Qualification produit (RGS) & Logiciel Libre



Documents pareils
GESTION DE PROJET SÉANCE 2 : LES CYCLE DE VIE D'UN PROJET

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

TOTAL STREAM PROTECTION IS THE KEY. Les critères communs et la certification. Christian Damour Yann Berson

Cours Gestion de projet

Jean-Pierre Vickoff J-P Vickoff

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Les méthodes Agiles Introduction. Intervenant : Tremeur Balbous tremeur@agilegardener.com 04/09/2008

Les méthodes itératives. Hugues MEUNIER

La politique de sécurité

Méthodes Agiles et gestion de projets

Conduite de projets SI. Les méthodes «Agiles» N QUAL/1995/3660e ORESYS

Méthodes de développement

Conduite de projets informatiques Développement, analyse et pilotage (2ième édition)

PASSI Un label d exigence et de confiance?

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

CONSULTANT AMOA/RECETTE à la recherche d un poste dans la région de Montpellier 7 ans d expérience

But de cette introduction à la gestion de projets :

Méthodes agiles. CONSEIL & DÉVELOPPEMENT DE SOLUTIONS E-BUSINESS. Jean-Louis Bénard jlb@businessinteractif.

Introduction au génie logiciel

25/12/2012

Jean-Pierre Vickoff

Génie logiciel (Un aperçu)

Expertises Métiers & e-business. Technologies Microsoft & OpenSource. Méthodologies et gestion de projet

Rapport de certification PP/0101

Lancement du projet TOP (Tracabilité et Optimisation des Process)

INGÉNIEUR - DÉVELOPPEUR EXPÉRIMENT É PHP - MAGENT O. 30 ans - 6 ans d'expérience

Règles d engagement. Présentation Diapositives Bibliographie Questions Les vertus de la marche

Rapport de certification PP/0002

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Scrum et l'agilité des équipes de développement

Processus de Développement Logiciel

Méthode Agile de 3 ème génération J-P Vickoff

Processus de Développement Logiciel

Génie Logiciel. Notes de l an passé-k. Planning Projets. Evolution des approches (1/4) Evolution des approches (2/4) Evolution des approches (3/4)

CQP Développeur Nouvelles Technologies (DNT)

Séance 1 Méthodologies du génie logiciel

Cloud Privé / Public / Hybrid. Romain QUINAT vente-privee.com

Evaluation, Certification Axes de R&D en protection

Qualité et Test des Logiciels. Le génie logiciel. Moez Krichen.

Référentiel Général de Sécurité

Guide de Préparation. EXIN Agile Scrum. Foundation

en SCÈNE RATIONAL Rational Démonstration SDP : automatisation de la chaîne de développement Samira BATAOUCHE sbataouche@fr.ibm.com

Le Product Owner Clé de voute d un projet agile réussi

OpenLDAP : retour d expérience sur l industrialisation d annuaires critiques

Présentation aux entreprises du numérique

L Agence nationale de la sécurité des systèmes d information

ITIL V2. Historique et présentation générale

Eclipse Process Framework et Telelogic Harmony/ITSW

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Plan de la Formation. GESTION de PROJET

répondre aux défis de l ingénierie logicielle déploiement et mise en œuvre opérationnelle : l'industrialisation au service de la compétitivité

Yourcegid Secteur Public Finances : Une réponse globale aux nouveaux enjeux de la fonction publique. Collectivités. Finances

Offre de services. PHPCreation Inc. - Date : Présenté à : À l'attention de : Représentant :

GÉNÉRATEUR DE PERFORMANCE CONSEIL EN SYSTÈMES D INFORMATION

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Scrum Une méthode agile pour vos projets

Rapport de certification

Qu est-ce qu un système d Information? 1

A-t-on le temps de faire les choses?

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Politique de Référencement Intersectorielle de Sécurité (PRIS)

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

White Paper ADVANTYS. Workflow et Gestion de la Performance

Topologie du web - Valentin Bourgoin - Méthodes agiles & SCRUM

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES

Rapport de certification

Systèmes et réseaux d information et de communication

Comment optimiser les tests avec une démarche d automatisation simplifiée

Formation : Modélisation avec UML 2.0 et Mise en pratique

Les méthodes Agile. Implication du client Développement itératif et incrémental

Gestion de projet Agile. STS IRIS Module «Gérer et organiser un projet informatique»

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011

31 ans - 8 ans d'expérience

Soyez agile. Dans l industrie du logiciel, la. De plus chaque projet informatique

Présentation du Programme Régional de Formations Qualifiantes

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Les perspectives de la maintenance de l assurance sécurité

Retour sur investissement en sécurité

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Recommandations sur les mutualisations ISO ISO & ISO ITIL

R E G L E M E N T I N T E R I E U R

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

Rapport de certification

1/15. Jean Bernard CRAMPES Daniel VIELLE

Enterprise Scrum Organisation des développements chez exo. Agile Tour Rennes 2010 / 10 / 07

Société de conseil en intégration Oracle E Business Suite.

Quadra Entreprise On Demand

Les mécanismes d'assurance et de contrôle de la qualité dans un

curité des TI : Comment accroître votre niveau de curité

P Exigences pour les experts et les inspecteurs, état actuel. [Experts et inspecteurs]

Chef de projet / Architecte JEE 15 ans d expérience

Rapport de certification

Fiche méthodologique Rédiger un cahier des charges

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Sécurité des Systèmes d Information

Développement spécifique d'un système d information

EXIN Agile Scrum Master

Gestion Projet. Cours 3. Le cycle de vie

Transcription:

Qualification produit (RGS) & Logiciel Libre www.clusir-aquitaine.fr RMLL 2010 Le 7 Juillet 2010 1/2828

Historique 1985 1990 1995 2000 2008 CTCPEC Canada TCSEC Orange Book USA FC USA CC International V1.0l CC V2.0 CC V2.2 CC V3.1 ITSEC Européen ISO GT3 SC27 ISO 15408 RMLL 2010 Le 7 Juillet 2010 2/2828

Critères Communs Objectifs : S'assurer qu'un produit couvre les risques de façon : Cohérente Complète Résistante Une reconnaissance réciproque fondée sur un schéma d'évaluation reconnu RMLL 2010 Le 7 Juillet 2010 3/2828

CC : Principes Une démarche : Une démarche préalable d'analyse de risques Des fonctions de sécurité qui répondent à des risques identifiés Une vérification de couverture dans le cadre d'un document de spécifications (cible de sécurité) Un catalogue structuré de fonctions de sécurité Des classes d'assurance Une méthode pour le développement et/ou le contrôle des produits de sécurité RMLL 2010 Le 7 Juillet 2010 4/2828

CC : un cahier des charges fonctionnel Présentation de la cible d'évaluation (TOE) Définition des contexte de sécurité Biens, Menaces, Politique de sécurité organisationnelle, hypothèses Objectifs de sécurité Pour la «TOE», pour l'environnement Argumentaire (Justification de la couverture) Exigences de sécurité Fonctions de sécurité (exigences) Exigences d'assurance Argumentaire (Justification de la complétude, de la cohérence et de la résistance) RMLL 2010 Le 7 Juillet 2010 5/2828

CC : Des classes assurantielles RMLL 2010 Le 7 Juillet 2010 6/2828

CC 7 niveaux d'assurance EAL1 : testé fonctionnellement EAL2 : testé structurellement EAL3 : testé et vérifié méthodiquement EAL4 : conçu, testé et vérifié méthodiquement, EAL5 : conçu de façon semi-formelle et testé EAL6 : conception vérifiée de façon semi-formelle et testé EAL7 : conception vérifiée de façon formelle et testée. RMLL 2010 Le 7 Juillet 2010 7/2828

Le schéma national d'évaluation ANSSI COFRAC Rapport expertise Agrément Accréditation Rapport de certification Demande de certification CESTI Rapport anomalie Rapport expertise Documentation Rapport anomalie Commanditaire Développeur Les CESTI Logiciel OPPIDA SILICOMP-AQL RMLL 2010 Le 7 Juillet 2010 AMOSYS 8/2828 (en cours)

Contexte Français : RGS Issue de l'ordonnance de 2005 visant à mettre en place les principes de la confiance pour l'e-administration Accessibilité ; Interopérabilité ; Sécurité Fondé sur 3 grands dispositifs : Gestion des risques et homologation Qualification des produits de sécurité Référentiel intersectoriel pour les politiques de certification (Authentification, signature, confidentialité, horodatage) RMLL 2010 Le 7 Juillet 2010 9/2828

RGS - Qualification des produits 3 niveaux d'assurances Élémentaire (CSPN) Standard (CC) Renforcé (CC) Un principe commun : Une cible de sécurité décrivant les risques couverts et validée par l'anssi Standard et renforcé fondés sur les CC: Standard : EAL3 + Renforcé : EAL4 + RMLL 2010 Le 7 Juillet 2010 10/2828

RGS : Qualification Le choix des qualifications en fonction du niveau des usages PRIS : Authentification Confidentialité Signature Authentification Serveur Cachet RMLL 2010 Le 7 Juillet 2010 11/2828

Standard / Renforcé Standard Renforcé RMLL 2010 Le 7 Juillet 2010 12/2828

CSPN Une cible de sécurité simplifiée Une évaluation en temps contraint (25j/h) Des centres d'évaluation plus nombreux Une analyse de conformité et d'efficacité sur le produit fini Pas d'évaluation en terme de processus de développement RMLL 2010 Le 7 Juillet 2010 13/2828

CSPN : produits Produits Domaine Commanditaire Disposit if d'échange sécurisé d'inform at ions sans interconnexion réseau (DESIIR) v1.0 Logiciel UCOPIA pour boît iers appliances UCOPIA version 3.0 release 5 Bro v1.4 VSC-TOOAL v1.1 Net filt er sur un noyau Linux v2.6.27 - ipt ables v1.4.2 Parefeux EDF R&D UCOPIA Parefeux Com m u n ica t ion s Be r ke le y USA / Détection d'intrusion AN SSI Me d is cs / Aut hent ificat ion Me d is cs N e t filt e r Cor e Parefeux Te a m / SGDN RMLL 2010 Le 7 Juillet 2010 14/2828

Les éléments de la confiance dans le développement Le PAQ générique RMLL 2010 Le 7 Juillet 2010 15/2828

Les éléments de la confiance dans le développement 2 AXES Gestion de projet Pilotage (prise de décision, PAQ, financier) Planification Gestion de configuration Processus de développement (Itératif, incrémental) Analyse Conception Développement Test unitaire Recette, livraison, déploiement RMLL 2010 Le 7 Juillet 2010 16/2828

Les éléments de la confiance dans le développement Le cycle de vie d'un projet de développement logiciel RMLL 2010 Le 7 Juillet 2010 17/2828

Les éléments de la confiance dans le développement Les méthodes associées aux processus de développement Unified process (Basé sur un modèle executable) RUP, 2TUP Méthode agile (Basé sur des bonnes pratiques) RAD, XP, DSDM, ASD, FDD, Scrum, Crystal clear RMLL 2010 Le 7 Juillet 2010 18/2828

RMLL 2010 Le 7 Juillet 2010 19/2828

Principe et Problématiques du développement communautaire PLAN Les Acteurs génériques Les 3 phases d'un projet Open Source Les Risques liés à un projet Open Sources Exemple de projet Open Source ayant obtenu une certification CSPN RMLL 2010 Le 7 Juillet 2010 20/2828

Les Acteurs du développement communautaire Les Acteurs RMLL 2010 Le 7 Juillet 2010 21/2828

Les Acteurs du développement communautaire RMLL 2010 Le 7 Juillet 2010 22/2828

Les 3 phases d'un projet Open Source Développement Initial Mise en place du projet et des outils collaboratifs (FORGES) Formation à la communauté appel à contribution Business Distribution, contrat de maintenance avec des entreprises, moyennent contre partie financière RMLL 2010 Le 7 Juillet 2010 23/2828

Les Risques liés à un projet Open Sources Risques liés aux Utilisateurs demandes contraires à l'utilisation copie d'une demande déjà existante manque de retour sur un dysfonctionnement Risques liés à la communauté fork Risques liés à l'auteur (Core team) refuse toute evolution changement de licence disparition de l'auteur RMLL 2010 Le 7 Juillet 2010 24/2828

Les Risques liés à un projet Open Sources Risques liés au code source gestionnaire de source vide ou en retard par rapport à la version binaire production d'un executable impossible à partir des sources Risques liés au business apparition d'une version entreprise depot de marque «trademark» du projet RMLL 2010 Le 7 Juillet 2010 25/2828

Exemple de projet Open Source ayant obtenue une certification ou Qualification Netfilter La cible de sécurité Le guide de configuration Le rapport de certification CSPN effectué par le CESTI (scté OPPIDA) validé par l'anssi EdenWall (en cours) EAL3+ RMLL 2010 Le 7 Juillet 2010 26/2828

Conclusion Pour la communauté : une démarche de développement de qualité de l'expression des besoins au déploiement Un nouveau rôle pour les clients et les SSLL pour le développement de la confiance dans les logiciels libre Un marché en devenir pour le logiciel libre? RMLL 2010 Le 7 Juillet 2010 27/2828

Questions / Réponses RMLL 2010 Le 7 Juillet 2010 28/2828

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back