Discussion :

[wh6b.]

Bonjour à tous,

Je suis en fin de cycle d'ingénieur spécialité informatique systèmes d'information (ISI) au CNAM
Il me reste à rédiger et soutenir un mémoire dans le cadre d'un stage en entreprise ou d'un projet en entreprise.

Le contexte, mon employeur actuel ne souhaitant pas me libérer du temps pour réaliser des projets qui amélioreraient le quotidiens de bcp de salariés. Je me suis tourné vers la réalisation d'un projet que je réaliserai pour une autre entreprise sur mon temps libre, plus précisément pour une association de la petite enfance (dont je fais partie) .

J'ai débord proposé de réaliser toute l'analyse du besoin, les specs, la conception, l'intégration, .., tout le cycle de vie d'une solution IT Open Source pour répondre au problème des TPE, PME, artisans, associations, ou n'importe quelle autre structure qui ont l'obligation de rédiger un document unique d'évaluation des risques qui n'ont pas les moyens ou l'envie de payer pour utiliser un logiciel propriétaire ou d'utiliser un logiciel bureautique.
J'ai eu comment réponse que ce que je proposais n'était pas de niveau ingénieur, car le contexte de document unique n'était pas assez complexe.

Soit, j'ai alors pris de la distance avec ce que je voulais réaliser et j'ai pris une partie de mon travail prévu pour le généraliser et le détailler : étudier une méthode ainsi qu'un squelette/un template pour sécuriser des applications web en général. L'application de gestion du DU ne sera donc qu'un exemple sur lequel je pourrai tester le résultat de mon étude.

Je vous donne ma proposition en réponse à ce message.
Je conçois que faire un mémoire d'ingénieur dans une grande structure sur un thème de la géolocalisation ou le traitement de données scientifique se rapporte plus à ce qui est demandé.
Je pensais qu'en focalisant sur le domaine de la sécurité, le coté petite structure/PME/association serait mis de coté..

Mon responsable de filiaire a des craintes sur le résultat, pour ne pas déformer ses propos je vous les livre telles quelles :

Je vais être honnête, votre sujet m'inquiète, car j'ai des craintes sur le résultat. Connaissant la qualité de votre ENG221, je connais votre sérieux, mais j'ai peur que vos conclusions ne soient pas applicables à autre chose qu'à de toutes petites structures. En effet, si je veux aller au bout de mon raisonnement, il ne faut pas que le lecteur de votre mémoire pense que le travail réalisé était faisable par un stagiaire de DUT. Je pense que la faiblesse de votre proposition réside uniquement sur ce point et je pense qu'il faut faire un gros travail didactique sur ce point. Pour le reste nous ne sommes pas loin d'un résultat acceptable pour votre proposition.

J'avais pourtant vu des mémoires d'ingé sur internet portant sur des études et des implémentations d'outils existants, des comparatifs, des réalisations d'IHM pour visualiser des données.
Je me suis donc trompé mais je trouvais ces projets moins complexes que celui que je propose, j'étais confiant quant au devenir de ma dernière proposition..

Je ne compte plus le nombres d'heures passées à réfléchir pour améliorer cette proposition pour enfin proposer quelque chose de "niveau ingénieur"
J'ai démarré le CNAM en cours du soir avec un BAC, maintenant je suis vieux avec une famille à m'occuper, je suis à 2 doigts de tout laisser tomber juste avant la fin tellement ca me prend la tête et ca va me prendre du temps dans tous les cas...

Quel est votre avis sur ce sujet ?
Ai-je vraiment une vision si éloignée/basse/mauvaise de ce qu'est un "niveau ingénieur" ?

Un grand merci par avance aux courageux qui liront la proposition (qui bien sûr ne doit pas faire que 20 lignes..)

[wh6b.]

PROPOSITION DE SUJET DE MEMOIRE
En vue d’obtenir
LE DIPLOME D'INGENIEUR CNAM
en
Informatique
spécialité : systèmes d’information

Lieu du stage : Crèche associative...

1. Présentation du sujet
1.1. Contexte
Le nombre de biens et d’information sous forme numérique sont en augmentation constante : les protéger est un enjeu primordial pour toutes les entreprises.

XXXX est une crèche associative à gestion parentale qui, comme toute entreprise et association d’au moins un salarié, elle doit maintenir un document qui liste et évalue les risques encourus par tous les salariés de la structure : le document unique d’évaluation des risques professionnels (DU). Ce dernier doit aussi permettre l’établissement de plans d’actions et le suivi des événements. Une solution IT doit être conçue et mise en production sur un environnement informatique mutualisé pour XXXX, d’autres crèches, associations et entreprises intéressées.

Des données concernant les risques encourus par les salariés, peuvent contenir des informations métiers et organisationnelles sensibles disséminées dans la masse d’information du DU. Elles sont d’éventuelles failles qui, détenues par des personnes malveillantes, peuvent être exploitées : atteinte à la sécurité des personnes, vol de biens matériels ou de connaissance, détournement de fonds, ou encore action ayant pour but de nuire à l’image de la structure.
C’est une des raisons pour lesquelles la gestion des risques de sécurité des systèmes d’information (SSI) est à considérer très sérieusement. Cet enjeu est global. Il touche toutes les couches du système d’information (SI) de toutes les entreprises, états, associations, ou encore des particuliers.

La création et le cycle de vie de cette solution IT, ainsi que ses fonctionnalités applicatives, correspondent aux standards d’une applications web (persistance de l’information, point d’entrée public, visualisation et manipulation de données visibles et confidentielles, gestion des accès et des permissions, stockage et affichage de documents téléversés, etc. )

Cette situation va permettre de réaliser une étude générale sur la sécurisation de l’information durant tout le cycle de vie d’un élément du SI.

1.2 But du stage
Sécuriser une application déjà existante est risqué, complexe et long . En revanche, prendre en compte la sécurité dès le début d’un projet informatique est plus propre, plus simple et demande moins d’analyse et de tests de non-régression.

L’application web de gestion de DU et son cycle de vie ne sont pas les sujets du stage. Ils ne sont qu’un contexte sur lesquels vient s’appuyer le problème étudié.

L’objectif du mémoire sera de détailler toute l‘étude de la sécurisation de l’information durant chaque étape du cycle de vie d’un projet web en répondant aux enjeux d’intégrité, de confidentialité, de disponibilité, de non-répudiation et d’authentification.

Des outils ainsi qu’une méthode d’analyse et d’implémentation seront créés. L’objectif secondaire sera de fournir un substrat pour d’autres projets ayant des moyens financiers ne permettant pas l’implémentation des normes ou des frameworks d’éditeurs (Cisco, Microsoft, etc.), lourds et coûteux à mettre en place.


1.3. Contraintes
Pour plusieurs raisons qui seront abordées dans le mémoire, l’application de gestion du DU sera de type web client/serveur. L’étude future montrera qu’une application locale, bien que plus facile à déployer et moins exposée aux menaces, apporte aussi beaucoup d’inconvénients.

Le système d’exploitation et l’architecture serveur la plus répandue est Linux x86 / x86_64. Par conséquent, la solution IT sera développée pour cette plate-forme.

La mutualisation des documents, l’implémentation en conteneurs applicatifs, l’automatisation et le provisionnement seront des voies étudiées.

L’exécution de la solution dans un environnement mutualisé implique une plus grande porosité entre les instances des différentes entreprises.

L’application de gestion du DU sera destinée à une population qui n’a pas nécessairement de culture numérique, l’implémentation de la sécurité à travers l’interface, les actions des utilisateurs, la console d’administration et la maintenance devront être les plus simples et légères possible.

De par la sensibilité du candidat sur le sujet, le code source de l’application et les maquettes de tests seront diffusées avec une licence open source.







2. Méthodologie
Généralisation sur les vecteurs d’attaque et la réduction des menaces
Un état de l’art des menaces en sécurité informatique introduira les éléments nécessaires à la compréhension du rapport.
J’aborderai ensuite quelques bonnes pratiques, outils de protection et contre-mesures qui guideront mes recherches afin d’atténuer, contourner ou éradiquer les menaces.

La défense en profondeur
Je présenterai le concept et la méthode de la défense en profondeur. Après analyse, certaines parties seront mises en exergue afin d’être utilisées dans l’implémentation de la sécurisation de l’information.

EBIOS et MEHARI PRO
Je réaliserai une synthèse de ces 2 méthodes. Je les comparerai puis j’en extrairai les parties sur lesquelles je m’appuierai pour les étapes suivantes.

Amélioration de la méthode
En me basant sur les parties remarquables extraites des étapes précédentes, j’optimiserai la structure même et les étapes de cette méthode que j’étudie afin de la rendre plus efficace et facile à mettre en œuvre.

Définition des exigences
Une expression des exigences de sécurité sera rédigée lors de la phase d’analyse : les objectifs d’intégrité, de confidentialité, de disponibilité, de non-répudiation et d’authentification y devront être définis.

Identification mesure et traitement des menaces
Le projet se focalise sur la sécurisation de l’information en s’appuyant sur le cycle de vie du projet. Ce sont les actions dans la colonne de droite « Sécurisation de l’information associée » du tableau ci-dessous qui seront traitées en détail dans le mémoire.

Étape du cycle de vie (hors-cadre)	Sécurisation de l’information associée (sujet du projet)
1. Phase d’analyse et spécification
Identification et catégorisation du besoin, étude de documents juridiques	Réaliser un cadrage des exigences sécurité pour le projet en fonction du besoin, des enjeux et des contraintes
Corrélation des résultats et modélisation des processus métiers	Modéliser les exigences sécurité
Spécification des données et des fonctions	Définir en détail les exigences sécurité pour chaque donnée et fonction de l’application
2. Phase de conception
Étude du design de l’interface utilisateur	Sécuriser les actions des utilisateurs par le design
Définition de l’application par son architecture logicielle	Concevoir une architecture logicielle sûre en respectant les exigences sécurité
Définition de l’infrastructure par son architecture technique	Concevoir une infrastructure saine en respectant les exigences sécurité
3. Création de la solution
Développement, tests unitaires	Tendre vers un code source le plus sûr possible Utiliser les tests unitaires pour valider les exigences sécurité
Intégration de la solution	Intégrer l’application dans un environnement en concordance avec les exigences sécurité
Automatisation de la solution	Provisionner l’installation et la configuration de l’application en concordance avec les exigences sécurité. Réduire au maximum les actions techniques lors de l’installation et de la configuration
4. Mise en production de la solution
Déployer la solution dans le SI en environnement de production	Réduire au maximum les actions techniques lors de l’installation et la configuration
5. Maintenance de la solution
Administrer la solution et la maintenir en condition opérationnelle	Sécuriser les tâches d’exploitation et l’application en fonctionnement
Formation des utilisateurs	Introduire des notions de sécurité aux utilisateurs
6. Retrait de l’application du SI
Archiver les données de l’application	Ne pas créer de failles ou de fuites dans la réalisation de cette action
Démonter l’application	Ne pas créer de failles ou de fuites dans la réalisation de cette action

La méthode ci-dessous sera appliquée pour chacune des actions dans la colonne de droite :

1. Identifier les vulnérabilités inhérentes à l’étape du cycle. Le périmètre de recherche s’applique à :
• l’application elle-même ;
• à ses données ;
• ses composants logiciels et d’infrastructure ;
• aux processus techniques et organisationnels utilisés pour la fabrication et l’utilisation de la solution IT.
2. Réaliser les actions suivantes pour chaque vulnérabilité identifiée précédemment :
2.1.• mesurer le risque de la vulnérabilité ;
2.2.• implémenter et exécuter l’attaque informatique sur le code existant ou sur une maquette idoine ;
2.3.• chercher des solutions applicables et les tester ;
2.4.• corréler les résultats et choisir une ou plusieurs solutions palliant la vulnérabilité ;
2.5.• identifier les menaces résiduelles et les traiter si possible.

Généralisation de la méthode
Une analyse et des modifications seront effectuées sur tout le travail amont afin de généraliser la méthode et les outils de validation mis en place dans le contexte initial.

L ‘objectif sera de fournir un cadre de travail, un squelette et des outils facilement ré-utilisables par d’autres projets intéressés à implémenter la sécurité dès le début du cycle de vie de l’application web.







3. Techniques
3.1. Outils
• Le logiciel Open Source DIA sera privilégié pour la modélisation.
• EBIOS
• MEHARI PRO
• Modélisation des exigences sécurité prévue en UML, SysML ou BPMN.
• Le système d’exploitation hébergeant la solution sera Linux.
• Les langages de développement, les bibliothèques, les solutions d’intégration seront en Python , Bash ou encore Perl.
• Un système de gestion de base de données relationnel est privilégié, avec éventuellement, un usage d’un autre logiciel pour traiter des données semi-structurées en NoSQL.
• Solutions d’automatisation et de provision, par exemple :
◦ Docker
◦ Vagrant
◦ Puppet
◦ Chef
◦ Ansible
◦ Salt
• Outils de sécurisation tels que :
◦ iptables
◦ OSSEC
◦ Tripwire
◦ rsyslogd
◦ fail2ban
◦ port knocking
• Le service sera délivré par le logiciel nginx qui aura le rôle de reverse-proxy des instances applicatives et du contenu statique.
• Des logiciels de pénétration seront utilisés pour tester la sécurité de différents protocoles (URL sanity check, SSH, HTTPS, REST, SQL, etc.) tels que :
◦ Metasploit
◦ nmap
◦ theHarvester
◦ John the Ripper
◦ Retire.js
◦ SQLninja
◦ SSLScan
◦ ncat

3.2. Difficultés
En plus des connaissances en sécurité informatique, ce projet inclut toutes les étapes du cycle de vie d’une brique d’un système d’information. Les domaines de compétences ainsi que les types de tâches à réaliser englobent la quasi-totalité des connaissances du domaine informatique.
Une mauvaise analyse ou un mauvais choix technique par le candidat ira directement à l’encontre de l’objectif fixé.


Livrables
Les principaux éléments livrables attendus sont :
• un document de catégorisation et de mesure des risques des vulnérabilités et de leurs contre-mesures pour chaque étape du cycle de vie ;
• les analyses détaillées qui ont permis le choix des solutions retenues ;
• le code source des maquettes et des tests réalisées lors de l’étude ;
• le code source de la solution IT ;
• procédures du manuel d’exploitation ;
• extraits du manuel utilisateur ou du support de formation.

[fiftytwo]

Bonjour

Je trouve le sujet interessant mais noublies pas que ce nest pas une these , mais un diplome dingenieur , donc tu ne peux pas te permettre detudier des themes hyper precis et pointus sur des sujet rares

Sinon ton job actuel nest pas en rapport avec tes etudes ?

Si il est en rapport alors trouve un sujet entre les deux , qui va satisfaire ton patron et ton ecole

Sinon , il faudra etre inventif , et voir avec le responsable de filiere ce qui est possible . Si tu manques d'idees , continue a chercher et ne baisse pas les bras , il ne te reste que quelques mois et tu auras fini ces 5 annees detudes au cnam en ayuant ce pourquoi tu as bosse dur

[nnovic]

Bonjour,

Je pense que ton responsable de filière a voulu dire que ta présentation ne fait pas du tout ressortir en quoi le sujet est complexe au point de devoir proposer un nouvel outil plutôt qu'utiliser un outil déjà existant.
Le sujet lui-même me semble un peu flou: en première lecture j'avais compris que tu allais réaliser un site web, mais finalement tu écris que ce n'est pas ça le sujet, ensuite j'ai compris que le sujet était la sécurisation des données, et tu sembles vouloir t'appuyer sur plein d'outils existants tout en disant que tu veux créer une nouvelle solution car sécuriser un projet existant est trop compliqué...

En fait, je crois que c'est la présentation du sujet qu'il faut revoir, pas le sujet en lui-même.