Soutenance - Monica BUITRAGO

Soutenance de thèse - Monica Johana BUITRAGO RAMIREZMonica Johana BUITRAGO RAMIREZ, en vue de l’obtention du grade de Docteur en Sciences et Technologies de l’Information et de la Communication, spécialité « Informatique et Architectures Numériques », présentera ses travaux intitulés : « Mesurer le niveau de sécurité dans une architecture logicielle en lien avec l’application de recommandations de conception » le 11 décembre à Vannes.

Date 11/12

Résumé

Mesurer le niveau de sécurité dans une architecture logicielle en lien avec l’application de recommandations de conception. 

Dans le contexte du renforcement des systèmes logiciels face aux menaces de cybersécurité, évaluer la sécurité dès la phase de conception reste un défi en ingénierie logicielle. Bien qu'il existe des métriques pour les attributs de qualité, il n'existe pas de métriques spécifiques pour évaluer la sécurité dès la conception (avant mise en œuvre).

Cette thèse propose quatre nouvelles métriques de sécurité pour l'architecture logicielle. Une méthode a été développée pour créer ces métriques en extrayant manuellement les concepts des directives de sécurité existantes, puis en les alignant sur les langages de description d’architecture. Cette méthode a été appliquée à 11 recommandations du NIST SP800-53r5 (2020) et du CWE (2024).

Une preuve de concept a été réalisée dans Eclipse Papyrus pour calculer ces métriques sur des architectures modélisées avec des composants et des diagrammes de structure composite. Pour les cas où l'architecture n’est pas disponible, nous avons développé un module pour reconstruire l'architecture logicielle à partir de classes Java ou de diagrammes de classes. Trois expériences sur des cas réels ont validé l'approche.

Mot clés : Architecture logicielle, Sécurité dès la conception, mesures de sécurité, patrons de sécurité, ingénierie basée sur des modèles.

Abstract

Measuring the level of security in a software architecture in relation to the application of design recommendations.

In the context of hardening software systems against cybersecurity threats, assessing security at the design stage remains a challenge in software engineering. While there are metrics for software quality attributes, there are no specific ones for evaluating security from design (pre-implementation).

This thesis proposes four novel security metrics for software architecture. A method was developed to create these metrics by manually extracting concepts from existing security guidelines and aligning them with architectural description languages. The method was applied to 11 recommendations from NIST SP800-53r5 (2020) and CWE (2024).

A proof of concept was implemented in Eclipse Papyrus to calculate these metrics for architectures modeled with components and composite structure diagrams. We developed a module to reconstruct the software architecture from Java classes or class diagrams for cases where the architecture is unavailable. Three experiments on real cases validated the approach.

Keywords: Software architecture, Security by design, Security metrics, Security patterns, model-based engineering.

Membres du jury

• Pr Christelle URTADO, rapporteur, Professeur à l'IMT Mines, IMT Mines d'Alès
• Dr Fabien DAGNAT, rapporteur, Maitre de Conférences HDR, IMT Atlantique site de Brest
• Pr Isabelle BORNE, directrice de thèse, Professeure des Universités, Université Bretagne Sud, IRISA CNRS UMR 6074
• Dr Jérémy BUISSON, co-directeur de thèse, Maître de Conférences HDR, École de l'Air et de l'Espace, CREA
• Pr Dalila TAMZALIT, membre du jury, Professeure des Universités, Nantes Université, laboratoire des Sciences du Numérique UMR CNRS 6004
• Pr Flavio OQUENDO, membre du jury, Professeur des Universités, Universités Bretagne Sud, IRISA CNRS UMR 6074

Les travaux sont dirigés par Isabelle Borne et Jérémy Buisson.

École doctorale MathSTIC Bretagne Océane.

Informations pratiques

Mercredi 11 décembre à 14h

Amphithéâtre

École d'Ingénieurs ENSIBS

Vannes

Crédit photographique : ©Université Bretagne Sud. Service Communication