7 juin 2018

Si vous suivez l’actualité de ABC-Applications en général et de JeValide en particulier, vous savez que l’académie de Versailles a émis, il y a environ trois mois, un avis défavorable à l’utilisation de JeValide. Suite à cet avis, dans la semaine qui a suivi j’ai fait les modifications demandées par l’académie, qui avait eu la gentillesse de me contacter suite à leur avis, puis de nouvelles modifications la semaine d’après.

L’académie de Versailles m’a ensuite demandé d’attendre le rapport d’un cabinet d’avocats qui a finalement demandé (après les vacances) l’ajout de mentions légales et de messages d’alerte que j’ai évidemment ajoutés aussi.

Enfin, l’académie de Versailles m’a demandé de faire faire un audit de la qualité de mon code auprès d’une société privée CastSoftawre, ce que j’ai fini par accepter.

Le rapport de CastSoftware vient de m’être délivré et il n’y a plus aucun problème pour l’académie de Versailles.

Qu’est-ce-que le certificat CISQ de CastSoftware ?

Lorsque l’on développe une application, on écrit en fait du code, c’est à dire du texte dans un langage informatique. Dans le cas de JeValide il s’agit d’Objective-C. Mais lorsque l’on écrit une application de plusieurs dizaines de milliers de lignes, il y a souvent des erreurs. Pour éviter de faire des erreurs, il y a des « bonnes pratiques » à observer. Par exemple on essaye de factoriser son code pour en limiter la taille, et éviter les copier-coller qui, s’ils ne posent pas de problème lorsqu’ils sont réalisés, peuvent en poser s’il faut corriger un bug car il faut corriger le bug partout où le code a été copié.

Donc, une société comme CastSoftware établit un certain nombre de tests qui vérifient que le code est bon. Qu’il n’y a pas de problème de sécurité, que le code est efficace, qu’il est facile à maintenir, etc… CastSoftware passe donc le code dans un logiciel spécialisé qui repère les problèmes potentiels et donne une note. Si cette note est bonne, l’entreprise donne un certificat de qualité.

L’intérêt de ce type de certificat est pour une entité qui n’a pas les connaissances (ou le temps) de juger de la qualité d’une application mais qui doit tout de même émettre un jugement sur celle-ci. Nous somme exactement dans le cas de l’académie de Versailles qui veut s’assurer de la qualité des applications qu’elle valide.

Le résultat de l’audit de JeValide

Bien sûr, tout développeur a un peu peur de montrer son code. Depuis 8 ans que je développe sur IOS des bouts de code sont réutilisés dans les nouvelles applications. JeValide est donc le fruit de ces 8 années et à ce titre, comprend toute mon expérience mais aussi potentiellement des erreurs de longue date. Mais c'est aussi l'occasion de faire un état des lieus.

Le résultat est bon. Pour avoir la certification, il faut avoir la moyenne, c’est à dire 3 sur 6 aux quatre grandes sections (les tests n'ont pas tous la même valeur et on peut donc facilement être sous la moyenne). JeValide a donc reçu la certification CastSoftware sans aucune modification, et du premier coup.

certificat

  1. La première « fiabilité » me donne une note de 4.3 ce qui est bien mais pas parfait. Cependant les 8 tests que je n’aurais pas réussi sont la même remarque à 8 endroits différents de mon code et cette remarque ne me semble pas justifiée. J’ai signalé à CastSoftware ce que je considère comme un bug de leur système d’analyse.
  2. Le deuxième critère « Performance et efficacité » me donne un 6 sur 6.
  3. Le troisième « Sécurité », qui doit être l’élément le plus regardé du certificat lorsque l’on s’intéresse comme l’académie de Versailles à la RGPD, donne aussi un 6 sur 6. Je pense que l'académie de Versailles n'a maintenant plus de doute sur la sécurité des données au sein de mon application.
  4. Enfin le quatrième « Maintenabilité » est ma mauvaise note de 3.8 sur 6. L’explication de cette note tient au fait que je suis le seul développeur de mes applications. Pour que le code d’une application soit « maintenable » par une équipe de développeurs il faut que ceux-ci communiquent entre eux. La communication entre développeurs s’effectue beaucoup par des commentaires intégrés au code. Ainsi lorsqu’un développeur reprend un projet, il peut savoir pour quelle raison telle ou telle partie de code est là ou a été écrite ainsi. Mon code ne contient donc que très peu de commentaires car je suis le seul développeur de mes applications. Certaines remarque m’ont aussi été faites sur la taille de certains fichiers qu’ils préfèreraient scindés en fichiers plus petits. Pour le coup je suis d’accord avec eux et je pense modifier cela.

Donc JeValide a reçu l’agrément de Cast, les directives des avocats de l’académie de Versailles ont été intégrées dans la version bêta en cours, les demandes de modifications du RSSI/DSI de l’académie de Versailles sont déjà présentes dans la version sur l’appStore (simplification de la fiche élève et mots de passe pour les PDF). L’interdiction de l’académie de Versailles devrait donc être levée sous peu. Mais…

certificat Une application évolue dans le temps… Et l’académie de Versailles m’a demandé à ce que le code de JeValide soit validé tous les ans par CastSoftware. J’attends un devis de la part de CastSoftware pour savoir comment répercuter ce surcoût. J’ai proposé à l’académie de Versailles de leur faire une version spécifique de JeValide, ainsi les modifications spécifiques resteront séparées de JeValide et les surcoûts lié à cette aventure sera dans leur version et pas pour les autres utilisateurs.

Une convention devrait donc être signé sous peu, et une nouvelle application "JeValide Académie Versailles" devrait être disponible. Celle-ci sera sensiblement plus cher que JeValide pour une application presque identique.

J’innov

certificat

Le 5 juin s’est déroulé à Paris «J’innov Security Day» où j’ai participé à une table ronde « RGPD : Le chemin vers la conformité » expliquant la démarche de l’académie de Versailles quant à la RGPD en général, et comment ils ont mis en place notre collaboration afin que JeValide réponde à leurs exigences.

Cette table ronde s’est très bien déroulée, et a été pour moi l’occasion de rencontres qui me permettent de mieux comprendre les problématiques de sécurité des DSI, même si les données de JeValide et de mes autres applications n’étant pas sur Internet, je ne me considère toujours pas comme un acteur « dangereux » pour la sécurité des données personnelles.

La journée est passée très vite et je n’ai pas eu l’occasion de parler de tous les sujets que j’aurais aimés voir abordés. Je ferai peut-être une ou plusieurs vidéos ou article sur le sujet.

Conclusion

ABC-Applications avance… Les problèmes rencontrés par JeValide depuis le début de l’année sont des problèmes de grande application. C’est quelque part la rançon du succès… Ne nous en plaignons pas. J’espère que cette aventure aura été l’occasion pour vous de mieux comprendre ma démarche, et de me faire confiance pour la suite.

Emmanuel CROMBEZ