La virtualisation totale des transactions commerciales entre les entreprises bute encore sur des questions de sécurité, et, au-delà, de confiance. Les places de marché électroniques affichent l’ambition de devenir les nouveaux temples du commerce, mais elles vont devoir d’abord faire la preuve de leur capacité à sécuriser les paiements en ligne et à préserver la confidentialité des données qu’elles hébergent.
Une banque aux avant-postes
Les places de marché devront également, en tant qu’intermédiaires entre vendeurs et acheteurs, rassurer les entreprises sur la pureté de leurs propres intentions commerciales, ainsi que sur la fiabilité des milliers de participants qu’elles sont susceptibles d’accueillir lors de transactions ponctuelles. À l’heure où se bâtissent ces gigantesques tiroirs-caisses virtuels, les banques ne pouvaient rester à l’écart. La Bred, du groupe Banques Populaires, vient de lancer Click & Trust, une offre de tiers de confiance dans le domaine des transactions spécifiquement B to B. Click & Trust concurrence ainsi Certinomis, issu du partenariat entre la Poste et la Sagem ; et ChamberSign, proposé par les chambres de commerce et d’industrie. Si Click & Trust choisit, malgré sa lourdeur, une sécurisation à partir d’une infrastructure PKI, c’est parce que ses promoteurs sont persuadés du potentiel du commerce électronique. La seule inquiétude – mais de taille – : “Nous ne savons pas encore quand cela va vraiment démarrer…”, reconnaît Frédéric Senan, directeur général de Click & Trust, rêvant tout haut à la masse des transactions que génère l’EDI actuellement. La prise de risque de la part de la Bred paraît toutefois limitée puisque l’investissement est de l’ordre de quelques millions de francs.
Un module de chiffrement de 1 024 bits
En revanche, une addition de ce qui se fait de mieux en matière de technologies de sécurisation est appelée à la rescousse. Pour héberger le certificat numérique d’authentification, deux modèles de tokens sont utilisables. Un acheteur en entreprise se verra donc confier soit une clé à raccorder au port USB de son PC, fournie par Rainbow Technologies, soit une carte à puce dont le module cryptographique est procuré par Gemplus. Cette carte sera lue par un lecteur intégré à un clavier fourni par Cherry. “Afin de blinder le chiffrage, la carte à puce repose sur un module cryptographique de 1 024 bits, là où une carte bancaire classique travaille, au mieux, sur 128 bits”, insiste Frédéric Senan. L’opérateur de certification est Certplus ; les certificats sont, quant à eux, fournis par VeriSign. Enfin, la Coface délivre les services d’assurance-crédit en ligne.La Bred a choisi de s’appuyer sur BizTalk, de Microsoft, une plate-forme technique organisant les échanges commerciaux au format XML. Elle sera mise en place dans une étape ultérieure lors de l’automatisation de bout en bout des achats. La première place de marché à se déclarer intéressée est AchatPro, elle est destinée aux achats hors production (informatique, télécoms, fournitures de bureau…). Cette place de marché repose sur une technologie d’origine RightWorks, qui devra donc s’interfacer, à terme, avec BizTalk.
La PKI n’est pas encore entrée dans les m?”urs
La sécurisation réalisée à partir de certificats, selon le standard X509, prendra probablement du temps pour réellement s’implanter. “Aujourd’hui, les outils d’émission, de gestion et de contrôle des certificats numériques d’une PKI pour les serveurs ou les entreprises existent. Pourtant, peu d’entreprises – voire aucune – n’ont, pour l’instant, mis en ?”uvre ce type d’architecture. Dans le contexte d’une place de marché, pour réaliser, par exemple, de l’e-procurement (réapprovisionnement en ligne), il faut monter une organisation spécifique avec définition interne des droits et des profils des utilisateurs qui, pour l’heure, n’existe pas encore. Les logiciels de places de marché, pour leur part, savent tirer parti de la PKI, mais aujourd’hui, seuls les mots de passe permettent d’y accéder et d’y effectuer des transactions”, remarque André Cichowlas, directeur technique chargé des places de marché chez Cap Gemini Ernst & Young.Généralement, les échanges commerciaux entre entreprises sont gérés par des progiciels de gestion intégrée, interfacés avec la plate-forme et le logiciel de place de marché. L’ensemble de ces informations se trouve dans une base de données, le plus souvent installée derrière le pare-feu, car il ne faut pas que ces informations, stratégiques, sortent de l’entreprise.“Aussi les transactions se mènent-elles, pour des raisons d’efficacité et de coût, au moyen de flux qui préservent la confidentialité des modalités commerciales des parties en présence. Seul un ordre d’achat traverse Internet. À réception de cet ordre, un échange d’accusés de réception s’opère, afin de valider chaque transaction dans l’ERP (commande, livraison, réception, facture, ordre de paiement, etc.)”, insiste Pierre Gleboff, responsable senior chez Valoris. Les accusés de réception sont généralement chiffrés en SSL à 128 bits. Les échanges financiers se réalisent, pour leur part, via les circuits papier traditionnels !
Labelliser les différents intervenants
Par ailleurs, un premier niveau de confiance humain doit préalablement être établi entre les partenaires commerciaux. Dans le cadre de la recherche ou du choix de fournisseurs et de produits dans un domaine donné, sur une place de marché, il s’agit en premier lieu de s’assurer que les différents acteurs et produits sont bien réels et que les sociétés fournissent bien ce qui a été commandé. “Ce premier niveau de sécurité commence avec des offres de type rating. Cela signifie que les entreprises, clients et fournisseurs, sont connues et cotées auprès d’organismes d’assurance-crédit (Coface ou Euler-Sfac, par exemple, NDLR) . Il existe également des labels fournisseurs qui permettent aux clients de vérifier le sérieux de leurs interlocuteurs”, conclut André Cichowlas. Cap Gemini s’est ainsi associé à la Coface dans une offre baptisée @rating qui note trente-cinq millions de sociétés de cent cinquante-cinq pays. En quelque sorte, @rating gère un label électronique de fiabilité d’une entreprise, afin de définir le périmètre du capital confiance dont elle pourra jouir, sur ces places de marché où risquent de se bousculer une foule d’acteurs plus ou moins connus, à l’heure de la globalisation de l’économie.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
