Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques

Les changements de contexte économiques imposent de nouvelles stratégies organisationnelles aux entreprises : recentrages métier et développement de stratégies de collaboration interentreprises. Ces tendances du marché laissent prévoir une croissance exponentielle d’écosystèmes de service accessible...

Full description

Bibliographic Details
Main Author: Bou Nassar, Pascal
Other Authors: Lyon, INSA
Language:fr
Published: 2012
Subjects:
Online Access:http://www.theses.fr/2012ISAL0102/document
id ndltd-theses.fr-2012ISAL0102
record_format oai_dc
collection NDLTD
language fr
sources NDLTD
topic Informatique
Système d'information
Architecture orientée services
Sécurité
Gestion de la sécurité
Gestion des risques
Information Technology
Information system
Service-oriented architecture
Security
Security management
Risk management
658.478 072
spellingShingle Informatique
Système d'information
Architecture orientée services
Sécurité
Gestion de la sécurité
Gestion des risques
Information Technology
Information system
Service-oriented architecture
Security
Security management
Risk management
658.478 072
Bou Nassar, Pascal
Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques
description Les changements de contexte économiques imposent de nouvelles stratégies organisationnelles aux entreprises : recentrages métier et développement de stratégies de collaboration interentreprises. Ces tendances du marché laissent prévoir une croissance exponentielle d’écosystèmes de service accessibles à la fois aux clients finaux et aux partenaires. Tout laisse prévoir que ces écosystèmes s’appuieront largement sur les architectures orientées services permettant de construire des systèmes d’information capable d’avoir l’agilité requise et de supporter l’interconnexion des processus métier collaboratifs en composant dynamiquement les processus à partir de services distribués. Ce type d’architecture qui permet d’assurer l’alignement du système d’information sur les besoins métier de l’entreprise, rend indispensable la prise en compte des contraintes de sécurité tant au niveau individuel des services qu’au niveau de la composition. Dans un environnement de services distribués et dynamiques, la sécurité ne doit pas se limiter à fournir des solutions technologiques mais à trouver une stratégie de sécurité prenant en compte les dimensions métier, organisationnelle et technologique. En outre, la sécurité doit être appréhendée comme un processus continu qui vise l’optimisation des investissements de sécurité et assure la pérennité des mesures de sécurité mises en œuvre. Or les modèles et architectures de référence du domaine des services ont sous-estimé la définition des besoins en termes de sécurité, les biens à protéger et l’identification des risques pesant sur ces biens. Pour cela, nous proposons d’aborder la problématique de la sécurité par une approche de gestion des risques permettant d’identifier les différents types de risques et de proposer les mesures de sécurité les plus adéquates au contexte. Toutefois, la gestion des risques s’avère un vrai défi dans un environnement ouvert de services collaboratifs. En effet, les méthodes de gestion des risques développées dans le cadre des systèmes d’information ne répondent pas aux exigences de sécurité dans un environnement ouvert et ne sont pas adaptées aux environnements dynamiques. Pour pallier ces limites, nous proposons un cadre méthodologique de gestion de la sécurité portant sur les phases préparation, conception, exécution et supervision du cycle de vie des services. Nous proposons un modèle de services sécurisés permettant de définir des patrons de sécurité, un modèle de classification des biens à protéger et une ontologie pour définir les concepts associés à ces biens. En outre, nous développons une méthodologie de conception d’une architecture orientée services sécurisée puis abordons la construction de processus métier sécurisés avant de proposer un service de gestion des vulnérabilités de l’infrastructure. === Changes in economic environment impose new organizational strategies to companies: refocusing business and creating collaboration strategies. These trends point to an exponential growth of service ecosystems accessible to both end users and partners. All foreshadows that these ecosystems rely heavily on service-oriented architectures that can build information systems having the required agility and supporting the interconnection of collaborative business processes by composing processes dynamically from distributed services. This type of architecture that ensures business and information systems alignment, makes it essential to take into account security constraints at the services’ and the composition’s levels. In a distributed and dynamic services’ environment, security should not be limited to providing technological solutions but to find a security strategy taking into account the business, organizational and technological dimensions. Besides, the security must be considered as an ongoing process that aims to optimize security investments and ensures the sustainability of implemented security measures. However, the models and reference architectures in the services’ domain have underestimated the definition of security requirements, assets to protect and the identification of risks to those assets. Therefore, we propose to address the security management issues by a risk management approach to identify the different types of risks and propose the most appropriate security measures to the context. Nevertheless, risk management is a real challenge in an open collaborative services’ environment. The methods of risk management developed in the context of information systems do not meet the security requirements in an open environment and are not suitable for dynamic environments. To overcome these limitations, we propose a methodological framework for security management covering the phases: preparation, design, execution and supervision of the services’ lifecycle. We propose a model of secure services to identify security patterns, an assets’ classification model and an ontology defining the concepts associated with those assets. Moreover, we develop a methodology for designing secure service oriented architectures, we address the development of secure business processes then we propose a security service for managing and supervising the infrastructure components’ vulnerabilities.
author2 Lyon, INSA
author_facet Lyon, INSA
Bou Nassar, Pascal
author Bou Nassar, Pascal
author_sort Bou Nassar, Pascal
title Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques
title_short Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques
title_full Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques
title_fullStr Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques
title_full_unstemmed Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques
title_sort gestion de la sécurité dans une infrastructure de services dynamique : une approche par gestion des risques
publishDate 2012
url http://www.theses.fr/2012ISAL0102/document
work_keys_str_mv AT bounassarpascal gestiondelasecuritedansuneinfrastructuredeservicesdynamiqueuneapprochepargestiondesrisques
AT bounassarpascal securitymanagementinadynamicservicesinfrastructureariskmanagementapproach
_version_ 1719191322777092096
spelling ndltd-theses.fr-2012ISAL01022019-05-18T03:41:44Z Gestion de la sécurité dans une infrastructure de services dynamique : Une approche par gestion des risques Security management in a dynamic services' infrastructure : A risk management approach Informatique Système d'information Architecture orientée services Sécurité Gestion de la sécurité Gestion des risques Information Technology Information system Service-oriented architecture Security Security management Risk management 658.478 072 Les changements de contexte économiques imposent de nouvelles stratégies organisationnelles aux entreprises : recentrages métier et développement de stratégies de collaboration interentreprises. Ces tendances du marché laissent prévoir une croissance exponentielle d’écosystèmes de service accessibles à la fois aux clients finaux et aux partenaires. Tout laisse prévoir que ces écosystèmes s’appuieront largement sur les architectures orientées services permettant de construire des systèmes d’information capable d’avoir l’agilité requise et de supporter l’interconnexion des processus métier collaboratifs en composant dynamiquement les processus à partir de services distribués. Ce type d’architecture qui permet d’assurer l’alignement du système d’information sur les besoins métier de l’entreprise, rend indispensable la prise en compte des contraintes de sécurité tant au niveau individuel des services qu’au niveau de la composition. Dans un environnement de services distribués et dynamiques, la sécurité ne doit pas se limiter à fournir des solutions technologiques mais à trouver une stratégie de sécurité prenant en compte les dimensions métier, organisationnelle et technologique. En outre, la sécurité doit être appréhendée comme un processus continu qui vise l’optimisation des investissements de sécurité et assure la pérennité des mesures de sécurité mises en œuvre. Or les modèles et architectures de référence du domaine des services ont sous-estimé la définition des besoins en termes de sécurité, les biens à protéger et l’identification des risques pesant sur ces biens. Pour cela, nous proposons d’aborder la problématique de la sécurité par une approche de gestion des risques permettant d’identifier les différents types de risques et de proposer les mesures de sécurité les plus adéquates au contexte. Toutefois, la gestion des risques s’avère un vrai défi dans un environnement ouvert de services collaboratifs. En effet, les méthodes de gestion des risques développées dans le cadre des systèmes d’information ne répondent pas aux exigences de sécurité dans un environnement ouvert et ne sont pas adaptées aux environnements dynamiques. Pour pallier ces limites, nous proposons un cadre méthodologique de gestion de la sécurité portant sur les phases préparation, conception, exécution et supervision du cycle de vie des services. Nous proposons un modèle de services sécurisés permettant de définir des patrons de sécurité, un modèle de classification des biens à protéger et une ontologie pour définir les concepts associés à ces biens. En outre, nous développons une méthodologie de conception d’une architecture orientée services sécurisée puis abordons la construction de processus métier sécurisés avant de proposer un service de gestion des vulnérabilités de l’infrastructure. Changes in economic environment impose new organizational strategies to companies: refocusing business and creating collaboration strategies. These trends point to an exponential growth of service ecosystems accessible to both end users and partners. All foreshadows that these ecosystems rely heavily on service-oriented architectures that can build information systems having the required agility and supporting the interconnection of collaborative business processes by composing processes dynamically from distributed services. This type of architecture that ensures business and information systems alignment, makes it essential to take into account security constraints at the services’ and the composition’s levels. In a distributed and dynamic services’ environment, security should not be limited to providing technological solutions but to find a security strategy taking into account the business, organizational and technological dimensions. Besides, the security must be considered as an ongoing process that aims to optimize security investments and ensures the sustainability of implemented security measures. However, the models and reference architectures in the services’ domain have underestimated the definition of security requirements, assets to protect and the identification of risks to those assets. Therefore, we propose to address the security management issues by a risk management approach to identify the different types of risks and propose the most appropriate security measures to the context. Nevertheless, risk management is a real challenge in an open collaborative services’ environment. The methods of risk management developed in the context of information systems do not meet the security requirements in an open environment and are not suitable for dynamic environments. To overcome these limitations, we propose a methodological framework for security management covering the phases: preparation, design, execution and supervision of the services’ lifecycle. We propose a model of secure services to identify security patterns, an assets’ classification model and an ontology defining the concepts associated with those assets. Moreover, we develop a methodology for designing secure service oriented architectures, we address the development of secure business processes then we propose a security service for managing and supervising the infrastructure components’ vulnerabilities. Electronic Thesis or Dissertation Text fr http://www.theses.fr/2012ISAL0102/document Bou Nassar, Pascal 2012-12-21 Lyon, INSA Badr, Youakim Biennier, Frédérique