COMMISSION EUROPÉENNE. Bruxelles, le C(2015) 4163 final ANNEX 1 ANNEXE

Transcription

1 COMMISSION EUROPÉENNE Bruxelles, le C(2015) 4163 final ANNEX 1 ANNEXE FR FR

2 ANNEXE Projet pilote «Gouvernance et qualité des codes logiciels Audit des logiciels libres et open source» dans le cadre du budget général de l Union européenne pour l exercice Introduction Sur la base des objectifs figurant dans les commentaires budgétaires concernant le présent projet pilote, le présent programme de travail comporte les actions à financer décrites ci-après. Les découvertes récentes de vulnérabilités dans des infrastructures d information critiques ont attiré l attention du grand public sur la nécessité de comprendre la relation entre, d'une part, la gouvernance et la qualité du code logiciel sous-jacent et, d'autre part, la sécurité des applications utilisées au quotidien et la confiance que le public peut leur accorder. Étant donné que les citoyens et les institutions européennes utilisent régulièrement des logiciels libres et ouverts, pouvant aller des applications pour appareils portables jusqu'aux logiciels serveurs, la nécessité de fournir des efforts coordonnés en vue d'assurer et de maintenir l intégrité et la sécurité de ces logiciels a été soulignée par le Parlement européen lui-même. Le présent projet pilote visera à atteindre, par une approche systématique, un objectif auquel les institutions européennes peuvent apporter une contribution, à savoir veiller à ce que les logiciels critiques et couramment employés soient sûrs. Le projet pilote se subdivise en trois volets: Le premier volet comporte une étude comparative et une étude de faisabilité. L étude comparative analysera et comparera les décisions prises sur la base des principes du logiciel libre selon Debian et du contrat social Debian [0], [1] avec les pratiques actuelles de partage de code et les déterminants de conformité dans le cadre des activités du centre de test de vulnérabilité de la Commission et du système de gestion du cycle de vie des applications du CITnet ayant trait à des projets actuellement financés par l ISA et publiés sur JoinUp [2]. Cette étude visera aussi à évaluer d'une manière générale les modèles de gouvernance de code actuels de la Commission et identifiera les processus qui sont similaires à ceux à l œuvre au sein de Debian 1. L objectif est d'établir de bonnes pratiques en ce qui concerne l'analyse des codes source et l évaluation de leur qualité afin d atténuer les menaces pesant sur la sécurité, en particulier dans le cadre d activités ayant trait aux logiciels libres et aux normes ouvertes financées par l Union européenne. L étude de faisabilité identifiera les agents et les parties prenantes, estimera les délais et les modèles de financement et définira les éléments à livrer et l'incidence à long terme de projets et sur des projets où ces meilleures pratiques pourraient être appliquées. Le deuxième volet du projet pilote comprend l élaboration d une méthodologie d inventaire unifiée, en particulier pour la Commission et le Parlement, et la compilation d un inventaire complet des logiciels libres et des normes ouvertes en usage dans les institutions européennes. L inventaire servira de base pour déterminer où les résultats du premier volet du projet pilote pourraient être utilement mis en œuvre. Le troisième volet consiste en une analyse exemplaire de codes source et de bibliothèques de code utilisés activement tant par la population européenne en général que par les institutions européennes. Ce volet du projet pilote sera plus particulièrement consacré à l'identification 1 En tenant compte des normes de la Commission sur le développement de systèmes sûrs (Standard on secure systems development) et sur les mesures de prévention à l'égard du code malveillant (Standard on controls against malicious code). FR 2 FR

3 des logiciels ou composants logiciels dont l exploitation malveillante pourrait entraîner une perturbation grave des services publics ou de l'union et donner un accès non autorisé à des données à caractère personnel. Il servira de base à un appel d offres public sur le sujet. [0] [1] [2] Base légale Projet pilote au sens de l article 54, paragraphe 2, du règlement (UE, Euratom) nº 966/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif aux règles financières applicables au budget général de l Union et abrogeant le règlement (CE, Euratom) nº 1605/2002 du Conseil (JO L 298 du , p. 1) Enveloppe budgétaire L enveloppe budgétaire globale réservée en 2015 pour les marchés publics s élève à EUR Ligne budgétaire Objet des marchés envisagés Le projet sera divisé en trois volets, comportant six modules de travail plus un module préparatoire, chacun d'entre eux pouvant avoir son propre mode de planification et de mise en œuvre. Préparation Module de travail 0: élaboration des documents définissant la portée du projet, les attentes, les délais et les éléments à livrer. Partie 1: Comparaison et étude de faisabilité Module de travail 1: étude comparative pour analyser les pratiques en matière de partage de code source libre et ouvert et les comparer avec les pratiques actuelles. L objectif de cette étude est d'élaborer des meilleures pratiques en ce qui concerne l'analyse des codes source et l évaluation de la qualité de ces derniers, afin d atténuer les menaces pesant sur la sécurité, en particulier dans le cadre d activités ayant trait aux logiciels libres et aux normes ouvertes financés par l Union européenne. Module de travail 2: étude de faisabilité visant à identifier les agents et les parties prenantes, estimer les délais et les modèles de financement et définir les éléments à livrer et l'incidence à long terme de projets et sur des projets où ces meilleures pratiques pourraient être appliquées. Les résultats du module de travail 1 seront compilés par un consultant externe. Les travaux seront réalisés en collaboration étroite avec le Parlement européen afin de répondre à ses attentes et de permettre à ce projet pilote de devenir un projet à part entière à l'avenir. Le module de travail 2 peut être combiné avec le module de travail 1 et ses éléments à livrer peuvent être fournis selon les mêmes modalités, ou par des moyens internes en recourant au personnel permanent de la Commission. Partie 2: Inventaire des logiciels et des normes FR 3 FR

4 Module de travail 3: mise en place d une méthode unifiée d'inventaire pour la Commission et le Parlement européen. La méthode unifiée d inventaire pourrait nécessiter de disposer d un logiciel spécialisé. Module de travail 4: établissement d un inventaire complet des logiciels libres pour toutes les institutions de l UE. Cela servira de base pour déterminer où les résultats des deux premiers modules du projet pilote pourraient être utilement mis en œuvre. Module de travail 5: établissement d un inventaire complet des normes ouvertes pour toutes les institutions de l UE. Cela servira de base pour déterminer où les résultats des deux premiers modules du projet pilote pourraient être utilement mis en œuvre. Partie 3: Analyse exemplaire de codes source Module de travail 6: La mise en œuvre précise de cette partie dépend des résultats des modules de travail précédents, en particulier le module Types de marchés Les marchés de services envisagés pour la mise en œuvre du projet seront basés sur des contrats-cadres existants, à savoir: module de travail 1: étude comparative; module de travail 2: étude de faisabilité; modules de travail 3 à 5: services de conseil Calendrier et montants indicatifs La ventilation estimée du budget et le calendrier estimé sont les suivants: Partie Module de travail Coût estimé (EUR) Période d'engagement Préparation Module de travail er trimestre 2015 Partie 1 Module de travail e trimestre 2015 Module de travail e trimestre 2015 Module de travail e trimestre 2015 Partie 2 Module de travail e trimestre 2015 Module de travail e trimestre 2015 Partie 3 Module de travail e trimestre 2015 Ensemble du projet Modules de travail 1 à e trimestre Mode de mise en œuvre L action sera directement mise en œuvre par la DG DIGIT. FR 4 FR

5 Projet pilote «Communications électroniques cryptées des institutions de l UE» dans le cadre du budget général de l Union européenne pour l exercice Introduction Sur la base des objectifs figurant dans les commentaires budgétaires concernant le présent projet pilote, le présent programme de travail comporte les actions à financer décrites ci-après. Le projet vise à promouvoir la mise en place ou le renforcement de communications électroniques sûres au sein des institutions européennes et l'élargissement de leur utilisation 2. L'une des manières de rendre nettement plus sûres les communications électroniques serait d'appliquer des techniques de cryptage conformes aux dernières évolutions technologiques aux services de courrier électronique des institutions lors de l'échange d'informations non classifiées 3. En protégeant correctement ses propres communications, l UE peut montrer l exemple aux citoyens, au secteur privé et aux pouvoirs publics nationaux. Le projet examinera l utilisation des normes de cryptage européennes 4 qui, dans l'état actuel des connaissances, ne sont pas affaiblies ou compromises, et analysera les besoins fonctionnels et opérationnels pour améliorer la sécurité, l interopérabilité et la facilité d utilisation des échanges par courrier électronique dans les institutions et au-delà 5. Le projet devrait prendre en compte les règles internes de sécurité de chacune des institutions et les normes internes correspondantes 6. Il pourrait également tenir compte de la législation de l Union dans le domaine de l identification électronique, notamment le règlement sur l identification électronique (règlement (UE) nº 910/2014). L objectif du projet est d aider les services informatiques et les services de sécurité du Conseil, de la présidence du Conseil, de la Commission et du Parlement à mettre en place ou à renforcer les systèmes nécessaires à des communications sécurisées pour les commissaires, les députés européens et le personnel de toutes les institutions participant au processus décisionnel de l UE. Le projet définira et mettra en œuvre la meilleure méthode de protection des communications électroniques suite à la réalisation d'une étude de faisabilité et d'une expérience pilote d'une portée restreinte. À plus long terme, le projet pourrait englober les communications électroniques écrites (messages électroniques et SMS) et vocales (téléphonie fixe et mobile). Un groupe de pilotage composé de représentants de la Commission, du Conseil et du Parlement sera responsable de la désignation et de la supervision d un service central dans Le personnel de la Commission européenne peut crypter ses messages électroniques via le système SECEM, qui est largement employé. Ce système est mondialement interopérable avec les autres logiciels compatibles avec le protocole S/MIME (une norme IETF) et les certificats X.509. Il est utilisé au quotidien par la plupart des interlocuteurs de la Commission, et notamment les autres institutions européennes, les États membres, les pouvoirs publics étrangers, les entreprises et les particuliers. Un guide d'interopérabilité est à la disposition des tiers. Pour plus d'informations, voir Des règles spécifiques s appliquent à l échange d informations classifiées de l UE (ICUE); cet aspect sort du champ d application de l étude. Y compris les normes de l UE et de l ISO. Le système doit être utilisable au sein des institutions et pour communiquer avec les interlocuteurs extérieurs, y compris les personnes qui souhaitent échanger des messages électroniques cryptés avec les institutions de l UE. Pour la Commission: décision de la Commission (UE, Euratom) 2015/443 de la Commission du 13 mars 2015 relative à la sécurité au sein de la Commission, décision de la Commission C (2006) 3602 du 16 août 2006 relative à la sécurité des systèmes d information utilisés par les services de la Commission, et infrastructure standard de cryptage et de clés publiques. FR 5 FR

6 l une des institutions, ce service étant chargé d assurer la gestion au jour le jour du système de communication. L autorité Crypto de chaque institution participera aux travaux du groupe de pilotage. Ce projet pilote doit être considéré dans le contexte de la demande du Parlement européen adressée aux services compétents de son secrétariat, sous la responsabilité du président du Parlement, de réaliser, d ici décembre 2014, un examen approfondi et une évaluation de la fiabilité de la sécurité informatique du Parlement. Cet examen et cette évaluation portent sur les moyens budgétaires, les ressources humaines, les capacités techniques, l organisation interne et les autres aspects pertinents, afin d atteindre un haut niveau de sécurité pour les systèmes informatiques du Parlement Base légale Projet pilote au sens de l article 54, paragraphe 2, du règlement (UE, Euratom) nº 966/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif aux règles financières applicables au budget général de l Union et abrogeant le règlement (CE, Euratom) nº 1605/2002 du Conseil (JO L 298 du , p. 1). Enveloppe budgétaire 1.3. Enveloppe budgétaire L enveloppe budgétaire globale réservée en 2015 pour les marchés publics s élève à EUR Ligne budgétaire Objet des marchés envisagés Les travaux seront exécutés par le biais d'un contrat d étude et consisteront notamment à définir et documenter les exigences reflétant les besoins opérationnels spécifiques des institutions européennes, analyser et évaluer l adéquation des solutions et normes disponibles et recommander la meilleure méthode pour protéger les communications par courrier électronique. La recommandation décrira les conditions préalables (techniques, formelles, organisationnelles, budgétaires) pour la mise en œuvre de la solution recommandée et évaluera les perspectives d évolution (en termes de fonctions, de champ d application, etc.). Les résultats de ces travaux serviront de base pour définir et mettre en place un système pilote permettant d'évaluer la validité de la solution recommandée et sa conformité aux besoins opérationnels spécifiques identifiés, ce système pilote pouvant constituer la prochaine étape après l achèvement du présent projet. Le projet prendra en considération et s'appuiera sur les résultats des travaux récents et en cours en matière de sécurisation du courrier électronique et de la communication vocale, en contribuant dans la mesure du possible à l avancement des projets liés. Le projet, mené par la DG DIGIT, sera supervisé par un groupe de pilotage créé au sein du sous-groupe de travail sur la sécurité du CII (comité informatique interinstitutionnel) Type de marché Le projet sera mis en œuvre au moyen d une étude externe, en faisant appel aux contratscadres disponibles à la DG DIGIT. FR 6 FR

7 1.7. Calendrier et montants indicatifs Le budget prévisionnel de EUR sera alloué à un contrat unique. Le calendrier suivant est proposé: Spécifications du projet et lancement de la procédure de passation de marché: d'ici mai 2015 Sélection du contractant et lancement de l étude: d'ici juin 2015 Mise à disposition des résultats de l étude: d'ici décembre Mode de mise en œuvre L action sera directement mise en œuvre par la DG DIGIT en coopération avec les services concernés 7 de la Commission. 7 L autorité Crypto chargée de l agrément des systèmes cryptographiques est le directeur de la HR.DS. FR 7 FR