La détection de comportements malveillants logiciels ou matériels pendant le fonctionnement d'un système informatique demande la mise en place d'observables provenant d'une ou plusieurs couches d'abstraction de ce dernier. Cette abstraction cependant tend à limiter la capacité à détecter des déviations de comportement, surtout pour des classes d'attaques qui exploitent des vulnérabilités très proches du matériel cible. A contrario, un niveau d'abstraction trop faible tend à faire croître significativement la complexité du modèle du système et donc pose un certain nombre de difficultés pour l'extraction et la sélection des observables pertinents pour une classe d'attaque donnée.
Les compteurs de performance des processeurs ont notamment été utilisés comme moyen indirecte d'observer le comportement de la micro-architecture et détecter des logiciels tentant d'exploiter des vulnérabilités matérielles. Afin d'améliorer les différentes méthodes de détection, nous proposons la construction de métriques matérielles pensées dès la conception pour la sécurité en étudiant la corrélation entre les signaux provenant de la micro-architecture et les différentes classes d'attaque de la littérature ciblant à la fois des systèmes IT classiques et OT industriels.
Par extension, ces travaux ont pour ambition de détecter des attaques provenant de chevaux de Troie matériels, ces derniers ayant pour effet de changer le comportement d'une micro-architecture donnée.