‘Cental decompensation C&C Rapport N* 014-36 ED Gentve, le 29 octobre 2014 Audit du systéme expert ACOR htt d raped: inl Distribution; Destnatares du rapport Monsieur Patrick Schmiad,Diractour dala CC: Monsieur Serge Gala, Directeur AFF Controle fra des finances COF Copia pour ennnaiszanea A Monsieur Jean-Pierre Kuhn, chef de a vision AVS Madame Huguette Kratinger,chetfe de a division OAIE Monsieur Florian Steinbacher Devantery, chef dela dvision AFacTable des matiéres Sommaire 1 Synthise 2 Mission et périmatre 24 Description de a mission. 2.2 Ba868 16988 enn 23. Objectfs de a mission... 24 Perimétre de Fault. 25 Démarche de Faudit 3 Information générale 3.4 Présentation générale... 32 Présentation de architecture COR. 4 Points d'auait 4.1 Systime de contre Interne (SC), 42 Environnement de contr 42.1 Dépendance &Tégara dy personnal 422 Invaldte dea clause restrictive de responeatité 423 Evalualon et survelance dela renabite marci SACOR. 23 43. Architecture du... 43:1 Orientation technologiqus 432 Qual et standard de développement 44 Gestion des changements. 45 Gestion dela sécurte 45.1 Acobs aux sorvoure ot codes sources 452 Gestion dela sécurte ~ contra des identtés et des acc 38 453° Contbles applcatts 38 ‘Annexe 1 - Tableau des recommandations et des postions. at ‘Annexe 2— Description des composans et onctonnaltes CACOR. oGlossaire ACOR ADABAS. arr cae osc cot om E00 Host NAR NATURAL POSIC scl Sust 0A Aide au Caleul et &FOcrl de Renies Adaptable Data BAse System, Iisagit un systeme trensactionnel de management de données (oase de données indexée), qui st ulsé en conjonction avec le langage de program mation Natural estou est Sofware AG. Aminitratin flan des ances ‘Centrale de compensation ‘Caisse suisse de compensation ‘Control objectives for information and relate technology ‘Gowernanes denirepise el lecologies de finformaton Applicaton de gestion des dossiers ‘Sndinateur cond Applicaton ce gestion et de paiement des rentes [Langage de proranmation de 4*™ génératon (461) Politique de sécurté de Information de la CAC ‘Systéme de conte inte Systime de management dola sécurité de information1 Synthese Appréclation générale "Nous ravens pa inte de ron-conformis aux ise rglerents dans le cadre des travaux ‘aust puree procidures de aul et doco da rentes alles por neds de eppeston 'AGOR. Nous rivons pas non plus enti de eres ectroytes tot en ison un eventueldfaut Loi fetrale du 19 juin 1992 sula protection des données (LPO ; RS 235.1); "+ Ordonnance relative dla ll fédéralo eur a protection doe dennéec (OLPD; RE 236.11); "= Oxdonnanos du 9 décembre 2011 sur fnformatique etl télécommuniction dans aqmiisationtedérale (OUAF ; RS 172.0108) ‘= Ordonnance du 4 juillet 2007 concernant a protection des informations (OPH; RS 510414)."Nous nous sommes également appuyés sures directives, rglements et autres documents (emis par OFAS) suivante “+ Directives du Cl eancamant Ia she informatique dans Fadminctatontaérale + “+ Drecives concernant es retes (OR) de assurance vielesse, survivants et inva ‘6 feral (valablos de 01.01.2003; eat: 01.01.2014); + Réglement maison « Lignes directrices de la stout de linformaton ala CAC Pot tique de sécuris de information dela CAC » datant du ter aout 2012 4 Descriptions de eal des renes AVSVAI (alle isle 1 jvc 1887)2.3 Objectifs de la mission {Lauait pour object principal de vse les produ (organistionnelies et techniques) ainsi que les activités de contre (nformatisdes) permettantdassurer que ‘+ Vapplcation ACOR calcul et octoie les rents AVSIAI conformément aux os et = ‘+ Les montants de rentes ealculés par ACOR sont exempts de toute erreur: ‘+ application ACOR trate les données e ealul de maitre intégre, sécursée et of Les objects de mission sont les suivants ‘+ Evaluerremicacte de renvronnement de controle selon COSC") ‘+ Evaluer es risques corespondant a chaque étape du processus de calcul et acto} es rentos AVSIAI, pus sassurer de existence et de Feticacié du systéme de ‘conte inte informatique (conrles informatiques généraux ainsi que cates application et interface); ‘+ S‘assurer de a confrmit des pratiques pa apport aux os, réglements et directives "+ Auuiter les dispostions contractulles entre a Ca et les autres Cat ‘COR. 2s qui ulisent = Vets hes mesures de sb apliqutes aux donee de ones ites au Lanes ACOR = Veto qu le rogue dabsolesoonce technologie (pouvantoouzor doa dyafone tionnements tele que des ralentscements, des incidents Sexplotation, es partes information) est matise "+ S‘assurer de rexstence de mesures prévenives et corecves fn assures la contnuté des palements en cas de pete un systéme erique (mesures envant ‘ans le cadre du Business Continuity Management (BCM), En cas Sndisponiiits prolongée GACOR, les colaboratours doivent calculer es rentos manuellement, co {ul engentre une baisse de la productive ainsi qu'une augmentation du risque erreur de cau ‘Ges objects ot St communigués aux aude lors de a agance douvertre aud tenue le ' fever 2014 en présence de Macame Huguette Krattinge et de Messieurs Florian Stein bbacher Devantary, Fabrizio Flppin t Olver Jeandupeux. 60807 Conmitee Of Spersing Oanzatorst ne Treaay Conmisson2.4 Périmétre de l'audit Le pint de cl au a pre sures vues sivas + ewernament de sonata “+ Lachtecur du sytéme informatique ACOR ++ Lastcut applatve ACOR eta sécurté de inastuture réseau en en ; “+ La gestion de fexplotaton et es incidents: “+ Lagestion os changements de application ‘+ La souvegerde ta restaration des données ot programmes ‘+ Lestimede conte interne informatique, les cones dapliation (conrles au- tomatques sures processus applats), ainsi que les cones manuel dependant . peabons (vor igure *) dont INAR pour dion dato do la rene wt de paiement. “Figs giatan COR STs Cae sec pa i etic, 1 Un grone expe en ce apleston gu cap ls cormauanes, esprarca Sun pfeil mtn oi ohn ego ca non monaco ‘Gray eget compote egtrent n rte itronce opel teres tg pou predire (pponvnat fot Sra tae cnet we epee, Unrienare ot sot en rangas un ge ag fun mpl agar carme renin eve se opicane sarees des ob on pomeae tesa dutsratom care caterCes échanges entre ACOR GUI eles applications HOST (GEDO, INAR), mais pas seule- ‘ment’, sot rendus possible grice au middleware (codé en Natura. La maintenance de co error est aise par un archtete de TAE et un colaborateur du GO-AW. Un iagramme dinterface dcr galoment les échanges entre ACOR ates applications de la.CUC, comme présenté c-desscus (Figure 2). Cette représentation est une des nombreu- 808 crlographies produits par ls archiectes de la GETI& aide de Fou Enterprise Archi- ‘tect, Cette carographie est actutllement en cours de realisation". Face: Cotoarapia de pplson COR do ne intartos ‘an papa area "ano. Cones, Cores sont davresaplcators 6aemert mises on en avec ACOR GUparle mien givortare2 18 atest et cheer nconpite tron vale pare ropitar de fappeston te rope ‘es dont Ela et one rss te oma4 Points d’audit 4.1 Systéme de contréle interne (SCI) Importance : Haute Exkences Lalo du 7 octobre 2008 aur les ances dala Confédération (LEC) preset expltement ‘mise en place, fulisation ot a supenision d'un systéme de contée interne (SCI) au san de administration federal, [Le SCI vise-en patil & protigerafertune dela Confédration,& assure a régularié de la tene et de étabissement des comptes (y compris du traitement des données) et & ga- ‘onto Babine des rapport En appicaon de la LEC, cheque unité administrative est enue de dsposer dun sstime. conte interne (SC) "gut 2.incut une analyse éorte des risques fancier auxquelsFunts administrative est ‘exposée, quis sient généraux ou quilsdécoulen de processus parteules 3. dcr les mesures de controle one réglementaie,organsatonnel ou technique ‘permettant de gérer ces risques (régementation appropive des compstonces, fn ‘bo suri separation des fonctions of cient un plan Peat eux ateetone de (88 aux systémes de ratement des données fnanclres) ‘5. deft es prestations qui doivent étrefoumies par les presttares principaux do unis administrative, on parculer pour ls pestatons du secteur des technologies fe Finformation (7) 6. englobe tout ce qu touche aux données fancies, c'est & dre non seulement le traitement des données proprement dt, mais auss les 6ventuelssysiémas en amont ties ntoraces raisant parte mtegrante du raement dos donnees nancieres Le SCI est un élément cle de la politique de gestion des risques dela Conteration. Selon le-« Gude c'applcation des prescriptions legals relatives au systéme de conte interne es processus avec incidences fancieres dans administration federale "une gestion des risques ef un systéme de conte consol garaiissent & nts administrative (UA) {te poor reconnate les nouveaux risques et de géror ceux qui ont été dontiiés. Cost ‘pourquoi est dans Fntérét de [UA de mottv on place un systime do conte global, axé Sur tous fos risques opdratonnes. Dans le cadre dela gestion des risques, chaque UA dot ‘rovoir des mesures appropriées pour évter, dininuorethancer ls Asques. Las mesures Dlaniées doivent rice la probabilté.de survenance des risques ou lurs 6ventutes conséquences. 15 go treram ares ctnauctone lation bla gston geet conlabl oa Catan. inom cau oon Shanta tans tees anesass operatic Bian encom eSCaoneiipa eget in etn Faure 3: min usin dea Conttaton sold pases enon rans cos ero re Les syns Sifax Fines ol communica js npr pou _présenstion des comptes (y compris le systéme de comptabilt) se composent des procé- ‘dures et de a documentation mises en place pour déclencher des transactions & incidences tinancires, pour les enregistr, les trate eles consigner dans un rapport. janvier 2004 (Etat a fer Janvier 2073) demande aux revseu lors dela revision pin- ‘pale de contre existence et efcience’” dun sytéme de conte inteme (CM 2102 ‘Organisaton pratique de fa Caisse de compensation). L'analyse porte notammest sur la ga- ‘anti de a sécurité et de la protection des données. Méthode Diun point de vue méthodologique, tabissement du SCI de a sécurité de information su le concept COSO pour ln rslsaton du GCI de Tentreprise. Communémen, le SC! en 96" Cunté de Finfomaion appuie sur des normes professionnelle reconnues 'SOICEI 27001 ‘tISOICE! 27002) pour ia lection des contles informatiques css pormetant¢attelndre les objects de SCI de Tentropis. Une démarche d'analyse des risques dans le cadre d'un SC dot prendre on consdération impact u S sul processus dafaes et proposer des controls propotionnel a gra- ‘6 de chaque risque det. Cette démarche doit notamment prendre en compte les controle automatiques des applications par rappor aux contoles manuels, ain optimises les procesous ot de recurs les raques residues. Lays des vsques du S! doit non seulement prente e consirain bs cries de ‘sécuréde information on relation avec les processus mir, male galoment coniderer{es riques et cones fis @ a fonction informatique comme le développement, la mainte ‘nance des applications, la gestion de Tecpltation et la secure Iformatque. Contexte Le SCI du processus daar « Rente de vielesse » dela CAC a été documents t date du ‘21 novembre 2008, Les deux risques pour lesquels ls contrles automatiques ACOR sont _appelés (comme preuve de Fexéction du conde) afin de dure lersque de versement de Prestation ind, sont présentes dans fa mace des requesicontcies du processus ‘atte « Rent de welleseer, comme crapres ee SS Sp] pes as, Soe WaT RE TIE roe ta ‘Nous relevons que la mate des risqueside conirle pour le processus. ellesse » vor tableau 1) n'a pas été mise & jour depuis le 21 novembre 2008. Les prewes {ant a fa bonne execution ou contol en roccurence es plauses™, ne ov ii ni material ‘ée¢, ni cblerendes. En eta, auteur n'a aucune Information quant ala couverture des ‘isques par des contiles aulomatiques ACOR en termes dintégite, Cexhaustiléeou exacttude des données de caleu et doctro des rentas. ‘Teepe sods cols avtomatqes dans lappa sant sure deri, va tea cen os Sos.LVoudité nous o tardvementinformé de foistenee dun module de contre appolé Anakin, ‘ul este module de contble appliqué & toutes os rentesproposées par ACOR. Ce module et pas represen he tae TAs et pas 2 ue fry Ue cl De mariére aénéale, et comme éié mentionné dans notre précédent audit de lachalne dos palementsINAR - rapport Ne 2018-38, nous relevons absence dun SCI dela sécurte de Finformation documents et contrast pour les processus ciés dela GET Nous abeervons également que les processus dela GET! sont en cours de description dane In eae a projet systama a management de In qualita (SHI), mai cia la sane lies & ces provessus ny sont pas represents. Risques. En fabsence dun SCI & jour tprenant en compte le SCI de la sécurté de information, Ia ‘CAC rest pas & méme de savor! tus les risques ont bien et dentiies et outs es mesures de contle sont ben en place sur le processus informaisé de calcul et acto des ‘enes. Toute déailance de sécurté du SI ACOR risaue dafecterFinteorté des données de ‘allt ato do retes, ainsi que la continue des paiement des rentes Flscommandatons 1" Suite nos constats, nous recommandons aux responsable des unites AF, ONIE et AVS de metre a jourla mate des iequesleantéies du processus dae « Rent de Vil lease » et de materialise les Evidences des controle automatques en place. Le bon fonctionnement de ces dermors est sous laresponsabilé do la GEL. Les contoles au tomatques ACOR ou reges de plausible actulement en place coiventcairement ete prdsontés dan lo SC! « Rente do veliesse » on réponee aus eque(s) Monte), Une Feterence aug documents) presentant ls regis do plausiites ACOR bt ete men- tionnée (matéralisation du conte) Prive dese apporter également au point auc Ne 453),42 Environnement de contréle 4.2.1 Dépendance a 'égard du personnel clé Importance : Moyen Eaigences, Processus CobiT: Dépendance a gard dinavius « Dépendre le moins possible individu clés dans les sectors essentels gre & acquisition de connatssances, au patage des connaissances, aux plans devolution de car- ‘ire ot au personnel do romplacoment » Contexte Le CC-SE act une équpe comporde de analytes an systimes experts at chafe de projet, ainsi que dun responsable” des eystimes exper. Ce demir est Fun des concepteus du systéme expert ACOR et cnuve dans son management & metre en relation les feurisseurs de prestations itemes et exernes & fadminstation, les supérieure federaux, fs Uisateurs de la CaC, des représentants de FOFAS notamment Ilest également en relation avec TOFAS pour tes questions de drecives appicaton techniques et stalstques. LLorganisation du CC-SE foncionne sur la base c'un mode de tava colabortf et un es paitelequipe fort, qu est au cere des pratques Agies®. Cette méthode ute parle CC EE prin Fntagation entre équipes et amélore le ransert des connaissances, Constats [Nous observons que les analyses en systémes experts ont un domaine deresponsabité (Rentes, W, APG, ete) qui eur a formellement et atibue et que pour chacin de oes do ‘maings, des remplagants ont formevement été déeignés, Nous relovons tuto que cate documentation rest pus & our depuis 2008, Bien que le poste de suppiéant au responsable des eystémes experts ne so pas formell- ‘ment attrib, le chef do la GET! estime quo los mesures de renforcoment de effect du CCC-SE qui ont te prises cos demieres années répondent au risque inherent au départ du chef du CC-SE. Selon faut e travail colboratf est une mesure permetant de répondre: au reque évogu. roa rena, cl oc CSE et tr os ua econo de ei {ears oregon ss ogo, ovepen ce choi eS Sotmateaee Agios DP, Scum, AUP, RAD oc) veo dure cee de vlppeert de arn de lignan te rertrar etalon rr rn te eas oo ‘risque gue atpendrcs exces v-.vs Sur essore cl, qu on as do pa ou dabsene poo i monceat neater ig carat Se acta La ates Paton ou ope Se peso oo coaurat Sins sets trnre se epee nasaonsie.4.22 Invalidité de la clause restrictive de responsabilité Importance : Moyenne: Exigences Lol federal completant le Code civil suisse (Eve cnquisme : Dro des abigatons) (CO ; RS 220) ‘At 41 Princpes généraux | Condtions de la responsabite = Coli qui cause, dune maniére ict, un dommage & aur, sot intentionnellement, sot par négligence ou imprudence, est ten dele reparer. ‘At. 97 nexéeution | Responsable du aébitur 4. En général # Lorsque le céancier ne peut obtenrrexéouton de fobligaton ou ne peut bien vimgat- falemer eeu sen de eprere dommageen esata @ mas Ul ne prove ucune fate ne ul est puta ‘ls clsposttons de lao federal du 11 avi 1889 surla pousute pour detes eta flit ot «code de procedure civ du 19 décembre 2008 (CPC) Sappliquent &Fexécuton. te nce le bitur dela responsabilité quit ‘A 100 Convention exclusive de la respons "Est nul toute stpulatontendant a ibrer lencourat en eas de dol ou defaute grave. Le ge peut, en vert de son pouvodappréciaton, tenir pour nue une clause qui bce ce e dbiteur de toute responsabilte en cas de faut logee, sl créancir, au ‘moment aula renonce recherche le deter, se ouva@ son service, ou la fepon- Sable résuite de rexerice une indus conceédée par Fautorte. “Les gles pariculeres du corrat assurance demeurent reserves, [Af 101 Responsabilts pour dos aunliaires "Colui qu, méme dune manire ete, conf a des audiares, tls que des personnes vivant fen ménage avec ll cu des travallours, le sin exécuer une obigaton ou Bexeroor un Gro dérwant dune obigation, est responsable envers Faure partie du dommage aus cau- sent dans raccomplesement de leur trav. Une convention préalable peut excure en tout ou en partie la responsabilité dérvant du fat des suxiiares, 2Sile créancier est au service du débiteur ou sla responsabilité reste de Fexercice une Industrie conoédée par fator, le débteur ne peut stexonérerconvenonnelement que de la responsable decoulant dune faut legere. At. 239 Son objet 5La donation esti disposition entre vis par lauele une personne céde tout ou arte de 08 bens 8 une aute sans conte-prestation eorrespondante, ‘At 248 Responsabilté du denatour Ls donateur ne repond,envers le donatae, du dommage dérvant dela donation qu'en cas de dol ou de négligence grave Sitnvest tena que dela garantie promise pour la chose donne ou la créance cécée,Contexte ‘Capplieaion ACOR est mise ratutenent a dispositon des organes AVIA, Les contons sini que les odes pour sisi celle ibe ne sont pas lariiees au sein de do- cuments prévus & cet ff ~ Le composant ACOR- Sécurité pale Tabsence d'une base de données pour le cle ‘ACOR (architecture 3ters). Cte situation rajoute de fa compete sure systeme ‘information et dv ete provoke, = Certains nouveaux composants ACOR proposent des fonconnalits qui sécartent dela fonction premiére aide 8 la décision pour 'orienter vers des fonctons de gestion comp- {able et nanciee. Cest notamment la cas des fnctionnalés de ACOR-\ comme: lee Dalements des I la goston des recficatons des Let des décomptes(eréaton de dette ‘ude crane en favour de fassuré) la gestion du compte fatten la gestion du le- ‘cage de paiement la gestion du récaptulati de paiement, Une éude est en cours par le CC-SE afin dévaler si orentaton vers un eystéme de ‘gestion de regs meter est ovjours un chotx pertinent. Dans e cade, un benchmark de ‘Cine vis-dvis autres eoluions BRMS” existantes est en cours. Copendant,concer- ‘ants documentation revue, I manque la definition de Tergarisation (auteur, respon ‘able, valideu, a version dela documentation, les objects de cette etude, les prolé- ‘matigs, les faques, les contrainte, les besoine pour aignement avec la stati, lee ‘Sues utlsées, les aspects finances. Un travail conséquent de refactoring” des programmes d'ACOR GUI (agé d'une dizaine {Gannees) est en cours ce reaisation, en inte parle CC-SE, afin d'3surer un aveni & ‘ACOR GUI. Une étude exteme'" a permis au CC-SE de valet son choix. LCauciteura pas idntifé de qulconques travaux do refactoring pour ACOR SE. Selon Fauci, le reactoring pour ACOR SE s ffectue en continu + SAGAS rest pas integrée & ACOR GUI. Il s'egit Zune application & pat entire lancée: depuis AZOR GUL ~ Lasattograohie applicative ACOR et des données sous Foul Enterrise Architect ot Incomplete et non vaidée parle CC-SE. Actuellement, la ible architectural incuant le 'SIACOR nest pas Genie, represents au sen de a cartographic. *cs lower avec re eee xn See ee Ee Piet Stes Meh tcnai satoanasnedee ates TE ee ee tm era {oromera Gi deln Coe verve sereocre ae ype SON. eto se « asd apicnon ACOM GU aan 31 cheartre 211 ered par AEG Sotare sensoRisques, conséquences En fabsonce dun plan statégique technologique il devient fice do révoirles changements dans les projets exstats et les nouveaux changements et Projets de Si nécessaires pour ete en phase avec les besons et objects sata ‘ques mets. lanier et coordonner ses actons afin de rendre plus homogéne et eficiente Farehtecture en place. ~ lanier les actions & mener afin déviter des cots de maintenance et éexplotaton trop élevés Recommandation 5, Nous recumandons wun lites de la GET! de Jacl o eae war pat la Comin le plan dinfrastucture tecinologique des SI en prenant en compte la strategie ‘SOA et son application pour ACOR. Dans ce cadre, api de planer foentation {echnologique @ ACOR et son len avec la strategie dentopise et defer ses Tutus standards rformatiqus. Un come darcntecture devra vller ce que architecture SOA améne dela plus-value ‘BACOR (en phase avec la statgie méter) et eponde aux éibments soulevés dans nos ‘constascrcossus.43.2 Quallé et standard de développement Importance : Moyerne Exgences, [Processus Cob : Standards de développement at acquisition ‘« Adopter et actualsor es standards pour tous les développement ot acquisitions qui su ‘Yon fe cycle de vie d Iiable dfn et qu exigent un aval @ chaque étape cl. Prondre en ‘compe les standards de codication des logics, conventions de nommage, fermats de {eiors, standards de cencepton de schemas et de dionnares do donnees, Zandards ‘interfaces utisateurs interopérabilts, efeence des performances des systémes, capacts ‘80 mise & Féchele, standards de développement et de tests, validation parraprort sux do- ‘andes, plans de tests of tstsuntares, de regression et dintégraton.» ‘Contexts méthode empioyée 2. CC-SE wien ta déearcha « SCRUM? s, do raining dae taXteamn Progra ing » ais! que de pratiques Issues de experience des 6quipes pour davelopper appicaton ACOR, ‘Ces demarches et pratiques découlent du « Manfeste pour le développement Agile de kg ‘lel »* publ en 2001 et rettan en avant les quate valeurs suvantes Les individus o lurs interactions plus que les processus et es outs ‘Des logiciels opérationnels plus que documentation exhaustive La collaboration avec les clients plus quo la négociation contrectuelie ‘Liadaptation au changement ps que 1 Suvi Sun pan Lagi est done une mania de penser, un état esprt. Dans la pratque, alle implique realstion du produ, projet par un développement de type rtf, des raisons inrémen- tales et nécesste une cofaboration ot un frt esprit féquipe. Pour des équipes agi tele {us 2 CSE, les anpects essentials de Tamalraton et de Tadaptaton continue permetient de ciminver les risques de construe sur la base de standards trop rides, our Tessente!: forentation cent Pour un groupe de développeurs Agile, la qualité cet « Tadéquation du produ aux atton- tes du cent». Un obectifmajeurest de disposer dun référentel méthodologique simple, léger et flexible, de ne normatser que ce qui est nécessar, et de rédvaluer les pratques en petmanence. Selon Ia méthode Scrum le contéle qual du processus » de développe- ment Agile ncombe au Scrum Master, qu jove le re de facitateur dans la mise en place des cifécentes pratiqus Agile. Ste wos ce Ron Jarier, nin de eXeeme rogfarming his. uraaratinn cacao ‘tn re an porn Semper hg Se yea! bdiatantans a 211 er ncton oe nv oneaee tert nen ant Cxegeooniurert eves dt poe ci ri hes nance cosets cone 'S(0 Sam an xt on mason enn asune anne que Sour et compre ten wan ‘contr cies ramos epeeTras de Xtreme Programming (XP) et da Ssrum, as quelques bonnes pratiqesagi- les recommandéas sont 4. Pratiques« liées » au clent : Développement Kea eyes des Rérations ou sprint, ls éfiscent rythm du chan- ‘gement du projet), une équpe soudé, des ivaisons frequents (dfation des prt ‘ques, une rtrospectve, des séances de panificaton ors de ces stances est abl eration Backog), tests cent automatises (TOR), hstoiresutisteur terres < accepaton user story), 2. Braiquas da management Intégraton continue (@Tade outs tls que Hudson), propriété collective du code (per- etiant de ie travall qutcien de "équpe),réges de codage(afn que le code sot homogéne et facement isle) ratiques de développement: Conception simple simple ne sous-entend pas de prendre des raccourcls su la qua), ‘développement picts par los tests (TDD : Test Driven Development), amélorer le code (refactoring pancuel ou refactoring permanent, programmaton en bine. En ce qu conceme environnement de traval es répertotes sont partagés et orpanisés, des outs de stockage sont uses et un outilage nécessie est & disposition pour la gos tion Agile du produ, du projet Constats Nous elevons qu le CC-SE applique une approche Agile tele que présentée ci-dessus en tlisant certains pratques issues des méthodes expostes, En raison de esprt Agle employe, faudeur a eu des dficutés& auditer «la gestion de a ‘qualité » lors de développement Agile pour ACOR, ‘Nous relovons que la GET! dlspose de plusieurs documents en len avec la programmation ‘gle. En revanche, ces documents, comme ceux iste G-aprs, ne sont pas 8 jour. Le CC- ‘SE accordant plus de valeur @ un ogi ui fontionne qua une documentation exhausive, ~ Le document initulé « manuel proarammeur ACOR » existe, mais nest pas a jour. Co ‘Serier dot notamment décire te dagramme darchitecture du logiciel ACOR (classes, ‘modules, composanis, ete) [Le document décrvant le processus de développement Fade du gestionnaire de ve- sion (SVN) existe, mais rest pas jour = _Aucun document central ne réérence tous les outs” standards ulisés dans le cadre dee développement ans! que le procédures de gestion et de configuration appliques our es outs = Loutl colaboratt wik"pour la parte ACOR) est falement documents 5 ast vrs para sabe certoen srt SW ston des vero GTP a B0- [Tropa Sopp goon por hance Vrs de More calaeabe te le ec teen posnse Un vi eat soe ae & Saosin Go narare eau sn Seti et ces ‘Eerevomaton page dos sxptennn es popup es howe saves et Sceria‘De maniére générale, autour constate que le CO-SE pourat gérer de maniére plus stuc- ‘urbe ses dossiers et documents électroniques de tava. Nous relevons également qui existe pas une gestion de version dela documentation, que des doublons dan la doci- ‘mentation subsitent et que certain documents sont incomplete vok obsoites. Bien que nous n'ayons pas regu dinformation quanta une éventuele enquéte de satisfaction {erire 2012 et 2014), parmettant de vader le crtere de quale ie: « fadéquation du pro- ‘ult aux altentes du chen», les gestionnares AVS iterviewés ont etre satsfats des ‘prestationsfoumias par ACOR. Risques LLinsatistaction des utlsatoursfnaux Fégard des ivables ACOR, En Tabsence d'un systéme de gestion documentaire, un gasplage de ressources (en tomps et argent) une pera de la connaiseance et une Incapacke 4 apparter des preuves subsis- tent LLutisaton dune approche Agile t ses enseignements sont mieux communiqués et péren- ‘iss par Tenremise dune documentation. En sn absence est par exemple plus diffcie & Gauttes equpes mons agles den beneticer Recommandations {Nous recommandons au chet dela GET quune enquéie de satstacton our ACOR soit rmenée et documentee Nous racommandons au chef de architactura dentepicn at a cha it CSF qua 7. Le document « Manvel programmeur ACOR » ainsi que le document « Processus do «développement SYN » Solent mis jour Les proarammes en Natural du midcloware et ls princines de fonctionnement pour ‘ACOR solent actuals pa es architects et renelgnés dans Un document ded (ac- {ellement present dans la documentation de projet « migration TCPNP des applica: tons») En oute es outs standard (SVN, Hudson, CTP, et) ulsés dans le cadre des dve- leppements solent catalogues. Les procedures de gestion et de confguraton appiquées ces outs doivent ere documentdes pales responsabes des applica et valiées| pararchtecte dentreprise. Lout colboratf wiki sot renseigné afin de centralise et de communique information Sur ACOR jugée ule de partage les expéviences etl savl-fate ainsi que les docu ments de reference {, Enfin nous suggérons au chef dela GETI, a mise en place une orgarisation plus structurée des repertores, dossiers et documents électroniques afin en assure la tra: {abit sins! quune meileue uiisabit, I grat également sounatabe que la GET! Sop une msthade de gestion de version pour ses doauments, comme préconisée par ta nerme 1SO 90001 (nermes adopiée par la CdC)44 Gestion des changemen's. Iesportance = Mayenne Ealgences, Processus CobiT :Gérer les changements «Tous es changements, y compns la maintenance et les corrects durgence, concemant Tnfrastructre of es applications de environnement de production sont gérbs ef contalas de fon formell. Les changements sont enregistrés dans un foher,évalués ot autorisés avant mise on place, tconfontés aux ruta attondus dbs lor mse en couvre. Cela ré= ‘ites risques de conséquences négatves pour la stebité ou lintéqnié de environnement {de production» Contexte ACOR cst une application qui est en changement™ cortin au sein de a CAC. Le CSE ‘spose cuts et de procédures de prise en charge depuis la demande de changement Jusqu'au déploiment des versions. La GETI met quatre releases de versions ACOR par ar & disposition des organes AVIA Coles sont tléchargeables depuis le ste Extranet Pscurs outs sont tlisés dans le cadre dela gestion des changements. Nous rlevons ‘ulun forum ACOR (base Lotus Notes) permet notamment de communiquer les demandes des uiisateure en interns la CAC et d'annoncer des changements. Les demandes de ‘changements ACOR en provenance des organes AVSIA! sont quant a eles récepionnées. ‘dans une bolta aux etres commune Outook: 9 @zas amin LLout Jia” est égaloment utilisé pour les changements évoluts, les corections de bogues: ‘et pour a eration de nouvelles fonctioanaltes ACOR. Constats "Nous relevons qu'un manque de tragabiltésubsste sur les changements corrects et évol- ‘is ACOR.Iinvexiste pas de numéros de tickets et de priors assignés aux demandes de changement ACOR. Les traces d aud pour toute denande de changement mise en produc- tion ne sont pas systématiquement maintonues. Aussi ia 66 diffe pour autour de cupérer des evidences a chaque étape de cont, et notamment accoptation finale du changement pa utlsateur (nee ou exteme) avant a mise en production, Les tans entre les objects — les changements -etls ches" ors de la refonte du GU ainsi que le riveaux Bavancementne sont pas carementrenseignés au seln de Fout Jira (nisl ae scnocals vrsensACOR contenant enon vingt argemats tk mien prducn au ope treed Stoner mane ses GOR nn, ‘RA eet on pred canmerles parm sos Manian Sahar Sysara C yun ames uN de {yates govton en ot ln etan Se prom Tsotparowenps ds solerens marries ov noc re, we de ar atin ue ele [ntl Esa et espace vertu stances neborasares (capes ches fare etertat ‘a Sn aecomeris vot fosrrial En earch es pase Stion pou passage de pave 3Lors de Tau laste de fusion permettant de communique lesnowvelles versions du logiciel aux organes AVSIAI-utisateure ¢ACOR -nta pas & jour (tat a mare 204), Risques Le aque subsiste que des changements insuffsamment contéés et mis en production f- rissent par compromet la sécurité du Sl, créent dos insatistactions de la prt dos utisa- ters et generent ces erreurs dans te calcul des rentes, ant que cos panes. Recommandations 410. Nous recommandons au CO-SE que des numéros de tickets ot des pitts soon assi- {gnés aux demances de changement ACOR (y comps middleware) pou eur traitement {et que les niveau de priorté des demandes solent dfins. Nous recommandons &ga- Jementquune raze des validations des demandes de changements soit conserves, Luitisaon un poral web incuant un workflow de gestion des demandes, prmetant ‘ux lens extemes (et pourquo pas interes) et partenaires de connate le statu de leurs demandes de changement et des es suvre faclement deat etre envsagé, “14. Noue suggéronsau che de architecture denteprise utils ur oul tel que Jira Ag lo pour sos équipes lors de tous changements et de notamment renseiger les de- ‘andes d amdleraions en cours de efonte et formations y reltves, Ceca pour vantage de cenralser tout information et de facitr la ragabité des conde (conform ta quali), a colecte dindcateurs de performance (nombre de fonctonna- lhés lvrées a veloc, niveau 'avancemen), le suiv des exigences ainsi que la ges- tion des imprévu et des anomalies (ea effectude sous a). ‘Sere tus tania), Seer at oa fu ches tag) etree a ‘3 Saupe do wemie Tacs ce Sum aoe pp surFavarcare on ‘Slavactmesu se qunewinctornb conta tie att pron cour une ee ‘ener tsavee45 Gestion de la sécurité 4.8.1 Aacés aux cerveurs et codes cources dACOR, Importance : Moyenne Exigences ‘Selon 180 27002: 2013 il convient exercer un contre strict concemant Faccés au code ‘Source des programmes ot aux éléments assocés (ols que ls exignces de conception, ls ‘Spécticalons, les programmes de vrileation et de validation), afin dlempécher Tinvodition ‘dune foneton non autorisée et d ever joute modification involotare, La POSIC “de Fnststion se base sur la norme ISONEC 27002 et deri notamment le do- ‘mainesisoue domains priontares de « contdle des accée » (chap 7.7) en matire de ‘Secure de Finformaton, ‘Contexts Les programmeurs utlizent plusiurs outils dans le cade du développement, dant un ser- \veurhébergeant rapplcaton de gestion des versions Subversion (en abrégé SVN) et un serveur hébergeant application inlégration continue Hudson. Ces serveur et leur sécurts sont gérés par "Exploitation, es applications étant gérées pa le CC-AM. Les programmeursuflsent SVN pour la gestion du cade source ACOR ete contre des versions. Surun serveur déci, des dépots™ SVN existent pour les projets ACOR (ACOR. GU et ACOR Security, ACOR iJ (pare Java); ceuxci sont gérés parle CC-AM, Le code source du systéme expert se towve quant lu sur un repertoire dédié dot la sécurité la.GETI nous a dt vould centralicer tous les depots ACOR eur un serveur SVN. : {TrOSiC Pots ce scr de nematon dos C40 ‘Tia mio npc o ea nln pe)Constats "Nous relevons pour les serveurs Windows SVN (SVNOFIT) et Hudson (CCNTINT) aue ‘+ Lactvité « Resart and Shutdown » nest pas survellée™ Un compte guest sur SUNOFIT est act Le compisfectrique dadminstration « administrator» reste act sur les servours do production. Les comptes techniques dbadmin et transfert sont eglement acts sur le serveur CONTINT. Llisaton de ces comptes sonsibles Seffecue en fabsence {une procédure dictates mesures de sécurité & prendre, notamment en mabére de {gestion et de cemmunication du mot de passe. "Nous relovons les points suivants en ce qui concerne les cits c'accés aux Sép0ts ACOR = + La sécurité decoes aux déptts ACOR sur SVN ost gérée parle biis de Fannuaire DAP DOMIND. Nous observons que SYN est ouvert toute a Ca en lecture et erture et ce depuis le début de son utisation. Les accés au dépt SYN sont Yop “tends. Nous comptalisons un total de 53 comptes nominate nappatenant pas & {es dveloppeurs du CC-SE ou du CO-AM gui accbdent tout de méme & SVN et & ses depots “+ Unnombre seve de comptes génériques™ sont enregistiés sous le LOAP Domino et ‘ont acabe & SYN. Ile'agi par exemple des comptes: Test, Prod (OFIT_PROD_TEST, fst, test, test2, user hudson, user sv, Quest, OFT. ‘+ Les gounes de migration (eu le serveur de fichiers (ADB) « mg-acordey» et « mig- slat» incuent des membres qui r'appartennent ni au CC-SE, nau CC-AM et qui pourtant ont ds acces en éentures aux depots ACOR SE. En ce qu concame le accde & Hudeon, le ullestours membros de Turits INF dane le LDAP Domino disposent dun acu. Un compte technique « unudson » a été créé pour que les nouveaux colaborateurs ervegistés dans fe groupe GETI du LDAP puissent également y avoir accbs. Les quelques exceptions relevées pa faudteur ont et ransmises le 17 mars 2014 au reeponeable dela eécurte de information, Pala suit, des demandes de suppres- ‘on de comptes ont été fates par la GET! Risque En cas daltraton du code source ACOR due & des acobs indus aux dépts (malveliance ‘ou eeu), existe un aque de mt en production une application qu calcule les rentes ‘AVSIAI 6 manire inexact, 7 pact ud pope ira cae de esage et aie evar et eons a "rpreranme maa ene de mer Go panes Sos 2 taaton de comptes pingiune mine a uaabi ct mpubi es ste mans aie arcana fasion ops peraues ens ett 826 ions, net ert Pessina[Reconmandations 42. Nous recammandans que les mesures suvantes salen reas parle reaponsahle da sécurité de information en partenariat avec le service d exploitation "+ activité « Restart and Shutdown » dot tre audiée sures serveurs sensible, ‘> Le compte quest sur SVNOFTT doit ere désacive, ‘> Liston des comptes sensible tls que les comptes ¢ administration dot Siefectuer en conformité avec une procedure dictant les mesures de sécurté 8 pren- Gre ors de leur utlisation et suveitance. Cete procédure - actullementinexitante- ‘evra éte rdigée par qu de doit et vadée parle responsabie dela sécurité de information 48. Nous recommandons que les actions suivantes solent prises parle responsable dla ‘seu de information en partenariat avec le responsable de appicaton ACOR et chef de Fexpiotation '+ Define des groupes au sein du LDAP de maniére plus détailée que le simple niveau {FUO (untéexganisatonne), par exemple au niveau dela section. Object : que les DPanepes de monare prnege et se separation oe foncoon sent appIqueS Pour gue Soules ts personnes aulorsées alent acobs aux outs de développement qui gevent les codes sources, ‘+ Désactver ou supprimer les comptes génériques enregistés sous le LDAP Domino, ceca a sulte d'une analyse d impact documentée '+ Lima aux seules personnes autorisées les dois accés en modification evo Gc {ure aux dépéts ACOR SE presents sutle serveur de fener.4.5.2. Gestion de la sécurité — controle des identités et des ancés Importance : Moyenne: Exigences Processus: Assure ia curt des systémes ‘Le beso de maintnirMntégnt de Vinformation et de potégerles acts informatiques ‘xige un processus de gestion dela sécunle Un processus de gestion dela sécurté dat [pormette cassurerlntegnis do Vinformation en prolagean! les actif informatiques et es ‘cts information» ‘Une gestion efface dela sécurité dot permet de protger ls acts informationels et {de rare le plus possible es conséquences de vunérabité ot incidents de sécurité sur les processus cata» CContente* [application ACOR ne dispose pas d'un composant de sécurt nécosstantfdentication”* pus authentfeation” de Futlisateur afin de protéger lnformation™ qui yest gérée. Cepen- Sant, ne suft pas qu/ACOR sot intallé sur le post clent pour que isareur interne pulse efectvementutliser fapplcaion dans le fux de Watoment dune demande de rene, En effet, let nécessare que fuieateur interne dispose dos del acess au maintame (ont le seca ot yoree pat RACF a Natural Seung"), ot & GEDO” wit de pour ‘alter les données de base. Des contbles de sécurité sont en pace lors du transfert de données de GEDO vers ACOR, ‘etcIACOR vers NAR. Ces cotrles permetiont notamment assure que seule spécilsto autorisé (conte de Fidenté traie la demande de rene. que les données en cours de tra {ement restont jour etvadent et quo le anciens dossiers ne pulssent pas ete recycles. ‘met prs GET nay andre rat scoot oe ne vaso pare epost FroenlSs Remaat {ion aeons Ee erp si ‘Saimerateston pret uatlesou copper pau son ei Ee pamet depo alsa {gn Eowsovsretamat cate personne» ean par exam ot poss ‘Cec cancomata scr os domaoe oroos ar AGOR, teers Frese supis SaUCe ppeston feed comoee al quae connsea owopatées sub post cor urna ‘SrRacr” Rescue Acces aru Fell Cestun proganene seo syne Sexpotton BM Nats Seer etn toil saute Step Salva AG. © NEE SRS Srtened deeming tench sp de shut GEDO de au, tues Se serene GEO ae aus satus facie Sem demande nis Sew enor) ‘igi a ceranan ot peas se ener emaranon on omecs So besa Sosa ae ‘duno Hotere ACOR GU pour tre clea ce ae.Constats [Nous relevons que a GET ra pas documenté ses concepts de sireté de information et de protection des données (SIPD, seon la mathode HERMES) pour ACOR et le middleware {Les informations relatives aux concepts et mécanismes de sécurité appiqués sur architecture ACOR et e midleware sont disséminges dans de muliles documents incom- Diets et pas 8 our, Risques En cas de fle ou dincdent de sécurité touchant fintéghté de information et de Infrastructure tochnoogique et impactant également lea tanaections méterseutomat- ‘60a, les resutals de cle et ocr de eres serontentaches erreurs Les Services et infrastructure iformatque sont rendusinisponibles, ne permettant pas ‘assure la bonne contnuté des processus df afi, Recommandation “14, Nous recommandons la GET! de documentr au sein fun document de secur de Finformation ls coils techniques et procéduraux pou potéger fa confidential et Tntégite des données trates par ACOR lors de leur échange, de leur enregistorent {et de leur tratement. La (reto}documentaton du concept SIPO est recommandée.45.3 Contrbles applicatifs Importance : Mayenne Exigence La phipert des processus mers sont sutmatide et ints is dos wpskcations informal ‘ques, ce qui enraie que de nombreux contdles sont eux aussi automatisés a ce niveau Ones appelie des controle appicatis. Pour garantirun bon traltement des informations, i convient donc dintégrer des mesures | _appropiées dans les appicatlons. Cee mesures doivent en outeprévola validation es ‘données entrée du tratementinteme et des données de sors, La comcention ot ise on place do coistlee appt automa son dol reponsebt Ite de Fnformatique et se basent sur des exigences métersformellementdfnies. Quant & la gostion opérationnell et la responsabite des contrtles applica, elles ne relevent pas {de Fnformatique mats des propiétares des processus meters. Contexte -ACOR GUI slausibiise (controle automatiquerent) es données sasies dans Tappication ‘Au cours de aut, ces pauses étalent on cours de modieation dans le care dea refonts ‘au GUI Lots de Fenrée des données de base de 'assuré dans ACOR GUI es plauses conduisent Faffenage de deux messages types 4. Les avertissements, Couxcl sont destinés& avert le gestionnaire quand certaines Situations ineohérentes sont détectées par ACOR. Ces contd ne sont pas blo- {uante ot font appl au jugomant professionnel du geationnaire 2. Lew nnssayes Leyuanis, Ceare! logue Pllivalow dae sx operation ol pe tent lo mot du refs, par exemple Ci de saisonner non conforme (date defi inté- ire a date de at da permis de aval). Une fois toutes les données recueitios et plausibiisées, tisteur lance expertise ACOR. ‘dans le cadre de laquels le drota arent sera établ au mayen de gles adequate ; dae fonctions de calcul permetront de determine le montant dela pestation allover. En fr tratement, a fuile do calcu et précanté 8 tieatour (GUN pour jugement et validation, Les résultats peuvent ds lors ere exports. Ta payee oe at sen dour reac 1 es laaes sips par eam ores edmatnuement gsr, mats, rales es 2. Use puessomenptons” parent esdomte tare ona saston (Sete 3 fervande presen ouch esis pesbisconabotrlora Ls pobiimmn peso prie auens drs ce Sure apieaten Se yp Satine Exe et suri ‘Siro para pa net fects ops tonola pet cnt eras posuon area ies b= feos epproe pr ACOR ot auf, our un sstine econo are sufieant per6va aoe geeConstats Nous relevons que les plauses ACOR Gul sont documenies avec des références et la des- cipton du conte &Foppul.Copondant a documentation nest pas a jour Nous rlevons ‘également Fabsence de en vers un mottustfcation® du contre, de systéme de diagnos- “ue sur les données reprises automatiquement ain’ que de trace eur les contdes éudés par Tutisatewr Nous elovons qu'un document « Manuel programmeur ACOR » fat une description du pro- ‘gramme ACOR, parte CLIPS, pour la version du calcul des rents dela 108s Lesion: Ce ‘document nes plus jou et pourrait tre ervch (par exemple a Fade d'une hiéarchisatio, ‘lassilcation des rls, len avec ls lis (eps de vérfleation du dot), table de décision, modelsation des regs) ‘Arelever que les les et esponsabiliés endossts parla CAC et TOFAS au regard do "orentatonstrateique GACOR pour ensemble du er pier ont été abordés lors dune ré- lunion du comte @AVSIAI en 2014, Lore de cat edance, Ia Ca (chef dela GET) a propose ‘a consttuton un organe de plotage au niveau de TOFAS. La question quant @une even {walle certifcation ¢ ACOR par TOFAS a 6 debate, Riequoe Les résultats obtenus sue & une saisie et un taltement de données incorrecs peuvent Polenislement amenerlegestonnaire& ocroyer une rene eronée. En oute es données. Seisies peuvent tre alrées en raison d'un dfaut du programme ov @la suite dune ert e tatement ou dun act déibéré. I faut précisr que lors de nos controle, nous ravens as dente de els cas. Recommandation 15. Nous recommandons au chef du CC-SE de metre @jourla documentation des plauses ‘ACOR dans le cadre dela refonte du GUI et evil documentation en motvant bridvement ls contidles ls. Sijugé nécessaire, un systéme de clagnostic sur les don- 1nées reprises automatiquement devrait tre mis en pace, de méme qu'une ace dau ‘ures contles is ayant 6t eludes par Tutisatou. ‘Suite & notre const canceman la documentation la programmation des régles du systame mxpeet RCOR, nou commandos um la docimentation, madaieakan dae tes rogles sot mise a jour parle COE. * Rusa ace neue ene evista os lass ACOR GU se sauce (Sonate bat, centoma ia SO cemarde ares)Disevesion finale Les recommendations cui fguren dans le présent rapport ont fit fobet dun entvetien al _avec Monsieur Patck Scrmed, drecieur de Ia GC, Monsieut Stephane Bruper, cet dela ‘dvsion GETI, Monsieur Jean-Pierte Kun, chef dela dvision AVS, Madame ruguetteKrat ‘Unger, chet de ia divson OALE, Monsieur Florian Steinbacher Devantry, chef dela sec ‘Yon AVS, Monsiour Darel Borvin, chef dela section Services fancies of résorerie. GENT), Monsieur Olver Jeanaupeux, chet dela secton Avehtecture eenttoise (GET), ‘Monsieur Jean Ossmans, chet du CC-SE (GET), en date du 29 septembre 2014, Linspectoratinteme remercie touts les parties qui ont été auitées de leur collaboration, FResponcable de specoratntere Responsable dela mission Pee Pipe Duel ==‘Annexe | - Tableau des reconmandston et des postionsNGSaTouiarontwnoews [Ar |iSeatee sods nt .cutarsmatptne asco | | Sezos, ecientSectéem Sammensratonm on oom | fener TancSempeatenpaenrsuemaesaan 5 este lemtcon spt ae a emt[Seneca ait eatSeem eoouse‘Annexe 2~Desciion des composaris ot foninnaie dACOR if ed es il il lil el W at I i ill