Grade PR 1C. Dossier ELECTRA AVANCEMENT DE GRADE - NOTICE INDIVIDUELLE. Voie d'avancement de droit commun 04S LGA

Transcription

1 2012 Grade PR 1C Section 27 - Informatique Dossier ELECTRA AVANCEMENT DE GRADE - NOTICE INDIVIDUELLE Voie d'avancement de droit commun NUMEN 04S LGA Civilité Monsieur Nom patronymique TOINARD Prénom usuel Christian Nom d'usage ou marital TOINARD Date de naissance 11/09/1961 Grade PR 2C Etablissement d'affectation S - ENSI BOURGES Date de validation par l'enseignant-chercheur : 26/02/2012 Version définitive Dossier de Monsieur Christian TOINARD / NUMEN: 04S LGA / section 27 - Informatique

2 Fiche de synthèse administrative BUREAU : Département de conseil et d'appui aux instances Dossier créé le : 22/12/2011 ETAT CIVIL Civilité M. Nom TOINARD Prénom Christian épouse TOINARD Né(e) le 11/09/1961 Age : 50 Nationalité FRANCE CORPS GRADE Statut : T Corps : PR Date d'entrée dans le 01/09/2002 Discipline :* coprs : Grade : PR 2C Date d'entrée dans le 01/09/2002 Mode d'accès :* grade : Echelon : 6 Mode d'accès :* Ancienneté conservée : Indice brut :* Mode d'accès :* Notice :* SITUATION PA : C101 MS :* CO :* AFFECTATION Etablissement : ENSI BOURGES Poste : PR/27 Discipline :* INFORMATIONS ANTICIPEES Grade :* Echelon :* Date d'édition : 22/12/2011 * : Cette page a été générée automatiquement et peut comporter certaines zones non renseignées. L absence de ces informations sur cet imprimé est sans incidence sur la procédure.

3 Recherche Habilitation à diriger des recherches Oui Date d obtention 03/01/2001 Etablissement de recherche S - ENSI BOURGES Unité de recherche INSTITUT PLURIDISCIPLINAIRE DE RECHERCHE EN INGÉNIERIE DES SYSTÈMES, MÉCANIQUE ET ENERGÉTIQUE (PRISME) Mots-clés sécurité, Dossier de Monsieur Christian TOINARD / NUMEN: 04S LGA / section 27 - Informatique

4 Notice biographique IMPORTANT : La police de caractères utilisée pour rédiger le contenu de la notice biographique doit avoir une taille minimale de 12 points. L organisation générale des rubriques doit être strictement respectée. L ensemble de la notice biographique ne doit pas excéder 3 pages. La taille du fichier PDF correspondant est limitée à 1 mégaoctet. Repères biographiques communs Nom : Toinard Prénom : Christian NUMEN : 04S LGA Grade détenu : Professeur seconde classe Section : 27 Etablissement(s) d affectation au cours des deux dernières années : Laboratoire ou école doctorale : ENSI de Bourges LIFO Lieu de préparation du doctorat : Université Paris 6 Date d obtention de la thèse : 1993 Lieu d obtention de la thèse : Université Paris 6 Directeur et co-directeur de thèse : Gérard Florin Garant HDR : Richard Castanet Université Bordeaux 1 Domaines de spécialité scientifique au sein de la section : Liste de 5 publications caractéristiques des domaines de spécialité : Sécurité et systèmes répartis 1. Formalization of security properties: enforcement for MAC operating systems and verification of dynamic MAC policies, Jérémy Briffaut, Jean-Francois Lalande & Christian Toinard, International Journal on Advances in Security, Vol. 2(4). Pp Protection of a Shared HPC Cluster, Jérémy Briffaut, Mathieu Blanc, Damien Gros & Christian Toinard, in International journal on advances in security. vol 4, no 1&2, Jérémy Briffaut, Martin Perès, Jonathan Rouzaud-Cornabas, Jigar Solanki, Christian Toinard et Benjamin Venelle. PIGA-OS : Retour sur le Système d'exploitation Vainqueur du Défi Sécurité. 8 ième Conférence Francophone sur les Systèmes d Exploitation. CFSE 8, Saint-Malo, France. Mai Jérémy Briffaut, Emilie Lefebvre, Jonathan Rouzaud-Cornabas, Christian Toinard. PIGA-Virt : an Advanced Distributed MAC Protection of Virtual Systems. VHPC Europar Bordeaux. 5. Damien Gros, Mathieu Blanc, Jérémy Briffaut, Christian Toinard. Advanced MAC in HPC systems : performance improvement. 12th IEEE/ACM International Symposium on Cluster, Cloud and Grid Computing To appear. 1

5 Titres et diplômes : Habilitation à Diriger des Recherches, Université Bordeaux 1, 3 décembre Thèse d Informatique, Université Paris 6, février 1993, Mention Très Honorable avec les Félicitations. DEA en Systèmes Informatiques à l Université Paris 6 en juin 1990, Mention Bien. Ingénieur ENSIMAG en juin 1986, Mention Bien. Ingénieur INSA en juin Expérience professionnelle : Expérience industrielle (4 ans) : Ingénieur d Etudes et de Développement en Informatique. Domaines d activité: développement de logiciels systèmes, temps réel et réseaux. Enseignement et Recherche (9 ans Professeur des Universités à l'ensi de Bourges, 9 ans Maître de Conférences à l'enseirb, 3 ans moniteur CIES Paris 6 au CNAM Paris, 1 an chef de travaux associé au CNAM Paris) : enseignement et recherche principalement en Systèmes d'exploitation, Sécurité et Réseaux informatiques (2ième et 3ième cycle). Informations complémentaires : 2002 à 2010 : Création et responsabilité de l'équipe Sécurité et Distribution des Systèmes au Laboratoire d'informatique Fondamentale d'orléans à 2005 : Création de la filière Sécurité et Techniques Informatiques à l'ensi. Depuis 2005 : responsable de l option Sécurité des Systèmes et des Réseaux à l ENSI à 2008 : Commission de spécialistes 27 ième section de l'université d'orléans. Membre du conseil du LIFO jusqu en Membre du pôle de recherche en Mathématiques, Economie et Informatique de l Université d Orléans jusqu en Depuis 2002, recrutement de l ensemble des permanents et ATER pour la filière STI et l équipe SDS Depuis 2012 : Responsable pour l ENSI de Bourges du projet européen Seed4C à 2010 : Direction du projet SPACLik vainqueur du défi sécurité de l ANR. Depuis 2008, direction pour le LIFO du laboratoire commun avec le CEA DAM sur la protection des clusters et des grilles à 2011 : Mise en place de l ensemble des projets ACI, ANR et des activités de valorisation industrielle (CEA DAM en 2002, Oberthur Card Systems en 2008, Qual Net en 2009, Alcatel Bell Labs en 2011) de l équipe SDS à 2010 : Mise en place d un projet de SPIN-OFF lauréat concours OSEO

6 Depuis 2002, direction de 4 thèses soutenues et 3 thèses en cours. Obtention des financements de 9 thèses : - Mathieu Blanc et Pierre-Alain Fayolles en Jérémy Briffaut en Jonathan Rouzaud-Cornabas en 2007 co-encadré avec Patrice Clémente - Xavier Kaufmann en 2008 pour le compte de Jean-François Lalande et Pascal Berthomé - Pierre Clairet en 2009 pour le compte de Pascal Berthomé - Damien Gros co-encadré avec Jérémy Briffaut - Maxime Fonda en Benjamin Venelle co-encadré avec Jérémy Briffaut en 2011 En tant que Professeur d Université, auteur de 47 publications nationales et internationales. 3

7 Partie rédactionnelle du rapport d activité IMPORTANT : La police de caractères utilisée pour rédiger le contenu des rubriques suivantes doit avoir une taille minimale de 12 points. La longueur maximale du contenu de certaines rubriques est limitée. Les limites indiquées ainsi que l organisation générale des rubriques doivent être strictement respectées. L ensemble de cette partie rédactionnelle ne doit pas excéder une longueur totale de 15 pages (hors annexes). La taille du fichier PDF correspondant ne doit pas être supérieure à 2 mégaoctets. Nom patronymique : TOINARD Prénom : Christian NUMEN : 04S LGA Synthèse de la carrière : Présentation de la carrière faisant apparaître les éléments jugés les plus significatifs (rubrique limitée à 6000 caractères, blancs non compris, soit environ 2 pages) : Après une formation d ingénieur à l INSA puis à l ENSIMAG, et une expérience industrielle, j ai exercé comme enseignant associé au Conservatoire National des Arts et Métiers et préparé un DEA de Systèmes Informatiques à l Université de Paris 6 en Une bourse MRT et un poste de moniteur m ont ensuite fourni les moyens d obtenir un Doctorat en Informatique de l Université Paris 6 en La thèse facile la construction de protocoles ordonnée et a été utilisée par Alcatel Alsthom Recherche pour concevoir de façon simple un protocole à diffusion. J ai obtenu dès la fin de ma thèse un poste de Maître de Conférences dans la filière informatique de l ENSEIRB à Bordeaux en Dans ce cadre, j'ai assuré la responsabilité pédagogique de l option Réseaux et Systèmes Répartis que j ai très tôt orientée vers la sécurité. En tant que Maître de Conférences, j'ai développé une nouvelle activité de recherche. Elle a comporté une part de valorisation scientifique très importante avec l obtention d un projet européen. Grâce à mes activités en enseignement et en recherche j ai obtenu une habilitation à diriger les recherches à Bordeaux en 2001 et la qualification aux fonctions de Professeur des Universités. En raison notamment de mon expérience notamment pédagogique dans le domaine de la sécurité, j ai été recruté en 2002 par la commission de spécialistes de la 27 ième section d Orléans à un poste de Professeur en Informatique pour l ENSI de Bourges afin de mettre en place une nouvelle filière d'ingénieurs axée sur la sécurité informatique. J ai ainsi dirigé la création de la filière Sciences et Technologies Informatiques et développé une activité de recherche en sécurité comme requis par la Commission des Titres d'ingénieurs. D'un point de vue de la responsabilité d'enseignement et administrative, j'ai assuré un travail de direction d'une nouvelle filière. Il s'agit d'un travail difficile, surtout dans un établissement jeune où j étais le seul enseignant en 27 ième section. J ai exercé toutes les responsabilités liées à la pédagogie, en créant et dirigeant une équipe pour la pédagogie, en définissant les programmes et en veillant à l adéquation vis à vis des offres des autres écoles d ingénieurs en informatique. J ai fait passé les effectifs de moins d une vingtaine d étudiants à plus de quarante. J ai participé à deux reprises au renouvellement du titre par la Commission du Titre d Ingénieurs. En plus de ces responsabilités pédagogiques, j'ai créé de toute pièce une nouvelle équipe de recherche au sein de mon laboratoire, le LIFO. Dès 2002, j ai établi une coopération avec le CEA DAM avec des financements de thèses, une participation à l ACI Sécurité SATIN et un laboratoire commun depuis Cette équipe, Sécurité et Distribution des Systèmes, que j ai mise en place et dirigée de 2002 jusqu en 2010, est constituée de 6 permanents et de 4 doctorants. Mes résultats en recherche sont multiples. Ils ont commencés par la création d un partenariat majeur avec le CEA DAM, qui a financé en 2002 la thèse de Mathieu Blanc sur la protection dans les systèmes d exploitation pour les clusters partagés. Dans le cadre des thèses de Jérémy Briffaut et de Jonathan Rouzaud-Cornabas, nous avons proposé une approche innovante appelée PIGA permettant à un système d exploitation de garantir des propriétés de sécurité et de faciliter le travail d administrateurs de la sécurité. Un logiciel a été mis en œuvre et validé en 1

8 grandeur réelle sur un pot de miel à haute interaction dans le cadre de la thèse de Jérémy Briffaut. L approche PIGA a été retenue dans le cadre de l appel défi sécurité de l ANR pour proposer un système d exploitation basé sur Linux et offrant un poste de travail sécurisé pour l Internaute. Ainsi, le projet SPACLik, dont j ai assuré la responsabilité, a été opposé à deux concurrents, d un part une équipe mixte EADS/Supélec Rennes et d autre part une équipe mixte LRI/LIP6. Nous avons gagné les trois manches de ce défi dont le jury était présidé par l Agence Nationale de la Sécurité des Systèmes d Informations et auquel participaient les chercheurs français référents en sécurité issus du monde académique. Nous avons proposé, via le projet que j ai dirigé, une solution de protection obligatoire en profondeur qui facilite les correctifs de sécurité lorsqu une vulnérabilité est trouvée. En effet, la correction d une vulnérabilité repose en pratique sur la définition d une nouvelle propriété de sécurité au moyen du langage défini dans la thèse de Jérémy Briffaut. Dans le cadre du défi et au sein de la thèse de Jonathan Rouzaud- Cornabas, nous définissons une méthode adaptée pour protéger dynamiquement un système hébergeant plusieurs domaines d usages (web, mail e-commerce, impôts, etc ). Le défi sécurité présente de nombreuses retombées en terme de valorisation scientifique. En effet, dans le cadre du laboratoire commun avec le CEA DAM que j ai monté pour le LIFO, j ai obtenu en 2010 le financement à 100% d une nouvelle thèse pour développer l approche notamment pour la protection des systèmes ouverts comme les clusters partagés ou les grilles. En 2010, j ai aussi obtenu le co-financement d une thèse par la société Qual Net et la région Centre afin d appliquer notre formalisation des propriétés de sécurité pour les logiciels répartis de workflow que développe cette société. En 2011, les résultats, dans le cadre du défi sécurité et du laboratoire commun avec le CEA DAM, m ont permis d établir, une nouvelle coopération avec Alcatel Lucent Bell Labs sur le thème de la sécurité du Cloud. Cette coopération m a permis l obtention d une thèse CIFRE et du projet européen Seed4C dont je suis le responsable pour l ENSI. Ainsi les retombées en terme de valorisation sont extrêmement nombreuses, elles dépassent très largement le seul cadre historique de la protection des clusters partagés mis en place avec le CEA DAM. Les résultats récents, notamment l obtention d un projet européen, montrent la reconnaissance scientifique et industrielle que j ai obtenue sur le thème de la protection des systèmes d exploitation. Mon travail comme Professeur m a permis de constituer d une nouvelle équipe de recherche. Il s agit d une activité de direction de la recherche à tous les niveaux. En effet, j ai créé la thématique et structuré une nouvelle équipe en recrutant tous les permanents. J ai mis en place toutes les coopérations industrielles, notamment avec le CEA DAM, Oberthur Card Systems, Qual Net et Alcatel Bell Labs. J ai ainsi fourni les moyens à tous les permanents que j ai recrutés d avoir des encadrements ou des co-encadrements de thèses. L évaluation de PIGA par la communauté scientifique française ainsi que mes résultats internationaux récents établissent, comme attesté par des acteurs majeurs comme le laboratoire de sécurité d Alcatel Lucent Bell Labs, que je fais office d autorité en France et d être reconnu plus largement en Europe et aux Etats Unis d Amérique. 2

9 Activité scientifique : 1. Présentation des thématiques de recherche : grands axes de recherches et apport dans le ou les domaines concernés (la rubrique 1 est limitée à 6000 caractères, blancs non compris, soit environ 2 pages) : La protection système concerne les techniques de protection obligatoire, aussi appelées protection mandataire (Mandatory Access Control), qui peuvent être intégrées aussi bien dans les systèmes d'exploitation, dans les processeurs que dans les intergiciels ou les applications. Cette thématique est peu développée en France, ce qui m a permis de monter depuis Bourges un laboratoire commun avec le CEA DAM sur la protection système. Les techniques existantes couvrent un faible ensemble des besoins de sécurité. De plus, elles sont peu adaptées à un déploiement sur un ensemble de machines à large échelle. Il manque aussi des techniques qui permettent de contrôler différents domaines d usages pour protéger tous les niveaux d un système de façon flexible en garantissant des propriétés de sécurité (intégrité et confidentialité) pour ces différents niveaux (processus, interfaces graphiques, échanges réseaux, ). Les points sur lesquels, j ai d abord travaillé avec le CEA DAM, concernent les techniques permettant d appliquer une politique de sécurité obligatoire à un système de confiance réparti à très large échelle. Dans le cadre de la thèse de Mathieu Blanc, nous proposons une infrastructure de méta-politique basée sur un langage qui contrôle les évolutions de la politique de sécurité. Les méta-règles définies à ce niveau sont en fait des autorisations de faire évoluer localement la politique obligatoire de chaque nœud. Ces méta-règles peuvent être projetées sur un système cible qui peut être un système SE-Linux, GR-Security voir un système Windows traditionnel. Des calculs de flux d information, existant dans le méta-graphe des évolutions de politiques, garantissent que les politiques locales ne pourront pas conduire à des violations des propriétés de sécurité requises. Ces travaux avec le CEA DAM ont facilité la participation du LIFO à l ACI SATIN. Dans un second temps, avec la thèse de Jérémy Briffaut, j ai travaillé à un meilleur support des propriétés de sécurité à l échelle d une seule machine. Ainsi, nous avons défini l approche PIGA qui permet de formaliser un large ensemble de propriétés de confidentialité et d intégrité. PIGA supporte des propriétés avancées contrôlant des activités complexes pouvant reposer sur différents flux d information directs ou indirects. La thèse de Jérémy Briffaut facilite ainsi l expression des objectifs de sécurité. Un compilateur du langage prend en entrée les propriétés de sécurité modélisées et les politiques de protection obligatoire existantes sur le système cible. Ce compilateur calcule à l avance l ensemble des activités illicites, observables par le noyau du système d exploitation, qui peuvent violer une propriété. Nous pouvons utiliser ces activités illicites pour fournir une protection obligatoire garantissant les propriétés requises. Nous traitons ainsi mieux les canaux cachés utilisant différentes ressources intermédiaires pour violer la sécurité. La méthode a tout d abord été expérimentée avec succès sur un pot de miel à très haute interaction qui a subi plus de deux millions d attaques durant deux ans. La solution a ensuite été adaptée dans le cadre du défi sécurité. Elle utilise les résultats de la thèse de Jérémy Briffaut et de Jonathan Rouzaud-Cornabas. Le projet SPACLik, que j ai dirigé, propose un noyau Linux permettant de garantir des propriétés sécurité extensibles et facilement configurables. Une solution spécifique a été développée pour sécuriser le poste de travail d un Internaute. Ainsi, nous empêchons par exemple les flux d informations indirectes comme directes entre le site web des impôts et d autres domaines comme la navigation sur des sites non sûrs (réseaux sociaux par exemple). La solution PIGA-OS offre une protection obligatoire en profondeur et dans une certaine mesure de bout en bout puisque nous contrôlons aussi les flux réseau. Elle contrôle les processus et les ressources du système via un moniteur de référence qui capture les appels système offerts par le noyau du système d exploitation. De plus, PIGA-OS contrôle les états 3

10 des applications pour instancier dynamiquement les propriétés requises. Nous protégeons ainsi avec l approche PIGA l interface graphique, les processus exécutant les applications et les accès réseau en empêchant que des failles exploitables en espace utilisateur (telles que des failles dans les applications ou l interface graphique) ne violent les propriétés requises. Durant le défi, de nouvelles propriétés ont été aisément définies pour protéger contre les vulnérabilités trouvées par les équipes adverses. Les propriétés ainsi définies protègent contre toutes les variantes d une même attaque. Les limites concernent les failles internes au noyau du système ou niveau du matériel qui sortaient du cadre du défi. Un des résultats du défi est une méthode pour adapter la protection à la dynamique d usage et aux différents domaines à protéger. Notre approche consiste à réutiliser les techniques de protection obligatoire (SELinux et PIGA) et contrôler la dynamique du système en calculant dynamiquement les politiques obligatoires pour chaque domaine. Ainsi, nous pouvons par exemple autoriser les flux entre le site web des impôts et les courriers électroniques du domaine impôts tout en empêchant des flux indésirables entre le domaine impôts et les courriers électroniques d un autre domaine (par exemple réseaux sociaux). Les thèses de Jérémy Briffaut et de Jonathan Rouzaud-Cornabas ont contribués aux résultats du défi. Elles sont dans la continuité. La différence réside dans la façon de supporter la dynamique des systèmes. Dans un cas, c est par différents niveaux de protection et un calcul statique des activités illicites. Dans l autre cas, c est au moyen d un seul niveau de protection et d un calcul entièrement dynamique des activités illicites. Les deux approches ont des avantages. Dans le premier cas, la protection est très efficace. Dans l autre cas, l administration est simplifiée. Cependant, la méthode pour formaliser les propriétés de sécurité est commune et elle facilite la définition d un large ensemble de besoins de sécurité. Les retombées dépassent très largement le cadre visé par le défi. Cette thématique s intègre complètement dans le cadre du laboratoire commun avec le CEA DAM que je dirige pour le LIFO. Ainsi en 2010, j encadre une nouvelle thèse financée à 100% par le CEA DAM pour appliquer les techniques de protection obligatoires non seulement aux clusters mais aussi plus largement aux grilles et aux systèmes répartis HPC. C est une thématique résolument originale et sur laquelle nous faisons office de pionniers. En 2010, j ai établi des contacts tout à fait privilégiés avec le département de recherche en sécurité d Alcatel Lucent Bell Labs présent en France et aux Etats-Unis. Le laboratoire de recherche en sécurité d Alcatel Lucent Bell Labs, considérant que je suis l autorité scientifique française en matière de protection obligatoire, m a financé une thèse CIFRE et en m a invité à participer au montage du projet européen Seed4C sur la protection des Clouds. Ce projet vise à appliquer les techniques développées, durant le défi sécurité avec Jérémy Briffaut et Jonathan Rouzaud- Cornabas, à la protection des Clouds. Nous avons déjà un certain nombre de résultats sur ce thème que nous développons en partenariat avec l INRIA Rhône Alpes où Jonathan Rouzaud-Cornabas effectue un post-doctorat sur la sécurité des Clouds. Depuis 2011, la protection des Clouds est une thématique que je développe. Je participe avec l INRIA Rhône Alpes à la mise en place d un comité de réflexion français sur la sécurité du Cloud. Ce comité de réflexion s insère dans un comité de réflexion européen sur la sécurité des Clouds dans le cadre du projet Seed4C. On voit donc que ma reconnaissance scientifique dépasse maintenant l échelle française et présente des retombées en Europe et aux Etats-Unis. L intérêt de l approche PIGA développée avec mes différents doctorants est un formalisme qui présente un fondement théorique pour la protection obligatoire. C est pourquoi les solutions vont bien plus loin que le simple cadre des systèmes d exploitation patrimoniaux (Unix, Windows). Elles peuvent aussi permettre d améliorer la protection des processeurs, des applications ou des intergiciels. Différents travaux sont en cours sur ces différents aspects avec les partenaires existants mais pourront être élargis aisément dans les années à venir. Il s agit donc d une orientation scientifique originale et pionnière. Elle permet aux doctorants ou ingénieurs ayant travaillés avec 4

11 moi de se positionner en experts dans le domaine de la protection des systèmes. Tous ont trouvés des débouchés dans la recherche en sécurité et continuent de travailler avec moi sur ces sujets. 2. Publications : présentation, en quelques lignes, des 5 publications (ou brevets, éditions de logiciels) jugées les plus significatives parmi celles citées en annexe (celles-ci ne doivent pas être jointes) : 1. Formalization of security properties: enforcement for MAC operating systems and verification of dynamic MAC policies, Jérémy Briffaut, Jean-Francois Lalande & Christian Toinard, International Journal on Advances in Security, Vol. 2(4). Pp Cette revue présente comment formaliser des propriétés de sécurité et les appliquer pour protéger un système d exploitation présentant des politiques mandataires comme SELinux. Il présente en détail les résultats issus de la thèse de Jérémy Briffaut notamment la façon de formaliser des propriétés de sécurité au moyen d un langage. Il présente aussi la méthode pour compiler ce langage en prenant en entrée les politiques obligatoires existantes comme SELinux qui ne contrôlent que les flux directs entre contextes. Ainsi, nous calculons exhaustivement, au moyen d un graphe de flux d informations, toutes les activités illégales qu autorise une politique SELinux et permettant de violer les propriétés requises. En pratique, une activité illégale correspond à la composition d un ensemble de flux directs ou indirects qui permet de violer la propriété. De plus, l article présente une méthode pour analyser des politiques SELinux dynamiques et garantir dans ce cas les propriétés requises. Il étend le graphe de flux avec la notion de méta-nœud factorisant un ensemble de contextes de sécurité que l on peut ajouter dans la politique. Ainsi, on peut appliquer l outil PIGA pour calculer des activités illégales dans une politique SELinux qui peut évoluer dynamiquement. Cela permet de vérifier l absence de violation des propriétés requises dans une politique dynamique. 2. Protection of a Shared HPC Cluster, Jérémy Briffaut, Mathieu Blanc, Damien Gros & Christian Toinard, To appear in International journal on advances in security Cette revue est une version largement étendue d un article qui a été Best Paper à Securware L article correspondant est important car il présente comment nous pouvons appliquer l approche PIGA à la protection d un cluster partagé. L article détaille la méthode permettant à différents utilisateurs d avoir des sessions ssh à distance en les confinant par SELinux. Ensuite, nous utilisons PIGA de deux façons. Tout d abord, nous vérifions si les politiques SELinux autorisent des activités qui permettent à un utilisateur de violer la confidentialité ou l intégrité d un autre utilisateur. Ensuite, nous montrons comment appliquer PIGA en mode protection pour garantir les propriétés qui ont un fort risque d être violées. C est une approche efficace car elle est précise et permet de bien formaliser les propriétés de sécurité nécessaire à la protection d un cluster partagé. 3. Jérémy Briffaut, Martin Perès, Jonathan Rouzaud-Cornabas, Jigar Solanki, Christian Toinard et Benjamin Venelle. PIGA-OS : Retour sur le Système d'exploitation Vainqueur du Défi Sécurité. 8 ième Conférence Francophone sur les Systèmes d Exploitation. CFSE 8, Saint-Malo, France. Mai Cet article est essentiel puisqu il présente les résultats du défi sécurité auprès de la communauté française qui fait de la recherche en systèmes d exploitation. Il définit une méthode dynamique qui permet de contrôler les applications d un système d exploitation pour l Internaute en protégeant les différents domaines (web, impôts, mail, e-commerce, etc ) requis par le règlement du défi sécurité. Nous expliquons les différents composants permettant une protection en profondeur à savoir PIGA-MAC, PIGA-Firewall et PIGA- SYSTRAN. PIGA-SYSTRAN calcule dynamiquement les propriétés PIGA nécessaires à la protection des processus utilisateurs et de l interface graphique (PIGA-MAC) ainsi que des échanges réseaux (PIGA-Firewall). L efficacité a été démontrée par les résultats du défi. Un 5

12 avantage réside dans la facilité pour améliorer la protection du système. En effet, dès qu une faille était trouvée nous définissions dans la journée une propriété PIGA qui empêchait non seulement cette vulnérabilité mais toutes les variantes utilisant le même scénario d attaque. Ainsi, les failles trouvées par les adverses, notamment EADS spécialisé dans l attaque, nous ont permis d améliorer grandement la protection et d éviter de perdre des points. Ma présentation à CFSE a été saluée par la communauté de recherche française présente à la conférence et a permis de confirmer ma reconnaissance scientifique par les chercheurs dans le domaine des systèmes d exploitation. 4. Jérémy Briffaut, Emilie Lefebvre, Jonathan Rouzaud-Cornabas, Christian Toinard. PIGA-Virt : an Advanced Distributed MAC Protection of Virtual Systems. VHPC Europar Bordeaux. Cet article propose une extension de PIGA, appelée PIGA-Virt, qui permet de contrôler les flux d informations à l intérieur mais aussi entre machines virtuelles QEMU/KVM. Ce mécanisme est intéressant puisqu il permet d améliorer la sécurité des infrastructures Cloud basées sur QEMU/KVM tel que OpenNebula. L article montre qu en déportant le moniteur de références de PIGA non seulement l on améliore les performances mais de plus l on peut contrôler les flux entre les machines virtuelles. 5. Damien Gros, Mathieu Blanc, Jérémy Briffaut, Christian Toinard. Advanced MAC in HPC systems : performance improvement. 12th IEEE/ACM International Symposium on Cluster, Cloud and Grid Computing To appear. Cet article présente l approche développée dans la thèse de Damien Gros dans le cadre du laboratoire commun avec le CEA DAM. Il propose d améliorer les performances des moniteurs de références SELinux et PIGA afin que ceux-ci offrent de bonnes performances. Il montre le surcoût apporté par SELinux et identifie les fonctions responsables. Les deux idées essentielles sont l exécution en parallèle des analyses faites par SELinux et PIGA au moyen de format de politique plus compact. Il montre que l approche PIGA permet d optimiser les politiques SELinux et que le raffinement des propriétés permet aussi des gains en performance et en protection. 3. Encadrement et animation recherche : Direction, animation laboratoires et équipes de recherche Au delà des résultats obtenus, ma contribution en tant que Professeur est création et la direction d une équipe de recherche qui a été constituée dans le cadre de la commission de spécialistes d Orléans et qui est issue d horizons très variés. Il faut avoir à l esprit que cette équipe a été constituée dans le contexte d un établissement, l ENSI de Bourges, où j étais le seul permanent en 27 ième section et où il n y avait pas de laboratoire d informatique auquel était rattachée l ENSI de Bourges, mais uniquement un laboratoire d automatique et de vision. Dans ce contexte difficile, comme attesté par les différents directeurs du LIFO, j ai assuré la création et le développement d une activité et d une équipe : - En coopérant avec le laboratoire existant à Orléans et montant les financements pour avoir des doctorants (dossiers et contrats avec le CEA DAM, financements européens, nationaux, de la Région et du département). Pour cela, j ai mis en place les activités scientifiques garantissant la possibilité de thèses en adéquation avec les objectifs fixés et permettant d établir une image professionnelle pour une nouvelle thématique afin d obtenir la confiance des institutionnels et des industriels gérant les financements. - En assurant une autonomie financière à l équipe en obtenant des contrats ministériels, ANR et européen, des bourses de thèses Région et industriels, et des financements 6

13 récurrents (dotation du laboratoire). Il faut noter que ce n est pas évident pour une activité en sécurité qui était à construire. Les financements que j ai obtenus ont permis aux 6 permanents (2 PR et 4 MdC) d avoir des doctorants puisque je suis à l origine des financements de tous les doctorants de l équipe. - En établissant les thématiques et en s impliquant complètement sur le plan scientifique avec les doctorants et les chercheurs en donnant des idées, en réorientant le travail et faisant soi même une grande partie du travail de recherche. En effet, la cohérence scientifique dans une équipe au demeurant disparate, n est possible que par un travail scientifique qui provient du fondateur de l équipe. - En établissant une stratégie qui soit garante de qualité à long terme. Il s agit non seulement d établir des fondements scientifiques solides mais aussi des coopérations en ayant l appui des structures de recherche existantes. En effet, tous les doctorants ont été recrutés avec des financements qui par nature sont sélectifs (bourses CEA, ministère ou région, bourse du ministère de la recherche Japonaise, financement ministère de la recherche et ANRT). En 2003, j ai obtenu un financement de thèse du CEA DAM et de la région centre, pour Mathieu Blanc concernant la sécurité des clusters. Nous avons recruté deux Maîtres de Conférences, un à l ENSI de Bourges Zaïr Maazouzi, venant des contraintes et de l apprentissage statistique, et un autre Pierre Courtieu, venant de la vérification, pour l annexe de la Faculté des sciences d Orléans qui se trouve à Bourges. Malheureusement, Zaïr est décédé en septembre 2003 dès son arrivée à l ENSI. Je n ai donc pas pu bénéficier de son aide, ni pour l enseignement ni pour la recherche. En ce qui concerne, Pierre Courtieu, je l ai impliqué dans mes activités de recherche avec le CEA DAM. Et avec lui et Gaétan Hains, alors directeur du LIFO, nous avons commencé un premier travail autour de la vérification de la solution de méta-politique que nous avons défini avec Mathieu Blanc. Des premiers résultats ont été obtenus, attestés par plusieurs publications. Sur la base des résultats avec le CEA DAM, nous avons pu bénéficier d une bourse de thèse de la région Centre pour soutenir l activité de recherche en sécurité. Cette bourse a été attribuée au mérite à Jérémy Briffaut, qui était major du master recherche en informatique de Lille. Ainsi, j ai développé avec lui un travail dans la continuité de ce que nous faisions avec le CEA DAM. En 2004, sur le poste laissé vacant par Zaïr, un second Maître de Conférences a été recruté pour l ENSI de Bourges, Anas Abou El Kalam, ayant travaillé dans la sécurité mais sur des aspects bases de données assez différents de notre approche système. Anas Abou El Kalam a eu pas mal de travail lié à l enseignement et a continué à travailler sur ses propres sujets, sans tout à fait pouvoir contribuer au travail avec Jérémy Briffaut et Mathieu Blanc. En 2005, Pierre Courtieu a demandé, pour se rapprocher de sa femme, une mutation au CNAM à Paris, qu il a obtenu notamment du fait de plusieurs publications avec nous dans le domaine de la sécurité des systèmes. En 2005, deux nouveaux Maître de Conférences sont arrivés, Jean-François Lalande, issu des graphes, et Patrice Clemente, issu des interfaces homme-machine. Il a fallu non seulement former ces deux nouveaux Maître de Conférences, mais aussi leur permettre de contribuer à l équipe en place. C est ce que j ai fait via la coopération avec le CEA et grâce à l appui de Jérémy Briffaut. En 2006, David Teller, issu des modèles de parallélisme, est arrivé dans l équipe sur le poste laissé libre par Pierre Courtieu à l annexe de la fac des sciences de Bourges. David Teller a contribué au travail mené avec le CEA notamment sur des aspects analyse de programme source pour extraire des politiques de protection système. 7

14 Grâce à la réussite de la thèse de Mathieu Blanc qui a été recruté au CEA sur un poste de chercheur pour développer la recherche en sécurité, nous avons obtenu en 2007 une seconde bourse région pour Jonathan Rouzaud-Cornabas. J ai proposé un co-encadrement à Patrice Clemente. En 2007, j ai participé au recrutement de Pascal Berthomé, issu des graphes, sur un poste de Professeur. Pascal est arrivé pour prendre en charge la responsabilité pédagogique de la filière STI. Afin que Pascal se rattache à mon équipe en sécurité, et éviter un rattachement à l équipe graphe située à Orléans, je lui ai proposé trois encadrements de thèse pour lesquels j ai trouvé les candidats, les financements et défini les thématiques. C est ainsi qu il a pu notamment bénéficier en 2008 de la thèse de Xavier Kauffman avec une bourse CIFRE issue de la coopération que j ai monté avec Oberthur Card Systems, autour de la sécurité dans les systèmes d exploitation embarqués dans les cartes à puces. Je lui ai aussi confié l encadrement de la thèse de Nicolas Grenèche, ancien élève de l école et RSSI à l Université d Orléans, afin de permettre à Pascal Berthomé de se former à la sécurité avec l aide de Jérémy Briffaut comme co-encadrant. Il a enfin pu bénéficier d une bourse Ministère pour lequel j ai trouvé le candidat, Pierre Clairet, et le financement avec une bourse ministère en En 2008, nous avons réussi à conserver Jérémy Briffaut comme Maître de Conférences, bien que celui-ci ait été classé premier sur un poste dans une équipe INRIA à Orsay. Ce recrutement est essentiel pour le développement de la thématique de protection des systèmes. C est un élément clé et indispensable pour notre activité. En 2008, nous avons aussi recruté Yacine Zemali, issu du milieu industriel et du domaine de la planification. De 2008 à 2010, j ai quasiment consacré mon activité exclusivement au défi sécurité avec Jérémy Briffaut et Jonathan Rouzaud-Cornabas qui ont été les deux acteurs essentiels de cette réussite. Il faut bien comprendre que développer une solution de protection obligatoire qui protège efficacement un système d exploitation partagé par différents domaines est complexe. Il n y a, à notre connaissance, aucune solution équivalente à ce jour en terme de qualité protection, de facilité d administration et de légèreté de l approche. En 2009, j ai obtenu un nouveau financement de thèse du CEA. Les délais dans la procédure d habilitation défense, nous ont obligés à reconduire l opération pour démarrer la thèse sur l année J ai trouvé un candidat, Damien Gros, élève de la filière STI, qui a été accepté par le CEA pour effectuer sa thèse sous ma direction. Début 2010, j ai laissé la direction d équipe, pour me consacrer à l activité scientifique et passer moins de temps sur l activité d administration de l équipe. Il faut par exemple savoir qu en 8 ans, étant le seul professeur en 27 ième section de l école, j ai recruté 9 permanents avec en plus en moyenne deux ATER chaque année. Mon travail de direction de la recherche et de constitution d une équipe se déroule sur 10 ans. Il a conduit à la création d une approche de recherche proposant des fondements théoriques et permettant de traiter les vrais problèmes afin de fournir des solutions opérationnelles. Le démarrage d une thématique et d une équipe, au demeurant disparate, ne se marie pas forcément bien avec une activité de publications. Il est clair cependant que les résultats sont là et maintenant bien établis. Ils m ont permis de devenir l autorité française en matière de protection comme le dit Alcatel Lucent Bell Labs. Comme l atteste les lettres de recommandation jointes, j ai largement rempli mes missions en créant une équipe et une thématique reconnue pour laquelle je fais figure d autorité en France et dont les retombées commencent à être visibles à niveau européen et plus largement. Organisation colloques, conférences, journées d étude Depuis 2011, je suis membre du comité de programme du Workshop sur la Sécurité des Clouds SPCloud. 8

15 Co-organisateur de la session sur la sécurité au sein de Collaborative Technologies and Systems en 2004 et en 05, organisateur puis Chairman de COLSEC 2006, 2007, 2008, 2009 et Organisateur du 1 er Workshop on Security and High Performance Computing Systems en 2006 au sein de la Conference HPC&S, puis membre du comité de programme du Workshop on SHPCS en 2007, 2008, 2009, 2010 et Organisateur du premier Colloque sur les Risques et la Sécurité d Internet et des Systèmes CRISIS en Direction de thèses et autres travaux (détail en annexe) Il est à noter que tous mes doctorants ont des postes de chercheurs et que je continue à travailler et à développer des activités avec eux. C est, à mon sens, le seul critère valable d évaluation de la qualité d une direction de la recherche tant il est difficile d évaluer des taux d encadrement. Thèses de Période Financement Taux Débouché Doctorat Mathieu Blanc CEA et Région 100% Chercheur CEA, co-responsable du laboratoire commun en sécurité Jérémy Briffaut Région 80% Maître de Conférences à lʼensi de Bourges Pierre-Alain CG18 et Japon 50% Assistant Fayolle Professor Aizu Japon Jonathan Région 50% Post-Doc à lʼinria Rouzaud- Rhônes-Alpes et Cornabas qualifié MdC par le CNU 27 Damien Gros en cours Boursier CEA 50% Cette thèse est coencadrée DAM par Matieu Blanc et Jérémy Briffaut Maxime Fonda en cours Bourse cofinancée 50% Cette thèse est co- Région- encadrée par une QualʼNet personne de QualʼNet Benjamin Venelle en cours Bourse CIFRE 50% Cette thèse ANRT démarre, elle est co-encadrée par une personne dʼalcatel Lucent Bell Labs et par Jérémy Briffaut Réseaux de recherche Je participe via les projets ACI SATIN, ANR Sec&SI, Projet Européen Seed4C à différents partenariats académiques (INRIA, Université d Amsterdam, VTT en Finlande, ) et industrielles (CEA DAM, Oberthur Card Systems, Qual Net, Alcatel Lucent Bell Labs,, ). 9

16 Je participe actuellement dans le cadre du projet coopératif Seed4C sur la sécurité du Cloud au niveau européen, à la mise en place avec l INRIA Rhône Alpes d un groupe de réflexion composé d universitaires et industriels français acteurs dans le domaine de la sécurité du Cloud. Ce groupe de travail s insère dans un groupe de réflexion plus large au niveau européen sur la sécurité du Cloud qui sera mis en place durant le projet Seed4C. Gestion et valorisation de collections Rapporteur pour plusieurs conférences et revues spécialisées en sécurité dont Wiley Security and Communication Network et Annals of Telecommunications. 4. Valorisation de la recherche : Je suis à l origine des travaux de valorisation industrielle de l équipe SDS : - CEA DAM dès 2002 avec un accord cadre en 2007 renouvellé en Oberthur Card Systems en 2008 via le projet Gaspacio labellisé par le pôle de compétitivité Sytem@tic et la mise en place de la thèse CIFRE de Xavier Kauffmann - Qual Net en 2010 et la mise en place d une thèse co-financée - Alcatel Lucent Bell Labs en 2011 avec la mise en place d une CIFRE et d un projet européen Il est à noter que j ai monté un laboratoire commun avec le CEA DAM qui bénéficie d un accord cadre et de financements de thèses (une en 2003 et une en 2010). J ai aussi monté plusieurs projets nationaux dont l ACI SATIN, le projet SPACLik dont j ai eu la responsabilité dans le cadre du défi sécurité Sec&SI de l ANR et un projet européen Seed4C en De plus, je suis à l origine du projet SPIDware, qui a été lauréat en 2009 dans la catégorie en émergence du concours national d aide à la création d entreprises de technologies innovantes. Au delà de l activité de publication, mon travail de professeur a consisté depuis 2002 à monter un réseau de partenaires industriels et scientifiques pour faire de la valorisation et mettre en place une thématique originale sur la protection des systèmes d exploitation. 5. Rayonnement : échanges internationaux (participation à un réseau de recherche, invitations dans des universités étrangères ), expertise (organismes nationaux ou internationaux), responsabilités éditoriales, participation jury de thèse et de HDR, diffusion du savoir, responsabilités et activités au sein des sociétés savantes : Je coopère avec différentes universités étrangères notamment l université de Dayton et d Amsterdam avec Yuri Demtchenko. J ai contribué à l invitation de Jérémy Briffaut et de Jean- François Lalande, qui étaient membre de mon équipe comme doctorant et Maître de Conférences, dans ces deux universités. Cela a conduit à plusieurs publications pour les membres de mon équipe et moi même. J ai été rapporteur de 2 thèses passées au LORIA et à l INRIA Grenoble et membre du jury de 3 autres soutenues à Grenoble et au Laas. Sur l année universitaire , je suis rapporteur d une thèse au LIFC et d une au LaBRI, toutes deux dans le domaine de la sécurité. 10

17 Suite au défi sécurité, l Agence Nationale de la Recherche m a confié en 2011 l expertise de projets en sécurité dans le cadre du Programme Ingénierie Numérique et Sécurité. Enfin en 2012, je participe à la mise en place d un groupe de réflexion national sur la sécurité du Cloud. Ce groupe de réflexion va être constitué durant le projet européen Seed4C en partenariat avec l INRIA Rhône Alpes et Alcatel Lucent Bell Labs. Il permettra de contribuer à un groupe de réflexion international sur la sécurité du Cloud. Activités pédagogiques : 1. Présentation de l activité d enseignement : principaux enseignements en mettant l accent sur les matières enseignées, les pratiques pédagogiques, les responsabilités pédagogiques particulières : création d un enseignement, d une formation, direction d une équipe pédagogique (la rubrique 1 est limitée à 6000 caractères, blancs non compris, soit environ 2 pages) : J ai été recruté en septembre 2002 pour mettre en place une filière d enseignement en informatique au sein de l ENSI de Bourges. Cette filière est une formation spécialisée en sécurité informatique. La Commission des Titres d Ingénieurs a aussi demandé lors de l habilitation de cette filière à développer une activité de recherche en informatique en relation avec les domaines de formation. C est ce que j ai fait dans le cadre du LIFO en montant notamment un projet de recherche sur la sécurité des systèmes d exploitation en lien avec le CEA DAM. La responsabilité de cette filière a constitué une charge très lourde dans une école récente et au sein de laquelle j étais le seul enseignant en 27 ième section, elle a consisté à mettre en place un programme, constituer et diriger une équipe pédagogique. De 2002 à 2005, j ai assuré la direction opérationnelle de la filière, sachant que c est pendant les trois premières années que le plus gros travail de mise en place de la filière a eu lieu. En effet, c est durant ces trois années qu il a fallu définir des objectifs pédagogiques, un programme précis et une organisation des trois années de la formation qui permet d atteindre les objectifs. Durant trois ans, j ai donc dirigé cette filière et établi le programme pédagogique. Je n ai été appuyé qu à partir de 2004 par un Maître de Conférences en 27 ième section, puis par deux autres l année suivante. Cette filière a reposé pour l essentiel au début sur moi, quatre ATER en 27 ième section et un professeur cadre ENSAM. Cette situation atypique a demandé un investissement très important de ma part sur les trois premières années. Les tâches administratives que j ai menées durant les 3 années où j ai eu la responsabilité de la filière sont, en résumé, les suivantes : - mise en œuvre d un projet pédagogique (définition d un contenu, mise en œuvre d une pédagogie par les projets) - gestion des 3 années d enseignement (répartition des modules parmi les enseignants, gestion de l emploi du temps et de l organisation de l année, recrutement d enseignants vacataires) - participation aux concours de recrutements des élèves en classe préparatoire et sur titre - recrutement des maîtres de conférences et de plusieurs ATER en 27 ième section - encadrement des enseignants sous ma responsabilité - organisation des jurys de la filière STI - coordination des besoins matériels et logiciels pour la filière En 2005, j ai piloté le premier renouvellement de l habilitation du diplôme par la commission des titres d ingénieurs pour la filière STI et largement contribué au second. 11

18 Ce n est seulement qu à partir de la rentrée 2005 que j ai pu me consacrer plus efficacement au montage et à la direction d une véritable équipe de recherche. Par ailleurs, j ai dû en raison du manque d enseignants en informatique assurer un grand volume d enseignement de l ordre de 250 heures équivalent TD chaque année. Je n ai bénéficié d aucune décharge ou prise en compte horaire pour les activités administratives que j ai assurées. Je suis responsable de l option de 3 ième année Architecture et Sécurité des Systèmes dans laquelle j interviens et pour laquelle je cherche et coordonne des intervenants extérieurs. Durant les premières années et encore maintenant, j ai préparé de nouveaux enseignements afin de palier au manque de ressources et aux évolutions du personnel enseignant de la filière Sécurité et Techniques Informatiques. En effet, il a fallu que j adapte mes enseignements à ceux qu étaient capables les différents ATER qui ont constitués l essentiel de l équipe pédagogique les premières années. 2. Présentation synthétique des enseignements par niveau (L.M.D), par type de formation (formation initiale/continue, professionnelle, présentielle /à distance) et par nature (Cours, TD, TP, encadrement de travaux de fin d étude et de stages) : Depuis que je suis à l ENSI j ai eu la responsabilité de différents modules aussi bien pour la partie cours que TD sachant que les TDs se passent tous sur machine et demande un temps de préparation important et des évolutions chaque année. Je cite l ensemble des modules dont j ai eu la responsabilité et que j ai enseignés. Sachant qu actuellement, je n ai plus en charge qu une partie de ces modules, mais les cours et les TDs que j ai préparés ont servi de bases aux enseignants d informatique qui ont été progressivement recrutés. Chaque module présente un volume horaire pour les étudiants d une vingtaine d heures de cours et TD. Sachant que pour un module, j ai pu être amené à faire un groupe de TD voir deux selon les années et les promotions. A titre d information sur , j ai préparé deux nouveaux modules autour du Cloud et de la Sécurité. Le premier concerne les Systèmes répartis et les Clouds. Je fais le module entier dans l option 2SU de 3 ième année. Il présente les éléments de base des systèmes répartis, à savoir les appels de procédures distantes, les partages d information et les problèmes associés de cohérence et de pannes. Il introduit les architectures de Cloud du type IaaS, PaaS et SaaS. Il décrit et propose des expérimentations l environnement de Cloud OpenNebula. A ma connaissance, il doit s agir du premier module enseigné en France et proposant des expérimentations du Cloud OpenNebula. La préparation de ce seul module m a occupé quasiment un mois à temps plein pour mettre en place une plateforme opérationnelle d expérimentation. Le second concerne la Sécurité des systèmes virtualisés. J assure un demi module. Dans ce demi module, je traite essentiellement de l environnement de Cloud OpenNebula. Je présente comment est architecturée la sécurité du déploiement des images virtuelles et propose des expérimentations. De même, il doit s agir du premier module d enseignement proposant une expérimentation traitant de la sécurité d OpenNebula. Liste des principaux modules enseignés depuis 2002 : - programmation shell, en première année de l ENSI : donner les techniques de base de programmation du langage proposé par l interpréteur de commande traditionnel d Unix à savoir le Bourne shell. 12

19 - programmation système, en première année STI : présenter les appels systèmes Unix classiques et toutes les méthodes de communication entre processus (IPC) afin de maîtriser la programmation d application et services système. - programmation réseau, en première année STI : initier les étudiants au réseau, essentiellement Internet, via l apprentissage de l interface de programmation que constitue l API socket. Cette démarche est efficace mais particulièrement difficile pour l enseignant puisqu en même temps, on doit leur faire comprendre les mécanismes de base de réseau et leur apprendre à programmer des applications réseaux. - architecture des ordinateurs, en première année STI : introduction des différents composants matériels d une machine, processeur, bus, mémoire, entrées-sorties. Ce module présente aussi les méthodes d adressage, d interruption et d accès direct à la mémoire. - système d exploitation, en première puis en deuxième année STI : introduction des notions de bases de systèmes, noyau, entrées-sorties, système de fichiers, mémoire virtuelle, ordonnancement des processus, appels systèmes, etc. - réseau, en première puis en deuxième année STI: présentation du modèle OSI, de l architecture d Internet, détails des niveaux liaisons, réseau, transport et principe des couches hautes session, présentation et application. L essentiel des TD est d étudier l architecture d Internet et des notions fondamentales (connexions, fiabilité, débit utile, méthode d optimisation du débit, routage, transport, etc ). - administration système, en deuxième et troisième année STI : j ai donné quelques cours et TD d administration NFS, annuaire et d administration Unix. - administration réseau, en deuxième et troisième année STI : j ai donné quelques cours et TD essentiellement sur le routage, DHCP, le DNS. - réseau informatique, en première année MRI : le but de ce module est de faire une présentation pour des ingénieurs généralistes de ce qu est un réseau informatique. Le but est de leur faire appréhender concrètement l architecture d Internet et de leur apprendre à utiliser cette architecture via l administration de machine et la programmation avec l API socket. - Systèmes répartis, en troisième année STI : ce module donne les fondements de ce qu est un système réparti, présente tous les avantages, les impossibilités et les difficultés. Nous étudions les architectures et les techniques de base, client-serveur, mémoire répartie, traitement des défaillances, système transactionnel réparti, etc. - Ingénierie du Web, en deuxième année STI : ce module présente les principales architectures permettant de développer des applications Web. Il présente HTML, HTTP, JavaScript, DHTML, CSS, Ajax, Servlet Java, JavaServer Page et PHP. Les TD permettent d expérimenter différentes techniques, écriture HTML, JavaScript, CSS, PHP et JavaServer Page. Il présente aussi des outils comme Visual Studio pour la programmation HTML évènementielle. - XML, en deuxième année STI : ce module présente les principes de XML et ses différents composants, DTD, XSL, XML Schema, XPath, XSLT. Il présente les librairies de programmation XML comme les parseurs et transformateurs de document. - Services Web, en deuxième année STI : ce module donne les différents éléments d un service Web, SOAP, WSDL et annuaire UDDI. Il permet de pratiquer les différents API permettant d écrire un client ou serveur SOAP. Il offre aussi la possibilité d utiliser de façon comparée les outils de développements intégrés comme VisuaStudio, NetBean et Eclipse. - Sécurité Internet, en troisième année de l option Sécurité des Systèmes et des Réseaux de STI : j ai fait quelques cours de sécurité du Web et de sécurité du niveau réseaux IP, sachant que le reste du module est fait par des vacataires extérieurs. 13

20 - Sécurité des middlewares, en option Architecture et Sécurité des Systèmes : ce module présente les mécanismes de sécurité présents dans les différents middleware basés sur Java,.NET, XML et Corba. Il détaille la sécurité de Microsoft.NET et la sécurité des services Web. - Composants logiciels, en option Architecture et Sécurité des Logiciels : ce module présente l approche par composants présente dans Microsoft.NET. - Sécurité des applications, en option Architecture et Sécurité des Logiciels : ce module présente les mécanismes de sécurité associées aux applications Web notamment ASP.NET. La liste des modules que j enseigne actuellement est la suivante : Systèmes répartis et Cloud, Sécurité des systèmes virtualisés, programmation réseau, réseau, Projets de système et réseau, Ingénierie du Web, Services Web, Sécurité des middlewares. Responsabilités Collectives : 1. Présentation générale des responsabilités particulières (la rubrique 1 est limitée à 6000 caractères, blancs non compris, soit environ 2 pages) : Mes responsabilités sont passées d abord par la création d une filière d enseignement puis la création d une équipe. Elles m ont amené à participer à différents conseils (conseil de direction, scientifique, d administration, de laboratoire, de pôle de recherche) et aux commissions de spécialistes pour présenter et mettre en place les programmes ou les activités de recherche. J ai piloté la mise en place de la filière STI dont le contenu n a quasiment pas varié depuis. Je suis notamment à l origine de la mise en place d une pédagogie par les projets et de la constitution d un programme pédagogique adapté. J ai dirigé le premier renouvellement par la commission des titres de la filière STI et ai largement contribué au second. Il est utile de remarquer que durant les premières années de création de la filière, j ai réussi à amener celle-ci d un effectif initial de 17 étudiants à plus de 40 étudiants. Ces résultats n ont pas été dépassés depuis par mes successeurs. Nous avons aussi mis en place un double cursus recherche en informatique, dès 2002, en lien avec l Université d Orléans qui a permis à plusieurs étudiants de continuer en thèse. Par ailleurs, j ai géré différents budgets et contrats tant pour l enseignement que la recherche. J ai notamment obtenu les financements de 9 thèses : - Mathieu Blanc et Pierre-Alain Fayolles en Jérémy Briffaut en Jonathan Rouzaud-Cornabas en 2007 que j ai co-encadré avec Patrice Clémente - Xavier Kaufmann en 2008 que j ai délégué à Jean-François Lalande et à Pascal Berthomé - Pierre Clairet en 2009 dont j ai délégué la thèse à Pascal Berthomé - Damien Gros que je co-encadre avec Jérémy Briffaut - Maxime Fonda en Benjamin Venelle que je co-encadre avec Jérémy Briffaut en