News Letter n° 4 septembre 2007

News Letter n° 4
Septembre 2007
Sommaire
Edito
Edito
Le mot du Président p. 1
Par Philippe Recouppé,
Président de Forum ATENA
News
- Intelligence Economique p. 2
Par Jean-Marc Beignon
Président de l'atelier
Intelligence Economique de
Forum ATENA
- L’ISEP et Forum ATENA
Par Denis Beautier p. 4
« Pour les nuls »
La certification Critères
communs p. 5
Par Gérard Peliks, Président
de l’atelier Sécurité de Forum
ATENA
La vie des Ateliers
Quoi de neuf sur le marché
des technologies vocales ? p. 9
Par Philippe Poux, Président
de l’atelier Solutions Vocales
et Relation Client de Forum
ATENA
Agenda
Les Rendez-Vous de la rentrée
p. 10
Salons
Evènement
Le clin d’œil de Forum ATENA
***
Si vous souhaitez contribuer à
notre
prochaine
édition,
n’hésitez à nous faire part de vos
suggestions
à
l’adresse
[email protected]
www.forumatena.org
Forum ATENA poursuit son action pour la création de
partenariats avec les grandes écoles d'ingénieurs et de
commerce et les universités très impliquées dans le domaine
des NTIC.
Après le succès de nos événements à L'INT, puis à l'EPITA,
c'est Telecom Lille 1 - école d'ingénieurs, qui nous accueillera
le 6 décembre. A lire également dans cette lettre les appels à
projets de l'ISEP (Institut Supérieur d'Électronique de Paris),
afin qu'ensemble nous concrétisions le rapprochement
enseignement supérieur / entreprises.
Dans l'actualité de cette rentrée, l'annonce du rapprochement
de Altice (Numéricable) et Completel démontre une fois de plus
la place privilégiée des opérateurs d'infrastructure sur le
marché français.
A Forum ATENA, bien sûr nous nous félicitons du dynamisme
de ces acteurs, et des niveaux d'investissement annoncés,
mais nous militons également pour que d'autres acteurs, mixtes
ou plus orientés services, puissent trouver leurs places. Les
récentes consultations de l'ARCEP sur les infrastructures
d'accès démontrent trop le poids important donné en France
aux acteurs d'infrastructure par rapport aux acteurs de services
télécoms.
Afin de défendre la place des opérateurs de services, Forum
ATENA contribuera à l'une des consultations en cours. La
parcellisation de la régulation des infrastructures d'accès ne
nous parait pas contribuer à un développement concurrentiel et
durable du marché de détail, objectif premier de la régulation
car elle met plutôt en péril l'équilibre économique des
investisseurs d'infrastructures d'accès, par une remise en
cause de leur rentabilité.
Les ateliers Forum ATENA se développent. Au delà des
ateliers Sécurité, ToIP et Solution vocales et relation client qui
poursuivent leur développement et vous attendent, l'atelier
Intelligence Économique qui vient d'être créé vous ouvre ses
portes, à lire dans cette News.
Merci de nous lire, merci de nous faire connaître, et à bientôt
sur notre site www.forumatena.org ou lors de nos
manifestations.
Philippe Recouppé - Président de Forum ATENA
Page 1 sur 10
News Letter n° 4
Septembre 2007
NEWS
L’Intelligence Economique
Forum Atena ; on démarre !
et
le
Vous connaissez évidemment Gérard Péliks. Lui et
moi sommes complices de longue date. Nous nous
sommes connus dans les années 80, et avons sévi
ensemble pendant plusieurs années dans une
entreprise aujourd’hui disparue, mais qui a marqué
ceux qui ont eu l’opportunité d’y travailler, Digital
Equipment, DEC, comme on disait à l’époque !!
Après bien des pérégrinations dont les détails
n’intéresseront personne, je suis devenu Consultant
et Formateur en Intelligence Economique. Le
hasard ou la nécessite nous ont alors mis de
nouveau en relations, et j’ai participé à l'écriture du
fameux ouvrage collectif : « La sécurité à l'usage
des PME et TPE ».
Intervient Gérard Dupin dans cette histoire, et je ne
sais plus lequel des deux Gérards m’a proposé de
créer un atelier IE au sein de Forum Atena. Le
résultat est que j’ai accepté !
L’objectif de cet article, est donc triple :
Me présenter en quelques lignes,
Pour ceux qui ne sauraient pas du tout ce qu’est
l’IE, en brosser un panorama non exhaustif,
Proposer les premières actions.
Qui je suis
Travaillant en indépendant, mon activité ne couvre
évidemment pas tous les secteurs de l’IE.
Je me focalise sur l’aide que je peux apporter aux
entreprises pour mieux « comprendre leur
environnement et agir », en mettant en œuvre la
méthodologie E=(SC)2 que j’ai conçue.
Par ailleurs, je participe à des colloques et
sensibilise à l'Intelligence Economique les Comités
de Direction ainsi que des groupes de managers.
C’est ce type de conférence que je donne
également aux étudiants de dernière année de
l'ISEP, de l'ECE et de l'ESME Sudria.
L’Ecole Européenne d’Intelligence Economique m’a
par ailleurs demandé de présenter à ses étudiants
l’apport de E=(SC)2, et j’enseigne cette
méthodologie dans le cadre du Mastère spécialisé
en Intelligence Economique de l’EISTI.
Je suis également membre de la FéPIE, Fédération
Professionnelle de l’IE, et membre fondateur du
Cercle d’Intelligence Economique du MEDEF Paris
Ouest.
www.forumatena.org
J’ai écrit deux ouvrages :
"Intelligence Economique et Entreprise; comprendre
son environnement pour agir" élu meilleur ouvrage
2006 traitant de l'IE par l'Académie de l'IE (Prix
IEC'06).
"Cohérences et Incohérences; cinq entreprises
mises en pièces", édité par l’IFIE, Institut Français
d’Intelligence Economique, en mars 2007.
Je ne vais évidemment pas ici décrire la
méthodologie E=(SC)2. Si vous voulez en savoir
plus, il suffit d’aller sur mon site : www.esc-2.com
L’IE, qu’est-ce que c’est ?
Il y a de très nombreuses définitions, et si vous
voulez vous amuser, je vous conseille de
télécharger le rapport de 2003 du député Bernard
Carayon, qui en compile une bonne trentaine, dont
certaines sont parfaitement incompréhensibles, et
pourtant écrites par des personnes qui se voulaient
sérieuses, voire spécialistes. Ce qui démontre s’il
en était besoin, les difficultés rencontrés par l’IE
trouver sa place et sortir de l’académisme.
Donc, tout d’abord, ce que ce n’est pas.
Fondamental : il ne faut pas confondre espionnage
et IE. La différence est simple : L’espionnage est
illégal, l’IE s’appuie sur des pratiques parfaitement
légales. C’est ainsi que la FéPIE fait signer à ses
membres une charte de déontologie où on peut lire
à l’article 2 : « Les signataires de la Charte
s’engagent à n’avoir recours qu’à des moyens
légaux dans l’exercice de leur profession, quel que
soit le lieu d’application de leur activité. », et à
l’article 5 : « Les signataires de la Charte
s’engagent à ne fournir que des informations
accessibles par des moyens légaux. ». On ne peut
être plus clair.
Mais finalement, l’IE, qu’est-ce que c’est ?
Le plus simple est de citer Alain Juillet, le Haut
Responsable à l'Intelligence Economique :
« L’intelligence Economique, c’est la maîtrise et la
protection de l’information stratégique pour tous les
acteurs économiques ». Cette discipline est donc
fondamentalement liée à l’information, donc aux
TIC, et concerne, non seulement les entreprises,
mais également les pouvoirs publics, les
collectivités locales et même les individus, les
citoyens.
Page 2 sur 10
News Letter n° 4
Septembre 2007
Mais concrètement ?
Pour faire simple, je vais ici citer ce que j’écrivais au
chapitre « Externaliser la Veille Stratégique », de
« La sécurité à l'usage des PME et TPE ».
« […] il est possible de schématiser [ l’IE ]sous
forme d’un cycle :
A la Veille, au KM, s’ajoute dans la bulle 3, le
Décisionnel. Ce qui démontre un lien fort avec les
TIC. Pour ce qui concerne la sécurité du Patrimoine
Immatériel, pas besoin de s’appesantir sur le lien.
Dans la partie « action », se situe par exemple ce
qu’en France on refuse de qualifier de lobbying pour
parler d’Influence.
2
La traiter,
la distribuer,
la protéger
1
Chercher,
Trouver, la bonne
information
L’I.E
3
Pour décider
4
Et agir
Comme tout schéma, celui-ci est quelque peu
simplificateur, mais suffit à notre propos.
L’information dont nous parlons est ici à interpréter
comme à la fois interne et externe à l’entreprise.
Interne : elle recoupe le patrimoine de compétences
et de connaissances, et donc induit en particulier la
notion de Management des Compétences, ou
« Knowledge Management », KM comme disent les
Anglo-Saxons. C’est ce dont on parle en évoquant
la « protection du patrimoine immatériel. » La
sécurité est prépondérante.
Externe : C’est à ce niveau que se situe le lien avec
la notion de Veille, à savoir qu’il s’agit des
informations sur son environnement, propres à
influencer les décisions, voire la stratégie. Mais la
Veille s’arrête trop souvent à l’information brute ; il
peut être important de la traiter, de l’interpréter, à la
www.forumatena.org
lumière de Modèles et en utilisant des Outils
permettant de la valoriser. On est alors au-delà de
la Veille au sens strict du terme ; c’est à ce niveau
que se situe le métier d’Analyste, suivant la
classification de la Fédération des Professionnels
de l’IE. »
Les premières actions
Ce que je vous propose tout d’abord, pour aller plus
loin que ces quelques lignes, c’est d’organiser une
conférence que je coanimerai avec Bernard
Besson, Chargé de Mission auprès du Haut
Responsable à l'Intelligence Economique. L’objectif
sera de vous montrer sur des exemples concrets,
l’intérêt de mettre en place un système d’IE
cohérent. Bernard m’a donné son accord de
principe ; il suffit maintenant de trouver une date.
La deuxième action programmée sera un colloque
commun avec le pôle Sécurité animé par Gérard
Péliks. Dès que possible, Gérard et moi vous en
dirons plus.
D’autres actions vont évidemment vous être
proposées dans les semaines et les mois qui
viennent, dont certaines pourraient être en
partenariat avec une école réputée.
Je souhaite que nombre d’entre vous participent à
ces actions, et, puisque ce sera la première, le
lancement, à la conférence avec Bernard Besson.
A bientôt.
Jean-Marc Beignon
Président de l'atelier Intelligence Economique de
Forum ATENA
Page 3 sur 10
News Letter n° 4
L’ISEP et Forum ATENA
L’ISEP (Institut Supérieur d’Electronique de Paris,
www.isep.fr) est une école qui forme des ingénieurs
généralistes dans les TIC depuis plus de 50 ans au
cœur de Paris. Les liens à l’international sont très
forts. Il propose notamment des Master Of Science
pour
un
public
international
avec
des
enseignements en langue anglaise. Il propose aussi
un
éventail
de
solutions
de
formations
professionnelles et continues à travers des
Mastères Spécialisés et des formations inter et intra
entreprise sur mesure, à très forte valeur ajouté.
Ses laboratoires de Recherches permettent de
mener des actions de R&D à la pointe.
Dans tous ces domaines, le lien avec le milieu des
entreprises est primordial. Il permet d’être à l’écoute
des besoins du marché. Il semble donc naturel
d’entretenir des relations avec une association dont
l’une des vocations est de favoriser le
rapprochement école / entreprises. Si tel est le cas
avec Forum ATENA, des échanges pourraient
s’opérer à plusieurs niveaux :
- proposer des sujets de projets de 2 à 4 élèves et
participer à leur encadrement en conjointement
avec les professeurs de l’ISEP. Ces projets
peuvent être de 2 ordres :
o projets de 2d année de cycle ingénieur : durée
6 mois, sujet à définir au plus tard en octobre,
tout thèmes possibles, avec études et/ou
réalisation
o projets de fin d’études (3ième année de cycle
ingénieur) : durée 6 mois, sujet à définir le plus
tôt possible pour les options :
Electronique des systèmes
Intégration de système et conduite de projet
Réseaux
et
télécommunications
:
infrastructures et services
Systèmes d'information
Systèmes embarqués
Télécommunications majeur Multimédia ou
majeur Réseaux sans fils
Septembre 2007
o Tout ou partie des sujets des thèses
professionnelles
pour
les
Mastères
Spécialisés : public de professionnel, durée 6 à
12 mois, sur les thèmes :
Protection des Données à Caractère
Personnel
Conception de Services à Valeur Ajouté au
dessus des Plates-Formes de Services
d’opérateurs télécom
- proposer de sujet de stages pour ces 3
populations
- proposer de thème de conférences pour ces 3
populations
- proposer de sujet de R&D pour nos chercheurs et
thésards,
- proposer des partenariats de projets de R&D
avec l’ISEP via nos laboratoires reconnus par le
ministère
- proposer des intervenants pour assurer des
enseignements
- proposer des professionnels hautement avisés
pour participer aux Comités de Pilotages de nos
divers cursus
Je reste à votre disposition pour tout autre idée
d’échange.
Je reste à l’écoute sur les types d’échanges qui
vous intéresse le plus.
Denis Beautier
Responsable des Formations Entreprises
Professeur
[email protected]
01 49 54 52 20
o projets pour les Master Of Science, public
international, durée 6 mois, au fil de l’eau, en
langue anglaise, sujet à définir le plus tôt
possible.
Information Technology
Electronics and Telecommunications
www.forumatena.org
Page 4 sur 10
News Letter n° 4
Septembre 2007
La certification Critères Communs
expliquée à ceux qui croient encore
à la sécurité subjective.
Assurance de sécurité subjective, assurance de
sécurité objective
On peut penser qu’un produit de sécurité est luimême sécurisé et assume bien son rôle parce que
son voisin dont la sécurité repose sur le même
produit ne s’en est jamais plaint. On peut penser
que si un produit de sécurité est développé ou
commercialisé par une organisation qui a bonne
réputation sur le marché de la sécurité, ce produit
est sûr. On peut également admettre que si un
produit coûte cher, c’est qu’il est bon. Et plutôt que
de comparer deux produits, mieux vaut comparer la
réputation de leurs concepteurs, leurs professions
de foi ou encore leurs réseaux de distribution et
leurs parts de marché.
Ou alors on se base sur des référentiels différents.
On peut considérer qu’un produit de sécurité assure
sa fonction, n’assure que sa fonction et toute sa
fonction, s’il est passé à travers une batterie de
tests, les mêmes pour tous les produits équivalents,
qui poussent à un niveau suffisant les contrôles sur
toute la surface des fonctionnalités attendues de ce
produit et avec une profondeur suffisante. On peut
vouloir vérifier, par un certificat, que ces tests ont
été réalisés par un organisme indépendant et que le
résultat a reçu l’aval d’un organisme d’état, reconnu
sur le plan international. On veut être persuadé que
deux produits assurant les mêmes fonctionnalités
ont passé les mêmes tests, avec le même degré
d’exigence, sur la même surface des produits et la
même profondeur d’évaluation.
Au premier paragraphe est décrite une assurance
de sécurité qu’on pourrait qualifier de « plutôt
subjective ». Vous y croyez à cette sécurité ? Moi
non plus ;-) Au deuxième paragraphe, on décrit une
assurance de sécurité objective qui, de plus, permet
de comparer deux produits équivalents. Vous
préférez ? Alors bienvenue dans le monde des
Critères Communs !
L’évolution de la certification des technologies à
travers les âges
Au début des années 1980, le Département de la
Défense US (DoD) émet un appel d’offre pour que
soit proposé un moyen de s’assurer qu’une
technologie logicielle ou matérielle possède bien la
sécurité nécessaire à son utilisation. Ainsi fut écrit
l’Orange Book qui définissait des niveaux de
sécurité (de D à A1) mais qui ne permettait pas
d’avoir des critères de comparaison entre plusieurs
www.forumatena.org
produits de même nature. De plus l’Orange Book
était surtout reconnu aux US et ne tenait pas
compte des spécificités européennes. Quatre pays
européens, la France, l’Allemagne, le Royaume
Unis et les Pays Bas écrivirent d’autres
spécifications
avec
les
ITSEC,
reconnus
uniquement en Europe et qui ne permettaient
toujours pas de comparer des produits. Le Canada
écrivit dans le même temps ses propres critères
d’évaluation.
Alors que s’annonçait le 21eme siècle, tous ces
pays unirent leurs travaux pour définir une nouvelle
méthodologie pour s’assurer qu’un produit remplit
ses fonctions, et pas plus, et pas moins, avec un
niveau d’assurance quantifié. Ainsi furent élaborés
les Critères Communs, dont la version 2 devint une
norme internationale (l’ISO 15408).
Contenu des critères communs
Les critères communs forment un ensemble de
spécifications qui évolue grâce aux travaux d’un
groupe d’experts. La version actuelle 3.1 se
compose de trois volumes : « Introduction et modèle
général » qui explique ce que sont les critères
communs
(87
pages),
les
« exigences
fonctionnelles » qui sont essentiellement une
bibliothèque
d’éléments
qui
décrivent
les
fonctionnalités de sécurité pouvant être mises en
œuvre par le produit (204 pages) et les « exigences
et
les
niveaux
d’assurance »
qui
sont
essentiellement une bibliothèque d’éléments pour
s’assurer que les mesures de sécurité sont
conformes aux spécifications et sont efficaces, en
accord avec le niveau de certification visé (241
pages). Ces volumes sont écrits en anglais et il
existe aussi une version française pour la version 2
des Critères Communs.
PP, ST et TOE
Un produit est évalué Critères Communs, non pas
pour l’ensemble de ses fonctionnalités et de son
code, ce serait illusoire et ce ne serait d’ailleurs
jamais atteint, mais sur un espace restreint appelé
une « cible de sécurité ». Bien évidemment, plus la
cible est petite, plus elle est facile à atteindre. Aussi
l’astuce, pour l’éditeur du produit qui se lance dans
un processus de certification, serait de définir dans
la cible, seulement les fonctionnalités dont il sait
qu’elles passeront les tests sans problème.
L’important n’est-il pas d’obtenir le diplôme de
Page 5 sur 10
News Letter n° 4
certification pour prendre un avantage marketing sur
ses concurrents ? Et qui va savoir qu’un produit de
sécurité certifié ne l’est que sur une infime partie de
sa surface ? Mais cela n’irait certainement pas dans
l’intérêt de ceux qui achètent le produit et pas non
plus dans l’intérêt de l’organisme qui engage sa
réputation en signant le certificat Critères
Communs.
Alors, pour éviter qu’un éditeur ne se lance dans un
jeu subtil de découpage de la cible de sécurité qu’il
définit pour ne proposer de soumettre aux tests
qu’une fine dentelle du produit, il a été prévu la
notion de « Profil de Protection » (PP : Protection
Profile).
Un profil de protection est une cible de sécurité
générique propre à un type d'équipement et ou à
une communauté d'utilisateurs, comme, par
exemple les Firewalls ou les passerelles VPN, que
tout éditeur qui veut faire certifier un produit, se doit
de soumettre aux tests. Ainsi, deux concurrents, qui
se lancent dans une démarche de certification,
feront passer les tests sur une cible de sécurité qui
ne peut avoir une surface inférieure au Profil de
Protection de cette famille de produits.
Mais qui écrit, pour une famille de produits donnée,
un profil de protection ? Ce peut être un organisme
officiel comme, en France, la DCSSI ou l’AFNOR.
En fait, un profil de protection peut être proposé par
n’importe qui, y compris par un éditeur, mais il faut
que ce profil soit certifié pour devenir une référence
utilisable.
Le commanditaire de la certification doit rédiger une
cible de sécurité (ST : Security Target) qui définit la
surface de son produit qui va subir les tests de
certification. S’il existe pour ce produit un ou
plusieurs profils de protection, une partie du travail
est faite puisque la cible de sécurité doit au moins
inclure ce ou ces profils de protection. Pour la
rédaction de la cible de sécurité, le profil de
protection est un bon début. S’il n’y en a pas, la
rédaction de la cible de sécurité se fait « from
scratch ». Le travail est alors plus long, les
ressources à mettre en œuvre plus conséquentes et
bien entendu, la cible de sécurité doit être acceptée
par l’organisme signataire de la certification (en
France la DCSSI) avant que les tests de certification
ne puissent commencer. Souvent les premières
versions de la cible sont jugées insuffisantes. Alors
commence un va et vient entre le commanditaire et
la DCSSI, coûteux en temps et en ressources.
Dans la cible de sécurité sont définies les menaces
auxquelles le produit doit faire face et comment il se
comporte pour les contrer et le ou les profils de
protection auxquels on se réfère. On définit aussi la
surface d’évaluation en choisissant parmi les
éléments fonctionnels du volume 2 des Critères
Communs,
ceux
qui
correspondent
aux
www.forumatena.org
Septembre 2007
fonctionnalités à tester. On décide du niveau de
certification qu’on souhaite atteindre, ce qui décide
des éléments d’assurance qu’il faut inclure dans les
tests. On décrit très précisément aussi la cible
d’évaluation qui va être soumise aux tests : la
TOE (Target Of Evaluation).
Les tests vont donc porter sur la TOE (Target Of
Evaluation) décrite dans la ST (Security Target) qui
doit au moins être aussi large que le ou les PP
(Protection Profile) auxquels elle se réfère.
Classes, familles, composants et paquets
Les « composants » sont les plus petites parcelles
qui seront utilisées pour définir soit les éléments de
la technologie à tester (composants fonctionnels)
soit la manière de conduire les tests (composants
d’assurance). Pour rationaliser et simplifier les
Critères Communs, ces composants sont regroupés
en familles, et les familles sont regroupées en
classes. Chaque famille est un ensemble de
composants qui s’imbriquent suivant une structure
hiérarchique car un composant peut dépendre de la
présence d’autres composants dans une même
famille. La version 3 des Critères Communs décrit
11 classes fonctionnelles qui définissent ce qu’on
peut tester et 9 classes d’assurance qui définissent
comment sont conduits les tests, plus de 120
familles réparties entre classes fonctionnelles et
classes d’assurance et plusieurs centaines de
composants.
Choisir un niveau d’assurance, c’est s’imposer de
mettre dans la Cible de Sécurité un certain nombre
de classes (donc avec toutes leurs familles et tous
leurs composants), un certain nombre de familles
en dehors des classes déjà imposées et un certain
nombre de composants en plus des composants
imposés par les classes et les familles. Le tout
forme un « paquet ». C’est ce paquet qui va être
évalué, pour atteindre le niveau de certification
souhaité.
On peut également rajouter d’autres éléments non
imposés, ou des éléments imposés dans un niveau
d’évaluation supérieur. On appose alors le signe
« + » à la suite du niveau d’évaluation, qui signifie
« augmenté de tels composants non imposés par le
niveau d’évaluation choisi ». Ces composants
supplémentaires figurent dans le certificat.
Les niveaux d’évaluation
Un produit peut être certifié Critère Commun sur l’un
des sept niveaux d’évaluation (EAL1 à EAL7).
Chaque niveau impose un certain paquet, composé
de classes, familles et composants d’assurance
définis dans le volume 3 des Critères Communs. Un
niveau impose l’ensemble des éléments du paquet
du niveau au-dessous auquel on ajoute, de manière
Page 6 sur 10
News Letter n° 4
imposée, d’autres classes, familles et composants
d’assurance.
EAL1 est le plus bas niveau des Critères Communs
et définit des tests de fonctionnement en boîte
noire : on s’assure que le produit se comporte
conformément à ce qui est écrit dans sa
documentation. EAL2 définit des tests de
fonctionnement en boîte blanche : on commence à
regarder comment est conçu le produit avant de
s’assurer qu’il fait bien ce qu’il est censé faire. Les
Firewalls et les passerelles VPN visent, en général,
le niveau EAL2+.
Avec EAL4 on commence à vérifier des parties du
code source du produit. C’est le niveau le plus élevé
dans la hiérarchie de la certification pour des
technologies construit à l’aide de méthodes de
développement standards. Au-delà commence le
domaine de la certification des technologies mettant
en œuvre des méthodes de développement plus
spécifiques et rigoureuses. On commence alors à
parler de spécifications semi-formelles et formelles.
EAL7, le plus haut niveau, impose des
spécifications formelles c’est à dire que les
spécifications sont exprimées dans un langage
syntaxique basé sur des concepts mathématiques.
Si un produit
conception,
certification
atteindre au
EAL4+.
n’a pas été pensé, dès le début de sa
avec la volonté d’atteindre une
Critères Communs, il ne pourra
plus que le niveau de certification
Commanditaires, CESTI et DCSSI
Le commanditaire est celui qui veut faire certifier un
produit. En théorie, ce devrait être celui qui achète
le produit car il est le plus concerné par l’utilisation
qu’il veut en faire. En pratique c’est l’éditeur du
produit qui demande le processus de certification (et
donc engage les dépenses et mobilise ses
ressources) pour tirer un avantage marketing du
certificat obtenu, ou simplement parce que son
client, c’est le cas de certaines administrations,
exige cette certification à un certain niveau.
Bien sûr, ce n’est pas le commanditaire qui teste
son produit mais un cabinet indépendant et
incorruptible, le CESTI. Il existe deux CESTI en
France pour mener les certifications des logiciels
(AQL et Oppida) et trois CESTI pour les produits
matériels avec logiciel embarqué (CESTI LETI,
Serma Technologies et CEACI). Ces CESTI doivent
constamment prouver et leur compétence et leur
sérieux qui font l’objet d’un contrôle et d’une
surveillance par la DCSSI et sont de plus accrédités
et surveillés selon une norme qualité par un
organisme d’état, le COFRAC.
Les tests étant satisfaisants, le CESTI porte le
dossier de certification à la DCSSI, qui dépend du
www.forumatena.org
Septembre 2007
SGDN, organisme interministériel qui signe le
certificat et publie sur son site Web la cible de
sécurité certifiée et le rapport de certification. Les
services de la DCSSI sont gratuits mais bien
entendu ceux du CESTI, qui est un organisme privé,
sont payants.
La longue marche vers la certification
S ‘engager dans une démarche de certification
Critères Communs, c’est emprunter un chemin long,
sinueux et coûteux car cela suppose un travail
important qui peut s’étaler sur plus d’un an. Le coût
d’une certification de EAL2+ à EAL4+ peut s’élever
à plus de 100000 euros à verser au CESTI, sans
compter les ressources que le commanditaire de la
certification doit mettre en œuvre en interne et dont
le coût de revient est équivalent à celui du CESTI.
Bien entendu plus le niveau de certification à
atteindre est élevé (EAL1 à EAL7), plus le budget à
prévoir doit être conséquent. S’il existe un Profil de
Protection pour la technologie à évaluer pour le
niveau de certification souhaité, c’est déjà un bon
point, sinon, la rédaction de la cible de sécurité et
les allés venues entre le rédacteur de la cible et la
DCSSI qui trouvera la cible insuffisante à ses
débuts, constitueront un travail à ne pas négliger.
Evidemment, le CESTI est là pour tester, pas pour
debogger votre produit alors gare, si on en arrive là,
vous n’êtes pas près d’obtenir la certification
souhaitée dans un délai raisonnable. Il tombe sous
le sens qu’il ne faut chercher à ne faire certifier que
des produits dans une version stable et mature.
Le certificat et ses limites
Comme pour tout diplôme, il convient de lire
attentivement son contenu, car il peut cacher bien
des pièges. D’abord, un produit n’est pas certifié
Critères Communs dans l’absolu mais, par exemple
pour la version 3.1 des Critères Communs, au
niveau EAL2 augmenté de tels composants
d’assurance (EAL2+) et seulement dans le
périmètre de telle cible de sécurité. Il faut connaître
ce que signifie le niveau de certification obtenu qui
donne le degré de confiance qu’on peut accorder au
produit. Ensuite le produit n’est pas certifié jusqu’à
la fin des temps mais pour une certaine version, sur
un certain système d’exploitation, et parfois
seulement pour tourner sur certains matériels (c’est
le cas des appliances de sécurité).
Comme la certification du produit s’est étalée sur
plus d’une année, la version du produit proposée
sur le marché n’est plus, en général, celle qui a été
soumise aux tests. Ses évolutions ont pu introduire
des vulnérabilités non couvertes et de plus les
menaces ont aussi évolué. Des processus ont donc
été mis au point par les organismes de certification
internationaux, permettant d’une part de surveiller la
Page 7 sur 10
News Letter n° 4
résistance d’un produit certifié dans le temps, et
d’autre part d’étendre la validité du certificat d’un
produit à ses éventuelles nouvelles versions, dans
la mesure où les changements apportés n’impactent
pas son niveau de sécurité.
Septembre 2007
Ceci étant précisé, il faut reconnaître qu’un
commanditaire qui s’engage dans une démarche de
certification Critères Communs réalise une action
responsable et ses équipes de développement
peuvent acquérir, ne serait-ce que par obligation, de
très bonnes habitudes. On ne ressort jamais de ce
processus comme on y était rentré la première fois.
Cérémonie de signature des premiers accords de reconnaissance mutuelle des Critères Communs à
Washington DC. On reconnaît, pour la France, le Général Jean-Louis Desvignes qui est par ailleurs un
participant fidèle aux événements de l’atelier sécurité de Forum ATENA.
Gérard Peliks, EADS et président de l’atelier sécurité de Forum ATENA
Glossaire
CC
CESTI
COFRAC
DCSSI
DoD
EAL
ITSEC
PP
SGDN
ST
TOE
Common Criteria
Centre d’Evaluation de la Sécurité des Technologies de l’Information
Comité Français d'Accréditation
Direction Centrale de la Sécurité des Systèmes d’Information
Department of Defense (US)
Evaluation Assurance Level (EAL1 à EAL7)
Information Technology Evaluation Criteria
Protection Profile
Secrétariat Général de la Défense Nationale
Security Target
Target of Evaluation
Références
www.ssi.gouv.fr
http://www.commoncriteriaportal.org/
www.forumatena.org
Page 8 sur 10
News Letter n° 4
Septembre 2007
L’ACTUALITÉ
DES ATELIERS
Quoi de neuf dans les technologies
vocales ?
Parce que l’on est toujours plus près d’un
mobile que d’une connexion internet … ce ne
sont plus seulement les centres de relation
client qui aiment le téléphone, mais aussi les
nouveaux sites locaux et ouverts sur les
utilisateurs (le fameux web 2.0).
Ainsi,
SpinVox
propose
un
système
permettant de poster des commentaires
directement en reconnaissance de la parole,
que ce soit sur son propre blog ou sur un site
de news comme truemors.com (créé par
l’ancien évangéliste d’Apple, Guy Kawasaki).
Les vacances sont finies ... il va falloir ranger
ET commenter vos photos ! Yodio est là pour
vous
y
aider,
en
enregistrant
vos
commentaires depuis votre téléphone mobile.
Vous pourrez ensuite le envoyer par email, les
poster sur votre blog ...
Google, toujours actif, investigue le marché de
l’annuaire et de l’information locale et teste son
1-800-GOOG-411 … tout en gagnant un des
trophées WebWare !
(A suivre sur http://labs.google.com/goog411 )
Nuance, mise aussi sur les annuaires et
annonce, le même jour, un accord avec Jingle
Networks pour son 1-800-FREE 411 et un
avec le portail vocal Say Hello, portail de
recherche locale. Preuve, s'il en est, que le
marché des annuaires va vers l'automatisation
... et que Nuance compte en rester le leader.
Enfin, une startup, Vlingo, avec des anciens
de SpeechWorks et Nokia, dont la baseline
n’est rien d’autre que : Why Tap when you
can Talk ? Quoi de révolutionnaire ? Tout
simplement que c’est une applet sur le
téléphone qui permet d’accéder à des services
vocalement … et non l’appel à un serveur
vocal distant !!!
Blinkx, spécialiste de la recherche vidéo vient
de lancer une première plate-forme de
publicité vidéo, basée sur une recherche
contextuelle, AdHoc, qui utilise pour cela la
technologie de reconnaissance vocale.
Dans la même logique, Powerset nous
explique que la recherche sur internet mérite
l’aide d’une analyse sémantique … et propose
de le faire aussi à la voix !
Passons sur les nombreux jeux, robots, GPS
et systèmes embarqués (comme le Blu&Me de
la dernière Fiat 500) et même l’adorable lapin
NaBazTag, qui se sont mis à nous écouter, ce
qui continue de prouver que la voix est
l’interface la plus naturelle.
Il est clair que l’universalité du téléphone
redonne sa place au dialogue ... mais pas
seulement ! Ainsi de McDonald’s qui, cet été,
annonce qu’au Japon, les clients pourront
acheter leur burger et payer avec un simple
SMS ! Le tout en créant une société en
commun avec NTT DoCoMo … et avec tous
les avantages de traçabilité et de profiling
client que ne permet pas le paiement cash …
Puisque l’on parle paiements, on suivra aussi
avec intérêt VoicePay, qui se propose de
sécuriser les paiements par empreinte vocale
…
Pour rencontrer les acteurs, échanger sur les
bonnes pratiques et participer aux réflexions,
rejoignez l’atelier “solutions vocales et
relation client” en écrivant à [email protected].
Toute l’actualité des technologies vocales sur :
blog.vocalexpo.com
Philippe Poux
Président de l’atelier Solutions Vocales et Relation
Client de Forum ATENA.
www.forumatena.org
Page 9 sur 10
News Letter n° 4
AGENDA
Cette rubrique vous permet de connaître les
prochains rendez-vous de la profession que
nous organisons ou pour lesquels nous
sommes partenaires. Ils sont aussi l’occasion
de nous rencontrer et de vous faire participer à
ces échanges.
N’hésitez pas à consulter régulièrement la
rubrique « Agenda » sur notre site web pour
consulter les dernières mises à jour
directement.
Les Rendez-vous de la rentrée
Mardi 3 octobre 2007
Septembre 2007
Dimanche 16 septembre
Le clin d’œil de Forum ATENA
Dans le cadre des Journées du Patrimoine et
celui de l'Association Paris Historique, Martine
Houlbert fera visiter la très belle Brasserie
Bofinger rue de la Bastille, le dimanche 16
septembre de 9H30 à 11H30 et de 15H30 à
18H30 (coupure à l’heure du déjeuner pour le
service).
Si vous êtes intéressés, elle vous indiquera
quelques autres lieux accessibles à pied
intéressants à visiter pour compléter le
déplacement.
Toutes les visites sont naturellement gratuites.
Renseignements :
Martine Houlbert [email protected]
Solutions Demat avec l'intervention de
Gérard Peliks, EADS et président de l’atelier
sécurité de Forum ATENA
Certificat et signature électroniques : notions
essentielles, applications et mise œuvre
mercredi 3 octobre 2007 de 10 h 30 à 12 h 30
au Cnit Paris La Défense
Prochain événement Forum ATENA
6 décembre 2007
"Certification des technologies, des
organisations et des personnes"
Renseignements et Inscriptions :
Accès gratuit après inscription obligatoire sur
www.salons-solutions.com
3, 4 et 5 octobre 2007
IP Convergence Expo rassemble les salons
Convention VoIP, Mobile Office et M2M
Forum.
Jours d’ouverture : 3 - 4 - 5 octobre 2007
Lieu : Paris Expo - Porte de Versailles
Halls 5.2 et 5.3
Horaires : 9h à 18h les 3 et 4 octobre et de 9h
à 16h le 5 octobre.
Renseignements et inscriptions :
www.ipconvergence.fr
www.forumatena.org
Evénement de l'atelier sécurité sur la
"certification des technologies, des
organisations et des personnes".
L'état de l'art présenté par les meilleurs
experts et les solutions les plus
performantes sur ces certifications.
Jeudi 6 décembre de 14h00 à 18h00 à
Télécom Lille 1 - Ecole d'Ingénieurs
(Villeneuve d'Ascq)
Renseignements
et Inscriptions
[email protected]
:
Page 10 sur 10