bibliographie

[1] D. Gonzalez, F. Alhenaki, and M. Mirakhorli, ‘Architectural Security Weaknesses in Industrial Control Systems (ICS) an Empirical Study Based on Disclosed Software Vulnerabilities’, in 2019 IEEE International Conference on Software Architecture (ICSA), Hamburg, Germany: IEEE, Mar. 2019, pp. 31–40. doi: 10.1109/ICSA.2019.00012.
[2] N. Messe, ‘Security by Design : An asset-based approach to bridge the gap between architects and security experts’, phdthesis, Université de Bretagne Sud, 2021. Accessed: Feb. 15, 2022. [Online]. Available: https://tel.archives-ouvertes.fr/tel-03407189
[3] N. Messe, V. Chiprianov, N. Belloir, J. El-Hachem, R. Fleurquin, and S. Sadou, ‘Asset-Oriented Threat Modeling’, in 2020 IEEE 19th International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom), Dec. 2020, pp. 491–501. doi: 10.1109/TrustCom50675.2020.00073.
[4] N. Messe, N. Belloir, V. Chiprianov, J. El-Hachem, R. Fleurquin, and S. Sadou, ‘An Asset-Based Assistance for Secure by Design’, in 2020 27th Asia-Pacific Software Engineering Conference (APSEC), Dec. 2020, pp. 178–187. doi: 10.1109/APSEC51365.2020.00026.
[5] Nigmatullin, I., Sadovykh, A., Messe, N., Ebersold, S., & Bruel, J. M. (2022, April). RQCODE–Towards Object-Oriented Requirements in the Software Security Domain. In IEEE International Conference on Software Testing, Verification and Validation Workshops (ICSTW 2022) (pp. 2-6). IEEE.
[6] Hachem, J. E., Chiprianov, V., Babar, M. A., Khalil, T. A., & Aniorte, P. (2020). Modeling, analyzing and predicting security cascading attacks in smart buildings systems-of-systems. Journal of Systems and Software, 162, 110484.
[7] Zhioua, Z., Ameur-Boulifa, R., & Roudier, Y. (2018). Framework for the formal specification and verification of security guidelines. Advances in Science, Technology and Engineering Systems Journal, 3(1), 38-48.
[8] Teixeira De Castro, H., Hussain, A., Blanc, G., El Hachem, J., Blouin, D., Leneutre, J., & Papadimitratos, P. (2024, July). A model-based approach for assessing the security of cyber-physical systems. In Proceedings of the 19th International Conference on Availability, Reliability and Security (pp. 1-10).
[9] Sadovykh, A., & Ivanov, V. V. (2024). Enhancing DevSecOps with continuous security requirements analysis and testing. Компьютерные исследования и моделирование, 16(7), 1687-1702.

Mots clés

apprentissage automatique, génie logiciel, cybersécurité, méthodes formelles