Taraua Devatine

- Calcul de maturité SSI ;
- Analyse de risques SSI (méthode EBIOS) ;
- Rédaction de la PSSI ;
- Rédaction de la directive d'exploitation ;
- Élaboration du tableau de bord SSI ;
- Élaboration du plan d'actions SSI.

Cartographie des risques SSI
Assistance
Conseil
Audit
Récupération de données

ViTi - Papeete (Tahiti) (15 personnels)

Missions :

. Étude et mise en place du chantier de construction d’un Data Center pour un budget de 250 000 000 XPF
. Définition de la stratégie de l’entreprise avec un budget de lancement de 140 000 000 XPF
. Étude de la couverture Internet et des choix technologiques pris pour atteindre 5 000 clients en décembre 2011
. Relations avec l’État (haut-commissariat), le Pays, le Service des Postes et Télécommunications, l’OPT et les futurs grands comptes
. Conseils en sécurité des systèmes d’informations

Réalisations:

. Durée d’interconnexion au câble Honotua, d’une ligne de test, rallongée jusqu’au 30 juin 2011
C’est le résultat de négociations âpres avec l’OPT et le SPT, en arbitre. Ce lien était indispensable pour tester les équipements installés et commencer la période de « béta-testeurs ».
. Mise en place et suivi d’une démarche de cohérence des objectifs avec les moyens
Il s’agissait de redynamiser les équipes commerciales et techniques (13 ingénieurs et techniciens) en redéfinissant les objectifs réalistes à court terme. En éclaircissant l’horizon technique extrêmement compliqué de la mise sur pied d’un fournisseur d’accès Internet (FAI) et en recadrant les ingénieurs et techniciens, la motivation des équipes a été augmentée.
. Mise en place de stages de formation pour les ingénieurs
Après définition du budget de formation, de la motivation des ingénieurs et de la feuille de route pour proposer une connexion Internet, deux ingénieurs sont partis en formation, en Inde et en France.
. Participation aux phases et entretiens de recrutement
Définition du poste, de la fiche de tâches et choix des candidats
. Chef de projet de construction d’un DataCenter avec un budget de 250 000 000 XPF
Le cadre stratégique de positionnement du DataCenter, en termes de services, a été défini. Les discussions techniques ont été bien avancées avec IBM et Bull. Complétées par une étude des plans d’architecture, la construction est prête à être lancée. Le contrat de location est en cours de signature. Une analyse des risques de sécurité a été réalisée. Les contacts commerciaux pris avec les autorités de l’État, du Pays et les grands groupes locaux sont prometteurs.

DIRISI Direction Centrale - Kremlin-Bicêtre (94) (1000 personnels)

Missions :

. Représenter la France aux Task oriented sub-groups, Security working groups, Security documentation review team et Security accreditation board
. Organiser la chaîne RSSI des SIC Internationaux en exploitation : réseaux OTAN, européens, USA, …
. Gérer les processus d'homologations des réseaux au niveau Secret OTAN ou équivalent :
* études des installations (documentations, architectures) ;
* commande des audits techniques et organisationnels auprès des unités spécialisées ;
* suivi des plans d’actions qui découlent des audits

Réalisations :

. Dans un contexte de réintégration de la France dans la structure de commandement intégré de l’OTAN, un effort important a été entrepris pour relier les centres de commandement français à ceux de l’OTAN
Animation de réunions de pour définir une feuille de route pour faire évoluer les réseaux informatiques français de commandements aux standards de l’OTAN, puis pilotage serré des plans d’actions.
En étroite relation et collaboration avec l’autorité nationale de sécurité, les procédures d’exploitation de la 40aine de sites ont été validées.
. Interventions remarquées et appréciées lors des meetings internationaux (Bruxelles, Sofia, Tallin, Vilnius, La Haye, Oslo, Athènes, Rome, …).
Après explication et défense des spécificités françaises à intégrer dans les protocoles de l’OTAN, après synthèse des aspects techniques et organisationnels de l’ensemble des pays partenaires, les remarques et réserves de la France ont été prises en compte et des procédures OTAN ont été adaptées.
Un solide réseau de confiance a été tressé avec les autorités de sécurité des pays alliés.
. L’organisation de la chaîne de commandement des RSSI locaux et régionaux, et la formalisation de leurs interactions avec le RSSI central, ont permis de réduire considérablement les délais d’homologation de systèmes de niveau secret et de répondre aux besoins opérationnels pour des opérations urgentes, de plus en plus fréquentes

Missions:

. Piloter la bascule entre deux systèmes d'information et préparer les cours de formation pour le nouveau système.

Résultats obtenus :

. Création, puis validation de la formation informatique spécifique interne du 41ième Régiment de Transmission en tant que Centre de formation national de référence pour le-dit système d'information.

SAS ViTi – Tahiti
État-major des SIC – Ministère de la Défense – Kremlin-Bicêtre (94)
Opération PAMIR XVI – Ministère de la Défense – Kaboul (Afghanistan)
41ème régiment de transmissions de Senlis - Ministère de la Défense - Senlis (60)

Missions d’expert en Sécurité des Systèmes d’Informations :

. Cartographie des risques (méthode EBIOS : Expression de besoins et identification des objectifs de sécurité)
. Pilotage des processus d'homologations d’une soixantaine de réseaux internationaux, dont 5 Data Center
. Préparation et animation semestrielle des comités de suivi SSI des sites et bases, avec leur RSSI respectifs
. Participation aux comités d’homologation des réseaux internationaux
. Participation aux séminaires, groupes de travail et sous-groupes techniques internationaux traitant de SSI
. Représentant français parmi les experts SSI internationaux pour la sécurité des réseaux militaires interalliés

Synthèse des savoir-faire techniques mis en œuvre sur une 60aine de réseaux répartis sur une 40aine de sites et bases du Ministère de la défense :

. Gestion des risques
Un risque étant décrit par un évènement, ses conséquences et sa vraisemblance, la méthode de gestion de risque consiste à se focaliser sur :
* les évènements redoutés :
- sources de menaces ;
- besoin de sécurité ;
- impact en cas de non-respects de ces besoins ;
* les différents scenarii de menaces qui peuvent les provoquer :
- sources de menaces ;
- menaces ;
- vulnérabilités.
Les risques sont alors :
* identifiés en combinant les évènements redoutés et les scenarii de menaces ;
* estimés ;
* évalués ;
* hiérarchisés en fonction de leur importance.
. Définition de la politique de sécurité informatique :
* rédaction ou correction des Politiques de Sécurité des Systèmes d’Informations ;
* élaboration de tableau de bord SSI aux niveaux local, régional et central ;
* étude de maturité SSI ;
* études des installations (documentations, architectures) ;
* commande des audits techniques et organisationnels auprès des unités spécialisées ;
* élaboration et suivi des plans d’actions qui découlent des audits ;
* rédaction de la directive d’exploitation du réseau.

Recherche dans un domaine non-exploré de la sécurité des systèmes d’informations – Expert en SSI

Directeur de recherche : M. Dominique Chandesris, conseiller spécial du Directeur l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information)

Titre de la recherche
La sécurité dans la convergence Voix-Données sur IP. Étude et analyse du logiciel Skype

Synthèse des résultats obtenus :

. Diplôme d’expert en SSI délivré par le Directeur de l'ANSSI
. Skype présente de nombreuses spécificités (ou « innovations techniques ») :
* son code est chiffré. Il est déchiffré en mémoire juste avant d’être exécuté, puis effacé de la mémoire juste après avoir été exécuté ;
* des centaines de contrôleurs d’intégrité du code vérifient en permanence le code source. S’ils détectent une anomalie, alors des sous-programmes provoquent des erreurs aléatoires dans le programme, qui finit par s’interrompre ;
* des signatures de virus et de chevaux de Troyes sont visibles dans le code déchiffré ;
* Skype s’installe en mode administrateur et ne se désinstalle jamais. Cela lui permet de proposer votre ordinateur comme nœud de communication, s’il a des ressources et une bande passante Internet intéressantes ;
* Skype se joue des Firewall et des règles de filtrage, et scanne tous les ports pour pouvoir sortir sur Internet, au besoin en connexion chiffrée (https) ;
* …

. Outils mis en œuvre :
* étude du code source (outils IDA Pro et OllyDBG) ;
* analyse « boîte noire » (outils Ethereal, analyse de paquets et de protocoles) ;
* méthode développée pour outrepasser les contrôleurs d’intégrité : identification des contrôleurs d’intégrité, décryptage des valeurs du calcul des contrôleurs d’intégrité, calcul de la nouvelle valeur, chiffrement de nouvelle valeur calculée et réinsertion dans le programme chiffré ;
* …

Missions :

. Mettre à jour les formations d’Informatique Spécifique Sous-marine (INFSM) pour officier et officier mariniers en vue des spécificités des nouvelles générations de sous-marins nucléaires.
. Abaisser les coûts de formation des officiers et officiers mariniers.

Résultats obtenus :

. Application des réformes de la formation à tous les cours dispensés.
. Partenariat de formation avec d’autres centres de formations spécialisés militaires : réduction des coûts de formation par mutualisation des enseignements (identification de troncs communs)

41ième régiment de transmissions de Senlis – Ministère de la Défense – Senlis (60) (650 personnels)
Opération PAMIR XVI – Ministère de la Défense – Kaboul (Afghanistan) (1100 personnels)
Escadrille des Sous-marins Nucléaires Lanceur d’Engins – Ministère de la Défense – Brest (29) (600 personnels)
Sous-marin Nucléaire Lanceur d’Engins « L'Inflexible », équipage rouge – Ministère de la Défense – Île longue (29) (130 personnels)
Laboratoire de l’École Navale – Ministère de la Défense – Lanvéoc-Poulmic (29) (1500 personnels)

Actions menées :

. Organiser, planifier et gérer les exercices interarmées et interalliés, en France et à l’étranger (personnels /technique /logistique /administration /finance /hébergement /restauration) : Gabon, Toulon, Koweït, …
. Conseiller SIC du représentant français à Kaboul (REPFRANCE) et Commandant des SIC Interarmées du théâtre Asie centrale (Tadjikistan, Ouzbékistan, Afghanistan, Émirats arabes unis, Djibouti) pendant l’opération Pamir XVI de mars à septembre 2007
. Étude d’évolution et d’optimisation de l’architecture des liens satellitaires sur l’Asie centrale, et l’Afghanistan en particulier
. Restructuration et mutualisation des ressources à l’escadrille des sous-marins nucléaires
. Organisation et pilotage de la partie informatique d’un tir balistique opérationnel réel (opérations Taranis et Toutatis) à bord du sous-marin nucléaire « L’inflexible » (validation de la prochaine génération de missiles)
. Refonte du réseau de recherche des laboratoires de l’École Navale sans interruption d’activité des chercheurs et des cours (Token-ring vers Ethernet)

Centre d’Instruction Navale – Ministère de la Défense – Toulon (83) (5000 personnels)
Unité navale de Fare ute – Ministère de la Défense – Tahiti (300 personnels)

Actions menées

. Fédérer plusieurs réseaux hétérogènes de 1200 postes
. Mettre en place la Hot-Line informatique
. Mettre en place des outils d’évaluation de contrôle de qualité des interventions de dépannage
. Assainissement et fusion des réseaux en un seul, administré de manière centralisée (initiative et autonomie)
. Obtention et gestion d’un budget annuel de 120 000 000 XPF (persuasif)