|
| 1 | +--- |
| 2 | +title: "La collaboration MENJS / Code Lutin" |
| 3 | +date: 2024-10-18 |
| 4 | +description: "La collaboration MENJS / Code Lutin" |
| 5 | +--- |
| 6 | +- Date : 18 octobre 2024 |
| 7 | +- Heure : De 11h à 12h30 |
| 8 | +- Intervenants : Erwan Garel (MENJS), Alex Morel (Code Lutin) et Jean Couteau (Code Lutin) |
| 9 | + |
| 10 | +<br/> |
| 11 | + |
| 12 | +Le CRPA demande aux organismes publics de publier les algorithmes mis en œuvre dans le cas de décisions administratives individuelles. |
| 13 | + |
| 14 | +Publier l'intégralité des codes sources des logiciels réalisés par le Ministère de l'Éducation Nationale (MEN) est rédhibitoire. Notamment pour des raisons de : |
| 15 | + |
| 16 | +* vulnérabilité : on divulge les technologies d'infrastructure |
| 17 | + utilisées (et les failles de sécurité liées : Struts, Spring, etc.) |
| 18 | +* Sécurité : divulgations de secrets (mots de passe, token, etc.) |
| 19 | +* RGPD : on expose le nom des développeurs |
| 20 | + |
| 21 | +Les équipes du ministère, accompagnés par l'entreprise Code Lutin, ont travaillé autour de la problématique suivante : |
| 22 | + |
| 23 | +**Comment respecter l’exigence de transparence des algortihmes tout en conservant une opacité sur les composants logiciels en exploitation dans le SI du ministère ?** |
| 24 | + |
| 25 | +L'objet de l'atelier est de présenter un résumé et un retour |
| 26 | +d'expériences sur nos travaux, en s'axant autour de 3 sujets : |
| 27 | + |
| 28 | +1. Prototype d'architecture Publication By Design : |
| 29 | + |
| 30 | + Ce prototype, basé sur les principes du Domain-Driven-Design et l'architecture hexagonale, peut servir de template lors de la création d'un nouveau projet. Il repose sur la séparation de l'application en deux modules distincts : |
| 31 | + * Un module métier, publiable en l'état sur Mim-Libre |
| 32 | + * Un module infrastructure, qui reste privé |
| 33 | + |
| 34 | +2. Mise en place d'un pipeline de publication : |
| 35 | + |
| 36 | + Nous avons intégré à la CI du MEN un pipeline de publication : |
| 37 | + |
| 38 | + * Intégré à la CI de la forge éducation nationale (GitLab, Gitea) |
| 39 | + * Automatisant la publication sur la forge https//gitlab.mim-[gitlab.mim-Libre.fr][]Libre.fr |
| 40 | + * Avec tous les gardes-fous possibles (détection de secrets, vulénrabilités, qualité de code, etc.), y compris un processus de revue manuelle. |
| 41 | + |
| 42 | +3. Stratégies de remédiation |
| 43 | + |
| 44 | +Grâce aux 2 premiers axe, nous avons identifié et outillé une architecture péreine pour les futurs projets. Mais reste à identifier des stratégies de remédiation pour faire évoluer les projets déjà existants. |
| 45 | + |
| 46 | +* Audit de 2 applications (Affelnet 6e et Affelnet Lycée) |
| 47 | +* Implémentation de scripts d'analyse et refactoring |
| 48 | +* Rédaction d'un guide de remédiation "dev-friendly" |
0 commit comments