Passer au contenu

La sécurité sur les places de marché électroniques

Après une période de tests, les places de marché sont entrées en exploitation. Des systèmes de défense classiques forment leurs remparts. Les certificats numériques apparaissent.

L’an 2000 a été marqué par le développement des places de marché, horizontale et verticale. En France, on compte plus d’une dizaine de start-up spécialisées dans l’e-procurement, et de nombreux fournisseurs traditionnels se sont lancés dans la vente en ligne. L’e-procurement s’attache à la gestion des achats non stratégiques de l’entreprise. Aujourd’hui, la majorité de ces places sont entrées en réelle exploitation.Answork annonce aujourd’hui huit grandes entreprises et une cinquantaine de PME parmi ses clients, et espère toucher, d’ici à la fin de l’année, une douzaine de grands comptes et plusieurs centaines de PME. “Le cycle de vente est relativement court, explique Martial Gérardin, directeur des opérations d’Answork, car, en mode ASP, aucun investissement n’est nécessaire, un simple navigateur suffit. Pour ce type de configuration, nos interlocuteurs sont, en général, les responsables achats, et leurs préoccupations majeures sont plutôt centrées sur la richesse des catalogues et le nombre d’articles disponibles. Pour cet ensemble de services, accessibles directement par le Web, nous répondons aux attentes implicites de nos clients en matière de sécurité. À un second niveau, qui implique une intégration de notre solution avec le système d’information de nos clients, nous engageons un dialogue, beaucoup plus technique, avec la direction informatique.”

Ne pas céder à l’illusion technique

“La sécurité est un problème important pour nos clients, souligne Serge Pauporté, vice-président et responsable des opérations de CPG Market, mais ce n’est pas une phobie. Les deux points qui les préoccupent sont la sécurité de leurs transactions et la confidentialité de leurs données.”La sécurité se joue sur plusieurs niveaux : physique, organisationnel et technique. Sur le premier point, il s’agit d’assurer la protection des serveurs. Avisium héberge les siens dans une enceinte souterraine ultrasécurisée, dotée d’une surveillance vidéo permanente, ainsi que d’une protection incendie et électrique. Answork a choisi de faire appel à ISM, un spécialiste de l’hébergement hautement sécurisé, filiale de Cap Gemini Ernst & Young. La dimension organisationnelle suppose que les clients mettent en ?”uvre une véritable politique de sécurité. C’est souvent le cas des grandes entreprises, mais rarement encore des PME.“Ce niveau est matérialisé par un engagement contractuel fort de notre part, poursuit Martial Gérardin. Il inclut l’organisation à mettre en place, la désignation des responsables techniques et fonctionnels, une veille permanente, un audit régulier et un suivi précis des mesures d’application de règles de sécurité. C’est un ensemble de processus évolutif.” Toutes les parties ?” clients, fournisseurs et places de marché ?” doivent travailler avec une rigueur et une intensité identiques. Sur le plan des accès et des échanges de données sur le réseau, les solutions adoptées sont encore classiques. Chez Hubwoo, qui se présente comme un “opérateur ASP de places de marché privatives pour les achats hors production dédiés aux grandes entreprises “, les accès via Internet sont protégés par un coupe-feu, et ceux à partir de l’Intranet du client sont ouverts avec le traditionnel identifiant-mot de passe. D’après une étude réalisée au niveau européen par l’éditeur Evidian*, c’est le moyen utilisé par deux tiers des entreprises. Pour les échanges, les données sont transportées avec le standard HTTPS (HTTP over SSL) et sont chiffrées avec le standard SSL 128 bits, qui garantit l’intégrité des données et la confidentialité. Si, le plus souvent, l’utilisation d’Internet est suffisante, la proposition d’une offre sur VPN peut se justifier dans certains cas.

Besoin d’informations dans les PME

Les attentes et les pratiques en matière de sécurité varient selon la taille et l’activité de l’entreprise. “Les banques ont un niveau de pratique très élevé, et nous nous adaptons à leurs exigences, précise François Le Ralle, d’Answork. Au contraire, les PME ne sont pas très au fait de ces questions. Nous devons les former afin d’atteindre un seuil minimal en deçà duquel nous ne souhaitons pas fonctionner.”Les certificats numériques et les PKI sont encore peu employés, mais figurent parmi les projets. Seliance a recours aux certificats serveurs en plus des logins, mots de passe et codes d’approbation. En revanche, elle n’utilise pas de certificat personnel pour des raisons de lourdeur administrative du côté des utilisateurs, et de non-adaptation au risque. La demande d’achat est validée avec un code approbation, l’adresse de l’acheteur est prédéfinie et il n’y a pas de paiement en ligne par carte bancaire.Pour Answork, qui prévoit l’usage des certificats pour 2002, la mise en place de PKI impose des contraintes assez fortes, en termes de politique de sécurité. “C’est un domaine techniquement complexe et très normalisé. De nombreuses options rendent délicate une mise en ?”uvre réunissant de multiples entreprises, estime François Le Ralle. Toutefois, les certificats apporteront une amélioration qualitative importante de la sécurité, et ce, pour des raisons principalement psychologiques. Pour être efficace, l’utilisation des certificats numériques doit s’accompagner de procédures précises et respectées par l’ensemble des utilisateurs. Il suffit, par exemple, que l’un d’eux laisse sa carte dans le lecteur avec le PIN écrit sur un Post-it, pour que la sécurité soit anéantie.”Le recours aux certificats est également modeste chez CPG Market, qui ne les met en ?”uvre que pour des services nécessitant une intégration entre son système d’information et les applications de back-office de ses clients. Au-delà des dimensions techniques et organisationnelles, la sécurité est une affaire de communication. “Nous avons mis en place un comité consultatif dans lequel il y a une forte représentation de nos clients, précise Serge Pauporté. Et la sécurité est l’un des thèmes sur lesquels nous travaillons. Nous avons réalisé plusieurs documents pédagogiques destinés aux décisionnaires et aux informaticiens.”La mobilisation de tous est nécessaire, mais pas suffisante. La sécurité exige d’importantes ressources. Sur les soixante collaborateurs de CPG Market, il y a un responsable de la sécurité et deux personnes attachées quasi à plein temps à la gestion des comptes utilisateurs. Ces spécialistes effectuent des contrôles pour dénicher d’éventuelles incohérences.* A Study into the Diversity of E-security across Europe, Evidian, 2001.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Slickerman