Bernard Dousset Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505 Université de...

Bernard Dousset

Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505Université de Toulouse III,

118, Route de Narbonne, F-31062 Toulouse cedex 9 (France)

[email protected]

Outils de fouille de données et mise en ligne sécurisée d’analyses stratégiques,

interrogeables depuis un SmartPhone

mailto:[email protected]

Plan

Introduction Système d’Intelligence Economique Processus d’IE Architecture de XPlor EveryWhere (XEW) i-Phone XEW (i-XEW) Sécurisation des systèmes d’IE

Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET

2

Introduction


3

Introduction


- Rechercher, surveiller, valider et rediffuser l’information stratégique.- Faire remonter les informations « terrain ».- Demander des renseignements spécifiques en Urgence.- Sécuriser l’ensemble des transactions

4

Système d’Intelligence Economique


Alain JUILLET, Haut Responsable pour l’IE auprès du Premier Ministre

*« l’IE est un mode de gouvernance dont l’objet est la maîtrise de l’information et qui a pour finalité la compétitivité et la sécurité de l’économie et des entreprises. »

*Constructif n°8, mai 2004

Une entreprise mieux informée est une entreprise mieux défendue.

5

DSI

BD

AppServer

Back Office

BI

AdapterVeille

Adapter

Front Office

GestionFinance

Partenaires

BI

AdapterCRM

Veille

Adapter

Client

Integration Broker

AppServer

Client

Système d’intelligence économique

Système d’Intelligence Economique


6

Cycle de l’Intelligence Economique


7

Architecture service de XEW


8

Architecture technique de XEW


9

Architecture logicielle du XEW


10

Couche métier

Données abstraites

Couche de sécurité

Base de données

iXEW


Interface d’accueil & d’identification

11

iXEW


Listes des agents

12

iXEW


Statistique descriptive

13

iXEW


Carte géostratégique iXEW

14


15

iXEW

Différents messages d’alertes Indicateur d’activité


16

iXEW

Barre de navigation de iXEWTableView des différents acteurs


17

iXEW

Barre de recherche


18

iXEW

iXEW : Etapes de la consultation d’une analyse stratégique

Risques de sécurité dans une plateforme d’IE

Etape 1: Collecte des données Un service de sécurité en matière de disponibilité, d’intégrité et de confidentialité

Etape 2: Traitement des données Un service de contrôle d’accès mettant en œuvre des mécanismes d’authentification / autorisation. ( secret métier)

Etape 3: Restitution de l’informationAuthentification mutuelle (plateforme/décideur) & intégrité des données


19


20

Problèmes de sécurité dans une plateforme d’IE

Voir les dernières initiatives de la NSA et du gouvernement français via ’’ Téorem’’

*(Bichard, 2005)

Problèmes de sécurité dans une plateforme d’IE

Importation des données

Utilisation de logiciels de collecte.

Sources d’information.

Aspects juridiques.

Procédures de traitement et d’analyse des données.

Livraison de l’information.


21

Approche pour le contrôle d’accès à la plateforme

« Rares sont les plateformes d’IE qui sont dotées d’un service de sécurité qui s’incère dans un projet digne de ce nom et qui respecte une politique de sécurité préétablie. Plutôt, les réponses à une attaque de sécurité sont concoctées au grès de leur apparition dans le dysfonctionnement du système » [K.J. HOLE, L-H. NETLAND, 2010][11].

Proposition d’une approche de contrôle d’accès d’une plateforme d’IE qui s’étale sur tout le cycle de vie de l’IE

Le standard de contrôle RBAC (Role_Based Access Control)


22

Approche pour le contrôle d’accès à la plateformePolitique de sécurité dans une plateforme d’IE

Le Service de Coordination à l’Intelligence Economique (SCIE) [9], rattaché aux ministères français de l’Economie et du Budget a élaboré un guide de bonnes pratiques en matière d’IE

Introduisant les principes de contrôle d’accès les plus indispensables pour formuler une politique de sécurité

applicable à une plateforme d’IE


23

Au niveau de la collecte et de l’importation des données

Application du principe SOD (Separation of Duty ou Séparation des tâches) [14] pour éviter le conflit d’intérêt.

Application de la cardinalité : Pour les sujets particulièrement sensibles à diffusion restreinte, limiter le nombre de collaborateurs impliqués dans la collecte.

Pour la collecte d’informations qui ne doivent en aucun cas être divulguées (même pour obtenir une information en retour), il faut les scinder en plusieurs sujets et diversifier les contacts.

Après la collecte, supprimer régulièrement les cookies de l’ordinateur et déconnecter la messagerie.


24


Au niveau du traitement et de l’analyse des données

Identification des personnes qui doivent avoir accès à l’information Identification des rôles joués par chaque utilisateur. Identification des permissions associées à chaque rôle. Identification de chaque tâche associée à chaque rôle Identification des conflits entre les entités (rôles, utilisateurs, tâches) Identification des ressources Protection du corpus Respect du principe LP (Least Privilege ou minimum de privilège) [15] pour

accorder à un utilisateur le plus petit ensemble de privilèges (ou permissions) qui lui sont nécessaires dans l’accomplissement de la tâche qu’il s’apprête à exécuter et non tous les privilèges liés à son rôle dans l’entreprise.

Etablissement d’un référentiel d’historique des accès de tous les rôles, utilisateurs et tâches.


25


Au niveau de la restitution de l’information aux décideurs

Classification de l’information en fonction de son degré de sensibilité (générale, restreinte, confidentielle, etc…).

Définir les supports de diffusion de l’information (réunions, compte-rendu, messagerie électronique, etc…)

Identification des clients qui doivent avoir accès à l’information.


26


Mise en œuvre pratique : Sécurisation de XEW

Security Administration

2. Treatment

3. Information Delivry

1. Data Collection

4. Decision-Making


27

Mise en œuvre pratique : Sécurisation de XEWModélisation des processus de la plateforme XEW


28

Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBAC

Une norme ANSI1 / INCITS2 en 2004, RBAC3 est le modèle de contrôle d'accès le plus rependu dans les systèmes informatiques [12]. Dans ce modèle, les permissions sont accordées aux rôles joués par les utilisateurs plutôt qu’aux utilisateurs eux-mêmes.


29

1 American National Standards Institute2 INternational Committee for Information Technology and Security3 Role Based Access Control


Etablissement des différents rôles et les tâches associées

Les principales entités dans RBAC sont “Users, Roles, Permissions and Sessions”. Nous définissons:

U = Ensemble des “users”, {u1,u2,…,uk} (personnes ou processus automatiques).

R = Ensemble des “roles”, {r1,r2,…,rl}. P = Ensemble des “permissions”, {p1,p2,

…,pm}. WS = {ws1, ws2, …wsn}, est l’ensemble des

“sessions”. Xplor EveryWhere: Système d'Intelligence Economique pour Mobile,

Bernard DOUSSET30

ws = (w, u, state, id) est le “workflow sécurisé” :

w est le “workflow” instancié par ws. u le “user” initialisé par ws state est l’état des tâches exécutées par le

“user”(Running, Suspended, Completed, …) id est l’identifiant de ws


31




32



Rôle TâcheAdministrateur sécurité

Protéger le système informatique et les données sensibles

Collecteur-Veilleur

Collecter les données au moyen de :- Flux Rss : S’informer de l’actualité sur les sites sélectionnés sans avoir à se

connecter en utilisant des lecteurs de flux Rss - Les agents d’alerte : Détection de changements sur une page web - Les requêtes : Recherche à partir de mots clés dans les moteurs de recherche- Les newsletters

Analyste-Veilleur

- Trier les informations et ne retenir que celles qui sont pertinentes- Appliquer les techniques de data-mining pour extraire des informations utiles- Organiser, structurer, hiérarchiser et rapprocher les informations- Interpréter et synthétiser les principaux résultats de l’analyse

Administrateur - Valider la crédibilité de la source d’information de la part du collecteur- Valider les informations retenues : évaluer leur exactitude et leur fiabilité

Auditeur - S’interroger sur la conformité des procedures suivies dans les différentes activités avec la politique de sécurité

- Tester les résultatsStagiaire Remplit l’une des tâches du rôle auprès duquel il est admis

Le portail web de la plateforme.

Les documents internes (SI, DW, Corpus, Résultats d’analyses, Préconisations, ....)

Les documents externes (téléchargements, flux, données terrain, …)

Les logiciels et applications (open sources) : méta-moteur de recherche, explorateur du web, outils de data-mining, de visualisation, …

…


33


Les permissions aux objets à protéger

Outils cryptographiques.

Référentiel des historiques d’accès.

Gestionnaire de worklist.

Référentiels (RBAC).


34


L’infrastructure de sécurité

Conclusion & Perspectives

On ne peut pas conclure d’une manière définitive que le système est déjà parfaitement sécurisé.

Identifier et analyser les risques de sécurité dans les plateformes d’IE

Nécessité d’un service de contrôle d’accès.

Les bases d’une approche générique de sécurité sont proposées et mises en pratique dans la plateforme d’IE Xplor EveryWhere.

Une étude par scénarios permet de recenser les disfonctionnements sous formes de patrons d’analyse (MDA*) afin de raffiner continuellement l’approche de sécurisation de la plateforme d’IE .


35

* Model Driven Architecture

Bibliographie [1] H. MARTRE, P. CLERC, C. HARBULOT, P. BAUMARD, B. FLEURY, D. VIOLLE, Rapport du

Groupe Intelligence économique et stratégie des entreprises, Commissariat général du Plan, France, February 1994.

[2] A. EL HADDADI, Portail Web de Veille stratégique pour Mobile. XXVII° congrès INFORSID, pp. 459-460, Toulouse, mai 2009.

[3] J-P BICHARD, De la veille stratégique à la sécurité de l’information, Décision Informatique, N° 625, Mars 2005

[4] CLUSIF. Club de la Sécurité de l’Information Français, Menaces informatiques et pratiques de sécurité en France, edition 2008.

[5] E. B. TALBOT, D. FRINCKE, M. BISHOP, Demythifying Cybersecurity, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010

[6] J-P BICHARD, De la veille stratégique à la sécurité de l’information, Décision Informatique, N° 625, Mars 2005

[7] I. P. COOK, S. L. PFLEEGER, Security Decision Support Challenges in Data Collection and Use, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010

[8] SCIE Service de Coordination à l’Intelligence Economique, Guide des bonnes pratiques en matière d'intelligence économique, Base de Connaissance AEGE, France, Février 2009. http://www.bdc.aege.fr

[9] D. D. CAPUTO, G. D. STEPHENS, M. A. MALOOF, Detecting Insider Theft of Trade Secrets, IEEE Security & Privacy, Vol 7, N° 6, November/December 2009

[10] A. SHABTAL, Y. FLEDEL, Y. ELOVICI, Securing Android-Powered Mobile Devices Using SELinux, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010

[11] K. J. HOLE, L-H. NETLAND, Toward Risk Assessment of Large-Impact and Rare Events, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010

[12] ANSI. American national standard for information technology – Role based access control. ANSI INCITS 359-2004, February 2004


36

http://www.bdc.aege.fr/

Bibliographie [13] H. EL BAKKALI, H. HATIM, RB-WAC: New approach for access control in workflows, The 7th

ACS/IEEE International Conference on Computer Systems and Applications (AICCSA’09), May 10-13, 2009 (pp 637-640).

[14] R. A. BOTHA, J. H. P. ELOFF, Separation of duties for access control enforcement in workflow environments, IBM Systems Journal, vol 40, n° 3, 2001 (pp 666-682).

[15] K. BUYENS, B. D. WIN, W. JOOSEN, Resolving least privilege violations in software architectures, In Proceedings of the ICSE Workshop on Software Engineering for Secure Systems (ICSE/SESS’09), May 19, 2009 (pp 9-16 ).

[16] I. GHALAMALLAH, Proposition d’un modèle d’analyse exploratoire multidimensionnelle dans un contexte d’intelligence économique, doctorat de l’université de Toulouse, 18 décembre 2009.


37

Merci pour votre attention !!!


Bernard Dousset Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505 Université de...

Documents

Transcript of Bernard Dousset Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505 Université de...