Gestion des Risques dans les Systèmes d’Information Orientés Services Vincent Lalanne (vincent.lalanne@univ-pau.fr) * Manuel Munier (manuel.munier@univ-pau.fr) * Alban Gabillon (alban.gabillon@upf.pf) † Résumé : Les architectures orientées services (SOA) offrent de nouvelles possibilités pour l’interconnexion des systèmes d’information. L’ouverture du SI d’une entreprise sur l’exté- rieur n’est toutefois pas anodine du point de vue de la sécurité. Que ce soit pour utiliser des services proposés par des tiers ou pour offrir les siens, ces technologies introduisent de nouvelles vulnérabilités dans le SI et, par conséquent, de nouveaux risques. Nos tra- vaux visent à initier une démarche de gestion de ces risques qui s’appuie sur un standard, la norme ISO/IEC 27005:2011. Nous proposons une évolution de cette norme afin qu’elle puisse prendre en compte pleinement le type "service". Suite à cette étude nous introdui- sons également un nouveau critère, la maîtrisabilité, pour qualifier la sécurité des systèmes d’informations. Mots Clés : sécurité des systèmes d’information, gestion des risques, maîtrisabilité, ISO/IEC 27005, SOA, cloud, services web. 1 Introduction Les systèmes d’informations présents dans les entreprises ont d’abord fonctionné en autarcie, c’est-à-dire fermés au monde extérieur et n’étant alimentés que par les données internes à l’entreprise. Très vite la nécessité de se connecter à d’autres systèmes est ap- parue, permettant ainsi d’accroître la quantité d’informations disponible, d’externaliser certains traitements et d’offrir de nouveaux services, tant au personnel (travail à domicile, itinérance,. . .) qu’aux clients (portails web, flux d’informations,. . .). L’usage de plus en plus fréquent des terminaux mobiles, smartphones et autres tablettes tactiles dans le monde professionnel (BYOD 1 ) introduit également de nouveaux risques auxquels les entreprises se doivent de faire face : stockage d’informations, applications métier,. . . Ces premières connexions ont été réalisées grâce à des liaisons privées mais, avec le dé- ploiement d’Internet, le concepteur s’est orienté vers l’utilisation de ce réseau pour connec- ter ses différents systèmes d’informations. Cette évolution a permis de diminuer les coûts de connexion et d’apporter une grande souplesse dans le déploiement de telles infrastruc- tures. Du point de vue du réseau proprement dit, les responsables sécurité ont dû mettre *. LIUPPA, Université de Pau et des Pays de l’Adour, France †. GePaSud EA 4238, Université de la Polynésie Française, France 1. BYOD : Bring Your Own Device