Vers une ingénierie avancée de la sécurité des systèmes d'information d'entreprise : une approche conjointe de la sécurité, de l'utilisabilité et de la résilience dans les systèmes sociotechniques / Towards advanced enterprise information system security engineering : a joint methodology to security, usability and resilience in sociotechnical systems

Goudalo, Wilson

18 July 2017

A notre ère de l'industrie des services, des systèmes d'information jouent une place prépondérante. Ils tiennent même parfois une position vitale pour les entreprises, les organisations et les individus. Les systèmes d'information sont confrontés à de nouvelles menaces de sécurité continuellement ; celles-ci sont de plus en plus sophistiquées et de natures différentes. Dans ce contexte, il est important d'empêcher les attaquants d'atteindre leurs résultats, de gérer les failles inévitables et de minimiser leurs impacts. Les pratiques de sécurité doivent être menées dans un cadre d'ingénierie ; l'ingénierie de la sécurité doit être améliorée. Pour cela, il est proposé de développer des approches systémiques, innovantes sur de larges spectres et qui fonctionnent sur plusieurs axes ensemble, en améliorant l'expérience utilisateur. Notre objectif est de traquer et résoudre de façon conjointe les problèmes de la sécurité, de l'utilisabilité et de la résilience dans les systèmes d'information d'entreprise. Dans cette thèse, nous positionnons les systèmes sociotechniques au regard des systèmes d'information des entreprises et des organisations. Nous traitons les paradigmes de systèmes sociotechniques et nous nous recentrons sur les corrélations entre la sécurité, l’utilisabilité et la résilience. Une étude de cas illustre l'approche proposée. Elle présente l'élaboration de design patterns (modèles de conception) pour améliorer l'expérience utilisateur. La thèse se termine par une discussion globale de l’approche, ainsi que par des perspectives de recherche. / In our era of the service industry, information systems play a prominent role. They even hold a vital position for businesses, organizations and individuals. Information systems are confronted with new security threats on an ongoing basis; these threats become more and more sophisticated and of different natures. In this context, it is important to prevent attackers from achieving their results, to manage the inevitable flaws, and to minimize their impacts. Security practices must be carried out within an engineering framework; Security engineering needs to be improved. To do this, it is proposed to develop systemic approaches, innovative on wide spectra and that work on several axes together, improving the user experience. Our goal is to jointly track down and resolve issues of security, usability and resiliency in enterprise information systems. In this doctoral thesis, we position sociotechnical systems in relation to the information systems of companies and organizations. We address paradigms of sociotechnical systems and refocus on the correlations between security, usability and resilience. A case study illustrates the proposed approach. It presents the development of design patterns to improve the user experience. The thesis concludes with an overall discussion of the approach, as well as research perspectives.

Système d'information d'entreprise

Résilience de système

Sécurité de l'information

Utilisabilité

Expérience utilisateur

Système sociotechnique

Patron de conception

Enterprise Information System

System Resilience

Information Security

Usability

User experience

Socio-Technical System

Design Pattern