NOTRE VISION DE LA SECURITE

Alliance Qualité Logiciel est née de la conviction que l'assurance qualité appliquée au développement de logiciel développe la confiance dans le produit réalisé.

L'engagement d'AQL dans le domaine de la sécurité s'inscrit dans cette conviction. Une politique de sécurité technique doit guider la construction et l'évaluation du produit ou système. Cette politique, définie dès la phase d'expression des besoins, doit être mise en oeuvre et son application contrôlée dans toutes les étapes du développement jusque sur les sites d'exploitation. Ainsi la confiance est obtenue grâce à une démarche adaptée aux exigences et contraintes du projet. Le Centre d'Evaluation de la Sécurité des Technologies de l'Information d'AQL (CESTI) est acteur de cette démarche.

NOTRE VISION DE L'EVALUATION

Pour le CESTI AQL, l'évaluation est un partenariat dont l'objectif est d'améliorer la sécurité du produit ou système et de développer l'assurance dans cette sécurité, attestée par l'obtention d'un certificat.

Ce partenariat, clé de la réussite, commence dès la préparation à l'évaluation. Il permet de déterminer conjointement tous les paramètres de l'évaluation dans l'objectif de définir le meilleur ratio assurance/coût et les actions à mettre en oeuvre pour l'atteindre.

L'échange régulier d'informations entre les équipes de développement et d'évaluation est primordial tout au long du projet. D'abord parce qu'il permet d'anticiper certaines tâches et de garantir par là même un délai minimum. Ensuite, parce que la détection de vulnérabilités dès les phases amont du processus de développement, permet d'élaborer des solutions à moindre coût.

AU SERVICES DE VOS PROJETS

le CESTI AQL s'engage à vos côtés dans la réussite de vos projets.

RESPECT DES EXIGENCES

Le CESTI AQL s'engage à réaliser une évaluation en prenant en compte vos exigences, et en particulier, il s'engage à assurer la confidentialité des informations que vous lui transmettez.

La reconnaissance du centre d'évaluation AQL par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) est la garantie de son aptitude à assurer la confidentialité des informations relatives à votre projet. Les évaluateurs du CESTI AQL sont particulièrement informés et vigilants quant à ce point. Ils adaptent leurs méthodes de travail au niveau de confidentialité que vous souhaitez.

Le CESTI AQL est situé dans des enceintes réservées au sein d'un bâtiment sécurisé dès sa conception. Un cloisonnement est possible jusqu'au niveau d'un bureau équipé d'un système d'information autonome.

Le centre d'évaluation, tout en étant indépendant, bénéficie de la structure d'AQL, société indépendante dont le capital est détenu essentiellement par des personnes physiques.

AQL applique une politique de sécurité qui se décline dans une organisation et des procédures périodiquement auditées par les autorités compétentes.

DEMARCHE DE PROGRES A VOTRE SERVICE

Le domaine de la sécurité évolue continuellement. Il est donc nécessaire, pour vous apporter le meilleur service, de mener une veille technologique permanente. AQL travaille particulièrement sur les sujets suivants : méthodes formelles, applications de la cryptographie, virus, paiement électronique, sécurité des grands systèmes, télécommunications, critères et méthodes d'évaluation. Certaines de ces activités sont réalisées en partenariat avec des clients.

Les relations étroites d'AQL avec des centres de recherche, des organismes de normalisation, des écoles d'ingénieurs et des universités permettent des échanges de connaissances qui viennent enrichir régulièrement les résultats des travaux internes.

Par ailleurs, le CESTI AQL a réalisé de nombreuses études méthodologiques dans l'objectif d'améliorer son processus d'évaluation. Depuis 1992, le CESTI AQL réalise des évaluations. Au cours de chaque évaluation, les évaluateurs contribuent à l'enrichissement du processus.

Le centre d'évaluation bénéficie également du système qualité d'AQL certifié ISO 9001. Le manuel qualité d'évaluation est le résultat d'un travail commun entre des équipes qualité et technique du CESTI. L'intégration du manuel qualité d'évaluation dans le manuel qualité totale garantit que le système qualité est vécu au quotidien et parfaitement maîtrisé.

ORGANISATION ADAPTEE

Pour mener à bien et efficacement une évaluation, plusieurs compétences doivent être associées :

• compétences en terme de méthodologie sécurité et qualité,
• compétences dans le domaine technique lié au contexte de votre projet : base de données, télécommunications, système d'exploitation,...

Dès le lancement du projet que vous confiez au CESTI AQL, nous formons une équipe associant des experts ITSEC et des experts techniques du domaine de la cible d'évaluation.

Notre organisation nous permet de réagir rapidement à l'arrivée d'une fourniture. Si l'évaluation est menée en parallèle au développement, notre méthode de travail qui consiste à préparer les tâches finales tout au long de l'évaluation permet de limiter le délai entre la disponibilité du produit et la fin de l'évaluation.

REPONSES A VOS BESOINS

Nous pouvons intervenir auprès de vos équipes pour :

une présentation des critères d'évaluation et de leurs enjeux. Cette présentation est destinée à un public de décideurs ;
une formation dont l'objectif est de donner aux membres de l'équipe de développement une vision commune des critères ITSEC (ou CC(Critères Communs)) ainsi que des conseils pour contourner les difficultés fréquemment rencontrées au cours d'une évaluation. Cette formation est illustrée par des exemples concrets ;
une étude de faisabilité afin d'estimer les travaux et de permettre l'élaboration d'un dossier d'évaluation. La cible de sécurité est analysée, le référentiel qualité pour le développement est confronté aux exigences des critères, une liste des fournitures à évaluer est construite ;
une évaluation d'un produit (environnement d'exploitation supposé) ou d'un système (environnement d'exploitation connu), d'un module logiciel jusqu'à un grand système composé de plusieurs équipements, du niveau :
- E1 jusqu'au niveau E6, pour les critères ITSEC,
- EAL1 jusqu'à EAL7, pour les Critères Communs
en parallèle au développement ou de manière consécutive, dans le cadre du schéma français d'évaluation et de certification ;
un programme de maintenance dont l'objectif est de conserver l'acquis d'une évaluation pour les nouvelles versions du même produit ou même pour d'autres produits développés dans le même environnement ;
rédaction et/ou évaluation d'un Profil de Protection (PP) selon les Critères Communs.
du conseil sur la prise en compte de la sécurité dans le développement ou de l'expertise s'appuyant sur des techniques de sécurité bien maîtrisées.

[ Accueil | Recrutement | AQL | Compétences | Partenariats | Contacts | Carte du site ]

Copyright © 2000 - Alliance Qualité Logiciel - Dernière mise-à-jour : 21/03/2001