thesis

Patrons organisationnels et techniques pour la sécurisation des organisations virtuelles

Defense date:

Jan. 1, 2008

Edit

Institution:

Toulouse 3

Disciplines:

Computer sciences

Authors:

Directors:

Abstract EN:

A Virtual Organization (VO) is a temporary alliance of enterprises that come together to share skills and resources in order to better respond to business opportunities and whose cooperation is supported by computer networks. Methods and tools are needed to support the interconnection of the partners' Information Systems (IS). The realization of this interconnection poses organizational and technical security challenges. The heterogeneity of the practices and the architectures adopted by traditional organizations makes this interconnection a hard task to realize. We have addressed the issues of building VOs on technical and organizational levels. Technically, we have defined distributed access control solutions providing the authentication and authorization services within the collaborative network while allowing each organization to keep total control on its own resources. Thus, we propose solutions integrating Privilege Management Infrastructures and identity federation. However, the implementation of these technical solutions depends on the maturity levels of the security practices deployed by the different partners. Thus, we adopted the ISO 27000 standards and the maturity level concept to define a model for assessing security maturity levels. Based on this model, we developed a tool for assessing the security practices of each partner which allows to quantify the level of trust that we can have in this partner. Our technical solutions and tool were evaluated within the context of the VIVACE European project.

Abstract FR:

Une Organisation Virtuelle (OV) est une alliance temporaire d'organisations, autour d'une structure réseau, où la mutualisation de ressources permet d'atteindre un objectif commun. Des méthodes et des outils pour supporter l'interconnexion des Systèmes d'Information (SI) des partenaires sont nécessaires. La réalisation de cette interconnexion pose des défis sécuritaires à la fois d'ordre organisationnel et technique. L'hétérogénéité des pratiques et des architectures adoptées dans les domaines de sécurité des organisations traditionnelles constitue un verrou dès qu'il y a lieu d'interconnecter ces domaines pour former une OV. Nous avons traité la problématique de construction d'OVs aux niveaux technique et organisationnel. Du point de vue technique, nous avons défini des solutions de contrôle d'accès distribué assurant les services d'authentification et d'autorisation au sein du réseau collaboratif tout en laissant à chacune des organisations le contrôle total sur ses ressources. Ainsi, nous proposons des solutions intégrant à la fois les concepts de la gestion de privilèges et de la fédération d'identité. Toutefois, la mise en œuvre de ces aspects purement techniques est conditionnée par l'importance des écarts entre les niveaux de maturité sécuritaire des membres de l'OV. Ainsi, nous avons adopté ISO 27000 et le concept de niveau de maturité pour concevoir un modèle d'évaluation du niveau de maturité sécuritaire. A partir de ce modèle, nous avons développé l'outil nécessaire à l'évaluation des pratiques sécuritaires permettant de situer le niveau de confiance porté à un partenaire. Ces résultats ont été expérimentés dans le cadre du projet européen VIVACE.