Haut PDF Une approche de sécurité pour le M-Business

Résumé La protection de la vie privée dans le business mobile (m-business) fournissant des services basés sur la localisation (LBS) peut devenir une préoccupation majeure pour les clients et les fournisseurs de services. Dans m-business, un client envoie ses empla- cements exacts aux fournisseurs de services (LP s). Ces données peuvent impliquer des informations personnelles sensibles et privées. Par conséquent, l’utilisation abusive des informations de localisation par les fournisseurs de services crée des problèmes de la vie privée pour les clients. De plus, la requête ne doit pas être liée au client mobile, même si les informations de localisation sont volontairement exposées par lui (client mobile) pour obtenir certains services. Pour cela, il existe des approches de camouflage (masquage) qui permettent de protéger la vie privée de l’emplacement des clients mo- biles. Par conséquent, de nombreuses approches temporelles et spatiales ont proposé pour masquer l’emplacement d’un utilisateur spécifique (par exemple, k-anonymity, l-Diversity). Les travaux actuels définissent la vie privée de l’emplacement et la vie privée de requête séparément. Ainsi, dans le contexte de cette thèse, nous étudions les problèmes liés à la vie privée du client mobile. En particulier, nous visons à préserver la vie privée de l’emplacement du client ainsi que la vie privée des requêtes continues, où différentes requêtes sont émises en continu par les clients mobiles au cours de leurs déplacements. C’est sur cette prémisse que nous proposons une nouvelle approche ba- sée sur une clique nommée MCC pour préserver la vie privée du client mobile dans le m-business fournissant des services LBS. De plus, afin de construire la région de camouflage dans notre approche, nous considérons la similitude de la vitesse, de l’accé- lération et de la direction des clients pour obtenir un bon équilibre entre la qualité de service (QoS) et la vie privée. De plus, notre travail porte sur une série d’attaques dans le même processus de protection (attaque de localisation, attaque de suivi, attaques par échantillonnage de requêtes et attaque homogène). Nous évaluons notre approche sous trois aspects : garantie de la vie privée, qualité de service et performance. Une évaluation expérimentale de notre approche sur une carte du monde réel montre que notre approche garantit la vie privée totale pour les clients et protège la vie privée des clients pendant toute la période de requête tout en permettant aux clients de choisir les exigences de la vie privée. En outre, nous comparons notre approche avec des ap- proches de protection de la vie privée existants tels que V-DCA, D-TC et GCA. Selon les résultats de l’évaluation et après la comparaison avec quelques approches existantes, nous concluons que notre approche peut faire un bon équilibre entre qualité de service, performances et la vie privée.

53 robuste afin que le fournisseur de service puisse effectuer toute requête. En fait, les auteurs se concentrent sur deux facteurs à atteindre pour réaliser FHE: 1) la garantie de sécurité et 2) les capacités de traitement des requêtes. Le travail fournit une bonne solution pour la recherche qui comprend quatre parties: (a) un modèle de données (b) un modèle de calcul, (c) des algorithmes pour différents opérateurs d’algèbre relationnelle et (d) des méthodes pour transférer les résultats des requêtes vers le client. Cette solution fournit un facteur de sécurité par rapport à l’attaque en texte clair, et l’utilisateur est élaboré dans la phase de chiffrement des données et des requêtes et la phase de déchiffrement des résultats de requête. Cependant, le travail a des manques dans les aspects pratiques du FHE et dans les issues d’authentification des utilisateurs, ainsi que dans la manière de construction des index. Le fournisseur ne peut traiter que des processus partiels et le client effectue le reste du traitement. De plus, l'approche conduit à un espace mémoire important et à une complexité de calcul élevée. La récupération des données chez le client nécessite de nombreuses étapes pour obtenir les fichiers obligatoires.

La coopération franco-allemande en matière de sécurité et de défense dans l’après- guerre froide : une approche réaliste.. Vous allez consulter un mémoire réalisé par un étudiant dans le[r]

Le guide de développement de logiciel Security in the software lifecycle – Making Software Development Processes – and Software Produced by Them – More Secure présente une approche qui indique aux développeurs, architectes et formateurs comment améliorer la qualité, la fiabilité et la sécurité du logiciel qu’ils produisent (DHS, 2007, p. iii). Cet ouvrage ne recommande pas d’approche spécifique à des problèmes de sécurité génériques, mais présente plutôt des approches alternatives à des problèmes de sécurité spécifiques, affirmant « qu’il n’existe aucun processus, pratique ou méthode offrant une solution magique universelle à tous les problèmes de sécurité » (DHS, 2007, p. iii). L’accent est surtout placé sur les attaques possibles dirigées vers les vulnérabilités du logiciel, en précisant les sources d’insécurité du logiciel telles que la mise en place de principes et de pratiques de développement inadéquats. L’ouvrage recommande de réaliser une gestion de risques de sécurité continue durant tout le cycle de vie du logiciel, appuyée par une gestion serrée des exigences alignée sur la sécurité du logiciel. Sachant qu’ils ne peuvent énumérer et adresser tous les cas d’attaques, les auteurs s’appuient surtout sur leur approche d’amélioration de la maturité des processus similaire au CMMi (CMMI, 2006) pour améliorer la sécurité du logiciel. Par contre, ils ne définissent pas comment, de manière mesurable, affirmer qu’un logiciel peut être considéré comme sécuritaire (DHS, 2007).

Dans le chapitre 9, nous proposons une nouvelle approche pour les systèmes informatiques complexes, basée sur une politique de sécurité à trois niveaux. Chaque niveau se charge de protéger le système informatique des attaques venant de l’intérieur et de l'extérieur à la fois. Cette politique globale de sécurité permettra à l'administrateur des systèmes de sécurité non seulement de détecter les attaques, mais aussi pour l'avertir à propos de cette intrusion et en interdire l'accès à l'ensemble des réseaux. Ce travail a fait l’objet de deux publications internationales citées dans {[161], [163]} et de deux communications internationales avec comité de lecture citées dans {[169], [172]}. En effet, c’est un modèle général et complet qui garantit plus de propriétés de sécurité et qui a été expérimenté sur des systèmes virtuels et des réseaux de petites tailles afin de détecter des attaques qui ne sont pas traitées par les autres solutions. En plus, notre solution combine les avantages offert par l’utilisation des politiques de sécurité au sein des pare-feux qui constituent la première barrière pour les attaquants et la robustesse et l’efficacité de notre approche de détection d’intrusions à trois niveaux qui est considérée comme une dernière barrière de sécurité.

30 Comprendre et maîtriser les risques à l'échelle d'un site industriel et d'un territoire L a numérisation croissante des systèmes de contrôle, notamment dans l’industrie chimique, crée de nouvelles vulnérabilités qui peuvent être exploitées par des attaquants pour provoquer des phénomènes dangereux pour les personnes ou l’environnement. La prise en compte de ces menaces dans l’analyse des risques est donc un élément important d’une évaluation globale des risques. Cependant, la plupart du temps, la sûreté et la sécurité sont évaluées séparément et les conséquences physiques des cyberattaques sont peu étudiées. Une méthode d’analyse intégrant la cybersécurité dans l’évaluation des scénarios d’accidents industriels a donc été proposée. Au cours de la phase d’analyse détaillée des risques, cette approche combine le modèle de nœud papillon (NP), couramment utilisée pour l’analyse des risques des installations classées, et l’analyse par arbre d’attaque (AT), récemment introduite pour l’analyse de sécurité des systèmes de contrôle informatique. L’utilisation combinée de nœuds papillon et d’arbres d’attaque permet d’effectuer une étude qualitative exhaustive des scénarios de cybersécurité et des scénarios accidentels, ainsi qu’une évaluation de la probabilité de réalisation de ces scénarios.

Chapitre II. Agents mobiles & sécurité - 53 - L’approche AAFID est représentée sous la forme d’un arbre (Figure II.15), où les données collectées parcourent les nœuds de l’arbre. A chaque niveau, ces données peuvent être traitées pour diminuer la quantité d’informations échangées dans le système. Cette approche est tolérante aux faute et extensible, mais les moniteurs représente le point faible dans l’approche. Si l’un des moniteurs s’arrête de fonctionner, tous les transceivers qu'il contrôle ne peuvent pas envoyer les informations nécessaires pour la détection. En plus l’architecture hiérarchique est difficile à mettre en place, ce qui représente une autre faiblesse.

Résumé Comment concevoir la sécurité et le conflit violent d’aujourd’hui ? Cette étude traite de la pertinence de l’étude des questions environnementales au champ de la gouvernance de la sécurité dans le cadre de la consolidation de la paix. Ainsi, nous cherchons à décrire les liens entre les enjeux environnementaux, la sécurité et le conflit violent, à étudier le potentiel des projets environnementaux pour la gouvernance de la sécurité, de présenter les recommandations pour améliorer la durabilité de ces interventions, tout en considérant la question des écophilosophies. Nous avons opté pour des données de type qualitatif, soit sept entrevues semi- directives réalisées avec des professionnels du domaine des opérations de paix, quatre webémissions et neuf documents écrits. Toutes ont été traitées selon les directives de la théorie ancrée. Notre analyse démontre une interdépendance entre la détérioration environnementale, la sécurité et la dynamique des conflits armés. À l’instar de cette interaction, la « coopération environnementale » et la gestion des ressources naturelles serviraient à établir un dialogue entre les belligérants dans un objectif de bâtir la confiance, mais aussi à promouvoir le développement durable. La participation citoyenne constituerait un facteur incontournable pour développer la résilience des populations et des institutions face aux changements environnementaux et sociaux rapides et par conséquent favoriserait une sécurité humaine plus stable. Or, les réformes de gouvernance de la sécurité demandent une plus grande intégration de la population. Pour conclure, nous avons produit un modèle d’intégration des questions environnementales dans le but d’améliorer la gouvernance de la sécurité dans le cadre de consolidation de la paix en milieux postconflits. Sous forme de six énoncés pratiques, nous expliquons l’importance d’imbriquer les concepts de sécurité humaine et environnementale, d’exploiter les opportunités que présentent les situations d’interdépendances, de considérer davantage les interventions locales, d’adopter une approche participative, d’utiliser la coopération environnementale et de privilégier les approches stratégiques amenant à des solutions gagnantes pour tous.

Résumé De nos jours, le Big Data a atteint tous les domaines de notre vie car il couvre de nombreuses tâches dans différentes opérations. Cette nouvelle technique oblige le cloud computing à l'utiliser en tant que couche, pour cette raison, la technologie cloud l'adopte en tant que Big Data as a service (BDAAS). Après avoir résolu le problème du stockage d'énormes volumes d'informations circulant sur Internet, il nous reste à savoir comment protéger et garantir que ces informations sont stockées sans perte ni distorsion. Le but de cet article est d'étudier le problème de la sécurité dans les BDAAS, en particulier nous couvrirons le problème du système de détection d'intrusion (IDS). Afin de résoudre les problèmes abordés dans cet article, nous avons proposé un système de détection d'intrusion autonome à auto-apprentissage (SLA-IDS) qui est basé sur l'architecture d'un système économique pour détecter les données d'anomalie. Dans cette approche, pour ajouter l'aspect autonomie au système proposé, nous avons utilisé des agents mobiles et situés. La mise en œuvre de ce modèle a été fournie pour évaluer notre système. Les résultats obtenus montrent l'efficacité de notre modèle proposé. Nous validons notre proposition en utilisant Hadoop comme Big Data Platform et CloudSim, l'apprentissage automatique Weka avec java pour créer un modèle de détection.

renforcement des normes de sécurité sanitaire peut représenter un obstacle au commerce des pays en développement et la cause d’une marginalisation des petits exportateurs (CTA, 2003 ; Morten, 2009, Henson et al., 2000). Un tel effet négatif pourrait constituer le prix à payer pour protéger les consommateurs (Rios et Jaffee, 2008) ou un facteur prouvant l’instrumentation de la préoccupation sanitaire à des fins protectionnistes (Otsuki et al. 2001). Les rares travaux dédiés à la question de la sécurité sanitaire des aliments ayant intégrés à côté des normes, les systèmes de contrôle s’inscrivent le plus souvent dans le cadre d’une approche d’aléa moral (Reyniers et Tapiero, 1995a et 1995b, Starbird, 2005, Starbird et Amanor-Boadu, 2007). Il s’agit d’analyser les contrats et les procédures d’inspection mis en place par des opérateurs privés vis-à-vis de leurs fournisseurs pour garantir le respect par ces derniers, de bonnes pratiques de production. Starbird et Amanor-Boadu (2007) montrent que l’efficacité de tels contrats dépend à la fois des caractéristiques du système d'inspection (fréquence et précision technique) et de la règle de responsabilité qui prévaut au sein de la chaîne d'approvisionnement (partage de la sanction entre les opérateurs de la supply chain). Dans une récente étude, Rouvière et al. (2010) analysent les efforts des importateurs européens pour garantir la sécurité des aliments achetés à des fournisseurs des pays tiers. Ils montrent que les importateurs de petite taille (importateurs de petits volumes de produits) sont contre toute intuition, les plus incités à mettre en place un système d’inspection plus efficace vis-à-vis de leurs fournisseurs.

nous conseillons la consultation des Normes de sécurité technique dans le domaine de la technologie de l'information (NSTTI) de la Gendarmerie royale du Canada 156 . Ainsi, si l’entreprise veut se doter d’une protection physique suffisante des locaux qui hébergent le matériel informatique et les documents contenant des renseignements personnels, elle devra nécessairement établir une routine permettant de contrôler l’accès physique à ces locaux. Cette routine peut, notamment, contenir les points suivants: des lignes directrices pour l’attribution ou la révocation les droits d’accès et les autorisations d’accès concernant les droits d’accès temporaires, la rédaction de règles internes rappelant la nécessité de verrouiller les locaux et de maintenir une supervision constante des ces derniers. Elle peut aussi se traduire par la mise en place d’un processus d’accompagnement des membres du personnel non autorisés ou étrangers au service, par la rédaction de directives concernant la conservation des journaux de bord de tous les accès autorisés et les tentatives d’accès ou accès non autorisés et surtout, par la description claire de l’autorité et des rôles des employés en la matière. De plus, l’accès aux ordinateurs et aux données à caractère personnel peut être restreint par l’imposition de divers contrôles d’accès basés sur des systèmes d’identification, d’authentification et d’autorisation. À cet égard, au sein de l’entreprise il serait approprié de mettre en place différents points d’accès ayant des niveau de sécurité propres, dépendamment de la sensibilité du contenu. Les responsables de la sécurité au sein de l’entreprise doivent désigner diverses zones de sécurité et établir diverses mesures de contrôle d’accès selon la sensibilité de l’information traitée. Ces zones ou niveaux de sécurité doivent être établies d’après le rapport de l’analyse des besoins d’accès et la nécessité d’échange de renseignements entre chaque utilisateur du système informatique de l’entreprise.

Approche statistique contre approche événementielle. Dans la plupart des cas, les études d’accidents prennent la forme de relevés statistiques à grande ou moyenne échelle, afin de donner des résultats statistiques sur l’ensemble d’une zone géographique ou un emplacement particulier, mais observés pendant une période étendue. Les informations qui en découlent peuvent être exploitées dans certaines des applications décrites dans le chapitre précédent, notamment l’annonce d’arrivée sur points noirs, mais ce études ne sont à la base pas pensées pour être appliquées dans des applications d’assistance au conducteur ; leur intérêt est bien plus global et concerne généralement l’élaboration de statistiques prévisionnelles ou la localisation d’emplacements où des travaux de modification de l’infrastructure s’avèrent nécessaires. Il faut cependant être conscient que le cas qui nous intéresse est bien différent. Nous nous intéressons en effet à un “individu” bien précis, à savoir notre véhicule au cours de son déplacement. Dans le cas où nous aborderions un emplacement particulièrement délicat de l’infrastructure, des informations sur les statistiques d’accidents ayant eu lieu sur cet emplacement nous seraient peu utiles pour déterminer si nous nous trouvons effectivement dans une situation de danger potentiel.

Le développement exponentiel des réseaux informatiques a largement contribué à augmenter le volume des renseignements personnels disponibles et à remplacer les méthodes désuètes de colle[r]

Les domaines partagent un lourd fardeau : ils impliquent tous de se prémunir contre des évènements redoutés de nature « négative » (attaques, accidents), à l’opposé de résultats recherchés, de nature « positive » (service rendu, productions de biens). Ils sont souvent perçus comme des freins à la productivité ou plus généralement comme une entrave aux exigences fonctionnelles et aux objectifs des organisations. Dans ces conditions leur évaluation est particulièrement délicate. D’une part, elle nécessite de l’objectivité qu’il est difficile d‘attendre des parties prenantes. D’autre part, elle requiert une connaissance fine de domaine sensible, peu compatible avec des intervenants extérieurs. De plus, alors qu’une gestion de risques efficace nécessite une bonne circulation des informations annonciatrices d’incidents (« signaux faibles »), elle est entravée par la tentation des responsables à les étouffer ou les gérer localement. La valorisation des efforts en sûreté comme en santé-sécurité est peut-être encore problématique. En simplifiant, les retours sur investissements concrets sont généralement difficiles à justifier des arbitrages budgétaires contraints.

En fait, les organisations peuvent acquérir une légitimité en recopiant les meilleures pratiques d’autres organisations, en particulier dans leur propre domaine institutionnel. Lorsque les pratiques d’une organisation ou d’un groupe d’organisations deviennent une référence en matière de fonctionnement, elles constituent la base de l’isomorphisme normatif. La croissance des organismes de normalisation ou des institutions d’accréditation certifiant leur appartenance à un domaine institutionnel est visible dans un grand nombre de secteurs, notamment l'International Accounting Standards Board pour les pratiques comptables, le groupe de certifications ISO pour les considérations de sécurité et d’environnement … (Bredillet, 2003). Les organisations recherchent la légitimité dans un domaine car il a été démontré que la perception de la légitimité avait un effet direct sur la capacité de survie d’une organisation (Rao, 1994).

Afin de répondre à ces nouvelJes préoccupations, le domaine des études de la sécurité sera ébranlé par un important travail de (re)conceptualisation de la sécurit[r]

Il est alors primordial de noter que ces conflits inter-quartiers sont encouragés par le découpage territorial de la ville que nous avons déjà évoqué, mais est aussi la résultante d'erreurs politiques passées que l'exécutif actuel tente de corriger. L'exécutif local de Villiers-le-Bel étant de la même tendance politique depuis la construction de ces immeubles et quartiers d'habitat social dans les années 50. Un article du Forum Français pour la Sécurité Urbaine (FFSU) appuie ainsi le constat que « la construction de ces derniers a été effectuée sans véritable vision d’ensemble et la gestion, quartier par quartier, qui avait été menée jusqu’à présent n’a pas facilité leur rapprochement » 114 . En outre, le soutien de la ville aux actions du collectif du 29 Juin doit donc se lire dans le cadre de sa volonté actuelle de développer un sentiment de vivre ensemble à l'échelle de la ville toute entière, à travers la politique de rénovation de ses quartiers. L'article du FFSU relaie ainsi que « conscient de gérer des quartiers plutôt qu’une ville et des tensions engendrées par cette division parmi les habitants, la municipalité de Villiers a engagé une grande rénovation urbaine ».

Enfin , nous nous intéresserons à leur point de vue sur les différents acteurs qui entrent en jeu dans notre problématique , et sur les relations qui les lient chac[r]

263 « (…) a Polícia Civil tinha os caras mais preparados pra tortura mesmo...Porque já vinham há muitos anos, já tinham a prática da tortura. O militar batia de frente, ele era capaz de te matar, mas ele ainda não tinha, digamos o seguinte, a essência da tortura. Por exemplo, um coronel virou pro cara e disse assim: - “O senhor é um comunista”, aí ele disse assim: - “E o senhor é uma besta”. Ele matou o cara, quer dizer, matou sem colher o que queria. Um policial civil poderia até matar o cara, mas antes colheria o que queria, eles tinham a prática da tortura. Depois, os militares se aperfeiçoaram [...] Entretien avec Fernando Palha Freire, l'un des ex-prisonniers et survivants du DOI- CODI / RJ cité par Rafaella Lúcia de Azevedo Ferreira Bettamio dans le cadre de son mémoire entitulé « O DOI- CODI carioca: Memória e cotidiano no ‘Castelo do Terror’. Disponible sur : http://www.documentosrevelados.com.br/wp-content/uploads/2015/11/dissert-rafaella-final-pos-defesa-pendrive.pdf (consulté le 11 mars 2016). Ce témoignage coïncide avec la déclaration donnée par Claudio Guerra, ex-policier civil et ex-délégué du DOPS, devenu l’un des principaux ‘exécutants opérationnels’ du système DOI-CODI et du Secrétariat National d’informations, le SNI à Rio de Janeiro. D’après lui : « (…) l'armée n'avait aucune expérience pour combattre la gauche armée. Nous qui savions enquêter, guetter, faire de l'embuscade et tuer. Nous, la police civile. Et dans la police civile, le département de police des vols était celui qui avait les meilleurs cadres. Elle et le DOPS. Au nom de la Sécurité d'Etat brésilienne, les membres des services de renseignements pouvaient tout faire: persécuter, mettre des écoutes illégales, enquêter, poursuivre, condamner, interroger, torturer, tuer, faire disparaître les corps et éloigner les familles de leurs proches. Il n'y avait pas de code d'éthique, ni formel ni informel, pour guider notre conduite. Tout était autorisé » (tda). Voir : GUERRA, Cláudio em depoimento à NETTO, Marcelo ; MEDEIRO, Rogério. Memórias de uma Guerra Suja. Rio de Janeiro : Topbooks, 2012. p. 98.

susceptible de déclencher une crise majeure ou, à tout le moins, que la recherche d'approvisionnements· garantis pourrait de plus en plus modeler la politique étrangère et les[r]