Analyse d'Impact Différentielle (AID) en évaluation de gamme

Ces notes sont liées à la note 21 de l’ANSSI.

Organisation attendue de l’AID :

1. Description générale du produit et des différents produits de la gamme
2. Analyse différentielle des produits de la gamme
   1. Présenter le produit selon une architecture en “couches” :
      • Matériel
      • OS
      • Applicatifs
      • Durcissement
      • (Compléments éventuels)
   2. Pour chaque produit, indiquer ce qui est utilisé sur chaque couche. Au besoin, si les utilisations sont identiques, il est possible de dire que “chaque produit de la gamme est basé sur le même OS” (par exemple).
   3. Donner l’impact des différences entre chaque couche sur la sécurité du produit (si un changement survient sur les bibliothèques tierces, dire l’impact sur la sécurité du produit en question)
3. Sélection du produit de référence : donner les critères puis les raisons qui ont fait choisir le produit X comme produit de référence de la gamme (pour rappel, c’est sur ce produit que seront joués les tests lors de l’évaluation)
4. Détailler la stratégie de réutilisation des tests. Pour chaque différence observée dans l’AID (notamment au travers des “couches”), décrire l’impact que cela peut avoir sur les tests et expliquer ce qu’il faudrait jouer comme tests supplémentaires ou ce qui aurait des résultats identiques en fonction des changements, ou de l’absence de changement.