Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

Dimension: px
Commencer à balayer dès la page:

Download "Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)"

Transcription

1 Travaux soutenus par l ANR Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting) 03 Avril 2012

2 1. Test de sécurité et génération de tests à partir de modèle 2. Le projet SecurTest à DGA Maîtrise de l information Retours d expérience 3. Du test des fonctions de sécurité au test de vulnérabilités 2 03 Avril 2012 Test de sécurité des systèmes d information

3 1- Test de sécurité et génération de tests à partir de modèle 3 03 Avril 2012 Test de sécurité des systèmes d information

4 Failles de sécurité Les failles de sécurité toujours à un haut niveau 4 03 Avril 2012 Test de sécurité des systèmes d information

5 Types de vulnérabilités 90 % des vulnérabilités proviennent de catégories de problèmes connus mais insuffisamment. Testés Une grande majorité des failles de sécurité provient d une mauvaise implémentation logicielle (Source SEI) Les failles de sécurité se situent actuellement beaucoup plus au niveau applicatif qu au niveau OS Overall Top Ten Vulnerability Classes of th WhiteHat Website Security Statistic Report 5 03 Avril 2012 Test de sécurité des systèmes d information

6 Test des exigences de sécurité Vise à tester le respect des propriétés de sécurité du système sous test : Confidentialité, Intégrité, Disponibilité. Exemples d objectifs de test: Est-ce qu il est possible de contourner les fonctions d authentification? Est-ce les protocoles de gestion des accès aux informations sont efficaces? Test de sécurité Test fonctionnel Cherche à détourner l usage des fonctions et services proposés par le système sous test S appuie sur une forte combinatoire mettant en œuvre de comportements applicatifs non prévus et/ou non autorisés 6 03 Avril 2012 Test de sécurité des systèmes d information

7 Les technologies pour le test de sécurité Source Projet ITEA2 Diamonds Multi-Domain Security Testing Technologies 7 03 Avril 2012 Test de sécurité des systèmes d information

8 Génération de tests à partir de modèle (test fonctionnel) Modélisation Modèle de test Spécifications Exigences Plan de test & Scripts de test Testeurs Traçabilité Génération de tests Publish Spécifications Model-based Testing Gestion des tests Experts Métier Analystes de test Automaticiens de test 8 03 Avril 2012 Test de sécurité des systèmes d information

9 Modélisation pour la génération de tests Modèle de processus métier Modèle des points de contrôle et d observation et des données logiques de test Modélisation des comportements et règles métier 9 03 Avril 2012 Test de sécurité des systèmes d information

10 Génération de tests de sécurité à partir de modèle Spécifications fonctionnelles Objectifs de test de sécurité Modèle comportemental Ingénieur test de sécurité Schémas de test Approche développée sur le projet DGA Secur_Test Génération de tests Publication Application Avril 2012 Test de sécurité des systèmes d information Exécution Référentiel de tests

11 2- Le projet SecurTest à DGA Maîtrise de l information : Retours d expérience Avril 2012 Test de sécurité des systèmes d information

12 Activités d évaluation de DGA MI Evaluer des composants, équipements, ou logiciels de sécurité dans un cadre réglementaire Utilisation importante de la cryptographie Besoin d un niveau de confiance élevé (minimum EAL4+) Formalisation des méthodes de validation et de vérification Analyse statique de code Exécution automatique des tests Génération de tests à partir des spécifications L intérêt de ces méthodes est double: Améliorer la confiance dans la qualité et la conformité du produit Dégager du temps pour les tests d efficacité des mécanismes de sécurité Avril 2012 Test de sécurité des systèmes d information

13 Objectifs du projet DGA SecurTest Test de composants de sécurité S assurer que les fonctions de sécurité sont correctement implémentées et robustes aux attaques S assurer que les propriétés de sécurité sont respectées: - Ex1 - Lors des opérations de configuration d'un équipement, les interfaces de communications doivent être inhibées. - Ex2 - Toute altération ou perte d'intégrité d'un élément sensible doit être détectée. Objectif de SecurTest Vérifier la capacité du MBT à répondre à ces problématiques Développer la techno sur les aspects sécurité Applications sur des composants matériel et logiciel Bibliothèque cryptographique (développée en C) Composant matériel (type FPGA) Avril 2012 Test de sécurité des systèmes d information

14 Modèle pour la génération de tests Vue statique - UML - Modélisation des données logiques de test - Modélisation des points de contrôle et d observation -Modélisation de l environnement de la cible Avril 2012 Test de sécurité des systèmes d information

15 Modèle pour la génération de tests Vue dynamique - OCL - Modélisation des comportements à tester, en tenant compte des propriétés de sécurité considérées - Gestion des cas d erreurs multiples (n-wise) - Configurabilité du modèle pour gérer l explosion combinatoire Avril 2012 Test de sécurité des systèmes d information

16 Expression des propriétés de sécurité sous la forme de schémas - Piloter la génération pour couvrir les propriétés de sécurité - Un schéma est un meta scénario de test - Itération des objectifs, comportements, opérations - Un schéma de test pilote la génération d un ensemble de tests (plusieurs dizaines ou plus) Avril 2012 Test de sécurité des systèmes d information

17 Validations de l approche par injection d erreurs Objectif: Vérifier la capacité de l approche MBT à détecter des erreurs Protocole Exécution des tests sur une version de référence instrumentée Introduction d erreurs par le développeur dans le code Comparaison des résultats des exécutions sur les 2 versions et localisation des erreurs Résultats On constate des erreurs dans le modèle, dans la documentation ou dans le banc de test ( Tester les tests!!!) Après corrections, toutes les erreurs détectables sont détectées Avril 2012 Test de sécurité des systèmes d information

18 Synthèse et résultats du projet SecurTest Le MBT nécessite un processus mature et un environnement de test outillé tests générés et exécutés automatiquement Nécessite puissance de calcul et maîtrise 120 h.jour pour modéliser la librairie et exécuter les 2500 tests 4 propriétés de sécurité couvertes Gain notable de couverture des comportements et du code La modélisation peut intervenir dès la phase de spécification Réduit le chemin critique et améliore la qualité globale L approche par schéma est pertinente mais doit être affinée Avril 2012 Test de sécurité des systèmes d information

19 Synthèse et résultats du projet SecurTest Le MBT nécessite un processus mature et un environnement de test outillé tests générés et exécutés automatiquement Nécessite puissance de calcul et maîtrise 120 h.jour pour modéliser la librairie et exécuter les 2500 tests 4 propriétés de sécurité couvertes Gain notable de couverture des comportements et du code La modélisation peut intervenir dès la phase de spécification Réduit le chemin critique et améliore la qualité globale L approche par schéma est pertinente mais doit être affinée Il est essentiel de tester les tests Avril 2012 Test de sécurité des systèmes d information

20 3- Du test des fonctions de sécurité au test de vulnérabilités Avril 2012 Test de sécurité des systèmes d information

21 Analyse de vulnérabilités et utilisation de patterns de test Analyse de vulnérabilités Spécifications fonctionnelles Modèle comportemental Ingénieur test de sécurité Pilotage du test de sécurité par des patterns de test Génération de tests Publication Patterns de test de vulnérabilités Application Avril 2012 Test de sécurité des systèmes d information Exécution Référentiel de tests

22 Les Prochaines étapes Pré-standardisation et définition de patterns de test pour les vulnérabilités les plus fréquentes (sur application web: Cross-scripting, SQL Injection, ) Synthèse d une partie de la modélisation comportementale par l analyse du code de l application (sur application web : remontée du graphe d appel) Définition des indicateurs de couverture de vulnérabilités et remontée du suivi de couverture Avril 2012 Test de sécurité des systèmes d information

23 Synthèse Génération de tests pour le test de propriétés de sécurité Mais aussi: Test applicatif couverture des exigences fonctionnelles Test de bout-en-bout couverture des cas d utilisation et des processus métiers Test ERP Test de montée de version, déploiement de module, Intégration système au sein du SI Avril 2012 Test de sécurité des systèmes d information

Des exigences aux tests Génération de tests à partir des processus et règles métier (Model-Based Testing)

Des exigences aux tests Génération de tests à partir des processus et règles métier (Model-Based Testing) Des exigences aux tests Génération de tests à partir des processus et règles métier (Model-Based Testing) Bruno LEGEARD JDEV 2013 4-6 septembre 2013 Sommaire Partie I Introduction au Model-Based Testing

Plus en détail

Qu est ce que le Model Based Testing? Bertrand Cornanguer 7 juin 2013 Journées scientifiques Nantes

Qu est ce que le Model Based Testing? Bertrand Cornanguer 7 juin 2013 Journées scientifiques Nantes Qu est ce que le Model Based Testing? Bertrand Cornanguer 7 juin 2013 Journées scientifiques Nantes 1 Sommaire Partie I Introduction au Model-Based Testing Comprendre ce qu est le Model Based Testing Le

Plus en détail

CONCEPTS ET MISE EN PRATIQUE POUR LA VALIDATION DE GRANDS SYSTÈMES

CONCEPTS ET MISE EN PRATIQUE POUR LA VALIDATION DE GRANDS SYSTÈMES MODEL-BASED TESTING (MBT) CONCEPTS ET MISE EN PRATIQUE POUR LA VALIDATION DE GRANDS SYSTÈMES Le Model-Based Testing est une pratique de test en plein développement dans l'industrie pour accroitre l'efficacité

Plus en détail

Des processus métier et exigences aux tests pour les grands systèmes complexes

Des processus métier et exigences aux tests pour les grands systèmes complexes Des processus métier et exigences aux tests pour les grands systèmes complexes ------ Etude de cas écomouv Séminaire In'Tech INRIA Grenoble Validation formelle de systèmes industriels critiques 18 avril

Plus en détail

Table des matières. Chapitre 1. Introduction... 13 1.1. Objectif... 13 1.2. Rappel... 15 1.3. Synthèse... 16 1.4. Bibliographie...

Table des matières. Chapitre 1. Introduction... 13 1.1. Objectif... 13 1.2. Rappel... 15 1.3. Synthèse... 16 1.4. Bibliographie... Table des matières Chapitre 1. Introduction... 13 1.1. Objectif... 13 1.2. Rappel... 15 1.3. Synthèse... 16 1.4. Bibliographie... 17 Chapitre 2. Du système au logiciel... 19 2.1. Introduction... 19 2.2.

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

Industrialisation des développements

Industrialisation des développements Industrialisation des développements NovaForge, l usine de développement logiciel de Bull Emmanuel Rias emmanuel.rias@bull.net 1 Agenda Introduction NovaForge Processus d un projet dans NovaForge et Fonctionnalités

Plus en détail

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet

ActiveSentry : le monitoring permanent de la sécurits. curité des architectures Internet ActiveSentry : le monitoring permanent de la sécurits curité des architectures Internet OSSIR 11/09/2001 Fabrice Frade Directeur Technique Intranode 2001 Qui est Intranode? Intranode est un éditeur d une

Plus en détail

Sécurité des systèmes informatiques Introduction

Sécurité des systèmes informatiques Introduction Année 2008-2009 Sécurité des systèmes informatiques Introduction Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 1 Système d'information et système informatique

Plus en détail

Table des matières. Première partie Situation du test fonctionnel. Préface... Avant-propos...

Table des matières. Première partie Situation du test fonctionnel. Préface... Avant-propos... Préface..................................................................... Avant-propos................................................................ III XIII Première partie Situation du test fonctionnel

Plus en détail

Extrait du référentiel Métiers de la Branche :

Extrait du référentiel Métiers de la Branche : OPIIEC OBSERVATOIRE PARITAIRE DES METIERS DE L, DE L INGENIERIE, DES ETUDES ET DU CONSEIL REFERENTIEL METIERS Extrait du référentiel Métiers de la Branche : Etudes et développement Référentiel Métiers

Plus en détail

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? Revue de code Sécuritéou Test d Intrusion Applicatif Quel est le plus efficace pour évaluer un niveau de sécurité applicatif? http://www.google.fr/#q=sebastien gioria Responsable de la branche Audit S.I

Plus en détail

S26B. Démarche de de sécurité dans les projets

S26B. Démarche de de sécurité dans les projets S26B Démarche de de sécurité dans les projets Théorie et et réalité Patrick CHAMBET Bouygues Telecom http://www.chambet.com Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com

Plus en détail

Modélisation des Systèmes d Information Jean-Yves Antoine

Modélisation des Systèmes d Information Jean-Yves Antoine Modélisation des Systèmes d Information Jean-Yves Antoine http://www.info.univ-tours.fr/~antoine Processus de développement logiciel Jean-Yves Antoine U. Bretagne Sud - UFR SSI - IUP Vannes année 2001-2002

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Description et illustration du processus unifié

Description et illustration du processus unifié USDP Description et illustration du processus unifié Définit un enchaînement d activités Est réalisé par un ensemble de travailleurs Avec des rôles, des métiers Avec pour objectifs de passer des besoins

Plus en détail

Présentation du Programme Régional de Formations Qualifiantes

Présentation du Programme Régional de Formations Qualifiantes Présentation du Programme Régional de Formations Qualifiantes Le Programme Régional de Formations Qualifiantes (PRFQ) a pour objectif d aider les ligériens à accéder et à se maintenir dans un emploi durable

Plus en détail

OWASP ASVS Application Security Verification Standard. Antonio Fontes Chapter Meeting - 19 octobre 2015 OWASP Geneva Chapter

OWASP ASVS Application Security Verification Standard. Antonio Fontes Chapter Meeting - 19 octobre 2015 OWASP Geneva Chapter OWASP ASVS Application Security Verification Standard Antonio Fontes Chapter Meeting - 19 octobre 2015 OWASP Geneva Chapter Bio Antonio Fontes Sécurité et protection des données dans les opérations de

Plus en détail

Contexte et motivations Les techniques envisagées Evolution des processus Conclusion

Contexte et motivations Les techniques envisagées Evolution des processus Conclusion Vérification de logiciels par analyse statique Contexte et motivations Les techniques envisagées Evolution des processus Conclusion Contexte et motivations Specification Design architecture Revues and

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1 OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur

Plus en détail

Sécurité de la plate-forme d exécution Java : limites et proposition d améliorations

Sécurité de la plate-forme d exécution Java : limites et proposition d améliorations Sécurité de la plate-forme d exécution Java : limites et proposition d améliorations Guillaume Hiet, Frédéric Guihéry, Goulven Guiheux, David Pichardie, Christian Brunette AMOSSYS-INRIA-SILICOM 10 juin

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Modèle d implémentation

Modèle d implémentation Modèle d implémentation Les packages UML: Unified modeling Language Leçon 5/6-9-16/10/2008 Les packages - Modèle d implémentation - Méthodologie (RUP) Un package ou sous-système est un regroupement logique

Plus en détail

Les Bonnes PRATIQUES DU TEST LOGICIEL

Les Bonnes PRATIQUES DU TEST LOGICIEL Les Bonnes PRATIQUES DU TEST LOGICIEL SOMMAIRE Qu est-ce que le test logiciel? Pourquoi le test est-il un maillon crucial de l ingénierie logicielle? Quels sont les différents types de tests? Qu est-ce

Plus en détail

LDS A ASTRIUM SAS. Eric Conquet Division Produits et Intégration Avionique

LDS A ASTRIUM SAS. Eric Conquet Division Produits et Intégration Avionique LDS A ASTRIUM SAS Eric Conquet Division Produits et Intégration Avionique Sommaire 1 Introduction Problématique 2 Les expériences opérationnelles DDV, COF-VTC, SRI Ariane5 3 Projet SPACES Génération automatique

Plus en détail

Evaluation de la Sûreté de Fonctionnement des logiciels du SAET Météor : Bilan et perspectives

Evaluation de la Sûreté de Fonctionnement des logiciels du SAET Météor : Bilan et perspectives Evaluation de la Sûreté de Fonctionnement des logiciels du SAET Météor : Bilan et perspectives Loïc PELHATE Responsable de l Atelier de Qualification des Logiciels de la RATP (AQL) PLAN La sécurité du

Plus en détail

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques

OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OWASP Top Ten 2013 Les dix risques de sécurité applicatifs Web les plus critiques OSSIR Paris / 14 janvier 2014 Guillaume Lopes Consultant Sécurité Guillaume.Lopes@Intrinsec.com 14 janvier 2014 1 Qui suis-je?

Plus en détail

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel :

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel : La méthode ITIL plan Introduction C est quoi ITIL? Utilisation d ITIL Objectifs Les principes d ITIL Domaines couverts par ITIL Les trois versions d ITIL Pourquoi ITIL a-t-il tant de succès Inconvénients

Plus en détail

Projet : Plan Assurance Qualité

Projet : Plan Assurance Qualité Projet : Document : Plan Assurance Qualité 2UP_SPEC_DEV1 VERSION 1.00 Objet Ce document a pour objectif de définir la démarche d analyse et de conception objet ainsi les activités liées. Auteur Eric PAPET

Plus en détail

6761 Validation de la conformité 21.03.2007

6761 Validation de la conformité 21.03.2007 6761 Validation de la conformité 21.03.2007 Peter DAEHNE 1 Tests de stress Les tests de stress permettent d étudier le comportement du logiciel lorsque celui-ci est mis dans des situations extrêmes, aux

Plus en détail

Unité de formation 1 : Structurer une application. Durée : 3 semaines

Unité de formation 1 : Structurer une application. Durée : 3 semaines PROGRAMME «DEVELOPPEUR LOGICIEL» Titre professionnel : «Développeur Logiciel» Inscrit au RNCP de niveau III (Bac+2) (JO du 23 Octobre 2007) (32 semaines) Unité de formation 1 : Structurer une application

Plus en détail

Linux Expo 2010. Gestion des Identités et des Accès. Le 16 mars 2010. Arismore

Linux Expo 2010. Gestion des Identités et des Accès. Le 16 mars 2010. Arismore Linux Expo 2010 Le 16 mars 2010 Arismore 1 Agenda Arismore Vision fonctionnelle de la gestion des identités Positionnement de l open source 2 Spécialiste de la gestion des accès et des identités Société

Plus en détail

Formations Méthode et conduite de projet

Formations Méthode et conduite de projet Formations Méthode et conduite de projet Présentation des formations Qualité et Conduite de projets Mettre en place et gérer un projet SI nécessite diverses compétences comme connaître les acteurs, gérer

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Méthode de Test. Pour WIKIROUTE. Rapport concernant les méthodes de tests à mettre en place pour assurer la fiabilité de notre projet annuel.

Méthode de Test. Pour WIKIROUTE. Rapport concernant les méthodes de tests à mettre en place pour assurer la fiabilité de notre projet annuel. Méthode de Test Pour WIKIROUTE Rapport concernant les méthodes de tests à mettre en place pour assurer la fiabilité de notre projet annuel. [Tapez le nom de l'auteur] 10/06/2009 Sommaire I. Introduction...

Plus en détail

Livre Blanc. Optimiser la gestion et le pilotage des opérations. Août 2010

Livre Blanc. Optimiser la gestion et le pilotage des opérations. Août 2010 Livre Blanc Optimiser la gestion et le pilotage des opérations Août 2010 Un livre blanc édité par : NQI - Network Quality Intelligence Tél. : +33 4 92 96 24 90 E-mail : info@nqicorp.com Web : http://www.nqicorp.com

Plus en détail

ISTQB Agile Tester en quelques mots ISTQB Marketing Working Group

ISTQB Agile Tester en quelques mots ISTQB Marketing Working Group ISTQB Agile Tester en quelques mots ISTQB Marketing Working Group Mai 2014 Qu est-ce que l ISTQB? ISTQB : International Software Testing Qualifications Board (www.istqb.org): Association sans but lucratif

Plus en détail

PREMIER MINISTRE NOTE D APPLICATION

PREMIER MINISTRE NOTE D APPLICATION PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 15 mai 2006 N 1083/SGDN/DCSSI/SDR Référence : NOTE/06.1 NOTE D APPLICATION

Plus en détail

Environnements de Développement

Environnements de Développement Institut Supérieur des Etudes Technologiques de Mahdia Unité d Enseignement: Environnements de Développement Mme BEN ABDELJELIL HASSINE Mouna m.bnaj@yahoo.fr Développement des systèmes d Information Syllabus

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

LA PROTECTION DES DONNÉES

LA PROTECTION DES DONNÉES LA PROTECTION DES DONNÉES PROTECTION DES BASES DE DONNÉES 22/11/2012, Swissôtel Métropole INTRODUCTION UNE CIBLE DE CHOIX Contient énormément de données confidentielles Rarement protégée autrement que

Plus en détail

SAR-SSI, La Rochelle 20/05/2011

SAR-SSI, La Rochelle 20/05/2011 Certification de Sécurité de Premier Niveau Une réponse pragmatique aux besoins du marché civil SAR-SSI, La Rochelle 20/05/2011 Frédéric Rémi - frederic.remi@amossys.fr ACCREDITATION N 1-2190 PORTEE DISPONIBLE

Plus en détail

Stratégie projet pour valoriser l'apport des technologies mobiles. Fréderic FADDA. Mobility GBS Leader, IBM

Stratégie projet pour valoriser l'apport des technologies mobiles. Fréderic FADDA. Mobility GBS Leader, IBM Stratégie projet pour valoriser l'apport des technologies mobiles Fréderic FADDA Mobility GBS Leader, IBM L introduction des technologies Mobiles, un accélérateur Business, Opérationnel et IT L introduction

Plus en détail

Développement logiciel pour l Architecture Orientée Services avec IBM Rational Software Development Platform

Développement logiciel pour l Architecture Orientée Services avec IBM Rational Software Development Platform IBM Software Group Développement logiciel pour l Architecture Orientée Services avec IBM Rational Software Development Platform Thierry Bourrier, Techical Consultant thierry.bourrier@fr.ibm.com L Architecture

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Stratégies opérationnelles SSI Gouvernance et traçabilité des postes CHU Nice

Stratégies opérationnelles SSI Gouvernance et traçabilité des postes CHU Nice Gouvernance et Sécurité des Systèmes d information Marseille- 7 juin 2011 Stratégies opérationnelles SSI Gouvernance et traçabilité des postes CHU Nice Gouvernance et traçabilité des postes? Gouverner

Plus en détail

FILIÈRE METHODOLOGIE & PROJET

FILIÈRE METHODOLOGIE & PROJET FILIÈRE METHODOLOGIE & PROJET 109 Gestion de projet METHODOLOGIE ET PROJET Durée 3 jours Conduite de projet COND-PRO s Intégrer les conditions de réussite d une démarche de management par projet. Impliquer

Plus en détail

SOA et Services Web. 23 octobre 2011. SOA: Concepts de base

SOA et Services Web. 23 octobre 2011. SOA: Concepts de base SOA et Services Web 23 octobre 2011 1 SOA: Concepts de base 2 Du client serveur à la SOA N est Nest pas une démarche entièrement nouvelle: années 1990 avec les solutions C/S Besoins d ouverture et d interopérabilité

Plus en détail

B : Une méthode de développement de logiciels sûrs

B : Une méthode de développement de logiciels sûrs B : Une méthode de développement de logiciels sûrs Loïc PELHATE, Responsable de l Atelier des Logiciels de Sécurité de l Ingénierie du Transport Ferroviaire loic.pelhate@ratp.fr 9/11/01 1 1 Plan Contexte

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

DU MODÈLE À LA PLATE-FORME EMBARQUÉE

DU MODÈLE À LA PLATE-FORME EMBARQUÉE 1 DU MODÈLE À LA PLATE-FORME EMBARQUÉE Versailles, 29 novembre 2011 Journée «Des spécifications à la validation temps réel» 2 DU MODÈLE À LA PLATE-FORME EMBARQUÉE Versailles, 29 novembre 2011 UTILISATION

Plus en détail

Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton

Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton Lyon, le 25 février 2009 Introduction à la gestion des identités et des accès Enjeux et objectifs Les

Plus en détail

OPTIMISER SON PROCESSUS DE TEST AVEC UNE APPROCHE BOITE GRISE

OPTIMISER SON PROCESSUS DE TEST AVEC UNE APPROCHE BOITE GRISE OPTIMISER SON PROCESSUS DE TEST AVEC UNE APPROCHE BOITE GRISE Retour d expérience Benjamin Boutin QA Manager S2E www.s2e-services-epargne-entreprise.com Marc Rambert Director Dynamic Testing Solution Coverity/Synopsys

Plus en détail

Les méthodes formelles dans le cycle de vie. Virginie Wiels ONERA/DTIM Virginie.Wiels@onera.fr

Les méthodes formelles dans le cycle de vie. Virginie Wiels ONERA/DTIM Virginie.Wiels@onera.fr Les méthodes formelles dans le cycle de vie Virginie Wiels ONERA/DTIM Virginie.Wiels@onera.fr Plan Introduction Différentes utilisations possibles Différentes techniques pour différentes propriétés à différents

Plus en détail

Christophe Pagezy Directeur Général christophe.pagezy@provenrun.com Mob: 06 2101 6218

Christophe Pagezy Directeur Général christophe.pagezy@provenrun.com Mob: 06 2101 6218 Christophe Pagezy Directeur Général christophe.pagezy@provenrun.com Mob: 06 2101 6218 77, avenue Niel, 75017 Paris, France Prove & Run - CONFIDENTIEL 1 La sécurité des objets connectés : problématiques

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

INDUSTRIALISATION ET RATIONALISATION

INDUSTRIALISATION ET RATIONALISATION INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements

Plus en détail

Présentation de la Gestion des Exigences (REQM) SopraGroup / Direction de la Transformation et de la Performance : Qualité, Méthode & Outils

Présentation de la Gestion des Exigences (REQM) SopraGroup / Direction de la Transformation et de la Performance : Qualité, Méthode & Outils emedia Présentation de la Gestion des Exigences (REQM) SopraGroup / Direction de la Transformation et de la Performance : Qualité, Méthode & Outils Unissons nos Talents T A L E N T E D T O G E T H E R

Plus en détail

PROJET D INTEGRATION DE DEVELOPPEMENT

PROJET D INTEGRATION DE DEVELOPPEMENT MINISTERE DE LA COMMUNAUTE FRANCAISE ADMINISTRATION GENERALE DE L ENSEIGNEMENT ET DE LA RECHERCHE SCIENTIFIQUE ENSEIGNEMENT DE PROMOTION SOCIALE DE REGIME 1 DOSSIER PEDAGOGIQUE UNITE DE FORMATION PROJET

Plus en détail

Semarchy Convergence for MDM La Plate-Forme MDM Évolutionnaire

Semarchy Convergence for MDM La Plate-Forme MDM Évolutionnaire FICHE PRODUIT Semarchy Convergence for MDM La Plate-Forme MDM Évolutionnaire BENEFICES POUR LES DSI Réussir les projets de gouvernance dans les délais et les budgets Démarrer de manière tactique tout en

Plus en détail

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ?

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? L a montée en puissance des fuites de données en tout genre et l explosion des volumes de données

Plus en détail

Formation e-commerce Développeur Sécurité

Formation e-commerce Développeur Sécurité Page 1 sur 6 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Formation e-commerce Développeur Sécurité Développeur indépendant ou en

Plus en détail

Les Logiciels Libres au Service de la Sécurité

Les Logiciels Libres au Service de la Sécurité Retour d expérience sur le déploiement de logiciels libres pour la sécurité des systèmes d information cedric.blancher@eads.net -- http://sid.rstack.org/ Centre Commun de Recherche EADS FRANCE Journée

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Pourquoi et comment tester aujourd hui?

Pourquoi et comment tester aujourd hui? Pourquoi et comment tester aujourd hui??"?"?" ("?"?" Fabrice Bouquet Séminaire "Informatique Scientifique de Besançon" 3 Décembre 2015 INRIA / CNRS Université de Franche-Comté Fabrice Bouquet Test 1 /

Plus en détail

Licence en Informatique à Horraire Décalé. Cours Gestion de projet informatique Première partie

Licence en Informatique à Horraire Décalé. Cours Gestion de projet informatique Première partie Licence en Informatique à Horraire Décalé Cours Gestion de projet informatique Première partie 1 PLAN Introduction 1. Les concepts de base en management de projet : 3-33 2 Les processus du management de

Plus en détail

Customisation Rhapsody et Henri BOULOUET DITV/AEEV/EECH. approche méthodologique

Customisation Rhapsody et Henri BOULOUET DITV/AEEV/EECH. approche méthodologique Customisation Rhapsody et approche méthodologique Retour d expérience sur l implémentation d un langage et profil UML associé 1 Sommaire Principe d un développement méthodologique Evocation d ISR (Ingénierie

Plus en détail

Rendez-vous la liberté avec Rational Quality Manager

Rendez-vous la liberté avec Rational Quality Manager IBM Software Group RAT02 Rendez-vous la liberté avec Rational Quality Manager Bernard Dupré IBM Rational IT Specialist 2008 IBM Corporation Envisager une plateforme qui change la production de logiciels

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

Vérifier la qualité de vos applications logicielle de manière continue

Vérifier la qualité de vos applications logicielle de manière continue IBM Software Group Vérifier la qualité de vos applications logicielle de manière continue Arnaud Bouzy Kamel Moulaoui 2004 IBM Corporation Agenda Analyse de code Test Fonctionnel Test de Performance Questions

Plus en détail

CHOISIR UN TEST A EXECUTER

CHOISIR UN TEST A EXECUTER CHOISIR UN TEST A EXECUTER Suivez le rythme rapide des cycles de publication. Découvrez l automatisation et ses interactions humaines. EXÉCUTER UN TEST 03082015 Borland permet à tous les intervenants,

Plus en détail

Programme de formation " ITIL Foundation "

Programme de formation  ITIL Foundation Programme de formation " ITIL Foundation " CONTEXTE Les «Référentiels» font partie des nombreux instruments de gestion et de pilotage qui doivent se trouver dans la «boite à outils» d une DSI ; ils ont

Plus en détail

Modélisation objet Le langage UML

Modélisation objet Le langage UML Modélisation objet Le langage UML Brahim HAMID La base de contrôle Robot Zone à explorer brahim.hamid@irit.fr brahim.hamid@univ-tlse2.fr http://mass-cara.univ-tlse2.fr/~brahimou/ens/uml 1 Les méthodes

Plus en détail

Retour d expérience RATP. Intégrer le test de performance au cœur du processus de développement agile. Challenges, techniques, résultats.

Retour d expérience RATP. Intégrer le test de performance au cœur du processus de développement agile. Challenges, techniques, résultats. Retour d expérience RATP Intégrer le test de performance au cœur du processus de développement agile. Challenges, techniques, résultats. Les intervenants Alexis Bourgeois Chef de projet MOE (front web)

Plus en détail

Développement itératif, évolutif et agile

Développement itératif, évolutif et agile Document Développement itératif, évolutif et agile Auteur Nicoleta SERGI Version 1.0 Date de sortie 23/11/2007 1. Processus Unifié Développement itératif, évolutif et agile Contrairement au cycle de vie

Plus en détail

COMPLIANCE Consulting. Gardez la Maîtrise de vos Exigences. 18 mai 2011

COMPLIANCE Consulting. Gardez la Maîtrise de vos Exigences. 18 mai 2011 COMPLIANCE Consulting Gardez la Maîtrise de vos Exigences 18 mai 2011 Présentation Société Société Société de conseil spécialisée dans le transfert de technologies en matière de processus, de méthodes

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

DEMARCHE OU PROCESSUS LOGICIEL

DEMARCHE OU PROCESSUS LOGICIEL DEMARCHE OU PROCESSUS LOGICIEL PROCESSUS LOGICIEL Définition Un processus définit une séquence d étapes, en partie ordonnées, qui concourent à l obtention d un système logiciel ou à l évolution d un système

Plus en détail

Rédaction du Document de Spécifications Logiciel

Rédaction du Document de Spécifications Logiciel Rédaction du Document de Spécifications Logiciel Instruction Générale Qualité Version : 1.1 Nombre de pages : 12 Référence : referentiel_qualite/dsl.plan_type.doc UV UMLP Département ASI INSA-ROUEN BP

Plus en détail

Modélisation comportementale pour l ingénierie système

Modélisation comportementale pour l ingénierie système Modélisation comportementale pour l ingénierie système Contexte étude Système à spécifier L inverseur de source Objectif Capter et formaliser les besoins Produire les spécifications du système Valider

Plus en détail

Eclipse Process Framework et Telelogic Harmony/ITSW

Eclipse Process Framework et Telelogic Harmony/ITSW Eclipse Process Framework et Telelogic Harmony/ITSW Boris Baldassari 1 Résumé Une introduction à Eclipse Process Framework (EPF) et au processus OpenUP, et comment tirer profit de ces initiatives dans

Plus en détail

Chef de projet H/F. Vous avez au minimum 3 ans d expérience en pilotage de projet de préférence dans le monde du PLM et de management d équipe.

Chef de projet H/F. Vous avez au minimum 3 ans d expérience en pilotage de projet de préférence dans le monde du PLM et de management d équipe. Chef de projet H/F Dans le cadre de nos activités pour un de nos clients, CIMPA recherche un chef de projet H/F. - Planifier l ensemble des phases du projet - Piloter l équipe dédiée au projet - Garantir

Plus en détail

VALIDATION DES ACQUIS DE L EXPERIENCE (VAE) Expert en ingénierie du logiciel. 1) Conditions de recevabilité de la demande des candidats

VALIDATION DES ACQUIS DE L EXPERIENCE (VAE) Expert en ingénierie du logiciel. 1) Conditions de recevabilité de la demande des candidats VALIDATION DES ACQUIS DE L EXPERIENCE (VAE) Expert en ingénierie du logiciel 1) Conditions de recevabilité de la demande des candidats Le candidat souhaitant acquérir le titre professionnel d Expert en

Plus en détail

TITRE DE LA PRÉSENTATION > TITRE DE LA PARTIE CONSEIL D ADMINISTRATION PRÉSENTATION DE LA CARTOGRAPHIE DES RISQUES 26 MAI 2015

TITRE DE LA PRÉSENTATION > TITRE DE LA PARTIE CONSEIL D ADMINISTRATION PRÉSENTATION DE LA CARTOGRAPHIE DES RISQUES 26 MAI 2015 TITRE DE LA PRÉSENTATION > TITRE DE LA PARTIE CONSEIL D ADMINISTRATION PRÉSENTATION DE LA CARTOGRAPHIE DES RISQUES 26 MAI 2015 Présentation de la cartographie des risques 22/05/2015 Avant toute chose,

Plus en détail

La Certification de la Sécurité des Automatismes de METEOR

La Certification de la Sécurité des Automatismes de METEOR 1 La Certification de la Sécurité des Automatismes de METEOR 2 un mot sur METEOR 3 Le projet METEOR, c'est... un système automatique complexe fortement intégré matériel roulant, équipements électriques,

Plus en détail

OFFRE DE FORMATION L.M.D.

OFFRE DE FORMATION L.M.D. REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE MINISTERE DE L ENSEIGNEMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE OFFRE DE FORMATION L.M.D. MASTER PROFESSIONNEL ET ACADEMIQUE Systèmes d Information

Plus en détail

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES Introduction : Le management des risques est un processus qui permet au Business Manager d équilibrer les coûts économiques et opérationnels et faire du

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

Next Generation Application Security. Catalogue des formations

Next Generation Application Security. Catalogue des formations Next Generation Application Security Catalogue des formations Nbr de jours Janvier Février Mars Avril Mai Juin Juillet Août Septembre Octobre Novembre Décembre PLANNING DES FORMATIONS 2015 Denyall Web

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard

Plus en détail

Virtualisation et sécurité Retours d expérience

Virtualisation et sécurité Retours d expérience Virtualisation et sécurité Retours d expérience Hervé Hosy Sylvain Pouquet 8 juin 2009 Forum Cert-IST - Virtualisation et sécurité Page 1 Agenda 2 retours d expérience abordés Client bancaire : étude de

Plus en détail

Méthodes de test. Mihaela Sighireanu

Méthodes de test. Mihaela Sighireanu UFR d Informatique Paris 7, LIAFA, 175 rue Chevaleret, Bureau 6A7 http://www.liafa.jussieu.fr/ sighirea/cours/methtest/ Partie I 1 Propriétés 2 Un peu de génie logiciel de test 3 Eléments Problèmes Point

Plus en détail

AVATAR. Un profil SysML temps réel outillé

AVATAR. Un profil SysML temps réel outillé AVATAR Un profil SysML temps réel outillé Ludovic Apvrille, Pierre de Saqui-Sannes ludovic.apvrille@telecom-paristech.fr pdss@isae.fr SysML France, 6 décembre 2010 Agenda De TURTLE à AVATAR Le langage

Plus en détail

Modèle de cahier des charges pour un appel d offres relatif à une solution de gestion des processus métier (BPM)

Modèle de cahier des charges pour un appel d offres relatif à une solution de gestion des processus métier (BPM) LA BOITE A OUTILS DE L ACHETEUR DE BPM Modèle de cahier des charges pour un appel d offres relatif à une solution de gestion des processus métier (BPM) La boîte à outils de l acheteur de solution BPM -

Plus en détail

L'efficacité par l'optimisation et la virtualisation des infrastructures et des plateformes de tests

L'efficacité par l'optimisation et la virtualisation des infrastructures et des plateformes de tests IBM Software Group L'efficacité par l'optimisation et la virtualisation des infrastructures et des plateformes de tests IBM Rational Test Lab Manager Juin 2009 Michel Speranski Responsable Marketing Rational

Plus en détail

SFR. Mise en place de la gestion des exigences sous DOORS dans le cadre de la refonte du système d'information commercial 14/11/2007

SFR. Mise en place de la gestion des exigences sous DOORS dans le cadre de la refonte du système d'information commercial 14/11/2007 SFR Mise en place de la gestion des exigences sous DOORS dans le cadre de la refonte du système d'information commercial 14/11/2007 1 Sommaire 1- Le contexte et l historique de la Gestion des EXigences

Plus en détail