Vendredi 10 décembre était publié un bulletin d’alerte du CERT-FR concernant la librairie Apache Log4J, entraînant mobilisation de l’équipe Vitam, réflexions… et solution !
Depuis une dizaine de jours a été émise une alerte de sécurité [CERT-FR] (référence CERTFR-2021-ALE-022) touchant le composant de la librairie Apache Log4J.
Après analyse, cette vulnérabilité ne touche pas spécifiquement le code de la solution logicielle Vitam, qui utilise logback pour la gestion des logs. Cependant certains composants intégrés dans Vitam sont susceptibles d’être affectés par cette vulnérabilité.
En réponse, l’équipe met à disposition un patch des différentes versions LTS de Vitam, disponible à cette adresse et apportant les corrections d’urgence préconisées dans la CERT ainsi que leurs procédures d’application.
Ce patch a été testé et validé sur l’ensemble des versions LTS Vitam et il est d’ores et déjà utilisé en production par VaS.
La correction apportée par le patch est pleinement suffisante pour sécuriser une application Vitam.
Toutefois, étant donné le grand nombre de librairies qui peuvent utiliser Log4J et l’évolution des analyses toujours en cours par les différents éditeurs de COTS intégrés dans Vitam, le Programme Vitam a choisi de privilégier la production d’une version corrective (Bugfix) qui embarque en une seule fois les montées de version de librairies nécessaires et permettre ainsi une correction définitive .
Pour cela, l’équipe suit attentivement l’évolution de la situation qui reste en cours de stabilisation.
La publication de versions correctives en remplacement du patch proposé interviendra donc au plus tard en mars 2022, plus tôt si nécessaire.
En cette fin d’année 2021, le Programme Vitam met à votre disposition sa nouvelle version appelée v5.rc.
En 2021, la stratégie de maintenance des différentes versions de la solution logicielle Vitam a fait l’objet de réflexions et son rythme a été modifié avec l’accord de la commission d’homologation. Le Programme Vitam livre maintenant 2 versions par an, toutes deux homologuées. En fin d’année est livrée une version appelée “release candidate” proposant de nombreuses fonctionnalités qui peuvent ainsi être testées et découvertes par les utilisateurs avant la version “long time support” du début d’année suivant.
Ainsi en cette fin d’année, nous publions la version 5 release candidate et au printemps 2022 sera mise à votre disposition la version 5.
Au rayon des nouveautés du côté fonctionnel :
BACK-OFFICE
** Gestion des archives existantes : suppression d’objets et de branches d’arbres
** Gestion des archives existantes : registre des fonds (corrections et enrichissements)
** Accès : paramétrage de seuils de plate-forme (seuils de traitement, de téléchargement de DIP)
** Accès : amélioration de la suppression des DIP
FRONT-OFFICE (avec le nom du partenaire qui contribue à ces travaux)
** Export DIP (VaS)
** Mise à jour des règles de gestion (VaS)
** Élimination (VaS)
** Registre des fonds (VaS)
** Gestion des opérations (VaS)
** Recharting et paramétrage graphique (XELIANS)
** Autoprovisionning (XELIANS)
** Paramétrage des droits (CEA et VaS)
Et sur les aspects techniques :
SECURITE
Montée de version de COTS (notamment ES) et Vitam-UI
ADMINISTRATION TECHNIQUE
** Amélioration des montées de version par l’ajout de scripts de test de conformité d’infrastructure
** Simplifier l’exploitation
** Améliorer la supervision par l’ajout d’un « Vitam standard dashboard » par défaut
Le Programme Vitam a proposé une présentation du tout nouveau service VaS dans le cadre du mois de l’innovation publique #MoisIP vendredi 19 novembre 2021. Vous trouverez ici l’enregistrement de la présentation et son support.
Déjà 4 semaines que Vitam accessible en service fait le bonheur de ses parents au sein de l’écosystème Vitam après une phase de gestation de 2 ans.
Proposer un service simple et complet, à l’échelle des enjeux posés par la révolution numérique des services publics, garantissant dans la durée l’accès à leurs archives électroniques, telle est l’ambition de « Vitam accessible en service ».
Lancé en 2019 au sein du Programme Vitam, à l’initiative des ministères de la Transition écologique et de la Culture, rejoints par les ministères sociaux, et avec le soutien de la Direction interministérielle du numérique et du service interministériel des archives de France, le projet « Vitam accessible en service » (VaS) a permis l’ouverture d’une première version de ce service le 29 septembre 2021.
Répondant aussi bien aux exigences métiers des archivistes qu’à celles des informaticiens, quant à l’exploitation et à la sécurité, VaS repose sur de grands principes :
Hébergement des données sur un cloud souverain cercle 1 (cloub Nubo de la DGFIP),
Souche logicielle libre développée par l’État (solution logicielle Vitam),
Interfaces développées grâce à l’expérience utilisateurs,
Exploitation et développement assurés par des équipes interministérielles,
Participation des souscripteurs à la gouvernance.
Inscrit à la liste des actions du programme Tech.Gouv, ce service numérique d’usage partagé « Vitam accessible en Service » permet aux services publics de répondre aux exigences légales de conservation et de participer à un projet innovant d’offre interministérielle construite par l’État pour les services de l’État et au-delà.
La 8e édition du Mois de l’innovation publique aura lieu du 1er au 30 novembre, occasion pour le Programme Vitam de vous présenter la toute nouvelle offre “Vitam accessible en Service”.
Comme en 2020, le Programme Vitam profite du mois de l’innovation publique organisée par la Direction interministérielle de la transformation publique pour présenter le projet Vitam accessible en service.
Lancé mi-2019, le projet Vitam accessible en service est un service ouvert depuis quelques semaines. Il est le résultat d’un projet mené de manière mutualisée, en s’appuyant sur le Programme Vitam et la solution logicielle proposée dans ce cadre, en participant au développement d’un front-office mutualisé et en ayant pour infrastructure un cloud souverain de l’Etat.
Cette présentation sera l’occasion de vous présenter l’origine de ce service, à quels besoins il répond, à qui il s’adresse, les étapes franchies et à venir et de répondre à vos questions.
