Abstract FR:

Dans cette thèse, nous étudions le domaine de la sécurité de l'information en s'appuyant sur les méthodes formelles. Nous définissons un cadre sémantique générique qui permet de formaliser et de comparer des politiques et des systèmes de sécurité. Nous décrivons deux approches de formalisation des politiques de sécurité, l'une à base de propriétés, et l'autre à base de règles. De plus, nous montrons de quelle manière nous exprimons des politiques de sécurité administratives selon ces deux approches. Nous présentons la notion de systèmes de sécurité qui consiste à mettre en oeuvre une politique de sécurité par un système de transition. Un système de sécurité peut être obtenu en appliquant une politique de sécurité à un système de transition indépendant, ou en créant un système de transition directement à partir d'une politique de sécurité. Nous introduisons trois préordres qui permettent de comparer des politiques et des systèmes de sécurité. Le préordre sur les politiques de sécurité caractérise une notion de traduction d'information de sécurité, tandis que les deux préordres sur les systèmes de sécurité reposent sur des traductions de labels. Nous appliquons les définitions introduites dans notre cadre en formalisant et en comparant des politiques de contrôle de permissions, d'accès et de flots d'information, des politiques de sécurité administratives, et des systèmes de sécurité. D'autre part, nous mettons en perspective notre travail avec des travaux connexes. Enfin, nous exposons deux applications pratiques réalisées avec l'atelier Focalize, le test d'une politique de contrôle d'accès multi-niveaux, et le développement d'une bibliothèque de politiques de sécurité.