Introduction
Après avoir effectué ma thèse dans le domaine des systèmes transactionnels étendus, j’ai intégré l’équipe sécurité informatique du LIUPPA. Mes travaux concernaient les politiques de sécurité, le contrôle d’accès ou le contrôle d’usage dans les systèmes d’information. Ma thématique de recherche a ensuite progressivement évolué de la « sécurité des systèmes d’information » vers la « sécurité de l’information » avec la prise en compte de concepts tels que la « gestion des risques » (liés à la sécurité de l’information) et les « aspects juridiques » (liés aux mécanismes mis en œuvre pour assurer la sécurité de l’information). De manière très synthétique, voici le résumé mes activités de recherche au cours de ces dernières années.
I. Contrôle d’usage & métadonnées
Au cours du projet ANR FLUOR (ANR 07 SESUR, 2007→2011) j’ai travaillé sur les politiques de contrôle d’usage (i.e. accès aux informations + utilisation de ces informations) dans des environnements multi-organisationnels (chaque organisation a ses propres objectifs, sa propre politique de sécurité, etc.). Il me fallait pour cela utiliser les métadonnées attachées aux informations ainsi que les traces des différentes actions réalisées. D’où, naturellement, une interrogation par rapport aux aspects juridiques: les mécanismes que l’on voulait proposer étaient-ils autorisés ? Quelles métadonnées, traces, etc. était-il nécessaire de stocker pour faire office de « preuve » ?
Une approche similaire a été utilisée dans les projets de collaboration de recherche BackPlan (2009→2010) et BackPlan 2 (2012→2015), notamment pour les carnets d’avancement numérique pour la planification et le suivi des arrêts de maintenance de sites industriels.
II. Gestion des risques (sécurité de l’information)
La thèse de Vincent Lalanne intitulée « Gestion des risques dans les architectures orientées services » (soutenue le 19/12/2013) s’est inscrite dans ce besoin de garantir la sécurité de l’information dans les systèmes distribués, que ce soit pour collaborer sur de gros projets industriels (ex: BackPlan) ou pour l’utilisation de « services » sur le cloud. L’information étant la puissance du futur, l’objectif de ces travaux était de proposer des modèles/méthodes/… basés sur la « maîtrisabilité de l’information » afin de pouvoir gérer les risques dans des systèmes distribués et inter-organisationnels dont on ne contrôle pas tous les nœuds. Je me rapprochais encore un peu plus du domaine du droit et du numérique.
III. Contrats de service
La thèse d'Elena Jaramillo intitulée « Un modèle sémantique de contrat et un processus basé sur la connaissance pour garantir la contrôlabilité dans les approches orientées services » (soutenue le 12/12/2016, résumé), financée par le CD40, a eu pour objectif de proposer un modèle de collaboration entre services intégrant, dans la définition même des services, des notions telles que des objectifs de niveau de service ou des éléments de preuve pouvant attester que les objectifs de sécurité ont bien été respectés. Cette formalisation repose sur la notion de métadonnées, tant pour les contrats que pour les « traces » retournées avec les résultats. Nous avons pour cela défini la sémantique des contrats (via des ontologies et des règles) et proposé une ébauche de modèle pour les logs.
IV. Droit & numérique
Parallèlement à ces travaux j’ai continué à étudier les aspects juridiques: droit en SSI, RGPD, droit des contrats, transparence des algorithmes (Intelligence Artificielle, Machine Learning, Deep Learning, etc.). Et entre autres au travers des Convergences du Droit et du Numérique initiées en 2017 par l’université de Bordeaux, et dont je fais maintenant partie du comité de pilotage et d’organisation. La « révolution numérique », provoquée par la diffusion massive des technologies numériques au sein de la société, bouleverse tant les modèles organisationnels et économiques que les catégories juridiques. De ce constat découle la nécessité de faire collaborer juristes et acteurs du numérique, en suscitant une réflexion commune sur l’évolution du droit à l’aune de la révolution numérique. Tel est l’objectif des CDN. Un tel événement ne peut prendre une forme traditionnelle; ce serait nier le bouleversement de la pensée et des modes d’action induits par la révolution numérique. Le format proposé est donc celui d’un événement co-construit en mode collaboratif, destiné à créer des ponts durables entre les communautés juridique et numérique.
V. Gouvernance des données & autodétermination informationnelle
La thèse de Nouha Laamech intitulée « Autodétermination informationnelle dans les bâtiments intelligents », financée par le CD40 et ayant démarré en janvier 2021, est en quelque sorte la convergence des 4 points précédents. En effet, les environnements connectés tels que les bâtiments intelligents, et par extension les villes intelligentes, promettent de nous apporter de nouveaux services: meilleure gestion de l’énergie, optimisation des transports, ciblage de l’information diffusée, etc. La grande valeur ajoutée de ces architectures à base d’objets connectés (IoT) est la donnée dont la collecte et le traitement impliquent un très grand nombre de systèmes informatiques opérés par des acteurs différents. Chaque acteur pouvant avoir ses propres objectifs, contraintes et enjeux, un des défis en terme de sécurité est de garder la maîtrise des informations échangées afin d’assurer ce que l’on appelle l’autodétermination informationnelle. Cette notion signifie par exemple que chaque acteur peut contrôler qui utilise « ses » données, où et pour quelle finalité. Ce travail de thèse vise donc à concevoir de nouveaux mécanismes de traçabilité pour l’autodétermination informationnelle.
À noter que cette approche est en parfaite adéquation avec les objectifs de la Loi pour une République Numérique (LRN, 07/10/2016) ou encore les travaux actuels de la Commission européenne à propos de la stratégie européenne pour les données (19/02/2020) ou du Data Governance Act (DGA, 25/11/2020). D’autres concepts tels l'Open Data ou les communs numériques sont également connexes.
