Évaluation quantitative de la sécurité des systèmes d’information - TEL - Thèses en ligne Accéder directement au contenu
Thèse Année : 1998

Quantitative Evaluation of Information Systems Security

Évaluation quantitative de la sécurité des systèmes d’information

Résumé

This dissertation presents a general method for the specification and quantitative evaluation of information systems security. This method allows to monitor the evolutions of an information system in operation, as well as to compare the impact on security of possible modifications of the functioning. It relies on a formal specification of the system security policy, augmented by a model of the vulnerabilities observed in the real system in operation. Then, a security measure represents the difficulty for an attacker to exploit the vulnerabilities and defeat the objectives defined in the security policy. Information systems security policy specification necessitates the definition of a rigorous and expressive framework. Furthermore, the language should be general enough to be usable in the context of an organization. The method defined and used in this work is based on an extension of deontic logic, enriched with a graphical representation. Vulnerabilities of the information system are described by a model called a privilege graph. These vulnerabilities, probed in the system, may have various origins, such as incorrect operation of the protection mechanisms of a computer system, or delegation of privileges in an organization. The assessment of a weight to these individual vulnerabilities allows the definition of highly relevant and global quantitative measures of security. Two practical examples are presented to illustrate the methodology: the study of a medium-size bank agency; and the observation of the security evolutions of a large computer system in operation.
Cette thèse présente une méthode générale de spécification et d’évaluation quantitative de la sécurité des systèmes d’information. Cette méthode permet de surveiller les évolutions d’un système d’information pendant sa vie opérationnelle, ainsi que de comparer l’impact sur la sécurité de modifications éventuelles du fonctionnement. Elle s’appuie sur une spécification formelle de la politique de sécurité, complétée par un modèle des vulnérabilités du système réel en fonctionnement. Une mesure de la sécurité correspond alors à la difficulté pour un attaquant potentiel d’exploiter les vulnérabilités pour mettre en défaut les objectifs définis par la politique de sécurité. La spécification de la politique de sécurité d’un système d’information nécessite la définition d’un cadre rigoureux, expressif, et suffisamment général pour être utilisable dans le contexte d’une organisation. La méthode définie et utilisée dans ce mémoire est basée sur une extension de la logique déontique, complétée par une représentation graphique. Les vulnérabilités du système d’information sont représentées par un modèle appelé un graphe des privilèges. Ces vulnérabilités, qui doivent être recherchées dans le système, peuvent avoir des origines variées, comme la mauvaise utilisation des mécanismes de protection dans un système informatique, ou les délégations de pouvoirs dans une organisation. L’attribution d’un poids à ces vulnérabilités élémentaires permet de définir des mesures quantitatives de la sécurité globales et pertinentes. La démarche est illustrée par deux exemples d’application pratique: l’étude du fonctionnement d’une agence bancaire de taille moyenne; et l’observation de l’évolution de la sécurité d’un système informatique de grande taille en exploitation.
Fichier principal
Vignette du fichier
these_Rodolphe_ORTALO.pdf (1.27 Mo) Télécharger le fichier
Loading...

Dates et versions

tel-01115455 , version 1 (16-02-2015)

Identifiants

  • HAL Id : tel-01115455 , version 1

Citer

Rodolphe Ortalo. Évaluation quantitative de la sécurité des systèmes d’information. Cryptographie et sécurité [cs.CR]. INP DE TOULOUSE, 1998. Français. ⟨NNT : ⟩. ⟨tel-01115455⟩
881 Consultations
886 Téléchargements

Partager

Gmail Facebook X LinkedIn More