6.4 Expérimentation
6.4.3 Discussion
Notre analyse des résultats à travers les différentes figures précédentes nous a permis de tirer les
conclusions suivantes :
• Moins le taux de rejets par les politiques est important, moins le risque sera influent. Ainsi,
pour les systèmes où il est connu à l’avance que le taux de requêtes qui seront rejetées par les
politiques de contrôle d’accès sera faible, le mécanisme de risque n’apportera pas une grande
influence. En revanche, pour les environnements ouverts tels que les réseaux sociaux où le
nombre de requêtes rejetées est souvent susceptible d’être considérablement élevé, l’influence
du mécanisme d’évaluation de risque est bien plus présente, i.e., globalement, il y a plus
de requêtes rejetées à cause du risque qu’elles représentent, et ce même pour des seuils de
risque élevés. Cela s’explique par la considération de l’importance (sensibilité) des ressources
collaboratives. Car plus une ressource est confidentielle, moins d’acteurs seront autorisés à y
accéder, et par conséquent plus de requêtes seront rejetées à son égard.
• L’observation précédente est accentuée avec la pondération qui donne plus d’importance à la
valeur de l’impact des ressources par rapport aux reste des paramètres, à savoir, la menace
et la vulnérabilité. Car nous avons remarqué que l’augmentation des rejets dus au risque est
plus importante dans les systèmes où le taux de rejets par les politiques est plus élevé. Par
ailleurs, la pondération améliore également la cohérence entre les décisions politiques-risque.
Cela signifie que dans la formule pondérée, les décisions basées sur le risque sont conformes
à celles prises à base des politiques.
Ces observations nous conduisent à conclure que notre système se comporte comme espéré. Le
risque s’adapte bien au comportement du système basé sur politiques de contrôle d’accès définies
par les acteurs de la communauté. En d’autres termes, il est plus prudent pour une entreprise d’être
davantage sur ses gardes dans des environnements où il est assez fréquent que des acteurs externes
tentent des accès illégaux aux ressources partagées.
De plus, l’influence globale de l’introduction de la métrique de risque semble correcte, tant que
les seuils du risque restent raisonnables. Par cela, nous voulons dire que notre système ne va pas
brusquement rejeter une grande quantité de requêtes. Cela semble cohérent avec le cas réel, où
en général, une organisation fait confiance à ses utilisateurs pour l’établissement des politiques de
partage de ressources collaboratives, et n’intervient seulement que dans les cas les plus critiques,i.e.,
détection de menaces importantes.
Pour conclure, les expérimentations avec la formule pondérée de risque montre la cohérence de la
métrique de risque que nous avons définie avec nos objectifs de sécurité. La cohérence des décisions à
base du risque augmente par rapport aux décisions à base de politique d’une manière proportionnelle
à la pondération qui a pour objectif l’atténuation des paramètres aléatoires des politiques produites
pour nos expérimentations.
Chapitre 6. Gestion du risque
6.5 Conclusion
Dans ce chapitre, nous avons proposé une métrique de risque destinée à améliorer les
perfor-mances, en matière d’efficacité de filtrage de requêtes malveillantes, des mécanismes classiques de
contrôle d’accès.
Cette métrique d’évaluation du risque peut en effet être utilisée par dessus de n’importe quel autre
mécanisme de contrôle d’accès. Notre approche est adapté aux environnements RSE, car elle permet
aux entreprises de déléguer la définition des politiques de contrôle d’accès à ces utilisateurs (
user-centric approach) tout en gardant le contrôle sur ces dernières d’une manière efficace, dynamique et
abstraite.
En se basant sur les méthodologies standards de la gestion du risque, nous avons défini notre
approche sur la base de trois paramètres qui tiennent compte des aspects suivants, l’impact de la
ressource demandée, la menace de la requête reçue et la vulnérabilité de l’environnement collaboratif
en question. Ajoutant à cela, un seuil et permet l’entreprise qui héberge la ressource demandée de
rejeter certaines requêtes jugées, de sources malveillantes.
Nous avons défini de manière formelle les deux paramètres nécessaires à notre gestion du risque,
à savoir l’impact et la vulnérabilité. Le premier reflète l’importance de la ressource à travers le nombre
d’autorisations impliquant les acteurs et les actions. Le second paramètre est subjectif et permet de
classifier les mécanismes d’authentification par ordre de fiabilité afin d’estimer les vulnérabilités de
l’environnement collaboratif. Le dernier paramètre dans notre métrique d’évaluation du risque est la
menace que reflète la requête reçue. L’évaluation de cette menace est basée sur la confiance du sujet
de la requête. Par conséquent, la question qui reste à éclaircir concerne la manière dont sera évaluée
cette confiance. C’est sur cette question que nous avons travaillé dans le cadre du chapitre suivant,
à savoir,Confiance numérique.
Chapitre 7
Confiance numérique
Sommaire
7.1 Introduction . . . . 125
7.2 Contexte . . . . 125
7.3 Présentations conceptuelles de l’évaluation de la confiance et la réputation . . 126
7.3.1 Présentation formelle du mécanisme d’évaluation de confiance . . . . 127
7.3.2 Illustration. . . . 130
7.4 Étude expérimentale. . . . 130
7.4.1 Discussion . . . . 131
7.5 Conclusion . . . . 133
7.1 Introduction
Dans ce chapitre nous allons détailler notre approche dynamique d’évaluation de la réputation et
la confiance numérique des sujets de collaboration au sein des communautés RSE. En premier lieu,
nous allons introduire le contexte avec quelques définitions permettant d’élucider certaines notions et
termes utilisés dans le cadre de ce chapitre. Ensuite, nous présenterons nos algorithmes d’évaluation
de la réputation et de la confiance. Avant de conclure, nous illustrons l’efficacité de nos procédures
d’évaluation de la réputation et de la confiance à travers une étude expérimentale dans laquelle nous
observons l’évolution de la réputation et de la confiance par rapport aux comportements de sujets
sur une succession de sessions collaboratives dans une communauté de collaboration.
7.2 Contexte
“La confiance, pense-t-on, ne va pas sans conditions. On ne peut l’accorder à n’importe qui les yeux
fermés, ni réclamer d’autrui qu’il nous l’accorde aveuglément sans la dégrader en simple crédulité ...
Il faut pour cela donner certains gages : le témoignage d’actes antérieurs, et une certaine qualité de
l’attitude présente qui laisse à penser que les actes futurs seront de l’étoffe des précédents.” C’est de ces
Chapitre 7. Confiance numérique
mots, utilisés parGildas Richardpour donner une définition philosophique[163]de la confiance, que
notre vision de la confiance s’inspire. En effet, cette définition met en évidence le lien indivisible et
mutuel entre le comportement et la confiance, ainsi nous pourrons qualifier la confiance comme étant
uneconséquence comportementale. Par conséquent, trois mots clés permettent de cerner la question
de confiance, à savoir le passé, le présent et le futur.
Dans le domaine informatique en général et celui de la sécurité collaborative en particulier,
plu-sieurs chercheurs se sont posés la question sur la manière avec laquelle il est possible de modéliser la
confiance numérique afin qu’elle soit avantageuse pour la qualité de la collaboration[33,81,12,190,
104,188]. Dans ce contexte, il est difficile de ne pas remarquer l’omniprésence du terme“réputation”
qui peut être, d’une vision générale, considéré comme un synonyme de la confiance. Néanmoins, bien
que étroitement liées et parfois confondues, les notions de réputation et de confiance manifestent
certaines différences fondamentales, et ce notamment quand il s’agit de sécurité informatique dans
les environnements collaboratifs.
• Réputation: une mesure réévaluée en continue au moyen d’un processus de supervision sur
la base d’une ligne historique comportementale d’un sujet collaboratif.
• Confiance: notion plus abstraite qui permet de catégoriser (i.e.discrétionner) la valeur de la
réputation. Peut être utilisée comme un indice de confiance sur lequel des évaluations ainsi
que des éventualités peuvent être fondées entre sujet/système vis-à-vis d’un autre sujet.
Dans le document
Sécurité des ressources collaboratives dans les réseaux sociaux d'entreprise
(Page 128-131)