Le projet POSÉ vise à automatiser la génération et l’exécution de tests permettant la validation de conformité d’un système à la politique de sécurité qui lui est assignée.
A coté des campagnes de test de validation fonctionnelle d’un système, c’est une véritable campagne de validation du respect des politiques de sécurité qui sera réalisée en s’appuyant sur des techniques de modélisation formelle et de génération automatique de tests, accompagnée d’une traçabilité des exigences de sécurité de haut-niveau vers les tests mis en œuvre.
L’automatisation du test des politiques de sécurité constitue un défi technologique auquel ne répondent pas les techniques de génération de tests fonctionnels actuelles. En effet, il s’agit de s’assurer que les différents niveaux de propriétés de sécurité (e.g. confidentialité, atomicité, authentification, intégrité, standardisation des exceptions, cycle de vie, ...) font l’objet chacune de tests spécifiques, correspondant à la simulation d’attaques possibles et au test des réponses du système.
Le projet POSÉ est un projet pré-compétitif qui s’appuie sur un ensemble de savoir-faire et de connaissances scientifiques des partenaires : d’une part en génération automatique de tests fonctionnels à partir d’un modèle formel et d’autre part en formalisation et vérification de propriétés de sécurité.
Il s’agit d’adapter ces techniques et de prendre en compte les besoins effectifs issus du terrain (i.e. les défis de la validation des politiques de sécurité sur les applications carte à micro-processeur ou sur terminaux développées et livrées aujourd’hui) pour mettre au point un démonstrateur d’environnement dédié au test de conformité des politiques de sécurité d’un système.
L’état de la recherche (cf. les projets de l’ACI « Sécurité Informatique ») et l’évolution de pratiques industrielles avec l’émergence de l’utilisation de techniques de génération automatique de tests fonctionnels à partir de modèles, crédibilisent cet objectif.
Pour autant, il s’agit là d’un défi scientifique et technologique. Le projet POSÉ permettra de montrer quels types de propriétés peuvent être abordés efficacement dans un processus de génération automatique de tests, quels critères de tests peuvent être adaptés et comment intégrer cette approche au processus actuel de validation des applications. Il s’agit aussi d’aborder les questions liées au passage à l’échelle des techniques étudiées en traitant une application opérationnelle en vraie grandeur.
Le projet POSE est financé par l’ANR et est référencé sous le numéro ANR-05-RNTL-01001 (S06003131 W)
La section Description du site contient des détails sur les sous projets qui structurent le travail réalisé dans le cadre du projet POSE.
Voici la présentation réalisée lors du Grand Colloque STIC 2007 organisé par l’ANR :
- Expose POSE STIC 2007
Coordinateur du projet
Bruno LEGEARD
LEIRIOS
18 Rue Alain Savary
25000 BESANCON - FRANCE
Téléphone : +33 (0)3 81 25 53 63
Télécopie : +33 (0)3 81 50 64 70
Administrateur du site
Le projet POSÉ s’appuie sur une forte complémentarité et synergie de l’ensemble des partenaires.
Le projet intègre 3 partenaires industriels :
 | Leirios Technologies, éditeur de solutions de génération automatique de tests, en charge du pilotage du projet |
 | Gemalto, leader mondial dans le domaine des cartes à micro-processeur, qui amène ses besoins, ses compétences et un contexte d’expérimentation en situation réelle |
 | Silicomp-AQL, société de conseil, possédant une forte expertise en sécurité, intégrant un laboratoire d’évaluation de la sécurité des systèmes d’information (CESTI) et possédant des compétences en modélisation, méthodes formelles et génération automatique de tests. |
et 2 partenaires académiques :
 | IMAG/LIG qui développe une forte activité de recherche dans le domaine des méthodes formelles, du test et de la sécurité des systèmes informatiques |
 | INRIA/Projet CASSIS qui développe une activité de recherche dans le domaine des techniques symboliques pour la vérification et le test de systèmes infinis, paramétrés et de grande taille |