Vers des processus métiers sécurisés dans le Cloud

Abstract

الملخص (بالعربية) :

في سياق نمذجة الشركات، تعد نمذجة عملية الأعمال هدفًا معقدًا ولكنه أساسي. BPMN هو المعيار لنمذجة عملية الأعمال, هذه الأخيرة تكون قادرة على التحمل متطلبات الأمن من مرحلة النمذجة إلى المستوى المفاهيمي. من ناحية, BPMN لا يدعم تحديد متطلبات الأمن عند نمذجة عملية الأعمال. سيؤدي ذلك إلى زيادة ضعف النظام ويجعل تعديل الأمن النظام مستقبلا أكثر صعوبة، و من ناحية أخرى، تُحدث الحوسبة السحابية ثورة في عالم المعلوماتية. وهو يتألف من الاستعانة بمصادر خارجية للبنية التحتية لتكنولوجيا المعلومات لمقدمي الخدمة المختصة. ينال مستخدمو الحوسبة السحابية الاستقلالية و أرغونوميا والبساطة ومع ذلك فإن الإستخدام الواسع للحوسبة السحابية يكشف عن مخاطر أمنية جديدة هي سبب التأخير في التبني الشامل لهذا الحل الجديد. في موضوع الأطروحة، سوف ندرس تكامل متطلبات الأمن في عمليات الأعمال BPMN وسنقوم أيضًا بدراسة الأمن في السياق المحدد للحوسبة السحابية. نحن نعرض أحدث ما توصلت إليه التقنية حول الأساليب المختلفة للتعليقات التوضيحية المتعلقة بالأمن في عملية الأعمال التي تستند إلى BPMN بالإضافة إلى الأساليب التي تتناول موضوع الأمن في السحابة. بعد ذلك نقدم امتدادات BPMN. كلا من الامتدادات تتوافق مع آلية تمديد BPMN. الأول يستجيب للحاجة إلى إثراء معيار BPMN بأهداف أمنية مشتقة من أنطولوجيا الأمن السيبراني. و الثاني يأخذ الأمن في سياق محدد للحوسبة السحابية ، لقد قمنا بتوسيع الامتداد الأول مع تهديدات الحوسبة السحابية. ---------------------------------------------- Résumé (Français et/ou Anglais) :

Dans le contexte de la modélisation des entreprises, la modélisation des processus métiers constitue un objectif complexe, mais fondamental. Business Process Model and Notation (BPMN) est le standard pour la modélisation des processus métier. Les processus métiers doivent être en mesure de supporter les exigences de sécurité dès l’étape de modélisation au niveau conceptuel. BPMN ne prend pas en charge la spécification des exigences de sécurité lors de la modélisation des processus métier. Cela augmentera la vulnérabilité du système et rendra l’implémentation futur de la sécurité du système plus difficile. Le cloud computing est en train de révolutionner le monde informatique. Il consiste en l'externalisation des infrastructures informatiques vers des prestataires spécialisés. Les utilisateurs du cloud computing gagnent en autonomie, en ergonomie et en simplicité, cependant l’utilisation de plus en plus fréquente du cloud computing fait apparaître de nouveaux risques de sécurité qui sont la cause du retard de l'adoption massive de cette nouvelle solution. Dans ce sujet de thèse, nous étudierons l’intégration des exigences de sécurité dans les processus métiers BPMN et nous étudierons aussi la sécurité dans contexte particulier du cloud computing. Nous proposons un état de l’art complet sur les différentes approches d’annotation de sécurité dans les processus métiers qui sont basé sur le BPMN ainsi que les approches qui traitent le sujet de sécurité dans le cloud. Par la suite nous proposons deux extensions BPMN. Les deux extensions sont conformes au mécanisme d’extension BPMN. La première répond au besoin d’enrichir le standard BPMN avec les objectifs de sécurité qui sont dérivés d’une ontologie de la cybersécurité. La deuxième, prend en considération la sécurité dans le contexte spécifique du cloud computing, nous avons étendu la première extension avec les menaces du cloud computing.

----------------------------------------------

In the context of business modeling, business process modeling is a complex but fundamental goal. Business Process Model and Notation (BPMN) is the de facto standard for business process modeling. One of the most important aspect of business process models is security. Since most business processes revolve around the exchange of information, the security of such information assets becomes a critical factor for the success of the overall business process. Therefore, it is very important to capture the security requirements at conceptual level in order to identify the security needs in the first place. There is a need for an integrated tools and methodology that allows for specifying and enforcing compliance and security requirements for business process-driven enterprise systems. Furthermore, BPMN do not support the specification of security requirements along the business process modelling. This will increase the vulnerability of the system and make the future development of security for the system more difficult. Cloud computing is revolutionizing the computing world. It consists of the outsourcing of IT infrastructures to specialized service providers. Cloud computing users are gaining in autonomy, ergonomics and simplicity; however, the increasingly frequent use of cloud computing is revealing new security risks which are the cause of the delay in the mass adoption of this new solution. In this thesis, we will study the integration of security requirements into BPMN business processes and we will also study security in the specific context of cloud computing. We provide a comprehensive state of the art for the different approaches that are based on BPMN that treat security annotation in business processes as well as approaches that address the topic of security in the cloud. Subsequently we offer two BPMN extensions. Both extensions comply with the BPMN extension mechanism. The first responds to the need to enrich the BPMN standard with security objectives that are derived from a cybersecurity ontology. The second, takes security consideration in the specific context of cloud computing, we have extended the first extension with cloud computing threats. In order to provide a commonly usable extension, these enhancements were implemented as BPMN metamodel extension. Experimental results on a real use case (typical process of patient admission to a hospital) are presented to illustrate the capabilities and the effectiveness of the proposed extensions.