Limites et mérites de l'évaluation des logiciels

Magazine
Marque
MISC
HS n°
Numéro
9
Mois de parution
juin 2014
Domaines


Résumé

Les militaires ont été les premiers à tenter « d'industrialiser » un processus permettant d'évaluer la sécurité des systèmes informatiques. Ces travaux ont été à l’origine en 1984 de la parution du « livre orange » dont l'impact sur ces sujets fut déterminant. D'autres travaux en ont découlé avec la parution en 1991 des ITSEC puis des Critères Communs. Ces approches « normalisées » de l'évaluation et de la certification sécuritaire imposant répétabilité et reproductibilité des analyses ont souvent été accueillies avec un certain scepticisme, voir un certain rejet de la part des « experts » informatiques pour qui l'expertise pure, avec toute la subjectivité qu'elle comporte, est la seule approche valable. En pratique, ces deux approches sont indissociables. C'est du moins ce que tente de démontrer l'article qui suit.


1. L’enjeu de l’évaluation sécuritaire

La sûreté est une discipline qui consiste à protéger l’environnement d’une défaillance (accidentelle) d’un objet ou d’une fonction critique (ex. : une centrale nucléaire, un train automatique…). La sécurité consiste à protéger un objet ou une fonction critique d’une malveillance (intentionnelle) venant de son environnement. L’enjeu est donc très différent, car il n’est pas possible d’appréhender et d’anticiper toutes les possibilités et les capacités des agents menaçants à un instant donné. L’évaluation sécuritaire évoquée ici consiste ainsi à estimer, mesurer, quantifier la capacité d’une fonction, d’un produit voire d’un système à atteindre des objectifs de sécurité qui lui sont fixés par rapport à ce que l’on sait et ce que l’on imagine des attaques possibles à un instant donné (lors de l’évaluation). Ces objectifs peuvent couvrir la conformité à des...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Gérer une violation de données à caractère personnel

Magazine
Marque
Linux Pratique
HS n°
Numéro
51
Mois de parution
juin 2021
Domaines
Résumé

Certains réseaux sociaux laissent s’envoler dans la nature les données de plusieurs centaines de millions d’utilisateurs sans même communiquer sur l’incident. Heureusement, cet irrespect des données à caractère personnel n’est pas une pratique généralisée et le RGPD définit un cadre précis pour la gestion d’une violation de données.

Feuilles de route des États pour le développement des technologies quantiques

Magazine
Marque
MISC
Numéro
115
Mois de parution
mai 2021
Domaines
Résumé

Le cyberespace ne cesse de s’étendre. Les progrès réalisés en informatique quantique ces dernières années participent de cette dynamique. Les questions qui se posent ont trait à la construction et à la maîtrise de ce nouvel environnement : quels sont les moteurs de cet engouement planétaire pour les technologies quantiques ? Qui sont les acteurs dominants de la R&D ? Le quantique peut-il reconfigurer la scène internationale ? Le premier chapitre décrira les forces en présence, les initiatives étatiques en faveur de la R&D et de l’industrie. Le second chapitre s’intéressera plus spécifiquement aux enjeux de sécurité et de défense associés aux technologies quantiques.

Où en est-on du Pearl Harbor numérique ?

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Emblème du marketing par la peur pour les uns, cygne noir pour les autres, cette appellation désigne l’éventualité d’une attaque informatique éclair contre un pays et qui serait paralysante pour son économie. Le terme fait couler de l’encre depuis au moins 20 ans [1] et nourrit moult fantasmes. Mais sont-ce des fantasmes ? D’aucuns diraient que si en 20 ans il ne s’est rien passé, c’est probablement qu’il y a eu un alarmisme exagéré.

Stocker ses secrets dans Git, une mauvaise pratique pouvant avoir de lourdes conséquences

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Dans un rapport datant d’avril 2020, GitLab indique que 18 % des dépôts analysés sur gitlab.com comportaient des problèmes de gestion des secrets. Quelles peuvent être les conséquences liées à ces erreurs ? Quelle stratégie adopter pour gérer au mieux ses secrets ?

Les taxonomies se cachent pour ne pas mourir

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.