Cette thèse présente une méthode générale de spécification et d'évaluation quantitative de la sécurité des systèmes d'information. Cette méthode permet de surveiller les évolutions d'un système d'information pendant sa vie opérationnelle, ainsi que de comparer l'impact sur la sécurité de modifications éventuelles du fonctionnement. Elle s'appuie sur une spécification formelle de la politique de sécurité, complétée par un modèle des vulnérabilités du système réel en fonctionnement. Une mesure de la sécurité correspond alors à la difficulté pour un attaquant potentiel d'exploiter les vulnérabilités pour mettre en défaut les objectifs définis par la politique de sécurité. La spécification de la politique de sécurité d'un système d'information nécessite la définition d'un cadre rigoureux, expressif, et suffisamment général pour être utilisable dans le contexte d'une organisation. La méthode définie et utilisée dans ce mémoire est basée sur une extension de la logique déontique, complétée par une représentation graphique. Les vulnérabilités du système d'information sont représentées par un modèle appelé un graphe des privilèges. Ces vulnérabilités, qui doivent être recherchées dans le système, peuvent avoir des origines variées, comme la mauvaise utilisation des mécanismes de protection dans un système informatique, ou les délégations de pouvoirs dans une organisation. L'attribution d'un poids à ces vulnérabilités élémentaires permet de définir des mesures quantitatives de la sécurité globales et pertinentes. La démarche est illustrée par deux exemples d'application pratique : l'étude du fonctionnement d'une agence bancaire de taille moyenne ; et l'observation de l'évolution de la sécurité d'un système informatique de grande taille en exploitation.

Cette thèse présente une nouvelle approche pour l’évaluation quantitative de la sécurité des systèmes informatiques. L’objectif de ces travaux est de définir et d’évaluer plusieurs mesures quantitatives. Ces mesures sont des mesures probabilistes visant à quantifier les influences de l’environnement sur un système informatique en présence de vulnérabilités. Dans un premier temps, nous avons identifié les trois facteurs ayant une influence importante sur l’état du système : 1) le cycle de vie de la vulnérabilité, 2) le comportement de la population des attaquants et 3) le comportement de l’administrateur du système. Nous avons étudié ces trois facteurs et leurs interdépendances et distingué ainsi deux scénarios principaux, basés sur la nature de la découverte de la vulnérabilité, malveillante ou non. Cette étape nous a permis d'identifier les états possibles du système en considérant le processus d’exploitation de la vulnérabilité et de définir quatre mesures relatives à l'état du système qui peut être vulnérable, exposé, compromis, corrigé ou sûr. Afin d'évaluer ces mesures, nous avons modélisé ce processus de compromission. Par la suite, nous avons caractérisé de manière quantitative les événements du cycle de vie de la vulnérabilité à partir de données réelles issues d'une base de données de vulnérabilités pour paramétrer nos modèles de manière réaliste. La simulation de ces modèles a permis d’obtenir les valeurs des mesures définies. Enfin, nous avons étudié la manière d’étendre le modèle à plusieurs vulnérabilités. Ainsi, cette approche a permis l’évaluation de mesures quantifiant les influences de différents facteurs sur la sécurité du système

LES SYSTEMES D'INFORMATION ACTUELS DOIVENT, A LA FOIS, PROTEGER LES INFORMATIONS QUI LEUR SONT CONFIEES ET SE PLIER A DES ENVIRONNEMENTS OPERATIONNELS VARIABLES. CES DEUX OBJECTIFS, SECURITE ET FLEXIBILITE, PEUVENT ETRE ANTINOMIQUES. CE CONFLIT CONDUIT GENERALEMENT A L'UTILISATION DE SYSTEMES OFFRANT UN NIVEAU DE SECURITE ACCEPTABLE, MAIS NON MAXIMAL. DEFINIR UN TEL NIVEAU PRESUPPOSE L'EXISTENCE DE METHODES D'EVALUATION DE LA SECURITE. CETTE PROBLEMATIQUE FAIT L'OBJET DE CETTE THESE. L'AUTEUR Y PASSE EN REVUE LES DIFFERENTS CRITERES D'EVALUATION EXISTANT AINSI QUE LES METHODES DITES D'ANALYSE DES RISQUES. CECI INTRODUIT LA NECESSITE DE DEFINIR UN CADRE FORMEL CAPABLE DE MODELISER TOUT SYSTEME ET D'EVALUER DANS QUELLE MESURE IL SATISFAIT A DES OBJECTIFS DE PROTECTION PRECIS. LES MODELES FORMELS, DEVELOPPES POUR L'ETUDE DE LA SECURITE INFORMATIQUE, N'OFFRENT PAS LE CADRE MATHEMATIQUE DESIRE. L'AUTEUR MONTRE QU'ILS ADOPTENT UNE HYPOTHESE DE PIRE CAS SUR LE COMPORTEMENT DES UTILISATEURS, INCOMPATIBLE AVEC UNE MODELISATION REALISTE. APRES AVOIR MONTRE, SUR LA BASE DU MODELE TAKE-GRANT, COMMENT S'AFFRANCHIR DE CETTE HYPOTHESE, L'AUTEUR DEFINIT UN NOUVEAU MODELE, LE GRAPHE DES PRIVILEGES, PLUS EFFICACE POUR GERER CERTAINS PROBLEMES DE PROTECTION. IL ILLUSTRE SON UTILISATION DANS LE CADRE DES SYSTEMES UNIX. ENFIN, L'AUTEUR PROPOSE D'EVALUER LA SECURITE EN CALCULANT LE TEMPS ET L'EFFORT NECESSAIRES A UN INTRUS POUR VIOLER LES OBJECTIFS DE PROTECTION. IL MONTRE COMMENT DEFINIR UN CADRE MATHEMATIQUE APTE A REPRESENTER LE SYSTEME POUR OBTENIR DE TELLES MESURES. POUR CELA, LE GRAPHE DES PRIVILEGES EST TRANSFORME EN UN RESEAU DE PETRI STOCHASTIQUE ET SON GRAPHE DES MARQUAGES EST DERIVE. LES MESURES SONT CALCULEES SUR CETTE DERNIERE STRUCTURE ET LEURS PROPRIETES MATHEMATIQUES SONT DEMONTREES. L'AUTEUR ILLUSTRE L'UTILITE DU MODELE PAR QUELQUES RESULTATS ISSUS D'UN PROTOTYPE DEVELOPPE AFIN D'ETUDIER LA SECURITE OPERATIONNELLE D'UN SYSTEME UNIX

Protection of enterprise networks from malicious intrusions is critical to the economy and security of our nation. This article gives an overview of the techniques and challenges for security risk analysis of enterprise networks. A standard model for security analysis will enable us to answer questions such as “are we more secure than yesterday” or “how does the security of one network configuration compare with another one”. In this article, we will present a methodology for quantitative security risk analysis that is based on the model of attack graphs and the Common Vulnerability Scoring System (CVSS). Our techniques analyze all attack paths through a network, for an attacker to reach certain goal(s).

Quality of Protection: Security Measurements and Metrics is an edited volume based on the Quality of Protection Workshop in Milano, Italy (September 2005). This volume discusses how security research can progress towards quality of protection in security comparable to quality of service in networking and software measurements, and metrics in empirical software engineering. Information security in the business setting has matured in the last few decades. Standards such as IS017799, the Common Criteria (ISO15408), and a number of industry certifications and risk analysis methodologies have raised the bar for good security solutions from a business perspective. Designed for a professional audience composed of researchers and practitioners in industry, Quality of Protection: Security Measurements and Metrics is also suitable for advanced-level students in computer science.

Information security metrics are seen as an important factor in making sound decisions about various aspects of security, ranging from the design of security architectures and controls to the effectiveness and efficiency of security operations. Security metrics strive to offer a quantitative and objective basis for security assurance. During the last few decades, researchers have made various attempts to develop measures and systems of measurement for computer security with varying degrees of success. This paper provides an overview of the security metrics area and looks at possible avenues of research that could be pursued to advance the state of the art.