Programmation orientée sécurité

Catalogue des cours de Télécom SudParis

Code

IGFF CSC 4534

Niveau

M1

Graduate

Graduate

Semestre

Fall

Domaine

Informatique

Programme

Programme Ingénieur

Langue

Français/French

Crédits ECTS

4

Heures programmées

45

Charge de travail

90

Coordonnateur(s)

Département

  • Réseaux et Services de Télécom

Organisation

Cours/TD/TP/projet/examen : 18/0/21/6/0

Acquis d'apprentissage

À la fin du cours, les étudiants devront comprendre les enjeux du développement sécurisé, ainsi que les menaces courantes. Ils auront acquis certains réflexes et bonnes pratiques dans leur manière de développer, afin qu'ils soient capables d'intégrer la sécurité au plus tôt dans le développement logiciel.

De plus, il serait souhaitable que les élèves développent pendant ce cours un esprit critique leur permettant d'adapter leur connaissance aux nouvelles menaces.

Compétences CDIO

  • 1.3 - Connaissances avancées en ingénierie : méthodes et outils
  • 2.1.5 - Solutions et recommandations
  • 3.2.6 - Présentations orales
  • 4.3.4 - Gestion de projets de développement
  • 4.5.3 - Processus de réalisation logicielle
  • 4.5.5 - Test, vérification, validation et certification
  • 4.6.3 - Qualité et cycle de vie

Prérequis

Connaître un langage de programmation, Utilisation Unix

Mots-clés

développement, méthodologie, sécurité, qualité logicielle

Evaluation

La validation de cette UV se fait sur deux TP notés à réaliser individuellement, et sur un projet bibliographique en binôme présenté devant la classe. Le module fera également l'objet de quelques QCM rapides en début de sessions pour apporter un bonus de contrôle continu.

Formule de l'évaluation

Note = (TP1 + TP2 + Exposé) / 3 + CC
(Le contrôle continu consiste en des questionnaires réalisés pendant les séances et permet d'ajouter jusqu'à 2 points à la moyenne)

Bibliographie

Aucune lecture n'est nécessaire préalablement à ce cours, mais voici quelques liens utiles pour les étudiants intéressés :
- la liste de diffusion oss-security (http://www.openwall.com/lists/oss-security/) sur laquelle sont publiées des vulnérabilités et des correctifs de sécurité concernant des logiciels libres ;
- le site web du CERT-FR (http://www.cert.ssi.gouv.fr/) ou la liste de diffusion correspondante permet d'obtenir des informations sur les vulnérabilités existantes, ainsi que de l'information plus large sur l'actualité de la SSI ;
- Smashing Stack For Fun and Profit, l'article historique décrivant l'exploitation d'un dépassement de tampon (http://insecure.org/stf/smashstack.html) ;
- les études de l'ANSSI sur les langages de programmation: JavaSec (https://www.ssi.gouv.fr/javasec) et LaFoSec (https://www.ssi.gouv.fr/lafosec).

Approches pédagogiques

Le module repose sur une proportion importante de partique (travaux pratiques), et vise à donner les bases méthodologiques pour développer de manière propre et sécurisée. Il est également prévu un exposé en binôme pour développer la compréhension d'une faille logicielle.

Fiche mise à jour le 31/05/2019