Les applications internet modernes voient l'émergence du paradigme de la composition de services d'une grande diversité de fonctions, allant des basses couches d'infrastructures jusqu'aux couches les plus hautes du type « Business ». L'évolution de ce type d'applications dépend fortement de la capacité du fournisseur de service à répondre à deux contraintes dépendantes: (1) mettre en oeuvre et maintenir une conformité vis-à-vis des contraintes et des besoins en sécurité imposés par les régulations internationales, nationales, ou régionales (comprenant les tierce entités du type utilisateur final ou partenaire industriel); (2) minimiser les coûts opérationnels liés à l'utilisation de politiques et de fichiers de configurations. En effet, les outils actuels ne respectent pas cet équilibre et poussent le fournisseur de service à sacrifier un aspect pour privilégier l'autre. Les raisons principales résultant de ces déséquilibres sont souvent liées à l'ignorance et la non-automatisation des dépendances entre politiques et configurations. Ce problème est dû à la complexité et la diversité des langages et des terminologies liés aux différents domaines de sécurité, ainsi qu'à l'hétérogénéité des systèmes largement distribués. La constante évolution des régulations ainsi que la grande diversité et complexité des couches de sécurité contribuent aussi fortement au déséquilibre rentabilité/sécurité.
Ces problèmes peuvent être résolus grâce à l'établissement d'une traçabilité et d'un lien clair entre les besoins de haut niveau (marché, coût, demande, etc.) et les configurations dites bas niveau (politiques de sécurité, configuration réseau, paramètres de configuration des applications, etc.). Cette traçabilité permet d'automatiser le support décisionnel lors de la gestion des systèmes, en particulier si on améliore les outils de détection et résolution de conflits entre les politiques de sécurité, ainsi que les outils d'aide à la décision.
La thématique principale de cette thèse concerne les problématiques liées à la vérification et l'audit de systèmes ainsi que, l'évaluation et la résolution des conflits de configuration dans les systèmes. En d'autres termes, il s'agit de résoudre les contradictions entre les différentes configurations de sécurité au sein des systèmes d'informations, en abordant ainsi ces différentes problématiques: (1) La vérification statique et dynamique des systèmes afin d'assurer l'efficacité et la validité des modèles; la validité de l'implémentation de ces mêmes modèles et l'observation du comportement des systèmes en cours d'exécution. (2) L'analyse et l'évaluation des incohérences et des contradictions qui peuvent survenir lors de l'exécution des systèmes, et qui sont détectées pendant la vérification. Ces problèmes peuvent impacter la sécurité, la conformité et la rentabilité des systèmes. (3) L'identification et l'analyse des solutions potentielles permettant de résoudre certaines problématiques causées par des incohérences de configuration des systèmes.