News Letter n° 4 septembre 2007
Transcription
News Letter n° 4 septembre 2007
News Letter n° 4 Septembre 2007 Sommaire Edito Edito Le mot du Président p. 1 Par Philippe Recouppé, Président de Forum ATENA News - Intelligence Economique p. 2 Par Jean-Marc Beignon Président de l'atelier Intelligence Economique de Forum ATENA - L’ISEP et Forum ATENA Par Denis Beautier p. 4 « Pour les nuls » La certification Critères communs p. 5 Par Gérard Peliks, Président de l’atelier Sécurité de Forum ATENA La vie des Ateliers Quoi de neuf sur le marché des technologies vocales ? p. 9 Par Philippe Poux, Président de l’atelier Solutions Vocales et Relation Client de Forum ATENA Agenda Les Rendez-Vous de la rentrée p. 10 Salons Evènement Le clin d’œil de Forum ATENA *** Si vous souhaitez contribuer à notre prochaine édition, n’hésitez à nous faire part de vos suggestions à l’adresse [email protected] www.forumatena.org Forum ATENA poursuit son action pour la création de partenariats avec les grandes écoles d'ingénieurs et de commerce et les universités très impliquées dans le domaine des NTIC. Après le succès de nos événements à L'INT, puis à l'EPITA, c'est Telecom Lille 1 - école d'ingénieurs, qui nous accueillera le 6 décembre. A lire également dans cette lettre les appels à projets de l'ISEP (Institut Supérieur d'Électronique de Paris), afin qu'ensemble nous concrétisions le rapprochement enseignement supérieur / entreprises. Dans l'actualité de cette rentrée, l'annonce du rapprochement de Altice (Numéricable) et Completel démontre une fois de plus la place privilégiée des opérateurs d'infrastructure sur le marché français. A Forum ATENA, bien sûr nous nous félicitons du dynamisme de ces acteurs, et des niveaux d'investissement annoncés, mais nous militons également pour que d'autres acteurs, mixtes ou plus orientés services, puissent trouver leurs places. Les récentes consultations de l'ARCEP sur les infrastructures d'accès démontrent trop le poids important donné en France aux acteurs d'infrastructure par rapport aux acteurs de services télécoms. Afin de défendre la place des opérateurs de services, Forum ATENA contribuera à l'une des consultations en cours. La parcellisation de la régulation des infrastructures d'accès ne nous parait pas contribuer à un développement concurrentiel et durable du marché de détail, objectif premier de la régulation car elle met plutôt en péril l'équilibre économique des investisseurs d'infrastructures d'accès, par une remise en cause de leur rentabilité. Les ateliers Forum ATENA se développent. Au delà des ateliers Sécurité, ToIP et Solution vocales et relation client qui poursuivent leur développement et vous attendent, l'atelier Intelligence Économique qui vient d'être créé vous ouvre ses portes, à lire dans cette News. Merci de nous lire, merci de nous faire connaître, et à bientôt sur notre site www.forumatena.org ou lors de nos manifestations. Philippe Recouppé - Président de Forum ATENA Page 1 sur 10 News Letter n° 4 Septembre 2007 NEWS L’Intelligence Economique Forum Atena ; on démarre ! et le Vous connaissez évidemment Gérard Péliks. Lui et moi sommes complices de longue date. Nous nous sommes connus dans les années 80, et avons sévi ensemble pendant plusieurs années dans une entreprise aujourd’hui disparue, mais qui a marqué ceux qui ont eu l’opportunité d’y travailler, Digital Equipment, DEC, comme on disait à l’époque !! Après bien des pérégrinations dont les détails n’intéresseront personne, je suis devenu Consultant et Formateur en Intelligence Economique. Le hasard ou la nécessite nous ont alors mis de nouveau en relations, et j’ai participé à l'écriture du fameux ouvrage collectif : « La sécurité à l'usage des PME et TPE ». Intervient Gérard Dupin dans cette histoire, et je ne sais plus lequel des deux Gérards m’a proposé de créer un atelier IE au sein de Forum Atena. Le résultat est que j’ai accepté ! L’objectif de cet article, est donc triple : Me présenter en quelques lignes, Pour ceux qui ne sauraient pas du tout ce qu’est l’IE, en brosser un panorama non exhaustif, Proposer les premières actions. Qui je suis Travaillant en indépendant, mon activité ne couvre évidemment pas tous les secteurs de l’IE. Je me focalise sur l’aide que je peux apporter aux entreprises pour mieux « comprendre leur environnement et agir », en mettant en œuvre la méthodologie E=(SC)2 que j’ai conçue. Par ailleurs, je participe à des colloques et sensibilise à l'Intelligence Economique les Comités de Direction ainsi que des groupes de managers. C’est ce type de conférence que je donne également aux étudiants de dernière année de l'ISEP, de l'ECE et de l'ESME Sudria. L’Ecole Européenne d’Intelligence Economique m’a par ailleurs demandé de présenter à ses étudiants l’apport de E=(SC)2, et j’enseigne cette méthodologie dans le cadre du Mastère spécialisé en Intelligence Economique de l’EISTI. Je suis également membre de la FéPIE, Fédération Professionnelle de l’IE, et membre fondateur du Cercle d’Intelligence Economique du MEDEF Paris Ouest. www.forumatena.org J’ai écrit deux ouvrages : "Intelligence Economique et Entreprise; comprendre son environnement pour agir" élu meilleur ouvrage 2006 traitant de l'IE par l'Académie de l'IE (Prix IEC'06). "Cohérences et Incohérences; cinq entreprises mises en pièces", édité par l’IFIE, Institut Français d’Intelligence Economique, en mars 2007. Je ne vais évidemment pas ici décrire la méthodologie E=(SC)2. Si vous voulez en savoir plus, il suffit d’aller sur mon site : www.esc-2.com L’IE, qu’est-ce que c’est ? Il y a de très nombreuses définitions, et si vous voulez vous amuser, je vous conseille de télécharger le rapport de 2003 du député Bernard Carayon, qui en compile une bonne trentaine, dont certaines sont parfaitement incompréhensibles, et pourtant écrites par des personnes qui se voulaient sérieuses, voire spécialistes. Ce qui démontre s’il en était besoin, les difficultés rencontrés par l’IE trouver sa place et sortir de l’académisme. Donc, tout d’abord, ce que ce n’est pas. Fondamental : il ne faut pas confondre espionnage et IE. La différence est simple : L’espionnage est illégal, l’IE s’appuie sur des pratiques parfaitement légales. C’est ainsi que la FéPIE fait signer à ses membres une charte de déontologie où on peut lire à l’article 2 : « Les signataires de la Charte s’engagent à n’avoir recours qu’à des moyens légaux dans l’exercice de leur profession, quel que soit le lieu d’application de leur activité. », et à l’article 5 : « Les signataires de la Charte s’engagent à ne fournir que des informations accessibles par des moyens légaux. ». On ne peut être plus clair. Mais finalement, l’IE, qu’est-ce que c’est ? Le plus simple est de citer Alain Juillet, le Haut Responsable à l'Intelligence Economique : « L’intelligence Economique, c’est la maîtrise et la protection de l’information stratégique pour tous les acteurs économiques ». Cette discipline est donc fondamentalement liée à l’information, donc aux TIC, et concerne, non seulement les entreprises, mais également les pouvoirs publics, les collectivités locales et même les individus, les citoyens. Page 2 sur 10 News Letter n° 4 Septembre 2007 Mais concrètement ? Pour faire simple, je vais ici citer ce que j’écrivais au chapitre « Externaliser la Veille Stratégique », de « La sécurité à l'usage des PME et TPE ». « […] il est possible de schématiser [ l’IE ]sous forme d’un cycle : A la Veille, au KM, s’ajoute dans la bulle 3, le Décisionnel. Ce qui démontre un lien fort avec les TIC. Pour ce qui concerne la sécurité du Patrimoine Immatériel, pas besoin de s’appesantir sur le lien. Dans la partie « action », se situe par exemple ce qu’en France on refuse de qualifier de lobbying pour parler d’Influence. 2 La traiter, la distribuer, la protéger 1 Chercher, Trouver, la bonne information L’I.E 3 Pour décider 4 Et agir Comme tout schéma, celui-ci est quelque peu simplificateur, mais suffit à notre propos. L’information dont nous parlons est ici à interpréter comme à la fois interne et externe à l’entreprise. Interne : elle recoupe le patrimoine de compétences et de connaissances, et donc induit en particulier la notion de Management des Compétences, ou « Knowledge Management », KM comme disent les Anglo-Saxons. C’est ce dont on parle en évoquant la « protection du patrimoine immatériel. » La sécurité est prépondérante. Externe : C’est à ce niveau que se situe le lien avec la notion de Veille, à savoir qu’il s’agit des informations sur son environnement, propres à influencer les décisions, voire la stratégie. Mais la Veille s’arrête trop souvent à l’information brute ; il peut être important de la traiter, de l’interpréter, à la www.forumatena.org lumière de Modèles et en utilisant des Outils permettant de la valoriser. On est alors au-delà de la Veille au sens strict du terme ; c’est à ce niveau que se situe le métier d’Analyste, suivant la classification de la Fédération des Professionnels de l’IE. » Les premières actions Ce que je vous propose tout d’abord, pour aller plus loin que ces quelques lignes, c’est d’organiser une conférence que je coanimerai avec Bernard Besson, Chargé de Mission auprès du Haut Responsable à l'Intelligence Economique. L’objectif sera de vous montrer sur des exemples concrets, l’intérêt de mettre en place un système d’IE cohérent. Bernard m’a donné son accord de principe ; il suffit maintenant de trouver une date. La deuxième action programmée sera un colloque commun avec le pôle Sécurité animé par Gérard Péliks. Dès que possible, Gérard et moi vous en dirons plus. D’autres actions vont évidemment vous être proposées dans les semaines et les mois qui viennent, dont certaines pourraient être en partenariat avec une école réputée. Je souhaite que nombre d’entre vous participent à ces actions, et, puisque ce sera la première, le lancement, à la conférence avec Bernard Besson. A bientôt. Jean-Marc Beignon Président de l'atelier Intelligence Economique de Forum ATENA Page 3 sur 10 News Letter n° 4 L’ISEP et Forum ATENA L’ISEP (Institut Supérieur d’Electronique de Paris, www.isep.fr) est une école qui forme des ingénieurs généralistes dans les TIC depuis plus de 50 ans au cœur de Paris. Les liens à l’international sont très forts. Il propose notamment des Master Of Science pour un public international avec des enseignements en langue anglaise. Il propose aussi un éventail de solutions de formations professionnelles et continues à travers des Mastères Spécialisés et des formations inter et intra entreprise sur mesure, à très forte valeur ajouté. Ses laboratoires de Recherches permettent de mener des actions de R&D à la pointe. Dans tous ces domaines, le lien avec le milieu des entreprises est primordial. Il permet d’être à l’écoute des besoins du marché. Il semble donc naturel d’entretenir des relations avec une association dont l’une des vocations est de favoriser le rapprochement école / entreprises. Si tel est le cas avec Forum ATENA, des échanges pourraient s’opérer à plusieurs niveaux : - proposer des sujets de projets de 2 à 4 élèves et participer à leur encadrement en conjointement avec les professeurs de l’ISEP. Ces projets peuvent être de 2 ordres : o projets de 2d année de cycle ingénieur : durée 6 mois, sujet à définir au plus tard en octobre, tout thèmes possibles, avec études et/ou réalisation o projets de fin d’études (3ième année de cycle ingénieur) : durée 6 mois, sujet à définir le plus tôt possible pour les options : Electronique des systèmes Intégration de système et conduite de projet Réseaux et télécommunications : infrastructures et services Systèmes d'information Systèmes embarqués Télécommunications majeur Multimédia ou majeur Réseaux sans fils Septembre 2007 o Tout ou partie des sujets des thèses professionnelles pour les Mastères Spécialisés : public de professionnel, durée 6 à 12 mois, sur les thèmes : Protection des Données à Caractère Personnel Conception de Services à Valeur Ajouté au dessus des Plates-Formes de Services d’opérateurs télécom - proposer de sujet de stages pour ces 3 populations - proposer de thème de conférences pour ces 3 populations - proposer de sujet de R&D pour nos chercheurs et thésards, - proposer des partenariats de projets de R&D avec l’ISEP via nos laboratoires reconnus par le ministère - proposer des intervenants pour assurer des enseignements - proposer des professionnels hautement avisés pour participer aux Comités de Pilotages de nos divers cursus Je reste à votre disposition pour tout autre idée d’échange. Je reste à l’écoute sur les types d’échanges qui vous intéresse le plus. Denis Beautier Responsable des Formations Entreprises Professeur [email protected] 01 49 54 52 20 o projets pour les Master Of Science, public international, durée 6 mois, au fil de l’eau, en langue anglaise, sujet à définir le plus tôt possible. Information Technology Electronics and Telecommunications www.forumatena.org Page 4 sur 10 News Letter n° 4 Septembre 2007 La certification Critères Communs expliquée à ceux qui croient encore à la sécurité subjective. Assurance de sécurité subjective, assurance de sécurité objective On peut penser qu’un produit de sécurité est luimême sécurisé et assume bien son rôle parce que son voisin dont la sécurité repose sur le même produit ne s’en est jamais plaint. On peut penser que si un produit de sécurité est développé ou commercialisé par une organisation qui a bonne réputation sur le marché de la sécurité, ce produit est sûr. On peut également admettre que si un produit coûte cher, c’est qu’il est bon. Et plutôt que de comparer deux produits, mieux vaut comparer la réputation de leurs concepteurs, leurs professions de foi ou encore leurs réseaux de distribution et leurs parts de marché. Ou alors on se base sur des référentiels différents. On peut considérer qu’un produit de sécurité assure sa fonction, n’assure que sa fonction et toute sa fonction, s’il est passé à travers une batterie de tests, les mêmes pour tous les produits équivalents, qui poussent à un niveau suffisant les contrôles sur toute la surface des fonctionnalités attendues de ce produit et avec une profondeur suffisante. On peut vouloir vérifier, par un certificat, que ces tests ont été réalisés par un organisme indépendant et que le résultat a reçu l’aval d’un organisme d’état, reconnu sur le plan international. On veut être persuadé que deux produits assurant les mêmes fonctionnalités ont passé les mêmes tests, avec le même degré d’exigence, sur la même surface des produits et la même profondeur d’évaluation. Au premier paragraphe est décrite une assurance de sécurité qu’on pourrait qualifier de « plutôt subjective ». Vous y croyez à cette sécurité ? Moi non plus ;-) Au deuxième paragraphe, on décrit une assurance de sécurité objective qui, de plus, permet de comparer deux produits équivalents. Vous préférez ? Alors bienvenue dans le monde des Critères Communs ! L’évolution de la certification des technologies à travers les âges Au début des années 1980, le Département de la Défense US (DoD) émet un appel d’offre pour que soit proposé un moyen de s’assurer qu’une technologie logicielle ou matérielle possède bien la sécurité nécessaire à son utilisation. Ainsi fut écrit l’Orange Book qui définissait des niveaux de sécurité (de D à A1) mais qui ne permettait pas d’avoir des critères de comparaison entre plusieurs www.forumatena.org produits de même nature. De plus l’Orange Book était surtout reconnu aux US et ne tenait pas compte des spécificités européennes. Quatre pays européens, la France, l’Allemagne, le Royaume Unis et les Pays Bas écrivirent d’autres spécifications avec les ITSEC, reconnus uniquement en Europe et qui ne permettaient toujours pas de comparer des produits. Le Canada écrivit dans le même temps ses propres critères d’évaluation. Alors que s’annonçait le 21eme siècle, tous ces pays unirent leurs travaux pour définir une nouvelle méthodologie pour s’assurer qu’un produit remplit ses fonctions, et pas plus, et pas moins, avec un niveau d’assurance quantifié. Ainsi furent élaborés les Critères Communs, dont la version 2 devint une norme internationale (l’ISO 15408). Contenu des critères communs Les critères communs forment un ensemble de spécifications qui évolue grâce aux travaux d’un groupe d’experts. La version actuelle 3.1 se compose de trois volumes : « Introduction et modèle général » qui explique ce que sont les critères communs (87 pages), les « exigences fonctionnelles » qui sont essentiellement une bibliothèque d’éléments qui décrivent les fonctionnalités de sécurité pouvant être mises en œuvre par le produit (204 pages) et les « exigences et les niveaux d’assurance » qui sont essentiellement une bibliothèque d’éléments pour s’assurer que les mesures de sécurité sont conformes aux spécifications et sont efficaces, en accord avec le niveau de certification visé (241 pages). Ces volumes sont écrits en anglais et il existe aussi une version française pour la version 2 des Critères Communs. PP, ST et TOE Un produit est évalué Critères Communs, non pas pour l’ensemble de ses fonctionnalités et de son code, ce serait illusoire et ce ne serait d’ailleurs jamais atteint, mais sur un espace restreint appelé une « cible de sécurité ». Bien évidemment, plus la cible est petite, plus elle est facile à atteindre. Aussi l’astuce, pour l’éditeur du produit qui se lance dans un processus de certification, serait de définir dans la cible, seulement les fonctionnalités dont il sait qu’elles passeront les tests sans problème. L’important n’est-il pas d’obtenir le diplôme de Page 5 sur 10 News Letter n° 4 certification pour prendre un avantage marketing sur ses concurrents ? Et qui va savoir qu’un produit de sécurité certifié ne l’est que sur une infime partie de sa surface ? Mais cela n’irait certainement pas dans l’intérêt de ceux qui achètent le produit et pas non plus dans l’intérêt de l’organisme qui engage sa réputation en signant le certificat Critères Communs. Alors, pour éviter qu’un éditeur ne se lance dans un jeu subtil de découpage de la cible de sécurité qu’il définit pour ne proposer de soumettre aux tests qu’une fine dentelle du produit, il a été prévu la notion de « Profil de Protection » (PP : Protection Profile). Un profil de protection est une cible de sécurité générique propre à un type d'équipement et ou à une communauté d'utilisateurs, comme, par exemple les Firewalls ou les passerelles VPN, que tout éditeur qui veut faire certifier un produit, se doit de soumettre aux tests. Ainsi, deux concurrents, qui se lancent dans une démarche de certification, feront passer les tests sur une cible de sécurité qui ne peut avoir une surface inférieure au Profil de Protection de cette famille de produits. Mais qui écrit, pour une famille de produits donnée, un profil de protection ? Ce peut être un organisme officiel comme, en France, la DCSSI ou l’AFNOR. En fait, un profil de protection peut être proposé par n’importe qui, y compris par un éditeur, mais il faut que ce profil soit certifié pour devenir une référence utilisable. Le commanditaire de la certification doit rédiger une cible de sécurité (ST : Security Target) qui définit la surface de son produit qui va subir les tests de certification. S’il existe pour ce produit un ou plusieurs profils de protection, une partie du travail est faite puisque la cible de sécurité doit au moins inclure ce ou ces profils de protection. Pour la rédaction de la cible de sécurité, le profil de protection est un bon début. S’il n’y en a pas, la rédaction de la cible de sécurité se fait « from scratch ». Le travail est alors plus long, les ressources à mettre en œuvre plus conséquentes et bien entendu, la cible de sécurité doit être acceptée par l’organisme signataire de la certification (en France la DCSSI) avant que les tests de certification ne puissent commencer. Souvent les premières versions de la cible sont jugées insuffisantes. Alors commence un va et vient entre le commanditaire et la DCSSI, coûteux en temps et en ressources. Dans la cible de sécurité sont définies les menaces auxquelles le produit doit faire face et comment il se comporte pour les contrer et le ou les profils de protection auxquels on se réfère. On définit aussi la surface d’évaluation en choisissant parmi les éléments fonctionnels du volume 2 des Critères Communs, ceux qui correspondent aux www.forumatena.org Septembre 2007 fonctionnalités à tester. On décide du niveau de certification qu’on souhaite atteindre, ce qui décide des éléments d’assurance qu’il faut inclure dans les tests. On décrit très précisément aussi la cible d’évaluation qui va être soumise aux tests : la TOE (Target Of Evaluation). Les tests vont donc porter sur la TOE (Target Of Evaluation) décrite dans la ST (Security Target) qui doit au moins être aussi large que le ou les PP (Protection Profile) auxquels elle se réfère. Classes, familles, composants et paquets Les « composants » sont les plus petites parcelles qui seront utilisées pour définir soit les éléments de la technologie à tester (composants fonctionnels) soit la manière de conduire les tests (composants d’assurance). Pour rationaliser et simplifier les Critères Communs, ces composants sont regroupés en familles, et les familles sont regroupées en classes. Chaque famille est un ensemble de composants qui s’imbriquent suivant une structure hiérarchique car un composant peut dépendre de la présence d’autres composants dans une même famille. La version 3 des Critères Communs décrit 11 classes fonctionnelles qui définissent ce qu’on peut tester et 9 classes d’assurance qui définissent comment sont conduits les tests, plus de 120 familles réparties entre classes fonctionnelles et classes d’assurance et plusieurs centaines de composants. Choisir un niveau d’assurance, c’est s’imposer de mettre dans la Cible de Sécurité un certain nombre de classes (donc avec toutes leurs familles et tous leurs composants), un certain nombre de familles en dehors des classes déjà imposées et un certain nombre de composants en plus des composants imposés par les classes et les familles. Le tout forme un « paquet ». C’est ce paquet qui va être évalué, pour atteindre le niveau de certification souhaité. On peut également rajouter d’autres éléments non imposés, ou des éléments imposés dans un niveau d’évaluation supérieur. On appose alors le signe « + » à la suite du niveau d’évaluation, qui signifie « augmenté de tels composants non imposés par le niveau d’évaluation choisi ». Ces composants supplémentaires figurent dans le certificat. Les niveaux d’évaluation Un produit peut être certifié Critère Commun sur l’un des sept niveaux d’évaluation (EAL1 à EAL7). Chaque niveau impose un certain paquet, composé de classes, familles et composants d’assurance définis dans le volume 3 des Critères Communs. Un niveau impose l’ensemble des éléments du paquet du niveau au-dessous auquel on ajoute, de manière Page 6 sur 10 News Letter n° 4 imposée, d’autres classes, familles et composants d’assurance. EAL1 est le plus bas niveau des Critères Communs et définit des tests de fonctionnement en boîte noire : on s’assure que le produit se comporte conformément à ce qui est écrit dans sa documentation. EAL2 définit des tests de fonctionnement en boîte blanche : on commence à regarder comment est conçu le produit avant de s’assurer qu’il fait bien ce qu’il est censé faire. Les Firewalls et les passerelles VPN visent, en général, le niveau EAL2+. Avec EAL4 on commence à vérifier des parties du code source du produit. C’est le niveau le plus élevé dans la hiérarchie de la certification pour des technologies construit à l’aide de méthodes de développement standards. Au-delà commence le domaine de la certification des technologies mettant en œuvre des méthodes de développement plus spécifiques et rigoureuses. On commence alors à parler de spécifications semi-formelles et formelles. EAL7, le plus haut niveau, impose des spécifications formelles c’est à dire que les spécifications sont exprimées dans un langage syntaxique basé sur des concepts mathématiques. Si un produit conception, certification atteindre au EAL4+. n’a pas été pensé, dès le début de sa avec la volonté d’atteindre une Critères Communs, il ne pourra plus que le niveau de certification Commanditaires, CESTI et DCSSI Le commanditaire est celui qui veut faire certifier un produit. En théorie, ce devrait être celui qui achète le produit car il est le plus concerné par l’utilisation qu’il veut en faire. En pratique c’est l’éditeur du produit qui demande le processus de certification (et donc engage les dépenses et mobilise ses ressources) pour tirer un avantage marketing du certificat obtenu, ou simplement parce que son client, c’est le cas de certaines administrations, exige cette certification à un certain niveau. Bien sûr, ce n’est pas le commanditaire qui teste son produit mais un cabinet indépendant et incorruptible, le CESTI. Il existe deux CESTI en France pour mener les certifications des logiciels (AQL et Oppida) et trois CESTI pour les produits matériels avec logiciel embarqué (CESTI LETI, Serma Technologies et CEACI). Ces CESTI doivent constamment prouver et leur compétence et leur sérieux qui font l’objet d’un contrôle et d’une surveillance par la DCSSI et sont de plus accrédités et surveillés selon une norme qualité par un organisme d’état, le COFRAC. Les tests étant satisfaisants, le CESTI porte le dossier de certification à la DCSSI, qui dépend du www.forumatena.org Septembre 2007 SGDN, organisme interministériel qui signe le certificat et publie sur son site Web la cible de sécurité certifiée et le rapport de certification. Les services de la DCSSI sont gratuits mais bien entendu ceux du CESTI, qui est un organisme privé, sont payants. La longue marche vers la certification S ‘engager dans une démarche de certification Critères Communs, c’est emprunter un chemin long, sinueux et coûteux car cela suppose un travail important qui peut s’étaler sur plus d’un an. Le coût d’une certification de EAL2+ à EAL4+ peut s’élever à plus de 100000 euros à verser au CESTI, sans compter les ressources que le commanditaire de la certification doit mettre en œuvre en interne et dont le coût de revient est équivalent à celui du CESTI. Bien entendu plus le niveau de certification à atteindre est élevé (EAL1 à EAL7), plus le budget à prévoir doit être conséquent. S’il existe un Profil de Protection pour la technologie à évaluer pour le niveau de certification souhaité, c’est déjà un bon point, sinon, la rédaction de la cible de sécurité et les allés venues entre le rédacteur de la cible et la DCSSI qui trouvera la cible insuffisante à ses débuts, constitueront un travail à ne pas négliger. Evidemment, le CESTI est là pour tester, pas pour debogger votre produit alors gare, si on en arrive là, vous n’êtes pas près d’obtenir la certification souhaitée dans un délai raisonnable. Il tombe sous le sens qu’il ne faut chercher à ne faire certifier que des produits dans une version stable et mature. Le certificat et ses limites Comme pour tout diplôme, il convient de lire attentivement son contenu, car il peut cacher bien des pièges. D’abord, un produit n’est pas certifié Critères Communs dans l’absolu mais, par exemple pour la version 3.1 des Critères Communs, au niveau EAL2 augmenté de tels composants d’assurance (EAL2+) et seulement dans le périmètre de telle cible de sécurité. Il faut connaître ce que signifie le niveau de certification obtenu qui donne le degré de confiance qu’on peut accorder au produit. Ensuite le produit n’est pas certifié jusqu’à la fin des temps mais pour une certaine version, sur un certain système d’exploitation, et parfois seulement pour tourner sur certains matériels (c’est le cas des appliances de sécurité). Comme la certification du produit s’est étalée sur plus d’une année, la version du produit proposée sur le marché n’est plus, en général, celle qui a été soumise aux tests. Ses évolutions ont pu introduire des vulnérabilités non couvertes et de plus les menaces ont aussi évolué. Des processus ont donc été mis au point par les organismes de certification internationaux, permettant d’une part de surveiller la Page 7 sur 10 News Letter n° 4 résistance d’un produit certifié dans le temps, et d’autre part d’étendre la validité du certificat d’un produit à ses éventuelles nouvelles versions, dans la mesure où les changements apportés n’impactent pas son niveau de sécurité. Septembre 2007 Ceci étant précisé, il faut reconnaître qu’un commanditaire qui s’engage dans une démarche de certification Critères Communs réalise une action responsable et ses équipes de développement peuvent acquérir, ne serait-ce que par obligation, de très bonnes habitudes. On ne ressort jamais de ce processus comme on y était rentré la première fois. Cérémonie de signature des premiers accords de reconnaissance mutuelle des Critères Communs à Washington DC. On reconnaît, pour la France, le Général Jean-Louis Desvignes qui est par ailleurs un participant fidèle aux événements de l’atelier sécurité de Forum ATENA. Gérard Peliks, EADS et président de l’atelier sécurité de Forum ATENA Glossaire CC CESTI COFRAC DCSSI DoD EAL ITSEC PP SGDN ST TOE Common Criteria Centre d’Evaluation de la Sécurité des Technologies de l’Information Comité Français d'Accréditation Direction Centrale de la Sécurité des Systèmes d’Information Department of Defense (US) Evaluation Assurance Level (EAL1 à EAL7) Information Technology Evaluation Criteria Protection Profile Secrétariat Général de la Défense Nationale Security Target Target of Evaluation Références www.ssi.gouv.fr http://www.commoncriteriaportal.org/ www.forumatena.org Page 8 sur 10 News Letter n° 4 Septembre 2007 L’ACTUALITÉ DES ATELIERS Quoi de neuf dans les technologies vocales ? Parce que l’on est toujours plus près d’un mobile que d’une connexion internet … ce ne sont plus seulement les centres de relation client qui aiment le téléphone, mais aussi les nouveaux sites locaux et ouverts sur les utilisateurs (le fameux web 2.0). Ainsi, SpinVox propose un système permettant de poster des commentaires directement en reconnaissance de la parole, que ce soit sur son propre blog ou sur un site de news comme truemors.com (créé par l’ancien évangéliste d’Apple, Guy Kawasaki). Les vacances sont finies ... il va falloir ranger ET commenter vos photos ! Yodio est là pour vous y aider, en enregistrant vos commentaires depuis votre téléphone mobile. Vous pourrez ensuite le envoyer par email, les poster sur votre blog ... Google, toujours actif, investigue le marché de l’annuaire et de l’information locale et teste son 1-800-GOOG-411 … tout en gagnant un des trophées WebWare ! (A suivre sur http://labs.google.com/goog411 ) Nuance, mise aussi sur les annuaires et annonce, le même jour, un accord avec Jingle Networks pour son 1-800-FREE 411 et un avec le portail vocal Say Hello, portail de recherche locale. Preuve, s'il en est, que le marché des annuaires va vers l'automatisation ... et que Nuance compte en rester le leader. Enfin, une startup, Vlingo, avec des anciens de SpeechWorks et Nokia, dont la baseline n’est rien d’autre que : Why Tap when you can Talk ? Quoi de révolutionnaire ? Tout simplement que c’est une applet sur le téléphone qui permet d’accéder à des services vocalement … et non l’appel à un serveur vocal distant !!! Blinkx, spécialiste de la recherche vidéo vient de lancer une première plate-forme de publicité vidéo, basée sur une recherche contextuelle, AdHoc, qui utilise pour cela la technologie de reconnaissance vocale. Dans la même logique, Powerset nous explique que la recherche sur internet mérite l’aide d’une analyse sémantique … et propose de le faire aussi à la voix ! Passons sur les nombreux jeux, robots, GPS et systèmes embarqués (comme le Blu&Me de la dernière Fiat 500) et même l’adorable lapin NaBazTag, qui se sont mis à nous écouter, ce qui continue de prouver que la voix est l’interface la plus naturelle. Il est clair que l’universalité du téléphone redonne sa place au dialogue ... mais pas seulement ! Ainsi de McDonald’s qui, cet été, annonce qu’au Japon, les clients pourront acheter leur burger et payer avec un simple SMS ! Le tout en créant une société en commun avec NTT DoCoMo … et avec tous les avantages de traçabilité et de profiling client que ne permet pas le paiement cash … Puisque l’on parle paiements, on suivra aussi avec intérêt VoicePay, qui se propose de sécuriser les paiements par empreinte vocale … Pour rencontrer les acteurs, échanger sur les bonnes pratiques et participer aux réflexions, rejoignez l’atelier “solutions vocales et relation client” en écrivant à [email protected]. Toute l’actualité des technologies vocales sur : blog.vocalexpo.com Philippe Poux Président de l’atelier Solutions Vocales et Relation Client de Forum ATENA. www.forumatena.org Page 9 sur 10 News Letter n° 4 AGENDA Cette rubrique vous permet de connaître les prochains rendez-vous de la profession que nous organisons ou pour lesquels nous sommes partenaires. Ils sont aussi l’occasion de nous rencontrer et de vous faire participer à ces échanges. N’hésitez pas à consulter régulièrement la rubrique « Agenda » sur notre site web pour consulter les dernières mises à jour directement. Les Rendez-vous de la rentrée Mardi 3 octobre 2007 Septembre 2007 Dimanche 16 septembre Le clin d’œil de Forum ATENA Dans le cadre des Journées du Patrimoine et celui de l'Association Paris Historique, Martine Houlbert fera visiter la très belle Brasserie Bofinger rue de la Bastille, le dimanche 16 septembre de 9H30 à 11H30 et de 15H30 à 18H30 (coupure à l’heure du déjeuner pour le service). Si vous êtes intéressés, elle vous indiquera quelques autres lieux accessibles à pied intéressants à visiter pour compléter le déplacement. Toutes les visites sont naturellement gratuites. Renseignements : Martine Houlbert [email protected] Solutions Demat avec l'intervention de Gérard Peliks, EADS et président de l’atelier sécurité de Forum ATENA Certificat et signature électroniques : notions essentielles, applications et mise œuvre mercredi 3 octobre 2007 de 10 h 30 à 12 h 30 au Cnit Paris La Défense Prochain événement Forum ATENA 6 décembre 2007 "Certification des technologies, des organisations et des personnes" Renseignements et Inscriptions : Accès gratuit après inscription obligatoire sur www.salons-solutions.com 3, 4 et 5 octobre 2007 IP Convergence Expo rassemble les salons Convention VoIP, Mobile Office et M2M Forum. Jours d’ouverture : 3 - 4 - 5 octobre 2007 Lieu : Paris Expo - Porte de Versailles Halls 5.2 et 5.3 Horaires : 9h à 18h les 3 et 4 octobre et de 9h à 16h le 5 octobre. Renseignements et inscriptions : www.ipconvergence.fr www.forumatena.org Evénement de l'atelier sécurité sur la "certification des technologies, des organisations et des personnes". L'état de l'art présenté par les meilleurs experts et les solutions les plus performantes sur ces certifications. Jeudi 6 décembre de 14h00 à 18h00 à Télécom Lille 1 - Ecole d'Ingénieurs (Villeneuve d'Ascq) Renseignements et Inscriptions [email protected] : Page 10 sur 10