Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques

Bou Nassar, Pascal

21 December 2012

Les changements de contexte économiques imposent de nouvelles stratégies organisationnelles aux entreprises : recentrages métier et développement de stratégies de collaboration interentreprises. Ces tendances du marché laissent prévoir une croissance exponentielle d'écosystèmes de service accessibles à la fois aux clients finaux et aux partenaires. Tout laisse prévoir que ces écosystèmes s'appuieront largement sur les architectures orientées services permettant de construire des systèmes d'information capable d'avoir l'agilité requise et de supporter l'interconnexion des processus métier collaboratifs en composant dynamiquement les processus à partir de services distribués. Ce type d'architecture qui permet d'assurer l'alignement du système d'information sur les besoins métier de l'entreprise, rend indispensable la prise en compte des contraintes de sécurité tant au niveau individuel des services qu'au niveau de la composition. Dans un environnement de services distribués et dynamiques, la sécurité ne doit pas se limiter à fournir des solutions technologiques mais à trouver une stratégie de sécurité prenant en compte les dimensions métier, organisationnelle et technologique. En outre, la sécurité doit être appréhendée comme un processus continu qui vise l'optimisation des investissements de sécurité et assure la pérennité des mesures de sécurité mises en œuvre. Or les modèles et architectures de référence du domaine des services ont sous-estimé la définition des besoins en termes de sécurité, les biens à protéger et l'identification des risques pesant sur ces biens. Pour cela, nous proposons d'aborder la problématique de la sécurité par une approche de gestion des risques permettant d'identifier les différents types de risques et de proposer les mesures de sécurité les plus adéquates au contexte. Toutefois, la gestion des risques s'avère un vrai défi dans un environnement ouvert de services collaboratifs. En effet, les méthodes de gestion des risques développées dans le cadre des systèmes d'information ne répondent pas aux exigences de sécurité dans un environnement ouvert et ne sont pas adaptées aux environnements dynamiques. Pour pallier ces limites, nous proposons un cadre méthodologique de gestion de la sécurité portant sur les phases préparation, conception, exécution et supervision du cycle de vie des services. Nous proposons un modèle de services sécurisés permettant de définir des patrons de sécurité, un modèle de classification des biens à protéger et une ontologie pour définir les concepts associés à ces biens. En outre, nous développons une méthodologie de conception d'une architecture orientée services sécurisée puis abordons la construction de processus métier sécurisés avant de proposer un service de gestion des vulnérabilités de l'infrastructure.

Informatique

Système d'information

Architecture orientée services

Sécurité

Gestion de la sécurité

Gestion des risques

Contributions au déploiement des services mobiles et à l'analyse de la sécurité des transactions

Alimi, Vincent

18 December 2012

Avec l'avènement de l'Internet grand public et des réseaux numériques, de nouvelles transactions ont vu le jour. Ces transactions, dites "électroniques", sont désormais omniprésentes et régissent notre vie quotidienne : accès par badge à un bâtiment, envoi d'un SMS ou d'un courriel, paiement sur internet, retrait d'argent à un distributeur,... Les transactions électroniques ont ouvert la voie à une multitude de possibilités déclinées sous diverses formes : le portail internet d'une banque pour consulter ses comptes, effectuer des virements ou passer des ordres en bourses; une carte à puce permettant d'ouvrir une porte ou de valider son titre de transport en commun; une application téléchargée sur un ordinateur ou un équipement mobile comme un assistant personnel numérique ou un téléphone portable. Cette dernière catégorie d'équipement mobile est extrêmement porteuse en terme d'offres de services. En effet, un mobile est un équipement nomade, connecté à l'Internet avec des débits de plus en plus élevés, et il est aussi de plus en plus puissant. Avec l'avènement de la technologie Near Field Communication et des architectures sécurisées, le mobile a maintenant la possibilité d'héberger des applications sensibles dans une puce sécurisée. Cette puce peut être la carte SIM, une puce embarquée soudée à l'électronique du mobile et une carte mémoire amovible sécurisée. Cette puce sécurisée est appelée Secure Element.Les contributions de cette thèse sont de deux ordres. Tout d'abord, nous nous sommes attachés à la conception d'une plateforme de génération automatique de scripts pour le déploiement des services mobile sans contact. Cette plateforme est basée sur une modélisation par les ontologies d'un Secure Element conforme à la spécification GlobalPlatform. Ensuite, nous avons élaboré une plateforme de test et d'analyse des transactions sans contact basée sur les techniques de fuzzing.

Monétique

Paiement mobile

Services mobiles

Aide au déploiement

Preuves de connaissances interactives et non-interactives

Blazy, Olivier

27 September 2012

Dans cette th ese, nous proposons et utilisons de nouvelles briques conduisant a des protocoles e caces dans le cadre d'une approche modulaire de la cryptographie. Tout d'abord dans un contexte non-interactif en s'appuyant sur les preuves Groth-Sahai, puis avec des interactions en permettant aux Smooth Projective Hash Functions de g erer de nouveaux langages. Dans un premier temps cette th ese s'appuie sur la m ethodologie introduite par Groth et Sahai pour des preuves de connaissance non-interactives pour d evelopper divers protocoles de signatures de groupe dans le mod ele standard, puis de signatures en blanc. Pour cela, nous proposons un syst eme permettant de signer un chi r e de mani ere telle que, sous r eserve de connaissance d'un secret ind ependant du protocole de signature, il soit possible de retrouver une signature sur un clair. Cette approche nous permet entre autre de proposer un protocole de signatures en blanc avec un nombre optimal d'interactions a la n duquel le demandeur peut utiliser une signature usuelle et ce sous des hypoth eses classiques dans le mod ele standard. Ensuite nous proposons une nouvelle m ethodologie pour faire des preuves implicites de connaissance dans un contexte interactif sans oracle al eatoire. Pour cela nous utilisons les smooth projective hash functions, dans un premier temps pour faire des Oblivious Signature-Based Envelopes, puis dans des protocoles d'authenti cation et de mise en accord de cl es. Ce faisant nous pr ecisons la notion de langage, et elargissons grandement le spectre des langages pouvant ^etre trait es a l'aide de ces SPHF. Gr^ace a ce r esultat nous introduisons le concept de LAKE (Language Authenticated Key Exchange) ou encore Echange de cl es authenti e par un langage : un moyen pour deux utilisateurs de se mettre d'accord sur une cl e si chacun poss ede un secret v eri ant une contrainte esp er ee par l'autre. Nous montrons alors comment instancier plusieurs protocoles d' echange de cl e sous ce regard plus effi cacement qu'avec les techniques actuelles, et nous prouvons la s ecurit e de nos instanciations dans le mod ele UC sous des hypoth eses usuelles.

Cryptographie

sécurité

programmabilité

Preuves

modèle standard

UC

SPHF

NIZK

signature

Protection des systèmes informatiques contre les attaques par entrées-sorties

Lone Sang, Fernand

27 November 2012

Les attaques ciblant les systèmes informatiques vont aujourd'hui au delà de simples logiciels malveillants et impliquent de plus en plus des composants matériels. Cette thèse s'intéresse à cette nouvelle classe d'attaques et traite, plus précisément, des attaques par entrées-sorties qui détournent des fonctionnalités légitimes du matériel, tels que les mécanismes entrées-sorties, à différentes fins malveillantes. L'objectif est d'étudier ces attaques, qui sont extrêmement difficiles à détecter par des techniques logicielles classiques (dans la mesure où leur mise en oeuvre ne nécessite pas l'intervention des processeurs) afin de proposer des contre-mesures adaptées, basées sur des composants matériels fiables et incontournables. Ce manuscrit se concentre sur deux cas : celui des composants matériels qui peuvent être délibérément conçus pour être malveillants et agissants de la même façon qu'un programme intégrant un cheval de Troie ; et celui des composants matériels vulnérables qui ont été modifiés par un pirate informatique, localement ou au travers du réseau, afin d'y intégrer des fonctions malveillantes (typiquement, une porte dérobée dans son firmware). Pour identifier les attaques par entrées-sorties, nous avons commencé par élaborer un modèle d'attaques qui tient compte des différents niveaux d'abstraction d'un système informatique. Nous nous sommes ensuite appuyés sur ce modèle d'attaques pour les étudier selon deux approches complémentaires : une analyse de vulnérabilités traditionnelle, consistant à identifier une vulnérabilité, développer des preuves de concept et proposer des contre-mesures ; et une analyse de vulnérabilités par fuzzing sur les bus d'entrées-sorties, reposant sur un outil d'injection de fautes que nous avons conçu, baptisé IronHide, capable de simuler des attaques depuis un composant matériel malveillant. Les résultats obtenus pour chacunes de ces approches sont discutés et quelques contre-mesures aux vulnérabilités identifiées, basées sur des composants matériels existants, sont proposées.

sécurité informatique

attaques par entrées-sorties

modèle d'attaques

analyse de vulnérabilités

fuzzing

Insertion adaptative en stéganographie : application aux images numériques dans le domaine spatial

Kouider, Sarra

17 December 2013

La stéganographie est l'art de la communication secrète. L'objectif est de dissimuler un message secret dans un médium anodin de sorte qu'il soit indétectable. De nos jours, avec la généralisation d'Internet et l'apparition des supports numériques (fichiers audio, vidéos ou images), plusieurs philosophies de conception de schéma stéganographique ont été proposées. Parmi les méthodes actuelles appliquées aux images numériques naturelles, nous trouvons les méthodes d'insertion adaptative, dont le principe repose sur la modification du médium de couverture avec une garantie d'avoir un certain niveau de sécurité. Ces méthodes représentent une véritable avancée en stéganographie.Dans ce manuscrit, après avoir rappelé les concepts récents de stéganographie adaptative, nous présentons une procédure automatique et complète pour l'insertion adaptative de données secrètes dans des images numériques naturelles. L'approche proposée est une " méta-méthode " basée " oracle ", appelée ASO (Adaptive Steganography by Oracle), qui permet de préserver à la fois la distribution de l'image de couverture et la distribution de la base d'images utilisée par l'émetteur. Notre approche permet d'obtenir des résultats nettement supérieurs aux méthodes actuelles de l'état de l'art, et est donc l'une, si ce n'est la meilleure approche du moment. Par ailleurs, nous définissons également un nouveau paradigme en stéganographie qui est la stéganographie par base, ainsi qu'une nouvelle mesure de sélection pour les images stéganographiées, permettant d'améliorer encore plus les performances de notre schéma d'insertion. Les différentes expérimentations, que nous avons effectuées sur des images réelles, ont confirmé la pertinence de cette nouvelle approche.

Stéganographie

Stéganalyse

Ensemble de classifieurs

Oracle

Carte de détectabilité

Sécurité

Application et assurance autonomes de propriétés de sécurité dans un environnement d’informatique en nuage / Autonomic enforcement and assurance of security properties in a Cloud

Bousquet, Aline

02 December 2015

Les environnements d’informatique en nuage sont des environnements hétérogènes et dynamiques, ce qui les rend complexes à sécuriser. Dans cette thèse, nous proposons un langage et une architecture permettant d’exprimer et d’appliquer des propriétés de sécurité dans un environnement en nuage. Le langage permet à un client de l’informatique en nuage d’exprimer des besoins de sécurité sans préciser comment ils seront appliqués. Le langage se base sur des contextes abstrayant les ressources et des propriétés correspondant aux besoins de sécurité. Les propriétés sont ensuite appliquées en utilisant les mécanismes de sécurité disponibles (tels que SELinux, PAM, iptables ou firewalld) via une architecture autonome. Cette architecture permet d’abstraire et de réutiliser les capacités de sécurité des mécanismes existants. Une propriété de sécurité est ainsi définie comme une combinaison de capacités et peut être appliquée grâce à la collaboration de plusieurs mécanismes. Les mécanismes sont alors automatiquement configurés en accord avec les propriétés établies par l’utilisateur. L’architecture dispose aussi d’un système d’assurance qui lui permet de détecter une défaillance d’un mécanisme ou une erreur d’application. L’architecture peut ainsi répondre aux problèmes rencontrés, par exemple en ré-appliquant des propriétés avec d’autres mécanismes. De plus, le système d’assurance fournit une évaluation de l’application des propriétés. La thèse propose ainsi un système autonome d’application et d’assurance de la sécurité dans des environnements hétérogènes. / Cloud environnements are heterogeneous and dynamic, which makes them difficult to protect. In this thesis, we introduce a language and an architecture that can be used to express and enforce security properties in a Cloud. The language allows a Cloud user to express his security requirements without specifying how they will be enforced. The language is based on contexts (to abstract the resources) and properties (to express the security requirements). The properties are then enforced through an autonomic architecture using existing and available security mechanisms (such as SELinux, PAM, iptables, or firewalld). This architecture abstracts and reuses the security capabilities of existing mechanisms. A security property is thus defined by a combination of capabilities and can be enforced through the collaboration of several mechanisms. The mechanisms are then automatically configured according to the user-defined properties. Moreover, the architecture offers an assurance system to detect the failure of a mechanism or an enforcement error. Therefore, the architecture can address any problem, for instance by re-applying a property using different mechanisms. Lastly, the assurance system provides an evaluation of the properties enforcement. This thesis hence offers an autonomic architecture to enforce and assure security in Cloud environnements.

Nuage informatique

Systèmes hétérogènes

Sécurité

Propriétés de sécurité

Assurance

Cloud computing

Heterogeneous systems

Security

Security properties

Assurance

005.8

Gestion unifiée et dynamique de la sécurité : un cadriciel dirigé par les situations / Dynamic security management : a unified framework oriented by situations

Kabbani, Bashar

29 October 2015

Les systèmes de gestion de la sécurité (SGS) font le lien entre les exigences de sécurité et le domaine d'application technique. D'un côté, le SGS doit permettre à l'administrateur sécurité de traduire les exigences de sécurité en configurations de sécurité (appelé ici le processus de déploiement). De l'autre, il doit lui fournir des mécanismes de supervision (tels que des SIEM, IDS, fichiers de logs, etc.) afin de vérifier que l'état courant du système est toujours conforme aux exigences de sécurité (appelé ici processus de supervision). Aujourd'hui, garantir que les exigences de sécurité sont respectées nécessite une intervention humaine. En effet, les processus de déploiement et de supervision ne sont pas reliés entre eux. Ainsi, les SGS ne peuvent garantir que les exigences de sécurité sont toujours respectées lorsque le comportement du système change. Dans le cadre du projet européen PREDYKOT, nous avons tenté de boucler la boucle de gestion en intégrant les informations sur le changement de comportement du système et en les injectant dans le processus de déploiement. Cela permet de faire appliquer des mesures de sécurité dynamiques en fonction des changements de comportement du système. Toutefois, il existe diverses approches pour exprimer et mettre en œuvre des politiques de sécurité. Chaque solution de gestion est dédiée à des problématiques de gestion des autorisations ou à celles des configurations de sécurité. Chaque solution fournit son propre langage de politique, son propre modèle architectural et son propre protocole de gestion. Or, il est nécessaire de gérer à la fois les autorisations et les configurations de sécurité de manière unifiée. Notre contribution porte principalement sur trois points : Le retour d'information de supervision : Le processus de supervision capture le comportement dynamique du système au travers d'évènements. Chaque évènement transporte peu de sens. Nous proposons de considérer non pas les évènements individuellement mais de les agréger pour former des situations afin d'amener plus de sémantique sur l'état du système. Nous utilisons ce concept pour relier les exigences de sécurité, les changements dans le système et les politiques de sécurité à appliquer. Un nouvel agent, appelé gestionnaire de situations, est responsable de la gestion du cycle de vie des situations (début et fin de situation, etc.) Nous avons implanté cet agent grâce à la technologie de traitement des évènements complexes. Expression de la politique : Nous proposons d'utiliser le concept de situation comme élément central pour exprimer des politiques de sécurité dynamiques. Les décisions de sécurité peuvent être alors automatiquement dirigées par les situations sans avoir besoin de changer la règle courante. Nous appliquons l'approche de contrôle d'accès à base d'attributs pour spécifier nos politiques. Cette approche orientée par les situations facilite l'écriture des règles de sécurité mais aussi leur compréhension. De plus, ces politiques étant moins techniques, elles sont plus proches des besoins métiers. L'architecture de gestion : Nous présentons une architecture de gestion orientée événement qui supporte la mise en œuvre de politiques de sécurité dirigées par les situations. Considérer les messages de gestion en terme d'évènements, nous permet d'être indépendant de tout protocole de gestion. En conséquence, notre architecture couvre de manière unifiée les approches de gestion des autorisations comme des configurations (obligations) selon les modèles de contrôle de politiques en externalisation comme en approvisionnement. De plus, les agents de gestion sont adaptables et peuvent être dynamiquement améliorés avec de nouvelles fonctionnalités de gestion si besoin. Notre cadriciel a été complètement implanté et est conforme au standard XACMLv3 d'OASIS. Enfin, nous avons évalué la généricité de notre approche à travers quatre scénarii. / A Security Management System (SMS) connects security requirements to the technical application domain. On the one hand, an SMS must allow the security administrator/officer to translate the security requirements into security configurations that is known as the enforcement process. On the other hand, it must supply the administrator/officer with monitoring features (SIEM, IDS, log files, etc.) to verify that the environments' changes do not affect the compliance to the predefined security requirements known as the monitoring process. Nowadays, guarantying security objectives requires a human intervention. Therefore, the SMS enforcement process is disconnected from the monitoring process. Thus, an SMS cannot dynamically guarantee that security requirements are still satisfied when environment behavior changings are observed. As part of the European project PREDYKOT, we have worked on closing the management loop by establishing a feedback on the dynamic behavior, captured from the environment, to impact the enforcement process. As a result, expressing and applying a dynamic security policy will be possible. However, many policy expression and enforcement approaches exist currently. Each security management solution is dedicated to some specific issues related to authorization or to system/network management. Each solution provides a specific policy language, an architectural model and a management protocol. Nevertheless, closing the management loop implies managing both authorizations and system/network configurations in a unified framework. Our contribution tackles the following three main issues: Feedback: The monitoring process captures the highly dynamics of the behavior through events. However, each event is not semantically associated with other events. We propose to get more semantics about behavior's changings thus introducing the concept of "situation" to be dealt with in security management applications. This concept aggregates events and links relevant security requirements, relevant behavior changes, and relevant policy rules. A new management agent, called the situation manager, has been added. The latter is responsible for the management process of the situations lifecycle (situation beginning and ending, etc.). We implement this software module using the complex event processing technology. Policy Expression: We propose to specify dynamic security policies oriented by situations. By doing so, the expression of the security policy rules becomes simpler to understand, easier to write and closer to the business and security needs. Hence, each relevant situation orients automatically the policy evaluation process towards a new dynamic decision that doesn't require updating the policy rules. We apply the attribute-based expression approach because of its ability to represent everything through attribute terms, which is a flexible way to express our dynamic policy rules. Enforcement Architecture: we propose a unified and adaptive architecture that supports situations-oriented policies enforcement. We choose to build an event-driven architecture. Exchanging management messages in terms of events allows our architecture to be independent from the management protocols. Thus, it covers in a unified way authorizations as well as configurations management approaches considering both provisioning and outsourcing policy control models. In addition, management agents are adaptable and can be upgraded dynamically with new management functionalities. Our framework has been implemented and is compliant with the OASIS XACMLv3 standard. Finally, we evaluated our contributed according to four different scenarios to prove its generic nature.

Gestion à base de politique

Politique de sécurité

Gestion des situations

Surveillance des situations

Adaptabilité

Autorisation dynamique

ABAC/XACML

Gestion des configurations

Gestion de la sécurité

Contribution à l'étude de l'administration internationale au service de la paix : le cas des missions de consolidation de la paix

Alesandrini, Diana-Maria

16 December 2016

L'étude des relations internationales contemporaines montre l'implication croissante de la communauté internationale et plus particulièrement des organisations internationales dans la vie interne des états. Au nom de la nécessité d'atténuer les menaces à la sécurité et à la paix internationales, le bouclier, que représentait jadis la souveraineté étatique, se fissure peu à peu et les domaines réservés aux états s'étiolent. Instituées pour préserver la paix mais confrontées à de nouvelles formes de conflits, les Nations Unies ont adapté leurs actions afin d'assurer la protection des populations. La consolidation de la paix est devenue omniprésente et pour ce faire l'ONU opte parfois pour l'administration directe de territoires. L'administration internationale de territoires n'est cependant pas un phénomène créé par les Nations Unies, puisqu'il existe un régime de l'occupation. Dans le sillage de ces occupations, a été créé un régime censé favoriser le retour de la paix. D'abord étatique, la gestion internationale des territoires a évolué. Elle s'est peu à peu institutionnalisée. Il existe des règles dédiées à la gestion d'un territoire par une autorité qui n'en émane pas : il s'agit du droit de l'occupation. Il convenait dès lors dans notre étude de s'interroger sur ces règles et d'envisager la possibilité de les appliquer aux missions de consolidation de la paix, dès lors qu'elles participent à l'administration d'un territoire et tiennent en leur pouvoir la population civile. Nous nous sommes de plus attachés à porter un regard global sur l'institutionnalisation de ce processus, tout en gardant à l'esprit les règles qui gouvernent l'occupation des territoires / Study of contemporary international relations shows the increasing involvement of the international community and especially the international organizations in states'internal affairs. On behalf of the need to mitigate the threats to security and to international peace, the shield, which once represented the state sovereignty is gradually cracked and areas reserved to the states wither. Instituted to preserve peace but confronted with new forms of conflict, the United Nations have adapted their actions to protect the population. We first experienced the maintenance of peace missions and then operations to enforce peace have emerged. Finally, peacebuilding has become ubiquitous and the United Nations sometimes opts for the direct administration of territories. The international administration of territory however is not a phenomenon created by the United Nations, since there is an occupation regime. In the wake of these occupations, was established a regime supposed to promote the return of peace. First from states, the administration of territories has evolved. It has gradually institutionalized. There are rules dedicated to the administration of a territory by an authority which does not emanate: it is the law of occupation. It was therefore appropriate in this study to question these rules and consider the possibility of applying them to peacebuilding missions, if they participate in the administration of a territory and have in their power the civilian population. We are more committed to bring a global perspective on the institutionalization of the process, keeping in mind the rules governing the occupation of the territories

Administration internationale

Consolidation de la paix

Occupation

Réforme du secteur de la sécurité

Sécurité humaine

International administration

Peacebuilding

Occupation

Security sector reform

Human security

Analyse et justification de la sécurité de systèmes robotiques en interaction physique avec l’humain / Safety analysis and justification of human-robot interactions

Do Hoang, Quynh Anh

17 March 2015

Les systèmes s’adaptant à leur environnement et en interaction physique avec l’homme se développent de plus en plus dans des domaines comme le médical, l’assistance aux personnes ou le travail en usine. Ils diffèrent des systèmes classiques par leur capacité à s’adapter à l’environnement et à prendre des décisions en tenant compte de leur perception de l’environnement et notamment de l’homme. La défaillance de tels systèmes pouvant avoir des conséquences catastrophiques sur l’homme, l’analyse et la démonstration du niveau de confiance que l’ont peut leur accorder vis-à-vis de la sécurité-innocuité, et a fortiori leur certification, constituent aujourd’hui un vrai défi. La construction d’argumentaire de sécurité (ou dossier de sécurité, ou safety case), est un des moyens permettant de préparer la certification de tels systèmes. Il s’agit principalement de justifier pour chaque danger comment il a été traité et ramené à un niveau acceptable. Malheureusement, dans le cas des systèmes robotiques, de nombreuses incertitudes subsistent, et il n’existe pas à l’heure actuelle de méthode systématique permettant la construction de tels dossiers de sécurité et la démonstration du niveau de confiance sous-jacent. L’objectif des travaux est de contribuer à la définition d’une telle méthode en partant d’une technique d’analyse du risque dédiée à l’analyse des interactions humain-robot, puis en s’appuyant sur des modèles formalisés de construire l’argumentaire de sécurité et d’évaluer automatiquement le niveau de confiance dans cet argumentaire. / Robotic systems that continuously adapt to their environment and physically interact with human are increasingly used in various fields like personal assistance or factory work. They are characterised by their ability to adapt to the environment, to take decision in the light of their perception of the environment and particularly of the human. As the failure of such systems may lead to catastrophic consequences, analysis and justification of the level of confidence in these systems with regards to safety, and furthermore their certification is a real challenge. The construction of a Safety Case is one of the means that can be used to support the certification of such systems. It is aimed at describing and justifying how every hazard has been mitigated and its severity maintained as low as reasonably possible. However, for robotic systems that have to deal with many uncertainties, there is a lack of a systematic approach to support the construction of their Safety Case and the assessment of its underlying confidence. Our research aims at contributing to the development of such a systematic approach starting with a risk analysis focusing on human-robot interactions, followed by Safety Case construction from formalized models and finally an automatic assessment of the confidence in safety argumentation. As a case study, the safety of a rehabilitation robot for strolling is analysed and justified based on the approaches developed in this thesis.

Sécurité des robots

Analyse du risque

Uml

Argumentaire de sécurité

Confiance

Robotique de service

Robot safety

Risk analysis

Safety case

Confidence

Rehabilitation robot

Gestion du contrôle de la diffusion des données d’entreprises et politiques de contrôles d’accès / Access control policies and companies data transmission management

Bertrand, Yoann

22 March 2017

Cette thèse traite des problèmes de fuite de données accidentelles au sein des entreprises. Ces fuites peuvent être dues à l’utilisation conjointe de politiques de Contrôle d’Accès (CA) et de Contrôle de Transmission (CT). De plus, l’utilisation conjointe de ces deux types de politique génère plusieurs problèmes pour les personnes ayant la charge de créer et maintenir ces politiques. Parmi ces problèmes, nous pouvons citer des problèmes de généricité des modèles existants, de cohérence entre les règles de CA et de CT ainsi que des problèmes de densité, d’adaptabilité, d’interopérabilité et de réactivité. Dans cette thèse, nous proposons en premier lieu un méta-modèle pour prendre en compte la plupart des modèles de CA utilisés dans les entreprises. Nous proposons ensuite la génération cohérente et semi-automatique des politiques de CT à partir de politiques de CA existantes pour répondre au problème de cohérence. De plus, différentes fonctionnalités sont proposées pour résoudre les problèmes de densité, d’adaptabilité et d’interopérabilité. Afin de valider la pertinence de notre solution, nous proposons une étude (type questionnaire) auprès d’experts sécurité et d’administrateurs. Cette étude révèle des informations sur la taille des politiques gérées, la pénibilité à les définir ou encore l’utilité des fonctionnalités proposées pour résoudre les problèmes précédents. Enfin, nous testons notre preuve de concept sur des données aléatoires et réelles en prenant en compte les performances et la réactivité, validant ainsi que notre solution répond bien aux problèmes soulevés. / The main objective of this thesis is to solve the problem of unintentional data leakage within companies. These leaks can be caused by the use of both Access Control (AC) and Transmission Control (TC) policies. Moreover, using both AC and TC can lead to many problems for the security experts and the administrators that are in charge of the definition and maintenance of such policies. Among these problems, we can underline the genericity problem of existing models, the coherence problem between AC and TC rules and problems such as density, adaptability, interoperability and reactivity. In this thesis, we first define a meta-model to take into account the main AC models that are used within companies. We also propose a coherent and semi-automatic generation of TC policies based on existing AC to tackle the coherence problem. Moreover, several mechanisms have been proposed to tackle complexity, adaptability and interoperability issues. In order to validate the relevance of our solution, we have first conducted a survey among security experts and administrators. This survey has highlighted several information regarding the policies’ size and density, the tiresomeness of having to define them and the interest for several functionalities that can cover the aforementioned problems. Finally, our solution has been tested on stochastically generated and real policies in order to take performances and reactivity under consideration. Results of these tests have validated that our solution covers the underlined problems.

Sécurité Informatique

Contrôle d'accès

Contrôle de transmission

Sécurité des données

Fuites de données

IT security

Access control

Transmission control

Data security

Data leakage