clusir - mars 2002 j-françois mahe- 1 - incas in tégration dans la c onception des a pplications...
TRANSCRIPT
CLUSIR - mars 2002J-François MAHE - 1 -
INCASINtégration dans la Conception des
Applications de la Sécurité
CLUSIR - mars 2002J-François MAHE - 2 -
SOMMAIRESOMMAIRE
Introduction
Présentation générale
Démarche
Conclusion
CLUSIR - mars 2002J-François MAHE - 3 -
Présentation généralePrésentation générale
Elle s’adresse principalement aux équipes de projet
Elle implique la MOA, la MOE et les pôles de compétences technique
Elle propose une suite d ’actions de sécurité courtes
Elle intègre les quatre facteurs de base de la sécurité
Elle s’appuie sur un système de classification de la gravité du risque
C’est une démarche créée par le CLUSIF en 1992 qui est partie intégrante des méthodes de conduite de projet
CLUSIR - mars 2002J-François MAHE - 4 -
Intégration des quatre facteurs de base de la sécurité
Intégration des quatre facteurs de base de la sécurité
la Disponibilité (Dn) garantie de continuité de service et de performances
l ’Intégrité (In) garantie d ’exactitude, d ’exhaustivité et de validité de l ’information
la Confidentialité (Cn) garantie de non accès illicite en lecture ou en divulgation de l ’information
la Preuve et le Contrôle (Pn) garantie d ’auditabilité et de non répudiation
CLUSIR - mars 2002J-François MAHE - 5 -
Système de classification de la gravité du risqueSystème de classification de la gravité du risque
Gravité d’un risque Grille d ’aversion au risque
Impact Potentialité 1 2 3 4
0 0 0 0 0
1 0 1 2 3
2 0 1 3 4
3 1 2 3 4
4 1 2 3 4
CLUSIR - mars 2002J-François MAHE - 6 -
Domaines d ’applicationDomaines d ’application
Conception et développement de projets traditionnels
Acquisition de logiciels
Développement de projet sur micro-ordinateur
Audit d ’applications existantes par reverse engineering
CLUSIR - mars 2002J-François MAHE - 7 -
DémarcheDémarche
1ère Étape : dans les phases de conception du système
2ème Étape : dans les phases de spécifications
3ème Étape : dans les phases de développement
Elle comprend TROIS ETAPES fondamentales
CLUSIR - mars 2002J-François MAHE - 8 -
1ère Étape : dans la phase de conception du système
1ère Étape : dans la phase de conception du système
en phase de lancement définition de la gravité des risques en terme de DICP justification de cette classification et mise en relief les risques stratégiques
en étude préalable Initialisation des risques liés au développement analyse de la gravité des risques survenus sur le système existant détermination des besoins en sécurité du nouveau projet informatique classification de la gravité des risques en terme de DICP définition de mesures globales et besoins de sécurité permettant une
approche économique pour chaque scénario envisagé
en conception générale initialisation des risques liés au développement étude de la gravité des risques
CLUSIR - mars 2002J-François MAHE - 9 -
2ème Étape : dans les phases de spécifications2ème Étape : dans les phases de spécifications
en spécifications fonctionnelles initialisation des risques des risques liés au développement traduction des besoins de sécurité en fonctions et services de sécurité à mettre
en œuvre
en conception technique initialisation des risques des risques liés au développement préciser pour les fonctions et services retenus les mécanismes de sécurité à
mettre en œuvre
CLUSIR - mars 2002J-François MAHE - 10 -
3ème Étape : dans les phases de développement3ème Étape : dans les phases de développement
En réalisation, tests, recette, installation, démarrage, évaluation
CLUSIR - mars 2002J-François MAHE - 11 -
Échelle de références pour l ’évaluation des risques (1)
Échelle de références pour l ’évaluation des risques (1)
Stratégique : niveau 4 des pertes financières inacceptables (ex : centaines de millions d ’euros et
milliards) des pertes immédiates d ’une activité ou d ’un métier de l ’entreprise des sanctions judiciaires au plus haut niveau de responsabilité
Critique : niveau 3 des pertes financières importantes (ex : quelques dizaines de millions d ’euros à
100 millions) une nuisance grave à l ’image de marque une perte importante de marchés, de clientèle une infraction majeure à la législation une nuisance organisationnelle jugée importante sur l ’ensemble de l ’entreprise une gêne susceptible de fausser les décisions et les orientations des dirigeants
CLUSIR - mars 2002J-François MAHE - 12 -
Échelle de références pour l ’évaluation des risques (2)
Échelle de références pour l ’évaluation des risques (2)
Sensible : niveau 2 des pertes financières significatives (ex : quelques centaines de milliers d ’euros
à 10 millions) une nuisance significative à l ’image de marque une perte significative de clientèle une nuisance organisationnelle jugée significative par l ’utilisateur un manque à la réglementation, comptable et/ou fiscale la non atteinte des objectifs visés par un projet important
Faible : niveau 1 de faibles nuisances, interne au domaine considéré et peu gênant pour
l ’utilisateur