blank
Hoan VU
École Nationale Supérieure des Mines de Saint-Étienne - Thèse pour obtenir le grade de Docteur. Spécialité : Informatique

Prise en charge du risque pour la gestion de confiance sur Internet

  1. Infrastructure de gestion de la confiance sur Internet
  2. Définitions: Contrôle, Transaction, Authentification et Certificat
  3. La confiance dans les domaines d’application Internet
  4. Risque, Réputation, Recommandation et domaine d’application Internet
  5. Sécurité, Négociation et Gestion de la confiance confiance sur Internet
  6. La gestion de la confiance sur Internet basée sur la politique
  7. Gestion de la confiance au web sémantique basée sur l’expérience
  8. Approches hybrides de la gestion de la confiance sur Internet
  9. Système de négociation de la confiance au web sémantique
  10. Prise en charge du risque pour la gestion de confiance sur Internet
  11. Comparaison des systèmes de gestion de confiance sur Internet
  12. Contraintes pour un système de gestion de la confiance
  13. Modèle global de gestion de la confiance sur Internet
  14. Modèle de confiance de SECURE
  15. Logique temporelle linéaire LTL, Confiance au web
  16. Framework logique pour les systèmes de réputation
  17. Architecture d’un système de gestion de la confiance
  18. Formalisation de la confiance aux applications
  19. Transaction dans le cadre du commerce électronique et la confiance
  20. Évaluation de la contribution d’un utilisateur à Wikipédia
  21. La notion de négociation, Modèle de la négociation de la confiance
  22. Architecture du système de négociation de la confiance
  23. Protocole de négociation, Système de négociation de la confiance
  24. Module de négociation de la confiance
  25. Transaction de e-commerce et Tiers de confiance pour le paiement
  26. Politique de confiance dans une transaction de e-commerce
  27. La gestion de la Stratégie de Négociation – Transaction en ligne
  28. Processus de gestion du risque, Système de gestion de la confiance
  29. Modèle du risque risque et le système de gestion de la confiance
  30. Politique du tiers de paiement, Transaction de commerce électronique
  31. Prototype de négociation de la confiance : Architecture
  32. Politique de confiance: Spécification de la politique en XML
  33. Réalisation du module de vérification de la politique de sécurité
  34. Le système de gestion de la confiance au web

3.6 Prise en charge du risque pour la gestion de confiance
Le risque est un facteur très important qui concerne strictement la gestion de la confiance. Lorsque l’on évolue dans un environnement sûr, dans lequel nous n’avons pas identifié de risques, il n’est pas nécessaire de faire appel à la confiance. Par contre, lorsque l’on évolue dans un environnement incertain, dans lequel à chaque action entreprise sont attachés certains risques, les mécanismes de gestion de la confiance prennent tout leur intérêt. Le problème qui se pose est donc : comment peut-on modéliser les risques et les prendre en compte dans le cas des prises de décision reposant sur la notion de confiance ? Pour les applications informatiques, le risque peut être abordé de deux manières différentes : par une approche qualitative ou par une approche quantitative.
3.6.1 Approche qualitative
Comme nous l’avons vu au chapitre 2, le risque est défini comme étant une combinaison de la probabilité d’un événement et de ses conséquences. Dans cette aproche, nous n’estimons que la perte potentielle liée à chaque conséquence et ne prenons pas en compte sa probabilité. Nous utilisons trois facteurs de base pour évaluer les conséquences : les menaces, les vulnérabilités et les contrôles. Le risque sera une évaluation des conséquences basée sur ces facteurs.
-Les menaces (threats) : incluent tout ce qui est extérieur au système. Elles en sont indépendantes et peuvent survenir de manière imprévue. Les incendies, les fraudes ou les pannes sont des exemples de menaces.
Les vulnérabilités sont des éléments connus du système qui augmentent le coût des conséquences lorsque survient une menace. Par exemple, la présence de produit inflammable augmentera l’impact d’un incendie.
Les contrôles (controls) sont les contre-mesures qui permettent de réduire le potentiel des vulnérabilités. Les principales contre-mesures appartiennent aux catégories suivantes : la dissuasion, la prévention, la correction et la détection.
Risque qualitatif
Fig. 3.8 Risque qualitatif
En identifiant ces facteurs et en analysant les interactions, nous pouvons en estimer l’impact sur le système. Ensuite, nous pouvons proposer de mettre en place des mesures efficaces pour en réduire les impacts. La figure 3.8, extraite de [1] présente les différentes interactions entre les facteurs de ce modèle de risque.
3.6.2 Approche quantitative
Pour cette aproche, on considère que chaque action ou transaction peut avoir une ou plusieurs conséquences et que chacune de ces conséquences a un coût et une probabilité de se réaliser. Pour chaque action, il est en général possible de modéliser et de calculer une valeur de risque. En général, cette valeur est calculée comme le produit de la probabilité d’occurrence d’une conséquence et de son coût. Si nous supposons que la probabilité d’occurrence de chacune des conséquences E est p(E) et le coût en est c(E), le risque serait Σ(p(E) ∗ c(E)).
L’idée de cette approche du risque est simple mais il y a certains problèmes que l’on doit prendre en compte :
Il faut trouver une bonne interprétation des couples (probabilité, coût).
Il faut trouver une méthode pour considérer toutes les conséquences de l’action.
Il faut proposer une formule de calcul du risque satisfaisante pour chaque contexte d’application.
Une fois que le risque est déterminé, sa combinaison avec l’évaluation de la confiance nous permet de de prendre efficacement notre décision. Certaines infrastructures de gestion de la confiance, tel que SULTAN [28, 36] et SECURE [15], ont pris en charge la notion de risque dans leurs mécanismes de décision.
3.6.3 Modèles du risque
Nous présentons dans cette section deux modèles de risque que nous considérons comme significatifs et qui sont utilisés dans les systèmes de gestion de la confiance que nous avons présenté précédemment : le modèle de risque de SULTAN [28, 36] et celui de SECURE [15].
Modèle de risque de SULTAN
Ce modèle incorpore les aspects qualitatifs et quantitatifs du risque. Il est appliqué aux transactions Internet. Le modèle évalue le risque pour une transaction particulière en combinant les différentes informations dont dispose le risk service (informations concernant le risque lié aux transactions précédentes). Le résulat de cette évaluation sert à prendre les décisions qui concernent la confiance. La figure 3.9 illustre le modèle de risque utilisé dans SULTAN. Ce modèle propose une solution aux différents aspects de la modélisation du risque :
-Détermination des risques et de leurs probabilités : les catégories de risques liées à la transaction sont identifiées; par exemple le déni de service, le non paiement ou transaction illégale. Chaque risque est identifié par un id et une probabilité p.
Détermination des pertes potentielles : calcul qui se base sur la valeur des ressources de la transaction. S’il y a plusieurs ressources engagées dans la transaction, la valeur totale est estimée avec la contribution possible de chaque ressource.
Gestion des dépendances : elle permet de déterminer la dépendance entre les actions et de déterminer si une conséquence finale identifiée comme étant un risque. Les probablités conditionnelles des actions sont calculées avec le théorème de Bayès. Dans le modèle, une méthode basée sur la logique subjective [55, 53] est proposée pour ce calcul de dépendance.
Gestion des profils de risque : il s’agit de l’échantillonnage des niveaux de risque utilisés dans le raisonnment, le but est de les évaluer en fonction des différents seuils.
Calcul du risque : il combine les aspects précédents. Il identifie le risque et sa probabilité, il calcule les pertes potentielles et en déduit la valeur du risque. Cette valeur est sauvegardée dans le risk service.
Modèle de risque de SULTAN
Fig. 3.9 Modèle de risque de SULTAN
Modèle de risque de SECURE
Le risque dans ce modèle est évalué par l’estimation du coût/bénéfice des conséquences de chaque action, le modèle est illustré dans la figure 3.10.
Une action a du principal p peut avoir plusieurs conséquences (des résultats possibles différents évalués par leurs coûts/bénéfices). Avant d’entreprendre l’action a, les valeurs de coût/bénéfice potentielles de chaque conséquence sont estimées. Ces facteurs sont évalués par une famille de fonctions particulières que les auteurs du projet appellent des cost-PDFs (Cost-Probability Density Function).
Un autre point important de ce modèle de risque est qu’il prend en compte des informations sur la confiance relatives à l’action comme paramètre pour l’évaluation du risque. Cette valeur est utilisée comme paramètre la fonction cost-PDFs. Une fois que la valeur des cost-PDF de chaque conséquence est déterminée, elles sont combinées ensemble en respectant la politique de sécurité de chaque principal et permettent alors de prendre les décisions nécessaires.
Lire le mémoire complet ==> (Infrastructure de gestion de la confiance sur Internet )
Thèse pour obtenir le grade de Docteur – Spécialité : Informatique
École Nationale Supérieure des Mines de Saint-Étienne

Cliquez sur suivant article pour lire la suivante partie de ce mémoire:

Abonnez-vous!
Inscrivez-vous gratuitement à la Newsletter et accédez à des milliers des mémoires de fin d’études !
Publier son mémoire!
WikiMemoires - Publier son mémoire de fin d’études !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *