Bernard Dousset Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505 Université de...
-
Upload
denise-pottier -
Category
Documents
-
view
113 -
download
2
Transcript of Bernard Dousset Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505 Université de...
Bernard Dousset
Institut de Recherche en Informatique de Toulouse, IRIT UMR 5505Université de Toulouse III,
118, Route de Narbonne, F-31062 Toulouse cedex 9 (France)
Outils de fouille de données et mise en ligne sécurisée d’analyses stratégiques,
interrogeables depuis un SmartPhone
Plan
Introduction Système d’Intelligence Economique Processus d’IE Architecture de XPlor EveryWhere (XEW) i-Phone XEW (i-XEW) Sécurisation des systèmes d’IE
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
2
Introduction
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
3
Introduction
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
- Rechercher, surveiller, valider et rediffuser l’information stratégique.- Faire remonter les informations « terrain ».- Demander des renseignements spécifiques en Urgence.- Sécuriser l’ensemble des transactions
4
Système d’Intelligence Economique
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Alain JUILLET, Haut Responsable pour l’IE auprès du Premier Ministre
*« l’IE est un mode de gouvernance dont l’objet est la maîtrise de l’information et qui a pour finalité la compétitivité et la sécurité de l’économie et des entreprises. »
*Constructif n°8, mai 2004
Une entreprise mieux informée est une entreprise mieux défendue.
5
DSI
BD
AppServer
Back Office
BI
AdapterVeille
Adapter
Front Office
GestionFinance
Partenaires
BI
AdapterCRM
Veille
Adapter
Client
Integration Broker
AppServer
Client
Système d’intelligence économique
Système d’Intelligence Economique
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
6
Cycle de l’Intelligence Economique
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
7
Architecture service de XEW
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
8
Architecture technique de XEW
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
9
Architecture logicielle du XEW
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
10
Couche métier
Données abstraites
Couche de sécurité
Base de données
iXEW
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Interface d’accueil & d’identification
11
iXEW
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Listes des agents
12
iXEW
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Statistique descriptive
13
iXEW
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Carte géostratégique iXEW
14
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
15
iXEW
Différents messages d’alertes Indicateur d’activité
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
16
iXEW
Barre de navigation de iXEWTableView des différents acteurs
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
17
iXEW
Barre de recherche
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
18
iXEW
iXEW : Etapes de la consultation d’une analyse stratégique
Risques de sécurité dans une plateforme d’IE
Etape 1: Collecte des données Un service de sécurité en matière de disponibilité, d’intégrité et de confidentialité
Etape 2: Traitement des données Un service de contrôle d’accès mettant en œuvre des mécanismes d’authentification / autorisation. ( secret métier)
Etape 3: Restitution de l’informationAuthentification mutuelle (plateforme/décideur) & intégrité des données
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
19
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
20
Problèmes de sécurité dans une plateforme d’IE
Voir les dernières initiatives de la NSA et du gouvernement français via ’’ Téorem’’
*(Bichard, 2005)
Problèmes de sécurité dans une plateforme d’IE
Importation des données
Utilisation de logiciels de collecte.
Sources d’information.
Aspects juridiques.
Procédures de traitement et d’analyse des données.
Livraison de l’information.
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
21
Approche pour le contrôle d’accès à la plateforme
« Rares sont les plateformes d’IE qui sont dotées d’un service de sécurité qui s’incère dans un projet digne de ce nom et qui respecte une politique de sécurité préétablie. Plutôt, les réponses à une attaque de sécurité sont concoctées au grès de leur apparition dans le dysfonctionnement du système » [K.J. HOLE, L-H. NETLAND, 2010][11].
Proposition d’une approche de contrôle d’accès d’une plateforme d’IE qui s’étale sur tout le cycle de vie de l’IE
Le standard de contrôle RBAC (Role_Based Access Control)
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
22
Approche pour le contrôle d’accès à la plateformePolitique de sécurité dans une plateforme d’IE
Le Service de Coordination à l’Intelligence Economique (SCIE) [9], rattaché aux ministères français de l’Economie et du Budget a élaboré un guide de bonnes pratiques en matière d’IE
Introduisant les principes de contrôle d’accès les plus indispensables pour formuler une politique de sécurité
applicable à une plateforme d’IE
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
23
Au niveau de la collecte et de l’importation des données
Application du principe SOD (Separation of Duty ou Séparation des tâches) [14] pour éviter le conflit d’intérêt.
Application de la cardinalité : Pour les sujets particulièrement sensibles à diffusion restreinte, limiter le nombre de collaborateurs impliqués dans la collecte.
Pour la collecte d’informations qui ne doivent en aucun cas être divulguées (même pour obtenir une information en retour), il faut les scinder en plusieurs sujets et diversifier les contacts.
Après la collecte, supprimer régulièrement les cookies de l’ordinateur et déconnecter la messagerie.
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
24
Approche pour le contrôle d’accès à la plateformePolitique de sécurité dans une plateforme d’IE
Au niveau du traitement et de l’analyse des données
Identification des personnes qui doivent avoir accès à l’information Identification des rôles joués par chaque utilisateur. Identification des permissions associées à chaque rôle. Identification de chaque tâche associée à chaque rôle Identification des conflits entre les entités (rôles, utilisateurs, tâches) Identification des ressources Protection du corpus Respect du principe LP (Least Privilege ou minimum de privilège) [15] pour
accorder à un utilisateur le plus petit ensemble de privilèges (ou permissions) qui lui sont nécessaires dans l’accomplissement de la tâche qu’il s’apprête à exécuter et non tous les privilèges liés à son rôle dans l’entreprise.
Etablissement d’un référentiel d’historique des accès de tous les rôles, utilisateurs et tâches.
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
25
Approche pour le contrôle d’accès à la plateformePolitique de sécurité dans une plateforme d’IE
Au niveau de la restitution de l’information aux décideurs
Classification de l’information en fonction de son degré de sensibilité (générale, restreinte, confidentielle, etc…).
Définir les supports de diffusion de l’information (réunions, compte-rendu, messagerie électronique, etc…)
Identification des clients qui doivent avoir accès à l’information.
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
26
Approche pour le contrôle d’accès à la plateformePolitique de sécurité dans une plateforme d’IE
Mise en œuvre pratique : Sécurisation de XEW
Security Administration
2. Treatment
3. Information Delivry
1. Data Collection
4. Decision-Making
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
27
Mise en œuvre pratique : Sécurisation de XEWModélisation des processus de la plateforme XEW
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
28
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBAC
Une norme ANSI1 / INCITS2 en 2004, RBAC3 est le modèle de contrôle d'accès le plus rependu dans les systèmes informatiques [12]. Dans ce modèle, les permissions sont accordées aux rôles joués par les utilisateurs plutôt qu’aux utilisateurs eux-mêmes.
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
29
1 American National Standards Institute2 INternational Committee for Information Technology and Security3 Role Based Access Control
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBAC
Etablissement des différents rôles et les tâches associées
Les principales entités dans RBAC sont “Users, Roles, Permissions and Sessions”. Nous définissons:
U = Ensemble des “users”, {u1,u2,…,uk} (personnes ou processus automatiques).
R = Ensemble des “roles”, {r1,r2,…,rl}. P = Ensemble des “permissions”, {p1,p2,
…,pm}. WS = {ws1, ws2, …wsn}, est l’ensemble des
“sessions”. Xplor EveryWhere: Système d'Intelligence Economique pour Mobile,
Bernard DOUSSET30
ws = (w, u, state, id) est le “workflow sécurisé” :
w est le “workflow” instancié par ws. u le “user” initialisé par ws state est l’état des tâches exécutées par le
“user”(Running, Suspended, Completed, …) id est l’identifiant de ws
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
31
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBAC
Etablissement des différents rôles et les tâches associées
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
32
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBAC
Etablissement des différents rôles et les tâches associées
Rôle TâcheAdministrateur sécurité
Protéger le système informatique et les données sensibles
Collecteur-Veilleur
Collecter les données au moyen de :- Flux Rss : S’informer de l’actualité sur les sites sélectionnés sans avoir à se
connecter en utilisant des lecteurs de flux Rss - Les agents d’alerte : Détection de changements sur une page web - Les requêtes : Recherche à partir de mots clés dans les moteurs de recherche- Les newsletters
Analyste-Veilleur
- Trier les informations et ne retenir que celles qui sont pertinentes- Appliquer les techniques de data-mining pour extraire des informations utiles- Organiser, structurer, hiérarchiser et rapprocher les informations- Interpréter et synthétiser les principaux résultats de l’analyse
Administrateur - Valider la crédibilité de la source d’information de la part du collecteur- Valider les informations retenues : évaluer leur exactitude et leur fiabilité
Auditeur - S’interroger sur la conformité des procedures suivies dans les différentes activités avec la politique de sécurité
- Tester les résultatsStagiaire Remplit l’une des tâches du rôle auprès duquel il est admis
Le portail web de la plateforme.
Les documents internes (SI, DW, Corpus, Résultats d’analyses, Préconisations, ....)
Les documents externes (téléchargements, flux, données terrain, …)
Les logiciels et applications (open sources) : méta-moteur de recherche, explorateur du web, outils de data-mining, de visualisation, …
…
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
33
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBAC
Les permissions aux objets à protéger
Outils cryptographiques.
Référentiel des historiques d’accès.
Gestionnaire de worklist.
Référentiels (RBAC).
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
34
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBAC
L’infrastructure de sécurité
Conclusion & Perspectives
On ne peut pas conclure d’une manière définitive que le système est déjà parfaitement sécurisé.
Identifier et analyser les risques de sécurité dans les plateformes d’IE
Nécessité d’un service de contrôle d’accès.
Les bases d’une approche générique de sécurité sont proposées et mises en pratique dans la plateforme d’IE Xplor EveryWhere.
Une étude par scénarios permet de recenser les disfonctionnements sous formes de patrons d’analyse (MDA*) afin de raffiner continuellement l’approche de sécurisation de la plateforme d’IE .
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
35
* Model Driven Architecture
Bibliographie [1] H. MARTRE, P. CLERC, C. HARBULOT, P. BAUMARD, B. FLEURY, D. VIOLLE, Rapport du
Groupe Intelligence économique et stratégie des entreprises, Commissariat général du Plan, France, February 1994.
[2] A. EL HADDADI, Portail Web de Veille stratégique pour Mobile. XXVII° congrès INFORSID, pp. 459-460, Toulouse, mai 2009.
[3] J-P BICHARD, De la veille stratégique à la sécurité de l’information, Décision Informatique, N° 625, Mars 2005
[4] CLUSIF. Club de la Sécurité de l’Information Français, Menaces informatiques et pratiques de sécurité en France, edition 2008.
[5] E. B. TALBOT, D. FRINCKE, M. BISHOP, Demythifying Cybersecurity, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010
[6] J-P BICHARD, De la veille stratégique à la sécurité de l’information, Décision Informatique, N° 625, Mars 2005
[7] I. P. COOK, S. L. PFLEEGER, Security Decision Support Challenges in Data Collection and Use, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010
[8] SCIE Service de Coordination à l’Intelligence Economique, Guide des bonnes pratiques en matière d'intelligence économique, Base de Connaissance AEGE, France, Février 2009. http://www.bdc.aege.fr
[9] D. D. CAPUTO, G. D. STEPHENS, M. A. MALOOF, Detecting Insider Theft of Trade Secrets, IEEE Security & Privacy, Vol 7, N° 6, November/December 2009
[10] A. SHABTAL, Y. FLEDEL, Y. ELOVICI, Securing Android-Powered Mobile Devices Using SELinux, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010
[11] K. J. HOLE, L-H. NETLAND, Toward Risk Assessment of Large-Impact and Rare Events, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010
[12] ANSI. American national standard for information technology – Role based access control. ANSI INCITS 359-2004, February 2004
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
36
Bibliographie [13] H. EL BAKKALI, H. HATIM, RB-WAC: New approach for access control in workflows, The 7th
ACS/IEEE International Conference on Computer Systems and Applications (AICCSA’09), May 10-13, 2009 (pp 637-640).
[14] R. A. BOTHA, J. H. P. ELOFF, Separation of duties for access control enforcement in workflow environments, IBM Systems Journal, vol 40, n° 3, 2001 (pp 666-682).
[15] K. BUYENS, B. D. WIN, W. JOOSEN, Resolving least privilege violations in software architectures, In Proceedings of the ICSE Workshop on Software Engineering for Secure Systems (ICSE/SESS’09), May 19, 2009 (pp 9-16 ).
[16] I. GHALAMALLAH, Proposition d’un modèle d’analyse exploratoire multidimensionnelle dans un contexte d’intelligence économique, doctorat de l’université de Toulouse, 18 décembre 2009.
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
37
Merci pour votre attention !!!
Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET