Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

BTS SIO 2020 - Préfiguration d’un sujet de l’épreuve écrite E6 – option SLAM Le

BTS SIO 2020 - Préfiguration d’un sujet de l’épreuve écrite E6 – option SLAM Le sujet zéro Lascaux IV préfigure ce que pourrait être les futurs sujets évaluant le bloc 3 option SLAM. Il a été produit dans un temps assez limité et dans des conditions peu faciles suite aux événements exceptionnels liés à la pandémie. Les pistes de questionnement explorées sont loin d’être exhaustives. Certaines questions ont suscité des débats dans l’équipe dont il est fait écho dans ce document d’accompagnement. Ces débats pourront se poursuivre après cette première publication. En effet, l’équipe de conception de ce sujet n’a pas la prétention d’avoir fait un sujet parfait et définitif, mais une proposition sérieuse fondée sur des choix réfléchis dont elle n’ignore pas la portée potentiellement polémique. C’est donc une première version qui pourra être enrichie, dans un climat respectueux du travail fourni et des avis des uns et des autres, par toutes les critiques argumentées et surtout par tous les apports constructifs qu’elle aura suscitée. Choix de l’organisation et du contexte Le sujet est basé sur une organisation et un contexte réels : le conseil départemental de la Dordogne, maître d’ouvrage du Centre international de l'art pariétal de Montignac Lascaux (Ciap). Ce centre, appelé Lascaux IV, offre au public une réplique de la grotte, sur le site de Lascaux. Plusieurs appels d'offres ont été lancés pour le bâtiment, la scénographie, le numérique et multimédia, et l’informatique. Dix lots concernaient spécifiquement la partie numérique et multimédia (dont plusieurs liés aux tablettes nommées compagnons de visite) et cinq portaient sur l’informatique (billetterie locale, billetterie en ligne, solution mégadonnées -big data-, site internet, progiciel de gestion intégré). Quatre entreprises de services numériques (ESN) ont obtenu des lots de l’appel d'offre informatique. L’une d’entre elles, dont le nom a été changé, a été choisie pour le sujet. Les applications étudiées dans le sujet sont opérationnelles et leur développement a respecté les bonnes pratiques et les recommandations de sécurité. Outre le risque d’attentat, plusieurs risques numériques ont été identifiés par le conseil départemental de la Dordogne concernant Lascaux IV :  Sur les environnements numériques visiteurs : vol des données personnelles, interruption de services avec des impacts sur l’image et financier ;  Sur le système d’information administratif : interruption de services, détournement d’argent. De façon générale, on peut estimer que pour une journée avec 5000 visiteurs et un billet moyen de 16 € par visiteur, si le système informatique tombe complètement en panne, il y a 80 K€ de CA perdu. Le référentiel conséquences/critères de risque n’a pas été établi mais le système d’information de Lascaux IV a été sécurisé dès la conception (Security by design). Le référentiel du BTS SIO option SLAM ne prévoit pas la formation d’experts en sécurité dont l’action est entièrement dédiée à cela, mais des professionnels du développement, qui dans leur pratique intègrent à tous les stades cette préoccupation. Le cas Lascaux IV est donc un bon exemple (pas facile d’ailleurs) de ce qui est attendu. Pour les besoins du sujet, les missions ont été adaptées. L’équipe de développement répond à cet objectif. C’est dans ce cadre qu’elle prend en compte les problèmes de sécurité, aussi bien dans la phase de conception que dans les phases de développement et de production. BTS SIO – Épreuve E6 – Sujet option SLAM 1 Structuration du sujet Conformément aux recommandations, le sujet est structuré :  en dossiers qui définissent une finalité générale dans un contexte organisationnel (pas d’unité de lieu de temps ou d’action) ;  en missions qui se déroulent dans un contexte spécifique (unité de lieu de temps et d’action) ;  en actions ou tâches qui définissent ce qui doit être fait et fournissent l’objet des questions. L’ensemble s’appuie sur un dossier documentaire qui fournit tous les éléments permettant de mener à bien les actions. Nombre de pages et temps de composition du sujet zéro Un sujet doit normalement faire 18 pages, page de garde comprise. Le sujet zéro en fait plus. Il n’est pas non plus forcément réalisable en quatre heures par un étudiant. En effet, l’équipe a préféré aller au bout de certaines idées plutôt que de nous limiter. Le questionnement proposé dans le sujet Dans ce sujet « zéro », les missions et les questions associées sont avant tout des tâches en relation avec les compétences métier portant sur le développement qui sont souvent indépendants des contextes organisationnels. Les missions du sujet font référence à des préoccupations de qualité et de sécurité qui sont nécessaires aujourd'hui au métier d’informaticien en charge du développement d’une application. Ces missions sont donc transposables à d’autres contextes. Dans ce sujet on ne recherche pas une expertise en cybersécurité, on évalue les compétences de techniciens supérieurs qui, dans leurs pratiques, intègrent à tous les stades (anticipation, prévention, réaction) une préoccupation de sécurisation. Les compétences évaluées mobilisent des savoirs communs avec d’autres blocs professionnels du référentiel. Il est en effet impossible, par exemple, de sécuriser un développement et une application sans connaître notamment les principes des systèmes de gestion de base de données (SGBD) et de la programmation. Ainsi la compétence spécifique à l’option SLAM « assurer la cybersécurité d’une solution applicative et de son développement » précise comme indicateur de performance « Le respect des bonnes pratiques de développement informatique est vérifié (les structures de données sont normalisées, les accès aux données sont optimisés, le code est modulaire et robuste, les tests sont effectués) » et mobilisent les savoirs « Développement informatique : méthodes, normes, standards et bonnes pratiques ». Les dossiers La personne candidate est mise en situation : elle vient d'intégrer une équipe de développeurs qui applique la méthode de travail Scrum. Cette méthode agile fournit un cadre de gestion de projet avec des rôles, des types de réunions, des outils, des règles de gestion et un cycle itératif de développement. BTS SIO – Épreuve E6 – Sujet option SLAM 2 Dans ce sujet, certains de ces éléments connus sont mobilisés, dont il aurait fallu, dans un « vrai » sujet, présenter les définitions en annexe. Voici celles qui sont retenues : * itération (sprint) : intervalle de temps court, généralement de 2 à 4 semaines, pendant lequel on doit concevoir, réaliser et tester un ensemble de fonctionnalités. Conventionnellement, l’itération zéro est l’itération de préparation. * administrateur Scrum (Scrum Master) : sans responsabilité hiérarchique dans l’équipe, il est l’administrateur du cadre méthodologique Scrum. * responsable de produit (Product Owner ou PO) : produit étant pris au sens de services informatiques à produire, le responsable de produit Scrum est le représentant des clients et des utilisateurs dans l’équipe projet. * récit utilisateur (user story) : fonctionnalité à réaliser, exprimée sous la forme d’un scénario utilisateur. * scénario de risque (abuser story) : le scénario de risque (abuser story, jeu de mot en anglais) est une variante utilisée pour intégrer la sécurité dès le début des développements. Ils peuvent être nommés « abuser stories » car ils correspondent au revers néfaste d’un récit utilisateur (user story) et engendrent une perte de valeur. Ce type de récit présente les intentions d'un utilisateur malveillant que l'on cherchera à tenir en échec. On trouve également l’expression récit d’abuseur. Sources : wikipédia et guide ANSSI cité ci-dessous. Dossier A Ce dossier s’appuie sur un document cité dans le guide d’accompagnement pédagogique1 du bloc 3 : https://www.ssi.gouv.fr/uploads/2018/11/guide-securite-numerique-agile-anssi-pa-v1.pdf On peut constater que sont évaluées (entre autres) des sous-compétences du bloc 3 situées dans le “tronc commun”. Mais celles-ci sont bien sollicitées dans le cadre de l’option en rapport à des problématiques métier. Ce dossier ancre son questionnement au début du projet. Comme il est rappelé dans le dossier C (question C.1.3), les événements redoutés ne sont pas forcément des attaques sophistiquées mais des actes malveillants simples pouvant être évités par une simple prise en compte de leur existence. Un lien est créé entre l’atelier d’analyse de risques et les impératifs de la réglementation générale sur la protection des données (RGPD) qui s’imposent aux développeurs, permettant ainsi un premier questionnement sur cet aspect important. Ce dossier est emblématique des recommandations pour les sujets pour l’option SLAM : la prise en compte de la sécurité, la réglementation associée et l’utilisation d’outils, toujours contextualisés dans le cadre d’un développement applicatif. 1 Ce guide est disponible à l’adresse https://www.reseaucerta.org/sio2019/accueil. BTS SIO – Épreuve E6 – Sujet option SLAM 3 Dossier B Il y a 3 missions dans ce dossier correspondant à des temps différents et regroupées dans un dossier partageant une finalité commune, la sécurité des données. Le dossier ancre son questionnement dans le cours de développement. Des premières fonctionnalités sont testées qui font apparaître le non-respect du RGPD. Le RGPD peut être associé dans l’option SLAM à des tâches classiques du développement (ici une requête mal formulée) et moins classiques (jusqu’à présent) comme l’anonymisation. La requête pose des problèmes de qualité (mauvaise optimisation) et de sécurité (renvoi de données inutiles et non réglementaires). La prise en compte du RGPD est impérative pour le métier et offre la possibilité uploads/Management/ e6-slam-lascaux.pdf