Conception et sécurisation de services

Pour qui ?

Ce module s’adresse :

  • aux concepteurs d’applications (Direction Générale, Direction R&D, Chefs de Produits, Chefs de Projets, Direction Juridique, Directions métier) ;
  • aux DSI et RSSI en charge de leur exploitation et de leur sécurisation ;
  • aux entités en charge de leur commercialisation (Direction Marketing, Direction de la Communication).

Pourquoi ?

Concevoir un service ou un produit de dématérialisation est une démarche transverse, qui inclut des considérations de natures très différentes :

  • les aspects fonctionnels (métier) ;
  • les aspects organisationnels ;
  • les aspects juridiques ;
  • les aspects techniques ;
  • les aspects financiers.

Chaque acteur de l’entreprise a une vision d’un ou plusieurs de ces aspects, mais rares sont ceux qui en ont une vision d’ensemble. Le rôle de l’assistance à la conception de service est de réunir ces différents points de vue pour faciliter la prise de décision, et de rédiger les spécifications et les procédures correspondantes en prenant en compte la globalité des enjeux.

La dimension « sécurité » du projet fait elle aussi appel à ces différents points de vue, mais nécessite en outre une expertise pointue dans des domaines aussi variés que :

  • l’étude de sécurité et l’analyse de risques ;
  • la gestion d’identités et le contrôle d’accès ;
  • les certificats et la PKI ;
  • la confidentialité et le chiffrement ;
  • la signature électronique et ses avatars : le cachet serveur et l’horodatage ;
  • la traçabilité ;
  • le coffre-fort numérique et l’archivage électronique ;
  • la rédaction de Conventions de Preuve et de Politiques de Sécurité.

Le rôle de l’assistance à la sécurisation de services est d’apporter une vision d’ensemble du domaine de la sécurité pour faire les bons choix d’implémentation, puis de produire les documents à l’appui de l’exploitation quotidienne du produit ou du service.

 

La démarche

Analyse du besoin :

  • Échanger avec les différents acteurs pour identifier leurs attentes et leurs contraintes.
  • Synthétiser une fiche d’expression de besoin.

 

Étude de sécurité et analyse de risque :

  • Identifier les objectifs de sécurité.
  • Analyser les sources de risques.
  • Envisager les mesures correspondantes.
  • Décrire leur mise en œuvre effective.
  • Identifier les risques résiduels.
  • Garantir la conformité aux référentiels applicables (RGS, normes…).

 

Spécification du produit ou service :

  • Décrire le produit ou service sous une forme exploitable par les développeurs pour réaliser l’implémentation.
  • Définir les acteurs, les données, les flux, les écrans, le paramétrage, l’administration.
  • Prévoir les interfaces techniques externes ou internes.
  • Pour la partie sécurité, décrire précisément les fonctionnalités mises en œuvre, les contraintes, les procédures de génération et de gestion des secrets.

 

Assistance à la réalisation :

  • Offrir un support à l’équipe projet dans la réalisation des spécifications et pour la recette.
  • En particulier, pour la partie sécurité, fournir des outils et jeux de données de test, des protocoles de réalisation des tests, et analyser les résultats.
  • Offrir un support à la mise en production et à la définition des procédures d’exploitation. Pour la partie sécurité, identifier les éléments clefs à monitorer (expiration de certificats, ruptures d’intégrité…).

 

Rédaction des Politiques de Sécurité : 

Rédiger l’ensemble des documents servant de base à la sécurité juridique du service ou du produit : conditions générales d’utilisation, convention de preuve, politique de signature électronique, politique de certification, politique d’archivage…

 

Assistance à la communication et à la commercialisation : 

Rédiger les argumentaires relatifs à la sécurité pour les plaquettes commerciales ou la communication autour du service ou produit.

 

Transfert de compétences :

Former les acteurs du projet de manière à vous offrir l’autonomie à l’issue de la réalisation.

 

Les livrables

Les livrables d’une mission d’aide à la conception ou à la sécurisation de service dépendent de chaque projet. Citons, parmi d’autres :

  • l’expression de besoin ;
  • l’analyse de risque ;
  • les spécifications fonctionnelles ;
  • le cahier de recette ;
  • la documentation et les procédures d’administration ;
  • la convention de preuve ;
  • les politiques de sécurité ;
  • les argumentaires commerciaux…

 

Les gains

Les gains principaux à attendre d’une telle mission sont :

  • un regard transverse prenant en compte l’ensemble des dimensions du projet dans une démarche documentée et rigoureuse ;
  • l’expertise en sécurité, garante d’une architecture robuste, documentée, interopérable, évolutive ;
  • une prise en compte exhaustive des besoins du projet : de la conception à la commercialisation, en passant par la réalisation et l’exploitation ;
  • un transfert de compétences en cours de projet, renforcé si besoin par des formations pointues.

 

La durée

De 20 à 100 hommes.jours selon le projet.

 

Un exemple de mission

DICT.fr : ajout des fonctions de signature électronique, de traçabilité et d’archivage électronique à un service existant lien

La référence !

securite_de_la_dematérialisation

A écouter ...

A lire ...

Voir aussi