Chapitre 2 Méthode de définition d’une
2.2 Spécification
2.3.1 Application à une organisation
2.3.1.6 Exemple d’application: une agence bancaire
Afin d’illustrer l’application à une organisation de la méthode de spécification d’une politique de sécurité que nous proposons, nous présentons un exemple de sa mise en œuvre dans un cas pratique. Cet exemple est également présenté dans [Ortalo 1998; Ortalo & Deswarte 1998b]. L’organisation considérée est une agence bancaire de taille moyenne, employant une trentaine de personnes. La politique de sécurité présentée dans cette section a été construite à partir de différents docu- ments décrivant l’organisation de cette agence, les fonctions assurées par ses mem- bres et les opérations relatives aux métiers bancaires. L’analyse de ces documents a été complétée par une étude sur le terrain de plusieurs jours. La politique de sécu- rité présentée dans cette section a été construite à partir de différents documents fournis par l’organisation considérée. Plus précisément, trois documents principaux ont servi de point de départ au travail de spécification:
• un organigramme de l’agence;
• un document de définition des fonctions assurées au sein de l’organisation qui présente les différents emplois occupés par les agents;
• et la documentation technique décrivant les différentes opérations bancaires qui est mise à la disposition des différents agents pour les assister.
Ce dernier document identifie plus d’une centaine d’opérations qui peuvent être mises en œuvre quotidiennement dans une banque. De ces nombreuses opérations, seul un nombre réduit est étudié dans le cadre de la spécification que nous présen- tons, et plus précisément les opérations relatives à l’attribution des crédits et à la manipulation de certains titres aux porteurs. Ces opérations paraissent intéressantes car elles mettent en jeu, respectivement, un mécanisme de délégation de pouvoir et le problème de l’anonymat.
2.3.1.6.1 Eléments de base
Les éléments initiaux de la spécification de la politique de sécurité sont présentés dans la figure 12. (Les éléments qui ne sont pas définis directement dans cette figure sont précisés par la suite dans les figures 13, 14 et 15.) Sont représentés les princi- paux éléments de description utilisés pour définir les règles et les objectifs de sécu- rité de la spécification. Dans cet exemple, on considère, d’une part les différents individus concernés par la politique de sécurité et notamment les agents de l’organi- sation, d’autre part un certain nombre d’actions (définies de manière synthétique). Enfin, on notera l’introduction de différents de rôles correspondant aux différentes fonctions de l’organisation. Ces rôles permettent de préciser la définition des règles de fonctionnement ou des règles de sécurité de manière générique et structurée indépendamment des différents agents présents dans l’organisation. L’affectation
des individus concernés par la politique de sécurité aux différents rôles établit ensuite le lien permettant de représenter les attributions et les actions de chacun dans l’organisation.
La figure 13 détaille les éléments de description utilisés dans la politique de sécu- rité. On y trouve donc la définition des différentes catégories d’opérations effec- tuées dans l’organisation, la définition des différentes fonctions existant dans l’organisation qui constituent les différents rôles, et un certain nombre d’éléments complémentaires utilisés dans la spécification (comme certains éléments physiques, la représentation d’informations bancaires générales, etc.). L’affectation précise de chaque agent aux différents rôles est définie dans la figure 14. Enfin, la figure 15 définit les comptes et mouvements bancaires tels qu’ils sont pris en compte (de manière abstraite) dans la politique de sécurité.
2.3.1.6.2 Règles de fonctionnement et règles de sécurité
La figure 16 présente la définition plus précise de certaines des règles de fonction- nement et des règles de sécurité observées dans l’organisation. Du point de vue du fonctionnement, on s’est attaché à caractériser le fait que la quasi-totalité des opéra- tions peuvent être effectuées à partir des terminaux informatiques, ainsi qu’à préci- ser de manière assez générale l’impact des opérations bancaires courantes sur un compte donné (en se limitant toutefois à préciser les conditions sous lesquelles le solde d’un compte peut être positif ou négatif). On précise également l’action résul- tant d’un accord de crédit entre la banque et son client. Du point de vue des règles de sécurité, ce fonctionnement est régi par un certain nombre de règles simples. D’une part, tous les agents de l’organisation sont autorisés à effectuer des opéra- tions courantes. En cas de blocage d’une opération (résultant par exemple d’un solde insuffisant sur le compte d’un client), ils sont également autorisés à forcer cette opération, mais celle-ci produit alors une trace spécifique dans les fichiers d’audit repérée par l’étiquette ‘Forçage’ (ces fichiers sont systématiquement réexa-
Figure 12 - Racine de la politique de sécurité
Agents A1 A2 … A35 Actions Effectuer
×
Opérations Accorder un crédit×
Crédits Accéder×
Eléments physiques RôlesEmplois Caissier
Affection des rôles Affectations des agents A16
×
Caissier Individus Clients Agents Divers Montants Éléments physiques Dossiers Comptes Position Mouvements Types de mouvements Plainte Forçage Blocage2.3.1- Application à une organisation 93
minés par la suite). Enfin, concernant l’accès à un élément physique particulier (le coffre principal de l’agence), une règle de sécurité particulière s’applique pour en restreindre l’accès.
En ce qui concerne les opérations de crédit, si tous les agents sont en mesure de constituer un dossier, l’accord définitif ne fait généralement pas partie de leurs pré- rogatives. Dans certains cas toutefois, un agent peut être autorisé à accorder directe- ment un crédit. Ces pouvoirs sont attribués par un mécanisme de délégation qui peut être activé par le chef de l’agence moyennant un certain nombre de conditions. Ce mécanisme de délégation est décrit par la règle de délégation présentée dans la
a. Dans cette figure, le signe ‘<’ ne désigne pas un opérateur arithmétique. Il est simplement utilisé comme une abréviation pour l’énoncé ‘montant inférieur à’. Ceci impose de définir et d’ordonner manuellement tous les montants, et plus généralement tous les nombres, utilisés dans la spécifica- tion. Cette restriction peut être éliminée dans la pratique en introduisant des opérateurs et des ato- mes spéciaux, indépendants du langage déontique, correspondant à l’arithmétique usuelle.
Figure 13 - Eléments de description de la politique de sécuritéa Emplois
Responsable d’agence Chef d’agence
Adjoint à chef d’agence Animateur Animateur de marché Animateur de guichet Responsable de bureau Animateur d’agence Responsable de guichet Chargé de clientèle
Chargé de clientèle particuliers Chargé de clientèle agriculteurs Chargé de clientèle professionnels Chargé de recouvrement
Agent commercial très qualifié
Assistant commercial tous marchés Conseiller clientèle
Agent commercial
Agent commercial qualifié Agent commercial Secrétaire d’unité Opérations Opérations courantes Opérations de crédit Titres et placements Opérations anonymes sur titres Opérations para-bancaires Assurances
Gestion des fonds Caisse centrale Automates Devises
Opérations internes Contrôle des forçages Contentieux Incidents clients Incidents caisses Gestion agence Gestion du personnel Éléments physiques Coffre principal Terminal Automate Dossiers Crédits
Crédit aux particuliers Crédit à la consommation Crédit aux professionnels Crédit aux agriculteurs Accord chef d’agence Montants
<1200kF …
<90kF <40kF
figure 17. La figure 17 précise également les conditions qui doivent être vérifiées pour que le chef d’agence puisse accorder une délégation aux agents placés sous sa direction.
2.3.1.6.3 Objectifs de sécurité
La figure 18 présente trois objectifs de sécurité simples qui peuvent être étudiés à partir de cette spécification partielle de la politique de sécurité. Le premier objectif s’applique aux agents même de l’organisation et concerne le crédit. Il s’agit là de garantir que, pour les crédits d’un montant important (cette limite a été choisie arbi-
trairement dans l’exemple présenté), les règles d’autorisation définies dans la
figure 17 sont effectivement appliquées. Le deuxième objectif de sécurité vise à
Figure 14 - Éléments de description: affectation d’une fonction à chaque agent
Figure 15 - Éléments de description: représentation des comptes et des mouvements bancaires
Affectations des agents A1
×
Chef d’agenceA2
×
Adjoint à chef d’agence A3×
Secrétaire d’unité A4×
Secrétaire d’unité A5×
Animateur d’agenceA5
×
Chargé de clientèle particuliers A6×
Animateur d’agenceA6
×
Chargé de clientèle professionnels A6×
Chargé de clientèle agriculteurs A7×
Responsable de guichetA7
×
Chargé de clientèle professionnels A8×
Assistant commercial tous marchés A9×
Chargé de clientèle professionnels A10×
Chargé de clientèle professionnels A11×
Chargé de clientèle professionnels A12×
Chargé de clientèle agriculteurs A13×
Chargé de clientèle agriculteurs A14×
Chargé de clientèle agriculteurs A15×
Agent commercial qualifié A16×
Agent commercial qualifiéA17
×
Agent commercial qualifié A18×
Agent commercial qualifié A19×
Chargé de clientèle particuliers A20×
Chargé de clientèle particuliers A21×
Conseiller clientèleA22
×
Agent commercial qualifié A23×
Conseiller clientèleA24
×
Conseiller clientèleA25
×
Agent commercial qualifié A26×
Chargé de clientèle particuliers A27×
Chargé de clientèle particuliers A28×
Chargé de clientèle particuliers A29×
Chargé de clientèle particuliers A29×
Responsable de guichetA30
×
Chargé de clientèle particuliers A31×
Chargé de clientèle particuliers A32×
Chargé de clientèle particuliers A33×
Chargé de clientèle particuliers A34×
Chargé de clientèle particuliers A35×
Conseiller clientèleComptes ⊆ Clients
×
Solde négatif ∪ Clients×
Solde positifMouvements ⊆ Créditer
×
Compte×
Montant ∪ Débiter×
Compte×
MontantTypes de mouvements Créditer Débiter Position Solde positif Solde négatif
2.3.1- Application à une organisation 95
garantir que les opérations effectuées par les agents sont conformes à l’intérêt des clients. Il s’agit donc de garantir qu’aucun client ne soit en mesure d’émettre une plainte légitime (au sens pénal) contre l’organisation ou un de ses agents. Enfin, le dernier objectif concerne les individus extérieurs à l’organisation et vise à interdire à ces individus la réalisation directe d’opérations courantes. Cet objectif est donné à titre d’exemple et ne sera pas étudié plus à fond par la suite en raison de l’absence de données expérimentales complètes concernant les vulnérabilités affectant les opérations courantes.
La spécification obtenue est une description partielle et d’assez haut niveau de la politique de sécurité de l’organisation considérée. Les opérations bancaires effec- tuées dans l’agence étudiée sont en effet très nombreuses, et leur analyse exhaustive demanderait un effort très important. Afin d’illustrer la méthode de spécification, nous nous sommes contentés d’étudier certains types d’opérations, qui nous parais- saient intéressants. Une étude approfondie consisterait à raffiner la spécification obtenue pour prendre en compte le fonctionnement exact de chaque type d’opéra- tion. Par exemple, pour compléter la description du traitement des opérations cou- rantes, il s’agirait d’intégrer les méthodes d’authentification mises en œuvre au niveau des terminaux informatiques. Il faudrait également raffiner la description des différentes opérations pour isoler celles qui se distinguent (comme le traitement des chèques, les manipulations de matière, ou les opérations de change), et compléter la définition des objectifs de sécurité. Toutefois, la spécification obtenue reflète assez
Figure 16 - Description des règles de fonctionnement et des règles de sécurité
Règles de fonctionnement Agents
×
Actions ⇒ ActionsAgents
×
(Effectuer×
Opérations) ⇐ Agents×
(Accéder×
Terminal) Effectuer×
Opérations de crédit ⇒ CréditsEffectuer
×
Opérations courantes ⇒ Débiter×
Comptes×
Montants ∨ Créditer×
Comptes×
MontantsClient
×
Solde négatif ⇒ Blocage×
(Débiter×
Compte×
Montants) Accorder un crédit×
Crédits ⇒ Créditer×
Comptes×
MontantsRègles de sécurité
P(Individus
×
(Effectuer×
Opérations courantes)) ⇒ (Individus×
Emplois) P(Agents×
(Effectuer×
Opérations de crédit)) ⇒ (Agents×
Chargé de clientèle) P(Agents×
(Accéder×
Coffre principal)) ⇒ (Agents×
Caissier) ∨(Agents
×
Chef d’agence)Agents
×
Actions ∧ Blocage×
Actions ⇒ O(Forçage×
Agents×
Actions) P(Délégation chef d’agence)fidèlement l’organisation générale de l’agence, et, ainsi que nous le verrons par la suite (cf 3.2.2) permet l’étude de plusieurs objectifs de sécurité correspondant à des opérations particulières.