Dans le cadre de l'animation scientifique du GDR Sécurité Informatique (groupe de travail « Sécurité des systèmes, des logiciels et des réseaux ») et du GDR GPL (groupe de travail GL_Sec), une journée thématique sera proposée cet automne sur le thème « Sécurité et Génie Logiciel ».

Cette journée se déroulera au CNAM le 9 novembre 2021, dans l'amphithéâtre Pérot, au 292 rue Saint-Martin à Paris.

Au programme, deux conférences invitées proposant le regard d'un industriel et d'un académique sur le thème, ainsi que des présentations de doctorants et doctorantes sur leurs travaux (l'appel à projet est disponible ici).

Stéphane Ducasse, Inria Lille-Nord Europe - Software Maps for Legacy Systems: What about security?

A legacy system is not just an old system written in Cobol, it can be just a large system written in Java. Legacy systems also have a long lifetime. Some have over 25 years and run key business.

Preamble: I’m not expert in security but I think that reengineers should be equipped for this.

In this talk, I will

• present the challenges faced while maintaining legacy systems,
• present some software maps that supports the understanding of such large systems, and
• sketch some needs to support software engineers when dealing with such systems

in the context of safety and security.

I will also show rotten green tests. When working on software evolution, we have few friends. One of them is automatic testing.

While legacy systems have rarely tests, and generating tests for them is still an open challenge, some of them do have tests. Now I will show that there is rotten green tests, i.e. tests that have assertions, tests that pass but whose assertions may not be run. This work has been presented at ICSE’19

Bio

Stéphane Ducasse is an Inria Research Director.

He leads the RMoD team. From 2011-2014 he was Delegue scientific of the Inria nord Europe lab (300 researchers, 17 teams). He is an expert in language design and reengineering. He worked on traits, which have been introduced in Pharo, Perl, PHP and under a variant into Scala, Groovy and Fortress. Stéphane is an expert on software quality, program understanding, program visualisations, reengineering and metamodeling. He is also learning virtual machine and JIT compiler design. He is one of the developer of Moose, an open-source software analysis platform. He created Synectique, a company building dedicated tools for advanced software analyses. He is one of the leader of Pharo, a dynamic reflective object-oriented language supporting live programming. Since 2013, he has been building the industrial Pharo consortium.

He works regularly with companies (Thales, Wordline, Siemens, Berger-Levrault, Arolla, etc.) on software evolution problems.

Planches présentées lors de la journée

Jean-Philippe Le Luet, Crédit Agricole Technologies et Services - Mise en place de la démarche Security by Design dans une entreprise transformée pour fonctionner en mode Agile

Présentation sur la mise en place du security by design sur les volets sensibilisation/formation, documentation, mise en place des outils dans la chaine de fabrication ainsi que les difficultés rencontrées liées au découpage des responsabilités et à la problématique de priorisation face au volume des vulnérabilités remontées par les différents outils utilisés dans la chaine CI/CD.

Bio

Jean-Philippe LE LUET, CISSP® est leader du centre de compétences Security by Design et suppléant CISO au sein de Crédit Agricole Technologies et Services, en charge de développer le système d’informations des 39 caisses régionales Crédit Agricole. Issu de formation universitaire, MIAGE à l’ISFIC de Rennes, il a commencé sa carrière dans une société de services avec différentes missions de développement avant de rejoindre la caisse régionale d’Ille et Vilaine en tant qu’ingénieur système et réseau. Depuis 2010, il occupe des postes en lien avec la sécurité des système d’informations.

Planches présentées lors de la journée

Soumissions acceptées

11h-12h

• Monica Buitrago, Isabelle Borne, Jérémy Buisson - Mitigating vulnerabilities through patterns
• Francesco Parolini, Antoine Miné - Sound Static Analysis of Regular Expressions for Vulnerabilities to Denial of Service Attacks
• Mohammed El Amin TEbib - PermDroid : Prévenir des failles de sécurité liées aux permissions dans les applications Android
• Nan Messe - Improve the threat modeling process to provide a security assistance to architects during system design

14h45-15h15

• Paul Perrotin - HOS-ML : une méthode d'ingénierie pour la détection de la vulnérabilité humaine dans les systèmes de systèmes socio-techniques
• Benjamin Somers - Le logiciel et son environnement : un système indissociable

15h30-16h30

• Brendan Le Trionnaire - Correction de vulnérabilités logicielles en utilisant des patchs générés automatiquement
• Anne-Laure Wozniak, Mazo Raul, Tamoudi Yacine, Serre Fanny - A Security and Safety Testing Ontology for Machine Learning based Software Systems
• Jordan Samhi - Detecting Logic Bombs in Android Apps
• Frédéric Recoules, Sébastien Bardin, Matthieu Lemerre, Richard Bonichon, Laurent Mounier, Marie-Laure Potet - Check and Patch the Interface Compliance of Inline Assembly

Cet événement du GDR Sécurité Informatique du GDR GPL est organisé par

• Isabelle Borne (Université Bretagne-Sud, IRISA)
• Aurélien Francillon (EURECOM)
• Olivier Levillain (Télécom SudParis, SAMOVAR)
• Nicole Levy (CNAM)
• Salah Sadou (Université Bretagne Sud, IRISA)