Outil d'aide à la décision pour la gestion de la conformité des TI

La Gouvernance, les Risques et la Conformité (GRC) en Technologie de l’Information (TI) sont devenus une priorité pour les organisations, particulièrement la gestion de la conformité, qui présente d’importants défis comme l’automatisation de sa vérification. Dans cette optique, notre mémoire de maîtrise, réalisé en collaboration avec un partenaire industriel, propose un outil automatisé d’aide à la décision pour la gestion de la conformité des TI dédié aux Petites et Moyennes Entreprises (PME). Notre travail s’est articulé autour de plusieurs axes : la définition des métriques et indicateurs de conformité, la création d’un outil intégrant les règles et contrôles de conformité dans une ontologie sémantique, l’élaboration d’un pipeline d’apprentissage automatique pour anticiper la conformité des journaux et analyses de sécurité, et enfin, la production d’un prototype fonctionnel fournissant des recommandations pour résoudre les problèmes de conformité. Pour la conception, le développement et l’évaluation de notre solution, nous avons adopté les approches Action Design Research (ADR) et Design Science Research (DSR). Une revue exhaustive de la littérature a permis de collecter des données essentielles et de construire une base de données des métriques de conformité. Inspiré des outils open source, notre outil se compose de trois modules : Module de Collecte de Données, Module de Vérification de Conformité et Module de Tableaux de Bord. L’ontologie développée dans ce projet a été validée par des experts du domaine grâce à un ensemble de questions de compétence basées sur les cas d’utilisation. Notre solution répond aux défis des PME en matière de gestion de la conformité des TI, contribue aux recherches sur la modélisation des connaissances, l’intelligence artificielle et la cybersécurité, et ouvre la voie à de nouvelles innovations dans ces derniers domaines, bénéficiant à terme aux organisations de tous secteurs et tailles.

Abstract

Governance, Risk and Compliance (GRC) in Information Technology (IT) has become a priority for organizations, especially compliance management, which presents important challenges such as automating its verification. In this perspective, our master’s thesis, realized in collaboration with an industrial partner, proposes an automated decision support tool for IT compliance management dedicated to Small and Medium Enterprises (SME). Our work was articulated around several axes: the definition of compliance metrics and indicators, the creation of a tool integrating compliance rules and controls in a semantic ontology, the development of a machine learning pipeline to anticipate compliance in security logs and analyses, and finally, the production of a functional prototype providing recommendations to solve compliance problems. For the design, development and evaluation of our solution, we adopted the Action Design Research (ADR) and Design Science Research (DSR) approaches. A comprehensive literature review was used to collect essential data and build a database of compliance metrics. Inspired by open source tools, our solution consists of three modules: Data Collection Module, Compliance Verification Module and Dashboard Module. The ontology developed in this project has been validated by domain experts through a set of competency questions based on use cases. Our solution addresses the IT compliance management challenges of small and medium-sized businesses, contributes to research on knowledge modeling, artificial intelligence and cybersecurity, and paves the way for new innovations in these latter areas, ultimately benefiting organizations of all sectors and sizes.