- Evaluation sur plate-forme de la sécurité du réseau de gestion dun réseau militaire.
- Evaluation sur plate-forme du sous-système de sécurité dun réseau de transit.
- Evaluation sur plate-forme du sous-système de sécurité dun réseau de desserte.
- Evaluation de la sécurité dun système de traitement de messages télégraphiques desservant un centre du Ministère de la Défense.
- Etude de la sécurité de l'offre réseaux privés dun fournisseur de matériel de télécommunication.
- Analyse de la sécurité dun réseau de base aérienne.
- Analyse des spécifications du sous-système de sécurité dun système de messagerie sécurisé X400.
- Rédaction du dossier sécurité du système de messagerie sécurisé spécifique, rédaction de documents en vue de son évaluation.
- Etude sécurité dans le cadre de la réorganisation de larchitecture dun grand réseau pour le compte dune compagnie dassurance.
- Suivi technique de la réalisation et du déploiement dun réseau de transit interarmées.
- Analyse du dossier de sécurité dun réseau de transmission de la marine.
- Analyse du dossier de sécurité dun noeud de Transit.
- Contribution à la rédaction des documents FEROS et Cible de Sécurité d'un réseau radio militaire.

AQL réalise de nombreuses prestations dans le domaine de la sécurité Internet. Une liste de ces principales interventions est présentée ci-dessous.

Audits et tests dintrusion

• les Mutuelles du Mans Assurances
• Plusieurs établissements bancaires
• une grande collectivité territoriale
• des centres de recherche dans le domaine des télécom
• un centre de recherche dans le domaine de la santé
• TDF
• des centres hospitaliers
• des fournisseurs daccès
• une grande entreprise du secteur chimie
• des opérateurs de télécommunication
• des centres de la Défense

ainsi que :

• Sensibilisation des utilisateurs à la sécurité des réseaux (notamment Internet) pour une compagnie dassurances, pour un opérateur de télédiffusion,
• Définition darchitecture de sécurité + audit/tests dintrusion et aide au choix de fournisseur daccès Internet pour un ministère,
• Veille technologique pour le CELAR (Centre dELectronique de lARmement) sur la sécurité Unix et Internet ,
• Évaluation ITSEC dun firewall au niveau E4,
• Assistance à maîtrise douvrage et tests dans le cadre du choix de fournisseurs de firewalls par des Centres Hospitalier,
• Assistance à maîtrise douvrage et tests dans le cadre du choix dun prestataire dhébergement pour un serveur gouvernemental,
• Développement dune architecture de Tierce Partie de Confiance,
• Paramétrage de firewall pour un système de commerce électronique,
• Analyse de la sécurité d'un système de commerce électronique sur Internet,
• Participation au dépouillement dun appel doffre pour le compte du CNES,
• Audit sécurité dans le secteur de lAéronautique,
• Audits de sécurité et recommandations pour la mise en place de réseaux dans le secteur de la santé,
• Tests en aveugle de la sécurité d'un système d'information connecté à Internet pour un organisme étatique.

Les principaux Firewall rencontrés lors de ces prestations sont FireWall-1, M>Wall, NetWall, Altavista, Eagle Raptor et PIX.

- Conseil sur la gestion des clés et la sécurité de la livraison de cartes à mémoire dans le cadre de plusieurs projets.
- Mise en place d'un observatoire sur les virus informatiques et la sécurité bureautique pour le compte du Ministère de la Défense. Analyse de la sécurité de divers produits bureautique. Publication dune revue trimestrielle (JIVAROS) faisant la synthèse des principaux résultats obtenus.
- Étude sécurité d'un système UNIX-B2 pour le compte dun industriel de linformatique.
- Mesure des performances dalgorithmes cryptographiques à clé publique (RSA) sur plate-forme PC, SUN, RS6000 et DPS7000.
- Participation aux spécifications dun système de Tiers de Confiance et à la définition dun protocole de chiffrement pour le secteur de la santé (GIE SESAM-VITALE).
- Expertise sécurité sur la documentation du système dexploitation de linformation et de commandement dun bâtiment de la marine réalisé en coopération internationale.
- Analyse de la sécurité d'un produit destiné à la lutte contre le vol de véhicules pour le compte dun industriel.
- Assistance à maîtrise dSuvre dans lélaboration dune méthodologie de sécurisation des systèmes dinformation dans le cadre de programmes darmement pour le compte du STSIE (Projet CASSIOPEE).
- Assistance à maîtrise dSuvre dans lélaboration dune méthodologie de sécurisation des systèmes dinformation pour le compte dun établissement de la Défense.
- Assistance à lélaboration dun document de synthèse bimestriel sur la sécurité des systèmes dinformation pour le compte de la Défense depuis 1995.
- Veille technologique concernant la sécurité des systèmes Unix pour le compte de la Défense.
- Adéquation de la technologie B pour la recherche de vulnérabilités dune cible dévaluation pour le compte de la Défense.

- Audit et analyse des vulnérabilités du système dinformation dun grand centre de recherche (plusieurs milliers de postes de travail et de serveurs répartis)
- Audit et analyse du plan de qualification d'un réseau téléphonique numérique sécurisé pour le compte dun industriel.
- Audit sécurité d'un système de gestion des personnels.
- Audit portant sur les possibilités d'évolution d'un système de sécurisation des échanges entre trésorier et banques.
- Audit de la sécurité du développement dun sous-système avionique.
- Audits de la sécurité de lexploitation de centres dhébergement de serveurs Web.

AQL organise des formations internes pour ses collaborateurs et externes pour ses clients, dans le domaine des critères dévaluation de la sécurité des systèmes dinformation. Des collaborateurs de la société participent également à la formation initiale et continue dans des grandes écoles d'ingénieur. Les principales formations réalisées sont les suivantes :

• Démarche sécurité,
• Sécurité et réseaux,
• Evaluation de la sécurité des systèmes d'information,
• Présentation des ITSEC,
• Codage et sécurité des données,
• Applications de la carte à mémoire - Sécurité et monétique,
• Sécurité Internet,
• Un aperçu des méthodes formelles,
• Formation aux critères communs.

Liste des organismes ou entreprises dans lesquels ces formations ont été dispensées :

• ENST Bretagne,
• INSA,
• Supélec,
• Gemplus,
• Thomson,
• Schlumberger,
• CISIA (Centre d'Instruction en Sécurité Industrielle de l'Armement),
• RECIF,
• CNAM,
• ESAT,
• TDF,
• ISAIP,
• IFSIC

" Démarche sécurité. Ce cours entre dans le cadre d'une formation à la démarche qualité. Les objectifs principaux sont de positionner les activités liées à la sécurité dans le processus qualité et de montrer en quoi ces activités sont complémentaires. La différence entre la certification d'entreprises (ISO 9001) pour la qualité et la certification de produits (critères d'évaluation ITSEC) dans le domaine de la sécurité est en particulier soulignée.

" Sécurité et réseaux.  Cette conférence, destinée à des élèves de dernière année (Bac+5), comporte deux parties :

- Concepts liés à la sécurité : l'expression des besoins, les mesures de sécurité et la démarche sécurité sont successivement exposées, l'importance de l'homogénéité des différentes mesures est particulièrement souligné.

- Application aux réseaux : la problématique de la sécurité dans les réseaux est introduite. Les différentes attaques et les techniques de sécurité sont ensuite présentées.

" L'évaluation de la sécurité des systèmes d'information. Après une présentation du contexte de l'évaluation de la sécurité, les méthodes MARION et MELISA sont rapidement évoquées. L'essentiel de cette formation porte sur les critères européens ITSEC. Sont successivement abordés : les principaux concepts introduits par les ITSEC, le contenu d'une cible de sécurité, l'évaluation de la conformité et de l'efficacité, le programme de travail et enfin le développement de systèmes d'information sécurisés. Les critères communs sont également présentés.

" Présentation des ITSEC. Cette formation, d'une durée d'une journée, introduit tous les concepts apportés par les critères européens ITSEC et le manuel d'évaluation. Les documents d'application (PSI, EBIOS, FEROS, ROSCOF, DSIS) sont présentés ainsi qu'un historique des critères, l'organisation en France et les critères communs. Le cours est illustré d'exemples et adapté en fonction du public :

- agents ou officiers de sécurité des systèmes d'informations,

- développeurs chez les industriels.

" Codage et sécurité des données. L'objet de cette formation est de présenter les différentes techniques permettant d'assurer l'intégrité et la confidentialité des données. La première partie de la formation est consacrée à un rappel des mathématiques nécessaires à ces techniques (Corps de Galois, Théorie de l'information). La seconde partie aborde les codes détecteurs et correcteurs d'erreur (codes de groupe, codes cycliques...) et présente les algorithmes cryptographiques à clé publique (RSA) et à apport nul de connaissance (GQ).

" Application de la carte à mémoire - Sécurité et monétique. Ce cours présente les principales caractéristiques d'une carte à mémoire, ses objectifs de sécurité généraux et la façon dont ils sont mis en oeuvre dans une application monétique et une application de sécurisation des échanges. Le cours est accompagné d'un polycopié de 170 pages dans lequel sont présentées plusieurs application, la normalisation, le contexte industriel, ainsi que la description de plusieurs cartes à microprocesseur et en logiques câblées.

- Assistance à un industriel pour la réalisation de boîtiers de chiffrement et dun système dadministration de la sécurité pour un réseau X25.
- Etude sécurité, spécification et réalisation d'un module de signature électronique et dun serveur de sécurité dans le cadre d'une application en travail coopératif.
- Spécification et réalisation dun système de génération et de certification de clés RSA pour divers systèmes de télévision numérique.
- Spécification et réalisation dune suite logicielle comportant un générateur de clés RSA, un outil de certification de logiciels et une bibliothèque portable de vérification de signature.
- Spécification et réalisation (en cours) dun système de chiffrement de-mail sur lInternet et du système de Tiers de Confiance et de gestion de clés associé permettant son utilisation dans le cadre de la loi française sur la cryptographie.