Compte Rendu Club Utilisateurs. Marseille 08/10/2014 GINTAO CU 2. Page 1 de 9

Transcription

1 GINTAO CU 2 Page 1 de 9

2 Référence : gintao_cr_cu_02_fr Version : 1.2 Date de dernière mise à jour : 3 novembre 2014 Version applicative associée : CU 2 Niveau de confidentialité : Diffusion restreinte Destinataires Guillaume Baelde - CNRFID Marie-Noëlle Lemaire - CNRFID François Herlaut Dassault Aviation Gregory Kuhlmey - Dictao Nebil Ben Amor - Dicato Morgan Bochet - Gefco Fabrice Benaut IFR Monitoring (GFK Group) Saad Janati Inside Secure Arnaud Carle - Maintag Bruno Lo-Ré - Maintag Benjamin Bouilland Ministère de l Intérieur Gilles Ceyssat - Ministère de l Intérieur Stéphane Caillbotte - Morpho Olivier Chauprade Page Up Florian Gimbert Page Up François Lonc Telecom Paris Tech Vincent Gicquel - Thales Anne Monnot Thales Avionics Nour El Madhoun - UPMC Objet de la diffusion CR du 2ème Club Utilisateurs Fouad Guenane - UPMC Wiem Tounsi - UPMC Communication, reproduction ou utilisation limitées aux besoins du présent document Page 2 de 9

3 Mises à jour du document N version Etat (1) Date Auteur Objet de la mise à jour V1 T 16/10/2014 MNL Création V1.1 T 29/10/2014 MNL Mise à jour V1.2 V 03/11/2014 MNL Mise à jour et validation (1) T : en cours de modification ; V : Validé Communication, reproduction ou utilisation limitées aux besoins du présent document Page 3 de 9

4 Sommaire 1 Ordre du jour et participants Ordre du jour Participants Documents de référence Présentation du projet Gintao Présentation des aspects sécurité Prochaine réunion... 9 Communication, reproduction ou utilisation limitées aux besoins du présent document Page 4 de 9

5 1 Ordre du jour et participants 1.1 Ordre du jour Présentation du projet Présentation des aspects sécurité Echanger avec les participants et recueil d expression des besoins. 1.2 Participants Les personnes ayant participé à ce deuxième Club Utilisateurs sont listées ci-après : Marie-Noëlle Lemaire - CNRFID François Herlaut Dassault Aviation Gregory Kuhlmey - Dictao Nebil Ben Amor - Dicato Morgan Bochet - Gefco Fabrice Benaut IFR Monitoring (GFK Group) Saad Janati Inside Secure Benjamin Bouilland Ministère de l Intérieur Gilles Ceyssat - Ministère de l Intérieur Stéphane Caillbotte - Morpho Olivier Chauprade Page Up François Lonc Telecom Paris Tech Vincent Gicquel - Thales Anne Monnot Thales Avionics Nour El Madhoun - UPMC 1.3 Documents de référence Référence Presentation Club Utilisateurs V4 Titre et description Présentation Club Utilisateurs Document de présentation projeté pendant le Club Utilisateurs du 8/10/2014. Communication, reproduction ou utilisation limitées aux besoins du présent document Page 5 de 9

6 2 Présentation du projet Gintao Dictoa présente la partie projet et précise que le projet est en ligne avec le calendrier présenté. Les travaux sont dans leurs phases de spécification fonctionnelle. Le présent paragraphe retrace les principaux échanges et questions posées par les participants pendant la présentation du projet Gintao. Où est localisé le Data Center? Dictao propose un service web mutualisé et hébergé en France. Ceci peut aussi être réalisé sur un Cloud privé. Ceci est dépendant du client final. Il nous est proposé de plutôt parler de data center ou solution hébergée, plutôt que de Cloud. Que prévoyez-vous pour empêcher le détachement d un tag? En effet, il faudrait ne pas pouvoir détacher le tag de son objet. Gefco précise qu il existe des colles (notamment dans l automobile) qui sont difficilement détachables ou arrachables. Le CNRFID précise que l analyse de risque prévoit l apparition de nouveau tag non enregistré dans le système Gintao. Le projet par contre ne traite pas du sujet de la bonne colle. Il faudra trouver le bon tag, posé sur le bon support. En cas de casse du tag, le système Gintao permet de venir déverser la mémoire ISO d un ancien tag sur un nouveau tag. Qui s occupe des tests de résilience? La résilience est un sujet qui préoccupe certains utilisateurs. Le projet Gintao saura traiter un circuit de remplacement de matériel lorsqu un tag est jugé défectueux. Il est rappelé que le périmètre du projet Gintao traite uniquement de la traçabilité des actions, de la sécurisation des données tout au long du cycle de vie. Qui gère le Référentiel d actions? C est l application métier qui gère le référentiel. Comment peut-on gérer le mode offline sur un porte avion qui ne peut se connecter que tous les 6 mois? Si le cas spécifique militaire/défense le justifie nous l adresserons dans un projet pilote. Communication, reproduction ou utilisation limitées aux besoins du présent document Page 6 de 9

7 3 Présentation des aspects sécurité Dictao et Page Up présentent la partie sécurité du projet. Le présent paragraphe retrace les principaux échanges et questions posées par les participants pendant la présentation de la partie sécurité du projet. Les API du lecteur sont-elles certifiées? Nous visons une Certification de Sécurité de Premier Niveau (CSPN). Le périmètre précis de cette certification est encore à définir. Thales Avionics précise qu à ce jour ils possèdent une tablette pour l authentification du personnel et le module sécurité. Quel est le cycle de vie des certificats? Le cycle de vie est de 4 ans Quel est le niveau de sécurisation des communications? Le protocole de sécurisation SSL (ou TLS) garantit l authenticité, l intégrité et la confidentialité. Thales Avionics précise qu il leur faudrait du VPN. Dassault Aviation précise que les opérations de maintenance sont volumineuses. Il faudra prévoir une notion d acquittement entre le dossier de maintenance qui sera posté dans l appli métier et l image qui sera archivée sur le Cloud. A ce jour, l acquittement passe par le terminal. Le Consortium va étudier la possibilité d un acquittement Métier-Service hébergé (Cloud). Quel est la nature des OS sur le PDA? Les bibliothèques seront multi plateformes, elles fonctionneront soit sur Windows soit sur Android. Quelle est la taille de l élément de sécurisation dont vous parlez? Sur le tag l élément de sécurisation (MAC) est tronqué à 10 octets. Est-ce l application métier possèdera les 2 informations : écriture convenablement réalisée sur le tag, écriture valide sur le Cloud? Un A/R sera envoyé lors de l écriture sur le tag et puis lors de l écriture sur le Cloud. Ce processus reste encore à valider. Pour les menaces, quelle est la méthode que vous avez utilisée? Nous n avons pas utilisé la méthode Ebios car très orientée «assets», or vu la diversité des applications envisagées pour le système Gintao, les assets varient énormément. Nous avons plutôt choisi de définir un «Threat model» en utilisant la méthode STRIDE par composant, qui étudie les atteintes aux principales propriétés de sécurité pour chaque composant du système. A partir du modèle de menace, on estime la gravité et la vraisemblance de chaque menace d une manière similaire à Ebios. Communication, reproduction ou utilisation limitées aux besoins du présent document Page 7 de 9

8 Quelle preuve peut-on fournir à un client? Chez Dassault Aviation, il nous faut fournir un certificat de cycle de vie. Les preuves dématérialisées peuvent être gérées par un tiers ou opérées par le fabricant lui-même. Ce sera au fabricant de mettre en place le service de validation. Prévoyez-vous une certification ou un respect de normalisation? Le projet Gintao s appuie sur des standards cryptographiques et sait s intégrer à des normes industrielles métier. Comme dit précédemment, nous prévoyons une Certification de Sécurité de Premier Niveau (CSPN). Le CNRFID en charge de la partie «Standardiser» dans la WP0 vérifiera que la solution GINTAO respecte les standards qui auront été préalablement identifiés comme pertinents vis-à-vis des applicatifs métier. Vous êtes partis sur une expression de besoin, laquelle? Nous sommes partis d une expression de besoin diffuse, émise par plusieurs utilisateurs. Nous sommes allés chercher des aides au niveau de l état pour porter ce projet et aussi chercher des utilisateurs. D où la création et l animation d un Club Utilisateurs qui a pour vocation de développer une solution au plus près des besoins industriels. Pourquoi avoir choisi le mode Cloud plutôt que SAAS? Nous sommes autant à l écoute sur la solution technologique que sur les modèles économiques à mettre en face. Ce sujet peut d ailleurs faire l objet du prochain Club : ai-je envie d internaliser mes données, de les mettre en mode SAAS, Quelles sont les interactions avec ATA? C est la société Maintag qui gère ce point et qui est l interface sur toutes les questions relatives à cette norme aéronautique. L ATA Spec 2000 supporte l ensemble des fonctionnalités proposées dans le système GINTAO. Question posée par le Consortium Gintao : Quels pourraient être les pilotes envisagés à ce stade du Projet? Gefco pense qu il y aurait peut-être un besoin au niveau des transports spéciaux. Il faudrait s assurer, au préalable, que les parties soft et matérielles pourront être réutilisées. Une possibilité est entrevue au niveau Thales Avionics, la SIMMAD pousse pour trouver une solution. Dassault Aviation et Thales Avionics pourraient peut-être travailler ensemble et définir un projet plus orienté défense. Ce point est à valider. Gefco précise que selon lui, il fondamental de mettre les acteurs MDM autour de la table : acteurs Mobiliron, AirWatch, Soti, Côté Produits : Motorola, Datalogic, Honeywell, Le Consortium précise que ceci n est pas prévu dans le cadre du projet, néanmoins le point est pris et nous donnerons notre réponse lors du prochain Club Utilisateurs. Communication, reproduction ou utilisation limitées aux besoins du présent document Page 8 de 9

9 4 Prochaine réunion Le prochain «Club Utilisateurs» GINTAO sera programmé d ici 6 mois, autour du mois d Avril Il est prévu de réfléchir autour d un tronc commun (pilote générique) qui pourrait ensuite être réutilisé et customisé pour des applications plus spécifiques. Communication, reproduction ou utilisation limitées aux besoins du présent document Page 9 de 9