Gestion des Risques dans les Systèmes d'Information Orientés Services (SARSSI'2013)
Lien vers la publication: SARSSI'2013 (Vincent Lalanne, Manuel Munier, Alban Gabillon)
Table of Contents
Résumé
Les architectures orientées services (SOA) offrent de nouvelles possibilités pour l’interconnexion des systèmes d’information. L’ouverture du SI d’une entreprise sur l’extérieur n’est toutefois pas anodine du point de vue de la sécurité. Que ce soit pour utiliser des services proposés par des tiers ou pour offrir les siens, ces technologies introduisent de nouvelles vulnérabilités dans le SI et, par conséquent, de nouveaux risques. Nos travaux visent à initier une démarche de gestion de ces risques qui s’appuie sur un standard, la norme ISO/IEC 27005:2011. Nous proposons une évolution de cette norme afin qu’elle puisse prendre en compte pleinement le type “service”. Suite à cette étude nous introduisons également un nouveau critère, la maîtrisabilité, pour qualifier la sécurité des systèmes d’informations.
Présentation du poster
L’interconnexion des systèmes d’information est une réalité en particulier avec le développement des architectures orientées services (SOA) car elles permettent la création de nouveaux services par la composition (orchestration, chorégraphie) de services existants sur Internet. Ceux-ci peuvent avoir des fonctionnalités très diverses: le calcul, le stockage des données, la consultation d’informations distantes (catalogues, horaires). Les services web (WS) sont une des technologies actuellement les plus utilisées pour de telles architectures.
Après avoir détaillé différentes technologies mises en œuvre dans la sécurisation de ces services web, nous proposons une approche innovante mettant en œuvre une gestion des risques liée à l’utilisation de ces services. Cette approche s’appuie sur la norme ISO/IEC 27005:2011 que nous envisageons d’étendre aux services.
La conception d’infrastructures faisant appel à des services extérieurs n’est pas sans soulever des problèmes quant à la sécurité des systèmes d’information (SSI). Cela concerne non seulement les critères classiques de confidentialité, d’intégrité et de disponibilité, mais également des notions telles que la traçabilité ou la confiance avec pour corollaire la maîtrisabilité de l’information.