La vitrine de diffusion des mémoires et thèses de l'ÉTS
RECHERCHER

La sécurité des applications en technologie de l'information : une approche d'intégration des éléments de sécurité dans le cycle de vie des applications et des systèmes d'information

Poulin, Luc (2015). La sécurité des applications en technologie de l'information : une approche d'intégration des éléments de sécurité dans le cycle de vie des applications et des systèmes d'information. Thèse de doctorat électronique, Montréal, École de technologie supérieure.

[img]
Prévisualisation
PDF
Télécharger (3MB) | Prévisualisation
[img]
Prévisualisation
PDF
Télécharger (2MB) | Prévisualisation
[img]
Prévisualisation
PDF
Télécharger (6MB) | Prévisualisation
[img]
Prévisualisation
PDF
Télécharger (960kB) | Prévisualisation

Résumé

L'industrie des technologies de l’information (TI) et les organisations qui les utilisent ont à leur disposition beaucoup de moyens pour développer, acquérir et maintenir des applications sécuritaires. Toutefois, bien qu’il existe pour ce faire une panoplie de bonnes pratiques, de normes et d’outils, les organisations peinent à atteindre ce but.

Seize problématiques permettant d’expliquer cette situation ont été identifiées au cours de cette recherche dont le but est de concevoir, de faire approuver par une organisation internationale de normalisation, et de rendre accessible à ceux qui développent ou qui utilisent des applications, un nouveau modèle de sécurité des applications (modèle SA). L’utilisation de ce modèle permet la mise en place et la démonstration de la sécurité d’une application, assurant ainsi la protection des informations sensibles impliquées par son utilisation. Le modèle SA propose des concepts, des principes, des processus et des composants pour permettre à une organisation de se doter d’un cadre normatif répondant à ses besoins de sécurité, tout en respectant ses capacités.

Ce modèle SA permet de prendre en compte les contextes d’affaires, juridiques et technologiques spécifiques aux environnements où les applications sont développées et utilisées. Il permet aussi de gérer les risques de sécurité provenant des personnes, des processus et de la technologie qui pourraient menacer les informations sensibles impliquées par ces applications. Ce modèle SA permet d’identifier et de mettre en place un ensemble de contrôles et de mesures de sécurité afin d’assurer un niveau de confiance de la sécurité d’une application durant son cycle de vie. Finalement, le modèle SA permet à l’organisation qui l’utilise de fournir les preuves mesurables et répétables indiquant l’atteinte et le maintien du niveau de confiance ciblé, en fonction du contexte d’utilisation spécifique de ses applications.

Le modèle SA inclut les différents éléments d’une architecture de sécurité des applications pouvant être utilisés par les organisations et l’industrie des TI. Ces éléments sont définis, validés, testés et intégrés dans un cadre normatif qui sera utilisé comme une source autoritaire guidant la mise en oeuvre de la sécurité pour les applications d’une organisation.

Titre traduit

Application security in information technology : an approach for integrating security elements in the life cycle of applications and information systems

Résumé anglais

The information technology (IT) industry and organizations that use IT have at their disposal many resources to develop, acquire and maintain secure applications. However, although there is a variety of best practices, standards and tools that affect applications security, organizations are struggling to achieve that goal.

Sixteen issues to explain this situation were identified in this research, which goal is to design, to get approved by an international standards organization and to make available to those who develop or use applications, a new model of application security (AS model). Using this AS model will help to implement and demonstrate the security of an application, thus ensuring the protection of sensitive information involved in its use.

The AS model offers concepts, principles, processes and components to enable an organization to develop a normative framework that meets its security needs, while respecting its capabilities.

This AS model considers the business, legal and technological environments where specific applications are developed and used. It also helps to manage the security risks from the people, processes and technology that could threaten sensitive information involved in these applications. This AS model allows an organization to identify and implement a set of controls and security measures to ensure a level of confidence in the security of an application during its life cycle. Finally, the AS model allows the organization to provide measurable and repeatable evidence achieving and maintaining a target level of confidence, depending on the context of use of specific applications.

The AS model includes different elements of application security architecture that can be used by organizations and the IT industry. These elements are defined, validated, tested and integrated by organizations in a normative framework to be used as an authoritative source to guide the implementation of security for their applications.

Type de document: Mémoire ou thèse (Thèse de doctorat électronique)
Renseignements supplémentaires: "Thèse présentée à l'École de technologie supérieure comme exigence partielle à l'obtention du doctorat en génie". Bibliographie : pages 217-239.
Mots-clés libres: Logiciels d'application Sécurité Mesures Normes. Protection de l'information (Informatique) Normes. Logiciels d'application Conception. Produits commerciaux Cycle de vie. Industrie Informatique. génie logiciel, modèle sécurité application, ISO 27034
Directeur de mémoire/thèse:
Directeur de mémoire/thèse
Abran, Alain
Co-directeurs de mémoire/thèse:
Co-directeurs de mémoire/thèse
April, Alain
Programme: Doctorat en génie > Génie
Date de dépôt: 17 déc. 2015 15:36
Dernière modification: 17 déc. 2015 15:36
URI: http://espace.etsmtl.ca/id/eprint/1577

Actions (Identification requise)

Dernière vérification avant le dépôt Dernière vérification avant le dépôt

Statistique

Plus de statistique...