Ce mémoire propose une démarche pour définir des politiques de sécurité adaptées aux systèmes d'informations et de communication en santé et social (SICSS). Ces systèmes couvrent l'ensemble des besoins généralement trouvés dans les autres domaines : interopérabilité des systèmes, complexité des organisations, sensibilité des informations et diversité des exigences de sécurité (confidentialité, intégrité, disponibilité et auditabilité).<br />Le but de la méthode présentée est de réaliser un bon compromis entre le respect du principe du moindre privilège et la flexibilité du contrôle d'accès. La première étape consiste à décrire le système, identifier les informations à protéger et caractériser les menaces. La politique de sécurité vient ensuite spécifier comment contrer ces menaces, en exprimant d'une part, un ensemble de propriétés de sécurité qui doivent être satisfaites, et d'autre part, un ensemble de règles permettant de modifier l'état de protection du système. Les politiques de sécurité que nous proposons ont l'originalité de tenir compte du contexte et de l'interopérabilité, et d'être suffisamment souples pour prendre en compte toute amélioration, changement ou mise à jour dans le système.<br />Par ailleurs, un nouveau modèle de contrôle d'accès est ici présenté : le modèle Or-BAC (pour Organization-Based Access Control). Ce modèle permet de prendre en compte des informations de contexte dans l'expression des règles, afin de spécifier un contrôle d'accès fin et adapté. Il est aussi un moyen de spécifier, dans un cadre homogène, plusieurs politiques de sécurité pour des organisations différentes devant coopérer. Or-BAC n'est pas restreint aux permissions, mais permet également de définir des interdictions, des obligations et des recommandations. À cet égard, Or-BAC est capable de spécifier des politiques de sécurité pour les SICSS, comme il peut être appliqué à une gamme très large d'applications complexes, interopérables et distribuées. <br />Or-BAC est d'abord représenté par des diagrammes UML, puis dans un nouveau langage logique fondé sur la logique déontique. Il est par ailleurs intégré dans une modélisation UML d'une démarche sécuritaire globale spécifiant les aspects statiques et dynamiques des phases d'authentification et d'autorisation.<br />Enfin, un prototype a été développé pour illustrer l'application de la politique et du modèle de sécurité dans le cas d'un centre dentaire.
| Identifer | oai:union.ndltd.org:CCSD/oai:tel.archives-ouvertes.fr:tel-00012162 |
| Date | 04 December 2003 |
| Creators | Abou El Kalam, Anas |
| Publisher | Institut National Polytechnique de Toulouse - INPT |
| Source Sets | CCSD theses-EN-ligne, France |
| Language | fra |
| Detected Language | French |
| Type | PhD thesis |
Page generated in 0.0018 seconds