Sécurisation formelle et optimisée de réseaux informatiques

Fall, Marfall N'Diaga

16 April 2018

Les pare-feu sont des éléments cruciaux pour le renforcement de la politique de sécurité d’un réseau. Ils ont été largement déployés pour sécuriser les réseaux privés, mais leur configuration reste complexe et sujette de plusieurs anomalies. Au cours des dernières années, plusieurs techniques et outils ont été proposés pour configurer correctement un pare-feu. Cependant, la plupart de ces techniques restent informelles et ne prennent pas en compte la performance globale du réseau ou d’autres paramètres de qualités de services. Dans ce mémoire, nous introduisons une approche formelle permettant de configurer optimalement et formellement un réseau de sorte qu’il respecte une politique de sécurité donnée tout en tenant compte de ses qualités de services. / Firewalls are crucial elements in enforcing network security policies. They have been widely deployed for securing private networks but, their configuration remains complex and error prone. During the last years, many techniques and tools have been proposed to correctly configure firewalls. However, most of existing works are informal and do not take into account the global performance of the network or other qualities of its services (QoS). In this thesis we introduce a formal approach allowing to formally and optimally configure a network so that a given security policy is respected and by taking into account the QoS.

QA 76.05 2010

Coupe-feu (Sécurité informatique)

La convergence de la sécurité informatique et de la protection des renseignements personnels : vers une nouvelle approche juridique

Vicente, Ana Isabel

07 1900

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de maîtrise en droit (LL.M.) option Nouvelles technologies de l'information" / Le développement exponentiel des réseaux informatiques a largement contribué à augmenter le volume des renseignements personnels disponibles et à remplacer les méthodes désuètes de collecte des renseignements par des méthodes plus rapides et plus efficaces. La vie privée et le contrôle sur les informations personnelles, telles que nous les connaissions il y a quelques décennies, sont des notions difficilement compatibles avec la société ouverte et commerciale comme la nôtre. Face à cette nouvelle réalité menaçante pour les droits et libertés de l'homme, il est essentiel de donner un cadre technique et légal stable qui garantisse un niveau de protection adéquat de ces données personnelles. Pour rester dans le marché ou bénéficier de la confiance des individus, les entreprises et les gouvernements doivent posséder une infrastructure de sécurité informatique efficace. Cette nouvelle donne a tendance à devenir plus qu'une simple règle de compétitivité, elle se transforme en une authentique obligation légale de protéger les données à caractère personnel par des mesures de sécurité adéquates et suffisantes. Ce mémoire aborde justement ces deux points: premièrement, l'étude du développement d'une obligation légale de sécurité et ensuite, l'encadrement juridique de la mise en place d'un programme de sécurisation des données personnelles par des mesures de sécurités qui respectent les standards minimaux imposés par les textes législatifs nationaux et internationaux. / The latest development in information networks largelly contributed to the increasing amount of personal data being collected by the public and private sector and the replacement of old fashioned collection methods by faster and cheaper techniques. Notions of privacy and control of personnal data are not as we used to know them a decade ago and they became somehow incompatible with an open and commercial society in which we live. Facing this new and dangerous reality to fondamental human rights and liberties, it is pressing to give a legal and technical stable framework insuring an adequate level of protection to personnal data. To keep a competitive position in the market and maintain individuals trust in the system, companies and governments must guarantee an efficent security infrastructure. If this feature was until now a strategie advantage, it has become an authentic legal obligation to protect personnal data by suffisant safeguards. The purpose of this work is essentially consider those two statements: the study of the development of a legal obligation to guarantee the security of personnal data and the legal backing for the implementation of a security policy respecting minimal standards imposed by national and international laws.

Sécurité informatique

Renseignements personnels

Niveau de protection adéquat

Politique de sécurité

Obligation légale de sécurité

Information security

Personnal data

Adequate safeguards

Security policy

Legal obligation for security

Privatisation et commercialisation de la sécurité : nouvelles perspectives sur les relations entre secteurs public et privé

Mulone, Massimiliano

January 2008

No description available.

Commercialisation de la sécurité

Governance of security

Gouvernance de la sécurité

Governance of security

Police

Policing

Sécurité privée

Private security

Compétition

Competition

Gouvernance nodale

Nodal governance

Capital

Capital

Infrastructure de gestion de la confiance sur internet / Trust management infrastructure for internet

Vu, Van-Hoan

03 December 2010

L'établissement de la confiance est un problème qui se pose en permanence dans la vie quotidienne. Nous avons toujours besoin d'évaluer la confiance que l'on a en quelqu'un avant de décider d'entreprendre une action avec. Il s'agit bien évidemment d'une question très importante pour les applications de l'Internet où il est de plus en plus rare d'engager une transaction avec des personnes ou des entités que l'on connaîtrait au préalable. La confiance est un élément clé pour le développement et le bon fonctionnement des applications d’e-commerce et par extension de tous les services qui amènent à des interactions avec des inconnus.Le but de cette thèse est de proposer une infrastructure de gestion de la confiance qui permette à chaque participant d'exprimer sa propre politique de confiance ; politique qui guidera le comportement des applications qui fournissent ou qui permettent d'accéder à des services. Cette infrastructure met en œuvre des mécanismes de négociation qui vont permettre d'établir une confiance mutuelle entre les différents participants d'une transaction. Un des points importants de notre proposition est d'offrir un langage d'expression des politiques qui permet d'utiliser toutes les sources d'informations disponibles telles que les qualifications (credentials), la notion de réputation, de recommandation, de risque pour exprimersa politique de confiance. / Trust establishment is an important problem which often arises everyday. We need to assess the trust in someone or something before making decisions on their actions. It is also a very important problem for Internet applications where participants of a system are virtual entities. The trust establishment is a key factor for e-commerce applications and services which involve interactions with unknown users.The objective of this thesis is to build an infrastructure for trust management which allows each participant to express his own security policy. The security policy is a way for the participant to define his own access control to his own resources and services. The infrastructure provides a trust negotiation mechanism that allows two participants to establish a mutual trust between them for interactions.The important point of our proposal of an infrastructure for trust management is that we use all available information such as credentials (signed certificates), reputations, recommendations or risk information about the peer to make decisions on trust. All these factors are expressed in the security policy by using our proposed policy language.

Sécurité

Politique de sécurité

Confiance

Risque

Gestion de confiance

Gestion des risques

Négociation de la confiance

E-commerce

Protocoles de sécurité

Security

Security policies

Trust

Risk

Trust management

Risk management

Trust negociation

E-commerce

Security protocol

La convergence de la sécurité informatique et de la protection des renseignements personnels : vers une nouvelle approche juridique

Vincente, Ana Isabel

07 1900

Le développement exponentiel des réseaux informatiques a largement contribué à augmenter le volume des renseignements personnels disponibles et à remplacer les méthodes désuètes de collecte des renseignements par des méthodes plus rapides et plus efficaces. La vie privée et le contrôle sur les informations personnelles, telles que nous les connaissions il y a quelques décennies, sont des notions difficilement compatibles avec la société ouverte et commerciale comme la nôtre. Face à cette nouvelle réalité menaçante pour les droits et libertés de l'homme, il est essentiel de donner un cadre technique et légal stable qui garantisse un niveau de protection adéquat de ces données personnelles. Pour rester dans le marché ou bénéficier de la confiance des individus, les entreprises et les gouvernements doivent posséder une infrastructure de sécurité informatique efficace. Cette nouvelle donne a tendance à devenir plus qu'une simple règle de compétitivité, elle se transforme en une authentique obligation légale de protéger les données à caractère personnel par des mesures de sécurité adéquates et suffisantes. Ce mémoire aborde justement ces deux points: premièrement, l'étude du développement d'une obligation légale de sécurité et ensuite, l'encadrement juridique de la mise en place d'un programme de sécurisation des données personnelles par des mesures de sécurités qui respectent les standards minimaux imposés par les textes législatifs nationaux et internationaux. / The latest development in information networks largelly contributed to the increasing amount of personal data being collected by the public and private sector and the replacement of old fashioned collection methods by faster and cheaper techniques. Notions of privacy and control of personnal data are not as we used to know them a decade ago and they became somehow incompatible with an open and commercial society in which we live. Facing this new and dangerous reality to fondamental human rights and liberties, it is pressing to give a legal and technical stable framework insuring an adequate level of protection to personnal data. To keep a competitive position in the market and maintain individuals trust in the system, companies and governments must guarantee an efficent security infrastructure. If this feature was until now a strategie advantage, it has become an authentic legal obligation to protect personnal data by suffisant safeguards. The purpose of this work is essentially consider those two statements: the study of the development of a legal obligation to guarantee the security of personnal data and the legal backing for the implementation of a security policy respecting minimal standards imposed by national and international laws. / "Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de maîtrise en droit (LL.M.) option Nouvelles technologies de l'information"

Sécurité informatique

Renseignements personnels

Niveau de protection adéquat

Politique de sécurité

Obligation légale de sécurité

Information security

Personnal data

Adequate safeguards

Security policy

Legal obligation for security

Privatisation et commercialisation de la sécurité : nouvelles perspectives sur les relations entre secteurs public et privé

Mulone, Massimiliano

January 2008

Thèse numérisée par la Division de la gestion de documents et des archives de l'Université de Montréal

Commercialisation de la sécurité

Governance of security

Gouvernance de la sécurité

Governance of security

Police

Policing

Sécurité privée

Private security

Compétition

Competition

Gouvernance nodale

Nodal governance

Capital

Capital

Approches pour la gestion de configurations de sécurité dans les systèmes d'information distribués

Casalino, Matteo Maria

02 July 2014

La sécurité des services informatiques d'aujourd'hui dépend significativement de la bonne configuration des systèmes qui sont de plus en plus distribués. Au même temps, la gestion des configurations de sécurité est encore fortement basée sur des activités humaines, qui sont coûteuses et sujettes à erreurs. Au cours de la dernière décennie, il a été reporté à plusieurs reprises qu'une partie significative des incidents de sécurité et des pertes de données a été causée par des configurations incorrectes des systèmes. Pour résoudre ce problème, plusieurs techniques ont été proposées pour automatiser les tâches de gestion des configurations. Beaucoup d'entre elles mettent l'accent sur les phases de planification et de mise en œuvre, où les exigences et les politiques de sécurité abstraites sont conçues, harmonisées et transformées dans des configurations concrètes. Ces techniques nécessitent souvent d'opérer sur des politiques formelles ou très structurées qui se prêtent à un raisonnement automatisé, mais qui sont rarement disponibles dans la pratique. Cependant, moins d'attention a été consacrée aux phases de gestion de suivi et de changement des configurations, qui complètent les étapes précédentes en détectant et en corrigeant les erreurs afin d'assurer que les changements de configuration n'exposent pas le système à des menaces de sécurité. Les objectifs et les contributions de cette thèse se concentrent sur ce deuxième point de vue, de façon pragmatique sur la base des configurations de sécurité concrètes. En particulier, nous proposons trois contributions visant à analyser et à vérifier des configurations de sécurité

[INFO:INFO_OH] Computer Science/Other

[INFO:INFO_OH] Informatique/Autre

Politiques de sécurité

Configurations de sécurité

Analyse de configurations de sécurité

Configuration de pare-feux

Contrôle d'accès

Composition de politiques

Réécriture de politiques

PoSecCo

Assistance au développement et au test d'applications sécurisées / Assisting in secure application development and testing

Regainia, Loukmen

12 June 2018

Garantir la sécurité d’une application tout au long de son cycle de vie est une tâche fastidieuse. Le choix, l’implémentation et l’évaluation des solutions de sécurité est difficile et sujette a des erreurs. Les compétences en sécurité ne sont pas répondues dans toutes les équipes de développement. Afin de réduire ce manque de compétences en sécurité, les développeurs ont a leurs disposition une multitude de documents décrivant des problèmes de sécurité et des solutions requises (i.e., vulnérabilités, attaques, principes de sécurité, patrons sécurité, etc.). Abstraites et informelles, ces documents sont fournis par des sources différentes et leur nombre est en constante croissance. Les développeurs sont noyés dans une multitude de documents ce qui fait obstruction à leur capacité à choisir, implémenter et évaluer la sécurité d’une application. Cette thèse aborde ces questions et propose un ensemble de méthodes pour aider les développeurs à choisir, implémenter et évaluer les solutions de sécurité face aux problèmes de sécurité. Ces problèmes sont matérialisés par les failles, les vulnérabilités, les attaques, etc. et les solutions fournies par des patrons de sécurité. Cette thèse introduit en premier une méthode pour aider les développeurs dans l’implémentation de patrons de sécurité et l’estimation de leur efficacité face aux vulnérabilités. Puis elle présente trois méthodes associant les patrons de sécurité, les vulnérabilités, les attaques, etc. au sein d’une base de connaissance. Cette dernière permet une extraction automatique de classifications de patrons et améliore la rapidité et la précision des développeurs dans le choix des patrons de sécurité face à une vulnérabilité ou une attaque. En utilisant la base de connaissance, nous présentons une méthode pour aider les développeurs dans la modélisation des menaces ainsi que la générations et l’exécution des cas de test de sécurité. La méthode est évaluée et les résultats montrent que la méthode améliore l’efficacité, la compréhensibilité et la précision des développeurs dans le choix des patrons de sécurité et d’écriture des cas de test de sécurité. / Ensuring the security of an application through its life cycle is a tedious task. The choice, the implementation and the evaluation of security solutions is difficult and error prone. Security skills are not common in development teams. To overcome the lack of security skills, developers and designers are provided with a plethora of documents about security problems and solutions (i.e, vulnerabilities, attacks, security principles, security patterns, etc.). Abstract and informal, these documents are provided by different sources, and their number is constantly growing. Developers are drown in a sea of documentation, which inhibits their capacity to design, implement, and the evaluate the overall application security. This thesis tackles these issues and presents a set of approaches to help designers in the choice, the implementation and the evaluation of security solutions required to overcome security problems. The problems are materialized by weaknesses, vulnerabilities, attacks, etc. and security solutions are given by security patterns.This thesis first introduces a method to guide designers implement security patterns and assess their effectiveness against vulnerabilities. Then, we present three methods associating security patterns, attacks, weaknesses, etc. in a knowledge base. This allows automated extraction of classifications and help designers quickly and accurately select security patterns required to cure a weakness or to overcome an attack. Based on this nowledge base, we detaila method to help designers in threat modeling and security test generation and execution. The method is evaluated and results show that the method enhances the comprehensibility and the accuracy of developers in the security solutions choice, threat modeling and in the writing of security test cases.

Patrons de sécurité

Failles

Attaques

Principes de sécurité

Cycle de vie

Vérification des modèles

Test de sécurité

Security patterns

Weaknesses

Attacks

Principles

Life cycle

Model checking

Security testing

Au-delà du travailleur! : un examen de l'objet et du champ d'application de la Loi sur la santé et la sécurité du travail

Samson, Julian

24 April 2018

Ce mémoire s’intéresse à l’objet et au champ d’application de la Loi sur la santé et la sécurité du travail (LSST). Ce mémoire soutient que cette loi québécoise vise à protéger, non seulement les travailleurs, mais également : 1) d’autres personnes qui sont au travail et 2) les personnes autres que celles qui sont au travail, c’est-à-dire le public en général. En ce sens, la déclaration d’objet de la LSST, énoncée à son article 2, est incomplète et n’embrasse pas l’ensemble de son dispositif. De plus, ce mémoire reconsidère les limites du champ d’application de la LSST. Au sujet de sa dimension personnelle, est mise à mal l’idée que la présence de travailleurs est essentielle à l’application de cette loi. Au sujet de sa dimension territoriale, est réitérée l’idée que la LSST déborde du strict lieu de l’établissement et s’étend à tout lieu de travail. Enfin, émerge de la loi une dimension circonstancielle inédite reposant sur l’activité de travail. Cette dimension transcende les dimensions territoriale et personnelle, mais n’est pas bien définie et n’est pas pleinement concrétisée dans la loi. Elle parait néanmoins favoriser davantage la réalisation de l’objet de la LSST. Ces constats sur l’objet et le champ d’application émergent d’abord d’un examen de l’ensemble du texte de la LSST et de ses règlements. Ils s’expliquent également par les origines et l’historique des lois relatives à la santé et à la sécurité du travail. Malgré qu’ils soient confortés par les droits fondamentaux contenus dans les documents nationaux et internationaux en droit du travail et plus largement en matière de droit à la vie ainsi qu’à la sureté, à l’intégrité de la personne, ces constats se heurtent néanmoins au libellé de plusieurs dispositions de la LSST qui réfèrent strictement au « travailleur ». Les règles d’interprétation et les principes de droit administratif ne peuvent redresser pleinement cette situation. En définitive, ce mémoire invite le législateur à modifier la LSST afin d’améliorer la protection de la santé, de la sécurité et de l’intégrité physique de toute personne dans la réalisation d’activités de travail : l’objet fondamental de cette loi. / This thesis focuses on the object and scope of application of the Act respecting occupational health and safety (AOHS). It maintains that the purpose of this Quebec legislation is to protect not only workers, but also: 1) other persons at work and 2) persons other than those at work, namely the public at large. In this sense, the stated object of the AOHS, as worded in section 2, is incomplete and does not encompass its entire purpose. Moreover, this thesis re-examines the limits of the scope of application of the AOHS. With regard to the individual dimension of the Act, this thesis challenges the idea that the presence of workers is essential to its application. As for its territorial dimension, this thesis reiterates the idea that the AOHS goes beyond the strictly defined workplace itself and extends to any place where work is carried out. Finally, from the Act there emerges a new circumstantial dimension – based on work activity – that transcends the territorial and individual dimensions, but is not well defined and not fully reflected in the Act. However, this dimension would appear to further foster the achievement of the objectives of the AOHS. These findings regarding the object and scope of application are based, first of all, on an examination of the entire text of the Act and its attendant regulations. They are also explained by the origins and history of laws relating to occupational health and safety. Although these findings are supported by the fundamental rights stated in national and international labour law instruments and, more broadly, in legislation relating to the right to life and to personal security and inviolability, they nevertheless clash with the wording of many of the provisions of the AOHS, which refer strictly to “workers.” The rules of interpretation and the principles of administrative law cannot fully remedy this situation. Ultimately, this thesis invites the legislator to amend the AOHS to improve the protection of the health, safety and physical well-being of all individuals in the achievement of work activities, which is the fundamental object of this Act.

K 46.5 UL 2017

Les actions correctives liées à des problèmes de santé et de sécurité du travail : une étude intra-organisationnelle des facteurs influençant leur issue

Samson, Julian

17 April 2018

Ce mémoire s'intéresse à la réalisation de demandes de correctifs liés à des problèmes de santé et de sécurité du travail. Partant de travaux traitants des conditions et processus par lesquels des intervenants externes à une organisation contribuent à l'implantation de transformations et suivant une revue des écrits plus large portant sur la réalisation de transformation à visée préventive dans les milieux de travail, la présente recherche porte, quant à elle, sur un ensemble de demandes réalisées à l'intérieur d'une même organisation par ses ressources internes. L'objectif de recherche est double : (1) obtenir une meilleure compréhension de ce qui influence la réalisation de demandes de correction; (2) identifier des pistes d'amélioration du traitement des problématiques de santé et de sécurité. Suivant les travaux de Leplat et Cuny (1977), le modèle soutenant cette recherche est celui de "la fonction intégratrice de l'activité de travail" de Guérin et coll. (1991) auquel a été greffé le cycle général de résolution de problème. Les caractéristiques des acteurs, de l'organisation, des problèmes, du processus, des correctifs et de leurs conséquences forment ainsi les éléments de ce cadre théorique. La question de la réalisation de demandes de correctifs a été analysée au sein d'une usine d'une grande entreprise industrielle (>500 travailleurs). Différents intervenants de cette organisation ont été rencontrés (14 entrevues formelles et 14 heures d'enregistrement audio) et observés dans leur travail quotidien (l'équivalent de 40 heures d'accompagnement). Le tout s'est réalisé lors d'une présence en usine de 45 jours répartis à l'été et l'automne 2006. Des facteurs ont été répertoriés dans chacune des parties du cadre conceptuel développé. Sur le plan des acteurs, ces éléments sont principalement liés à des actions, appelées "stratégies", que ceux-ci peuvent poser au cours du processus. Les facteurs organisationnels apparaissent, quant à eux, plutôt circonstanciels et indépendants du correctif. Les problèmes de nature ergonomique semblent être affectés de façon similaire par ces mêmes facteurs. Toutefois, les caractéristiques intrinsèques et particulières des troubles musculo-squelettiques et des correctifs qui leur sont associés (complexité, taille), ou à tout le moins les perceptions des acteurs à cet égard, semblent à même d'expliquer un traitement possiblement moins favorable via le système utilisé.

HF 91.5 UL 2010 S193

Sécurité du travail

Hygiène industrielle

Accidents -- Prévention -- Gestion

Communication en sécurité du travail