Les modèles d’erreur (orientés sûreté) et les modèles de vulnérabilités (orientés sécurité) sont différents. L’offre consiste à mettre en œuvre une démarche cohérente afin de prendre en compte les exigences non fonctionnelles de sûreté et les exigences de sécurité applicables aux composants sensibles, qu’il s’agisse de composants critiques (exemple systèmes de commande) ou de composants orientés sécurité logique : chiffrement, transactions de dématérialisation pour illustration.
La démarche est organisée en trois étapes : formalisation des exigences non fonctionnelles de sûreté et des exigences de sécurité, mesures architecturales permettant de satisfaire les exigences et vérification de l’implantation en termes de robustesse aux erreurs et aux attaques. Ces études s’appuient en particulier sur le modèle « Common Weaknesses Enumeration » qui liste l’ensemble des faiblesses architecturales ou des faiblesses de codage qui peuvent être exploitées par des attaquants. L’interaction entre erreurs, faiblesses et attaques est un point clé de cette offre.
Pratiquement, elle s’appuie sur les études de menaces, la formalisation de politiques de sécurité, la vérification d’architecture et enfin l’analyse de code outillée.
Retourner à la présentation de nos autres services.
|