Spécification et gestion des autorisations dans les infrastructures multicloud

Cette thèse de doctorat porte sur la cybersécurité et la confiance dans les environnements multi-cloud et se compose de deux parties :

Partie 1 : Modèles et mécanismes de contrôle d'accès.

Les modèles qui reposent sur l'identité des utilisateurs ne conviennent pas entièrement aux systèmes décentralisés et distribués. Notre objectif est de fournir un cadre formel de contrôle d'accès pouvant être utilisé pour spécifier les opérations et les procédures décisionnelles dans les systèmes cloud distribués et fédérés.

Inspiré du contrôle d'accès basé sur les attributs, le modèle proposé prendra en compte les informations contextuelles, les groupes d'utilisateurs et les relations entre les entités (causales, sociales ou définies par l'application).

Le modèle que nous souhaitons développer offrira un contrôle plus granulaire que les modèles traditionnels. En particulier, différents utilisateurs peuvent entretenir des relations différentes avec les mêmes ressources (ou applications), et ces dernières peuvent avoir des dépendances entre elles. De plus, la gestion des accès est intrinsèquement dynamique dans les environnements ouverts et distribués, tels que le multi-cloud, ce qui nécessite des règles s'adaptant à des conditions en constante évolution.

Actuellement, la plupart des solutions d'autorisation existantes s'appuient sur un module d'autorisation centralisé qui gère les politiques et les identifiants pour prendre des décisions d'autorisation (par exemple, le serveur d'autorisation dans le cas d'OAuth2.0 ou le module PDP/PEP dans le cas de XACML) [1]. D'autre part, la blockchain est apparue ces dernières années comme une solution pertinente pour renforcer la sécurité et le contrôle d'accès dans les environnements cloud. En tant que registre distribué et immuable, la blockchain garantit la traçabilité et l'intégrité des transactions, notamment celles liées à l'accès et à la gestion des données.

Nous souhaitons explorer la manière dont la technologie blockchain peut faciliter l'enregistrement d'informations contextuelles et leur intégration dans les politiques de contrôle d'accès.

Partie 2 : Abus de privilèges et contremesures

Le niveau de sécurité offert par un système de contrôle d'accès dépend principalement de l'exactitude et de la précision de ses politiques. Si des principes tels que le principe du moindre privilège et la séparation des tâches constituent une base solide pour la conception de ces politiques, ils sont par nature statiques et ne permettent pas d'anticiper l'utilisation abusive de privilèges légitimement accordés. Cette limitation devient particulièrement critique dans des environnements dynamiques, comme les plateformes cloud, où les utilisateurs, les données et les services sont en constante évolution.

Pour remédier à ce problème, nous proposons de compléter les systèmes de contrôle d'accès traditionnels par des mécanismes proactifs de détection des anomalies. L'apprentissage automatique (ML) offre des outils prometteurs pour atteindre cet objectif, car il permet d'apprendre les modèles de comportement des utilisateurs à partir des données d'accès historiques et d'identifier les écarts qui peuvent indiquer un abus de privilèges ou une menace interne. Ces modèles contribuent également à transformer le contrôle d'accès en un système auto-adaptatif et sensible au contexte, capable d'évoluer en fonction du comportement des utilisateurs et de la nature dynamique des environnements cloud.

L'intégration de ces mécanismes d'apprentissage dans les cadres de contrôle d'accès permet d'affiner en permanence les politiques. Lorsqu'une anomalie est détectée, le système peut déclencher des alertes ou adapter automatiquement les politiques afin d'empêcher toute utilisation abusive future. Cette approche transforme le contrôle d'accès en un système auto-adaptatif et sensible au contexte, capable d'évoluer en fonction du comportement des utilisateurs et de la nature dynamique des environnements cloud.

Thèse co-encadré LIFO -Telecom SudParis. 

Accueil dans l'équipe SDS du Laboratoire LIFO : https://www.univ-orleans.fr/lifo/

et

dans l'équipe SAMOVAR à Telecom SudParis :  : https://samovar.telecom-sudparis.eu/index.php/en/accueil-2/

- Profil informatique - cybersécurité avec une appétence forte pour le formalisme
- Expérience en machine learning
- Expérience en programmation (Python)
- Anglais parlé et écrit
- Rigueur
- Autonomie
- Travail en équipe
- Optionnellement : connaissances en blockchain et/ou cloud


Niveau de français requis: Intermédiaire supérieur:  Vous pouvez parler la langue de manière compréhensible, cohérente et avec assurance. 

Niveau d'anglais requis: Intermédiaire supérieur: Vous pouvez utiliser la langue de manière efficace et vous exprimer précisément.