Intégration de la sécurité dans un cadre d’architecture d’entreprise à partir du risque - Equipe SecurIty and Resilience of Information Systems
Thèse Année : 2023

Integrating security into a risk-based enterprise architecture framework

Intégration de la sécurité dans un cadre d’architecture d’entreprise à partir du risque

Résumé

Current societies and the modern economy depend heavily on software systems and their interconnection, which make it possible to manage and coordinate complex actions in order to satisfy, among other things, the performance and productivity needs of the company. However, these systems have become critical elements of these organizations, and are at the heart of security concerns. Indeed, these systems are most often the target of many cyberattacks aimed at taking control of them, obtaining sensitive data and information or destroying them. Addressing security and risk issues regarding the overall software systems development life cycle process is a difficult task. Most often, there is a gap between the security specifications defined during the system requirements phase and the security implementation during the implementation phase. This fact is due to traditional development methods which are ineffective in the context of the complexity of today’s systems with vulnerabilities resulting from their development and the way these systems interact in the organization. This thesis focuses on a new approach to integrating security as a key component of software system architecture, based on risk assessment and using the Enterprise Architecture (EA) framework TOGAF as a basis for defining the system models as well as the Model Driven Architecture (MDA) of the Model-Driven Engineering (MDE) approach as a development tool. This thesis proposes a methodology, combining the STRIDE and EBIOS methods, for the identification of company-specific risks, taking into account contextual factors and threats. Using the MDA allows modeling these risks as a context linked to the business, logical and physical architectures of the EA in accordance with the abstract CIM, PIM and PSM levels of the MDA. This allows a better understanding of the interdependencies between functional and security components. Security integration is considered from the requirements and system architecture design phase using EA-based security models and architectural patterns. MDA helps automate the integration process by improving the respective models and substituting security components, thus ensuring consistency between models and implementations. The proposal thus aims to bring together technical and business points of view on information security. To experiment with the proposed framework, an e-Commerce based case study was conducted to evaluate its relevance and verify its applicability using MDA tools for code generation. Ultimately, this thesis contributes to the convergence of Enterprise Architecture, IT security and Model Driven Engineering (MDA) by providing an innovative methodological framework. Integrating security based on risk assessment is becoming an imperative for organizations seeking to preserve the confidentiality, integrity and availability of their IT systems while remaining agile by facing emerging threats, all supported by contextual models.
Les sociétés actuelles et l’économie moderne, dépendent fortement des systèmes logiciels et leur interconnexion, qui permettent de gérer et de coordonner des actions complexes en vue de satisfaire entre autres, les besoins de performance, de productivité de l’entreprise. Cependant, ces systèmes sont devenus des éléments critiques de ces organisations, et sont au cœur de préoccupations en lien avec la sécurité. En effet, ces systèmes sont le plus souvent la cible de nombreuses cyberattaques visant à en prendre le contrôle, à obtenir des données et informations sensibles ou à les détruire. Adresser les problèmes de sécurité et de risque concernant le processus global du cycle de vie de développement des systèmes logiciels est une tâche difficile. Le plus souvent, il existe un écart entre les spécifications de sécurité définies lors de la phase des besoins du système et la mise en œuvre de la sécurité lors de la phase d’implémentation. Ce fait est dû aux méthodes de développement traditionnelles qui sont inefficaces dans un contexte de complexité des systèmes d’aujourd’hui avec des vulnérabilités résultant de leur développement et de la manière dont ces systèmes interagissent dans l’organisation. Cette thèse se concentre sur une nouvelle approche de l’intégration de la sécurité en tant que composante clé de l’architecture du système logiciel, en se basant sur l’évaluation des risques et en utilisant le cadre d’Architecture d’Entreprise (EA) TOGAF comme fondement pour définir les modèles du système ainsi que le Model Driven Engineering (MDA) de l’approche d’Ingénierie Dirigée par les Modèles (IDM) comme outil de développement. Cette thèse propose une méthodologie, combinant les méthodes STRIDE et EBIOS, pour l’identification des risques spécifiques à l’entreprise, en tenant compte des facteurs contextuels et des menaces. En utilisant le MDA, elle modélise ces risques comme contexte lié aux architectures métier, logique et physique de l’EA et ce conformément aux niveaux abstraits CIM, PIM et PSM du MDA. Ce qui permet une meilleure compréhension des interdépendances entre les composants fonctionnels et de sécurité. L’intégration de la sécurité est envisagée dès la phase des exigences et de la conception de l’architecture du système en utilisant des modèles de sécurité et des patrons architecturaux fondés sur l’EA. Le MDA permet d’automatiser le processus d’intégration en améliorant les modèles respectifs et substituant des composants de sécurité, garantissant ainsi une cohérence entre les modèles et les implémentations. La proposition vise ainsi, à rapprocher les points de vue techniques et métier sur la sécurité de l’information. Pour expérimenter le cadre proposé, une étude de cas basée sur le e-Commerce a été menée pour évaluer sa pertinence et vérifier son applicabilité en utilisant des outils MDA pour la génération de code. En définitive, cette thèse contribue ainsi à la convergence de l’Architecture d’Entreprise, de la sécurité informatique et du Model Driven Engineering (MDA) en fournissant un cadre méthodologique novateur. L’intégration de la sécurité basée sur l’évaluation des risques devient un impératif pour les organisations cherchant à préserver la confidentialité, l’intégrité et la disponibilité de leurs systèmes informatiques tout en restant agiles face aux menaces émergentes, le tout soutenu par des modèles contextuels.
Fichier principal
Vignette du fichier
2023IMTA0388_Kamagate-Zakariya_Diffusionpdf.pdf (3.89 Mo) Télécharger le fichier
Origine Version validée par le jury (STAR)

Dates et versions

tel-04763442 , version 1 (02-11-2024)

Identifiants

  • HAL Id : tel-04763442 , version 1

Citer

Zakariya Kamagate. Intégration de la sécurité dans un cadre d’architecture d’entreprise à partir du risque. Systèmes et contrôle [cs.SY]. Ecole nationale supérieure Mines-Télécom Atlantique, 2023. Français. ⟨NNT : 2023IMTA0388⟩. ⟨tel-04763442⟩
51 Consultations
26 Téléchargements

Partager

More