La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Bernard Dousset Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505 Université de Toulouse III, 118, Route de Narbonne, F-31062 Toulouse cedex.

Présentations similaires


Présentation au sujet: "Bernard Dousset Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505 Université de Toulouse III, 118, Route de Narbonne, F-31062 Toulouse cedex."— Transcription de la présentation:

1 Bernard Dousset Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505 Université de Toulouse III, 118, Route de Narbonne, F Toulouse cedex 9 (France) Outils de fouille de données et mise en ligne sécurisée danalyses stratégiques, interrogeables depuis un SmartPhone

2 Plan Introduction Système dIntelligence Economique Processus dIE Architecture de XPlor EveryWhere (XEW) i-Phone XEW (i-XEW) Sécurisation des systèmes dIE Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET 2

3 Introduction Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET 3

4 Introduction Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET - Rechercher, surveiller, valider et rediffuser linformation stratégique. - Faire remonter les informations « terrain ». - Demander des renseignements spécifiques en Urgence. - Sécuriser lensemble des transactions 4

5 Système dIntelligence Economique Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET Alain JUILLET, Haut Responsable pour lIE auprès du Premier Ministre *« lIE est un mode de gouvernance dont lobjet est la maîtrise de linformation et qui a pour finalité la compétitivité et la sécurité de léconomie et des entreprises. » *Constructif n°8, mai 2004 Une entreprise mieux informée est une entreprise mieux défendue. 5

6 DSI BD App Server Back Office BI Adapter Veille Adapter Front Office Gestion Finance Partenaires BI Adapter CRM Veille Adapter Client Integration Broker App Server Client Système dintelligence économique Système dIntelligence Economique Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET 6

7 Cycle de lIntelligence Economique Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET 7

8 Architecture service de XEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET 8

9 Architecture technique de XEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET 9

10 Architecture logicielle du XEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET 10 Couche métier Données abstraites Couche de sécurité Base de données

11 iXEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET Interface daccueil & didentification 11

12 iXEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET Listes des agents 12

13 iXEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET Statistique descriptive 13

14 iXEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET Carte géostratégique iXEW 14

15 Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET15 iXEW Différents messages dalertes Indicateur dactivité

16 Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET16 iXEW Barre de navigation de iXEW TableView des différents acteurs

17 Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET17 iXEW Barre de recherche

18 Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET18 iXEW iXEW : Etapes de la consultation dune analyse stratégique

19 Risques de sécurité dans une plateforme dIE Etape 1: Collecte des données Un service de sécurité en matière de disponibilité, dintégrité et de confidentialité Etape 2: Traitement des données Un service de contrôle daccès mettant en œuvre des mécanismes dauthentification / autorisation. ( secret métier) Etape 3: Restitution de linformation Authentification mutuelle (plateforme/décideur) & intégrité des données Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET19

20 Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET20 Problèmes de sécurité dans une plateforme dIE Voir les dernières initiatives de la NSA et du gouvernement français via Téorem *(Bichard, 2005)

21 Problèmes de sécurité dans une plateforme dIE Importation des données Utilisation de logiciels de collecte. Sources dinformation. Aspects juridiques. Procédures de traitement et danalyse des données. Livraison de linformation. Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET21

22 Approche pour le contrôle daccès à la plateforme « Rares sont les plateformes dIE qui sont dotées dun service de sécurité qui sincère dans un projet digne de ce nom et qui respecte une politique de sécurité préétablie. Plutôt, les réponses à une attaque de sécurité sont concoctées au grès de leur apparition dans le dysfonctionnement du système » [K.J. HOLE, L-H. NETLAND, 2010][11]. Proposition dune approche de contrôle daccès dune plateforme dIE qui sétale sur tout le cycle de vie de lIE Le standard de contrôle RBAC (Role_Based Access Control) Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET22

23 Approche pour le contrôle daccès à la plateforme Politique de sécurité dans une plateforme dIE Le Service de Coordination à lIntelligence Economique (SCIE) [9], rattaché aux ministères français de lEconomie et du Budget a élaboré un guide de bonnes pratiques en matière dIE Introduisant les principes de contrôle daccès les plus indispensables pour formuler une politique de sécurité applicable à une plateforme dIE Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET23

24 Au niveau de la collecte et de limportation des données Application du principe SOD (Separation of Duty ou Séparation des tâches) [14] pour éviter le conflit dintérêt. Application de la cardinalité : Pour les sujets particulièrement sensibles à diffusion restreinte, limiter le nombre de collaborateurs impliqués dans la collecte. Pour la collecte dinformations qui ne doivent en aucun cas être divulguées (même pour obtenir une information en retour), il faut les scinder en plusieurs sujets et diversifier les contacts. Après la collecte, supprimer régulièrement les cookies de lordinateur et déconnecter la messagerie. Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET24 Approche pour le contrôle daccès à la plateforme Politique de sécurité dans une plateforme dIE

25 Au niveau du traitement et de lanalyse des données Identification des personnes qui doivent avoir accès à linformation Identification des rôles joués par chaque utilisateur. Identification des permissions associées à chaque rôle. Identification de chaque tâche associée à chaque rôle Identification des conflits entre les entités (rôles, utilisateurs, tâches) Identification des ressources Protection du corpus Respect du principe LP (Least Privilege ou minimum de privilège) [15] pour accorder à un utilisateur le plus petit ensemble de privilèges (ou permissions) qui lui sont nécessaires dans laccomplissement de la tâche quil sapprête à exécuter et non tous les privilèges liés à son rôle dans lentreprise. Etablissement dun référentiel dhistorique des accès de tous les rôles, utilisateurs et tâches. Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET25 Approche pour le contrôle daccès à la plateforme Politique de sécurité dans une plateforme dIE

26 Au niveau de la restitution de linformation aux décideurs Classification de linformation en fonction de son degré de sensibilité (générale, restreinte, confidentielle, etc…). Définir les supports de diffusion de linformation (réunions, compte-rendu, messagerie électronique, etc…) Identification des clients qui doivent avoir accès à linformation. Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET26 Approche pour le contrôle daccès à la plateforme Politique de sécurité dans une plateforme dIE

27 Mise en œuvre pratique : Sécurisation de XEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET27

28 Mise en œuvre pratique : Sécurisation de XEW Modélisation des processus de la plateforme XEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET28

29 Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle daccès RBAC Une norme ANSI 1 / INCITS 2 en 2004, RBAC 3 est le modèle de contrôle d'accès le plus rependu dans les systèmes informatiques [12]. Dans ce modèle, les permissions sont accordées aux rôles joués par les utilisateurs plutôt quaux utilisateurs eux-mêmes. Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET29 1 American National Standards Institute 2 INternational Committee for Information Technology and Security 3 Role Based Access Control

30 Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle daccès RBAC Etablissement des différents rôles et les tâches associées Les principales entités dans RBAC sont Users, Roles, Permissions and Sessions. Nous définissons: U = Ensemble des users, {u 1,u 2,…,u k } (personnes ou processus automatiques). R = Ensemble des roles, {r1,r2,…,rl}. P = Ensemble des permissions, {p1,p2,…,pm}. WS = {ws 1, ws 2, …ws n }, est lensemble des sessions. Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET30

31 ws = (w, u, state, id) est le workflow sécurisé : w est le workflow instancié par ws. u le user initialisé par ws state est létat des tâches exécutées par le user(Running, Suspended, Completed, …) id est lidentifiant de ws Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET31 Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle daccès RBAC Etablissement des différents rôles et les tâches associées

32 Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET32 Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle daccès RBAC Etablissement des différents rôles et les tâches associées RôleTâche Administrateur sécurité Protéger le système informatique et les données sensibles Collecteur-Veilleur Collecter les données au moyen de : - Flux Rss : Sinformer de lactualité sur les sites sélectionnés sans avoir à se connecter en utilisant des lecteurs de flux Rss - Les agents dalerte : Détection de changements sur une page web - Les requêtes : Recherche à partir de mots clés dans les moteurs de recherche - Les newsletters Analyste-Veilleur - Trier les informations et ne retenir que celles qui sont pertinentes - Appliquer les techniques de data-mining pour extraire des informations utiles - Organiser, structurer, hiérarchiser et rapprocher les informations - Interpréter et synthétiser les principaux résultats de lanalyse Administrateur - Valider la crédibilité de la source dinformation de la part du collecteur - Valider les informations retenues : évaluer leur exactitude et leur fiabilité Auditeur - Sinterroger sur la conformité des procedures suivies dans les différentes activités avec la politique de sécurité - Tester les résultats StagiaireRemplit lune des tâches du rôle auprès duquel il est admis

33 Le portail web de la plateforme. Les documents internes (SI, DW, Corpus, Résultats danalyses, Préconisations,....) Les documents externes (téléchargements, flux, données terrain, …) Les logiciels et applications (open sources) : méta-moteur de recherche, explorateur du web, outils de data-mining, de visualisation, … … Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET33 Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle daccès RBAC Les permissions aux objets à protéger

34 Outils cryptographiques. Référentiel des historiques daccès. Gestionnaire de worklist. Référentiels (RBAC). Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET34 Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle daccès RBAC Linfrastructure de sécurité

35 Conclusion & Perspectives On ne peut pas conclure dune manière définitive que le système est déjà parfaitement sécurisé. Identifier et analyser les risques de sécurité dans les plateformes dIE Nécessité dun service de contrôle daccès. Les bases dune approche générique de sécurité sont proposées et mises en pratique dans la plateforme dIE Xplor EveryWhere. Une étude par scénarios permet de recenser les disfonctionnements sous formes de patrons danalyse (MDA*) afin de raffiner continuellement lapproche de sécurisation de la plateforme dIE. Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET35 * Model Driven Architecture

36 Bibliographie [1] H. MARTRE, P. CLERC, C. HARBULOT, P. BAUMARD, B. FLEURY, D. VIOLLE, Rapport du Groupe Intelligence économique et stratégie des entreprises, Commissariat général du Plan, France, February [2] A. EL HADDADI, Portail Web de Veille stratégique pour Mobile. XXVII° congrès INFORSID, pp , Toulouse, mai [3] J-P BICHARD, De la veille stratégique à la sécurité de linformation, Décision Informatique, N° 625, Mars 2005 [4] CLUSIF. Club de la Sécurité de lInformation Français, Menaces informatiques et pratiques de sécurité en France, edition [5] E. B. TALBOT, D. FRINCKE, M. BISHOP, Demythifying Cybersecurity, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010 [6] J-P BICHARD, De la veille stratégique à la sécurité de linformation, Décision Informatique, N° 625, Mars 2005 [7] I. P. COOK, S. L. PFLEEGER, Security Decision Support Challenges in Data Collection and Use, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010 [8] SCIE Service de Coordination à lIntelligence Economique, Guide des bonnes pratiques en matière d'intelligence économique, Base de Connaissance AEGE, France, Février [9] D. D. CAPUTO, G. D. STEPHENS, M. A. MALOOF, Detecting Insider Theft of Trade Secrets, IEEE Security & Privacy, Vol 7, N° 6, November/December 2009 [10] A. SHABTAL, Y. FLEDEL, Y. ELOVICI, Securing Android-Powered Mobile Devices Using SELinux, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010 [11] K. J. HOLE, L-H. NETLAND, Toward Risk Assessment of Large-Impact and Rare Events, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010 [12] ANSI. American national standard for information technology – Role based access control. ANSI INCITS , February 2004 Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET36

37 Bibliographie [13] H. EL BAKKALI, H. HATIM, RB-WAC: New approach for access control in workflows, The 7th ACS/IEEE International Conference on Computer Systems and Applications (AICCSA09), May 10-13, 2009 (pp ). [14] R. A. BOTHA, J. H. P. ELOFF, Separation of duties for access control enforcement in workflow environments, IBM Systems Journal, vol 40, n° 3, 2001 (pp ). [15] K. BUYENS, B. D. WIN, W. JOOSEN, Resolving least privilege violations in software architectures, In Proceedings of the ICSE Workshop on Software Engineering for Secure Systems (ICSE/SESS09), May 19, 2009 (pp 9-16 ). [16] I. GHALAMALLAH, Proposition dun modèle danalyse exploratoire multidimensionnelle dans un contexte dintelligence économique, doctorat de luniversité de Toulouse, 18 décembre Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET37

38 Merci pour votre attention !!! Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET


Télécharger ppt "Bernard Dousset Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505 Université de Toulouse III, 118, Route de Narbonne, F-31062 Toulouse cedex."

Présentations similaires


Annonces Google