Introduction la sret de fonctionnement des ordinateurs

S. Natkin Octobre 2002

DOIT ON AVOIR PEUR DES ORDINATEURS? LE COMPLEXE DE FRANKENSTEIN

Importance croissante du rle de la diffusion de l information via des systmes techniques de plus en plus complexes, dans des domainesde plus en plus varis. Par exemple: Le contrle de processus critiques (transport, nergie) Les relations commerciales (commerce et les lectronique et montique) La gestion de donnes confidentielles (secrets militaires ou industriels, donnes personnelles) La peur d une technologie nouvelle, incompltement matrise, limmaturit sociale dans la pratique de ces nouveaux outils induit une peur => Complexe de Frankenstein

DOIT ON AVOIR PEUR DES ORDINATEURS? LES RISQUES LIES A LA COMPLEXITE

L informatique induit la possibilit de construire rapidement et faible cot des systmes de traitement de l information d une incroyable complexit: Peu de limites aux demandes des utilisateurs qui ne matrisent pas la viabilit et la fragilit intrinsque de cette expression de besoins. Les limites des possibilits de validation de ces systmes par rapport ce quils doivent faire et surtout ce qu ils ne doivent pas faire. L incapacit d valuer correctement les consquences des ventuelles dfaillances et donc, a fortiori, des agressions. L incapacit de vrifier posteriori ce que fait un systme automatis de traitement de l information.

L ORIGINE DES RISQUES EST SOUVENT HUMAINE

Dfaillances des systmes techniques (usure des quipements, panne catalectique, catastrophes naturelles) Erreur de conception Erreur de ralisation Erreur d exploitation
La ngligence , l inattention Les fautes relles (violation d une procdure formalise)

Malveillance caractre ludique Fraude, Vol Sabotage

QUELQUES STATISTIQUES : COUT DES SINISTRES EN MFF EN 1996 (Clusif)

Accidents Physiques (incendie, explosion, dgt des eaux) Pannes Force majeure Perte services essentiels (Tlcoms, lectricit) Total Erreurs humaines Utilisation Conception, Ralisation Total Malveillances Vol, vandalisme physique Fraude non physique Sabotage Attaque logique Divulgation Autres (copies de logiciels) Total TOTAL 1630 12,81 1110 8,73 35 0,28 280 2,20 3055 24,02

800 6,29 1020 8,02 1820 14,31

240 1,89 2300 18,08 5 0,04 1090 8,57 1100 8,65 3110 24,45 7845 61,67 12720 100

DFINITIONS ET TERMINOLOGIE
[Laprie89] : la sret de fonctionnement dun systme informatique est la proprit qui permet de placer une confiance justifie dans le service quil dlivre. Service rendu par le systme : comportement peru par lutilisateur environnement fonctionnel (procd,autre produit, oprateur) environnement non fonctionnel (temprature, environnement electromagntique,....) mission et dure de mission Dfaillance : service dlivr non acceptable (par rapport la fonction attendue du systme)

TYPES DE DFAILLANCES (1)

Caractristiques externes des dfaillances
dfaillance statique : le systme produit un rsultat non correct de manire permanente (aspects fonctionnels) dfaillance dynamique : le systme a un rgime transitoire pendant lequel le systme produit un rsultat faux puis atteint un rgime permanent durant lequel les sorties sont correctes (aspects temporels) dfaillance durable : le systme produit des rsultats errons de manire persistente dfaillance transitoire dfaillance cohrente ou incohrente suivant que la perception de la dfaillance est identique pour les utilisateurs ou non.

TYPES DES DFAILLANCES (2)

Classification des dfaillances pour les systmes rpartis (Dolev, Cristian)
panne franche panne domission panne temporelle panne byzantine

panne franche < panne domission < panne temporelle < panne byzantine

Gravit ou mesure des effets sur la mission

CLASSEMENT DES CONSQUENCES DES DFAILLANCES

Gravit
Identification des risques

Prvention Protection Non Acceptable

Caractrisation du risque

Risque suivant

Risque acceptable?

Acceptable Probabilit doccurrence

Action en diminution du risque

NIVEAUX DE GRAVIT
Classification des risques selon une chelle, qui peut dpendre du domaine applicatif Niveau de gravit Catastrophique Code de gravit 0A Description Risque de perte de vie humaine ou agression sur le personnel dexploitation.. Effets sur lenvironnement long terme. Destruction importante de biens qui interrompent les activits sur une longue priode. Effets sur lenvironnement court terme. Perte de mission. Endommagement dun bien. Mission dgrade. Sans effet sensible sur le droulement de la mission.

Grave

0B

Majeur Mineur Ngligeable

1 2 3

NIVEAUX DE PROBABILIT
Niveaux de probabilit Code de Probabilit

Extrmement improbable Extrmement Rare

PA PB

Rare

PC

Probable

PD

Frquent

PE

NIVEAUX DE GRAVIT ET NIVEAUX DE PROBABILIT

Gravit

Criticit
Catastrophique

Non Acceptable
Ma rge

4 3 2 1

Grave

Majeur

Mineur

Ngligeable

Acceptable
Extrmement Improbable Extrmement Rare Probable Frquent Rare

Probabilit doccurrence

DFAILLANCES, ERREURS, FAUTES

Erreur : tat (partiel) susceptible dentraner une dfaillance
latente/dtecte propagation derreur, produit dautres erreurs

Faute : cause adjuge ou suppose dune erreur Dfaillance

manifestation dune erreur qui par propagation traverse la frontire du systme avec son environnement.

...defaillance -> faute -> erreur -> dfaillance -> faute ->....

LES FAUTES : CARACTRISTIQUES

Fautes [Laprie]
Cause phnomnologiques
fautes physiques fautes des lhomme

Frontire du systme
faute interne faute externe

Nature
accidentelle intentionnelle

Persistence
temporaire permanente

Phase doccurrence
conception exploitation

PRVISION DES FAUTES

Evaluer prvisionnellement le comportement du systme par rapport loccurrence des fautes Examiner les dfaillances des composants dun systme et leurs consquences sur la sret de fonctionnement Etats observables du systme Service correct : accomplit la (les) fonctions du systme Service incorrect : non (accomplit la (les) fonctions du systme) Attributs principaux Fiabilit Disponibilit Scurit-innocuit

Attributs de la sret de fonctionnement

Disponibilit: capacit instantane a rendre le service Fiabilit: continuit du service Securit-innocuit (safety): non occurrence de dfaillances a caractre catastrophique Maintenabilit: facilite de retour a un tat sans erreur aprs dfaillance Securit-confidentialit (security): non occurrence de dfaillances causes par des fautes intentionnelles

graphes de sret de fonctionnement

R R DS AC DN S A S R DSL P A S R D NS L A S

GR A P HE D E DI S P ON I B I L I T A C: A c t i f P :P a s s i f D S :D f a i l l a n c e S c u r it a i r e D S L :D f a il l a n c e S c u r i t a i r e La t e n t e D N S :D f a i l l a n c e N o n S c u r i t a ir e D N S L :D f a il l a n c e N o n S c u r i t a i r e La t e n t e R : R p a r a t i o n A : Ac t i v a t i o n S : S o llic it a t io n - > D f a i l la n c e A ( t ) = P A C ( t ) + P P ( t ) + P D S L( t ) + P D N S L( t )

graphes de sret de fonctionnement

DS AC DNS S A S S DSL P DNSL

GRAPHE ASSOCIE A LA FIABILIITE

R( t ) = P A C( t ) + P P ( t ) + P DSL ( t ) + P D N SL ( t )
DS AC DNS

S R DSL

S R P DNSL

GRAPHE ASSOCIE A LA SECURITE

S ( t ) = P AC ( t ) + P P ( t ) + P DS L( t ) + P DN S L( t ) + P DS ( t )

graphes de sret de fonctionnement

R DS AC R DNS

S R DSL P R

DNSL

GRAPHE ASSOCIE A LA MAINTENABLIITE

M ( t ) = P AC( t ) + P P ( t )

Actif

Paramtres de la sret de fonctionnement

To T1 T2

Df

M e a n Ti m e t o F i r s t F a il u r e M TF F = E( To ) M e a n U p Ti m e M U T= E ( T1 ) M e a n D o w n Ti m e M D T= E ( T2 ) M e a n Ti m e B e t w e e n F a i l u r e s M TB F = E ( T1 + T2 ) = M U T+ M D T Dis p o n ilil a s y m p t o t iq u e A* = lim A( t ) = M U T/ M TB F

Hirarchisation des classes

panne franche < panne domission < panne temporelle < panne byzantine
En effet : dfaillance franche => pas de rponse une entre dfaillance transitoire => dlai de rponse un vnement infini. dfaillance quelconque => dfaillance temporelle On ralise des composants sous des hypothses de dfaillance appartenant l'une des classes prcdentes pour tolrer cette classe. L'une des hypothses les plus frquentes est la tolrance aux dfaillances intermittentes (d'omission).

Les Fautes : caractristiques (Laprie)

FAUTES

NATURES

ORIGINES

PERSISTANCE TEMPORELLE

ACCIDENTELLES

INTENTIONNELLES

CAUSE PHENOMENOLOGIQUE

FRONTIERE DU SYSTEME

PHASE DE CEATION

PERMANENETES

TEMPORAIRES

PHYSIQUES

EXTERNES HUMAINES

CONCEPTION OPERAINTERNES TIONNELLES

phase doccurrence des fautes (1)

fautes de spcification
erreur de frontire incompltude incohrence

fautes de conception
erreur de raffinement
faute au niveau dun module (production de sorties non conformes la spcification du module) fautes dans les interfaces entre modules

non respect de contraintes technologiques (utilisation de ressources, partage de ressources,...)

phase doccurrence des fautes (2)

fautes de production
matriel logiciel
gnration de code partir dun modle de conception (manuel ou gnrateur) passer du programme source lexcutable : lexcutable doit produire un comportement quivalent linterprtation du du source (avec la smantique du langage) => deux sources derreur la dfaillance du compilateur et les ambiguits smantiques du langage de programmation

Bibliographie
LIS : Guide de la Sret de Fonctionnement, CEPADUES Editions
Qui renvoie une bibliographie trs importante

Sret de fonctionnement G. Mottet