Risk-aware Business Process Modelling and Trusted Deployment in the Cloud / Modélisation de processus métiers sensibilisés aux risques et déploiement en confiance dans le cloud

Goettelmann, Elio

21 October 2015

L’essor du Cloud Computing, permettant de partager les coûts et les ressources au travers de la virtualisation, présage une interconnexion dynamique et flexible entre entreprises et fournisseurs. Cependant, cette mise en commun de ressources, données et savoir-faire implique de nouvelles exigences en termes de sécurité. En effet, le manque de confiance dans les structures du Cloud est souvent vu comme un frein au développement de tels services. L’objectif de cette thèse est d’étudier les concepts d’orchestration de services, de confiance et de gestion des risques dans le contexte du Cloud. La contribution principale est un framework permettant de déployer des processus métiers dans un environnement Cloud, en limitant les risques de sécurité liés à ce contexte. La contribution peut être séparée en trois partie distinctes qui prennent la forme d'une méthode, d'un modèle et d'un framework. La méthode catégorise des techniques pour transformer un processus métier existant en un modèle sensibilisé (ou averti) qui prend en compte les risques de sécurité spécifiques aux environnements Cloud. Le modèle formalise les relations et les responsabilités entre les différents acteurs du Cloud. Ce qui permet d'identifier les différentes informations requises pour évaluer et quantifier les risques de sécurité des environnements Cloud. Le framework est une approche complète de décomposition de processus en fragments qui peuvent être automatiquement déployés sur plusieurs Clouds. Ce framework intègre également un algorithme de sélection qui combine les information de sécurité avec d'autres critère de qualité de service pour générer des configuration optimisées. Finalement, les travaux sont implémentés pour démontrer la validité de l'approche. Le framework est implémenté dans un outil. Le modèle d'évaluation des risques de sécurité Cloud est également appliqué dans un contexte de contrôle d'accès. La dernière partie présente les résultats de l'implémentation de nos travaux sur un cas d'utilisation réel. / Nowadays service ecosystems rely on dynamic software service chains that span over multiple organisations and providers. They provide an agile support for business applications, governments of end-users. This trend is reinforced by the Cloud based economy that allows sharing of costs and resources. However, the lack of trust in such cloud environments, that involve higher security requirements, is often seen as a braking force to the development of such services. The objective of this thesis is to study the concepts of service orchestration and trust in the context of the Cloud. It proposes an approach which supports a trust model in order to allow the orchestration of trusted business process components on the cloud. The contribution is threefold and consists in a method, a model and a framework. The method categorizes techniques to transform an existing business process into a risk-aware process model that takes into account security risks related to cloud environments. The model formalizes the relations and the responsibilities between the different actors of the cloud. This allows to identify the different information required to assess and quantify security risks in cloud environments. The framework is a comprehensive approach that decomposes a business process into fragments that can automatically be deployed on multiple clouds. The framework also integrates a selection algorithm that combines security information with other quality of service criteria to generate an optimized configuration. Finally, the work is implemented in order to validate the approach. The framework is implemented in a tool. The security assessment model is also applied over an access control model. The last part presents the results of the implementation of our work on a real world use case.

Gestion des Processus Métiers

Cloud Computing

Gestion des Risques de Sécurité

Business Process Management

Cloud Computing

Security Risk Management

005.8

Contribution à l’analyse critique de la norme de contrôle. : Le cas des risques opérationnels dans le secteur financier : de la normativité à l’effectivité / Risk Management Regulation : the case study of Operational Risk Management in Financial Services, form normativity to effectivity

Dufour, Nicolas

04 March 2015

L'objet du présent projet de thèse porte sur l'analyse critique des normes de contrôle du risque opérationnel. Il s'agit de mettre en lumière la manière dont le Risk Management mobilise les parties prenantes des organisations pour créer et animer une culture du risque opérationnel. L'approche retenue est la triangulation méthodologique combinant deux recherche-action réalisées au sein d'un établissement bancaire et d'une compagnie d'assurance ainsi que des entretiens semi-directifs et une analyse de contenu sur un ensemble de documents internes à chacun des cas étudiés. Les résultats de la recherche font état de la nécessité de traduire les normes de contrôle prudentiel dans l'organisation et de structurer les nombreux contrôles pour mettre en œuvre une politique de risque effective.Les récentes évolutions règlementaires dans le domaine bancaire et en assurance (Bâle 2 et Bâle 2.5, Bâle 3, Solvabilité 2) tendent à renforcer les dispositifs de contrôle interne et de Risk Management ainsi que la communication d'informations sur ces dispositifs pour une meilleure maîtrise des risques. Ainsi, le règlement CRBF 97-02 parle de filière risque opérationnel, la directive à venir Solvabilité II évoque dans son pilier 2 la nécessité de développer un contrôle interne et un Risk Management tournés vers la prise en compte du risque dans l'organisation et non seulement comme un sujet de provisionnement de fonds propres.Cependant ces efforts n'empêchent pas la survenance et la médiatisation de scandales financiers dont l'ampleur est à la hauteur des montants financiers traités. Ainsi, de nombreux établissements financiers sont touchés par le risque opérationnel. Ce risque est avant tout un risque organisationnel, contingent du facteur humain et prenant de multiples formes (les catégories baloises du risque opérationnel en sont une illustration). Les exemples de survenance de risque opérationnel sont nombreux : les cas de JP Morgan, d'UBS, de Société Générale, de Barclays, de HSBC, de Goldman Sachs en attestent. Toutefois, le risque opérationnel n'est pas seulement le fait de banques de financement et d'investissement et n'est pas uniquement un risque extrême par ses conséquences. Il concerne également les banques de détails et les sociétés d'assurance et est le plus souvent un risque de fréquence et de faible impact (fraudes aux moyens de paiement et fraude à l'assurance par exemple). La réglementation prudentielle comprend un ensemble de normes tendant à inciter les établissements financiers à mieux prendre en compte cette catégorie encore émergente et mal connue de risque (les risques de marchés ou de crédits faisant l'objet de davantage d'études).Nous décrivons et analysons l'influence de ces évolutions normatives sur les dispositifs internes de maîtrise du risque opérationnel (Risk Management opérationnel, contrôle interne) et nous interrogeons la manière dont les établissements financiers structurent leur contrôle des risques, plus particulièrement en ce qui concerne l'effectivité de ces dispositifs. Afin d'éviter de développer des contrôles manquant d'effectivité, il devient essentiel de situer cette régulation prudentielle dans une perspective de structuration des contrôles et de traduction/compréhension de la norme de contrôle. / The aim of this thesis is to bring to light the way the Risk management mobilizes the stakeholders of organizations to create and lead a culture of the operational risk.Our research approach is the methodological triangulation, combining two action-research case studies, arising within a banking institution and within an insurance company, as well as semi-directive interviews and an analysis of contents on a set of internal documents in each of the studied cases. The research results state the necessity of translating the standards of prudential control in the organization and of structuring the numerous controls to implement an effective risk mastering policy.The recent statutory evolutions in the banking and insurance sectors (Basel 2 and Basel 2.5, Basel 3, Solvency II) tend to strengthen systems of internal control and Risk Management as well as the communication of information over these devices for a better control of the risks. So, the regulation CRBF 97-02 speaks about operational risk systems, the directive to come Solvency II evokes in its pillar 2 the necessity of developing an internal control and a Risk Management turned to the consideration of the organizational risks.However these efforts do not prevent the emergence and the mediatization of financial scandals the scale of which is as high as the financial handled amounts. So, numerous financial institutions are affected by the operational risk. This risk is before any an organizational risk, a contingent of the human factor and taking multiple forms (the Basel categories of the operational risk).There are numerous examples of extremes operational risks: the cases of JP Morgan, UBS, Société Générale, Barclays, Goldman Sachs give evidence of it. However, the operational risk is not only the fact of corporate and investment banking and is not only an extreme risk by its consequences and in low probability. It also concerns retail banks and insurance companies and is most of the time a risk of frequency and low impact (frauds in payment activities, and fraud in life and non-life the insurance for instance). The prudential regulation include a set of standards tending to incite financial institutions to take into account better this category still emergent and badly known by risk (markets risks or credits risks have being the object of more studies).We describe the influence of these normative evolutions on the internal devices of the operational risk (Operational Risk Management, Internal Control) and we question the sense given by establishments to the information onto the control of the risks, more particularly as regards the effectiveness of these devices. To avoid an informative overload regarding control, it becomes essential to place this prudent regulation in perspective of structuring of the controls and the translation / understanding of the risk control standards.

Gestion des risques

Risques opérationnels

Politique de risque

Banque

Assurance

Risk Management

Operational risks

Risk policy

Banking

Insurance

658

Management of the designe process : human resource allocation in factory of the future / Gestion du processus de conception : allocation des ressources humaines dans l'usine du futur

Jin, Guangying

11 July 2019

Avec le développement rapide de l'Internet des objets et de l'économie mondiale basée sur Internet, les relations entre les différents concepteurs du monde entier sont de plus en plus importantes et sont façonnées par de nombreux nouveaux défis, telles que la multiplication des données et des informations, la personnalisation de masse, la collaboration mondiale, la pénurie de ressources, une technologie dynamique, etc. La réussite du processus de conception dépend de l'efficacité de la communication entre les acteurs du processus de conception. Cela conduit à une allocation de plus en plus complexe des ressources humaines et à une gestion des risques de plus en plus difficile dans les projets de conception. De nombreuses entreprises et instituts ont mis au point leur propre méthode d’allocation des ressources humaines et de gestion des risques pour le processus de conception. Cependant, ces méthodologies prennent en compte les compétences et l'expertise du concepteur, mais ne pensent que rarement à l'interaction de groupe, à l'expérience de collaboration et à l'analyse de la personnalité du concepteur. Par conséquent, dans ce travail, nous proposons une allocation de ressources humaines prenant en compte les idées ci-dessus pour gérer efficacement le processus de conception. / With the rapid development of internet of things and the internet driven global economy, the relationship among various designers from all over the world are getting closer, and the relationships among them in the project are shaped by many new challenges such as multiplication of data and information, mass customization, global collaboration, scarcity of resources, dynamic technology, etc. The engineering design depends on the efficiency of communication between actors in the design process. This leads to an increasingly complex of the human resource allocation and a more and more difficult risk management in design project. Many companies and institutes have developed their own human resource allocation and risk management method to the design process. However, these methodologies consider about the skills and expertise of the designer, but rarely think about the group interaction, experience working together ability and the personality analysis of the designer. Therefore, in this work, we propose human resource allocation which consider about the ideas above to effectively managing the design process.

Allocation de ressources humaines

Processus de conception

Collaboration

Gestion des risques

Portefeuille de projets

Human resource allocation

Design process

Collaboration

Risk Management

Multi-Project

Infrastructure de gestion de la confiance sur internet

Vu, Van-Hoan

03 December 2010

L'établissement de la confiance est un problème qui se pose en permanence dans la vie quotidienne. Nous avons toujours besoin d'évaluer la confiance que l'on a en quelqu'un avant de décider d'entreprendre une action avec. Il s'agit bien évidemment d'une question très importante pour les applications de l'Internet où il est de plus en plus rare d'engager une transaction avec des personnes ou des entités que l'on connaîtrait au préalable. La confiance est un élément clé pour le développement et le bon fonctionnement des applications d'e-commerce et par extension de tous les services qui amènent à des interactions avec des inconnus.Le but de cette thèse est de proposer une infrastructure de gestion de la confiance qui permette à chaque participant d'exprimer sa propre politique de confiance ; politique qui guidera le comportement des applications qui fournissent ou qui permettent d'accéder à des services. Cette infrastructure met en œuvre des mécanismes de négociation qui vont permettre d'établir une confiance mutuelle entre les différents participants d'une transaction. Un des points importants de notre proposition est d'offrir un langage d'expression des politiques qui permet d'utiliser toutes les sources d'informations disponibles telles que les qualifications (credentials), la notion de réputation, de recommandation, de risque pour exprimersa politique de confiance.

[SPI] Engineering Sciences

Sécurité

Politique de sécurité

Confiance

Risque

Gestion de confiance

Gestion des risques

Négociation de la confiance

E-commerce

Protocoles de sécurité

Analyse systémique des risques liés aux cathéters veineux centraux en service de réanimation

Pourreau, Aurélie

10 March 2008

Les cathéters veineux centraux (CVC) sont des dispositifs médicaux utilisés quotidiennement dans les unités de réanimation. Leur pose et leur maintenance ne sont pas sans présenter de risque pour les patients. De nombreuses études médicales ont été menées sur ce sujet ces dernières années afin de réduire les complications consécutives à l'utilisation de ces dispositifs. Cependant, ces recherches sont très majoritairement centrées sur l'étude du dispositif ou sur les risques inhérents au patient lui-même. Peu de recherches prennent en compte les risques liés à l'organisation des soins ou au fonctionnement des équipes. L'étude que nous avons menée dans deux unités de réanimation (Réanimation polyvalente du CHU de Saint Etienne et Réanimation chirurgicale de l'Hôpital Européen G. Pompidou à Paris) avait pour objectif d'identifier les risques associés au dispositif et au patient mais également de rechercher les facteurs de risque liés à la gestion même du dispositif et à l'organisation des équipes soignantes. In fine, ce travail de recherche permet d'identifier les scenarii de survenue des complications liées aux CVC, d'estimer leur évitabilité et de proposer par la suite des protocoles sécurisés de gestion de ces dispositifs. Dans ce but, nous avons développé une méthodologie combinant plusieurs types d'approche: * une approche médicale, avec une analyse des facteurs de risque liés au CVC et au patient, * une approche sociologique avec une analyse du fonctionnement organisationnel des unités à partir de l'adaptation d'une méthodologie issue des techniques de retour d'expérience (REXAO©), * une approche systémique avec une analyse des causes racines des diverses complications survenues. Un suivi des CVC a été mis en place grâce à un système de recueil de données, tout au long de l'année 2006. Ainsi, la gestion d'environ 600 CVC a pu être analysée. L'analyse des protocoles et des pratiques combinée à l'analyse multivariée réalisée à partir des données recueillies ont permis de mettre en évidence des facteurs de risque inhérents au patient et au mode de maintenance du dispositif. L'impact du mode de fonctionnement des équipes de soins a également été identifié notamment dans la genèse de complications mécaniques ainsi que dans leur délai de détection et de prise en charge.

Gestion de risques

cathéters veineux centraux

réanimation

analyse systémique

organisation

facteur humain

hôpital

La fatigue de compassion et les besoins en gestion des ressources humaines : les perceptions de quelques intervenants en soins du syndrome de stress post-traumatique

Violet, Jennifer

06 1900

Cette recherche a pour sujet la fatigue de compassion chez les intervenants en santé mentale. Un groupe de spécialistes dans le traitement du Trouble de Stress Opérationnel a été consulté. Par le biais d'un questionnaire et d'entrevues, il a été démontré que 60 % des intervenants présentent un risque modéré de fatigue de compassion. Les entrevues ont été conduites dans le but de déterminer les pratiques de gestion de ressources humaines pouvant réduire le risque de fatigue de compassion. L'intensité avec laquelle un intervenant peut vivre de la fatigue de compassion est influencée par ses expériences personnelles et les caractéristiques de son environnement de travail. Cette recherche permet de conclure que le soutien offert par l'équipe de travail constitue la ligne de défense principale relativement à la fatigue de compassion. Il est aussi clairement démontré qu'il n'existe pas de solution unique à la fatigue de compassion. La gestion de carrière et les programmes de mentorat représentent des pistes de solutions organisationnelles. L'écoute des intervenants permettra à un employeur de gérer les attentes et en y répondant, de diminuer les risques imposés aux intervenants. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : fatigue de compassion, pratiques de gestion de ressources humaines, trouble de stress opérationnel, stress post-traumatique.

Compassion

Fatigue

Gestion des risques

Gestion du personnel

Risque pour la santé

Service de santé mentale

Névrose post-traumatique

Stress au travail

Les déterminants de la couverture du risque par les produits dérivés : compagnies non financières du S&P/TSX 60

Essrifi, Imane

07 1900

L'utilisation des produits dérivés a suscité une large littérature traitant des déterminants de la couverture. Il reste pourtant beaucoup à faire dans ce domaine de recherche. Nous avons choisi dans ce mémoire d'étudier les déterminants de la couverture par les produits dérivés pour les firmes non financières constituant l'indice canadien S&P/TSX 60. En plus d'étudier les déterminants de la couverture dans le contexte canadien, notre étude contribue à la littérature en dressant le profil de l'utilisation des produits dérivés par type de risque, par type d'industrie et par type de produits dérivés utilisés par les 50 grandes entreprises canadiennes. A cette fin, une base de données a été constituée à l'aide de laquelle nous avons pu établir des relations statistiquement significatives entre le niveau de couverture et plusieurs déterminants. Ainsi, nos résultats suggèrent que les mesures de l'avantage de taxe, la taille de l'entreprise ainsi que les substituts de la couverture sont négativement liées à cette dernière, tandis que les mesures de la détresse financière et de sous-investissement sont positivement liées au niveau de la couverture. Nous avons établi, également, une relation positive significative entre le niveau des ventes à l'étranger et le niveau de couverture du risque de taux de change. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : Gestion des risques financiers, produits dérivés, compagnies du S&P/TSX 60, exposition, création de valeur.

Toronto Stock Exchange

Création de valeur

Entreprise cotée en bourse

Gestion des risques

Instrument dérivé (Finances)

Opération de couverture (Finance)

Risque de change

La diffusion d'alertes sur les campus : nouvelles voies de communication adaptées aux risques modernes et aux usages émergents des étudiants

Brisé, Gwenaël

06 1900

Notre recherche porte sur l'analyse de l'utilisation des Nouvelles Technologies de l'Information et de la Communication (NTIC) par les étudiants afin d'intégrer ces dernières dans un processus d'alerte sur les campus universitaires. Nous nous sommes concentrés principalement sur l'outil à utiliser pour diffuser une alerte le plus efficacement possible auprès de la population étudiante. Notre étude se base sur plusieurs notions et concepts clés : la notion de risque moderne, le principe de gestion des risques et de communication de crise, l'impact des NTIC dans le processus de gestion des risques et dans la phase d'alerte. De nature quantitative, notre recherche est basée sur les résultats d'un sondage diffusé à l'Université du Québec à Montréal (UQAM) nous permettant de connaitre les choix privilégiés des étudiants en regard des voies de communication utilisées en situation d'alerte. Il apparait que si l'intégration des NTIC dans le processus d'alerte est une nécessité pour avertir adéquatement les étudiants, il existe de réelles différences d'appropriation et d'utilisation des NTIC entre les étudiants. Ainsi, l'usage du téléphone portable est surtout privilégié par un public plus jeune, alors que l'usage des ordinateurs est privilégié par des étudiants plus âgés. Toutefois, nous constatons que l'institutionnalisation de l'alerte sur les réseaux sociaux correspondrait aux volontés de nombreux étudiants (tous âges confondus). ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : communication, risques, alertes, NTIC, réseaux sociaux, étudiants.

Université du Québec à Montréal

Étudiant universitaire

Communication du risque

Nouvelles technologies de l'information

Gestion des risques

Téléphone cellulaire

Ordinateur

Réseautage personnel (Informatique)

Secrets et vulnérabilité : le rôle des ententes de confidentialité : une étude exploratoire des entreprises de la biotechnologie

Komah, Fatoumata

09 1900

Les entreprises sont vulnérables lorsqu'elles cherchent à développer des relations inter-organisationnelles, notamment lors des phases de sélection des partenaires et de négociation des accords de R&D. Lors des phases de pré-formation de l'alliance, les entreprises sont amenées à échanger des informations confidentielles et elles signent alors des ententes de confidentialité qui apparaissent à la fois comme des mécanismes de réduction de l'incertitude, mais aussi comme des indicateurs de vulnérabilité. L'objectif de cette recherche est de comprendre dans quelle mesure une entreprise est vulnérable face aux problèmes que soulève la protection des informations confidentielles et des secrets commerciaux. En d'autres termes, quels sont les facteurs qui accroissent la vulnérabilité de l'entreprise au regard des problèmes de secret et de confidentialité et quelles en sont les conséquences? La démarche adoptée est qualitative et inductive. Des entretiens ont été menés auprès de dirigeants d'entreprise de biotechnologie en vue d'analyser et de comprendre le rôle et les conséquences des ententes de confidentialité. Ces entretiens ont été analysés à partir de la méthode de la cartographie cognitive. Ces analyses ont conduit à émettre des propositions. Nos résultats suggèrent que certains facteurs accroissent la vulnérabilité de l'entreprise, en l'occurrence : (1) une entreprise serait d'autant plus vulnérable lorsqu'elle signe un nombre important d'entente de confidentialité, (2) une entreprise serait d'autant plus vulnérable que sa technologie n'ait pas attrayante, (3) une entreprise serait vulnérable lorsque son pouvoir de négociation (au regard de sa situation financière, par exemple) est faible et (4) une entreprise serait d'autant plus vulnérable que le partenaire est un concurrent. Il serait important également de rajouter que la vulnérabilité liée à la signature des ententes de confidentialité favorise la réduction du délai d'innovation et accentue la course aux brevets. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : secret commercial, brevet, alliance en R&D, entente de confidentialité, phase de sélection du partenaire, phase de négociation, innovation

Alliance stratégique (Affaires)

Bioindustrie

Brevet d'invention

Entente de confidentialité

Gestion des risques

Innovation

Recherche et développement

Relation interorganisationnelle

Secret commercial

Application des copules à la finance de marché

Bouvier, Pierre

January 2010

L'objectif de la thèse est de montrer l'importance et l'utilité de la théorie mathématique que les copules apportent à la finance de marché. La motivation première de ces applications réside dans le fait que les comportements des rendements conjoints des marchés financiers s'éloignent de la normalité. Ainsi les méthodes statistiques traditionnelles, reposant sur cette hypothèse, ne peuvent pas être appliquées à la finance de marché. Dans cc document, avec l'aide des copules nous apportons un éclairage nouveau sur les comportements conjoints et des mesures de corrélations entre les marchés. Les copules sont des outils mathématiques puissants qui remédient aux lacunes laissées par les mesures traditionnelles de corrélations et de risque. Les copules reposent sur un cadre mathématique formel qui en permet l'application. Nous montrons aussi que les copules sont utilisées pour explorer la dépendance entre les rendements des actifs d'un portefeuille. Elles trouvent application à la valorisation de titres dont les valeurs marchandes dépendent de plusieurs actifs financiers, par exemple une option de type européen sur plusieurs actifs sous-jacents. Nous montrons aussi leurs utilités comme outils de mesure de diversification d'un portefeuille avec l'ajout de un ou plusieurs fonds de couverture. Finalement, nous exposons comment la théorie des copules vient en aide aux gestionnaires d'actifs d'une caisse de retraite dans le choix des titres et la composition d'un portefeuille. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : Copules elliptiques, Copules archimédiennes, Copules hiérarchiques, Distributions marginales, Fonctions de dépendance, Chi-plots, Tau de Kendall, Rho de Pearson, Corrélations de rangs, Valorisation d'options-plusieurs sous-jacents, Fonds de couverture.

Copule (Statistique mathématique)

Dépendance statistique

Fonds spéculatif

Gestion des risques

Gestion de portefeuille

Marché financier

Mathématique financière

Option (Finances)

Valorisation