Ceci est une ancienne révision du document !
Secure-UML
Secure-UML est une extension UML dont l'objectif est d'intégrer des aspects de sécurité directement dans les modèles de systèmes logiciels.
Cette extension permet de définir des politiques de sécurité et des règles d'accès au niveau de la conception, facilitant ainsi le développement de systèmes sécurisés dès les premières étapes du cycle de vie du logiciel.
Principes
Role-Based Access Control
Contrôle d'Accès Basé sur les Rôles (RBAC) :
Secure-UML utilise le modèle RBAC pour définir les permissions et les rôles des utilisateurs dans le système.
Le modèle RBAC associe les permissions aux rôles plutôt qu'aux individus, simplifiant la gestion des droits d'accès.
Rôles
Regroupent les permissions en fonction des responsabilités des utilisateurs.
Permissions
Actions autorisées que les rôles peuvent effectuer sur les objets du système.
Diagrammes de Secure-UML
Secure-UML étend les diagrammes standard d'UML pour inclure des informations de sécurité.
Diagrammes de Classes Sécurisés
Incluent des annotations pour spécifier les permissions et les rôles associés aux classes et aux opérations.
Diagrammes de Cas d'Utilisation Sécurisés
Identifient les rôles et les permissions nécessaires pour chaque cas d'utilisation.
Éléments Clés de Secure-UML
Annotations de Sécurité
Utilisées pour enrichir les éléments UML avec des informations de sécurité.
Stereotypes
Ajoutent des informations de sécurité aux éléments UML.
Par exemple, un stéréotype « role » peut être utilisé pour annoter une classe comme représentant un rôle dans le modèle RBAC.
Constraints
Règles qui spécifient les conditions de sécurité.
Par exemple, une contrainte peut définir que seulement certains rôles peuvent accéder à une méthode particulière.
Modélisation des Politiques de Sécurité
Les politiques de sécurité sont définies en termes de permissions (opérations autorisées) et de rôles (regroupements de permissions).
Définition des Rôles
Les rôles sont définis en fonction des responsabilités dans l'organisation.
Assignation des Permissions
Les permissions sont associées aux rôles plutôt qu'aux utilisateurs individuels.