Utilisés pour connecter les entreprises entre elles ou pour les relier aux places de marché, les serveurs d’intégration B to B, tels B2B Integration Server, de webMethods ; BizTalk Server, de Microsoft ; ou encore, e*Xchange Integrator, de SeeBeyond, participent à la sécurisation des échanges. Complémentaires des pare-feu qui tentent de contrer les intrusions à bas niveau, ils agissent au niveau applicatif pour fiabiliser et sécuriser les échanges interentreprises. Pratiquement, ces produits renforcent la confidentialité et l’intégrité des documents commerciaux échangés (bons de commande et factures), contrôlent l’identité et les droits d’accès des interlocuteurs au système d’information de l’entreprise, garantissent la délivrance des messages échangés, et enregistrent toutes les transactions réalisées pour servir de preuve si cela est nécessaire.Le renforcement de la confidentialité des données échangées est obtenu en ayant recours à des algorithmes de cryptage à clés symétriques ou à base de couples (clé privée et clé publique). L’intégrité des messages est assurée en ajoutant aux données transmises un champ dont le contenu est fonction des données (hachage ou code à redondance cyclique). Le protocole SSL est pris en compte par la plupart des serveurs d’intégration B to B. L’authentification est assurée par l’échange entre les serveurs d’intégration de certificats X509 obtenus auprès d’organismes indépendants jouant le rôle d’autorité de certification, tels Entrust ou VeriSign. De plus, les principaux serveurs d’intégration du marché acceptent les signatures électroniques de messages. L’autorisation d’accès au système d’information d’un partenaire commercial préalablement identifié est vérifiée par des mécanismes de type ACL (Access control list). Tant qu’un acquittement de réception n’a pas été fourni par le destinataire, la garantie de délivrance des messages est obtenue en stockant les messages envoyés. Un certain nombre de nouvelles émissions des messages non acquittés est prévu dans les principaux serveurs d’intégration du marché.
Une garantie de non-répudiation
En cas de problème persistant, celui-ci est signalé à l’administrateur du serveur d’intégration B to B, qui pourra demander à volonté la réémission du message. Tous les échanges étant stockés dans une base de données, cela autorise la reconstitution a posteriori des échanges réalisés avec chaque partenaire commercial de l’entreprise. Cela permet aussi de prouver ensuite la réalité des transactions, non répudiables si elles ont été, en outre, signées.Pour configurer les fonctions de sécurité qu’ils proposent, les serveurs d’intégration du marché offrent une fonction de gestion des profils des partenaires de l’entreprise. Pratiquement, la mise en place d’un partenariat impliquera la définition du nouveau profil à l’aide d’outils graphiques de saisie des informations. Un profil de partenaire contiendra typiquement l’adresse Internet du serveur d’intégration de ce dernier, le protocole de transport à employer, le cryptage éventuel à réaliser, la clé publique, le certificat utilisé, les contrôles de sécurité à appliquer vis-à-vis de l’authentification, les droits d’accès aux différentes applications de l’entreprise, ou encore, le dialecte XML à employer.Le couplage à des annuaires LDAP est également possible pour de nombreux serveurs d’intégration B to B.Pour chaque partenaire, les fonctions de sécurité peuvent donc être modulées selon les besoins. Cela sera, par exemple, très utile pour les firmes qui intègrent leur système d’information à ceux de leurs partenaires stratégiques et se connectent à des places de marché pour leurs achats indirects. Commander des fournitures de bureau ne requiert pas le même niveau de confidentialité des échanges que commander des biens utilisés directement en production. Cette gestion de profils de partenaires sera aussi utile aux entreprises qui doivent se connecter à plusieurs places de marché, chacune d’entre elles mettant en ?”uvre des règles de sécurité différentes.Concrètement, les serveurs d’intégration incluent tout ce qui est nécessaire pour mettre en ?”uvre, de façon statique, les standards de sécurité définis pour le Web. Cela assure aux sociétés un certain niveau de sécurité de leurs échanges avec leurs partenaires. Toutefois, il ne faut pas oublier que, à la différence de l’EDI, les échanges réalisés sur Internet empruntent un réseau public, ce qui oblige à plus de vigilance. L’entreprise ne maîtrise ainsi pas les n?”uds du réseau par lesquels ses messages circulent, et il est bon de rappeler que le cryptage assuré par SSL présente des risques si l’authentification des partenaires n’est pas mutuelle et si l’algorithme de chiffrement n’est pas assez fort (simple DES à 56 bits, par exemple).Les éditeurs des serveurs d’intégration B to B travaillent, d’ailleurs, de pair avec les spécialistes de la sécurité, tels Entrust Technologies, RSA Security, ou VeriSign, pour organiser un cadre global de sécurisation des échanges interentreprises sur Internet.
Sécurité dans les messages XML
Les éditeurs participent, dans le cadre du consortium W3C, à l’élaboration d’un standard de cryptage des données XML et d’un standard de transport des informations de sécurité (signature numérique et certificat) à l’intérieur de messages XML. Ces serveurs d’intégration B to B devraient donc répondre au double besoin de sécurité et de flexibilité.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.