SYSTEME APPLICATIF MODULAIRE D'AUDIT DE SECURITE POUR MESURER LE NIVEAU DE VULNERABILITE A L'EXFILTRATION DE DONNEES SENSIBLES DOMAINE TECHNIQUE DE L'INVENTION [0001 ] L'invention se rapporte au domaine de la sécurité informatique. Plus particulièrement, l'invention concerne un système applicatif modulaire d'audit pour mesurer le niveau de vulnérabilité à l'exfiltration de données sensibles d'un système d'information d'une entreprise. L'invention concerne encore l'architecture applicative pour la mise en place dudit système. [0002]Aujourd'hui, la priorité en matière de sécurité informatique est axée sur la prévention et/ou la détection des attaques initiales afin d'éviter toute compromission de son réseau. L'actualité récente a pourtant démontré qu'il est parfois impossible de se prémunir contre certaines menaces surtout lorsque celles- ci sont coordonnées et ciblées. [0003] On assiste chaque jour à la perturbation des réseaux et des infrastructures numériques. Le phénomène s'amplifie, à la mesure de l'importance de la révolution numérique. Des délinquants pénètrent sur les réseaux pour récupérer les informations qui y circulent ou qui sont stockées sur le système d'informations.BACKGROUND OF THE INVENTION [0001] The invention relates to the field of computer security. More particularly, the invention relates to a modular audit application system for measuring the level of vulnerability to the exfiltration of sensitive data from an information system of an enterprise. The invention also relates to the application architecture for setting up said system. Today, the priority in terms of computer security is focused on the prevention and / or detection of initial attacks to prevent compromise of its network. Recent events have shown that it is sometimes impossible to guard against certain threats, especially when they are coordinated and targeted. We are witnessing every day the disruption of networks and digital infrastructures. The phenomenon is growing, in proportion to the importance of the digital revolution. Offenders enter the networks to retrieve information that circulates or is stored on the information system.
Piratage de données personnelles, cybercriminalité, espionnage, intrusions, vol d'informations stratégiques, APT, manifestations et revendications d'activistes... l'inquiétude grandit au sein des directions informatiques. Les délits commis sur les systèmes d'information et les réseaux informatiques menacent les entreprises et affectent le fonctionnement de l'économie et des institutions. [0004]Aujourd'hui, les entreprises sont aussi le théâtre d'opérations de la guerre du Net. Les entreprises, appartenant au secteur de la défense et de l'industrie chimique, avaient déjà été victimes d'une série d'intrusions informatiques. Ces intrusions sont coordonnées : les ordinateurs desdites sociétés auraient été infectés par un programme malveillant, utilisé pour dérober des informations. Les informations volées sont protégées par la propriété intellectuelle. L'espionnage industriel semble bien être le mobile de ces attaques. [0005]11 apparaît donc que, malgré tous les mécanismes de protection mis en place, des intrusions informatiques majeures ayant pour conséquence une exfiltration des données sensibles de l'entreprise/la collectivité peuvent se produire. De plus, vis-à-vis de ces menaces, il est aujourd'hui impossible d'évaluer son degré de protection ou le niveau de réaction des équipes techniques surveillant son réseau informatique. ETAT DE LA TECHNIQUE ANTERIEURE [0006]La demande internationale WO 2000034847 A9, concerne la détection d'intrusions nuisibles ou illégales dans un réseau informatique ou dans des parties réservées dudit réseau, qui consiste à utiliser des analyses statistiques pour comparer des commandes d'utilisateurs et des noms de programmes à une séquence modèle. Dans ce document, la détection d'intrusion est basée sur la comparaison d'un modèle de séquence avec les séquences de commandes d'utilisateurs. Ce document montre qu'il peut y avoir une intrusion possible dans le réseau ou certaine partie du réseau. [0007]La demande internationale W02003090046 A3 concerne un système de détection d'intrusion ou d'une tentative d'intrusion par un tiers ou une entité non autorisée dans un système ou un réseau informatique. Le système de détection d'intrusion comprend des moyens pour contrôler l'activité par rapport au système ou au réseau informatique, des moyens destinés à recevoir et à stocker une ou plusieurs règles générales, chacune des règles générales étant représentative de caractéristiques associées à une pluralité d'instances spécifiques d'intrusion ou de tentative d'intrusion, et des moyens de mise en correspondance, destinés à recevoir des données relatives à l'activité rapportée audit système ou réseau informatique depuis les moyens de contrôle, pour comparer, de manière sémantique, des ensembles d'actions, formant l'activité, à la règle générale, ou aux règles générales, afin d'identifier une intrusion ou une tentative d'intrusion. [0008]Le Document WO 2009114436 concerne plus généralement des systèmes et des méthodes de communications sécurisées et, plus particulièrement, il 30 concerne un système et une méthode pour l'exfiltration de données sécurisées, à partir d'un réseau ou d'un système de communication fermé, vers un système ou un ordinateur ouvert. Ce document, concerne une méthode d'exfiltration de données sécurisées, mais il ne s'agit pas d'un système permettant de mesurer la vulnérabilité à l'exfiltration de données sensibles. [0009] L'objectif est donc de mesurer le niveau de vulnérabilité à l'exfiltration de 5 données en ligne d'une entreprise, et d'évaluer la capacité d'un service (SOC: Security Operation Center ou CSIRT : Computer Security Incident Response Team) à identifier : si une exfiltration de données est en cours ? quelles sont les données dérobées ? et depuis quand une exfiltration est-elle en cours ? L'objectif permet également d'organiser des mises en situation pour valider des contre-10 mesures ou un plan de lutte. EXPOSE DE L'INVENTION [0010] L'invention vise à remédier aux inconvénients de l'état de la technique et notamment à proposer un système applicatif modulaire d'audit de sécurité pour mesurer le niveau de vulnérabilité à l'exfiltration de données sensibles d'un 15 système informatique d'une entreprise, et pour évaluer la capacité de ladite entreprise à identifier une exfiltration de données comprenant : - un module d'initiation comprenant un fichier de configuration contenant des paramètres dudit système applicatif, ledit fichier de configuration permettant d'initier un module de recherche; 20 - ledit module de recherche comprend des moyens de création de documents témoins aptes à être insérés dans un système de fichier de l'entreprise, ledit module de recherche comprend en outre un logiciel robot , dit de crawling, apte à lister le contenu des ressources accessibles via le contexte technique d'un utilisateur et de rechercher de 25 potentiels fichiers considérés comme sensibles selon la définition de l'entreprise; - un module d'analyse comprenant des moyens pour analyser l'activité dudit utilisateur afin d'identifier son contexte socioprofessionnel et de cibler des documents collaboratifs présentant un intérêt pour une 30 exfiltration; le système applicatif est caractérisé en ce que le logiciel robot est apte à indexer pour chaque objet, l'étendue des droits et des comptes informatiques ayant accès auxdits objets ainsi que des informations relatives aux dates de création, de modification ou de dernier accès auxdits objets; ledit logiciel robot est en outre apte à appeler des fonctions algorithmiques incluses dans le module d'analyse afin d'identifier parmi les documents collaboratifs ciblés ceux qui sont à récupérer ou ceux qui devraient potentiellement l'être; en ce que ledit logiciel robot est en outre apte à lister lesdits documents collaboratifs dans un journal d'évènements ; et en ce que le système d'applicatif comprend, en outre, un module d'exfiltration comprenant des moyens pour détecter des méthodes d'exfiltration disponibles sur un réseau de l'entreprise à l'aide d'une base de données recensant les différents moyens utilisables pour opérer une commande et un contrôle, ledit module d'exfiltration comprenant des moyens aptes à exfiltrer et à obfusquer les documents collaboratifs précédemment récupérés à l'aide d'au moins une méthode spécifique. (0011 ]Par contexte technique d'utilisateur, on entend son profil et ses droits sur des documents du système d'information. Objets dans le sens de la présente 20 invention concerne les fichiers, les répertoires, boites aux lettres, les e-mails... [0012] De préférence, le module d'initiation est accessible par l'intermédiaire d'une interface graphique d'administration permettant la configuration dudit système applicatif et la mise en relation du fichier de configuration avec le paramétrage de l'entreprise. 25 [0013]Selon l'invention, le module d'initiation est accessible via une interface graphique utilisateur permettant de définir le niveau d'exposition de l'exfiltration cible, d'intégrer la configuration client et de définir les paramètres du rapport d'analyse. [0014]Conformément à l'invention, ladite au moins une méthode utilisée par le 30 module d'exfiltration pour dissimuler les documents collaboratifs obfusqués est choisie parmi la mise en place de canaux chiffrés et/ou la stéganographie et/ou le chiffrement des fichiers. [0015] Avantageusement, les moyens d'exfiltration sont aptes à effectuer l'exfiltration des documents de façon automatique, en fonction de scénarii 5 prédéfinis et/ou de différents paramètres concernant un attaquant, à l'aide de fonctions algorithmiques basées sur des algorithmes d'aléas. [0016]En outre, le module d'initiation comprend un logiciel de licence apte à définir l'autorisation de l'entreprise à utiliser le système applicatif, via la gestion de DRM ; ledit logiciel de licence étant également apte à vérifier l'accessibilité de l'utilisateur 10 à des modules et fonctionnalités dudit système applicatif. [0017] Les DRM (digital rights management) ont pour objectif de contrôler l'utilisation qui est faite des oeuvres numériques. Ces dispositifs peuvent s'appliquer à tous types de supports numériques physiques (disques, DVD, logiciels, etc.) ou de transmission (télédiffusion, services Internet, etc.) grâce à un 15 système d'accès conditionnel. [0018]De plus, les moyens d'analyse sont aptes à analyser des objets, leur contenu et leur emplacement par recherche de mot clés en simulant différents utilisateurs et leurs contextes techniques associés, lesdits moyens d'analyse sont capables de récupérer des fichiers sensibles accessibles sur un réseau de 20 l'entreprise via le logiciel robot du module de recherche. [0019]En outre, le système applicatif d'audit comprend un module de communication comprenant des moyens de contrôle à distance, lesdits moyens étant aptes à vérifier la fonctionnalité des méthodes d'exfiltrations détectées par le module d'exfiltration. 25 [0020]De plus, le module de communication comprend en outre des moyens d'hébergement aptes à héberger des fichiers «filtrés et à mettre en place des méthodes de dissimulation desdits fichiers exfiltrés. [0021]Conformément à l'invention, le système applicatif d'audit comprend en outre un module de génération de rapports muni de moyens pour générer des rapports aptes à centraliser des journaux d'événements sur un fichier trace système , ledit fichier trace système étant mis à la disposition de l'entreprise. (00223 En outre, les moyens pour générer des rapports sont capables de générer un rapport d'activité en utilisant les résultats d'exfiltration et les journaux 5 d'événements. [0023] De plus, les moyens pour générer des rapports sont capables de générer un rapport d'audit en utilisant d'une part les rapports d'activités et d'autre part les données exfiltrées. [0024]Avantageusement, les modules constitutifs dudit système applicatif sont 10 exécutables séparément de telle sorte qu'il comporte plusieurs fichiers exécutables. [0025]Selon un autre mode de réalisation de l'invention le système applicatif 15 modulaire comporte un seul fichier exécutable. [0026] L'invention concerne encore une architecture applicative modulaire pour la mise en place du système applicatif modulaire ci-dessus caractérisé en ce qu'elle est basée sur des communications réseaux en mode clients /serveur ou via des APIs développées spécifiquement ou via des connecteurs réseau.Hacking personal data, cybercrime, espionage, intrusions, theft of strategic information, APT, demonstrations and activists' demands ... anxiety is growing within IT departments. Offenses committed on information systems and computer networks threaten businesses and affect the functioning of the economy and institutions. [0004] Today, businesses are also the theater of operations of the Net War. Companies in the defense and chemical industries had already been the victims of a series of computer intrusions. These intrusions are coordinated: the computers of said companies were infected by a malicious program, used to steal information. Stolen information is protected by intellectual property. Industrial espionage seems to be the motive for these attacks. It therefore appears that, despite all the protective mechanisms put in place, major computer intrusions resulting in an exfiltration of sensitive data of the company / community can occur. Moreover, with regard to these threats, it is now impossible to assess the degree of protection or the level of reaction of the technical teams monitoring its computer network. PRIOR ART [0006] The international application WO 2000034847 A9 relates to the detection of harmful or illegal intrusions in a computer network or in reserved parts of said network, which consists of using statistical analyzes to compare user commands. and program names to a model sequence. In this document, intrusion detection is based on the comparison of a sequence template with the user command sequences. This document shows that there may be possible intrusion into the network or some part of the network. The international application W02003090046 A3 relates to a system for intrusion detection or attempted intrusion by a third party or an unauthorized entity in a system or a computer network. The intrusion detection system comprises means for controlling the activity with respect to the system or the computer network, means for receiving and storing one or more general rules, each of the general rules being representative of characteristics associated with a plurality specific instances of intrusion or attempted intrusion, and matching means, for receiving data relating to the activity reported to said system or computer network from the control means, for comparing, semantically , sets of actions, forming the activity, to the general rule, or to the general rules, in order to identify an intrusion or attempted intrusion. [0008] WO 2009114436 relates more generally to secure communication systems and methods and more particularly to a system and method for the exfiltration of secure data from a network or a system. closed communication to an open system or computer. This document is about a secure data exfiltration method, but it is not a system for measuring vulnerability to the exfiltration of sensitive data. The objective is therefore to measure the level of vulnerability to the exfiltration of 5 online data of a company, and to assess the capacity of a service (SOC: Security Operation Center or CSIRT: Computer Security Incident Response Team) to identify: if an exfiltration of data is in progress? what are the stolen data? and since when is an exfiltration in progress? The objective also makes it possible to organize scenarios to validate counter-measures or a control plan. SUMMARY OF THE INVENTION The object of the invention is to remedy the drawbacks of the state of the art and, in particular, to propose a modular security audit application system for measuring the level of vulnerability to the exfiltration of sensitive data. a computer system of an enterprise, and for evaluating the ability of said company to identify a data exfiltration comprising: - an initiation module comprising a configuration file containing parameters of said application system, said configuration file allowing initiate a research module; Said search module comprises means for creating control documents that can be inserted into a file system of the company, said search module also comprises a crawling robot software capable of listing the content of the resources. accessible via the technical context of a user and search for 25 potential files considered as sensitive according to the definition of the company; an analysis module comprising means for analyzing the activity of said user in order to identify his socio-professional context and to target collaborative documents of interest for exfiltration; the application system is characterized in that the robot software is capable of indexing for each object, the scope of rights and computer accounts having access to said objects as well as information relating to the dates of creation, modification or last access to said objects ; said robot software is further able to call algorithmic functions included in the analysis module in order to identify among the targeted collaborative documents those to be recovered or those that should potentially be; in that said robot software is further able to list said collaborative documents in an event log; and in that the application system further comprises an exfiltration module comprising means for detecting exfiltration methods available on an enterprise network using a database listing the different means operable to operate a command and control, said exfiltration module comprising means capable of exfiltering and obfuscating the previously recovered collaborative documents using at least one specific method. (0011) By user technical context, one understands his profile and his rights on documents of the information system Objects in the sense of the present invention relates to files, directories, mailboxes, e-mails Preferably, the initiation module is accessible via a graphical administration interface allowing the configuration of said application system and the connection of the configuration file with the configuration of the company. According to the invention, the initiation module is accessible via a graphical user interface making it possible to define the exposure level of the target exfiltration, to integrate the client configuration and to define the parameters of the report. In accordance with the invention, said at least one method used by the exfiltration module to conceal the obfuscated collaborative documents is selected from the set of encrypted channels. s and / or steganography and / or file encryption. Advantageously, the exfiltration means are able to effect the exfiltration of documents automatically, according to predefined scenarios and / or different parameters concerning an attacker, using algorithmic functions based on algorithms. of hazards. In addition, the initiation module includes a license software capable of defining the authorization of the company to use the application system, via DRM management; said license software also being able to verify the accessibility of the user 10 to modules and functionalities of said application system. DRM (digital rights management) aims to control the use that is made of digital works. These devices can be applied to all types of physical digital media (disks, DVDs, software, etc.) or transmission media (television broadcasting, Internet services, etc.) through a conditional access system. In addition, the analysis means are able to analyze objects, their content and their location by searching for key words by simulating different users and their associated technical contexts, said analysis means are capable of recovering sensitive files. accessible on a network of 20 the company via the robot software of the research module. In addition, the audit application system comprises a communication module comprising remote control means, said means being able to verify the functionality of exfiltration methods detected by the exfiltration module. In addition, the communication module further comprises hosting means capable of hosting "filtered" files and setting up methods for concealing said exfiltered files. According to the invention, the audit application system further comprises a reporting module provided with means for generating reports able to centralize event logs on a system trace file, said system trace file being made available to the company. (00223 In addition, the means for generating reports are capable of generating an activity report using the exfiltration results and the event logs. [0023] In addition, the means for generating reports are capable of generating an audit report by using on the one hand the activity reports and on the other hand the exfiltrated data Advantageously, the constituent modules of said application system are executable separately so that it comprises several files According to another embodiment of the invention, the modular application system comprises a single executable file The invention also relates to a modular application architecture for the implementation of the modular application system above. characterized in that it is based on network communications in client / server mode or via specifically developed APIs or via network connectors.
20 BREVE DESCRIPTION DES FIGURES [0027]D'autres caractéristiques, détails et avantages de l'invention ressortiront à la lecture de la description qui suit, en référence aux figures annexées, qui illustrent : la figure 1, montre l'architecture globale du système selon l'invention; la figure 2, illustre le module d'initiation ; 25 la figure 3, montre le module de recherche comprenant le logiciel de robot ; la figure 4, montre le module d'analyse; la figure 5, montre le module d'exfiltration; la figure 6, illustre le module de communication ; la figure 7, montre le module de génération de rapports ; (0028]Pour plus de clarté, les éléments identiques ou similaires sont repérés par des signes de références identiques sur l'ensemble des figures. DESCRIPTION DETAILLEE D'UN MODE DE REALISATION [0029]Pour une entreprise, Un SOC permet d'administrer la sécurité de son parc informatique à distance en collectant et corrélant les fichiers traces de ses différents équipements et applicatifs de sécurité (pare-feu, IDS/IPS, VPN, antivirus, etc.), ou réseau. La corrélation d'événements provenant de sources différentes et l'analyse en temps réel peuvent ainsi permettre une identification rapide des risques, notamment d'intrusion, il permet également de gérer les incidents de sécurité. [0030]La figure 1 représente une vue d'ensemble de l'architecture globale du système applicatif modulaire d'audit de sécurité selon la présente invention. On remarque que l'algorithme d'exécution du scénario d'exfiltration est au coeur du système applicatif d'audit. Le système comprend un module d'initiation 1 pour analyser un fichier de configuration comprenant les paramètres du système applicatif selon l'invention. Ledit fichier de configuration permet d'initier un module de recherche 2. Le module d'initiation est accessible par l'intermédiaire d'une interface graphique d'administration 8 permettant la configuration dudit système applicatif. De plus, ladite interface 8 permet de mettre en relation le fichier de configuration avec le paramétrage de l'entreprise (client). Le module d'initiation est accessible à un utilisateur via une interface graphique utilisateur 7. Cette interface permet de définir le niveau d'exposition de l'exfiltration cible, d'intégrer la configuration client et de définir les paramètres du rapport d'analyse. Le module de recherche 2 comprend des moyens 21 permettant de créer des documents témoins (tests). Lesdits documents témoins doivent être insérer dans un système de fichier de l'entreprise, client. Ledit module de recherche comprend en plus un logiciel robot 22, appelé crawling, apte à lister le contenu des ressources accessibles via le contexte technique d'un utilisateur. De plus le robot 22 peut chercher de potentiels fichiers considérés comme sensibles selon la définition de l'entreprise (client). Un module d'analyse 3 comprenant des moyens 31 pour analyser l'activité dudit utilisateur pour pouvoir d'identifier son contexte socioprofessionnel et ainsi de cibler des documents collaboratifs présentant de l'intérêt pour une exfiltration. Le robot 22 est en plus capable d'indexer pour chaque objet, tels que fichiers, répertoires, boites aux lettres, l'étendue des droits et des comptes informatiques des utilisateurs ayant accès auxdits objets ainsi que des informations relatives aux dates de création, de modification ou de dernier accès auxdits objets. Ledit logiciel robot 22 appelle des fonctions algorithmiques inclues dans le module d'analyse 3 pour identifier parmi les documents collaboratifs ciblés ci-dessus ceux qui sont à récupérer ou ceux qui devraient potentiellement l'être. de plus le robot 22 peut lister les documents collaborâtifs dans un journal d'évènements. Un module d'exfiltration 4 comprenant des moyens 43 pour détecter des méthodes d'exfiltration 46 disponibles sur un réseau de l'entreprise à l'aide d'une base de données (non visible sur la figure 1) recensant ainsi les différents moyens utilisables pour opérer une commande et un contrôle. Ledit module 4 comprend en plus des moyens 41 et 42 aptes à exfiltrer et à obfusquer les documents collaboratifs précédemment récupérés à l'aide des différentes méthodes disponibles 44. [0031]La figure 1 représente en plus un module de communication 6 en dehors du périmètre du client. Ce module comprend des moyens 61 de contrôle à distance ainsi que des moyens d'hébergement 62 et 63. Le système comprend un module de génération de rapports 5. Ce module 5 comprend des moyens 51 pour générer des rapports d'activités. Les spécifications de chacun des modules ci-dessus sont détaillées dans la description en référence aux figures suivantes. [0032] La figure 2 présente le module d'initiation. Ce module comprend un fichier de configuration fourni initialement et contenant les paramètres du système applicatif d'audit. Le but de ce module est d'analyser ledit fichier de configuration et de le mettre en relation avec les paramètres fournis par l'entreprise ou le client et initier un module de recherche. Par client on entend l'entreprise dans laquelle le système va être déployé. [0033] En outre, le module d'initiation comprend un logiciel de licence apte à définir si l'entreprise peut utiliser la solution proposée, via la gestion des DRM. Ledit 30 logiciel de licence étant également apte à vérifier les modules et fonctionnalités accessibles à l'utilisateur. De plus ce logiciel de licence est aussi un moyen sécurisé par rapport au système applicatif permettant d'éviter l'utilisation de celui-ci par un utilisateur malveillant dans le but d'exfiltrer des documents sensibles du système informatique du client. [0034] La figure 3 représente le module de recherche 2 du système d'audit selon l'invention. Ce module permet de créer de façon automatique des fichiers qui intègrent les mots clés génériques et/ou les mots clés définis avec le client. Lesdits documents sont appelés les documents "témoins". Lesdits fichiers sont ensuite insérer dans le système de fichier du client. Le système informatique du client est constitué d'un système de fichier. (0035] Les formats de fichiers créés sont du type .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf et des journaux d'évènements comme .txt et autres formats de fichiers traces, etc... Le but est d'exfiltrer les documents créés par le module de recherche 2 afin d'éviter d'exfiltrer des documents clients réellement sensibles. [0036] Le module de recherche 2 comprend en plus un logiciel robot 22 dit de Crawling. Cette brique de logicielle crawler, va permettre de lister le contenu des ressources accessibles via le contexte technique informatique (IT) de l'utilisateur et de rechercher de potentiels fichiers identifiés comme sensibles par le client. Pour cela, elle va tout d'abord lister tous les partages de fichiers présents sur le réseau, le contenu des boîtes mails, des applications intranet, ..., et auxquels l'utilisateur peut accéder. Ce niveau d'accès sera directement lié aux droits donnés au système applicatif d'audit selon la présente invention. En effet, il n'y aura aucune tentative frauduleuse d'élévation de privilège. Le logiciel robot 22 indexera également pour chaque objet comme des fichiers, des répertoires, des boîtes mails, etc...., l'étendue des droits et des comptes ayant accès à ceux-ci et les informations relatives aux dates de création, de modification ou de dernier accès. [0037] Ledit logiciel robot (crawler) fera ensuite appel aux différentes fonctions du module d'analyse 3 afin d'identifier parmi la masse d'informations ciblées celles qui - seront à récupérer ou qui devraient potentiellement l'être, mais qui seront explicitement exclues. Il listera ensuite ces informations dans un journal 30 d'évènement. 10 3020486 [0038]La figure 4 représente le module d'analyse 3. Ledit module dispose de différentes fonctions intervenant à différentes étapes du processus d'exfiltration. Ce module 3 sert à analyser l'activité de l'utilisateur et permet d'identifier le contexte socio-professionnel de celui-ci et de cibler ainsi les documents collaboratifs et par 5 recoupement avec la fréquence d'accès à ceux-ci et les droits d'accès des objets d'identifier, ceux qui présentent le plus d'intérêt pour l'exfiltration. [0039] De plus, ce module 3 sert à analyser des objets, de leur contenu et de leur emplacement par recherche de mots clés, en simulant différents utilisateurs et leurs contextes techniques associés, et de leur positionnement dans un contexte 10 en se basant sur la découverte du réseau effectuée par la brique logiciel robot 22 (Crawler) du module de recherche 2. Ledit module Analyse récupère également les fichiers sensibles accessibles sur le réseau. L'analyse peut se faire soit sur base des résultats fournis par le robot (crawler), soit à posteriori une fois la récupération faite. Cette analyse étant consommatrice de ressources, II est prévu d'exécuter 15 celle-ci lors des plages de temps de non-utilisation du poste de travail d'un utilisateur. [0040]La figure 5 représente le module exfiltration 4, ledit module permet la détection des méthodes d'exfiltration 46 disponible sur le réseau de l'entreprise (client) à l'aide d'une base de données. Cette brique de logicielle «filtration 20 recense les différents moyens utilisés pour opérer une commande et un Control ». Le module exfiltration aura également pour but d'obfusquer les documents précédemment récupérés afin de les dissimuler lors de l'extraction. Pour ce faire, le système selon la présente invention prévoit plusieurs méthodes 44 à savoir: la mise en place de canaux chiffrés, la stéganographie, le chiffrement du fichier avant 25 envoi, etc... La méthode sera sélectionnée automatiquement grâce à l'algorithme d'exécution du scénario d'exfiltration 45. L'exfiltration est effectuée ensuite vers un serveur appartenant à la société LINEON, Créateur (Editeur) du système applicatif modulaire, objet de la présente invention, selon une méthode déterminée par l'algorithme d'exécution du scénario en fonction des paramétrages du système informatique du client dans lequel le système applicatif est mis en place. En effet, le module d'exfiltration est apte à effectuer l'exfiltration des documents de façon automatique, en fonction de scénarii prédéfinis 45 et de différents paramètres 11 3020486 concernant l'attaquant, à l'aide de fonctions algorithmiques sur base d'algorithmes d'aléas. [0041 ]Par stéganographie on entend l'art- de la dissimulation. L'objet de la stéganographie est de faire passer inaperçu un message dans un autre message 5 et non de rendre un message inintelligible à autre. [0042]Le système applicatif comprend en outre un module communication 6 tel que représenté à la figure 6. Ce module est en dehors du périmètre du client, et, est placé sous le contrôle exclusif de la société L1NEON. Ce module comprend une brique de logicielle 61 appelée contrôle à distance permettant de vérifier que les 10 méthodes d'exfiltrations 46 possibles détectées par le module exfiltration sont fonctionnelles. Ce module de communication comprend des moyens d'hébergement 62 et 63. Les moyens 62 servent à héberger des fichiers exfiltrés tandis que les moyens 63 peuvent mettre en place des méthodes de dissimulation desdits fichiers. 15 [0043] Le système applicatif l'objet de l'invention comprend en outre un module génération de rapports 5 tel que représenté à la figure 7. Ledit module 5 comprend des moyens pour générer des rapports 51 permettant de centraliser des journaux d'évènement 9 sur un fichier trace système.. Ces fichiers traces systèmes sont mis à la disposition du client. Les moyens pour générer des rapports 51 sont en plus 20 capables de générer un rapport d'activités en utilisant les résultats d'exfiltration et les journaux d'événements. En corrélant les informations souhaitées dans le rapport par le client avec les résultats de détection des protections mises en place sur le réseau du client, les résultats des différentes exfiltrations réussies et échouées ainsi que les différents journaux d'évènements applicatifs, un rapport 25 d'activité pourra être généré à la demande du client. [0044] Les moyens pour générer des rapports 51 sont en plus capable de générer un rapport d'audit en utilisant d'une part les rapports d'activités et d'autre part les données exfiltrées. Cette partie sera effectuée par la société L1NEON citée ci-dessus, à postériori de l'analyse.BRIEF DESCRIPTION OF THE FIGURES [0027] Other features, details and advantages of the invention will emerge on reading the description which follows, with reference to the appended figures, which illustrate: FIG. 1 shows the overall architecture of the system according to the invention; Figure 2 illustrates the initiation module; Figure 3 shows the search module including the robot software; Figure 4 shows the analysis module; Figure 5 shows the exfiltration module; Figure 6 illustrates the communication module; Figure 7 shows the reporting module; (0028) For the sake of clarity, identical or similar elements are identified by identical reference signs throughout the figures DETAILED DESCRIPTION OF AN EMBODIMENT [0029] For a company, a SOC allows the administration of the security of its remote computer park by collecting and correlating the trace files of its various equipment and security applications (firewall, IDS / IPS, VPN, antivirus, etc.), or network The correlation of events from sources Different and real-time analysis can thus enable rapid identification of risks, including intrusion, it also makes it possible to manage security incidents. [0030] Figure 1 represents an overview of the overall architecture of the security system. A modular security audit application system according to the present invention It is noted that the execution algorithm of the exfiltration scenario is at the heart of the audit application system. renders an initiation module 1 for analyzing a configuration file comprising the parameters of the application system according to the invention. Said configuration file makes it possible to initiate a search module 2. The initiation module is accessible via a graphical administration interface 8 allowing the configuration of said application system. In addition, said interface 8 makes it possible to relate the configuration file to the configuration of the company (customer). The initiation module is accessible to a user via a graphical user interface 7. This interface makes it possible to define the exposure level of the target exfiltration, to integrate the client configuration and to define the parameters of the analysis report. The search module 2 comprises means 21 for creating control documents (tests). These witness documents must be inserted into a file system of the company, customer. Said search module further comprises a robot software 22, called crawling, able to list the content of the resources accessible via the technical context of a user. In addition, the robot 22 can search for potential files that are considered sensitive according to the definition of the company (customer). An analysis module 3 comprising means 31 for analyzing the activity of said user to be able to identify his socio-professional context and thus to target collaborative documents of interest for exfiltration. The robot 22 is also capable of indexing for each object, such as files, directories, mailboxes, the scope of the rights and computer accounts of the users having access to said objects as well as information relating to the dates of creation, modification or last access to said objects. Said robot software 22 calls algorithmic functions included in the analysis module 3 to identify among the collaborative documents targeted above those to be recovered or those that should potentially be. moreover the robot 22 can list the collaborative documents in an event log. An exfiltration module 4 comprising means 43 for detecting exfiltration methods 46 available on an enterprise network using a database (not visible in FIG. 1) thus listing the various means that can be used. to operate a command and a control. Said module 4 further comprises means 41 and 42 able to exfilter and obfuscate the previously retrieved collaborative documents using the different available methods 44. [0031] FIG. 1 also represents a communication module 6 outside the perimeter. client. This module comprises means 61 for remote control as well as hosting means 62 and 63. The system comprises a reporting module 5. This module 5 comprises means 51 for generating activity reports. The specifications of each of the above modules are detailed in the description with reference to the following figures. Figure 2 shows the initiation module. This module includes a configuration file initially provided and containing the parameters of the audit application system. The purpose of this module is to analyze the configuration file and put it in relation with the parameters provided by the company or the client and to initiate a search module. By customer we mean the company in which the system will be deployed. In addition, the initiation module includes a license software capable of defining whether the company can use the proposed solution, via DRM management. Said software 30 being also able to check the modules and functionalities accessible to the user. Moreover, this license software is also a secure way with respect to the application system to prevent the use of it by a malicious user for the purpose of exfiltrating sensitive documents from the customer's computer system. Figure 3 shows the search module 2 of the audit system according to the invention. This module allows you to automatically create files that integrate the generic keywords and / or the keywords defined with the client. These documents are called "witness" documents. These files are then inserted into the client's file system. The customer's computer system consists of a file system. (0035) The file formats created are of the type .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf and event logs like .txt and other file formats, etc. The purpose is to extract the documents created by the search module 2 in order to avoid exfiltrating really sensitive client documents [0036] The search module 2 also includes a robot software 22 called Crawling. crawler software, will be able to list the content of the resources accessible via the user's IT context and to search for potential files identified as sensitive by the client, for which purpose it will first list all the file shares present on the network, the content of the mailboxes, intranet applications, ..., and to which the user can access This access level will be directly related to the rights given to the audit application system according to the present In fact, there will be no fraudulent attempt to elevate privilege. The robot software 22 will also index for each object such as files, directories, mailboxes, etc., the scope of the rights and accounts having access thereto and the information relating to the dates of creation, modification or last access. Said robot software (crawler) will then use the various functions of the analysis module 3 to identify among the mass of targeted information those - which will be to recover or that should potentially be, but which will be explicitly excluded. It will then list this information in an event log. FIG. 4 represents the analysis module 3. Said module has different functions involved at different stages of the exfiltration process. This module 3 is used to analyze the user's activity and makes it possible to identify the socio-professional context of the user and thus to target the collaborative documents and by overlapping with the frequency of access to them and access rights objects to identify, those with the most interest for exfiltration. In addition, this module 3 is used to analyze objects, their content and their location by searching for keywords, by simulating different users and their associated technical contexts, and their positioning in a context 10 based on the discovery of the network carried out by the robot software brick 22 (Crawler) of the search module 2. Said analysis module also retrieves the sensitive files accessible on the network. The analysis can be done either on the basis of the results provided by the robot (crawler), or a posteriori once the recovery made. Since this scan is resource consuming, it is intended to run it during the time periods of non-use of a user's workstation. Figure 5 shows the exfiltration module 4, said module allows the detection of exfiltration methods 46 available on the network of the company (customer) using a database. This software brick "filtration 20 identifies the various means used to operate a control and a Control". The exfiltration module will also aim to obfuscate previously recovered documents in order to hide them during extraction. To do this, the system according to the present invention provides several methods 44 namely: the implementation of encrypted channels, steganography, file encryption before sending, etc ... The method will be selected automatically through the algorithm Exfiltration Execution 45. The exfiltration is then performed to a server belonging to the company LINEON, Creator (Editor) of the modular application system, object of the present invention, according to a method determined by the algorithm of execution of the scenario according to the settings of the computer system of the client in which the application system is set up. Indeed, the exfiltration module is able to effect the exfiltration of documents automatically, according to predefined scenarios 45 and various parameters 11 3020486 concerning the attacker, using algorithmic functions based on algorithms of hazards. By steganography is meant the art of concealment. The purpose of steganography is to make a message go unnoticed in another message and not to make a message unintelligible to another. The application system further comprises a communication module 6 as shown in Figure 6. This module is outside the scope of the client, and is placed under the exclusive control of the company L1NEON. This module comprises a software brick 61 called remote control for verifying that the possible exfiltration methods 46 detected by the exfiltration module are functional. This communication module comprises hosting means 62 and 63. The means 62 serve to host exfiltered files whereas the means 63 can set up methods for concealing said files. The application system the subject of the invention further comprises a report generation module 5 as represented in FIG. 7. Said module 5 comprises means for generating reports 51 making it possible to centralize event logs. 9 on a system trace file .. These system trace files are made available to the customer. The means for generating reports 51 are additionally capable of generating an activity report using the exfiltration results and the event logs. By correlating the information desired in the report by the client with the detection results of the protections implemented on the customer's network, the results of the various successful and unsuccessful exfiltrations as well as the different application event logs, a report 25 of activity can be generated at the request of the customer. The means for generating reports 51 are additionally capable of generating an audit report by using on the one hand the activity reports and on the other hand the exfiltrated data. This part will be carried out by the company L1NEON quoted above, a posteriori of the analysis.
12 3020486 Fonctions algorithmiques Réseau Bavésien [0045]Un réseau bayésien (RB) est en informatique et en statistique un modèle graphique probabiliste représentant des variables aléatoires sous la forme d'un 5 graphe orienté acyclique. Intuitivement, il permet à la fois : - de modéliser une représentation des connaissances ; - de calculer des probabilités conditionnelles. [0046]Pour un domaine donné (par exemple médical), on décrit les relations causales entre variables d'intérêt par un graphe. Dans ce graphe, les relations de 10 cause à effet entre les variables ne sont pas déterministes, mais probabilisées. Ainsi, l'observation d'une cause ou de plusieurs causes n'entraîne pas systématiquement l'effet ou les effets qui en dépendent, mais modifie seulement la probabilité de les observer. [00473 L'intérêt particulier des RB est de tenir compte simultanément de 15 connaissances à priori d'experts (dans le graphe) et de l'expérience contenue dans les données. Les RB permettent de construire ces probabilités jointes, et comment, à partir de ces probabilités jointes, on peut retrouver toutes les probabilités conditionnelles souhaitées. « les réseaux bayésiens constituent la technologie la plus puissante de ces 10 dernières années en IA et en apprentissage 20 automatique ». Les RB constituent un langage graphique et une méthodologie, simples et corrects, pour exprimer pratiquement ce de quoi on est certain ou incertain. Ils reposent sur la formule de Bayes reliant des probabilités conditionnelles avec des probabilités jointes. Formule de Bayes 25 [0048] Il y a des faits, désignés par A ou B, qui ont des probabilités d'arriver P(A) et P(B). P(--A) est la probabilité que non A arrive. La formule de Bayes dit que : P(AIB) = P(A, B)/ P(B) ou encore: P(AIB) = P(BIA).P(A)/ P(B) 30 Etant donné que : P(B) = P(BIA).P(A) + P(BI-A).P(-A) 13 3020486 On écrit alors: P(AIB) = P(BIA)P(A)/(P(BIA).P(A) + P(BI-A).P(-A)) La formule de Bayes peut être conditionnée par un fait X: P(AIB,X) = P(BIA,X).P(A,X)/ P(B,X) 5 Il est également nécessaire de préciser que: P(AIB) + P(--AIB) = 1 Une table de probabilités jointes [0049]Soient trois variables A, B, C pouvant valoir vrai ou faux. On peut écrire une 10 table listant toutes les combinaisons de ces 3 variables. Il y a 23 combinaisons. Pour chacune de ces combinaisons, on peut donner la probabilité jointe de la combinaison. La table constitue donc la distribution de probabilités jointes des variables A, B, C. La somme des probabilités dans la table vaut un. [0050]Si on cherche la probabilité pour que A soit vrai, il suffit de sommer les 15 probabilités des combinaisons de la table pour lesquelles A est vrai. Si on cherche la probabilité pour que A soit vrai et B soit vrai, il suffit de sommer les probabilités des combinaisons de la table pour lesquelles A est vrai et B vrai. Si on cherche la probabilité pour que A soit vrai sachant que B est vrai, il suffit de sommer toutes les probabilités des combinaisons de la table pour lesquelles A est vrai et B est vrai et 20 de diviser par la somme des probabilités des combinaisons de la table pour lesquelles B est vrai. Algorithmes d'Aléa [00513 Un générateur de nombres pseudo-aléatoires est un algorithme qui génère une séquence de nombres présentant certaines propriétés du hasard. Par 25 exemple, les nombres sont supposés être suffisamment indépendants les uns des autres, et il est potentiellement difficile de repérer des groupes de nombres qui suivent une certaine règle (comportements de groupe). [0052]Cependant, les sorties d'un tel générateur ne sont pas entièrement aléatoires; elles s'approchent seulement des propriétés idéales des sources 30 complètement aléatoires. Comme un générateur de nombres aléatoires est exécuté sur un ordinateur déterministe, il devient de facto un algorithme 14 3020486 déterministe. Ses sorties sont inévitablement entachées d'une caractéristique absente d'une vraie suite aléatoire : la périodicité. Avec des ressources limitées (mémoire, nombre de registres, etc.), le générateur retrouvera le même état interne au moins deux fois. Après coup, il entrera obligatoirement dans un cycle. Un 5 générateur non périodique n'est pas impossible, mais nécessite une mémoire croissante pour ne pas se retrouver dans le même état. [0053111 est toutefois possible de construire des générateurs pseudo-aléatoires avec une période plus longue que ce que n'importe quel ordinateur pourrait calculer. Mersenne Twister, un excellent générateur de nombres aléatoires pour les 10 applications non cryptographiques, a une période prouvée mathématiquement de 219937-1, un nombre astronomique. [00543 De plus, cet algorithme a été optimisé pour être utilisé dans le cadre de simulations de Monte-Carlo dans un grand nombre de domaines, migration de photons, coalescence du génome, biologie cellulaire et finance informatique. Le 15 Mersenne Twister est le générateur de nombre aléatoires par défaut en Python, Ruby, R, PHP et MATLAB. Il est également disponible en C++ depuis la version 2011 du standard. [0055]Un autre générateur d'aléa éprouvé s'appuie sur la suite de Fibonacci modulo la valeur maximale désirée : 20 Xn (in-1 + mn-2) 111°d Ai avec x(0) et x(1) en entrée. On peut employer une variante : x'n = (27n-1. xn-k) rficed Al avec x(1)....x(k-1) en entrée. la qualité du générateur dépend de k et des nombres utilisés pour initialiser la suite. Ce générateur est par contre très simple à implémenter et ne consomme 25 que peu de ressources. Les algorithmes appliqués dans la présente invention (ARGO) Exécution du scenario d'exfiltration [0056]Pour cet algorithme, nous allons donc combiner le calcul de probabilité des réseaux bayésiens avec une fonction d'aléa afin de faire la simulation. L'objectif de 15 3020486 cette combinaison est d'arriver à un système non prédictif et ainsi éviter le re-jeu systématique du même scénario et donc sa détection immédiate. Evaluation de la détection de l'exfiltration [0057]Ce modèle se doit d'être probabiliste. On utilisera donc les réseaux 5 bayésiens comme base algorithmique. Evaluation de la protection contre l'exfiltration [0058]Ce modèle se doit d'être probabiliste. On utilisera donc les réseaux bayésiens comme base algorithmique. Evaluation des résultats 10 [0059]Ce modèle se doit d'être probabiliste. On utilisera donc les réseaux bayésiens comme base algorithmique. Exemples des scénarii fonctionnels types [0060]A titre d'exemple, plusieurs scenarii pris en compte par ARGO sont présentés ici. Ils permettent de détailler les possibilités du système applicatif 15 (logiciel). Exfiltration faite par un employé de la société [0061]Environ 80% des piratages informatiques viennent aujourd'hui des membres de l'entreprise. Il est donc important de prévoir ce type de scénario. Dans le cadre d'un licenciement 20 [0062]Lors de son départ de l'entreprise, un employé décide de partir avec la base clients qu'il utilisera ensuite chez un concurrent. Pour ce faire, Il choisit de s'envoyer ces fichiers par mail à son adresse personnelle. Dans ce scenario, le module recherche D'ARGO pourra par exemple créer un fichier Excel volumineux nommé clients.xlsx avec un ensemble de nom/numéro de téléphone/adresse mail 25 de contact fictif. Le module analyse détectera ce fichier dans un partage dont l'utilisateur a accès et analysera son contenu afin de valider que le fichier est sensible (grâce aux noms des clients). Le module exfiltration utilisera ensuite l'adresse email du poste sur lequel il a été installé pour envoyer ce fichier en pièce jointe à une adresse @ hotmail.fr, @gmail.com ou @yahoo.fr.Computational Functions Bavarian Network A Bayesian network (RB) is in computer science and statistics a probabilistic graphical model representing random variables in the form of an acyclic oriented graph. Intuitively, it allows: - to model a representation of knowledge; - to calculate conditional probabilities. For a given domain (for example medical), we describe the causal relationships between variables of interest by a graph. In this graph, the cause-and-effect relationships between the variables are not deterministic, but probabilized. Thus, the observation of a cause or several causes does not systematically imply the effect or the effects that depend on it, but only modifies the probability of observing them. [00473] The particular interest of BRs is to simultaneously take into account prior knowledge of experts (in the graph) and the experience contained in the data. The RBs make it possible to construct these joined probabilities, and how, from these joined probabilities, one can find all the conditional probabilities desired. "Bayesian networks are the most powerful technology of the past 10 years in AI and machine learning." BRs are a simple and correct graphic language and methodology for practically expressing what is certain or uncertain. They are based on the Bayes formula linking conditional probabilities with joined probabilities. Bayes Formula [0048] There are facts, designated by A or B, that have probabilities of arriving P (A) and P (B). P (- A) is the probability that no A arrives. The Bayes formula says that: P (AIB) = P (A, B) / P (B) or: P (AIB) = P (BIA) .P (A) / P (B) Since: P (B) = P (BIA) .P (A) + P (BI-A) .P (-A) 13 We then write: P (AIB) = P (BIA) P (A) / (P ( BIA) .P (A) + P (BI-A) .P (-A)) The Bayes formula can be conditioned by a fact X: P (AIB, X) = P (BIA, X) .P (A , X) / P (B, X) 5 It is also necessary to specify that: P (AIB) + P (- AIB) = 1 A table of joined probabilities [0049] Let three variables A, B, C be worth true or false. A table listing all the combinations of these 3 variables can be written. There are 23 combinations. For each of these combinations, the joint probability of the combination can be given. The table thus constitutes the distribution of joined probabilities of the variables A, B, C. The sum of the probabilities in the table is worth one. If we look for the probability that A is true, it suffices to sum the 15 probabilities of the combinations of the table for which A is true. If we look for the probability that A is true and B is true, it suffices to sum the probabilities of the combinations of the table for which A is true and B true. If we look for the probability that A is true knowing that B is true, it suffices to sum all the probabilities of the combinations of the table for which A is true and B is true and to divide by the sum of the probabilities of the combinations of table for which B is true. Alea Algorithms [00513 A pseudo-random number generator is an algorithm that generates a sequence of numbers with certain properties of chance. For example, the numbers are assumed to be sufficiently independent of one another, and it is potentially difficult to identify groups of numbers that follow a certain rule (group behaviors). However, the outputs of such a generator are not entirely random; they approach only the ideal properties of the completely random sources. Since a random number generator is run on a deterministic computer, it becomes de facto a deterministic algorithm. Its outputs are inevitably tainted by a characteristic absent from a true random sequence: the periodicity. With limited resources (memory, number of registers, etc.), the generator will find the same internal state at least twice. Afterwards, he will necessarily enter a cycle. A non-periodic generator is not impossible, but requires increasing memory to not be in the same state. However, it is possible to build pseudo-random generators with a longer period than any computer could calculate. Mersenne Twister, an excellent random number generator for non-cryptographic applications, has a mathematically proven period of 219937-1, an astronomical number. In addition, this algorithm has been optimized for use in Monte Carlo simulations in a large number of fields, photon migration, genome coalescence, cell biology and computer finance. The 15 Mersenne Twister is the default random number generator in Python, Ruby, R, PHP and MATLAB. It is also available in C ++ since the 2011 version of the standard. Another proven random generator relies on the Fibonacci sequence modulo the desired maximum value: Xn (in-1 + mn-2) 111 ° d Ai with x (0) and x (1) in Entrance. We can use a variant: x'n = (27n-1, xn-k) rficed Al with x (1) .... x (k-1) at the input. the quality of the generator depends on k and the numbers used to initialize the sequence. This generator, on the other hand, is very simple to implement and consumes only a few resources. The algorithms applied in the present invention (ARGO) Exfiltration scenario execution For this algorithm, we will therefore combine the probability calculation of Bayesian networks with a random function in order to perform the simulation. The objective of this combination is to arrive at a non-predictive system and thus avoid the systematic re-play of the same scenario and therefore its immediate detection. Evaluation of the exfiltration detection This model must be probabilistic. Bayesian networks will therefore be used as the algorithmic basis. Evaluation of the protection against exfiltration This model must be probabilistic. We will use Bayesian networks as an algorithmic basis. Evaluation of the results [0059] This model must be probabilistic. We will use Bayesian networks as an algorithmic basis. Examples of Typical Functional Scenarios [0060] For example, several scenarios considered by ARGO are presented here. They allow to detail the possibilities of the application system 15 (software). Exfiltration done by an employee of the company [0061] About 80% of computer hackers come today from members of the company. It is therefore important to plan this type of scenario. In the case of a dismissal 20 [0062] When leaving the company, an employee decides to leave with the customer base which he will then use from a competitor. To do this, He chooses to send these files by mail to his home address. In this scenario, the search module D'ARGO could for example create a large Excel file named clients.xlsx with a set of name / phone number / email address 25 of fictitious contact. The analysis module will detect this file in a share which the user has access to and analyze its contents in order to validate that the file is sensitive (thanks to the names of the customers). The exfiltration module will then use the email address of the post on which it was installed to send this file as an attachment to an address @ hotmail.fr, @ gmail.com or @ yahoo.fr.
30 Dans le cadre d'un piratage interne [0063]Un employé jaloux des primes de fin d'année de ses responsables décide d'usurper les droits d'accès de la comptabilité afin d'accéder aux bulletins de salaire de tous les employés de la société. En tombant sur la prime des dirigeants, 16 3020486 il prend cela comme une injustice avérée et décide d'exfiltrer ces informations pour les communiquer à la presse. Ici, ARGO pourra créer un grand nombre de fichier PDF nommé PayeDecembre[NOM_FICTIF].pdf qu'il enregistrera dans le répertoire réseau réservé à la comptabilité. Le module analyse détectera ensuite ces fichiers 5 grâce au nom du PDG qui aura été décidé « sensible » puis exfiltrera l'ensemble du répertoire en créant une archive chiffrée qu'il déposera sur un FTP externe à la société. Exfiltration suite à piratage externe [0064]Suite à une intrusion effective, l'attaquant a réussi à mettre en place une 10 porte dérobée. Il a également gagné suffisamment de privilèges d'administration pour lancer une recherche par mot clés sur tout le réseau. Il récupère ainsi tous les fichiers sensibles qu'il exfiltre par canaux cachés en vue d'espionnage industriel et/ou de chantage. Dans ce scenario, ARGO possède les privilèges maximum. Il va tout d'abord créer tous types de document avec en titre ou dans le contenu la 15 présence des mots clé « sensibles » définis par le client. Sur plusieurs jours, il scannera ensuite tout le réseau client et exfiltrera les données pertinentes via un canal caché (half-bit channel par exemple). Exfiltration faite par un automate de collecte [0065]Suite à une intrusion réussie, l'attaquant a mis en place un malware qu'il 20 pourra contrôler à distance et qui lui envoie les informations voulues de façon automatique. Dans ce cas de figure, ARGO possède les privilèges maximum. Il va tout d'abord créer tous types de document avec en titre ou dans le contenu la présence des mots clé « sensibles » définis par le client. Il enverra ensuite un résumé de son exploration réseau (nom et taille des fichiers par exemple) à date et 25 heure fixe par tunnel SSL. Un opérateur LINEON (société créateur du système applicatif d'audit) commandera le logiciel via la brique logicielle Command etControl afin qu'il exfiltre les documents choisis. [0066]De nombreuses combinaisons peuvent être envisagées sans sortir du cadre de l'invention ; l'homme de métier choisira l'une ou l'autre en fonction des 30 contraintes économiques, ergonomiques, dimensionnelles ou autres qu'il devra respecter. 1730 In the context of internal piracy [0063] An employee jealous of the end-of-year bonuses of his managers decides to usurp the rights of access to the accounts in order to access the pay slips of all the employees of the company. the society. In falling on the premium of the leaders, 16 3020486 he takes this as a proven injustice and decides to exfiltrate this information to communicate to the press. Here, ARGO will be able to create a large number of PDF files named PayDecember [FIX_NAME] .pdf that will be saved in the network directory reserved for accounting. The analysis module will then detect these files 5 by the name of the CEO who has been decided "sensitive" then exfiltrera the entire directory by creating an encrypted archive it will file on an external FTP to the company. Exfiltration Following External Hijacking [0064] Following an effective intrusion, the attacker managed to set up a backdoor. He also gained enough administrative privileges to launch a keyword search across the entire network. It recovers all sensitive files it exfiltre by hidden channels for industrial espionage and / or blackmail. In this scenario, ARGO has the maximum privileges. First of all, it will create all types of documents with the title or in the content the presence of the "sensitive" keywords defined by the customer. Over several days, it will then scan the entire client network and extract the relevant data via a hidden channel (half-bit channel for example). Exfiltration made by a collection automaton Following a successful intrusion, the attacker has set up a malware that he can remotely control and that sends him the desired information automatically. In this case, ARGO has the maximum privileges. It will first create all types of documents with title or in the content the presence of the keywords "sensitive" defined by the customer. It will then send a summary of its network exploration (name and file size for example) to date and fixed time by SSL tunnel. A LINEON operator (company creator of the audit application system) will control the software via the Command and Control software brick so that it exfilters the chosen documents. Many combinations can be envisaged without departing from the scope of the invention; the skilled person will choose one or the other depending on the 30 economic, ergonomic, dimensional or other constraints that must be respected. 17