Mise en oeuvre de politiques de controle d'acces formelles pour des applications basees sur une architecture orientee services

La securite des systemes d'information devient un enjeu preoccupant pour les organisations tant publiques que privees, car de tels systemes sont pour la plupart universellement accessibles a partir de navigateurs Web. Parmi tous les aspects lies a la securite des systemes d'information, c'est celui de la securite fonctionnelle qui est etudie dans cette these sous l'angle de la mise en oeuvre de politiques de controle d'acces dans une architecture orientee services. L'element de base de la solution proposee est un modele generique qui introduit les concepts essentiels pour la conception de gestionnaires d'execution de politiques de controle d'acces et qui etablit une separation nette entre le systeme d'information et les mecanismes de controle d'acces. L'instanciation de ce modele conduit a un cadre d'applications qui comporte, entre autres, un filtre de controle d'acces dynamique. Cette these presente egalement deux methodes systematiques d'implementation de ce filtre a partir de politiques ecrites en ASTD, une notation graphique formelle basee sur les statecharts augmentes d'operateurs d'une algebre de processus. La notation ASTD est plus expressive que la norme RBAC et ses extensions. La premiere methode repose sur une transformation de politiques de controle d'acces, instanciees a partir de patrons de base exprimes en ASTD, en des processus BPEL. La deuxieme methode est basee sur une interpretation de specifications ASTD par des processus BPEL. Dans les deux cas, les processus BPEL s'executent dans un moteur d'execution BPEL et interagissent avec le systeme d'information. Ces deux methodes permettent une implementation automatique d'un cadre d'applications a partir de la specification de depart. Finalement, un prototype a ete realise pour chacune des deux methodes afin de montrer leur faisabilite au niveau fonctionnel et de comparer leurs performances au niveau systeme.;Mots-cles: systeme d'information, securite fonctionnelle, controle d'acces, architecture orientee services, methode de specification formelle, service Web, transformation de specifications, interpretation de specifications.