UNIVERSITÉ DU QUÉBEC À MONTRÉAL ÉVALUATION DE L'APPLlCATION DES ACTIVITÉS DE SÉCURlTÉ, PROPOSÉES PAR LES MÉTHODES DE GESTION DES RISQUES DE SÉCURITÉ POUR LES SYSTÈMES D'INFORMATION, DANS UN CONTEXTE DE CYCLE DE DÉVELOPPEMENT DU LOGICIEL MÉMOIRE PRÉSENTÉ COMME EXIGENCE PARTIELLE DE LA MAîTRISE EN INFORMATIQUE PAR PATRICK MAROIS DÉCEMBRE 2009 UNIVERSITÉ DU QUÉBEC À MONTRÉAL Service des bibliothèques Avertissement La diffusion de ce mémoire se fait dans le respect des droits de son auteur, qui a signé le formulaire Autorisation de reproduire et de diffuser un travail de recherche de cycles supérieurs (SDU-S22 - Rév.01-2006). Cette autorisation stipule que «conformément à l'article 11 du Règlement nOS des études de cycles supérieurs, [l'auteur] concède à l'Université du Québec à Montréal une licence non exclusive d'utilisation et de publication de la totalité ou d'une partie importante de [son] travail de recherche pour des fins pédagogiques et non commerciales. Plus précisément, [l'auteur] autorise l'Université du Québec à Montréal à reproduire, diffuser, prêter, distribuer ou vendre des copies de [son] travail de recherche à des fins non commerciales sur quelque support que ce soit, y compris l'Internet. Cette licence et cette autorisation n'entrainent pas une renonciation de [la] part [de l'auteur] à [ses] droits moraux ni à [ses] droits de propriété intellectuelle. Sauf entente contraire, [l'auteur] conserve la liberté de diffuser et de commercialiser ou non ce travail dont [il] possède un exemplaire.» TABLE DES MATIÈRES LISTE DES FIGURES yi LISTE DES TABLEAUX vii ix LISTE DES ABRÉVIATIONS, SIGLES ET ACRONYMES RÉsUMÉ xi INTRODUCTION 1 CHAPITRE l QUAND LE DÉVELOPPEMENT LOGICIEL RENCONTRE LA SÉCURITÉ INFORMATIQUE 4 1.1 Le développement logiciel 5 1.1.1 Le déroulement d'un projet de développement logiciel 5 1.1.2 Les modèles de cycle de développement du logiciel 6 1.1.3 Les facteurs influençant un projet de développement logiciel 10 1.2 La sécurité informatique 10 1.2.1 La sécurité informatique en bref 11 1.2.2 La sécurité pour le domaine du développement logiciel 11 1.2.3 L'importance de la sécurité pour le domaine du développement logiciel 12 1.2.4 Les difficultés à intégrer la sécurité dans le développement logiciel 12 1.2.5 Quelques projets de recherche 14 1Il CHAPITRE II LA GESTION DES RISQUES POUR LA SÉCURITÉ DES SYSTÈMES D'INFORMATION 17 2.1 La sécurité des systèmes d'information 18 2.1.1 L'expression des besoins de sécurité 19 2.1.2 L'identification des mesures de sécurité 20 2.2 L'approche par une gestion des risques de sécurité 21 2.2.1 L'équation du risque 22 2.2.2 Les grandes étapes de la gestion des risques 22 2.2.3 Quelques méthodes de gestion des risques 26 CHAPITRE III LES FONDEMENTS DE LA RECHERCHE .28 3.1 La problématique visée 29 3.2 La solution proposée 30 3.3 Le positionnement de la solution proposée 31 3A Les référentiels pour la démarche analytique 33 3A.I La sélection d'un modèle de cycle de développement du logiciel 33 3A.2 La sélection des méthodes de gestion des risques 34 3.5 Le déroulement de la démarche analytique 35 CHAPITRE IV LA DÉMARCI-Œ ANALYTIQUE 40 4.1 Étape 1 : L'identification des activités générales des méthodes de gestion des risques A1 4.1.1 Description des méthodes de gestion des risques .41 4.1.2 Présentation de la synthèse des activités de sécurité identifiées 68 IV 4.1.3 Création de la liste des activités générales de la gestion des risques de sécurité 74 4.2 Étape 2 : La présentation du cycle de développement du logiciel 101 4.3 Étape 3 : L'intégration des activités générales de la gestion des risques dans un contexte de cycle de développement du logiciel 112 CHAPITRE V LE SOMMAIRE DES RÉSULTATS DE LA DÉMARCHE ANALYTIQUE 139 5.1 Synthèse des résultats obtenus 140 5.1.1 Retour sur les résultats de l'étape 1 140 5.1.2 Retour sur les résultats de l'étape 2 142 5.1.3 Retour sur les résultats de l'étape 3 143 5.2 Positionnement des résultats obtenus face à l'hypothèse principale de la recherche 144 5.3 Conclusions finales sur les résultats obtenus 145 CONCLUSION 147 APPENDICE A TABLEAU DE COUVERTURE DES ACTIVITÉS DE SÉCURITÉ PROVENANT DES MÉTHODES ÉTUDIÉES 150 APPENDICEB TABLEAUX D'INTÉGRATIONS DES ACTIVITÉS GÉNÉRALES DE LA GESTION DES RISQUES 154 APPENDICEC TABLEAU DÉTAILLÉ DES RÉSULTATS DE L'INTÉGRATION DES ACTIVITÉS GÉNÉRALES DE LA GESTION DES RISQUES 178 v LEXIQUE 180 RÉFÉRENCES 182 BIBLIOGRAPl-lIE 184 LISTE DES FIGURES Figure Page 1.1 Exemple des étapes du modèle en cascade 7 1.2 Exemple des étapes du modèle en V 7 1.3 Exemple des étapes du modèle en spirale 8 lA Exemple des étapes du modèle par incrément 8 1.5 Exemple des étapes du modèle par itération 9 2.1 Les neuf étapes d'une démarche de gestion de risques 25 3.1 Positionnement de la solution proposée 32 4.1 Positionnement de la méthode EBIOS par rapport aux étapes de la gestion des risques .49 4.2 Positionnement de la méthode MEHARI par rapport aux étapes de la gestion des risques 60 4.3 Positionnement de la méthode OCTAVE par rapport aux étapes de la gestion des risques 68 404 Scénarios de création d'une activité générale 82 4.5 Interdépendances entre les activités générales de la gestion de risques 101 4.6 Schéma d'intégration des activités générales de la gestion des risques 122 4.7 Liens directs entre des activités générales et le cycle de développement du logiciel 127 LISTE DES TABLEAUX Figure Page 2.1 Méthodes de gestion des risques de sécurité 26 3.1 Détails de l'étape 1 de la démarche analytique 36 3.2 Détails de l'étape 2 de la démarche analytique 37 3.3 Détails de l'étape 3 de la démarche analytique 38 4.1 Activités de sécurité de la méthode EBIOS 69 4.2 Activités de sécurité de la méthode MEHARI 71 4.3 Activités de sécurité de la méthode OCTAVE 72 4.4 Associations entre les activités de sécurité et les étapes de la gestion des risques 77 4.5 Tableau de création des activités générales de la gestion des risques pour l'étape .:• .................... 83 4.6 Tableau de création des activités générales de la gestion des risques pour l'étape nO 1 85 4.7 Tableau de création des activités générales de la gestion des risques pour l'étape nO 2 87 4.8 Tableau de création des activités générales de la gestion des risques pour l'étape nO 3 88 4.9 Tableau de création des activités générales de la gestion des risques pour l'étape nO 4 90 4.10 Tableau de création des activités générales de la gestion des risques pour l'étape nO 5 92 4.11 Tableau de création des activités générales de la gestion des risques pour l'étape nO 6 94 4.12 Liste globale des activités générales de la gestion des risques 97 4.13 Comparaisons entre les étapes du développement logiciel et celles du Processus Unifié 111 4.14 Étapes des quatre phases du Processus Unifié 114 4.15 Exemple de l'intégration d'une activité générale dans le cycle de développement du logiciel 115 4.16 Intégration de l'activité générale de gestion des risques n° 1 115 4.17 Intégration de l'activité générale de gestion des risques nO 2 116 4.18 Intégration de l'activité générale de gestion des risques nO 4 116 4.19 Intégration de l'activité générale de gestion des risques nO 6 117 4.20 Intégration de l'activité générale de gestion des risques n° 7 118 4.21 Intégration de l'activité générale de gestion des risques n° 8 118 4.22 Intégration de l'activité générale de gestion des risques n° 9 119 4.23 Intégration de l'activité générale de gestion des risques n° 10 119 4.24 Intégration de l'activité générale de gestion des risques n° 14 119 viii 4.25 Intégration de l'activité générale de gestion des risques nO 21 120 4.26 Intégration de l'activité générale de gestion des risques n° 25 120 4.27 Activités de la gestion des risques pour la phase L'Initialisation du Processus Unifié 128 4.28 Activités de la gestion des risques pour la phase L'élaboration du Processus Unifié 130 4.29 Activités de la gestion des risques pour la phase La construction du Processus Unifié 132 4.30 Activités de la gestion des risques pour la phase La transition du Processus Unifié 135 LISTE DES ABRÉVIATIONS, SIGLES ET ACRONYMES ASD Adaptive software development AUP Agile Unified Process BUP Basic Unified Process CEl Commission électrotechnique internationale CERT Computer Emergency Response Team CLASP Comprehensive, Lightweight Application Security Process CLUSfF Club de la sécurité de l'information français DCSSI Direction centrale de la sécurité des systèmes d'information DIC Disponibilité, intégrité et confidentialité DREAD Damage potential, Reproducibility, Exploitability, Affected users, Discoverabi1ity DSDM Dynamic systems development method EBIOS Expression des Besoins et Identification des objectifs de sécurité EssUP Essential Unified Process EUP Enterprise Unified Process FDD Feature driven development ISO International Organization for Standardization NIST Nationallnstitute of Standards and Technology MARION Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux MEHARI Méthode Harmonisée d'Analyse des Risques MELISA Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information RAD Rapid Application Development