Des services Swift accessibles à tous ! Telle pourrait être la conséquence de la dématérialisation des transactions sur Internet, une fois celles-ci sécurisées. Des PME y accéderont, ne serait-ce que pour la déclaration de la TVA, de par leur coût bien moindre. Mais, cette dématérialisation doit assurer le même climat de confiance que lors des échanges papier. Cela passe par la mise en place de services de confidentialité, d’intégrité et de non-répudiation, réalisables via des architectures PKI.Dans ce contexte, les outils EAI émergent comme des centralisateurs de la sécurité. Au sein de l’entreprise, l’EAI, joint à la PKI, amène les intervenants à se doter de certificats. Si les flux sont internes, l’entreprise peut produire ces certificats. Mais si un message doit sortir du système d’information, le certificat doit être validé par une Autorité de certification (AC) externe afin de signer le flux. En B to B, la confiance doit être instaurée entre plusieurs partenaires. Les certificats doivent donc être délivrés par une AC externe reconnue de tous.Chaque entreprise a son propre workflow qui utilise des certificats internes. Dès qu’un échange s’effectue avec l’extérieur, il passe par un module qui possède un certificat externe. Or, dans le cas du workflow B to B, différentes PKI interviennent, ce qui pose le problème de l’interopérabilité.
Une AC unique pour tous
Les certificats des différentes entreprises doivent être compatibles à la fois au niveau de la confiance, du format des champs spécifiques et des politiques de certification. Pour réussir une telle interopérabilité, la solution est le recours à une AC unique pour tout le monde. Sinon, les risques d’incompatibilité ne manquent pas : champs X509 spécifiques, algorithmes de chiffrement différents, difficultés de vérification des certificats à cause de la multiplication des listes de certificats révoqués et des listes d’autorités de révocation, différence de mise à jour entre ces listes, etc. On risque aussi des litiges juridiques : dans le cas de niveaux de certification différents, il est difficile pour les intervenants de vérifier leurs niveaux de confiance, d’autant qu’ils ne sont pas forcément directement en relation entre eux. On subit, enfin, les lourdeurs de gestion du cycle de vie des certificats.En revanche, si le fournisseur est unique, la procédure peut être centralisée par une place de marché, par exemple, ou directement avec l’opérateur PKI. Dans ce scénario, il est également préférable de rester dans la logique de l’EAI, à qui on délègue le routage, les formats et la connexion. On utilisera ainsi la clé publique de l’EAI pour le chiffrement, et seulement celle-là ! Cela signifie que la signature et le chiffrement effectués par l’émetteur ne perdurent pas après le passage dans l’EAI. Chaque intervenant n’a qu’un seul interlocuteur : l’EAI, qui mutualise les services de sécurité de haut niveau. L’EAI prend en charge les services notariaux (sauvegarde des transactions passées), l’horodatage des transactions (soit via une autorité d’horodatage, soit en étant autorité d’horodatage), les vérifications (des certificats des clients, ces derniers ne sont chargés que de vérifier le certificat de l’EAI), la garantie de livraison et la non-répudiation (le destinataire doit être sûr de l’identité de l’émetteur par la signature, et l’émetteur doit être sûr que le destinataire a bien reçu le message).
Habilitations de haut niveau
Dans un monde dématérialisé, la signature est à l’initiative de l’émetteur, la garantie de livraison est à la charge du transporteur, donc de l’EAI. Cette dernière fonctionnalité peut être mise en place automatiquement si les partenaires utilisent le même type d’outil. Sinon, on peut employer un mécanisme à base d’accusés de réception signés. Au final, l’EAI assure des fonctions de contrôle d’accès et d’habilitations de haut niveau. En frontal avec l’extérieur, il refusera l’entrée à des flux selon la signature (certificat non valide, provenance non reconnue, AC douteuse…), mais aussi selon la non-validité des messages (format incorrect ou obsolète), ou encore, selon le contenu des messages (Les types des valeurs sont-ils corrects ? Les valeurs des champs sont-elles aberrantes ?). L’EAI intégrera ainsi la sécurité au sein des processus commerciaux B to B.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
