COMMISSION EUROPÉENNE. Bruxelles, le 22.6.2015 C(2015) 4163 final ANNEX 1 ANNEXE



Documents pareils
CONSEIL DE L'UNION EUROPÉENNE. Bruxelles, le 30 mars 2009 (OR. en) 7522/09 Dossier interinstitutionnel: 2009/0020 (CNS) VISA 96 AMLAT 28

DEC 38/2013 QUATORZIÈME LÉGISLATURE SESSION ORDINAIRE DE Le 25 novembre 2013 Le 25 novembre 2013

VOLUME I ETUDES DE CAS RELATIFS A DES PROJETS DE PASSATION ELECTRONIQUE DE MARCHES PUBLICS

CONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Proposition de DÉCISION DU CONSEIL

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE

Université de Lausanne

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE

E 7418 TREIZIÈME LÉGISLATURE SESSION ORDINAIRE DE Le 14 juin 2012 Le 14 juin 2012

TRADUCTION EXTÉRIEURE NON RÉVISÉE

Copyright Crypto-sud PROGRAMME DE FIDÉLITÉ TOTARA - CARTES MULTI-COMMERCES COMMUNICANTES CRYPTO-SUD

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

CO SEIL DE L'U IO EUROPÉE E. Bruxelles, le 1 er décembre 2011 (OR. fr) 16946/11 Dossier interinstitutionnel: 2011/0343 ( LE)

ANNEXE DÉFINITION DE LA MÉTHODOLOGIE À SUIVRE PAR LES SERVICES DE LA COMMISSION POUR LA PROSPECTION ET LA NÉGOCIATION D'IMMEUBLES

Contact Center / Call Center. Qu est ce qu un Centre de Contacts?

CONSEIL DE L'UNION EUROPÉENNE. Bruxelles, le 2 juillet 2002 (OR. da/en) 10307/02 EUROPOL 46

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

BANQUE CENTRALE EUROPÉENNE

Vertec Consulting L ERP professionnel pour sociétés de conseil

Cahier des charges. pour la réalisation d une étude. Articulation des programmations nationale et communautaire en faveur de la R&D

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

Le cadre européen des certifications pour l éducation et la formation tout au long de la vie (CEC)

ANNEXE. à la DÉCISION DE LA COMMISSION

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

D022751/01 TEXTE SOUMIS EN APPLICATION DE L ARTICLE 88-4 DE LA CONSTITUTION PAR LE GOUVERNEMENT, À L ASSEMBLÉE NATIONALE ET AU SÉNAT.

AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre?

COMMISSION EUROPÉENNE

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

DOCUMENT DE CONSULTATION

Panorama général des normes et outils d audit. François VERGEZ AFAI

Conclusions du Conseil sur l'innovation dans l'intérêt des patients

ERP5. Gestion des Services Techniques des Collectivités Locales

Evaluation des risques et procédures d audit en découlant

Groupe de travail. Renforcer la confiance mutuelle RAPPORT

H PROGRAMME HERCULE III APPEL À PROPOSITIONS 2015 FORMATION DANS LE DOMAINE DE LA LUTTE CONTRE LA FRAUDE

AGENCE DE COORDINATION ET DE PLANIFICATION DU NEPAD

Les membres sont invités à prendre note des modifications proposées et à faire part de leurs observations éventuelles.

COM(2013) 737 final QUATORZIÈME LÉGISLATURE SESSION ORDINAIRE DE Le 13 novembre 2013 Le 13 novembre 2013

En outre 2 PDD sont impliqués dans le développement de politiques locales destinées à favoriser l'insertion des personnes handicapées.

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

CHAPITRE V SELECTION DES CONSULTANTS ET D AUTRES PRESTATAIRES DE SERVICES

Politique de sécurité de l actif informationnel

Politique de gestion documentaire

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

1 Informations générales

curité des TI : Comment accroître votre niveau de curité

016276/EU XXIII.GP Eingelangt am 25/06/07

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Nouveautés d Outpost Firewall Pro 2008

III.2 Rapport du Président du Conseil

La gestion électronique de l information et des documents entreprise. Présentation

Life Asset Portfolio (LAP) France

DLTA Deploy. Une offre unique de gestion de flotte mobile pour iphone, ipad & ipod touch. La solution de gestion de flotte mobile pour ios

NOTE Secrétariat général délégations Feuilles de route concernant la stabilité des marchés financiers

LOGICIELS DE COMPTABILITE OPEN LINE

L'AUDIT DES SYSTEMES D'INFORMATION

P Exigences pour les experts et les inspecteurs, état actuel. [Experts et inspecteurs]

1. ANTÉCÉDENTS ET JUSTIFICATION

BCV-net - BCV NET-Mobile. Accédez à votre banque 24h/24 et 7j/7

D ITIL à D ISO 20000, une démarche complémentaire

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

THEORIE ET CAS PRATIQUES

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Contrôle interne et organisation comptable de l'entreprise

«ASSISTANT SECURITE RESEAU ET HELP DESK»

COM (2015) 289 final

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES

2012 / Excellence. Technicité. Sagesse

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Mise en place d'une démarche qualité et maintien de la certification ISO 9001:2008 dans un système d'information

Guide d analyse des risques informatiques

ACCORD INTERNATIONAL SUR LA VIANDE BOVINE

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Mettez les évolutions technologiques au service de vos objectifs métier

DEMANDE D INFORMATION RFI (Request for information) Projet SERADIUS Nouveau Serveur Radius

LE MINISTRE DE L'ENSEIGNEMENT SECONDAIRE, DE LA FORMATION TECHNIQUE ET PROFESSIONNELLE, DE LA RECONVERSION ET DE L'INSERTION DES JEUNES

Annexe - document CA 118/9. Termes de référence. Audit fonctionnel et organisationnel de l OTIF

FICHE 13 RESUME DESCRIPTIF DE LA CERTIFICATION (FICHE REPERTOIRE)

DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L'ANALYSE D'IMPACT. accompagnant le document:

Classification : Non sensible public 2 / 22

THÈME: «INTÉGRATION DU COMMERCE DES SERVICES DANS LES PLANS NATIONAUX ET RÉGIONAUX DE DÉVELOPPEMENT»

Norme ISA 260, Communication avec les responsables de la gouvernance

DPS 14 septembre 06. Bilan de l avancée de la démarche à 6 mois AIPST Caen

AVIS DE SOLLICITATION DE MANIFESTATION D INTERET AUPRES DE CONSULTANT INDIVIDUEL

Calcul de la valeur d un bâtiment

L'Etat belge, représenté par Belnet, Service d'etat à gestion séparée. Localité/Ville: Bruxelles Code postal: 1050

Transcription:

COMMISSION EUROPÉENNE Bruxelles, le 22.6.2015 C(2015) 4163 final ANNEX 1 ANNEXE FR FR

ANNEXE 26 03 77 02 Projet pilote «Gouvernance et qualité des codes logiciels Audit des logiciels libres et open source» dans le cadre du budget général de l Union européenne pour l exercice 2015 1.1. Introduction Sur la base des objectifs figurant dans les commentaires budgétaires concernant le présent projet pilote, le présent programme de travail comporte les actions à financer décrites ci-après. Les découvertes récentes de vulnérabilités dans des infrastructures d information critiques ont attiré l attention du grand public sur la nécessité de comprendre la relation entre, d'une part, la gouvernance et la qualité du code logiciel sous-jacent et, d'autre part, la sécurité des applications utilisées au quotidien et la confiance que le public peut leur accorder. Étant donné que les citoyens et les institutions européennes utilisent régulièrement des logiciels libres et ouverts, pouvant aller des applications pour appareils portables jusqu'aux logiciels serveurs, la nécessité de fournir des efforts coordonnés en vue d'assurer et de maintenir l intégrité et la sécurité de ces logiciels a été soulignée par le Parlement européen lui-même. Le présent projet pilote visera à atteindre, par une approche systématique, un objectif auquel les institutions européennes peuvent apporter une contribution, à savoir veiller à ce que les logiciels critiques et couramment employés soient sûrs. Le projet pilote se subdivise en trois volets: Le premier volet comporte une étude comparative et une étude de faisabilité. L étude comparative analysera et comparera les décisions prises sur la base des principes du logiciel libre selon Debian et du contrat social Debian [0], [1] avec les pratiques actuelles de partage de code et les déterminants de conformité dans le cadre des activités du centre de test de vulnérabilité de la Commission et du système de gestion du cycle de vie des applications du CITnet ayant trait à des projets actuellement financés par l ISA et publiés sur JoinUp [2]. Cette étude visera aussi à évaluer d'une manière générale les modèles de gouvernance de code actuels de la Commission et identifiera les processus qui sont similaires à ceux à l œuvre au sein de Debian 1. L objectif est d'établir de bonnes pratiques en ce qui concerne l'analyse des codes source et l évaluation de leur qualité afin d atténuer les menaces pesant sur la sécurité, en particulier dans le cadre d activités ayant trait aux logiciels libres et aux normes ouvertes financées par l Union européenne. L étude de faisabilité identifiera les agents et les parties prenantes, estimera les délais et les modèles de financement et définira les éléments à livrer et l'incidence à long terme de projets et sur des projets où ces meilleures pratiques pourraient être appliquées. Le deuxième volet du projet pilote comprend l élaboration d une méthodologie d inventaire unifiée, en particulier pour la Commission et le Parlement, et la compilation d un inventaire complet des logiciels libres et des normes ouvertes en usage dans les institutions européennes. L inventaire servira de base pour déterminer où les résultats du premier volet du projet pilote pourraient être utilement mis en œuvre. Le troisième volet consiste en une analyse exemplaire de codes source et de bibliothèques de code utilisés activement tant par la population européenne en général que par les institutions européennes. Ce volet du projet pilote sera plus particulièrement consacré à l'identification 1 En tenant compte des normes de la Commission sur le développement de systèmes sûrs (Standard on secure systems development) et sur les mesures de prévention à l'égard du code malveillant (Standard on controls against malicious code). https://myintracomm.ec.europa.eu/corp/security/en/itsecurity/infosyssecpolicy/pages/policylegislation.aspx FR 2 FR

des logiciels ou composants logiciels dont l exploitation malveillante pourrait entraîner une perturbation grave des services publics ou de l'union et donner un accès non autorisé à des données à caractère personnel. Il servira de base à un appel d offres public sur le sujet. [0] https://www.debian.org/social_contract [1] http://cfnarede.com.br/sites/default/files/infographic_debian-v2.1.en.png [2] https://joinup.ec.europa.eu/ 1.2. Base légale Projet pilote au sens de l article 54, paragraphe 2, du règlement (UE, Euratom) nº 966/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif aux règles financières applicables au budget général de l Union et abrogeant le règlement (CE, Euratom) nº 1605/2002 du Conseil (JO L 298 du 26.10.2012, p. 1). 1.3. Enveloppe budgétaire L enveloppe budgétaire globale réservée en 2015 pour les marchés publics s élève à 1 000 000 EUR. 1.4. Ligne budgétaire 26 03 77 02 1.5. Objet des marchés envisagés Le projet sera divisé en trois volets, comportant six modules de travail plus un module préparatoire, chacun d'entre eux pouvant avoir son propre mode de planification et de mise en œuvre. Préparation Module de travail 0: élaboration des documents définissant la portée du projet, les attentes, les délais et les éléments à livrer. Partie 1: Comparaison et étude de faisabilité Module de travail 1: étude comparative pour analyser les pratiques en matière de partage de code source libre et ouvert et les comparer avec les pratiques actuelles. L objectif de cette étude est d'élaborer des meilleures pratiques en ce qui concerne l'analyse des codes source et l évaluation de la qualité de ces derniers, afin d atténuer les menaces pesant sur la sécurité, en particulier dans le cadre d activités ayant trait aux logiciels libres et aux normes ouvertes financés par l Union européenne. Module de travail 2: étude de faisabilité visant à identifier les agents et les parties prenantes, estimer les délais et les modèles de financement et définir les éléments à livrer et l'incidence à long terme de projets et sur des projets où ces meilleures pratiques pourraient être appliquées. Les résultats du module de travail 1 seront compilés par un consultant externe. Les travaux seront réalisés en collaboration étroite avec le Parlement européen afin de répondre à ses attentes et de permettre à ce projet pilote de devenir un projet à part entière à l'avenir. Le module de travail 2 peut être combiné avec le module de travail 1 et ses éléments à livrer peuvent être fournis selon les mêmes modalités, ou par des moyens internes en recourant au personnel permanent de la Commission. Partie 2: Inventaire des logiciels et des normes FR 3 FR

Module de travail 3: mise en place d une méthode unifiée d'inventaire pour la Commission et le Parlement européen. La méthode unifiée d inventaire pourrait nécessiter de disposer d un logiciel spécialisé. Module de travail 4: établissement d un inventaire complet des logiciels libres pour toutes les institutions de l UE. Cela servira de base pour déterminer où les résultats des deux premiers modules du projet pilote pourraient être utilement mis en œuvre. Module de travail 5: établissement d un inventaire complet des normes ouvertes pour toutes les institutions de l UE. Cela servira de base pour déterminer où les résultats des deux premiers modules du projet pilote pourraient être utilement mis en œuvre. Partie 3: Analyse exemplaire de codes source Module de travail 6: La mise en œuvre précise de cette partie dépend des résultats des modules de travail précédents, en particulier le module 2. 1.6. Types de marchés Les marchés de services envisagés pour la mise en œuvre du projet seront basés sur des contrats-cadres existants, à savoir: module de travail 1: étude comparative; module de travail 2: étude de faisabilité; modules de travail 3 à 5: services de conseil. 1.7. Calendrier et montants indicatifs La ventilation estimée du budget et le calendrier estimé sont les suivants: Partie Module de travail Coût estimé (EUR) Période d'engagement Préparation Module de travail 0 20 000 1 er trimestre 2015 Partie 1 Module de travail 1 230 000 2 e trimestre 2015 Module de travail 2 150 000 3 e trimestre 2015 Module de travail 3 200 000 2 e trimestre 2015 Partie 2 Module de travail 4 50 000 3 e trimestre 2015 Module de travail 5 50 000 3 e trimestre 2015 Partie 3 Module de travail 6 300 000 4 e trimestre 2015 Ensemble du projet Modules de travail 1 à 6 1 000 000 4 e trimestre 2015 1.8. Mode de mise en œuvre L action sera directement mise en œuvre par la DG DIGIT. FR 4 FR

26 03 77 04 Projet pilote «Communications électroniques cryptées des institutions de l UE» dans le cadre du budget général de l Union européenne pour l exercice 2015 1.1. Introduction Sur la base des objectifs figurant dans les commentaires budgétaires concernant le présent projet pilote, le présent programme de travail comporte les actions à financer décrites ci-après. Le projet vise à promouvoir la mise en place ou le renforcement de communications électroniques sûres au sein des institutions européennes et l'élargissement de leur utilisation 2. L'une des manières de rendre nettement plus sûres les communications électroniques serait d'appliquer des techniques de cryptage conformes aux dernières évolutions technologiques aux services de courrier électronique des institutions lors de l'échange d'informations non classifiées 3. En protégeant correctement ses propres communications, l UE peut montrer l exemple aux citoyens, au secteur privé et aux pouvoirs publics nationaux. Le projet examinera l utilisation des normes de cryptage européennes 4 qui, dans l'état actuel des connaissances, ne sont pas affaiblies ou compromises, et analysera les besoins fonctionnels et opérationnels pour améliorer la sécurité, l interopérabilité et la facilité d utilisation des échanges par courrier électronique dans les institutions et au-delà 5. Le projet devrait prendre en compte les règles internes de sécurité de chacune des institutions et les normes internes correspondantes 6. Il pourrait également tenir compte de la législation de l Union dans le domaine de l identification électronique, notamment le règlement sur l identification électronique (règlement (UE) nº 910/2014). L objectif du projet est d aider les services informatiques et les services de sécurité du Conseil, de la présidence du Conseil, de la Commission et du Parlement à mettre en place ou à renforcer les systèmes nécessaires à des communications sécurisées pour les commissaires, les députés européens et le personnel de toutes les institutions participant au processus décisionnel de l UE. Le projet définira et mettra en œuvre la meilleure méthode de protection des communications électroniques suite à la réalisation d'une étude de faisabilité et d'une expérience pilote d'une portée restreinte. À plus long terme, le projet pourrait englober les communications électroniques écrites (messages électroniques et SMS) et vocales (téléphonie fixe et mobile). Un groupe de pilotage composé de représentants de la Commission, du Conseil et du Parlement sera responsable de la désignation et de la supervision d un service central dans 2 3 4 5 6 Le personnel de la Commission européenne peut crypter ses messages électroniques via le système SECEM, qui est largement employé. Ce système est mondialement interopérable avec les autres logiciels compatibles avec le protocole S/MIME (une norme IETF) et les certificats X.509. Il est utilisé au quotidien par la plupart des interlocuteurs de la Commission, et notamment les autres institutions européennes, les États membres, les pouvoirs publics étrangers, les entreprises et les particuliers. Un guide d'interopérabilité est à la disposition des tiers. Pour plus d'informations, voir http://ec.europa.eu/dgs/personnel_administration/commissign/pdf/cps_fr.pdf Des règles spécifiques s appliquent à l échange d informations classifiées de l UE (ICUE); cet aspect sort du champ d application de l étude. Y compris les normes de l UE et de l ISO. Le système doit être utilisable au sein des institutions et pour communiquer avec les interlocuteurs extérieurs, y compris les personnes qui souhaitent échanger des messages électroniques cryptés avec les institutions de l UE. Pour la Commission: décision de la Commission (UE, Euratom) 2015/443 de la Commission du 13 mars 2015 relative à la sécurité au sein de la Commission, décision de la Commission C (2006) 3602 du 16 août 2006 relative à la sécurité des systèmes d information utilisés par les services de la Commission, et infrastructure standard de cryptage et de clés publiques. FR 5 FR

l une des institutions, ce service étant chargé d assurer la gestion au jour le jour du système de communication. L autorité Crypto de chaque institution participera aux travaux du groupe de pilotage. Ce projet pilote doit être considéré dans le contexte de la demande du Parlement européen adressée aux services compétents de son secrétariat, sous la responsabilité du président du Parlement, de réaliser, d ici décembre 2014, un examen approfondi et une évaluation de la fiabilité de la sécurité informatique du Parlement. Cet examen et cette évaluation portent sur les moyens budgétaires, les ressources humaines, les capacités techniques, l organisation interne et les autres aspects pertinents, afin d atteindre un haut niveau de sécurité pour les systèmes informatiques du Parlement. 1.2. Base légale Projet pilote au sens de l article 54, paragraphe 2, du règlement (UE, Euratom) nº 966/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif aux règles financières applicables au budget général de l Union et abrogeant le règlement (CE, Euratom) nº 1605/2002 du Conseil (JO L 298 du 26.10.2012, p. 1). Enveloppe budgétaire 1.3. Enveloppe budgétaire L enveloppe budgétaire globale réservée en 2015 pour les marchés publics s élève à 500 000 EUR. 1.4. Ligne budgétaire 26 03 77 04 1.5. Objet des marchés envisagés Les travaux seront exécutés par le biais d'un contrat d étude et consisteront notamment à définir et documenter les exigences reflétant les besoins opérationnels spécifiques des institutions européennes, analyser et évaluer l adéquation des solutions et normes disponibles et recommander la meilleure méthode pour protéger les communications par courrier électronique. La recommandation décrira les conditions préalables (techniques, formelles, organisationnelles, budgétaires) pour la mise en œuvre de la solution recommandée et évaluera les perspectives d évolution (en termes de fonctions, de champ d application, etc.). Les résultats de ces travaux serviront de base pour définir et mettre en place un système pilote permettant d'évaluer la validité de la solution recommandée et sa conformité aux besoins opérationnels spécifiques identifiés, ce système pilote pouvant constituer la prochaine étape après l achèvement du présent projet. Le projet prendra en considération et s'appuiera sur les résultats des travaux récents et en cours en matière de sécurisation du courrier électronique et de la communication vocale, en contribuant dans la mesure du possible à l avancement des projets liés. Le projet, mené par la DG DIGIT, sera supervisé par un groupe de pilotage créé au sein du sous-groupe de travail sur la sécurité du CII (comité informatique interinstitutionnel). 1.6. Type de marché Le projet sera mis en œuvre au moyen d une étude externe, en faisant appel aux contratscadres disponibles à la DG DIGIT. FR 6 FR

1.7. Calendrier et montants indicatifs Le budget prévisionnel de 500 000 EUR sera alloué à un contrat unique. Le calendrier suivant est proposé: Spécifications du projet et lancement de la procédure de passation de marché: d'ici mai 2015 Sélection du contractant et lancement de l étude: d'ici juin 2015 Mise à disposition des résultats de l étude: d'ici décembre 2015 1.8. Mode de mise en œuvre L action sera directement mise en œuvre par la DG DIGIT en coopération avec les services concernés 7 de la Commission. 7 L autorité Crypto chargée de l agrément des systèmes cryptographiques est le directeur de la HR.DS. FR 7 FR

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back