Le numéro un de la prévoyance complémentaire AG2R scinde sa politique de sécurité en deux volets. D’un côté, l’héritage organisationnel que reflète son patrimoine informatique. De l’autre, la partie technique, enrichie des nouvelles technologies internet. Son directeur des systèmes d’information, Philippe Alliaume, concède que ce choix abrupt est indispensable pour minimiser les risques. Chez AG2R, les procédures organisationnelles s’appliquent d’abord à la sécurité du système d’information (SI) historique. Elles se sont construites au cours des vingt dernières années par “l’accumulation de couches successives”, explique encore Philippe Alliaume.La direction de la sécurité octroie ainsi les droits d’accès à chaque nouvelle recrue. Les profils créés sont ensuite transmis au service informatique, qui les saisit au sein d’une matrice d’authentification, qui s’adosse à un serveur RACF (Resource Access Control Facility). Celui-ci est hébergé sur un grand système MVS, qui, du fait de son stockage de plusieurs téraoctets de données, constitue l’ossature du système d’inforation d’AG2R et dont la migration vers des serveurs intermédiaires s’effectue peu à peu.L’attribution de mots de passe régule l’accès à ce patrimoine d’applications Cobol. Les deux mille sept cents employés reçoivent chacun un poste normalisé. L’accès à l’internet en dehors du réseau de l’entreprise fait l’objet d’une large ouverture. Il est placé sous contrôle avec, notamment, la mise en place de pare-feu et d’un serveur de cache. Même organisation sur le serveur de messagerie, Lotus Notes. Ainsi le gros des messages est-il circonscrit aux communications entre la vingtaine de sites nationaux du groupe. De ce fait, Philippe Alliaume ne juge pas nécessaire le déploiement de solutions de cryptage, et encore moins d’infrastructures à clés publiques (ICP). Il relève, à cet effet, la facilité de copiage illicite de documents et de signatures via l’emploi de photocopieuses en libre service au sein de l’entreprise.
Premiers basculements des réseaux X25 vers les VPN IP
Parallèlement, l’informatique d’AG2R se mue en un outil de production pour les flux métier. “Nous sommes un prestataire de services, puisque notre métier consiste à encaisser les cotisations et à rembourser les prestations”, rappelle Philippe Alliaume. Depuis quatre ans, les échanges avec les organismes de protection sociale et avec les banques se sont multipliés. Ils transitent cependant par des réseaux X25 de Transpac. Pour ce faire, le logiciel de transfert de fichiers point à point CFT traite quotidiennement plus de un demi-million d’opérations, soit plus des deux tiers des échanges informatisés d’AG2R.Avec X25/Transpac, les correspondants participant aux échanges sont connus. Leur identification est donc bien maîtrisée. En revanche, avec internet, elle demande davantage de précautions. Autre atout des réseaux de type X25 classiques : ils diminuent le risque d’écoute passive. La sécurité réseau est donc assez classique. Schématiquement, il s’agit de définir en amont les risques et les objectifs de sécurité à atteindre ?” notamment pour délimiter les anneaux d’interconnexion. L’ouverture des premiers réseaux VPN IP se cantonne à des partenaires institutionnels, dont l’ANPE et l’Arcco-Agirc, fédération de tutelle d’AG2R. Le basculement plus large vers une sécurité basée sur des réseaux IP dépend fortement de l’impulsion donnée par la Caisse nationale d’assurance maladie (Cnam). Au-delà de la couche de transport, celle-ci continue de préconiser des normes propriétaires d’échange interapplicatif, comme Noémie/B2, pour encadrer les télétransmissions entre AG2R et les quelque cent trente caisses primaires d’assurance maladie (CPAM).
Sécurité des connexions entre AG2R et Net-entreprises.fr
De la même façon, AG2R est un site pilote dans le cadre des travaux GIP-MDS (Modernisation des déclarations sociales). Ce qui amène la caisse de retraite à sécuriser la dématérialisation de ses échanges avec les entreprises ?” quittancement de personnel, déclaration de salaires, etc. Lesquelles peuvent payer leurs cotisations sociales par ce biais. Aujourd’hui, ces échanges transitent par courrier postal. Pour renverser cette tendance, le GIP-MDS a lancé en septembre 2002 une campagne de promotion pour son site portail, Net-entreprises.fr. Objectif : permettre aux entreprises d’automatiser la saisie et l’acheminement de leurs déclarations sociales ?” plus de cent millions de formulaires par an, dont plusieurs centaines de milliers dans le cas d’AG2R. La sécurisation des accès et des envois s’effectue par un simple mot de passe. Et ce bien que le GIP-MDS planche depuis plus de deux ans sur une solution plus pérenne d’infrastructure à clés publiques. “Dans la chaîne de sécurité définie par le GIP-MDS, nous ne voyons rien, puisque c’est le site Net-entreprises qui habilite l’entreprise, précise Philippe Alliaume. Et, une fois les données saisies, il réinitialise automatiquement la connexion vers notre système d’information et conclut la transmission des données.”Le lancement des premiers sites transactionnels maintient cette même étanchéité entre le SI existant et les services internet. Les nouvelles plates-formes technologiques restent séparées de l’informatique d’AG2R. Au risque de freiner la fluidité de traitement des informations. “Les données accessibles via ce site sont d’abord dupliquées sur nos grands systèmes pour, ensuite, être compartimentées dans un espace mémoire isolé”, souligne Philippe Alliaume. AG2R a ouvert le bal en lançant un site de commercialisation d’une offre de gestion de produits de comptes épargne temps (CET). Et il prépare, dans la foulée, l’ouverture de nouveaux sites transactionnels, dont un dédié à la consultation de relevés de carrière (RDC).
Coiffer la politique de sécurité d’un volet juridique
Le franchissement de ce cap transactionnel intervient suite au lancement d’une demi-douzaine de sites institutionnels gérés par la communication. En amont, des formations ont été organisées en partenariat avec le cabinet de conseil Valtech. AG2R a choisi une infrastructure J2EE (Java 2 Enterprise Edition) pour pousser à la réutilisation. Et il s’est frotté aux technologies de sécurité IP avec la mise en ?”uvre de trois niveaux de pare-feu et de zones démilitarisées, et celle d’un annuaire LDAP ?” plusieurs milliers de profils d’utilisateurs référencés. Ce faisant, AG2R fait, de l’aveu même de Philippe Alliaume, l’apprentissage de la complexité d’une administration de la sécurité bâtie autour d’un annuaire.Simples au départ, les échanges B to C et B to B d’AG2R sont susceptibles d’évoluer en complexité. En témoigne un récent partenariat noué avec la Mondiale, portant sur la distribution commerciale des produits de cet assureur. Celui-ci a besoin, par exemple, de retraiter les données de production envoyées par AG2R lors de la signature de contrats et du prélèvement de commissions. “Le défi consiste ici à mettre au point des normes d’échange communes sur un extranet, permettant de communiquer en toute sécurité entre les deux systèmes d’information, alors que les interlocuteurs ne se voient pas”, explique ainsi Philippe Perez, chef de projet chez Valtech.Faute d’avoir pris les précautions ?” afin, par exemple, de pouvoir justifier la provenance des fonds ?” des assureurs se sont vu récemment épingler par leurs autorités de tutelles et par le fisc. Ce qui confirme la nécessité de coiffer une politique de sécurité d’un volet juridique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
