Travaux de recherche scientifique

ABERDI Inc.  - Travaux de Recherche en cours

ABERDI Inc. - Publications disponibles

Towards Advanced Security Engineering for Enterprise Information Systems: Solving Security, Resilience and Usability Issues Together Within Improvement of User Experience

By Wilson Goudalo, Christophe Kolski and Frédéric Vanderhaegen

In our era of the service industry, information systems play a major place, even a vital position for businesses, organizations and individuals. Information systems are facing new ongoing security threats, more sophisticated and of different natures. In this context, it is important to prevent attackers from achieving their outcomes, manage the inevitable breaches, and minimize their impacts. Security practices must be conducted in an engineering framework; engineering of security has to be improved. For this, it is proposed to develop innovative and broad systemic approaches that operate together on several axes, by improving user experience. We track and solve Resilience, Security and Usability issues jointly in enterprise information systems.

Keywords: Enterprise information system; System resilience; Information security; Privacy; Human-Computer Interaction; Usability; User experience; Socio-technical systems; Design patterns

Vers une ingénierie avancée de la sécurité des SI d’entreprise. Une approche conjointe de la sécurité, de l’utilisabilité et de la résilience dans les systèmes sociotechniques.

Par Wilson Goudalo, Christophe Kolski et Frédéric Vanderhaegen

A l’ère de l’industrie de services, les systèmes d’information jouent une place prépondérante. Ils tiennent même parfois une position vitale pour les entreprises, les organisations et les individus. Les systèmes d’information sont confrontés, de façon continue, à de nouvelles menaces de sécurité ; celles-ci sont de plus en plus sophistiquées et de natures différentes. Dans ce contexte, il est important d’empêcher les attaquants d’atteindre leurs résultats, de gérer les failles inévitables et de minimiser leurs impacts. Les pratiques de sécurité doivent être menées dans un cadre d’ingénierie ; l’ingénierie de la sécurité doit être améliorée. Pour cela, il est proposé de développer des approches systémiques, innovantes sur de larges spectres et qui fonctionnent sur plusieurs axes de manière conjointe, en améliorant l’expérience utilisateur. Notre objectif est de traquer et résoudre de façon concomitante et harmonieuse les problèmes de la sécurité, de l’utilisabilité et de la résilience dans les systèmes d’information d’entreprise. Dans cet article, nous positionnons les systèmes sociotechniques au regard des systèmes d’information des entreprises et des organisations. Nous traitons les paradigmes de systèmes sociotechniques et nous portons une attention particulière sur les corrélations entre la sécurité, l’utilisabilité et la résilience. Une étude de cas illustre l’approche proposée.

MOTS-CLÉS : sécurité, utilisabilité, résilience, sémantique, métrique, modèle conceptuel, analyse conjointe, BPMN, UML, modèles de conception, expérience utilisateur, respect de la vie privée, SI d’entreprise, systèmes sociotechniques.

Toward Engineering of Security of Information Systems: The Security Acts

By Wilson Goudalo

Business professionals and researchers have made considerable efforts and significant technical breakthroughs in information security in the last decades. Nevertheless, companies and organizations continue to incur losses associated with security issues. In order to remedy to this situation, we propose a new approach to information security engineering for companies and organizations. First, this approach is based on the standards and good practices of security, second, is inspired from the best practices and feedback of advances in the engineering of enterprise information systems security, and third, its design takes advantage of more than twelve years of experience in system architecture and information security for reknown banks and financial institutions. Our approach to engineering of information systems security aims at: - reducing losses relating to security issues in companies and organizations, operating on an enhanced and sustained information security; - improving the reliability of processes in companies and organizations, and assisting companies in legal and regulatory compliance efforts, operating on security indicators and checkpoints at various levels of management; - helping companies gain competitive advantages through their security management solutions, operating on a global security monitoring system with feedback. As further development of the basic principle of Security know-how Encapsulation into UML profiles [14], we have introduced the mapping global picture of the Process of Security engineering into the formalism of Business Processes. The purpose of this paper is to provide a clear methodology based on the elaboration of the key Security Acts of the process of information systems security engineering.

Keywords: security acts; security engineering; BPM; enterprise information system security.