Institut Polytechnique de Paris
Recherchez dans le site
Ecole Polytechnique ENSTA Ecole des Ponts ENSAE Télécom Paris Télécom SudParis
Partagez la page

Sécurité réseau : de nouvelles façons de chercher l’intrus

Le 29 Sep. 2025
Au laboratoire SAMOVAR de Télécom SudParis, Gregory Blanc concentre ses recherches sur la détection d’intrusions dans les réseaux de communication. Avec son équipe, le maître de conférences met au point des techniques fiables et reproductibles de caractérisation de données réseaux et de détections d’anomalies sur ces derniers. Ses recherches trouvent des débouchés dans les milieux industriels et économiques.
Sécurité réseau : de nouvelles façons de chercher l’intrus
Rendez-vous le 21 octobre 2025 pour les Rencontres Cybersécurité et Défense de l'Institut Polytechnique de Paris

Lancer votre playlist préférée, allumer ou éteindre vos lumières, fermer les volets…votre enceinte connectée vous accompagne au quotidien dans votre maison intelligente. Cependant, comme tous les appareils de l’internet des objets (IoT), elle est vulnérable aux cyberattaques. Le travail de Gregory Blanc consiste à détecter ces attaques mais aussi les intrusions sur un réseau de communication, notamment dans les entreprises ou les milieux industriels. 

« Il existe deux façons de détecter une intrusion ou une attaque sur un réseau », lance le maître de conférences en sécurité réseaux au laboratoire Services répartis, architecture modélisation validation administration de réseaux (SAMOVAR*) de Télécom SudParis. « Soit par la détection de signatures caractéristiques de chaque attaque, soit par la détection d’anomalies sur le réseau ». Les attaques évoluant et leurs auteurs cherchant à contourner la détection de signatures, c’est plutôt vers le repérage d’anomalies que s’orientent les recherches de Gregory Blanc et de son équipe. 

Bien connaitre les caractéristiques de son réseau

Le scientifique a donc développé une méthodologie de détection spécifique nécessitant quelques explications de contexte : chaque objet communiquant dans un réseau produit des flux – des paquets de données – qu’il va être possible de reconstituer à l’aide d’un détecteur d’anomalies. Il s’agit en réalité d’un autoencodeur (un réseau de neurones) entrainé avec les données du réseau. Si on fait entrer les flux du réseau dans l’encodeur, celui-ci compresse les données correspondantes de manière optimisée, puis un décodeur les reconstruit au plus juste après décompression. Ainsi, tout paquet de données non connus entrant dans l’encodeur (attaque, intrusion) engendrera en sortie des différences facilement repérables parmi les paquets de données reconstitués.

Pour que cela fonctionne de manière optimale, il a tout d’abord fallu identifier le comportement des objets présents sur les réseaux (objets IoT). « Nous avons étudié pour cela la taille des paquets de données échangés ainsi que le temps écoulé entre chacun d’entre eux (temps inter arrivée). Nous avons ainsi distingué et classifié chaque objet puis acquis une connaissance approfondie des réseaux qui nous a permis de développer notre détecteur d’anomalies », explique le maitre de conférences. Au fil de ces travaux, les scientifiques du SAMOVAR ont par ailleurs remarqué qu’il n’existait pas de cadre fiable à l’évaluation des détecteurs d’intrusion. L’équipe en a donc profité pour en élaborer un, basé sur l’étude de données issues des mondes de l’IA, de la cybersécurité et des réseaux.

Attaque ou comportement naturel ?

Mais revenons à la détection des anomalies. Les réseaux génèrent des déviations naturelles dans leurs comportements qu’il faut savoir différencier des conséquences d’une attaque. « C’est ce que nous appelons des faux positifs », souligne Gregory Blanc. Pour réduire le doute, le chercheur et son équipe se sont attelés à une caractérisation fine du trafic légitime sur un réseau. Ils se sont appuyés pour cela sur l’apprentissage fédéré, un système dans lequel plusieurs machines entrainent collaborativement un modèle d’IA tout en gardant les données localement.

L’opération permet d’anticiper les anomalies naturelles d’un réseau. Imaginons qu’une entreprise de cybersécurité déploie un détecteur d’anomalies chez plusieurs clients. Celui-ci est entrainé avec les flux réseaux locaux (ce qui au passage préserve la confidentialité des données clients) et décèle les anomalies naturelles de chaque client. L’apprentissage fédéré exploite alors chacun de ces modèles pour en établir un global capable de prévoir, sur la base des expériences locales, les comportements réseaux naturels – ou anomalies - à venir chez un des clients. « Cela donne un puissant coup d’avance pour distinguer des attaques de l’évolution du trafic légitime d’un réseau », souligne Grégory Blanc. La méthode se veut efficace. Elle intéresse d’ores et déjà des industriels qui se sont rapprochés de SAMOVAR et de l’équipe du chercheur. 

 

Gregory Blanc a obtenu un doctorat en sécurité informatique du Nara Institute of Science and Technologie (Japon) dans le domaine de l’analyse des scripts malveillants dans les navigateurs Web, en 2012. Il a ensuite rejoint le laboratoire SAMOVAR de Télécom SudParis en tant que chercheur postdoctoral et a contribué au montage et au pilotage de projets collaboratifs européens tels que NECOMA (projet européen-japonais). Depuis 2015, il est maître de conférences en sécurité et réseaux à Télécom SudParis où il coordonne la spécialisation en sécurité des systèmes et réseaux. Il coordonne actuellement le projet ANR GRIFIN dans lequel il explore les apports de l'apprentissage automatique pour rendre la boucle de sécurité autonomique afin d'améliorer la résilience des réseaux du futur : monitoring, détection, sélection de contremesures, déploiement des politiques de sécurité.

>> Gregory Blanc sur Google Scholar

>> Grégory Blanc sur le site du SAMOVAR

>> La page personnelle de Gregory Blanc

 

*SAMOVAR : un laboratoire de recherche Télécom SudParis, Institut Polytechnique de Paris, 91120 Palaiseau, France

Toutes nos actualités