Gestion sécurisée de données personnelles

National audienceDans cet article, nous présentons certains travaux de l’équipe SMIS les plus enlien avec le nouveau modèle du Web Personnel Sécurisé. Nous introduisons d’aborden section 2 une famille d’architectures radicalement différente de celle du Web actuel où l’individu exerce un contrôle sur ses données personnelles depuis des composants personnels sécurisés situés aux extrémités du réseau, avec de fortes garantiesde non contournement de ses directives. Puis, nous présentons en section 3 deuxtypes de problèmes de recherche sous-jacents à ces architectures : d’une part, la problématique de gestion de données embarquées sur du matériel sécurisé, et d’autrepart, la problématique de calcul distribué sécurisé mettant en jeu de grandes populations de serveurs personnels. Nous illustrons cette approche en section 4 avec unexemple d’expérimentation terrain, le « Dossier Médico-Social Partagé » (DMSP),qui exploite ces concepts. Enfin, nous concluons en section 5 avec une discussionsur l’adoptabilité de cette approch

La sécurité des futures architectures convergentes pour des services personnalisés : aspect architectural et protocolaire

The emergence and evolution of Next Generation Networks (NGN) have raised several challenges mainly in terms of heterogeneity, mobility and security. In fact, the user is able, in such environment, to have access to many networks, via multiple devices, with a vast choice of services offered by different providers. Furthermore, end-users claim to be constantly connected anywhere, anytime and anyhow. Besides, they want to have a secure access to their services through a dynamic, seamless and continuous session according to their preferences and the desired QoS. In this context, security represents an important concern. In fact, this user-centric session should obviously be secured. However, many challenges arise. In such environment, system boundaries, which were well delimited, become increasingly open. Indeed, there are multiple services which are unknown in advance and multiple communications between services and with users. Besides, heterogeneity of involved resources (terminals, networks and services) in the user session increases the complexity of security tasks. In addition, the different types of mobility (user, terminal, network and service mobility) affect the user-centric session that should be unique, secure and seamless and ensure continuity of services.L’émergence et l’évolution des réseaux de nouvelles génération (NGN) a soulevé plusieurs défis surtout en termes d’hétérogénéité, de mobilité et de sécurité. En effet, l’utilisateur est capable, dans un tel environnement, d’avoir accès à plusieurs réseaux, à travers différents terminaux, avec un choix vaste de services fournis par différents fournisseurs. De plus, les utilisateurs finaux demandent à être constamment connectés n’importe où, n’importe quand et n’importe comment. Ils désirent également avoir un accès sécurisé à leurs services à travers une session dynamique, seamless et continue selon leurs préférences et la QoS demandée. Dans ce contexte, la sécurité représente une composante majeure. Face à cette session user-centric sécurisée, plusieurs défis se posent. L’environnement est de plus en plus ouvert, de multiples services ne sont pas connus d’avance et nous avons une diversité de communications entre les services et les utilisateurs. L’hétérogénéité des ressources (terminaux, réseaux et services) impliquées dans la session de l’utilisateur accentue la complexité des tâches de sécurité. Les différentes déclinaisons de mobilité (mobilité de l’utilisateur, mobilité du terminal, mobilité du réseau et mobilité du service) modifient la session user-centric que l’on veut unique, sécurisée et seamless avec la délivrance d’un service continu

Gestion de la sécurité dans une infrastructure de services dynamique (Une approche par gestion des risques)

Les changements de contexte économiques imposent de nouvelles stratégies organisationnelles aux entreprises : recentrages métier et développement de stratégies de collaboration interentreprises. Ces tendances du marché laissent prévoir une croissance exponentielle d écosystèmes de service accessibles à la fois aux clients finaux et aux partenaires. Tout laisse prévoir que ces écosystèmes s appuieront largement sur les architectures orientées services permettant de construire des systèmes d information capable d avoir l agilité requise et de supporter l interconnexion des processus métier collaboratifs en composant dynamiquement les processus à partir de services distribués. Ce type d architecture qui permet d assurer l alignement du système d information sur les besoins métier de l entreprise, rend indispensable la prise en compte des contraintes de sécurité tant au niveau individuel des services qu au niveau de la composition. Dans un environnement de services distribués et dynamiques, la sécurité ne doit pas se limiter à fournir des solutions technologiques mais à trouver une stratégie de sécurité prenant en compte les dimensions métier, organisationnelle et technologique. En outre, la sécurité doit être appréhendée comme un processus continu qui vise l optimisation des investissements de sécurité et assure la pérennité des mesures de sécurité mises en œuvre. Or les modèles et architectures de référence du domaine des services ont sous-estimé la définition des besoins en termes de sécurité, les biens à protéger et l identification des risques pesant sur ces biens. Pour cela, nous proposons d aborder la problématique de la sécurité par une approche de gestion des risques permettant d identifier les différents types de risques et de proposer les mesures de sécurité les plus adéquates au contexte. Toutefois, la gestion des risques s avère un vrai défi dans un environnement ouvert de services collaboratifs. En effet, les méthodes de gestion des risques développées dans le cadre des systèmes d information ne répondent pas aux exigences de sécurité dans un environnement ouvert et ne sont pas adaptées aux environnements dynamiques. Pour pallier ces limites, nous proposons un cadre méthodologique de gestion de la sécurité portant sur les phases préparation, conception, exécution et supervision du cycle de vie des services. Nous proposons un modèle de services sécurisés permettant de définir des patrons de sécurité, un modèle de classification des biens à protéger et une ontologie pour définir les concepts associés à ces biens. En outre, nous développons une méthodologie de conception d une architecture orientée services sécurisée puis abordons la construction de processus métier sécurisés avant de proposer un service de gestion des vulnérabilités de l infrastructure.Changes in economic environment impose new organizational strategies to companies: refocusing business and creating collaboration strategies. These trends point to an exponential growth of service ecosystems accessible to both end users and partners. All foreshadows that these ecosystems rely heavily on service-oriented architectures that can build information systems having the required agility and supporting the interconnection of collaborative business processes by composing processes dynamically from distributed services. This type of architecture that ensures business and information systems alignment, makes it essential to take into account security constraints at the services and the composition s levels. In a distributed and dynamic services environment, security should not be limited to providing technological solutions but to find a security strategy taking into account the business, organizational and technological dimensions. Besides, the security must be considered as an ongoing process that aims to optimize security investments and ensures the sustainability of implemented security measures. However, the models and reference architectures in the services domain have underestimated the definition of security requirements, assets to protect and the identification of risks to those assets. Therefore, we propose to address the security management issues by a risk management approach to identify the different types of risks and propose the most appropriate security measures to the context. Nevertheless, risk management is a real challenge in an open collaborative services environment. The methods of risk management developed in the context of information systems do not meet the security requirements in an open environment and are not suitable for dynamic environments. To overcome these limitations, we propose a methodological framework for security management covering the phases: preparation, design, execution and supervision of the services lifecycle. We propose a model of secure services to identify security patterns, an assets classification model and an ontology defining the concepts associated with those assets. Moreover, we develop a methodology for designing secure service oriented architectures, we address the development of secure business processes then we propose a security service for managing and supervising the infrastructure components vulnerabilities.VILLEURBANNE-DOC'INSA-Bib. elec. (692669901) / SudocSudocFranceF

Pourquoi et comment faut-il sauver la sécurité hydrique ? Changement climatique, écologie politique et services écosystémiques

Mobilizing a political ecology approach, this article calls for replacing the conventional concept of water security by the hydro-social security’ones to meet the main contemporary water issues. It aims at working for a democratization of hydro-social cycle to strengthen the building of territorialized sustainable development trajectories. From this perspective, the policy implementation of the management of scientific and societal uncertainties of ecosystem services is an essential methodological prerequisite to achieve, through a negotiation process based on democratic monetary valuation, an institutionalized and "securising" compromise between stakeholders.Mobilisant une approche d’écologie politique, la démarche exposée dans cet article invite à substituer à la notion conventionnelle de sécurité hydrique celle de sécurité hydro-sociale afin de répondre aux principaux enjeux hydriques contemporains, au premier rang desquels figure l’adaptation au changement climatique. Il s’agit alors non plus de procéder à une sociétalisation marchandisée des risques hydriques mais bien d’oeuvrer à une démocratisation des cycles hydro-sociaux afin de consolider le processus de co-construction territorialisée de trajectoires de développement soutenables. Dans une telle perspective, la mise en politique de la gestion des incertitudes scientifiques et sociétales inhérentes aux services écosystémiques représente un pré-requis méthodologique incontournable devant permettre d’aboutir, via un processus de négociation fondé sur l’évaluation monétaire démocratique, à l’élaboration de compromis institutionnalisés "sécurisants"

Modélisation et vérification de protocoles pour des communications sécurisées de groupes

Dans le monde des systèmes qui utilisent des communications sous forme de diffusion de groupes, le critère de sécurité devient un facteur de plus en plus important. Le choix des mécanismes pour la protection de cette communication, mécanismes basés sur des échanges de clés symétriques et asymétriques, influe sur l'efficacité du système. Nous avons procédé à l'analyse des besoins et nous avons défini un modèle qui permet de représenter la dynamique des groupes et la communication entre leurs membres. Nous avons défini l'architecture d'un système dont l'élément central est la fonction de création, d'échange et de mise en place correcte des clés. La modélisation de ce système dans un environnement UML 2.0 a permis son analyse en termes de garantie de propriétés temporelles et de sécurité. L'approche suivie pour l'étude des exigences temporelles est généralisable à de nombreux systèmes distribués. La valorisation de nos études a été faite dans le cadre du projet national RNRT SAFECAST. ABSTRACT : Systems that implement communications in the form of group multicast have increasingly raised security problems. The protection mechanisms applied to that communication rely on symmetrical and asymmetrical key exchanges, and the way these mechanisms are selected does influence the system's efficiency. Following an in depth analysis of the needs captured by these systems, we defined a model for representing the dynamics of groups, as well as communication among group members. We defined one system architecture which focuses on key creation, exchange and management functions. The system was modeled in UML 2.0 and checked against security and temporal properties. The approach we followed to investigate temporal requirements may be extended to a broad variety of distributed system

La Blockchain pour la gestion des informations au sein des administrations publiques marocaines : Opportunités et défis

to-day relationships of governments and citizens. With the evolution of information and communication technologies, Moroccan public administrations have been challenged to provide services more efficiently to citizens, while ensuring a high level of security, transparency, control and confidentiality of data. Information and communication technologies become an essential element for a successful public administration reform. As public administrations are responsible for the delivery of many services, they are obliged to integrate more technological tools to reduce the inefficiency of their current systems and, consequently, to clearly improve their services. Blockchain technology is one of the fundamental technological innovations in the development stage that has revolutionized the world of organizations, comparable to the invention of the Internet. It is a revolutionary potential technology with the ability to improve levels of efficiency and security within organizations, including public administrations. Based on an exploratory study, this article will aim to identify the potential changes that can be induced by the use of Blockchain for the development of information systems in Moroccan public administrations. The ultimate goal is to highlight the opportunities that can be offered to these administrations in terms of security and efficiency by transferring their informations through a distributed « Blockchain » register, without neglecting of course the challenges that may result.     JEL Classification : O32 Paper type: Empirical research L’intelligence artificielle, la technologie Blockchain, ainsi que d’autres progrès technologiques ont intensément changé les relations quotidiennes des gouvernements et des citoyens. Avec l’évolution des technologies de l’information et de la communication, les administrations marocaines nationales ont été mises au défi de fournir des services avec plus d’efficacité aux citoyens, et ce tout en garantissant un niveau élevé de sécurité, de transparence, de contrôle et de confidentialité des données.  Les technologies de l’information et de la communication deviennent un élément essentiel pour une réforme réussie de l’administration publique. En effet, les administrations publiques étant responsables de la délivrance d’une multitude nature de services se trouvent dans l’obligation d’intégrer plus d’outils technologiques leur permettant de réduire l’inefficacité de leurs systèmes actuels et, par conséquent, d’améliorer clairement leurs prestations de services.       La technologie Blockchain est l’une des innovations technologiques fondamentales en stade de développement ayant bouleversé le monde des organisations, comparable à l’invention d’Internet. C’est une technologie à potentiel révolutionnaire dotée d’une capacité d’amélioration des niveaux d’efficacité et de sécurité au sein des organisations, y compris les administrations publiques. Basé sur une étude exploratoire, cet article aura pour objectif d’identifier les changements potentiels qui peuvent être induits par l’usage de la Blockchain pour le développement des systèmes d’informations (SI) au sein des administrations publiques marocaines. Le but ultime étant de mettre le point sur les opportunités qui peuvent être offertes à ces administrations en matière de sécurité et d’efficacité en distribuant leurs informations via un registre distribué « Blockchain », sans négliger bien évidemment les défis qui peuvent y résulter.     Classification JEL : O32 Type de l’article : Recherche empirique

État des lieux des services de soutien à la gestion des données de recherche à l\u27Université de Genève

Le présent document a été rédigé à la demande du Service de Coordination de la Division de l’Information Scientifique (CODIS) de l\u27Université de Genève. Son but est de proposer un premier état des lieux du soutien à la gestion des données de recherche (GDR) au sein de l’Université de Genève, avec une attention particulière sur l’apport de la Division de l’information scientifique (DIS), et de le comparer à l’état de l’art en Suisse et à l’international. La finalité de ce travail est de permettre à la DIS de fixer les axes de développement de ses services en la matière dans le moyen/long terme. C’est également l’occasion de réfléchir à l’avenir du métier de bibliothécaire en rapport avec l’émergence de l’Open Science et en particulier de l’Open Data