Projet eb³sec

Sécuriser les systèmes d'information

Les systèmes d'information sont utilisés dans tous les domaines de l'activité économique et sociale au Canada. Ces systèmes d'information contiennent des données privées de très grande valeur pour leur propriétaire. On doit donc sécuriser l'accès à ces données et le restreindre aux seules personnes autorisées. Plusieurs domaines de l'activité économique et sociale sont maintenant sujets à des lois et des normes très strictes au niveau de la sécurité et de la confidentialité des données, par exemple Sarbane-Oxley, HIPAAA aux États-Unis et PIPEDA au Canada. La sécurité et la confidentialité sont assurées par plusieurs mécanismes comme l'authentification, l'encryption et les protocoles sécurisés de transfert de données.

De la sécurité fonctionnelle

Nous nous adressons à un autre aspect de la sécurité que nous appelons sécurité fonctionnelle. Il comprend les règles de sécurité qui doivent être spécifiées au niveau des processus d'affaires de l'entreprise. Par exemple, dans un système de gestion des dossiers patients d'un hôpital, les données d'un patient ne peuvent être accédées que par le médecin traitant. En cas d'urgence, un spécialiste peut avoir un accès restreint aux données particulières pour une période de temps limitée. Il y a plusieurs niveaux de spécification des règles de sécurité: : les attributs d'une entité, les services atomiques et les processus d'affaires (composés de services atomiques). Ce projet proposera :

1. Une méthode de spécification des politiques de sécurité fonctionnelles pour ces trois niveaux de spécification.
2. Des algorithmes de synthèse automatique de noyau de sécurité qui traduiront une politique de sécurité en un programme exécutable, dans le contexte d'une architecture orientée service web.

La spécification de la politique de sécurité fonctionnelle sera distincte de la spécification du comportement des services, afin de faciliter la maintenance en temps-réel des politiques de sécurité fonctionnelle d'une application sans avoir à modifier l'application. Notre approche est fondée sur les méthodes formelles de développement, qui permettent de vérifier la cohérence et la validité d'une politique.