Intégration de la sécurité dans un cadre d’architecture d’entreprise à partir du risque
Auteur / Autrice : | Zakariya Kamagate |
Direction : | Yvon Kermarrec |
Type : | Thèse de doctorat |
Discipline(s) : | Informatique |
Date : | Soutenance le 14/12/2023 |
Etablissement(s) : | Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire |
Ecole(s) doctorale(s) : | École doctorale Sciences pour l'ingénieur et le numérique |
Partenaire(s) de recherche : | Laboratoire : Equipe SecurIty and Resilience of Information Systems - Département Informatique - Laboratoire en sciences et techniques de l'information, de la communication et de la connaissance |
Ecole : Ecole Supérieure Africaine des Technologies de l'Information et de la Communication (Abidjan ; Côte d'Ivoire) | |
Jury : | Président / Présidente : Christophe Claramunt |
Examinateurs / Examinatrices : Yvon Kermarrec, Bouabid El Ouahidi, Nabil Ammar Tabbane, Jamal El Hachem, Jacques Simonin, K. Pascal Olivier Asseu | |
Rapporteur / Rapporteuse : Bouabid El Ouahidi, Nabil Ammar Tabbane |
Résumé
Les sociétés actuelles et l’économie moderne, dépendent fortement des systèmes logiciels et leur interconnexion, qui permettent de gérer et de coordonner des actions complexes en vue de satisfaire entre autres, les besoins de performance, de productivité de l’entreprise. Cependant, ces systèmes sont devenus des éléments critiques de ces organisations, et sont au cœur de préoccupations en lien avec la sécurité. En effet, ces systèmes sont le plus souvent la cible de nombreuses cyberattaques visant à en prendre le contrôle, à obtenir des données et informations sensibles ou à les détruire. Adresser les problèmes de sécurité et de risque concernant le processus global du cycle de vie de développement des systèmes logiciels est une tâche difficile. Le plus souvent, il existe un écart entre les spécifications de sécurité définies lors de la phase des besoins du système et la mise en œuvre de la sécurité lors de la phase d’implémentation. Ce fait est dû aux méthodes de développement traditionnelles qui sont inefficaces dans un contexte de complexité des systèmes d’aujourd’hui avec des vulnérabilités résultant de leur développement et de la manière dont ces systèmes interagissent dans l’organisation. Cette thèse se concentre sur une nouvelle approche de l’intégration de la sécurité en tant que composante clé de l’architecture du système logiciel, en se basant sur l’évaluation des risques et en utilisant le cadre d’Architecture d’Entreprise (EA) TOGAF comme fondement pour définir les modèles du système ainsi que le Model Driven Engineering (MDA) de l’approche d’Ingénierie Dirigée par les Modèles (IDM) comme outil de développement. Cette thèse propose une méthodologie, combinant les méthodes STRIDE et EBIOS, pour l’identification des risques spécifiques à l’entreprise, en tenant compte des facteurs contextuels et des menaces. En utilisant le MDA, elle modélise ces risques comme contexte lié aux architectures métier, logique et physique de l’EA et ce conformément aux niveaux abstraits CIM, PIM et PSM du MDA. Ce qui permet une meilleure compréhension des interdépendances entre les composants fonctionnels et de sécurité. L’intégration de la sécurité est envisagée dès la phase des exigences et de la conception de l’architecture du système en utilisant des modèles de sécurité et des patrons architecturaux fondés sur l’EA. Le MDA permet d’automatiser le processus d’intégration en améliorant les modèles respectifs et substituant des composants de sécurité, garantissant ainsi une cohérence entre les modèles et les implémentations. La proposition vise ainsi, à rapprocher les points de vue techniques et métier sur la sécurité de l’information. Pour expérimenter le cadre proposé, une étude de cas basée sur le e-Commerce a été menée pour évaluer sa pertinence et vérifier son applicabilité en utilisant des outils MDA pour la génération de code. En définitive, cette thèse contribue ainsi à la convergence de l’Architecture d’Entreprise, de la sécurité informatique et du Model Driven Engineering (MDA) en fournissant un cadre méthodologique novateur. L’intégration de la sécurité basée sur l’évaluation des risques devient un impératif pour les organisations cherchant à préserver la confidentialité, l’intégrité et la disponibilité de leurs systèmes informatiques tout en restant agiles face aux menaces émergentes, le tout soutenu par des modèles contextuels.