Participation à des conférences et séminaires

Dans l’évolution actuelle de notre société, les systèmes d’information jouent un rôle de plus en plus prépondérant. Cela est vérifié aussi bien pour les particuliers que pour les organisations et entreprises. Les systèmes d’information d’aujourd’hui sont composés d’applications métiers, d’applications et socles techniques, de ressources informatiques et non informatiques, auxquels sont ajoutées des infrastructures de sécurité et des directives de sécurité, suivant une politique de sécurité, si cette dernière existe réellement et est gérée à son juste titre. La vision globale de la sécurité est parsemée de ruptures, qui empêchent le pilotage harmonisé à différents niveaux. Cet état de fait engendre différents risques et des manques à gagner pour les entreprises et organisations. La communauté des chercheurs et celle des professionnels en entreprises sont passées de l’approche de « sécurisation du périmètre du système d’information » à l’approche de « défense en profondeur ». Cependant, les incidents de sécurité persistent.

Mes motivations viennent des faits remarqués en entreprises sur les problèmes de sécurité où l’on observe toujours un manque crucial de synergie et de pilotage homogène entre les différents acteurs de l’entreprise. Les systèmes d’information avaient connus d’importants écueils. Ils s’en sortent bien aujourd’hui, grâce aux résultats des recherches qui ont abouti à des innombrables percées en ingénierie des systèmes d’information.

La thèse de doctorat traite, dans un premier temps, l’étude de l’art au travers des percées progressives réalisées par l’ingénierie des SI, et au travers des normes et bonnes pratiques existantes en sécurité. Dans un second temps, j’ai travaillé sur une approche d’ingénierie de la Sécurité des Systèmes d’Information (SSI). Je définis l’ingénierie de la SSI, comme une démarche méthodologique homogène pour guider les travaux liés à la SSI, dans l’optique d’accompagner les entreprises à répondre au mieux à leurs exigences concurrentielles, métier, règlementaires et légales.

J’ai adopté une démarche de recherche qui consiste à élaborer une méthode ad hoc, à partir des fragments de méthodes issues des avancées en Ingénierie des SI, en suivant les standards et les normes de la Sécurité des SI. Un tel travail est très ambitieux et pour ce doctorat, je me suis donné comme objectif de démontrer la faisabilité de cette approche d’ingénierie.

 

 

Mes travaux ont abouti sur trois résultats :

- J’ai élaboré le processus d’Ingénierie de la SSI dans le même formalisme que les processus métier d’entreprise. Ceci justifie qu’on pourra y appliquer les méthodes avancées en Architecture d’Entreprise pour aboutir à l’implémentation coordonnée de la sécurité et à son suivi global de la même manière qu’il est fait dans l’urbanisation des systèmes d’information.

- J’ai proposé une extension UML pour la confidentialité dans le respect des standards proposés par l’OMG. J’ai réalisé cet apport dans le cadre de la cotation des actifs qui est l’une des actions de sécurité issue de l’identification des actifs. Cette dernière est, elle-même, l’un des sept actes de sécurité du processus d’ingénierie de la sécurité des SI. La confidentialité est l’un des trois critères invariants de la sécurité, avec la disponibilité et l’Intégrité. Ce critère de sécurité est véhiculé par tous les acteurs : que ce soit le responsable métier de l’actif, l’expert sécurité qui conçoit les mesures de sécurité à y appliquer ou le responsable d’exploitation qui assure la qualité de sécurité de cet actif en conditions opérationnelles.

- Pour finir j’ai élaboré, sous une forme d’application du processus d’ingénierie de la sécurité, ma démarche globale d’accompagnement sécurité des projets d’entreprise durant toutes les phases de leur cycle de vie. Dans cette démarche, j’ai défini les actions de sécurité à accomplir pendant chaque phase du cycle de vie de projet d’entreprise.

Ces résultats démontrent d’une part la faisabilité d’une telle ingénierie, et d’autre part ils créent le pont entre différentes communautés : Système d’Information, Sécurité et Métier. Ainsi, de façon naturelle, ils fournissent un cadre pour améliorer continuellement l’accompagnement en sécurité des entreprises.

Mes travaux ont fait l’objet de publications et de présentations à des conférences internationales, dont une présentation à la Commission Européenne.

 

PUBLICATIONS

 

  • Publication et Présentation (conférence internationale) - Wilson Goudalo and Dominique Seret. « Towards the Engineering of Security of Information Systems (ESIS): UML and the IS Confidentiality ». Proceedings of the 2008 Second International Conference on Emerging Security Information, Systems and Technologies. Pages 248-256. IEEE Computer Society Washington, DC, USA. ISBN:978-0-7695-3329-2 http://portal.acm.org/citation.cfm?id=1447926

 

  • Présentation à la Commission Européenne (à Bruxelles) -Wilson Goudalo. “Business Security” in Engineering Secure Complex Software Systems and Services. Proceedings of the European Research Consortium for Informatics and Mathematics Seminar on ICT Security. Brussels, 16 October 2008. http://www.ercim.org/images/stories/seminar1/Panel1-WilsonGoudalo.pdf

 

 

  • Publication et Présentation (conférence internationale) – Wilson Goudalo and Dominique Seret. « The Process of Engineering of Security of Information Systems (ESIS): The Formalism of Business Processes « . Securware, pp.105-113, 2009 Third International Conference on Emerging Security Information, Systems and Technologies, 2009. http://www2.computer.org/portal/web/csdl/doi/10.1109/SECURWARE.2009.24

 

  • Publication (conférence internationale) - Wilson Goudalo. “Toward Engineering of Security of Information Systems: The Security Acts”. Securware 2011, pp.44-50, 2011 The Fifth International Conference on Emerging Security Information, Systems and Technologies, 2011 http://toc.proceedings.com//14350webtoc.pdf