Gestion des risques logiciels

Anticiper afin d'être prêt a la  gestion de la situation.

Gestion des risques

• Évaluation des risques
• Identification des risques
• Listes de contrôles
• Analyse des facteurs de décisions
• Analyse des hypothèses
• Décomposition
• Analyse des risques
• Modèles de performance
• Modèles de coûts
• Analyse du réseau
• Analyse décisionnelle
• Analyse des facteurs de qualité
• Priorisation des risques
• Exposition au risque
• Profit (tirer parti de) des risques
• Réduction des risques composés
• Contrôle des risques
• Planification de gestion des risques
• Achat des informations
• Prévention des risques
• Transfert de risques
• Réduction des risques
• Planification des éléments de risques
• Plan d'intégration des risques
• Résolution des risques
• Prototype
• Simulation
• Benchmark
• Analyse
• Recrutement
• Suivi des risques
• Jalon de suivi
• Suivi des top 10
• Réévaluation des risques
• Action corrective

Software Risk Management: Principles and Practices
Barry W. Boehm, TRW

Système de Management pour la Continuité de l'Activité ( SMCA ) / ISO 22301

Cette nouvelle norme peut se définir comme la spécification des exigences pour planifier, établir, mettre en œuvre, exploiter, surveiller, revoir, maintenir et améliorer en permanence un système de gestion documenté pour se protéger contre, réduire la probabilité d'occurrence, de préparer, d'y répondre et de s'en remettre des incidents perturbateurs lorsqu'ils surviennent.

Les exigences spécifiées dans la norme ISO 22301:2012 sont génériques et prévues pour s'appliquer à toutes les organisations, ou des parties de celui-ci, indépendamment du type, de la taille et de la nature de l'organisation. Le champ d'application de ces exigences dépend de l'environnement opérationnel de l'organisation et de la complexité.

http://www.25999.info/iso-22301.htm

Les tendances et perspectives des Technologies de l'Information

Le document joint contient les résultats d’une étude internationale menée auprès de 1 000 professionnels du secteur IT sur les tendances IT et les perspectives relatives aux pratiques en matière de développement d’applications réalisées par Serena Software, spécialiste des solutions IT. Cette étude fut mené selon les différents processus ALM (Application Lifecycle Management) : gestion des demandes, gestion des exigences, développement d’applications et gestion des versions.

La principale conclusion qui ressort est que l'IT ne devrait pas se soucier du développement, car ses processus intrinsèques ne posent pas de problème. De plus en plus l'IT devrait chercher a satisfaire les besoins des clients en particulier (customer oriented) et adopté des solutions qui pourraient être largement diffusés (consumerized).

Les processus ALM utilisés pour l'enquête se présente comme suit:

Gestion de la demande: le processus devra capturer et examiner la demande, suivre la soumission des demandes, y compris, l'approbation des propositions de projets, et les mises à jour du statut de client. 

Gestion des exigences: le processus devra définir et de gérer les exigences (fonctionnelles et techniques), y compris la collaboration des parties prenantes, réutilisation des exigences, et la traçabilité.

Développement d'applications: le processus devra suivre l'élaboration et la gestion de logiciels, y compris la collaboration, le développement, le suivi de la qualité logicielle, audits, et examen par les pairs.

Gestion des versions: le processus devra suivre le déploiement des versions dans l'environnement de  production, y compris la gestion automatique des versions, suivi des correctifs, et la réutilisation des composants.

Trois point clés:

+ Un accent particulier devrait être mis sur les tâches d'assurance qualité des solutions IT par les pairs.

+ La satisfaction du client est certes une tâche très complexe mais elle demeure primordiale au regard du contexte actuelle de l’évolution des Technologies de l'Information. La quête de cette satisfaction demanderait de bien définir et gérer les exigences du client sur tout le cycle projet (se faire aider par une personne ressources au besoin)

+ Un déploiement rapide des applications et un strict contrôle de chaque action sur tout le processus.

SERENA, RESEARCH REPORT, APRIL 2012,  Lien

De la Sécurité Informatique à la Sécurité de l'Information

« La raison principale de l'existence de l'industrie de la sécurité informatique est que les produits et services informatiques ne sont pas naturellement sûrs. Si les ordinateurs étaient protégés des virus, il n'y aurait pas besoin de produits antivirus. Si le mauvais trafic réseau ne pouvait être utilisé pour attaquer les ordinateurs, personne ne s'inquiéterait d'acheter un pare-feu. S'il n'y avait plus de débordement de tampon, personne n'aurait besoin d'acheter des produits pour se protéger contre leurs effets. Si les produits informatiques que nous achetons étaient sûrs par défaut, nous n'aurions pas besoin de dépenser des milliards chaque année pour les rendre plus sûrs. » Bruce Schneier (wikipedia)


La sécurité informatique est l'ensemble des moyens techniques (équipements physiques, équipements logiciels, ...), organisationnels (bonnes pratiques, processus, méthodes, ...), juridiques (articles, lois, dispositions, ...) et humains (personne humaine disposant de connaissance en matière de sécurité des systèmes informatiques) nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité des systèmes informatiques (Ce sont des outils, des équipements, des machines, des appareils numériques à mesure de traiter automatiquement l'information).
L'informatique considérée comme le contenant du système a comme outils ou dispositifs de sécurité des antivirus, des pare feux, des anti malware, ...
Avec la grande mobilité, l'ouverture des environnements informatiques, la facilité de publication sur le réseau internet, la sécurité informatique a tendance a se résumer principalement la sécurité de l'information qui elle consiste a assurer la sécurité de la donnée, le contenu.

Le respect des réglementations et référentiels, des règles définis en communs ou au sein des communautés d'experts est une des clés pour assurer une sécurité de l'information plus efficiente et plus efficace.

Conclusions élargies sur un objet métier

Ce texte ci dessous est extrait du blog de ea-is.blogspot.com article concernant l'Anatomie d’un Objet métier.

Conclusions élargies sur un objet métier.

1- Les objets métiers (OM) sont une abstraction de la réalité. La photographie métaphorique doit laisser la place à la modélisation. La modélisation sémantique doit tenir compte de la posture des métiers à leur égard, leurs intérêts et leurs objectifs.
2- Les objets métier sont résumés à l’aide d’une abstraction, nommée « classe d’objet ». Cette classe d’objet doit être typée plus finement. Dans le cas de nos objets métiers, on pourrait par exemple choisir les termes de « Concept », « Entité », ou encore « OM ». C’est une excellente idée d’utiliser un formalisme d’abstraction simple, évolutif, standard et ouvert, comme UML.
3- Le terme « modèle d’objet métier » (MOM) n’est pas un terme très propice, car il peut prêter à confusion, entre un modèle de classe et un modèle d’instance. Les anciens parlaient de « Modèle Conceptuel de Donnée », qui cette fois opposait, le terme de concept et de donnée. Dans notre affaire, « Modèle des Concepts Métier » met tout le monde d’accord.
4- 90% des soi-disant experts en modélisation confondent « Modèle » et représentations graphiques du modèle. Pour ne plus jamais subir ce genre d’amalgame, rappelons gentiment que si un modèle est assimilable à un hyper cube, les vues ou « Diagrammes » en sont les faces de projection. Ainsi, retenons qu’un modèle se conjugue plutôt au singulier alors que les diagrammes sont les vues plurielles du modèle. La confusion a été entretenue pour la raison suivante : Cette sacro-sainte mauvaise habitude de vouloir absolument représenter tous les concepts d’un modèle sur une seule vue. Du coup le modèle était le diagramme. Cette mauvaise habitude persiste encore dans certains outils d’urbanisation qui affirme : « les vues sont le modèle ». Ce type de pratique est néfaste à 2 titres :
-Manque d’agilité de l’outil dans la gouvernance de la donnée: Dans le processus d’acquisition de l’information, des architectes, tout concept n’est pas forcement représentable intelligiblement sur une vue, immédiatement.
-Les éléments du modèle peuvent et doivent le plus souvent être exploité par transformations, générations successives, et ne pas sans tenir à refaire la tapisserie du mur de son bureau.
5- Un modèle n’est jamais complet ou exacte du premier coup. Il est donc important d’itérer sur sa mise à jour et d’automatiser les conséquences de cette itération, que cela occasionne sur le reste du système (c’est un premier principe d’agilité des données en EA)
6- Les objets métiers doivent avoir une définition métier précise, permettant d’être identifié naturellement par leurs bénéficiaires. L’architecte « sémantique » gère la synonymie, et l’homonymie des noms des OM.
7- L’architecte sémantique est l’une des casquettes de l’architecte d’entreprise.
8- Dès la conception, L’architecte « sémantique » doit toujours garder à l’esprit qu’un objet métier deviendra très probablement (du moins on l’espère) une donnée informatique.

Qualité logicielle avec la norme ISO 9126 et SquaRE

En situation d'utilisation de logiciel ou de production de logiciel, il convient de prendre en compte certain règles pour une meilleure qualité d'utilisation ou de production. Nous parlerons très succinctement des normes ISO 9126 et/ou SquaRE.

La norme ISO 9126, « Technologies de l’Information : Qualités des produits logiciels », définit et décrit une série de caractéristiques qualité d’un produit logiciel.
Voir ci dessous le classement défini par cette norme en 2001.

Les caractéristiques qualité définies par cette norme sont :

La capacité fonctionnelle,
La fiabilité,
La facilité d'usage,
L'efficacité,
La maintenabilité,
La portabilité.

Les sous caractéristiques sont rangées de la manière suivante :

La capacité fonctionnelle :

L'aptitude
L'exactitude
L'interopérabilité
La conformité réglementaire
La sécurité

La fiabilité :

La maturité
La tolérance aux fautes
La capacité de récupération

La facilité d'usage :

L'exploitabilité
La facilité d'apprentissage
La facilité de compréhension

L'efficacité :

L'efficacité des ressources employées
L'efficacité des temps de réalisation

La maintenabilité :

La stabilité
La facilité de modification
La facilité d'analyse
La facilité à être testé

La portabilité :

La facilité d'installation,
La facilité de migration,
L'adaptabilité
L'interchangeabilité

Pour ce qui concerne la norme SquaRE (Software product quality Requirement and Evaluation) elle est issue de la norme ISO 9126. Elle est constitué de huit caractéristiques principales qui ne sont pas très distinct de l'ISO 9126, ce sont:

L’Adéquation fonctionnelle
La Performance
La Compatibilité
La Facilité d'Utilisation
La Fiabilité
La Sécurité
La Maintenabilité
La Portabilité


Le respect de ces principes et normes dans la conception et la réalisation d'un produit logiciel assure une meilleure qualité du produit final.

La Sécurité de l'Information

Les 03 éléments clés de la sécurité de l'information sont : la Confidentialité, l'Intégrité, et la Disponibilité.
La Confidentialité concerne la prévention contre le divulgation non autorisée des informations; L'Intégrité concerne les droits de modifier une information sous autorisation préalable; La Disponibilité de l'information doit être effective quand elle est nécessaire.

L' "Information Technology Laboratory" a La "National Institute of Standards and Technology (NIST)" du Département de Commerce des USA recommande 33 principes pour parvenir a la sécurité. ce sont:

Fondation pour le sécurité

Principe 1 : Mettre en place une politique de sécurité comme le «fondement» pour la conception
Principe 2 : Traiter la sécurité en tant que partie intégrante de la conception du système global
Principe 3 : Circonscrire clairement les limites de sécurité physiques et logiques régies par les politiques de sécurité associées
Principe 4 : Veiller à ce que les développeurs soient formés sur la façon de développer un logiciel sécurisé

Risques dans la gestion

Principe 5 : Réduire les risques à un niveau acceptable
Principe 6 : S'assurer que les systèmes externes sont sûrs
Principe 7 : Identifier les possibilités de compromis entre la réduction des risques et des coûts accrus et réduire d'autres aspects de l'efficacité opérationnelle
Principe 8 : Mettre en œuvre des mesures spécialement adaptées de sécurité du système pour atteindre les objectifs de sécurité organisationnelles
Principe 9 : Protéger les informations en cours de traitement, en transit, et dans le stockage
Principe 10 : Considérez produits personnalisés pour atteindre une sécurité adéquate
Principe 11 : Protéger contre toutes les classes d'"attaques"

Facilité d'Utilisation

Principe 12 : Lorsque cela est possible, la sécurité pourra se baser sur des standards ouverts pour la portabilité et l'interopérabilité
Principe 13 : Utiliser un langage commun dans l'élaboration des exigences de sécurité
Principe 14 : Concevoir la sécurité pour permettre l'adoption régulière de nouvelles technologies, y compris un processus de mise à niveau d'une technologie sûre et logique
Principe 15 : S’efforcer pour la facilité d'utilisation opérationnelle

Accroitre la résilience

Principe 16 : Mettre en œuvre une sécurité multicouche (Assurez-vous pas un seul point de vulnérabilité)
Principe 17 : Concevoir et mettre en place un système informatique pour limiter les dégâts et pour être résilients en réponse
Principe 18 : Fournir l'assurance que le système est, et continue d'être, élastique face à des menaces attendues
Principe 19 : Limiter ou contenir les vulnérabilités
Principe 20 : Isoler les systèmes d'accès publics à partir de ressources essentielles à la mission (par exemple, des données, processus, etc)
Principe 21 : Utiliser les mécanismes de limites à des systèmes informatiques distincts et des infrastructures réseau
Principe 22 : Concevoir et mettre en œuvre des mécanismes de vérification afin de détecter toute utilisation non autorisée et à soutenir les enquêtes sur les incidents
Principe 23 : (anciennement 28)Développer et exercer d'urgence les procédures de reprise après sinistre pour assurer la disponibilité appropriée

Réduire les vulnérabilités

Principe 24 : Efforcez-vous dans la simplicité
Principe 25 : Réduire au minimum les éléments du système susceptible d’être attaqués
Principe 26 : Implémenter le principe des privilège
Principe 27 : Ne pas mettre en œuvre des mécanismes de sécurité inutiles
Principe 28 : Assurer la sécurité appropriée à la fermeture ou l'ouverture d'un système
Principe 29 : Identifier et éviter les erreurs communes et les vulnérabilités

Conception du plan de la sécurité

Principe 30 : Mettre en œuvre la sécurité grâce à une combinaison de mesures distribués physiquement et logiquement
Principe 31 : Formuler les mesures de sécurité pour faire face a de multiples domaines d'information qui se chevauchent
Principe 32 : Authentifier les utilisateurs et les processus afin d'assurer des décisions appropriées de contrôle d'accès tant à l'intérieur et entre les domaines
Principe 33 : Utiliser les identités uniques pour garantir la reddition de comptes

Computer Security Incident Response Team (CSIRT)

Les Centres de Soutien a la CyberSecurité ou autre appellation de l'unité en version anglaise : CERT: Computer Emergency Response Team, CIRC: Computer Incident Response Capability, CIRT: Computer Incident Response Team, CSIRC: Computer Security Incident Response Capability, CSRC: Computer Security Response Capability, IHT: Incident Handling Team, IRC: Incident Response Center/Incident Response Capability, IRT: Incident Response Team, SERT: Security Emergency Response Team, SIRT: Security Incident Response Team,
ont généralement 03 principales attributions qui sont:

1 - Actions réactives
Alertes et Avertissements
Traitement des incidents
Traitement des vulnérabilité

2 - Actions Proactives
Veille technologique
Audit et Évaluation de la sécurité
Développement d'outils de sécurité

3 - Gestion de la qualité des services de sécurité
Analyse des risques
Plan de continuité des activités
Plan de relèvement a la suite d'un désastre

le schéma ci dessous nous présente les grandes fonctions d'une centre de soutien a la cybersecurité (CSC)

Recommandations de Ouagadougou - Economie Numerique

INFRASTRUCTURES INTERNET POUR UNE ÉCONOMIE NUMÉRIQUE EN AFRIQUE DU 5 – 7 MARS 2012

1. Promouvoir le modèle multipartite dans la gestion globale de l’Internet y compris
dans la gestion locale du nom de domaine de premier niveau du pays (ccTLD);

2. Participer pleinement aux activités sur la gouvernance de l’Internet au niveau local, régional et global ;

3. Mettre en place des mesures d’amélioration de l’infrastructure Internet et de
l’accès à cette infrastructure, y compris :
• Un environnement politique et réglementaire favorable ;
• La participation au développement des normes Internet au niveau global, régional et national ;
• l’établissement de points d’échange Internet (IXP) et d’instances de serveurs racine à l’échelle nationale et régionale ;
• le déploiement du système de sécurité des noms de domaine (DNSSEC) à tous les niveaux ;
• l’adoption du Protocol Internet version 6 (IPv6) au niveau national incluant
le soutien aux activités régionales y relatives ;
• le déploiement d’efforts pour la création d’agences de certification au niveau national ou régional.

4. Promouvoir le développement des ccTLD, de leur utilisation au niveau local ainsi que l’utilisation du nom de domaine de premier niveau à venir : le «point Africa» ;

5. Développer et implémenter un cadre national pour la cybersécurité afin de faciliter la provision de conseils ;
susciter une réponse locale avertie sur les questions de cybersécurité et améliorer la réponse aux incidents de cybersécurité en collaboration et en coopération avec les acteurs compétents du secteur au niveau local, régional et global ;

6. Améliorer les mesures au niveau national et régional pour renforcer la protection
de la Propriété Intellectuelle (PI) africaine y inclue une participation aux activités du Comité de l’OMPI sur le Développement et la Propriété Intellectuelle (CDIP), pour la préservation de nos noms géographique, de nos noms d’héritage culturel et des noms de notre connaissance traditionnelle;

7. Mettre en place des mesures qui soutiennent le développement de contenus
locaux, y compris la création d’un environnement favorable, l’amélioration de
l’infrastructure Internet locale pour offrir un accès et un hébergement des contenus au niveau local;

8. La promotion de l’utilisation des langues nationales et des noms de domaines
Internationalisés (IDNs) dans le développement et l’hébergement de contenus
locaux comme moyen pour atteindre plus de personnes au niveau local et préserver la
culture locale;

9. La promotion de l’établissement de centres de données (Data Centers) et des
infrastructures connexes au niveau local ;

10. L’amélioration de la participation et des contributions des gouvernements aux travaux des institutions régionales et internationales et aux initiatives qui participent de la gestion de l’infrastructure Internet Africaine et international tel que AfriNIN, AfricaCert, AfNOG, AfTLD, ISOC, UIT, ICANN et toute autre institution pertinente.

Source: http://www.africaasia.net/EN-FR-Ouagadougou_Recommendtations.pdf

Management de la Qualité

Les 08 principes du Système de Management de la Qualité

1 - L'entreprise doit être à l'écoute de ses clients pour comprendre leurs besoins présent et futurs, satisfaire leurs exigences et dépasser leurs attentes.
2 - La Direction doit définir clairement les finalités, les orientations et les pratiques de l'entreprise et créer un contexte mobilisateur pour l'ensemble du personnel.
3 - L'ensemble des acteurs de l'entreprise doit se sentir impliqué dans la réalisation des objectifs définis par la Direction.
4 - L'entreprise doit être définie comme un ensemble de processus corrélés entre eux.
5 - L'ensemble des processus de l'entreprise doivent être identifiés, définis et optimisés dans un objectif d'efficacité et d'efficience.
6 - L'entreprise doit s'engager dans une démarche d'amélioration continue.
7 - Toutes les décisions doivent reposer sur des données et des informations objectives.
8 - L'entreprise doit établir des relations mutuellement bénéfiques avec ses fournisseurs.

Les 09 étapes pour la mise en place du système de management de la qualité

1 - Diagnostic et analyse de l'existant (état des lieux par rapport aux exigences de la norme)
2 - Lancement de la mise en œuvre (définition du calendrier du projet et des actions a prendre)
3 - Formation à la gestion d'un système de management de la qualité (amener le personnel a comprendre le système et le rôle de chaque acteur dans le processus)
4 - Mise en place du système de management de la qualité (l'entreprise définit son propre niveau de formalisation en fonction de ses activités)
5 - Gestion du système de management de la qualité (mettre en œuvre une amélioration continue)
6 - Formation/mise en œuvre de l'audit qualité interne (choix et formation des auditeurs qualité interne)
7 - Audit interne (vérifier la conformité du système avec la norme choisie)
8 - Choix de l'organisme certificateur ()
9 - Audit de Certification ()

CMM-P (People Capability Maturity Model)

Ce référentiel définit un ensemble de recommandations dans le domaine de la gestion des ressources humaines (affectation des postes, formation, communication et coordination, rémunération et reconnaissance, etc.)
Les 05 processus clés sont :

Niveau 1 « chaotique » : management inconsistant.

Niveau 2 « managé » : rémunération, reconnaissance, formation et développement, management des performances, environnement de travail, communication et coordination, affectation des postes à des activités précises.

Niveau 3 « défini » : culture participative, travail en groupe, pratiques basées sur les compétences, développement du potentiel, gestion de carrière, planification des ressources, analyse des compétences.

Niveau 4 « prédictible » : « mentoring » (tutorat), management de l'organisation des RH, mesure des performances, ressources basées sur les compétences, « empowerment » (autonomie) des équipes, intégration des compétences.

Niveau 5 « progrès continu » : innovation permanente, alignement de la performance organisationnelle, amélioration continue des capacités.

Moi et mon LAN/WAN

1- Changer régulièrement ces mots de passe;
2- S'assurer que les personnes qui travaillent avec nous sont toutes fiables;
3- Préférer les connexions https (Hypertext Transfer Protocol Secure) au http (Hypertext Transfer Protocol);
5- Pour un réseau local manipulant des données sensibles opter pour un VPN ou «Virtual Private Network» ou réseau privé virtuel (RVP);

Vision technologie 2012

1- L’essor des «services contextualisés»
2- La convergence des architectures de données
3- L'industrialisation des services de données
4- L'informatique « sociale »
5- L'agilité grâce au modèle PaaS (Plate form "as a service")
6- L'orchestration de la sécurité analytique

http://www.itrnews.com/articles/128004/six-tendances-technologiques-prioritaires-dsi.html