Le CSPN, certificat de sécurité de premier niveau, ne consiste pas un audit de l'ANSSI comme l'annonce l'entrefilet. C'est une vérification de robustesse par un centre d'évaluation accrédité. Comme son nom l'indique, la vérification est premier niveau, et ne permet que de détecter les vulnérabilités les plus voyantes.
Pour une certification plus sérieuse, il faudrait viser du Critères Communs. Mais cela nécessiterait que l'on soit capable de décrire précisément ce qu'est un antivirus, et les objectifs et exigences de sécurité associés (le "profil de protection"). Vu l'obscurité générale qui entoure le business des AV, je doute que cela soit possible.
Une autre imprécision : le FSN ce n'est pas un financement direct par l'état, mais par la caisse des dépots, ce qui est sensiblement différent. Le FSN finance principalement des infrastructures, comme du déploiement de fibre optique.
Sinon, des projets à tendance pipo de ce type, je crains que l'état et les collectivités territoriales n'en financent des dizaines… L'analyse d'opportunité est en général réalisée par des profils administratifs, qui ne peuvent juger de la qualité technique des projets; et même en cas d'avis négatif des services, à la fin le politique dit oui parce qu'il connaît les PDG des boites en question. Les SSLL ne sont pas les dernières à en profiter.
Hum. La loi LOPPSI 2 dit que les sites identifiés comme pédopornographiques par les enquêteurs en cybercriminalité de la police sont automatiquement transmis aux FAI, pour que ceux-ci bloquent leur accès. Indépendamment de ce qu'on peut penser de la justesse de la mesure, je ne qualifierais pas ça de "neutralité".
Ah mais non, moi les murs de 2 mètres de haut, la détection d'intrusion à toutes les fenêtres du rez-de-chaussée, les rondes de nuit dans les locaux, les armoires fortes avec 1587558 mesures de sécurité, les bureaux de sécurité sans fenêtres, et les années d'emprisonnement en cas de divulgation, je pense que ça sera vraiment parfait pour protéger le bret de ZePlasticCompany à propos de dépôt de vaseline en couche mince sur les mulots congelés.
Non, par contre, ils avaient obtenu une certification ISO27001 en management de la sécurité ds systèmes d'informations. Le côté obscur du pipô est puissant en France.
Ce marché (construction Chorus) a pris fin. Il a été suivi par un appel d'offres pour la maintenance et le support aux utilisateurs (le centre de service, quoi).
Le groupement de sociétés Steria/Cap Gemini a remporté le nouveau marché (face à 2 autres groupements : Sopra/Accenture/Bull et Logica/Atos, de tête). Montant : 120M euros pour une durée de 6 ans. Ca se passe à Toulouse.
Pour le reste, faut que je retrouve l'appel d'offres... On y trouve notamment la liste de technos pour ceux que ça intéresse. Dites moi si vous le voulez.
Intégrateurs initiaux : Accenture, Steria, Sopra, Bull, Logica.
Assistants au déploiement : Cap Gemini, Sopra, Bearing Point, Kurt Salmon, j'en oublie.
Maintenance et support actuels : Steria, Cap Gemini.
(Les seuls à pas avoir bouffé, c'est IBM il me semble... trop chers)
Modules : ECC (toute la clique dont FI et CO), SRM, BI, XI, CUA/Solman, WM. Plus un module de compta publique pas trop connu (j'ai oublié le nom).
A côté de ça, il y a une grosse couche de développements hors SAP, en particulier pour l'intégration au reste du SI état (ex : archivage), dont une belle part de libre.
Les marchés publics sont systématiquement rendus publics sur la place de marchés interministérielle, le quidam peut les télécharger. Bon, ça réclame un peu de boulot pour se tenir au courant ! https://www.marches-publics.gouv.fr/
Chorus c'est compliqué. C'est du SAP et ça pue c'est pas libre, bien sur.
Mais Chorus c'est aussi quelques centaines de serveurs Redhat (les applications server SAP). C'est aussi l'application complémentaire Chorus-Formulaires, intégralement en Tomcat/Postgresql. C'est aussi 80 (!!!) applications propriétaires remplacées auprès de milliers d'utilisateurs. C'est aussi de la dématérialisation d'actes administratifs dans tous les sens et des milliers d'arbres pas coupés. C'est aussi la promotion du PDF dans l'administration pour les pièces justificatives en lieu et place de toutes les saletés précédentes. C'est aussi la première grosse appli de l'état en authentification forte (X509 rulez).
Pourquoi SAP ? Ben ils ont gagné l'appel d'offres... Il faut dire que les ERP libres n'avaient pas pris la peine de répondre. L'appli de dépenses de l'état précédente était basée sur Peoplesoft. Ca change.
Niveau orga ministérielle, Chorus est porteur d'un gros changement (bouzin) réglementaire : la LOLF. Oui, Chorus a désorganisé les services qui n'avaient pas anticipé la LOLF. Mais ce n'est pas un problème informatique. Plutôt de la conduite du changement un peu bancale.
Enfin, SAP, çapuecestpaslibre, mais c'est l'un des rares ERP à avoir des références pour des instances de plus de 30000 users. Si l'état avait fait un autre choix, on lui aurait certainement reproché.
Bon, Chorus, c'est aussi des centaines de consultants en SSI qui viennent se nourrir au râtelier de l'état. Moins glop. C'est aussi des retards de déploiement qui ont mis des fournisseurs de l'état dans la m... C'est aussi des frais de déplacement payés en retard parce que les agents ont découvert l'appli sur le tard. C'est pas mal de dysfonctionnements techniques la première année (heureusement traités depuis).
C'est aussi une équipe motivée comme des oufs, une énergie dingue et un vrai souci de l'intérêt du citoyen. J'espère qu'au final il en sortira de vraies améliorations.
[^] # Re: Idée d'amélioration possibles
Posté par zogzog . En réponse à la dépêche Sortie de Paperwork 0.1. Évalué à 2.
En l'occurence, vu qu'on veut chiffrer des documents, gnupg semble plus adapté que truecrypt, non ?
Sinon, pour l'archivage des documents importants et confidentiels, ça doit pouvoit se gérer avec un cron qui utilise http://duplicity.nongnu.org/.
# CSPN
Posté par zogzog . En réponse au journal Davfi : le premier antivirus open source made in France. Évalué à 4.
Le CSPN, certificat de sécurité de premier niveau, ne consiste pas un audit de l'ANSSI comme l'annonce l'entrefilet. C'est une vérification de robustesse par un centre d'évaluation accrédité. Comme son nom l'indique, la vérification est premier niveau, et ne permet que de détecter les vulnérabilités les plus voyantes.
Voir http://www.ssi.gouv.fr/IMG/pdf/ANSSI-CSPN-CER-P-01-1_Certification_de_securite_de_premier_niveau.pdf
Pour une certification plus sérieuse, il faudrait viser du Critères Communs. Mais cela nécessiterait que l'on soit capable de décrire précisément ce qu'est un antivirus, et les objectifs et exigences de sécurité associés (le "profil de protection"). Vu l'obscurité générale qui entoure le business des AV, je doute que cela soit possible.
Une autre imprécision : le FSN ce n'est pas un financement direct par l'état, mais par la caisse des dépots, ce qui est sensiblement différent. Le FSN finance principalement des infrastructures, comme du déploiement de fibre optique.
Sinon, des projets à tendance pipo de ce type, je crains que l'état et les collectivités territoriales n'en financent des dizaines… L'analyse d'opportunité est en général réalisée par des profils administratifs, qui ne peuvent juger de la qualité technique des projets; et même en cas d'avis négatif des services, à la fin le politique dit oui parce qu'il connaît les PDG des boites en question. Les SSLL ne sont pas les dernières à en profiter.
# Neutralité du net ?!
Posté par zogzog . En réponse au journal Hollande et Sarkozy et le libre. Évalué à 4.
Hum. La loi LOPPSI 2 dit que les sites identifiés comme pédopornographiques par les enquêteurs en cybercriminalité de la police sont automatiquement transmis aux FAI, pour que ceux-ci bloquent leur accès. Indépendamment de ce qu'on peut penser de la justesse de la mesure, je ne qualifierais pas ça de "neutralité".
[^] # Re: Humour noir...
Posté par zogzog . En réponse au journal Bye, Gniarf. Bienvenu au pays des gens bronsonisés.. Évalué à 1.
Partir, c'est mourir un peu. Mais c'est surtout la réciproque qui est vraie.
[^] # Re: Les randonnées au pays du Soleil Levant...
Posté par zogzog . En réponse au journal OpenStreetMap, une idée comme ça. Évalué à -1.
Salut, Fred.
[^] # Re: mort heureuse
Posté par zogzog . En réponse au journal Danielle Mitterrand bronsonisée !. Évalué à 1.
Et oui, la lumière bleue au bout du tunnel, ce n'est que le BSOD de ton âme. Quelque part.
[^] # Re: Bientôt les journaux /dev/null?
Posté par zogzog . En réponse au journal Danielle Mitterrand bronsonisée !. Évalué à 3.
C'est le générateur qui était utilisé pour les clefs SSH ?
[^] # Re: Secret?
Posté par zogzog . En réponse au journal Secret défense étendu au entreprise ?. Évalué à 1.
Ah mais non, moi les murs de 2 mètres de haut, la détection d'intrusion à toutes les fenêtres du rez-de-chaussée, les rondes de nuit dans les locaux, les armoires fortes avec 1587558 mesures de sécurité, les bureaux de sécurité sans fenêtres, et les années d'emprisonnement en cas de divulgation, je pense que ça sera vraiment parfait pour protéger le bret de ZePlasticCompany à propos de dépôt de vaseline en couche mince sur les mulots congelés.
[^] # Re: java...
Posté par zogzog . En réponse au journal Ma vie : moi qui allait publier mon code en GPL.... Évalué à 0.
Like a boss !
http://www.youtube.com/watch?v=NisCkxU544c
[^] # Re: « Machin est bronsonisé »
Posté par zogzog . En réponse au journal Robert Lamoureux bronsonisé. Évalué à 3.
Aucun rapport avec la technologie ? "Le fil vert sur le bouton vert, le fil rouge sur le bouton rouge !"
Sinon, c'est triste, ton avis sur l'auteur du journal.
[^] # Re: Merci le CCC
Posté par zogzog . En réponse à la dépêche Un cheval de Troie gouvernemental analysé par le CCC. Évalué à 9.
Back orifice, c'est plutôt DTC.
[^] # Re: Mais non pas du tout
Posté par zogzog . En réponse à la dépêche Un cheval de Troie gouvernemental analysé par le CCC. Évalué à 1.
Quand ju vas bien, c'est Juvamine !
# Mais non pas du tout
Posté par zogzog . En réponse à la dépêche Un cheval de Troie gouvernemental analysé par le CCC. Évalué à -10.
Le CCC, c'est le Comité Contre les Chats, tout le monde sait ça.
[^] # Re: Tout est dans le titre
Posté par zogzog . En réponse au journal Ce qui devait arriver Aréva. Évalué à 6.
Non, par contre, ils avaient obtenu une certification ISO27001 en management de la sécurité ds systèmes d'informations. Le côté obscur du pipô est puissant en France.
[^] # Re: Qui fait quoi
Posté par zogzog . En réponse au journal Les finances publiques pilotées par SAP : qu'en penser ?. Évalué à 3.
Ce marché (construction Chorus) a pris fin. Il a été suivi par un appel d'offres pour la maintenance et le support aux utilisateurs (le centre de service, quoi).
Le groupement de sociétés Steria/Cap Gemini a remporté le nouveau marché (face à 2 autres groupements : Sopra/Accenture/Bull et Logica/Atos, de tête). Montant : 120M euros pour une durée de 6 ans. Ca se passe à Toulouse.
Pour le reste, faut que je retrouve l'appel d'offres... On y trouve notamment la liste de technos pour ceux que ça intéresse. Dites moi si vous le voulez.
[^] # Re: Qui fait quoi
Posté par zogzog . En réponse au journal Les finances publiques pilotées par SAP : qu'en penser ?. Évalué à 7.
Je partage le deuxième point.
Intégrateurs initiaux : Accenture, Steria, Sopra, Bull, Logica.
Assistants au déploiement : Cap Gemini, Sopra, Bearing Point, Kurt Salmon, j'en oublie.
Maintenance et support actuels : Steria, Cap Gemini.
(Les seuls à pas avoir bouffé, c'est IBM il me semble... trop chers)
Modules : ECC (toute la clique dont FI et CO), SRM, BI, XI, CUA/Solman, WM. Plus un module de compta publique pas trop connu (j'ai oublié le nom).
A côté de ça, il y a une grosse couche de développements hors SAP, en particulier pour l'intégration au reste du SI état (ex : archivage), dont une belle part de libre.
Les marchés publics sont systématiquement rendus publics sur la place de marchés interministérielle, le quidam peut les télécharger. Bon, ça réclame un peu de boulot pour se tenir au courant ! https://www.marches-publics.gouv.fr/
[^] # Re: Compliqué
Posté par zogzog . En réponse au journal Les finances publiques pilotées par SAP : qu'en penser ?. Évalué à 4.
Loi Organique sur les Lois de Finances, wikipedia est ton ami ;-)
# Compliqué
Posté par zogzog . En réponse au journal Les finances publiques pilotées par SAP : qu'en penser ?. Évalué à 10.
Disclaimer : je bosse à la sécu du projet Chorus.
Chorus c'est compliqué. C'est du SAP et ça pue c'est pas libre, bien sur.
Mais Chorus c'est aussi quelques centaines de serveurs Redhat (les applications server SAP). C'est aussi l'application complémentaire Chorus-Formulaires, intégralement en Tomcat/Postgresql. C'est aussi 80 (!!!) applications propriétaires remplacées auprès de milliers d'utilisateurs. C'est aussi de la dématérialisation d'actes administratifs dans tous les sens et des milliers d'arbres pas coupés. C'est aussi la promotion du PDF dans l'administration pour les pièces justificatives en lieu et place de toutes les saletés précédentes. C'est aussi la première grosse appli de l'état en authentification forte (X509 rulez).
Pourquoi SAP ? Ben ils ont gagné l'appel d'offres... Il faut dire que les ERP libres n'avaient pas pris la peine de répondre. L'appli de dépenses de l'état précédente était basée sur Peoplesoft. Ca change.
Niveau orga ministérielle, Chorus est porteur d'un gros changement (bouzin) réglementaire : la LOLF. Oui, Chorus a désorganisé les services qui n'avaient pas anticipé la LOLF. Mais ce n'est pas un problème informatique. Plutôt de la conduite du changement un peu bancale.
Enfin, SAP, çapuecestpaslibre, mais c'est l'un des rares ERP à avoir des références pour des instances de plus de 30000 users. Si l'état avait fait un autre choix, on lui aurait certainement reproché.
Bon, Chorus, c'est aussi des centaines de consultants en SSI qui viennent se nourrir au râtelier de l'état. Moins glop. C'est aussi des retards de déploiement qui ont mis des fournisseurs de l'état dans la m... C'est aussi des frais de déplacement payés en retard parce que les agents ont découvert l'appli sur le tard. C'est pas mal de dysfonctionnements techniques la première année (heureusement traités depuis).
C'est aussi une équipe motivée comme des oufs, une énergie dingue et un vrai souci de l'intérêt du citoyen. J'espère qu'au final il en sortira de vraies améliorations.