- Recherche,
- Philosophie,
DELORME Guillaume Eymeric William
Aide à la gestion de l'impact des stratégies IT sur la maîtrise du risque réglementaire
Publié le 25 mai 2023 – Mis à jour le 15 juillet 2024
Thèse en informatique, soutenue le 28 mars 2023.
Ce travail de recherche s’inscrit dans le domaine de la sécurité des systèmes d’information et l’impact qu’ont les lois et réglementations sur ceux-ci. Ce manuscrit est au croisement de plusieurs domaines scientifiques que sont l’ingénierie des connaissances, la gestion du risque, le domaine juridique et la conformité ainsi que la sécurité informatique et plus particulièrement, le domaine de la protection des données.
Les principaux apports de ce travail ont pour ambition de répondre à deux objectifs. Le premier est de permettre la représentation d’un risque règlementaire multidisciplinaire et de son impact sur la sécurité des systèmes d’information. Le second objectif est de permettre une meilleure gestion d’un tel risque. La modélisation proposée doit être en mesure de retranscrire précisément les règlementations. Cela implique d’être capable d’illustrer les modalités juridiques, leurs évolutions et leurs impacts sur les organisations et leurs systèmes d’information. Cette proposition repose sur la définition et l’étude d’un type de risque nouveau, le Data Regulation Risk (DRR).
Bien que celui-puisse être partiellement ou totalement traité par des méthodologies de gestion de risque existantes, il subsiste néanmoins la complexité initiale de son identification. Pour pallier à cela, nous proposons une ontologie reposant sur quinze concepts répartis en quatre sous domaines : de l’entreprise, de la sécurité, réglementaire et de la localisation. L’originalité de notre recherche est de proposer un modèle permettant la représentation de manière intelligible et précise des contraintes et obligations réglementaires qu’une organisation doit respecter pour assurer sa conformité et traiter les risques inhérents.
L’ensemble de ces propositions s’appuie sur un prototype afin de valider la faisabilité de celles-ci. Il regroupe ainsi l’ontologie ainsi que les fonctionnalités principales de recherche, de consultation et d’instanciation qui permettent d’aider un utilisateur dans sa gestion du risque réglementaire.
Les principaux apports de ce travail ont pour ambition de répondre à deux objectifs. Le premier est de permettre la représentation d’un risque règlementaire multidisciplinaire et de son impact sur la sécurité des systèmes d’information. Le second objectif est de permettre une meilleure gestion d’un tel risque. La modélisation proposée doit être en mesure de retranscrire précisément les règlementations. Cela implique d’être capable d’illustrer les modalités juridiques, leurs évolutions et leurs impacts sur les organisations et leurs systèmes d’information. Cette proposition repose sur la définition et l’étude d’un type de risque nouveau, le Data Regulation Risk (DRR).
Bien que celui-puisse être partiellement ou totalement traité par des méthodologies de gestion de risque existantes, il subsiste néanmoins la complexité initiale de son identification. Pour pallier à cela, nous proposons une ontologie reposant sur quinze concepts répartis en quatre sous domaines : de l’entreprise, de la sécurité, réglementaire et de la localisation. L’originalité de notre recherche est de proposer un modèle permettant la représentation de manière intelligible et précise des contraintes et obligations réglementaires qu’une organisation doit respecter pour assurer sa conformité et traiter les risques inhérents.
L’ensemble de ces propositions s’appuie sur un prototype afin de valider la faisabilité de celles-ci. Il regroupe ainsi l’ontologie ainsi que les fonctionnalités principales de recherche, de consultation et d’instanciation qui permettent d’aider un utilisateur dans sa gestion du risque réglementaire.
Mots-clés : Sécurité des Systèmes d’Information, Conformité, Ontologie, Représentation des Connaissance, Gestion du Risque.
This research work is part of the information systems security field and the impact of laws and regulations on them. This manuscript is at the crossroads of several scientific fields such as knowledge engineering, risk management, legal and compliance as well as computer security and more particularly, the field of data protection.
The main contributions of this work aim to meet two objectives. The first is to allow the representation of a multidisciplinary regulatory risk and its impact on information systems’ security. The second objective is to enable more efficient management of such a risk. The proposed model must be able to accurately translate the regulations. This implies the capacity to illustrate the legal modalities, their evolutions and their impacts on organizations and their information systems. This proposal is based on the definition and study of a new type of risk, Data Regulation Risk (DRR).
Although it can be partially or totally dealt with by existing risk management methodologies, there remains nevertheless the initial complexity of its identification. To overcome this, we propose an ontology based on fifteen concepts divided into four sub-domains: business, security, regulatory and localization. The originality of our research is to propose a model allowing the representation in an intelligible and precise way of the regulatory constraints and obligations that an organization must respect to ensure its compliance as well as managing the inherent risks.
All of these proposals are based on a prototype in order to validate their feasibility. It thus brings together the ontology as well as the main functionalities of search, consultation and instantiation which help a user in his management of regulatory risk.
Keywords : Information Systems Security, Compliance, Ontology, Knowledge Representation, Risk Management.
Directeur(trice) de thèse : Guilaine TALENS
Membres du jury :
- Mme TALENS Guilaine, Directrice de thèse, Maître de conférences habilitée à diriger des recherches, Université Jean Moulin Lyon 3,
- Mme MARCAL DE OLIVEIRA Kathia, Rapporteure, Professeure des Universités, Université Polytechnique Hauts de France, Aulnoy-Lez-Valenciennes,
- M. NGUYEN Benjamin, Rapporteur, Professeur des universités, INSA Val de Loire, Bourges,
- Mme BIENNIER Frédérique, Professeure des universités, INSA Lyon,
- M. DISSON Eric, Maître de conférences, Université Jean Moulin, Lyon 3,
- M. ME Ludovic, Maître de conférences habilité à diriger des recherches, INRIA, Rennes.
Président(e) du jury : Frédérique BIENNIER
Je consulte le magazine de l’actualité partenariale et des relations entreprises de l’iaelyon
Mise à jour : 15 juillet 2024