CONCEPTION ET VERIFICATIN DE LA COHERENCE
D'UNE POLITIQUE DE SECURITE DANS UN RESEAU

LOCAL

FOTSO TAGNE Carine Ariette

1

Résumé

Les entreprises sont au quotidien exposées aux attaques qui pourraient ies conduire à des catastrophes diverses. Une poiitique de sécurité vaiide aiderait ies PME à protéger ieur système informatique. Le domaine de ia sécurité étant vaste, nous nous sommes tout particuiièrement intéressés au contrôie des accès de ieur réseau informatique. Dans cet articie, nous proposons un premier modèie permettant d'exprimer de manière moins ambiguë ies poiitiques de contrôie d'accès basé sur ie modèie OrBAC. Nous proposons égaiement un second modèie, basé sur ia iogique de premier ordre, permettant d'évaiuer ieur cohérence. La poiitique de contrôie d'accès est décrite à i'aide du iangage XML, puis ies prédicats définissant ies règies sont extraits et évaiués à i'aide de JlProiog. L'impiémentation de nos modèies avec ie iangage Java a permis d'obtenir des résuitats probants.

Mots clés : Contrôie d'accès, Logique des prédicats, Modèie de sécurité, OrBAC, Poiitique de sécurité, Sécurité, XML.

Abstract

Companies are daiiy exposed to attacks that couid iead to various disasters. A valid sccurity poiicy wiii heip the SME to protect their computer system. We are particuiariy interested in controiiing the access of their computer network, because the fieid of security is vast. in this paper, we propose a first modei to express a iess ambiguous poiicy-based access controi on OrBAC modei. We aiso offer a second modei, based on first-order iogic, to assess their consistency. The access controi poiicy is described using XML, then the predicates defining the ruies are extracted and evaiuated using JlProiog. The impiementation of our modei with the Java ianguage has yieided satisfactory resuits.

Keywords : Access Controi, Predicate Logic, Security modei, OrBAC, Poiicy Security, Security, XML.

1. Département d'Informatique, Université de Yaoundé I-Cameroun, caryfotso@gmail.com

2

1 Introduction

De nos jours, la sécurité informatique se révèle une priorité pour protéger le système informationnel d'une entreprise. Le contrôle d'accès qui représente une composante importante de la sécurité des systèmes, consiste à restreindre l'accès au système exclusivement aux entités ² autorisées, en fonction de leurs niveaux d'accès et d'autorisations ou, de leurs profils utilisateurs répondant aux règles de sécurité de l'entreprise. Il est donc indispensable pour les entreprises visant à protéger l'accès à leur réseau, de définir leur politique de contrôle d'accès. Il s'agit en effet, de fixer les règles et procédures destinées à limiter ou contourner les menaces pouvant affecter l'intégrité, la disponibilité, la confidentialité de son patrimoine informationnel.

Afin de spécifier clairement le comportement d'un système, d'implémenter des mécanismes pour assurer certains objectifs de sécurité et d'assurer la gestion des risques futurs, des modèles formels de contrôle d'accès ont été définis dans la littérature. Ils décrivent les permissions répondant aux exigences et aux contraintes fonctionnelles des organisations. Nous pouvons citer DAC[4], MAC[5], RBAC[8], OrBAC[12]... . plusieurs autres formalismes et langages ont également été proposés afin d'exprimer et de valider les règles de sécurité mais ne sont malheureusement pas à notre disposition.

Contrairement aux autres modèles qui se limitent à l'expression des permissions, OrBAC offre un modèle plus riche et modulaire. Il est plus expressif car en plus des permissions, il permet d'exprimer des obligations, des interdictions et même des recommandations qui dépendent d'un contexte. Cependant, il ne permet malheureusement pas de vérifier la validité d'une politique de sécurité, ni ne propose pas d'outils pour le faire.

Tout au long de ces travaux, nous nous sommes penchés sur la validation des politiques de sécurité basées sur OrBAC. A cet effet, nous proposons une politique de sécurité pouvant permettre aux PME ³ (entreprises locales) de sécuriser leur système d'informations et ainsi, d'améliorer les performances des services rendus par ces entreprises. Qui plus est, nous proposons un modèle de validation de cette politique et de toute autre politique reposant sur OrBAC.

Ce mémoire est organisé de la façon suivante : La section 2 présente des modèles et quelques outils de contrôle d'accès de la littérature. La section 3 propose un modèle de validation de la politique de sécurité. La section 4 présente l'implémentation de l'outil qui va évaluer la politique. Et enfin la section 5 conclut l'article et propose des perspectives.

2 Les politiques de sécurité basées sur le contrôle d'accès

Initié par le Department Of Defense américain (DOD) dans les années 70 [3], le contrôle daccès joue un rôle important dans la stratégie globale de sécurité du réseau d'une entreprise dans la

2. Entités : utilisateurs ou personnes, ordinateurs ...

3. On définit une PME ici comme une entreprise qui possède différents types d'équipements réseau, tels qu'un site web, une DMZ, les serveurs de données, les routeurs, les pare-feu, les commutateurs, les ordinateurs ...

3

mesure où, il empêche l'utilisation non autorisée de ressources accessibles par le réseau. Voilà pourquoi les politiques de contrôle d'accès définissent les directives qui spécifient qui a la permission d'effectuer quoi (quelle action) sur quelle ressource [1]. [2] définit un modèle de contrôle d'accès comme une organisation structurée de données utilisées pour prendre une décision d'accès en accordant ou en refusant à un sujet d'effectuer une action sur un objet. Ces concepts clés constituent la base d'une politique de sécurité où :

~ Un sujet est une entité active du système qui demande des droits d'accès correspondant à l'autorisation d'exécuter des actions sur les objets.

~ Un objet est une entité passive du système qui correspond à des informations ou à une ressource à protéger.

~ Une action est un moyen permettant à un sujet de manipuler les objets du système.

Ainsi, pour assurer des objectifs de sécurité tels que la confidentialité et l'intégrité, différents modèles de contrôle d'accès ont été définis dans la littérature afin de représenter de façon claire et non ambigüe l'ensemble des actions qui reflètent la vision stratégique de sécurité d'une organisation.

2.1 Les modèles de contrôle d'accès