Gestion de la sécurité dans une infrastructure de services dynamique (Une approche par gestion des risques)

Les changements de contexte économiques imposent de nouvelles stratégies organisationnelles aux entreprises : recentrages métier et développement de stratégies de collaboration interentreprises. Ces tendances du marché laissent prévoir une croissance exponentielle d écosystèmes de service accessibles à la fois aux clients finaux et aux partenaires. Tout laisse prévoir que ces écosystèmes s appuieront largement sur les architectures orientées services permettant de construire des systèmes d information capable d avoir l agilité requise et de supporter l interconnexion des processus métier collaboratifs en composant dynamiquement les processus à partir de services distribués. Ce type d architecture qui permet d assurer l alignement du système d information sur les besoins métier de l entreprise, rend indispensable la prise en compte des contraintes de sécurité tant au niveau individuel des services qu au niveau de la composition. Dans un environnement de services distribués et dynamiques, la sécurité ne doit pas se limiter à fournir des solutions technologiques mais à trouver une stratégie de sécurité prenant en compte les dimensions métier, organisationnelle et technologique. En outre, la sécurité doit être appréhendée comme un processus continu qui vise l optimisation des investissements de sécurité et assure la pérennité des mesures de sécurité mises en œuvre. Or les modèles et architectures de référence du domaine des services ont sous-estimé la définition des besoins en termes de sécurité, les biens à protéger et l identification des risques pesant sur ces biens. Pour cela, nous proposons d aborder la problématique de la sécurité par une approche de gestion des risques permettant d identifier les différents types de risques et de proposer les mesures de sécurité les plus adéquates au contexte. Toutefois, la gestion des risques s avère un vrai défi dans un environnement ouvert de services collaboratifs. En effet, les méthodes de gestion des risques développées dans le cadre des systèmes d information ne répondent pas aux exigences de sécurité dans un environnement ouvert et ne sont pas adaptées aux environnements dynamiques. Pour pallier ces limites, nous proposons un cadre méthodologique de gestion de la sécurité portant sur les phases préparation, conception, exécution et supervision du cycle de vie des services. Nous proposons un modèle de services sécurisés permettant de définir des patrons de sécurité, un modèle de classification des biens à protéger et une ontologie pour définir les concepts associés à ces biens. En outre, nous développons une méthodologie de conception d une architecture orientée services sécurisée puis abordons la construction de processus métier sécurisés avant de proposer un service de gestion des vulnérabilités de l infrastructure.Changes in economic environment impose new organizational strategies to companies: refocusing business and creating collaboration strategies. These trends point to an exponential growth of service ecosystems accessible to both end users and partners. All foreshadows that these ecosystems rely heavily on service-oriented architectures that can build information systems having the required agility and supporting the interconnection of collaborative business processes by composing processes dynamically from distributed services. This type of architecture that ensures business and information systems alignment, makes it essential to take into account security constraints at the services and the composition s levels. In a distributed and dynamic services environment, security should not be limited to providing technological solutions but to find a security strategy taking into account the business, organizational and technological dimensions. Besides, the security must be considered as an ongoing process that aims to optimize security investments and ensures the sustainability of implemented security measures. However, the models and reference architectures in the services domain have underestimated the definition of security requirements, assets to protect and the identification of risks to those assets. Therefore, we propose to address the security management issues by a risk management approach to identify the different types of risks and propose the most appropriate security measures to the context. Nevertheless, risk management is a real challenge in an open collaborative services environment. The methods of risk management developed in the context of information systems do not meet the security requirements in an open environment and are not suitable for dynamic environments. To overcome these limitations, we propose a methodological framework for security management covering the phases: preparation, design, execution and supervision of the services lifecycle. We propose a model of secure services to identify security patterns, an assets classification model and an ontology defining the concepts associated with those assets. Moreover, we develop a methodology for designing secure service oriented architectures, we address the development of secure business processes then we propose a security service for managing and supervising the infrastructure components vulnerabilities.VILLEURBANNE-DOC'INSA-Bib. elec. (692669901) / SudocSudocFranceF

Méthodologie d'identification et d'évaluation de la sûreté de fonctionnement en phase de réponse à appel d'offre

La sûreté de fonctionnement (SdF) des produits, processus et services est une préoccupation permanente de tous les acteurs industriels. C'est le cas notamment dans le secteur automobile à l'exemple des équipementiers confrontés à des clients de plus en plus exigeants en matière de sûreté de fonctionnement. Jusqu'alors uniquement intéressé par les résultats, le client requiert aujourd'hui, dès les négociations couplées à l'appel d'offre (AO), une information précise sur la démarche même que le fournisseur prévoit de mettre en place pour satisfaire aux exigences SdF. Conscients de ces nouveaux besoins, nous nous sommes intéressés à la problématique d'identification de la "dimension SdF" du produit au stade de l'AO et à l'évaluation de l'impact économique de son intégration sur le développement futur du produit. Les conséquences de la prise en compte de la SdF sont doubles puisqu'elles concernent à la fois le produit qui voit sa robustesse optimisée mais aussi la démarche d'analyse permettant de dimensionner les solutions appropriées. Dans l'objectif de répondre à la problématique, nous avons proposé une organisation du processus de réponse à appel d'offre en différentes étapes instrumentées allant de l'identification des éléments relatifs à la SdF dans les documents clients fournis pour l'AO à la définition et à l'évaluation de l'impact SdF.Products Dependability, process and services is a major and permanent topic for industrial actors and especially in automotive industry, where products suppliers are faced to customers more and more aware about dependability. Until now, Customers was only interested about results, they request today, in bid process timeframe, informations about processes put in place in order to reach dependability objectives. Taking these new requirements into accounts, we have focused our work on dependability identification during bid process and the evaluation its cost impact on development. Taking dependability into account allow to increase product robustness but also to make better design choice in term of dependability. Thus, in order to reach this objective, we propose a step by step process for bid phases from dependability topics identification to cost impact.TOULOUSE-INP (315552154) / SudocSudocFranceF

Méthodologie d'identification et d'évaluation de la sûreté de fonctionnement en phase de réponse à appel d'offre

La sûreté de fonctionnement (SdF) des produits, processus et services est une préoccupation permanente de tous les acteurs industriels. C'est le cas notamment dans le secteur automobile à l'exemple des équipementiers confrontés à des clients de plus en plus exigeants en matière de sûreté de fonctionnement. Jusqu'alors uniquement intéressé par les résultats, le client requiert aujourd'hui, dès les négociations couplées à l'appel d'offre (AO), une information précise sur la démarche même que le fournisseur prévoit de mettre en place pour satisfaire aux exigences SdF. Conscients de ces nouveaux besoins, nous nous sommes intéressés à la problématique d'identification de la "dimension SdF" du produit au stade de l'AO et à l'évaluation de l'impact économique de son intégration sur le développement futur du produit. Les conséquences de la prise en compte de la SdF sont doubles puisqu'elles concernent à la fois le produit qui voit sa robustesse optimisée mais aussi la démarche d'analyse permettant de dimensionner les solutions appropriées. Dans l'objectif de répondre à la problématique, nous avons proposé une organisation du processus de réponse à appel d'offre en différentes étapes instrumentées allant de l'identification des éléments relatifs à la SdF dans les documents clients fournis pour l'AO à la définition et à l'évaluation de l'impact SdF. ABSTRACT : Products Dependability, process and services is a major and permanent topic for industrial actors and especially in automotive industry, where products suppliers are faced to customers more and more aware about dependability. Until now, Customers was only interested about results, they request today, in bid process timeframe, informations about processes put in place in order to reach dependability objectives. Taking these new requirements into accounts, we have focused our work on dependability identification during bid process and the evaluation its cost impact on development. Taking dependability into account allow to increase product robustness but also to make better design choice in term of dependability. Thus, in order to reach this objective, we propose a step by step process for bid phases from dependability topics identification to cost impact

Modélisation et vérification de protocoles pour des communications sécurisées de groupes

Dans le monde des systèmes qui utilisent des communications sous forme de diffusion de groupes, le critère de sécurité devient un facteur de plus en plus important. Le choix des mécanismes pour la protection de cette communication, mécanismes basés sur des échanges de clés symétriques et asymétriques, influe sur l'efficacité du système. Nous avons procédé à l'analyse des besoins et nous avons défini un modèle qui permet de représenter la dynamique des groupes et la communication entre leurs membres. Nous avons défini l'architecture d'un système dont l'élément central est la fonction de création, d'échange et de mise en place correcte des clés. La modélisation de ce système dans un environnement UML 2.0 a permis son analyse en termes de garantie de propriétés temporelles et de sécurité. L'approche suivie pour l'étude des exigences temporelles est généralisable à de nombreux systèmes distribués. La valorisation de nos études a été faite dans le cadre du projet national RNRT SAFECAST. ABSTRACT : Systems that implement communications in the form of group multicast have increasingly raised security problems. The protection mechanisms applied to that communication rely on symmetrical and asymmetrical key exchanges, and the way these mechanisms are selected does influence the system's efficiency. Following an in depth analysis of the needs captured by these systems, we defined a model for representing the dynamics of groups, as well as communication among group members. We defined one system architecture which focuses on key creation, exchange and management functions. The system was modeled in UML 2.0 and checked against security and temporal properties. The approach we followed to investigate temporal requirements may be extended to a broad variety of distributed system

Intégration d'un système de Retour d'Expériences à un PLM

Les travaux présentés dans cette thèse s’inscrivent dans une problématique d’amélioration continue appliquée aux produits et aux processus industriels, par la mise en place d’un système de Retour d’Expérience (REx) couplé au système PLM (Product Lifecycle Management) de gestion du cycle de vie du produit. Les développements, menés dans le cadre d’un partenarial industriel, ciblent l’établissement d’une solution de valorisation du patrimoine immatériel de l’entreprise, constitué des expériences et des connaissances détenues par les experts métier. L’objectif visé est d’assurer la pérennisation de cette expertise, la prévention et la limitation des erreurs et l’application de bonnes pratiques dans une démarche générale d’amélioration des produits et des processus. La solution est portée par la mise en place d’un système REx appliqué aux connaissances tacites et explicites impliquées dans les activités techniques de l'entreprise et visant à capitaliser au fur et à mesure les informations métier, porteuses de sens. L’intégration du REx au système PLM permet de lever une part des difficultés d’appropriation par les experts métier, utilisateurs du système REx. L’ancrage de ce REx aux méthodes de résolution de problèmes (PSM, Problem Solving Methods) induit une instrumentation tout à fait performante pour l’acquisition des connaissances tacites issues d’événements négatifs. L’extension aux processus d’évolution des Normes Techniques qui formalisent les règles métier de l’entreprise permet leur évolution vers des connaissances explicites. Le caractère non intrusif du système REx dans son utilisation est assuré par un couplage étroit au processus de Gestion des Modifications du PLM, la capitalisation des informations étant naturellement induite par la démarche mise en œuvre dans ce processus. Au final, le système REx proposé et instrumenté dans l’outil PLM permet, en différentes étapes, de capitaliser, de traiter puis d’exploiter dans des formes performantes le patrimoine immatériel mis en exergue au cours des expériences de résolution de problèmes produit ou processus. ABSTRACT : The work presented in this thesis considers continuous improvement issues which are applied to industrial products and processes through the implementation of a Lesson Learned System (LLS) coupled with the Company's Product Lifecycle Management (PLM) system. As an industrial partnership, these developments aim to increase the value of the intangible assets of the business including the business agent’s experiences and knowledge. In order to ensure the sustainability of expertise, to prevent errors and to encourage the application of good practices, all within a general approach of product improvement. The solution relies on the implementation of the LLS process which is applied to tacit and explicit knowledge related to the technical activities of the company. The integration of the LLS and PLM Systems removes some of the difficulties of ownership of business agents. The implementation of LLS and Problem Solving Methods (PSM) infers an efficient instrumentation for the acquisition of tacit knowledge. The extension of the evolution processes of technical documents that formalise the techincal business rules allows its evolution towards explicit knowledge. Using non-intrusive LLS is provided by close coupling with the process of Change Management (CM) where information capitalisation is naturally led by the approach implemented in this processes. Finally, the proposed and instrumented LLS in the PLM tool allows to efficiently capitalise, process, and exploit the intangible capital of the company (information and knowledge) highlighted during the modification experiments of product data

Le système d'intelligence économique - XEW

[FR] L’intelligence économique est une activité permanente de management stratégique de l’information, pour une prise de décision collaborative au sein d’une organisation publique ou privée. Cette activité se présente sous forme d’un processus de flux d’information interne et externe, structurée et non structurée, processus supporté par les systèmes d’informations stratégiques et organisationnels. Autrement dit, l’intelligence économique est une cartographie de l’environnement de l’entreprise. Les organisations publiques ou privées ont besoin d’un système d’intelligence économique pour bien se positionner sur le marché, pour anticiper le moindre changement en vue d’y apporter la solution adéquate en temps réel. Le présent article présente le système d’intelligence économique XEW. [EN] Competitive Intelligence is a strategic management of information related activity which aims to provide a collaborative decision making in either a private or a public organization. This activity is actually a processing of internal or external, structured or unstructured information flow that is supported by the strategic and organizational information systems. In other words, competitive intelligence is a mapping of the surrounding business environment. Nowadays, every organization needs a competitive intelligence system in order to better its position in the market, or simply to survive, as well as to be able track every single change and to provide the right response to it in a real time scale. This new concept is the subject of the following article

Apprivoiser MoReq : pour archiver et conserver l’information

L’objectif de ce document, fondé sur la mise en commun d’expériences multiples, est de fournir à tout responsable d’un projet d’archivage électronique, quel que soit son profil (informaticien, archiviste, responsable métier, juriste…) un guide pratique des questions à poser et des actions à mener pour mettre en place un système cohérent, fiable et assimilable par l’ensemble des acteurs concernés, à l’appui d’une politique d’archivage de l’entreprise