UnivCloud – GT Confiance Numérique

Les différents travaux du GT3 Confiance Numérique (Security, Identity, Privacy)

Suite à l’échec du partenaire privé ManKey dans le pilotage du GT3, la reprise des travaux et le pilotage du GT ont été confié par la gouvernance aux deux principaux contributeurs universitaires (Lettre de mission)

Les principaux faits marquants à retenir sont dans un premier temps la reprise des travaux sur la sécurité & la confiance numérique avec la mise en place d’une nouvelle organisation. Avec une animation du Groupe par Philippe Werle (Direction de projet) de l’Université Paris 13 Nord et David Grassart (Virtualisation et POC) de l’Université d’Evry Val d’Essonne les travaux sur l’expression des besoins de sécurité, la protection des données personnelles (Travaux du Laboratoire TACTIC) et l’implémentation des dispositifs de sécurité par INEO, se déroulent d’une manière très dynamique et efficiente. Dans le cadre de la redéfinition des objectifs, il a été décidé de s’appuyer sur la méthode EBIOS 2010 conformément aux recommandations de l’ANSSI permettant ainsi de mettre un cadre précis autour du Dossier de sécurité, de la sécurité des données personnelles et sur l’implémentation des dispositifs de sécurité sur le Démonstrateur. Enfin conformément aux livrables attendus, les travaux se concentrent actuellement sur l’analyse de risques, et les besoins de sécurité (UNPIDF), sur un focus sur les risques associés aux données personnelles (TACTIC) et sur les spécifications et l’intégration des mécanismes de sécurisation (INEO).

La méthode, conforme aux normes internationales ISO/IEC 31000, ISO/IEC 27005, ISO/IEC 27001 est une émanation du Club EBIOS et de  l’ANSSI. L’association CLUSIF propose une méthode similaire intégrée à l’outil MEHARI qui a fait l’objet d’une évaluation de mise en œuvre. Le logiciel EBIOS a été préféré pour sa facilité d’appropriation

Adaptation de la méthode au contexte d’appel d’offres du projet UnivCloud

Memento de la méthode qui comprend les 4 modules d’origine

Memento de la méthode adaptée dont le module 4 propose les solutions de sécurité pour l’appel d’offres

√ Le logiciel EBIOS facilite, accompagne et permet la production documentaire dans les projets de petite taille. Dans le cadre d’UnivCloud, nous avons accompagné son appropriation et son utilisation par le Laboratoire Tactic EA4420 (EA4420) sur le périmètre de la sécurité des données à caractère personnel et les risques juridiques. L’expérience a mis à jour quelques difficultés de performance et a fait l’objet d’un retour auprès de l’ANSSI

√ Reprise complète du dossier de spécifications du GT Fonctionnel pour une meilleure expression des besoins et identification des objectifs de sécurité

√ Coordination avec le partenaire privé INEO pour la production du dossier de sécurité du démonstrateur (POC)

√ Coordination avec le laboratoire Tactic pour l’intégration et la consolidation des productions documentaires dans la rédaction du dossier de sécurité

Le Dossier de Sécurité obtenu, un livrable essentiel d’UnivCloud

  • Le GT a proposé puis accompagné INEO dans l’intégration au démonstrateur des mécanismes d’authentification de la Fédération d’Identité de RENATER. Il a piloté un workshop d’appropriation de la technologie Shibboleth avec le support technique de RENATER et ainsi constituer un des premiers cercles de confiance « privé » de la Fédération d’Identité, la fédération UnivCloud. Service provider du cercle de confiance privé Univcloud, le démonstrateur s’est ouvert aux 14 premiers établissements de l’UNR Paris Ile de France qui ont pu y mener leurs expérimentations.