Le 23 mai dernier, le CETIC a organisé en collaboration avec le chapitre belgo-luxembourgeois de l’ISACA, un groupe de discussion commun dont le thème était la mise en œuvre de normes de qualité pour une meilleure sécurité des applications IT. Les exposés, dont nous donnons ici un bref compte-rendu, ont été l’occasion d’échanges intéressants sur l’état des pratiques et les problèmes auxquels la recherche peut répondre.
Dans le premier exposé, G. Ataya (ISACA) a présenté le COBIT, un guide de bonnes pratiques développé par l’ISACA et largement reconnu au niveau international. Le COBIT est un référentiel qui couvre la gouvernance IT, l’audit et la gestion de la sécurité. Ce référentiel a l’avantage de pouvoir s’adapter à un large éventail d’organisations tout en n’étant pas lié à une démarche spécifique de normalisation. G. Ataya s’est également attaché à décrire le processus de l’audit en liaison avec les différents axes du COBIT et la gestion de la valeur IT.
Le second exposé présenté par Magali Miche (CETIC) avait pour thème les normes de qualité pour les processus et produits IT, et a mis en évidence un ensemble de mesures communes à ces normes qui permettent d’évaluer l’adéquation d’applications logicielles par rapport à des ensembles d’exigences ayant trait notamment à la sécurité de ces applications. Dans ce cadre, il a également été fait mention du logiciel D-Side développé au CETIC et qui permet de donner une image de la qualité d’une application au moyen de diverses mesures quantitatives. D-Side est notamment mis en œuvre dans la gestion de larges projets IT. Pour plus d’informations concernant D-SIDE, contactez squal@cetic.be
Dans l’exposé suivant, Christophe Ponsard (CETIC) a présenté le standard international Critères Communs pour la sécurité informatique. Il a notamment mis en évidence une modélisation des processus associés à cette norme en vue de la fourniture d’un support automatisé pour la production de documents Critères Communs et pour la démarche de certification.
Le dernier exposé par Jean-François Molderez (CETIC) traitait de l’emploi des méthodes formelles pour la modélisation d’exigences de sécurité, du lien entre modélisation formelle et niveau de certification Critères Communs, et de la production de plans de tests d’acceptation basés sur ces exigences. Différents formalismes de modélisation ainsi que les outils associés à ces formalismes ont été introduits dans le cadre de la vérification de modèles par rapport à des propriétés de sécurité.
Cet après-midi a permis d’établir de nombreux liens entre chercheurs, spécialistes de l’audit informatique et praticiens de la sécurité IT au sein des entreprises. Ces contacts sont appelés à se développer dans un avenir proche avec comme double objectif le transfert de technologies issues de la recherche vers les entreprises et la remontée des expériences et bonnes pratiques du terrain au sein des entreprises vers les projets de recherche.