Discussion

Notre analyse des résultats à travers les différentes figures précédentes nous a permis de tirer les

conclusions suivantes :

• Moins le taux de rejets par les politiques est important, moins le risque sera influent. Ainsi,

pour les systèmes où il est connu à l’avance que le taux de requêtes qui seront rejetées par les

politiques de contrôle d’accès sera faible, le mécanisme de risque n’apportera pas une grande

influence. En revanche, pour les environnements ouverts tels que les réseaux sociaux où le

nombre de requêtes rejetées est souvent susceptible d’être considérablement élevé, l’influence

du mécanisme d’évaluation de risque est bien plus présente, i.e., globalement, il y a plus

de requêtes rejetées à cause du risque qu’elles représentent, et ce même pour des seuils de

risque élevés. Cela s’explique par la considération de l’importance (sensibilité) des ressources

collaboratives. Car plus une ressource est confidentielle, moins d’acteurs seront autorisés à y

accéder, et par conséquent plus de requêtes seront rejetées à son égard.

• L’observation précédente est accentuée avec la pondération qui donne plus d’importance à la

valeur de l’impact des ressources par rapport aux reste des paramètres, à savoir, la menace

et la vulnérabilité. Car nous avons remarqué que l’augmentation des rejets dus au risque est

plus importante dans les systèmes où le taux de rejets par les politiques est plus élevé. Par

ailleurs, la pondération améliore également la cohérence entre les décisions politiques-risque.

Cela signifie que dans la formule pondérée, les décisions basées sur le risque sont conformes

à celles prises à base des politiques.

Ces observations nous conduisent à conclure que notre système se comporte comme espéré. Le

risque s’adapte bien au comportement du système basé sur politiques de contrôle d’accès définies

par les acteurs de la communauté. En d’autres termes, il est plus prudent pour une entreprise d’être

davantage sur ses gardes dans des environnements où il est assez fréquent que des acteurs externes

tentent des accès illégaux aux ressources partagées.

De plus, l’influence globale de l’introduction de la métrique de risque semble correcte, tant que

les seuils du risque restent raisonnables. Par cela, nous voulons dire que notre système ne va pas

brusquement rejeter une grande quantité de requêtes. Cela semble cohérent avec le cas réel, où

en général, une organisation fait confiance à ses utilisateurs pour l’établissement des politiques de

partage de ressources collaboratives, et n’intervient seulement que dans les cas les plus critiques,i.e.,

détection de menaces importantes.

Pour conclure, les expérimentations avec la formule pondérée de risque montre la cohérence de la

métrique de risque que nous avons définie avec nos objectifs de sécurité. La cohérence des décisions à

base du risque augmente par rapport aux décisions à base de politique d’une manière proportionnelle

à la pondération qui a pour objectif l’atténuation des paramètres aléatoires des politiques produites

pour nos expérimentations.

Chapitre 6. Gestion du risque

6.5 Conclusion

Dans ce chapitre, nous avons proposé une métrique de risque destinée à améliorer les

perfor-mances, en matière d’efficacité de filtrage de requêtes malveillantes, des mécanismes classiques de

contrôle d’accès.

Cette métrique d’évaluation du risque peut en effet être utilisée par dessus de n’importe quel autre

mécanisme de contrôle d’accès. Notre approche est adapté aux environnements RSE, car elle permet

aux entreprises de déléguer la définition des politiques de contrôle d’accès à ces utilisateurs (

user-centric approach) tout en gardant le contrôle sur ces dernières d’une manière efficace, dynamique et

abstraite.

En se basant sur les méthodologies standards de la gestion du risque, nous avons défini notre

approche sur la base de trois paramètres qui tiennent compte des aspects suivants, l’impact de la

ressource demandée, la menace de la requête reçue et la vulnérabilité de l’environnement collaboratif

en question. Ajoutant à cela, un seuil et permet l’entreprise qui héberge la ressource demandée de

rejeter certaines requêtes jugées, de sources malveillantes.

Nous avons défini de manière formelle les deux paramètres nécessaires à notre gestion du risque,

à savoir l’impact et la vulnérabilité. Le premier reflète l’importance de la ressource à travers le nombre

d’autorisations impliquant les acteurs et les actions. Le second paramètre est subjectif et permet de

classifier les mécanismes d’authentification par ordre de fiabilité afin d’estimer les vulnérabilités de

l’environnement collaboratif. Le dernier paramètre dans notre métrique d’évaluation du risque est la

menace que reflète la requête reçue. L’évaluation de cette menace est basée sur la confiance du sujet

de la requête. Par conséquent, la question qui reste à éclaircir concerne la manière dont sera évaluée

cette confiance. C’est sur cette question que nous avons travaillé dans le cadre du chapitre suivant,

à savoir,Confiance numérique.

Chapitre 7

Confiance numérique

Sommaire

7.1 Introduction . . . . 125

7.2 Contexte . . . . 125

7.3 Présentations conceptuelles de l’évaluation de la confiance et la réputation . . 126

7.3.1 Présentation formelle du mécanisme d’évaluation de confiance . . . . 127

7.3.2 Illustration. . . . 130

7.4 Étude expérimentale. . . . 130

7.4.1 Discussion . . . . 131

7.5 Conclusion . . . . 133

7.1 Introduction

Dans ce chapitre nous allons détailler notre approche dynamique d’évaluation de la réputation et

la confiance numérique des sujets de collaboration au sein des communautés RSE. En premier lieu,

nous allons introduire le contexte avec quelques définitions permettant d’élucider certaines notions et

termes utilisés dans le cadre de ce chapitre. Ensuite, nous présenterons nos algorithmes d’évaluation

de la réputation et de la confiance. Avant de conclure, nous illustrons l’efficacité de nos procédures

d’évaluation de la réputation et de la confiance à travers une étude expérimentale dans laquelle nous

observons l’évolution de la réputation et de la confiance par rapport aux comportements de sujets

sur une succession de sessions collaboratives dans une communauté de collaboration.

7.2 Contexte

“La confiance, pense-t-on, ne va pas sans conditions. On ne peut l’accorder à n’importe qui les yeux

fermés, ni réclamer d’autrui qu’il nous l’accorde aveuglément sans la dégrader en simple crédulité ...

Il faut pour cela donner certains gages : le témoignage d’actes antérieurs, et une certaine qualité de

l’attitude présente qui laisse à penser que les actes futurs seront de l’étoffe des précédents.” C’est de ces

Chapitre 7. Confiance numérique

mots, utilisés parGildas Richardpour donner une définition philosophique[163]de la confiance, que

notre vision de la confiance s’inspire. En effet, cette définition met en évidence le lien indivisible et

mutuel entre le comportement et la confiance, ainsi nous pourrons qualifier la confiance comme étant

uneconséquence comportementale. Par conséquent, trois mots clés permettent de cerner la question

de confiance, à savoir le passé, le présent et le futur.

Dans le domaine informatique en général et celui de la sécurité collaborative en particulier,

plu-sieurs chercheurs se sont posés la question sur la manière avec laquelle il est possible de modéliser la

confiance numérique afin qu’elle soit avantageuse pour la qualité de la collaboration[33,81,12,190,

104,188]. Dans ce contexte, il est difficile de ne pas remarquer l’omniprésence du terme“réputation”

qui peut être, d’une vision générale, considéré comme un synonyme de la confiance. Néanmoins, bien

que étroitement liées et parfois confondues, les notions de réputation et de confiance manifestent

certaines différences fondamentales, et ce notamment quand il s’agit de sécurité informatique dans

les environnements collaboratifs.

• Réputation: une mesure réévaluée en continue au moyen d’un processus de supervision sur

la base d’une ligne historique comportementale d’un sujet collaboratif.

• Confiance: notion plus abstraite qui permet de catégoriser (i.e.discrétionner) la valeur de la

réputation. Peut être utilisée comme un indice de confiance sur lequel des évaluations ainsi

que des éventualités peuvent être fondées entre sujet/système vis-à-vis d’un autre sujet.

Dans le document Sécurité des ressources collaboratives dans les réseaux sociaux d'entreprise (Page 128-131)