Sûreté de fonctionnement informatique : un nécessaire changement d échelle Jean-laude Laprie Toulouse, 28-30 septembre 2005
Sûreté de fonctionnement Etat de l art en (quelques) statistiques hangement d échelle de la sûreté de fonctionnement Le réseau d excellence ReSIST onclusion
Sûreté de fonctionnement : aptitude à délivrer un service de confiance justifiée Service délivré par un système : son comportement tel que perçu par son, ou ses utilisateurs Utilisateur : autre système en interaction avec le système considéré Fonction d un système : ce à quoi le système est destiné, décrite par la spécification fonctionnelle Service correct : le service délivré accomplit la fonction du système Défaillance (du service) : événement qui survient lorsque le service délivré dévie du service correct, soit parce qu il n est plus conforme à la spécification, soit parce que la spécification ne décrit pas de manière adéquate la fonction du système Erreur : partie de l état susceptible d entraîner une défaillance Faute : cause adjugée ou supposée d une erreur Modes de défaillance : manières selon lesquelles un système peut défaillir, classées selon leur gravité Sûreté de fonctionnement : aptitude à éviter des défaillances du service plus fréquentes ou plus graves qu acceptable Défaillances du service plus fréquentes ou plus graves qu acceptable: défaillances de la sûreté de fonctionnement
Sûreté de Fonctionnement Prêt à l utilisation ontinuité du service Absence de conséquences catastrophiques pour l environnement Absence de divulgations non-autorisées de l information Absence d altérations inappropriées du système Aptitude aux réparations et aux évolutions Disponibilité Fiabilité Sécurité onfidentialité Intégrité Maintenabilité (-innocuité) Actions autorisées Sécurité (-immunité) Absence d accès ou de manipulations non-autorisés de l état du système
onséquences Activation Propagation onséquences Défaillances Fautes Erreurs Défaillances Fautes Disponibilité Fiabilité Sécurité onfidentialité Intégrité Maintenabilité (-innocuité) Prévention des fautes Tolérance aux fautes Elimination des fautes Prévision des fautes
Défaillances Fautes Erreurs Défaillances Fautes Phase de création ou d occurrence Frontières système Dimension ause phénoménologique Intention Fautes de développement Fautes opérationnelles Fautes internes Fautes externes Fautes matérielles Fautes logicielles Fautes naturelles Fautes dues à l homme Fautes non malveillantes Fautes malveillantes Domaine Détectabilité ohérence Défaillances en valeur Défaillances retard Défaillances avance Défaillances par arrêt Défaillances erratiques Défaillances signalées Défaillances non signalées Défaillances cohérentes Défaillances incohérentes apacité Persistance Fautes accidentelles Fautes délibérées Fautes d incompétence Fautes permanentes Fautes temporaires onséquences Défaillances mineures Défaillances catastrophiques
Fautes Phase de création ou d occurrence De développement Opérationnelles Frontières système Internes Internes Externes Dimension Logicielles Matérielles Matérielles Matérielles Logicielles ause Dues à phénoménologique l homme Dues à l homme Nat Nat Nat Dues à l homme Dues à l homme Intention Non mal Mal Mal Non mal Non mal Non mal Non mal Non malveillantes Mal Mal Non malveillantes apacité Acc Dél Inc Dél Dél Acc Dél Inc Acc Acc Acc Acc Dél Inc Dél Dél Acc Dél Inc Persistance Per Per Per Per Per Per Per Per Per Per Tem Per Tem Tem Tem Per Tem Per Tem Tem Per Tem Tem Per Tem Bugs logicielles Bombes logiques Errata mat Défauts Prod Dégr phys Agressions physiques Tentat. intrusion V V Erreurs d entrée Fautes de développement Fautes physiques Fautes d interaction
Fautes dues à l homme Intention Non malveillantes Malveillantes apacité Accidentelles (erreurs) Délibérées (décisions malheureuses) D incompétence Délibérées Interaction (opérateurs, équipes de maintenance) et Développement (concepteurs, réalisateurs) Individus & organisations Décision par jugement professionnel indépendant, par commission d enquête, ou par action juridique devant tribunal Logiques malignes : bombes logiques, chevaux de Troie, portes dérobées, canaux cachés virus, vers, zombies Tentatives d intrusion, y compris dénis de service
Défaillances Fautes Erreurs Défaillances Fautes Activation ou occurrence Propagation onséquences (interaction, composition) ommodité pour arrêt récursion de causalité Dépend du contexte Fautes d interaction Présence antérieure vulnérabilité : faute interne (y compris omission) qui permet à faute externe de causer des dommages Fautes solides Reproductibilité activation Fautes furtives Fautes furtives et Fautes temporaires (internes, externes) Fautes intermittentes Erreur altère service (perçue par utilisateur(s))
Sûreté de fonctionnement Attributs Moyens Menaces Disponibilité Fiabilité Sécurité-innocuité onfidentialité Intégrité Maintenabilité Prévention des fautes Tolérance aux fautes Elimination des fautes Prévision des fautes Fautes Erreurs Défaillances
Attributs Disponibilité / Fiabilité Sécurité-innocuité onfidentialité Intégrité Maintenabilité Prévention des fautes Tolérance aux fautes Détection d erreur Rétablissement du système Traitement d erreur Traitement de faute Sûreté de fonctionnement Moyens Elimination des fautes En développement En vie opérationnelle Vérification Diagnostic Vérification statique Vérification dynamique orrection Vérification de non-régression Maintenance curative ou préventive Prévision des fautes Evaluation ordinale ou qualitative Evaluation probabiliste ou quantitative Modélisation Tests opérationnels Entraves Fautes Erreurs Défaillances De développement Physiques D interaction
Juin 1980 : Fausses alertes à des attaques massives de fusées soviétiques au NORAD Août 1986-1987 : Le "Wily hacker" pénètre des dizaines de centres informatiques sensibles 15 Janvier 1990 : Indisponibilité totale du téléphone interurbain aux Etats-Unis, pendant 9h Février 1991 : Scud raté par un Patriot à Dhahran Novembre 1992 : Ecroulement des communications du service d'ambulances de Londres 4 Juin 1996 : Défaillance du vol 501 d'ariane 5 onfidentialité Sécurité-innocuité 17 Juillet 1997: Mélange des adresses du domaine internet.com Disponibilité/Fiabilité Distribuées Juin 1985 - Janvier 1987 : Doses excessives de radiothérapie (Therac-25) 26 et 27 Juin 1993 : Refus des cartes de crédit dans les distributeurs de monnaie en France Défail. Localisées Développement Interaction Physiques Fautes 13 Avril 1998 : Ecroulement réseau de données d'at&t Février 2000 : Engorgement de grands portails Web Mai 2000 : Virus "I love you" Juillet 2001 : Ver "ode Red" Août 2003 : Propagation de panne électrique dans le Nord-Est des USA et le anada
Nombre de défaillances en fonction classes fautes [conséquences et durée de panne largement dépendantes de l application] Systèmes cœur (par ex., traitements transactionnels, commutation électronique, serveurs Internet dorsaux) Systèmes contrôlés (par ex., avions commerciaux, réseau téléphonique, serveurs Internet frontaux) Fautes Rang Proportion Rang Proportion Physiques internes 3 ~ 10% 2 15-20% Physiques externes 3 ~ 10% 2 15-20% D interactions humaines * 2 ~ 30% 1 40-50% Développement 1 ~ 50% 2 15-20% * Recherche des causes premières montre qu elles peuvent être souvent attribuées à des fautes de développement, elles-même consécutives à une sous-estimation des interactions homme-système dans le processus de développement
99.9999% 99.999% Telephonie fixe Disponibilié 99.99% 99.9% 99% Systèmes informatiques Téléphonie mobile Internet 9% 1950 1960 1970 1980 1990 D après J. Gray, Dependability in the Internet era Disponibilité Durée indisponibilité/an 2000 omplexité Pression économique 0,999999 0,99999 0,9999 0,999 0,99 0,9 32s 5mn 15s 52mn 34s 8h 46mn 3j 16h 36j 12h
Durée moyenne d'indisponibilité (Minutes / an / système) 100 80 60 40 20 Autocommutateurs AT&T 3A 3B 1A 0 0 1 2 3 4 5 6 7 Années depuis mise en service Tandem omputers Nombre Durée (ans) lients 2000 7000 Systèmes 9000 30000 Processeurs 25500 80000 Disques 74000 200000 Indisponibilités rapportées 438 MTBF Système 21 ans MTBF (ans) 450 400 Maintenance 350 Environnement 300 Matériel 250 200 150 Exploitation 100 50 0 Logiciel Total
Netraft Statistiques temps fonctionnement sites Web Sources de défaillance sites Web (3 sites, 6 mois, 500-5000 serveurs/sites) 1800 Temps fonctionnement (h) 1600 1400 1200 Moy 1000 Max 800 600 400 Moy 259 200 Moy 92 0 12849 4389 6298 2605 1895 1337 1312 1084 1027 936 809 744 695 611 Nombre requêtes www.daiko-lab.co.jp www.whitehouse.gov www.google.com www.microsoft.com Erreurs exploitation 51% Matériel 15% Logiciel 34% D après D. Patterson, A. Brown, A. Fox, Recovery-oriented computing
Enquête annuelle sur les dommages informatiques en France LUSIF (2000, 2001, 2002) Occurrences Attaques sur l' image Divulgations, fraudes, extorsions Attaques logiques ciblées Malveillances 29% 100% 80% 60% 40% 20% 0% Vols Déf. int. Sabotage physique Impact des occurrences Perte serv. ess. auses accidentelles 71% Défaillances internes Evén. nat. 25,0% 20,0% 15,0% 10,0% 5,0% 0 Err. utilis. auses accidentelles Err. conc. Perte de services essentiels Infec. virus Evénements naturels Accidents physiques Erreurs d'utilisation Erreurs de Infections conception par virus Vols Malveillances Faible Moyen Fort Sabotage physique Vols Attaques sur l' image Divulgations, fraudes, extorsions Attaques logiques ciblées Malveillances 71% Perception des risques auses accidentelles 29% Défaillances internes 30,0% 20,0% 10,0% Perte de services essentiels Erreurs de Infections conception par virus Tendances sur 3 ans stable accroissement diminution Evénements naturels Accidents physiques Erreurs d'utilisation
D après N. Bowen (IBM), Autonomic omputing
atalyst 5000 isco 7000 atalyst 5000 SY ST EMS S ER E TH NE XT S EL E T R ES ET T X R X L A S ER E TH NE XT S EL E T R ES ET T X R X L P WR P WR B D A B D A A B NE XT S EL E T R ES ET T X R X L S ER E TH D P WR B D A 48 VD 48 VD 5V D OK SH UT DOWN A SX-1000 A 5V D OK SH UT DOWN AU TIO N:D oub le Pole /ne utr al fu sin g AU TIO N:D ou ble Po le/n eut fral usin g F1 2A /25 0V F 12A /25 0V isco 7000 SD SY ST EMS atalyst 5000 S ER E TH NE XT S EL E T R ES ET T X R X L A S ER E TH NE XT S EL E T R ES ET T X R X L P WR P WR B D A B D A B NE XT S EL E T R ES ET T X R X L S ER E TH D P WR A B D A 48 VD 48 VD 5V D OK SH UT DOWN A SX-1000 A 5V D OK SH UT DOWN AU TIO N:D oub le Pole /ne utr al fu sin g AU TIO N:D ou ble Po le/n eut fral usin g F1 2A /25 0V F 12A /25 0V isco 7000 SD isco 7000 5000 isco 7000 atalyst 5000 atalyst 5000 atalyst 5000 isco 7000 atalyst 2926 isco 7000 atalyst 2926 atalyst 5000 isco 7000 Ferme de serveurs (500 serveurs) Microsoft.com Network Diagram anyon Park Data enter 4A2 1A2 3D2 1A2 R ES ET T X R XL P WR S ER E TH NE XT S EL E T 3A2 2A2 R ES ET T X R XL P WR S ER E TH NE XT S EL E T 4A2 FE5/0/0 FE4/0/0 HSRP HSRP ATM0/0/0.1 IPMDISTFA1001 2A2 ATM0/0/0.1 IPMDISTFA1002 ATM0/0/0.1 ATM0/0/0.1 FE4/0/0 FE5/0/0 HSRP HSRP IPMSOM7505 IPMSOM7506 FE4/1/0 FE4/1/0 FE4/1/0 FE4/1/0 ATM0/0/0.1 ATM0/0/0.1 Port 1/2 Port 1/2 HSRP HSRP Port 1/1 Port 1/1 IPMSOM7501 IPMSOM7502 IPMSOM7503 IPMSOM7504 HSRP HSRP IPMSFTDL2921 (MSOM DL1) IPMSFTDL2922 (MSOM DL2) FE4/0/0 Port 1/1 Port 1/1 FE4/0/0 FE4/0/0 Port 1/1 Port 1/1 FE4/0/0 Port 2/1 Port 2/1 Port 2/1 Port 2/1 atalyst DOWNLOAD.MIROSOFT.OM DOWNLOAD.MIROSOFT.OM PMSFTWBD01 PMSFTWBD05 PMSFTWBD06 PMSFTWBD07 PMSFTWBD08 PMSFTWBD03 PMSFTWBD04 PMSFTWBD09 PMSFTWBD10 PMSFTWBD11 ATIVEX.MIROSOFT.OM HTMLNEWS(pvt).MIROSOFT.OM IPMSOM5001 (MSOM1) IPMSOM5002 (MSOM2) IPMSOM5003 (MSOM3) IPMSOM5004 (MSOM4) PMSFTWBA02 PMSFTWBA03 NTSERVIEPAK.MIROSOFT.OM PMSFTWBV01 PMSFTWBV02 PMSFTWBV03 PMSFTWBV04 PMSFTWBV05 WWW.MIROSOFT.OM PMSFTWBW26 PMSFTWBW37 PMSFTWBW28 PMSFTWBW38 PMSFTWBW30 PMSFTWBW39 REGISTER.MIROSOFT.OM PMSFTWBR01 PMSFTWBR07 PMSFTWBR02 PMSFTWBR08 PMSFTWBR06 SUPPORT.MIROSOFT.OM PMSFTWBT04 PMSFTWBT06 PMSFTWBT05 PMSFTWBT08 PREMIUM.MIROSOFT.OM PMSFTWBP01 PMSFTWBP03 PMSFTWBP02 WINDOWSMEDIA.MIROSOFT.OM PMSFTWBJ06 PMSFTWBJ09 PMSFTWBJ07 PMSFTWBJ10 PMSFTWBJ08 ASKSUPPORT.MIROSOFT.OM PMSFTWBAM01 PMSFTWBAM03 PMSFTWBAM01 PMSFTWBAM04 SvcsWINDOWSMEDIA.MIROSOFT.OM PMSFTWBJ21 PMSFTWBJ22 ODES.MIROSOFT.OM PMSFTWBJ16 PMSFTWBJ19 PMSFTWBJ17 PMSFTWBJ20 PMSFTWBJ18 WWW.MIROSOFT.OM PMSFTWBW24 PMSFTWBW35 PMSFTWBW31 PMSFTWBW40 PMSFTWBW32 PMSFTWBW41 PMSFTWBW33 PMSFTWBW42 PMSFTWBW34 PMSFTWBW43 SEARH.MIROSOFT.OM PMSFTWBS01 PMSFTWBS10 PMSFTWBS02 PMSFTWBS11 PMSFTWBS03 PMSFTWBS12 PMSFTWBS04 PMSFTWBS13 PMSFTWBS05 PMSFTWBS14 PMSFTWBS06 PMSFTWBS15 PMSFTWBS07 PMSFTWBS16 PMSFTWBS08 PMSFTWBS17 PMSFTWBS09 PMSFTWBS18 KBSEARH.MIROSOFT.OM PMSFTWBT40 PMSFTWBT43 PMSFTWBT41 PMSFTWBT44 PMSFTWBT42 OFFIEUPDATE.MIROSOFT.OM PMSFTWBO01 PMSFTWBO04 PMSFTWBO02 PMSFTWBO07 WWW.MIROSOFT.OM PMSFTWBW08 PMSFTWBW36 PMSFTWBW13 PMSFTWBW44 PMSFTWBW14 PMSFTWBW45 PMSFTWBW29 SUPPORT.MIROSOFT.OM PMSFTWBT01 PMSFTWBT03 PMSFTWBT02 PMSFTWBT07 WINDOWS98.MIROSOFT.OM PMSFTWBJ01 WINDOWSMEDIA.MIROSOFT.OM PMSFTWBJ06 PMSFTWBJ09 PMSFTWBJ07 PMSFTWBJ10 PMSFTWBJ08 PremOFFIEUPDATE.MIROSOFT.OM PMSFTWBO30 PMSFTWBO32 PMSFTWBO31 GL.MIROSOFT.OM PMSFTWBG03 PMSFTWBG04 PMSFTWBG04 PMSFTWBG05 PMSFTWBG05 BAKOFFIE.MIROSOFT.OM PMSFTWBB01 PMSFTWBB04 PMSFTWBB03 WWW.MIROSOFT.OM PMSFTWBW01 PMSFTWBW27 PMSFTWBW15 PMSFTWBW46 PMSFTWBW25 PMSFTWBW47 REGISTER.MIROSOFT.OM PMSFTWBR03 PMSFTWBR09 PMSFTWBR04 PMSFTWBR10 PMSFTWBR05 WINDOWS.MIROSOFT.OM PMSFTWBY01 PMSFTWBY03 PMSFTWBY02 PMSFTWBY04 WINDOWSMEDIA.MIROSOFT.OM PMSFTWBJ01 PMSFTWBJ03 PMSFTWBJ02 PMSFTWBJ05 MSDN.MIROSOFT.OM PMSFTWBN01 PMSFTWBN03 PMSFTWBN02 PMSFTWBN04 INSIDER.MIROSOFT.OM PMSFTWBI01 PMSFTWBI02 SearchMSP.MIROSOFT.OM PMSFTWBM03 WINDOWS_Redir.MIROSOFT.OM PMSFTWBY05 PMSFTWBH01 PMSFTWBH03 PMSFTWBH02 HOTFIX.MIROSOFT.OM PMSFTFTPA01 DMIROSOFT.OM PMSFTWB01 PMSFTWB03 PMSFTWB02 IUSMQUE5001 (OMMUNIQUE1) NEWSLETTERS.MIROSOFT.OM PMSFTSMTPQ01 PMSFTSMTPQ02 NEWSWIRE.MIROSOFT.OM PITGMSGR01 PITGMSGR02 OMMUNITIES.MIROSOFT.OM PMSFTNGXA01 PMSFTNGXA04 PMSFTNGXA02 PMSFTNGXA05 PMSFTNGXA03 FTP.MIROSOFT.OM PMSFTFTPA03 PMSFTFTPA05 PMSFTFTPA04 PMSFTFTPA06 MSDNNews.MIROSOFT.OM PMSFTWBV21 PMSFTWBV23 PMSFTWBV22 MSDNSupport.MIROSOFT.OM PMSFTWBV41 PMSFTWBV42 IUSMQUE5002 (OMMUNIQUE2) Microsoft.com Stagers, Build and Misc. Servers Build Servers NEWSLETTERS PMSFTSMTPQ11 PMSFTSMTPQ12 PMSFTSMTPQ13 PMSFTSMTPQ14 PMSFTSMTPQ15 NEWSWIRE PMSFTWBQ01 PMSFTWBQ02 PMSFTWBQ03 INTERNAL SMTP PMSFTSMTPR01 PMSFTSMTPR02 NEWSWIRE PITGMSGD01 PITGMSGD02 PITGMSGD03 STATS PITGMSGD04 PITGMSGD05 PITGMSGD07 PITGMSGD14 PITGMSGD15 PITGMSGD16 PMSFTSTA14 PMSFTSTA15 PMSFTSTA16 OMMUNITIES INTERNET-BUILD INTERNETBUILD17 INTERNET-BUILD1 INTERNETBUILD18 INTERNET-BUILD2 INTERNETBUILD19 INTERNET-BUILD3 INTERNETBUILD20 INTERNET-BUILD4 INTERNETBUILD21 INTERNET-BUILD5 INTERNETBUILD22 INTERNET-BUILD6 INTERNETBUILD23 INTERNET-BUILD7 INTERNETBUILD24 INTERNET-BUILD8 INTERNETBUILD25 INTERNET-BUILD9 INTERNETBUILD26 INTERNETBUILD10 INTERNETBUILD27 INTERNETBUILD11 INTERNETBUILD30 INTERNETBUILD12 INTERNETBUILD31 INTERNETBUILD13 INTERNETBUILD32 INTERNETBUILD14 INTERNETBUILD34 INTERNETBUILD15 INTERNETBUILD36 INTERNETBUILD16 INTERNETBUILD42 Stagers PMSFTRA10 PMSFTRS01 PMSFTRA14 PMSFTRS02 PMSFTRA15 PMSFTRS03 PMSFTRA32 PMSFTSGA01 PMSFTRB02 PMSFTSGA02 PMSFTRB03 PMSFTSGA03 PMSFTRP01 PMSFTSGA04 PMSFTRP02 PMSFTSGA07 PMSFTRP03 PPTP / Terminal Servers PMSFTPPTP01 PMSFTTRVA01 PMSFTPPTP02 PMSFTTRVA02 PMSFTPPTP03 PMSFTTRVA03 PMSFTPPTP04 Monitoring Servers PMSFTHMON01 PMSFTMONA01 PMSFTHMON02 PMSFTMONA02 PMSFTHMON03 PMSFTMONA03 Live SQL Servers PMSFTSQLA05 PMSFTSQLA23 PMSFTSQLA06 PMSFTSQLA24 PMSFTSQLA08 PMSFTSQLA25 PMSFTSQLA09 PMSFTSQLA26 PMSFTSQLA14 PMSFTSQLA27 PMSFTSQLA16 PMSFTSQLA36 PMSFTSQLA18 PMSFTSQLA37 PMSFTSQLA20 PMSFTSQLA38 PMSFTSQLA21 PMSFTSQLA39 PMSFTSQLA22 Misc. SQL Servers PMSFTSQLD01 PMSFTSQLR01 PMSFTSQLD02 PMSFTSQLR02 PMSFTSQLE01 PMSFTSQLR03 PMSFTSQLF01 PMSFTSQLR05 PMSFTSQLG01 PMSFTSQLR06 PMSFTSQLH01 PMSFTSQLR08 PMSFTSQLH02 PMSFTSQLR20 PMSFTSQLH03 PMSFTSQLS01 PMSFTSQLH04 PMSFTSQLS02 PMSFTSQLI01 PMSFTSQLW01 PMSFTSQLL01 PMSFTSQLW02 PMSFTSQLM01 PMSFTSQLX01 PMSFTSQLM02 PMSFTSQLX02 PMSFTSQLP01 PMSFTSQLZ01 PMSFTSQLP02 PMSFTSQLZ02 PMSFTSQLP03 PMSFTSQLZ04 PMSFTSQLP04 PMSFTSQL01 PMSFTSQLP05 PMSFTSQL02 PMSFTSQLQ01 PMSFTSQL03 PMSFTSQLQ06 Microsoft.com SQL Servers SQL SQL SQL SQL SQL SQL SQL SQL SQL SQL SQL SQL Backup SQL Servers PMSFTSQLB05 PMSFTSQLB22 PMSFTSQLB06 PMSFTSQLB23 PMSFTSQLB08 PMSFTSQLB24 PMSFTSQLB09 PMSFTSQLB25 PMSFTSQLB14 PMSFTSQLB26 PMSFTSQLB16 PMSFTSQLB27 PMSFTSQLB18 PMSFTSQLB36 PMSFTSQLB20 PMSFTSQLB37 PMSFTSQLB21 PMSFTSQLB38 PMSFTSQLB39 onsolidator SQL Servers PMSFTSQL02 PMSFTSQL24 PMSFTSQL03 PMSFTSQL25 PMSFTSQL06 PMSFTSQL26 PMSFTSQL08 PMSFTSQL27 PMSFTSQL16 PMSFTSQL30 PMSFTSQL18 PMSFTSQL36 PMSFTSQL20 PMSFTSQL37 PMSFTSQL21 PMSFTSQL38 PMSFTSQL22 PMSFTSQL39 PMSFTSQL23 IPMGT7501 FE4/1/0 Port 1/1 Port 2/12 Port 1/2 IPMSBA5502 IPMSBA5001 FE4/1/0 Port 1/1 IPMGT7502 Microsoft.com Server ount FTP 6 Build Servers 32 210 Application 2 Exchange 24 Network/Monitoring 12 SQL 120 Search 2 NetShow 3 NNTP 16 SMTP 6 Stagers 26 Total 459 Drawn by: Matt Groshong Last Updated: April 12, 2000 IP addresses removed by Jim Gray to protect security D après J. Gray, Dependability in the Internet era
(Raisonnablement) maîtrisé: haute sûreté de fonctionnement pour systèmes critiques vis-à-vis sécurité-innocuité ou disponibilité Avionique, signalisation ferroviaire, commande-contôle nucléaire, etc. Traitement transactionnel, serveurs dorsaux, etc. roissance continue de la complexité (applications web, serveurs frontaux, réseaux de systèmes enfouis ; fixes ou mobiles) Ecart en sûreté de fonctionnement entre confiance attendue par utilisateurs et réalité statistique hangement d échelle de la sûreté de fonctionnement En complément de la prévention et de l élimination des fautes, Accent sur Tolérance aux Fautes
Accent sur Tolérance aux Fautes Fautes accidentelles, physiques ou de développement Malveillances [intrusions, attaques en déni de service, virus Attaques continues] Erreurs d interaction homme-système [administration système, configuration, maintenance] Vulnérabilités [certaines inévitables pour utilisabilité] Réseau d excellence européen ReSIST [ for Survivability in Information Society Technologies]
hanges Functional changes Environmental changes Technological changes Dependability scalability Scalability Properties Extensibility omposability Adaptivity onsistency Scaling Technologies Evolvability Assessability Usability Diversity Building Technologies Design Verification Evaluation
Building Technologies Design Verification Evaluation Scaling Technologies Evolvability Assessability Usability Diversity Integration Technologies Knowledge Base -Explicit omputing
Joint Programme of Activities (JPA) Joint Programme of Integration (JPI) Joint Programme of Research (JPR) Joint Programme of Excellence Spreading (JPES) Joint Programme of Management (JPM) Integration Operations Meetings and Workshops Exchange of Personnel o-advised Doctorate Theses Integration Technologies Knowledge Base - Explicit omputing Approach Scaling Technologies Evolvability Assessability Usability Diversity Building Technologies Design Verification Evaluation Training Syllabuses ourseware Seminars Dissemination Best Practices Awareness Operational Management Executive Board Knowledge Base Editorial ommittee Training and Dissemination ommittee Strategic Management Scientific ouncil Governing Board
Physical (PA) Fault class resilience Partners Accidental Mobility ountry Malicious (M) Development (DA) Interaction (IA) 71 researchers plus 44 students, 3 year (initial) duration Academia (A) / Industry (I) PA DA IA M Budapest PA HU A ity University DA IA M UK A Darmstadt PA DA DE A DeepBlue IA IT I Eurecom M x FR A France Telecom PA M x FR I IBM Zurich M H I IRISA PA DA x FR A IRIT IA FR A Kaunas PA DA LT A LAAS [coordinator] PA DA M x FR A Lisbon PA M x PT A Newcastle DA IA M UK A Pisa PA DA IA IT A Qinetiq DA M UK I Roma-La Sapienza PA x IT A Ulm DA DE A
omplexité mal maîtrisée Robustesse naturelle décroissante Substituts à l informatique En voie de disparition