380 likes | 475 Views
Plan. Introduction Système d’Intelligence Economique Processus d’IE Architecture de XPlor EveryWhere (XEW) i-Phone XEW (i-XEW) Sécurisation des systèmes d’IE. Introduction. Introduction. Rechercher, surveiller, valider et rediffuser l’information stratégique.
E N D
Plan • Introduction • Système d’Intelligence Economique • Processus d’IE • Architecture de XPlorEveryWhere (XEW) • i-Phone XEW (i-XEW) • Sécurisation des systèmes d’IE Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Introduction Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Introduction • Rechercher, surveiller, valider et rediffuser l’information stratégique. • Faire remonter les informations « terrain ». • Demander des renseignements spécifiques en Urgence. • Sécuriser l’ensemble des transactions Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Système d’Intelligence Economique Une entreprise mieux informée est une entreprise mieux défendue. Alain JUILLET, Haut Responsable pour l’IE auprès du Premier Ministre *« l’IE est un mode de gouvernance dont l’objet est la maîtrise de l’information et qui a pour finalité la compétitivité et la sécurité de l’économie et des entreprises. » *Constructif n°8, mai 2004 Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
BI Client Systèmed’intelligenceéconomique Back Office Partenaires Front Office DSI Système d’Intelligence Economique Integration Broker Adapter Gestion CRM App Server Client Finance Adapter Adapter Adapter Veille BI BD App Server Veille Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Cycle de l’Intelligence Economique Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Architecture service de XEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Architecture technique de XEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Architecture logicielle du XEW • Couche métier • Données abstraites • Couche de sécurité • Base de données Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
iXEW Interface d’accueil & d’identification Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
iXEW Listes des agents Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
iXEW Statistique descriptive Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
iXEW Carte géostratégique iXEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
iXEW Indicateur d’activité Différents messages d’alertes Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
iXEW TableView des différents acteurs Barre de navigation de iXEW Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
iXEW Barre de recherche Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
iXEW iXEW : Etapes de la consultation d’une analyse stratégique Xplor EveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Risques de sécurité dans une plateforme d’IE XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Problèmes de sécurité dans une plateforme d’IE *(Bichard, 2005) • Voir les dernières initiatives de la NSA et du gouvernement français via ’’ Téorem’’ XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Problèmes de sécurité dans une plateforme d’IE • Importation des données • Utilisation de logiciels de collecte. • Sources d’information. • Aspects juridiques. • Procédures de traitement et d’analyse des données. • Livraison de l’information. XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Approche pour le contrôle d’accès à la plateforme « Rares sont les plateformes d’IE qui sont dotées d’un service de sécurité qui s’incère dans un projet digne de ce nom et qui respecte une politique de sécurité préétablie. Plutôt, les réponses à une attaque de sécurité sont concoctées au grès de leur apparition dans le dysfonctionnement du système » [K.J. HOLE, L-H. NETLAND, 2010][11]. Proposition d’une approche de contrôle d’accès d’une plateforme d’IE qui s’étale sur tout le cycle de vie de l’IE Le standard de contrôle RBAC (Role_Based Access Control) XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Approche pour le contrôle d’accès à la plateformePolitique de sécurité dans une plateforme d’IE Le Service de Coordination à l’Intelligence Economique (SCIE) [9], rattaché aux ministères français de l’Economie et du Budget a élaboré un guide de bonnes pratiques en matière d’IE Introduisant les principes de contrôle d’accès les plus indispensables pour formuler une politique de sécurité applicable à une plateforme d’IE XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Approche pour le contrôle d’accès à la plateformePolitique de sécurité dans une plateforme d’IE Au niveau de la collecte et de l’importation des données • Application du principe SOD (Separation of Duty ou Séparation des tâches) [14] pour éviter le conflit d’intérêt. • Application de la cardinalité : Pour les sujets particulièrement sensibles à diffusion restreinte, limiter le nombre de collaborateurs impliqués dans la collecte. • Pour la collecte d’informations qui ne doivent en aucun cas être divulguées (même pour obtenir une information en retour), il faut les scinder en plusieurs sujets et diversifier les contacts. • Après la collecte, supprimer régulièrement les cookies de l’ordinateur et déconnecter la messagerie. XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Approche pour le contrôle d’accès à la plateformePolitique de sécurité dans une plateforme d’IE Au niveau du traitement et de l’analyse des données • Identification des personnes qui doivent avoir accès à l’information • Identification des rôles joués par chaque utilisateur. • Identification des permissions associées à chaque rôle. • Identification de chaque tâche associée à chaque rôle • Identification des conflits entre les entités (rôles, utilisateurs, tâches) • Identification des ressources • Protection du corpus • Respect du principe LP (Least Privilege ou minimum de privilège) [15] pour accorder à un utilisateur le plus petit ensemble de privilèges (ou permissions) qui lui sont nécessaires dans l’accomplissement de la tâche qu’il s’apprête à exécuter et non tous les privilèges liés à son rôle dans l’entreprise. • Etablissement d’un référentiel d’historique des accès de tous les rôles, utilisateurs et tâches. XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Approche pour le contrôle d’accès à la plateformePolitique de sécurité dans une plateforme d’IE Au niveau de la restitution de l’information aux décideurs • Classification de l’information en fonction de son degré de sensibilité (générale, restreinte, confidentielle, etc…). • Définir les supports de diffusion de l’information (réunions, compte-rendu, messagerie électronique, etc…) • Identification des clients qui doivent avoir accès à l’information. XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Mise en œuvre pratique : Sécurisation de XEW XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Mise en œuvre pratique : Sécurisation de XEWModélisation des processus de la plateforme XEW XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBAC Une norme ANSI1/ INCITS2en 2004, RBAC3est le modèle de contrôle d'accès le plus rependu dans les systèmes informatiques [12]. Dans ce modèle, les permissions sont accordées aux rôles joués par les utilisateurs plutôt qu’aux utilisateurs eux-mêmes. 1 American National Standards Institute 2 INternationalCommittee for Information Technology and Security 3 RoleBased Access Control XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBACEtablissement des différents rôles et les tâches associées • Les principalesentitésdans RBAC sont “Users, Roles, Permissions and Sessions”. Nous définissons: • U = Ensemble des “users”, {u1,u2,…,uk} (personnesouprocessusautomatiques). • R = Ensemble des “roles”, {r1,r2,…,rl}. • P = Ensemble des “permissions”, {p1,p2,…,pm}. • WS = {ws1, ws2, …wsn}, estl’ensembledes “sessions”. XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBACEtablissement des différents rôles et les tâches associées • ws=(w, u, state, id) est le “workflow sécurisé” : • west le “workflow” instancié par ws. • u le “user” initialisé par ws • state estl’état des tâchesexécutées par le “user”(Running, Suspended, Completed, …) • idestl’identifiant dews XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBACEtablissement des différents rôles et les tâches associées XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBACLes permissions aux objets à protéger • Le portail web de la plateforme. • Les documents internes (SI, DW, Corpus, Résultats d’analyses, Préconisations, ....) • Les documents externes (téléchargements, flux, données terrain, …) • Les logiciels et applications (open sources) : méta-moteur de recherche, explorateur du web, outils de data-mining, de visualisation, … • … XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Mise en œuvre pratique : Sécurisation de XEW Application du modèle de contrôle d’accès RBACL’infrastructure de sécurité • Outils cryptographiques. • Référentiel des historiques d’accès. • Gestionnaire de worklist. • Référentiels (RBAC). XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Conclusion & Perspectives • On ne peut pas conclure d’une manière définitive que le système est déjà parfaitement sécurisé. • Identifier et analyser les risques de sécurité dans les plateformes d’IE • Nécessité d’un service de contrôle d’accès. • Les bases d’une approche générique de sécurité sont proposées et mises en pratique dans la plateforme d’IE XplorEveryWhere. • Une étude par scénarios permet de recenser les disfonctionnements sous formes de patrons d’analyse (MDA*) afin de raffiner continuellement l’approche de sécurisation de la plateforme d’IE . * Model Driven Architecture XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Bibliographie • [1] H. Martre, P. Clerc, C. Harbulot, P. Baumard, B. Fleury, D. Violle, Rapport du GroupeIntelligence économique et stratégie des entreprises, Commissariat général du Plan, France, February 1994. • [2] A. EL HADDADI,Portail Web de Veille stratégique pour Mobile. XXVII° congrès INFORSID, pp. 459-460, Toulouse, mai 2009. • [3] J-P Bichard, De la veille stratégique à la sécurité de l’information, Décision Informatique, N° 625, Mars 2005 • [4] CLUSIF. Club de la Sécurité de l’Information Français, Menaces informatiques et pratiques de sécurité en France, edition 2008. • [5] E. B. Talbot, D. Frincke, M. Bishop,DemythifyingCybersecurity, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010 • [6] J-P Bichard, De la veille stratégique à la sécurité de l’information, Décision Informatique, N° 625, Mars 2005 • [7]I. P. Cook, S. L. Pfleeger, Security Decision Support Challenges in Data Collection and Use, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010 • [8] SCIE Service de Coordination à l’Intelligence Economique, Guide des bonnes pratiques en matière d'intelligence économique, Base de Connaissance AEGE, France, Février 2009. http://www.bdc.aege.fr • [9] D. D. Caputo, G. D. Stephens, M. A. Maloof, DetectingInsiderTheft of Trade Secrets, IEEE Security & Privacy, Vol 7, N° 6, November/December 2009 • [10] A. Shabtal, Y. Fledel, Y. Elovici,SecuringAndroid-Powered Mobile DevicesUsingSELinux, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010 • [11] K. J. Hole, L-H. Netland,TowardRiskAssessment of Large-Impact and Rare Events, IEEE Security & Privacy, Vol 8, N° 3, May/Juin 2010 • [12] ANSI. American national standard for information technology – Rolebasedaccess control. ANSI INCITS 359-2004, February 2004 XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Bibliographie • [13] H. El Bakkali, H. Hatim,RB-WAC: New approach for access control in workflows, The 7th ACS/IEEE International Conference on Computer Systems and Applications (AICCSA’09), May 10-13, 2009 (pp 637-640). • [14] R. A. Botha, J. H. P. Eloff,Separation of duties for access control enforcement in workflowenvironments, IBM Systems Journal, vol 40, n° 3, 2001 (pp 666-682). • [15]K. Buyens, B. D. Win, W. Joosen,Resolving least privilege violations in software architectures, In Proceedings of the ICSE Workshop on Software Engineering for Secure Systems (ICSE/SESS’09), May 19, 2009 (pp 9-16 ). • [16] I. Ghalamallah,Proposition d’un modèle d’analyse exploratoire multidimensionnelle dans un contexte d’intelligence économique, doctorat de l’université de Toulouse, 18 décembre 2009. XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET
Merci pour votre attention !!! XplorEveryWhere: Système d'Intelligence Economique pour Mobile, Bernard DOUSSET