Sécurité des échanges. Conception et validation d'un nouveau protocole pour la sécurisation des échanges.

Hajjeh, Ibrahim

12 1900

De nombreux mécanismes de sécurité ont été proposés pour les réseaux fixes et mobiles. Bien que ces mécanismes aient pu répondre à un ensemble d'exigences de sécurité, ils demeurent uniquement efficaces dans un contexte spécifique lié aux hypothèses et aux exigences restrictives qui ont été émises lors de la conception. Dans un premier temps, nous définissons une liste d'exigences en sécurité qui permet d'analyser les solutions de sécurité les plus déployées. Dans un second temps, nous proposons d'étendre le protocole SSL/TLS avec de nouveaux services. SSL/TLS est une solution de sécurité générique et transparente aux applications. Ainsi, il ne couvre pas les besoins spécifiques à certaines classes d'application telles que les applications de paiement sur Internet. Notre propositions d'intégrer le protocole d'échange des clés ISAKMP avec SSL/TLS permet de fournir, entre autres, la protection d'identité des utilisateurs et l'unification des associations de sécurité. Afin d'étendre l'utilisation de SSL/TLS vers les systèmes de paiement sur Internet, nous intégrons un module générique pour la génération d'une preuve de non répudiation dans le protocole SSL/TLS. Par ailleurs, toutes ces propositions restent, cernées par le problème d'interopérabilité avec les anciennes versions de chaque protocole. Ce qui rend la satisfaction de tous les besoins à travers un des protocoles existants irréalisables. Pour cela, nous proposons finalement de concevoir et de valider un nouveau protocole de sécurité qui intègre nativement l'évolution des protocoles de sécurité des échanges et des réseaux d'une manière performante. Nous avons appelé ce protocole SEP (Secure and Extensible Protocol)

Protocole de sécurité

Services de sécurité

Sécurisation des échanges

Sécurisation des réseaux

Protocole de gestion des clés

Protocole d'authentification

Ssl

Ipsec

Isakmp

Ike

Sep

Vers une nouvelle méthodologie de mesure de la performance des systèmes de management de la santé-sécurité au travail

Cambon, Julien

09 November 2007

Plus qu'un effet de mode, le Système de Management de la Santé-Sécurité au Travail (SMS) est devenu un véritable outil de progrès pour les entreprises. Nombreuses sont d'ailleurs celles ayant récemment construit un tel dispositif de gestion pour mieux gérer les risques professionnels liés à leurs activités et limiter les accidents du travail et les maladies professionnelles sur le lieu de travail. Si la mise en place de ce système ne répond à aucune obligation règlementaire en France, force est de constater que plus de deux milles entreprises françaises ont volontairement décidé de l'adopter, vingt pour cent d'entre elles ayant déjà choisi de le certifier.Les méthodologies classiques destinées à mesurer la performance de ces systèmes semblent paradoxalement présenter quelques limites. Parmi elles, les audits du SMS (audits OHSAS 18001 ou ILO-OSH 2001 par exemple) ainsi que le Système International d'Evaluation de la Sécurité (SIES) apparaissent comme les plus intéressantes mais les techniques classiques de recueil d'informations qu'elles mettent en œuvre introduisent un certain nombre de biais dans le processus d'analyse. Partant de ce constat, ce travail de recherche propose une nouvelle méthodologie de mesure de la performance des SMS, construite à partir d'un modèle de performance reprenant des fondements normatifs, organisationnels et sociologiques de la sécurité. La méthodologie présente l'avantage, par rapport à celles existantes, de donner un poids particulièrement important à la vision du personnel sur le performance du système en place, de confronter sa vision à celle plutôt normative de l'auditeur, d'améliorer le processus de recueil d'informations en faisant participer l'ensemble du personnel et de proposer une réelle démarche de quantification de la performance. La méthodologie a pu être expérimentée sur deux sites industriels français.

[SPI:OTHER] Engineering Sciences/Other

Sécurité travail

Santé travail

Sécurité

Tripod Delta

Analyse organisationnelle

Formalisation et garantie de propriétés de sécurité système : application à la détection d'intrusions

Briffaut, Jérémy

13 December 2007

Dans cette thèse, nous nous intéressons à la garantie des propriétés d'intégrité et de confidentialité d'un système d'information.<br />Nous proposons tout d'abord un langage de description des activités système servant de base à la définition d'un ensemble de propriétés de sécurité.<br />Ce langage repose sur une notion de dépendance causale entre appels système et sur des opérateurs de corrélation.<br />Grâce à ce langage, nous pouvons définir toutes les propriétés de sécurité système classiquement rencontrées dans la littérature, étendre ces propriétés et en proposer de nouvelles.<br />Afin de garantir le respect de ces propriétés, une implantation de ce langage est présentée.<br />Nous prouvons que cette implantation capture toutes les dépendances perceptibles par un système.<br />Cette méthode permet ainsi d'énumérer l'ensemble des violations possibles des propriétés modélisables par notre langage.<br />Notre solution exploite la définition d'une politique de contrôle d'accès afin de calculer différents graphes.<br />Ces graphes contiennent les terminaux du langage et permettent de garantir le respect des propriétés exprimables.<br />Nous utilisons alors cette méthode pour fournir un système de détection d'intrusion qui détecte les violations effectives des propriétés.<br />L'outil peut réutiliser les politiques de contrôle d'accès disponibles pour différents systèmes cibles DAC (Windows, Linux) ou MAC tels que SELinux et grsecurity.<br />Cet outil a été expérimenté sur un pot de miel durant plusieurs mois et permet de détecter les violations des propriétés souhaitées.

[INFO:INFO_OH] Computer Science/Other

Sécurité système

Propriété de sécurité

Détection d'intrusion

Contrôle d'accès

Contributions à la détection des comportements malhonnêtes dans les réseaux ad hoc AODV par analyse de la confiance implicite

Ayachi, Mohamed Ali

24 February 2011

La constante évolution des technologies de l'information et le penchant vers l'utilisation des machines sans fil qui se sont imposées ces dernières années ont fait émerger un nouveau type de réseaux : les réseaux sans-fil ad hoc, ou MANET (Mobile Ad hoc NETwork). Se souciant de pouvoir communiquer et de partager l'information dans n'importe quelle situation, les réseaux ad hoc sont des systèmes autonomes composés par un ensemble d'entités mobiles libres de se déplacer sans contraintes. Ces entités utilisent le médium radio pour communiquer et forment un réseau n'utilisant aucune infrastructure existante. Dans cette thèse, nous nous intéressons à sécuriser les protocoles de routage ad hoc en proposant des mécanismes de détection des actions malveillantes pour consolider les protocoles de routage et prévenir les futures attaques. Nous nous basons sur la confiance développée entre les entités pour bâtir un raisonnement sur le comportement des entités voisines. Ceci passe par une comparaison des messages échangés entre les entités du réseau ad hoc ou encore par l'analyse des incohérences dans les annonces et les ouvertures de routes afin de détecter la malhonnêteté ou la compromission d'une entité mobile. Nous choisissons d'appliquer cette approche sur le protocole réactif AODV. L'évaluation des performances de ce système de détection montre la pertinence du raisonnement sans pour autant influencer les performances du protocole. Une étude portant sur les cas de faux-positifs est aussi effectuée : nous proposons une solution pour les limiter en se basant sur le fait de ne prendre une décision que si l'entité est sûre de l'action malhonnête du voisin.

sécurité

routage

réseaux ad-hoc

MANet

AODV

sécurité du routage

confiance

gestion de la confiance

Essai de synthèse des nouveaux modes de légitimation du recours à la force et de leurs relations avec le cadre juridique de la Charte des Nations Unies

Ben Flah, Anis

January 2008

Le droit international classique n'a jamais cherché à restreindre l'usage de la guerre. Du XVIe au XIXe siècle, les États jouissaient de la libre appréciation du déclenchement des hostilités. Le recours aux forces armées était alors considéré comme une manifestation normale de leur souveraineté. Après le cataclysme de la Seconde Guerre mondiale, la Charte des Nations Unies a été conçue en 1945 dans le but de faire une coupure avec un passé sanglant. Depuis sa naissance, le système instauré par la Charte a fait l'objet de critiques. Vers la fin du XXe siècle -et cela est toujours valable aujourd'hui -, on a assisté à l'émergence de nouvelles justifications pour recourir à la force dans le contexte des relations internationales. Ces modes de légitimation du recours à la force remettent en effet en question l'idée d'exhaustivité du système de la Charte en matière d'usage de la force, ainsi que l'intégrité de la Charte en matière de sécurité collective. Notre étude vise donc à savoir si le droit international est promis à une révolution en matière de recours à la force, dans la mesure où la normalisation hypothétique de ces nouvelles justifications -qui sont parfois de nouvelles versions de justifications antérieures à la Charte -remettent en question la place de l'article 2 § 4 de la Charte dans le système juridique international contemporain. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : Charte des Nations Unies, Principe de l'interdiction de la menace et du recours à la force, Légitime défense, Sécurité collective, Conseil de sécurité, Assemblée général, Cour internationale de justice.

Nations Unies Charte

Nations Unies Conseil de sécurité

Agression internationale

Droit international

Guerre d'Irak (2003)

Légitimité

Règle de droit

Sécurité internationale

Sécurité et développement dans la politique de coopération internationale : une approche biopolitique : le cas du Canada en Haïti (1994-2008)

Deschambault, Joëlle

January 2009

Ce mémoire questionne l'intégration croissante de l'aide au développement international au sein du paradigme sécuritaire de la gouvernance mondiale. Ce paradigme est en formation depuis la fin de la guerre froide et se consolide suite aux évènements du 11 septembre 2001. Le domaine de la coopération internationale se voit graduellement intégré au sein des préoccupations sécuritaires, ce qui a comme conséquence d'en transformer considérablement les modalités et la finalité et d'influer sur les relations de pouvoir entre le Nord et le Sud. Ce mémoire tente premièrement de démontrer que ce nouveau paradigme sécuritaire se base sur les concepts de la sécurité humaine et de l'État fragile et que l'articulation entre ces deux concepts permet l'exercice d'une gouvernementalité biopolitique dans les relations de coopération internationale. Lorsque l'aide au développement est utilisée par les bailleurs de fonds au sein de leurs stratégies de sécurité comme un instrument favorisant la stabilisation des États « fragiles» et la régulation de leurs populations, elle prend alors les contours d'une technologie biopolitique. Cette affirmation est ensuite mise à l'épreuve grâce à l'analyse de la politique de coopération du Canada en Haïti, la rationalisation et l'opérationnalisation de son aide au développement sur une période de 15 ans débutant en 1994. Cet examen a permis de déterminer que l'intervention multidimensionnelle dans les États fragiles à travers laquelle l'APD est appelée à jouer un rôle important repose en fait sur une multiplicité d'objectifs. Cependant, plusieurs d'entre eux répondent effectivement à des préoccupations sécuritaires exprimées par les États interventionnistes, dont fait partie le Canada et témoignent d'un glissement sécuritaire dans le discours et la pratique de la coopération. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : Coopération internationale, Développement, Sécurité, Biopolitique, Sécurité humaine, État fragile, Canada, Haïti.

1990-1999

2000-2009

Aide au développement

Biopolitique

Coopération internationale

État défaillant

Politique étrangère

Sécurité

Sécurité publique

Canada

Haïti (République)

La sécurisation de l'immigration aux États-Unis : les présidences de Bill Clinton et George W. Bush

Miron, Alexandre

11 1900

Les attentats du 11 septembre 2001 ont mené à une réorganisation du domaine de la sécurité aux États-Unis. L'accès au territoire a alors été restreint et sécurisé. Le discours au sujet de l'immigration a aussi été touché par ces événements, mais dans quelles mesures, et pour quelles raisons? Par l'analyse des discours du Président Bush et de certains gouverneurs d'États américains entre 2003 et 2007 à travers la théorie de la sécurisation de l'École de Copenhague, l'auteur veut démontrer que l'immigration a été sécurisée, mais que le terrorisme n'est pas la cause principale de cette situation. De surcroît, en révisant les discours de Clinton (1992 à 2001) et Bush (2001 pré-11 septembre), il devient évident que l'immigration était déjà en processus de sécurisation dans le discours présidentiel durant les années 1990 et début 2000, et que les attentats n'ont fait qu'accélérer la tendance établie. L'auteur croit que les causes exactes de la sécurisation de l'immigration aux États-Unis sont l'immigration irrégulière, la criminalité et l'afflux de travailleurs irréguliers du Mexique. Après avoir visité quelques thèmes importants concernant l'immigration et son contrôle (souveraineté étatique, conséquences de la sécurisation, etc.), l'auteur signale l'échec annoncé des politiques restrictives dans ce domaine. Enfin, des pistes de solution sont proposées afin de mieux contrer le phénomène de l'immigration irrégulière qui semble être le point central vers lequel les politiques gouvernementales sont dirigées. ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : immigration, terrorisme, sécurisation, politiques migratoires, immigration irrégulière, criminalité.

1990-1999

2000-2009

Discours politique

Immigrant clandestin

Immigration

Mesures de sécurité

Politique gouvernementale

Sécurité nationale

Terrorisme

États-Unis

Apports de l'analyse de la conformité réglementaire, de l'analyse des risques professionnels et de l'évaluation du climat de sécurité à la construction de la culture de sécurité

Lefranc, Guénolé

19 December 2012

La culture de sécurité s'impose à l'agenda des entreprises. Cette notion n'est pas nouvelle puisque le terme est apparu dès la fin des années 80 suite à l'accident de Tchernobyl. L'existence d'une culture de sûreté défaillante a été la principale cause expliquant la catastrophe.L'usage du terme s'est très largement répandu et les définitions sont nombreuses. En croisant différents travaux, trois grands facteurs explicatifs se révèlent prédominants dans la culture de sécurité : les facteurs " organisationnel ", " comportemental " et " psychologique ".L'objectif de ce travail de thèse est de concevoir un " système " de modèles permettant de décrire et d'évaluer sur le terrain chacun des trois facteurs. Pour ce faire, des " raccourcis " (ou " réductions " théorique et méthodologique), qui seront discutées et justifiées, ont été explorés.Ainsi, le facteur " organisationnel " est traduit selon le processus de l'analyse des conformités légales (le rapport au prescrit). ". Le facteur " comportemental " quant à lui assimilé au processus de maîtrise des risques (le rapport au réel). Enfin, le facteur " psychologique " est directement relié au processus d'évaluation du " climat de sécurité ".Chaque processus a fait l'objet d'un effort de modélisation. Chacun des modèles a permis de repérer des variables descriptives et explicatives. Certaines ont été reliées dans le but de traduire la relation entre les trois facteurs.Le " système " de modèles ainsi constitué a fait l'objet d'une expérimentation à grande échelle conduite en partenariat avec une entreprise française de rang mondial. Deux sites ont été impliqués. La thèse détaille le cadre théorique et méthodologique. Elle présente la démarche de modélisation mise en œuvre et discute amplement des résultats de l'expérimentation. Elle propose enfin des pistes de généralisation du dispositif constitué.

Cuture de sécurité

Climat de sécurité

Conformité réglementaire

Evaluation des risques professionnels

Modèle

Expérimentation

Contribution à l'évaluation de la sécurité des systèmes complexes de transport guidé

Beugin, Julie

20 December 2006

Un système de transport guidé est un système complexe qui intègre de nombreux sous-systèmes en interaction pour garantir un déplacement en toute sécurité. Répartis sur l'ensemble du système en tant que sous-systèmes bord et sol, de tels moyens de sécurité consistent à éviter toute situation à risque pouvant mener à des conséquences graves. La sécurité nécessite d'être évaluée afin de justifier que l'ensemble des moyens mis en œuvre pour maîtriser les risques est suffisant. Cependant en raison de la complexité de ces systèmes, l'évaluation globale de la sécurité apparaît problématique.<br /><br />Ces travaux de recherche se sont consacrés à l'élaboration d'une approche d'évaluation de la sécurité focalisant sur l'ensemble du système et tenant compte des SILs (Safety Integrity Levels). Les niveaux d'intégrité de sécurité sont des exigences introduites par les normes de sécurité fonctionnelle pour fixer des objectifs à atteindre par les fonctions de sécurité selon un référentiel commun. Une quantification des profils de risque tenant compte des dépendances et des SILs de ces fonctions a d'abord été proposée, notamment par l'emploi de techniques de simulation de Monte Carlo biaisée surmontant la faible occurrence des événements de sécurité. Ensuite un exemple de système de transport guidé a été modélisé selon le concept original de situation d'exploitation développé pour considérer les différentes conditions de sécurité dont le contexte opérationnel du système, et permettre de formaliser différents profils de risque. Grâce à une maquette logicielle s'appuyant sur la modélisation précédente, plusieurs simulations du système ont été réalisées et ont mené une évaluation de la sécurité.

Gestion des risques

Transports guidés

Sécurité fonctionnelle

Niveau d'intégrité de sécurité

Simulation de Monte Carlo biaisée

Situation d'exploitation

Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques

Bou Nassar, Pascal

21 December 2012

Les changements de contexte économiques imposent de nouvelles stratégies organisationnelles aux entreprises : recentrages métier et développement de stratégies de collaboration interentreprises. Ces tendances du marché laissent prévoir une croissance exponentielle d'écosystèmes de service accessibles à la fois aux clients finaux et aux partenaires. Tout laisse prévoir que ces écosystèmes s'appuieront largement sur les architectures orientées services permettant de construire des systèmes d'information capable d'avoir l'agilité requise et de supporter l'interconnexion des processus métier collaboratifs en composant dynamiquement les processus à partir de services distribués. Ce type d'architecture qui permet d'assurer l'alignement du système d'information sur les besoins métier de l'entreprise, rend indispensable la prise en compte des contraintes de sécurité tant au niveau individuel des services qu'au niveau de la composition. Dans un environnement de services distribués et dynamiques, la sécurité ne doit pas se limiter à fournir des solutions technologiques mais à trouver une stratégie de sécurité prenant en compte les dimensions métier, organisationnelle et technologique. En outre, la sécurité doit être appréhendée comme un processus continu qui vise l'optimisation des investissements de sécurité et assure la pérennité des mesures de sécurité mises en œuvre. Or les modèles et architectures de référence du domaine des services ont sous-estimé la définition des besoins en termes de sécurité, les biens à protéger et l'identification des risques pesant sur ces biens. Pour cela, nous proposons d'aborder la problématique de la sécurité par une approche de gestion des risques permettant d'identifier les différents types de risques et de proposer les mesures de sécurité les plus adéquates au contexte. Toutefois, la gestion des risques s'avère un vrai défi dans un environnement ouvert de services collaboratifs. En effet, les méthodes de gestion des risques développées dans le cadre des systèmes d'information ne répondent pas aux exigences de sécurité dans un environnement ouvert et ne sont pas adaptées aux environnements dynamiques. Pour pallier ces limites, nous proposons un cadre méthodologique de gestion de la sécurité portant sur les phases préparation, conception, exécution et supervision du cycle de vie des services. Nous proposons un modèle de services sécurisés permettant de définir des patrons de sécurité, un modèle de classification des biens à protéger et une ontologie pour définir les concepts associés à ces biens. En outre, nous développons une méthodologie de conception d'une architecture orientée services sécurisée puis abordons la construction de processus métier sécurisés avant de proposer un service de gestion des vulnérabilités de l'infrastructure.

Informatique

Système d'information

Architecture orientée services

Sécurité

Gestion de la sécurité

Gestion des risques