Information has become a major asset in companies that have based their business on the production and exploitation of this information, but also in traditional companies that exploit their information with a view to continuously improving their processes. This is the case in collaborative systems where companies are interconnected but also in intelligent systems that have many information exchanges with there environment. It is important that companies keep control of the information they import, process and distribute. In this article, in the context of a risk management approach, we present a new security criterion: controllability.

The new information and communication technologies have brought an evolution of IT systems from a standalone architecture to architectures where the systems are interconnected, and this in a multi-organizational environment. Through their interactions and their collaboration with external systems, notably via the service paradigm, information systems have become the place where information from different sources converges: data collected by the information system, computed data, data from outsourced services or databases,… Therefore, from a computer security point of view we can no longer focus solely on hardware, software and network issues. From now on, we must take into account the data that is an integral part of an organization’s capital: data is today the main concern of companies. In this article we address the information security from the perspective of risk management taking into account the ability of an organization to control its data flows (incoming and outgoing). We propose the introduction of a new security criterion: the “controllability”. The consideration of this criterion is essential to avoid the garbage in, garbage out issue (incoming data) and to reduce the risks in the use of the data produced (outgoing data).

Face à la “révolution numérique”, provoquée par la diffusion massive des technologies numériques au sein de la société, l’université de Bordeaux a lancé un projet trans-disciplinaire: “les convergences du droit et du numérique”. Cet événement, réalisé en partenariat avec l’initiative d’excellence de Bordeaux, le forum Montesquieu et la cour administrative d’appel de Bordeaux, est destiné à créer des ponts durables entre les professionnels du droit et ceux du numérique.

Dans cette thèse nous abordons la gestion des risques appliquée aux systèmes d’information distribués. Nous traitons des problèmes d’interopérabilité et de sécurisation des échanges dans les systèmes DRM et nous proposons la mise en place de ce système pour l’entreprise: il doit nous permettre de distribuer des contenus auto-protégés. Ensuite nous présentons la participation à la création d’une entreprise innovante qui met en avant la sécurité de l’information, avec en particulier la gestion des risques au travers de la norme ISO/IEC 27005:2011. Nous présentons les risques liés à l’utilisation de services avec un accent tout particulier sur les risques autres que les risques technologiques; nous abordons les risques inhérents au cloud (défaillance d’un provider, etc…) mais également les aspects plus sournois d’espionnage et d’intrusion dans les données personnelles (affaire PRISM en juin 2013). Dans la dernière partie nous présentons un concept de DRM d’Entreprise qui utilise les métadonnées pour déployer des contextes dans les modèles de contrôle d’usage. Nous proposons une ébauche de formalisation des métadonnées nécessaires à la mise en œuvre de la politique de sécurité et nous garantissons le respect de la réglementation et de la loi en vigueur.

Les architectures orientées services (SOA) offrent de nouvelles opportunités pour l’interconnexion des systèmes. Cependant, pour une entreprise, l’ouverture de son Système d’Information au “monde” n’est pas négligeable en termes de sécurité. Qu’il s’agisse d’utiliser les services disponibles ou de fournir ses propres services, les nouvelles technologies ont introduit de nouvelles vulnérabilités et donc de nouveaux risques. Nos travaux visent à proposer une approche de gestion des risques basée sur la norme ISO/CEI 27005:2011 : nous proposons un développement de cette norme (par extension de l’annexe D) afin qu’elle puisse prendre en compte pleinement le type service comme les services web et les services cloud. En effet, un monde de services ne se limite pas à relier des systèmes interconnectés, c’est plutôt une relation entre le client et le fournisseur, où se développent les notions de confiance, de responsabilité, de traçabilité et de gouvernance. Suite à cette étude, nous introduisons un nouveau critère de sécurité, la contrôlabilité, pour s’assurer qu’une entreprise garde le contrôle de ses informations même si elle utilise de tels services externalisés.

La sécurité de l’information est actuellement l’une des questions les plus importantes dans les systèmes d’information. Cela concerne la confidentialité de l’information mais aussi son intégrité et sa disponibilité. Le problème devient encore plus difficile lorsque plusieurs entreprises travaillent ensemble sur un projet et que les différents documents “sortent” de leurs systèmes d’information respectifs. Nous proposons une architecture dans laquelle les documents eux-mêmes assurent leur sécurité et peuvent donc être échangés contre des ressources incontrôlées comme le cloud storage ou même des clés USB. Pour cela, nous encapsulons dans le document lui-même quelques composants de sécurité (par ex. contrôle d’accès, contrôle d’utilisation) afin de réaliser une architecture documentaire autonome pour Enterprise DRM (E-DRM). En utilisant de tels documents auto-protecteurs, une entreprise peut garantir la sécurité et la confidentialité de ses documents lors de l’externalisation de services de stockage (par exemple, le cloud).