Modélisation et vérification du flux d'information pour les systèmes orientés objets

RÉSUMÉ Afin d'assurer la protection de la confidentialité et l'intégrité des systèmes orientés objet, cet article propose une modèle d'étiquettes décentralisées (méfiance mutuelle et sécurité décentralisée) pour le contrôle des flux d'information dans des modèles UML et son intégration dans UML. Le document présente la syntaxe et la sémantique formelle des modèles UML (les diagrammes de classes, diagrammes d'objets et diagrammes d'états) étendus avec des fonctionnalités supplémentaires qui prennent en charge le contrôle des flux d'information. Il prend en charge la vérification du flux d'information à l'exécution et permet de s'assurer que le système n'admet que des flux d'information légaux. Ainsi des politiques de sécurité flexibles sont définies sur des diagrammes UML juste en les étiquetant. Le contrôle du flot de données et des canaux de transmission est effectué au niveau des diagrammes de classes, diagrammes d'objets et diagrammes d'états. Cela permet de définir le flux d'information lorsque le comportement des objets changent.----------ABSTRACT For protection of the confidentiality and integrity of object-oriented systems, this paper proposes a decentralized label model for control of information flow in UML system models with mutual distrust and decentralized security and its integration into UML. The paper introduces UML (class diagrams, object and statecharts) syntax and formal semantics extensions with additional features that support information flow control. It supports run-time verification of information flow so that the system model can be certified to permit only admissible information flows. Using this, flexible security policies can be easily defined through UML diagrams just by labelling them. The control of data flows and transmitting channels is performed at the level of Class diagrams, Object diagrams and Statechart diagrams. This allows to define information flow when the behaviour of objects change

Génération de tests de vulnérabilité web à partir de modèles

National audienceCet article concerne la génération automatique de tests de vulnérabilité à partir de modèles pour applications Web. Les technologies de génération de tests à partir de modèles sont aujourd'hui principalement mises en œuvre dans le contexte du test fonctionnel. L'application de ces techniques au test de vulnérabilité sur applications Web en renouvelle les problématiques de recherche, tant au niveau de la modélisation, du pilotage de la génération des tests qu'au niveau de l'assignation du verdict de test. Cet article présente une approche originale pour la génération de tests de vulnérabilité fondée sur une modélisation du comportement fonctionnel de l'application sous test et sur la formalisation des attaques à tester sous la forme de schémas de tests. Ces schémas définissent ainsi la stratégie de génération des tests de vulnérabilité. Cette approche est illustrée sur un exemple de site Web vulnérable (l'application DVWA)

Mobilité et bases de données : Etat de l'art et perspectives: 1ère partie. Action spécifique CNRS « Mobilité/Accès aux données »

National audienceThis paper is the result of the collective work done within the CNRS specific action Mobility/Data access with seven french laboratories IMAG-LSR, INT-Evry, LIP6, LORIA, PRiSM, EPFL, LIRMM . All pursuiving research in mobile computing and mobile databases. The action started in October 2001 for an initial period of one year. The activities and results of this action are available online at [AS_BDMobile]. The objective of this paper is to review the state of progress in mobile databases and identify major research directions. However, the research domain is so broad that we cannot pretend to be exhaustive. First, we propose a classification of mobile applications and a characterization of their execution environments. Then, we analyze the following issues: management of localization data, data access models, copy consistency and synchronization, management of embedded data, data confidentiality, and adaptability of software infrastructures to mobility and disconnection. For editorial reasons, this paper is published as a chronicle with two parts of equal importance.Ce document est le résultat d'un travail collectif réalisé par les membres de l'action spécifique CNRS « Mobilité/Accès aux données ». Il fait le point sur l'état d'avancement des travaux réalisés dans le domaine des bases de données mobiles et identifie quelques orientations de recherche jugées particulièrement pertinentes. Compte tenu de la largeur du domaine, ce document ne prétend cependant pas à l'exhaustivité. Après une classification des applications mobiles et une caractérisation de leur environnement d'exécution, les problématiques suivantes sont analysées : gestion des données de localisation, modèles d'accès aux données, cohérence des traitements et synchronisation de copies, gestion de données embarquées, confidentialité des données et enfin adaptabilité des infrastructures logicielles à la mobilité et à la déconnexion

Une logique modale pour raisonner sur la cohérence et la complétude de réglementations

Nous nous intéressons dans ce papier aux réglementations qui peuvent exister dans des systèmes multi-agents pour réguler les comportements des agents. Plus précisément, nous travaillons sur deux propriétés des réglementations, la cohérence et la complétude. Après avoir donné une définition de ces deux notions, nous proposons un cadre permettant de compléter de façon cohérente une réglementation incomplète. Nous considérons dans l'article que les réglementations sont exprimées dans une logique déontique du premier ordre

L’apport des SI aux outils de gestion dans les organisations étendues ? Le cas des roadmaps de management.

Les filières se sont profondément transformées pour répondre aux nouveaux impératifs issus du marché et aux tendances économiques structurelles, amenant les entreprises à se reconfigurer avec notamment l’apparition de formes hybrides (entreprise réseau, entreprise virtuelle, entreprise étendue) se situant entre le marché et la hiérarchie (Richardson, 1972 ; Thorelli, 1986 ; Williamson, 1985 ; Konsynski, 1993 ; Jarillo, 1993). Les systèmes de pilotage doivent alors assurer le déploiement de la stratégie dans l’ensemble de l’organisation dont le périmètre peux varier au gré des actions stratégiques. Ces systèmes reposent de plus en plus sur des outils de gestion mais peu répondent vraiment aux spécificités des nouvelles configurations ou se revendiquent comme permettant de les piloter. En parallèle, les Systèmes d’Information (SI) se sont diffusés massivement dans les organisations pour soutenir des processus relevant de plus en plus du pilotage des organisations et des outils de gestion. L’objet de cet article est de déterminer quel peut être le rôle joué par un SI dans la diffusion d’un outil de gestion au sein d’organisations de type entreprise étendue. Nous réaliserons dans une première partie une analyse des rôles des SI dans la diffusion des outils de gestion, notamment au travers des dimensions du pilotage, du contrôle et de la coordination. Dans la seconde partie, nous présenterons notre méthodologie basée sur une étude de cas d’un équipementier automobile et l’objet de gestion, les roadmaps de management. Dans la dernière partie, nous analyserons le rôle de ce SI dans la diffusion de l’outil de gestion que sont les roadmaps de management et nous proposerons une réflexion plus générale quant aux rôles du SI et son articulation avec les outils de gestion et l’organisation.stratégie; organisations étendues; outils de gestion; SI;