Management des réseaux personnels et de la sécurité de l'information dans une perspective d'innovation : le rôle de la culture organisationnelle

Berthevas, Jean-François

13 December 2013

Les institutions françaises sont aujourd’hui "massivement" victimes de tentatives de vol d’information. Or, l’être humain est le maillon faible des dispositifs de sécurité de l’information (SI). Notamment, l’usage des réseaux personnels par les salariés est susceptible de soutenir l’activité d’innovation… tout en créant des failles potentielles pour la SI. Ce travail doctoral vise donc en particulier à progresser dans la connaissance des facteurs humains pour améliorer les mesures de SI. Nous focalisons nos travaux sur l’échange d’informations entre salariés de toutes organisations (services de l’Etat, grandes et petites entreprises,…). Afin de répondre à notre questionnement, nous avons conçu un modèle d’analyse basé sur le contexte d’action dans lequel s’articulent notamment la mobilisation des réseaux personnels, l’influence des valeurs individuelles et organisationnelles et la perception qu’on les acteurs des mesures organisationnelles de sécurité en vigueur dans leur organisation. Nous relevons l’importance de la culture organisationnelle et du comportement perçu du manager de proximité comme des éléments clés de la SI. / French institutions are now "massively" victims of attempted theft of information . But the human being is the weakest link in security devices information (IS). In particular, the use of personal networks by employees is likely to support innovation activity ... while creating potential loopholes for IS. Therefore, in particular, this doctoral work attempts to progress in the knowledge of human factors to improve IS measures. We focus our work on information exchange between employees of all organizations (government departments, large and small enterprises, ... ) . To answer our questions, we developed a conceptual model based on the context of action that includes notably the mobilization of personal networks, the influence of individual and organizational values and actors’ perception of organizational security measures in place in their organization. We note the importance of organizational culture and behavior perceived of the local Manager as key elements of the IS.

Sécurité de l’information

Réseau personnel

Culture organisationnelle

Valeurs humaines universelles

Innovation

Étude quantitative

Enquête

Information security

Personal network

Organizational culture

Universal human values

Innovation

Quantitative study

Survey

Gestion des risques appliquée aux systèmes d’information distribués / Risk management to distributed information systems

Lalanne, Vincent

19 December 2013

Dans cette thèse nous abordons la gestion des risques appliquée aux systèmes d’information distribués. Nous traitons des problèmes d’interopérabilité et de sécurisation des échanges dans les systèmes DRM et nous proposons la mise en place de ce système pour l’entreprise: il doit nous permettre de distribuer des contenus auto-protégés. Ensuite nous présentons la participation à la création d’une entreprise innovante qui met en avant la sécurité de l’information, avec en particulier la gestion des risques au travers de la norme ISO/IEC 27005:2011. Nous présentons les risques liés à l’utilisation de services avec un accent tout particulier sur les risques autres que les risques technologiques; nous abordons les risques inhérents au cloud (défaillance d’un provider, etc...) mais également les aspects plus sournois d’espionnage et d’intrusion dans les données personnelles (Affaire PRISM en juin 2013). Dans la dernière partie nous présentons un concept de DRM d’Entreprise qui utilise les métadonnées pour déployer des contextes dans les modèles de contrôle d’usage. Nous proposons une ébauche de formalisation des métadonnées nécessaires à la mise en œuvre de la politique de sécurité et nous garantissons le respect de la réglementation et de la loi en vigueur. / In this thesis we discuss the application of risk management to distributed information systems. We handle problems of interoperability and securisation of the exchanges within DRM systems and we propose the implementation of this system for the company: it needs to permit the distribution of self-protected contents. We then present the (our) participation in the creation of an innovative company which emphasizes on the security of information, in particular the management of risks through the ISO/IEC 27005:2011 standard. We present risks related to the use of services, highlighting in particular the ones which are not technological: we approach inheritent risks in clouds (provider failure, etc ...) but also the more insidious aspects of espionage and intrusion in personal data (Case PRISM in June 2013). In the last section, we present a concept of a DRM company which uses metadata to deploy settings in usage control models. We propose a draft formalization of metadata necessary for the implementation of a security policy and guarantee respect of regulations and legislation.

ISO/IEC 27005:2011

Web Services

WS security

SOA

Cloud

Métadonnées

Données personnelles

Sécurité de l’information

Entreprise innovante

Investigation numérique

ISO / IEC 27005:2011

Web Services

WS security

SOA

Cloud

Metadata

Personal data

Information security

Innovative company

Digital forensics

Advances in public-key cryptology and computer exploitation / Avancées en cryptologie à clé publique et exploitation informatique

Géraud, Rémi

05 September 2017

La sécurité de l’information repose sur la bonne interaction entre différents niveaux d’abstraction : les composants matériels, systèmes d’exploitation, algorithmes, et réseaux de communication. Cependant, protéger ces éléments a un coût ; ainsi de nombreux appareils sont laissés sans bonne couverture. Cette thèse s’intéresse à ces différents aspects, du point de vue de la sécurité et de la cryptographie. Nous décrivons ainsi de nouveaux algorithmes cryptographiques (tels que des raffinements du chiffrement de Naccache–Stern), de nouveaux protocoles (dont un algorithme d’identification distribuée à divulgation nulle de connaissance), des algorithmes améliorés (dont un nouveau code correcteur et un algorithme efficace de multiplication d’entiers),ainsi que plusieurs contributions à visée systémique relevant de la sécurité de l’information et à l’intrusion. En outre, plusieurs de ces contributions s’attachent à l’amélioration des performances des constructions existantes ou introduites dans cette thèse. / Information security relies on the correct interaction of several abstraction layers: hardware, operating systems, algorithms, and networks. However, protecting each component of the technological stack has a cost; for this reason, many devices are left unprotected or under-protected. This thesis addresses several of these aspects, from a security and cryptography viewpoint. To that effect we introduce new cryptographic algorithms (such as extensions of the Naccache–Stern encryption scheme), new protocols (including a distributed zero-knowledge identification protocol), improved algorithms (including a new error-correcting code, and an efficient integer multiplication algorithm), as well as several contributions relevant to information security and network intrusion. Furthermore, several of these contributions address the performance of existing and newly-introduced constructions.

Cryptographie à clé publique

Signatures numériques

Codes correcteurs d’erreurs

Algorithmes

Sécurité de l’information

Espions matériels

Public-key cryptography

Zero-knowledge proofs

Digital signatures

Error-correcting codes

Algorithms

Information security

Hardware trojans

005.8

652.8