Passer au contenu

La nécessaire intégration de produits tiers de sécurité

Les plates-formes de places de marché ciblent l’authentification unique, la confidentialité et la non-répudiation des transactions, ainsi que la garantie de délivrance des messages.

Délivrant de multiples services, une place de marché est au c?”ur des transactions électroniques. Pour aborder toutes les facettes de la sécurisation de ces services, les éditeurs de plates-formes logicielles offrent diverses réponses, dont certaines souvent empruntées à des éditeurs tiers. La tendance est à l’ouverture, afin que l’ajout de services ou l’interconnexion de places de marché ne remettent pas en cause l’infrastructure dédiée à la sécurité, ou n’alourdissent pas sa mise en ?”uvre.Première difficulté, la plate-forme logicielle d’une place de marché est amenée à administrer différents types de flux. Il s’agit d’abord du trafic entre le navigateur et la partie portail Web. Puis, il y a celui entre la place de marché et l’application d’e-procurement ou de gestion de la chaîne logistique hébergée dans l’entreprise. Enfin, il y a les flux entre la place de marché et le système d’information de l’entreprise. Ces derniers sont plus importants lorsque l’accès à l’application de gestion des achats ou de la chaîne logistique s’effectue en mode ASP sur la place de marché. En effet, celle-ci doit alors communiquer plus directement et plus fréquemment avec le back-office de l’entreprise pour y réinjecter des informations (telles les données des factures). Heureusement, tous ces messages XML ou pages HTML ont en commun un transport sous protocole HTTP. Ce dernier peut être utilisé seul, mais un middleware B to B fonctionnant en mode file d’attente garantit la délivrance des messages, quels que soient les caprices du réseau ou du système destinataire. C’est l’une des fonctions des produits comme webMethods B-to-B, SonicMQ (Commerce One) ou Advanced Queueing (Oracle).Le support généralisé de HTTP permet d’adosser la confidentialité et l’authentification au protocole SSL, donc à HTTPS.

Bientôt, une interaction standardisée de bout en bout

Des certificats délivrés par une PKI autoriseront l’authentification de la place de marché et de l’adhérent, puis l’initiation d’une session chiffrée. Dans cette optique, les éditeurs de plates-formes de places de marché et de middlewares B to B gèrent la plupart des types de certificats et passent des accords marketing ou techniques avec des spécialistes des PKI. Certains sont allés plus loin en offrant des composants spécialisés. Ainsi, Commerce One propose un module MarketSite Certificate Manager pour faciliter l’importation de certificats de tous types et encapsuler la procédure de demande de certificats, auprès de VeriSign. Quant à webMethods, son Certification Toolkit réalise une intégration comparable, avec n’importe quelle PKI. Plus tard, l’implémentation de la norme XKMS par la plupart des éditeurs ouvrira la voie à une interaction standardisée de bout en bout, entre la PKI et toute application orientée XML, donc en particulier les places de marché.Au-delà de l’authentification et du chiffrement, les certificats et clés privées permettent de signer des transactions ?” des flux XML ?” afin d’assurer leur intégrité et leur non-répudiation. Mais un travail de développement et d’intégration peut être utile. Des produits plus spécialisés, proposés par des sociétés comme ValiCert ou Ubizen, se penchent particulièrement sur ces aspects de signature et de non-répudiation, notamment en prenant en charge l’archivage des transactions signées.Malgré un accès systématique sous HTTP, une place de marché n’est pas une application monolithique. Elle comprend de multiples services, transactionnels ou informationnels, bien souvent assumés par des composants logiciels disparates, qu’ils viennent du même éditeur ou non. De plus, chaque utilisateur ou entreprise s’abonne à des services différents. Doit-on alors mettre en ?”uvre autant de mécanismes de sécurité que de types de services, obligeant l’utilisateur à fréquemment taper des mots de passe ou à présenter des certificats ? Les fournisseurs de plates-formes de places de marché ont compris qu’il fallait implémenter la notion d’authentification unique (SSO, Single sign-on). Dès lors, un mécanisme d’authentification évolué, basé sur une PKI ou sur une technologie de mot de passe dynamique, ne devra être mis en ?”uvre qu’une seule fois.Pour gérer cette notion de SSO, plusieurs éditeurs se sont appuyés sur l’offre SiteMinder, de Netegrity, leader du domaine. Ainsi, Commerce One l’a intégrée à sa plate-forme. webMethods peut, via son Pluggable Authentication Module, dérouter son mécanisme d’authentification vers celui d’autres applications ou vers SiteMinder. i2 Technologies intègre soit SiteMinder, soit Tivoli Policy Director, tandis qu’Oracle s’appuie sur la fonction d’authentification unique intégrée à son serveur d’applications Oracle 9iAS. Celui-ci, comme Tivoli Policy Director, comprend une API vers des applications tierces. Ces solutions s’appuient sur un annuaire LDAP où sont décrits les profils et droits des utilisateurs. L’idéal serait que ces derniers puissent automatiquement se propager d’une solution de SSO à une autre, ou d’une application à une autre, même lorsque celles-ci sont réparties sur Internet, comme c’est le cas dans un réseau de places de marché. Tel est l’objet du langage SAML, qui fut initié par Netegrity sous le nom de S2ML.

Garantir l’étanchéité entre les adhérents

Par nature mutualisée, une place de marché se doit aussi de garantir l’étanchéité entre les données de chaque adhérent. Cette problématique est abordée de diverses façons. Certaines plates-formes génèrent, pour chaque utilisateur, des URL longues dont la durée de vie est limitée, correspondant aux données qui le concernent. Avec Privacy Manager ?” intégré à Policy Director ?”, Tivoli propose une solution adaptée aux plates-formes de i2 et d’Ariba mais restreinte à la gestion des contenus HTML et XML. Si l’on veut descendre au niveau des tables du SGBD, le fin du fin consiste à associer les droits d’accès de chaque utilisateur à des enregistrements de la base, voire à les chiffrer individuellement. Une fonctionnalité qu’Oracle intègre directement dans son offre Exchange.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Thierry Lévy-Abégnoli