CTRL_M1_STIC_juin_2011_V3.doc - Serveur pédagogique UFR ...

UNIVERSITE DE BOURGOGNE Année 2010-2011
U.F.R. Sciences et Techniques Lundi 23 mai 2011
Filière : MASTER 1 STIC Parcours Info / Electronique
Session : 1
GENERALITE SUR LA QUALITE
QUESTION 1
Donner la définition de la qualité QUESTION 2
Donner la définition de l'ASSURANCE QUALITE
QUESTION 3
Coût de Non Qualité
Une SSII doit terminer un projet pour un grand donneur d'ordre de transport
national.
Le délai de livraison est prévu dans 6 mois. Au delà, l'entreprise se verra
infliger des agios comme pénalité de retard de 15 E par jour ouvré.
Un développeur supplémentaire coûte à l'entreprise 4000E/mois (20 jours
ouvrés)
A partir de quel retard sera t il nécessaire de prendre un développeur
supplémentaire ?
QUESTION 4
Les outils classiques de la Qualité : Diagramme d'ISHIKAWA
Un dispositif médical est l'un des outils indispensables pour accomplir un
acte médical. Il s'en suit que la maintenance et le contrôle qualité des
dispositifs médicaux jouent d'emblée un rôle important dans la sécurité et
la qualité des soins délivrés aux patients. A cet effet, le registre de
sécurité, de qualité et de maintenance (RSQM) doit être établi afin
d'enregistrer toutes les opérations menées sur un dispositif médical.
Dans le cadre d'un « Brainstorming », l'équipe Médiale Qualité du
dispositif médicale a listé les éléments causals suivants pour l'effet :
« Mettre en ?uvre le RSQM »: |1 |Aménager les outils d'archivages dans|12 |Attribuer une classe de risque |
| |le milieu | | |
|2 |Assurer la veille réglementaire |13 |Matériel d'archivage |
|3 |Attribuer un numéro d'identifiant |14 |Mettre a jour les données |
|4 |Définir les opérations |15 |Nomme le lieu d'exploitation des |
| | | |acteurs |
|5 |Document papier |16 |Ordinateur |
|6 |Attribuer les référentiels |17 |Planifier les emplois du temps |
|7 |Elaborer des procédures de reforme |18 |Responsabiliser les acteurs |
|8 |Gérer la sauvegarde des données |19 |Serveur |
|9 |Former les acteurs |20 |Support de sauvegarde |
|10 |Gérer l'accessibilité des données |21 |Elaborer des procédures de |
| | | |non-conformité |
|11 |Elaborer les procédures de |22 |Logiciel avec en sous-cause : base de |
| |maintenance et de contrôle | |données et |
| | | |GMAO (Gestion de Maintenance Assistée |
| | | |par Ordinateur) | Tracer un diagramme d'ISHIKAWA avec comme catégories suivantes : |DONNEES | |MAIN | |MILIEU | |OUTILS |
| | |d'?UVRE | | | | |
Diagramme d'Ishikawa : QUESTION 6
Que signifie QQOQCP ?
QUESTION 7
Que signifie le concept « d'amélioration continue ? Citer un outil utile à
ce concept. QUESTION 8
Les outils de la Qualité : Diagramme de Pareto Le SANS (SysAdmin, Audit, Network, Security) Institute américain, qui
propose études et formations sur les questions de sécurité, a publié
récemment une liste de 25 erreurs fréquentes de programmation, sources
involontaires de vulnérabilités dans les logiciels. Cette liste est composée en collaboration avec des experts en sécurité de
grandes agences gouvernementales américaines (dont la NSA) et de sociétés
du secteur IT telles que Microsoft, Oracle, Red Hat et Apple. Elle devrait
permettre aux développeurs de vérifier leurs lignes de code afin de les
épurer de ces erreurs. Dictionnaire des erreurs Parmi les erreurs les plus fréquentes, on trouve par exemple « la mauvaise
validation d'une entrée » qui peut mener à l'exécution d'un code
malveillant, à la perte de données ou à une attaque avec déni de service
(DoS).
Un dictionnaire recensant toutes ces erreurs, leurs fréquences, leurs
conséquences et les manières d'y remédier, a été composé à partir de cette
liste par le SANS Institute et l'organisation Mitre, une autre émanation
des agences gouvernementales américaine. Ces erreur ont été listé suivant un code "CWE" : Common Weakness
Enumeration ou CWE est une liste des vulnérabilités que l'on peut
rencontrer dans les logiciels. Cette liste est maintenue par l'organisme
MITRE, le projet étant soutenu par la National Cyber Security Division et
le Département de la Sécurité nationale. Par ailleurs, cette étude propose de classifier le degré de gravité de
l'erreur suivant 6 critères : Weakness Prevalence : (Faiblesse prédominante, prévalence de faiblesse )
Remediation Cost (Coût de remise en état)
Attack Frequency (fréquence en attaque)
Consequences (Conséquences)
Ease of Detection (Facilité de détection)
Attacker Awareness (Sensibilité à l'attaque)
On se propose d'étudier, par la méthode du Diagramme de Pareto, le niveau
d'importance de ces erreurs suivant 2 critères :
1/ Critère « l'ordre d'importance des erreurs, définie par le nombre
d'apparition de l'erreur (rank Score ID Name) 2/ Critère « Cout de remise en état ». Pour ceci, on a pondéré de 1 à 5 le
facteur « remediation cost », ce qui permet d'avoir un cout par nombre
d'apparition en multipliant le nombre d'apparition (rank Score ID Name)
par ce facteur.
|Remediation Cost : |
|How resource-intensive is it to fix this weakness when it occurs? This |
|cannot be quantified in a general way, since each developer is different.|
|For the purposes of this list, the cost is defined as: |
| |
|Low : pondération 1 |
|Medium : pondération 3 |
|High : ponderation 5 | LISTE DES 25 ERREURS LOGICIELLES LES PLUS FREQUENTES
| | | | | |
| |Rank Score|ID |Remédiat|NAME |
| |ID Name | |ion COST| |
| |146 |CWE4|Medium | Download of Code Without Integrity Check |
| | |94 |to High | |
| |145 |CWE7|Low to |Allocation of Resources Without Limits or |
| | |70 |High |Throttling |
| |158 |CWE8|Medium |Buffer Access with Incorrect Length Value |
| | |05 |to High | |
| |273 |CWE1|Low |Buffer Copy without Checking Size of Input |
| | |20 | |('Classic Buffer Overflow') |
| |138 |CWE3|Medium |Concurrent Execution using Shared Resource |
| | |62 |to High |with Improper Synchronization ('Race |
| | | | |Condition') |
| |261 |CWE3|High |Cross-Site Request Forgery (CSRF) |
| | |52 | | |
| |219 |CWE2|Low to |Improper Authorization |
| | |85 |medium | |
| |155 |CWE7|Low |Improper Check for Unusual or Exceptional |
| | |54 | |Conditions |
| |157 |CWE9|Low to |Improper Control of Filename for |
| | |8 |medium |Include/Require Statement in PHP Program |
| | | | |('PHP File Inclusion') |
| |197 |CWE2|Low |Improper Limitation of a Pathname to a |
| | |2 | |Restricted Directory ('Path Traversal') |
| |346 |CWE7|Low |Improper Neutralization of Input During Web |
| | |9 | |Page Generation ('Cross-site Scripting') |
| |188 |CWE7|Medium |Improper Neutralization of Special Elements |
| | |8 | |used in an OS Command ('OS Command Injection')|
| |330 |CWE8|Low |Improper Neutralization of Special Elements |
| | |9 | |used in an SQL Command ('SQL Injection') |
| |156 |CWE1|Low |Improper Validation of Array Index |
| | |29 | | |
| |153 |CWE1|Low |Incorrect Calculation of Buffer Size |
| | |31 | | |
| |145 |CWE7|Low to |Incorrect Permission Assignment for Critical |
| | |32 |High |Resource |
| |154 |CWE2|Low |Information Exposure Through an Error Message |
| | |09 | | |
| |154 |CWE1|Low |Integer Overflow or Wraparound |
| | |90 | | |
| |147 |CWE3|Low to |Missing Authentication for Critical Function |
| | |06 |medium | |
| |188 |CWE3|Medium |Missing Encryption of Sensitive Data |
| | |11 |to High | |
| |202 |CWE8|Medium |Reliance on Untrusted Inputs in a Security |
| | |07 | |Decision |
|