|
La dématérialisation
des échanges inter- et intra- entreprise permet
de gagner un temps précieux dans le traitement
de l'information et de réaliser d'importantes
économies.
Initialement cantonnée à un nombre restreint
de services (EDI, e-mail, déclaration de TVA
en ligne, authentification distante des acteurs de l'entreprise…),
la dématérialisation des flux prend une
place croissante dans la vie de l'entreprise.
La gestion de tous les acteurs impliqués dans
ces workflows devient complexe, en particulier
pour tout ce qui concerne la politique d'attribution
de certificats et la gestion des habilitations. Elle
nécessite la mise en place d'une infrastructure
à clé publique ou "PKI".
Si le thème de la dématérialisation
devient de plus en plus actuel, c'est que nous arrivons
à un point de convergence propre a favoriser
l'émergence d'un "marché de la confiance"
:
1- les dispositions
légales et réglementaires sont suffisamment
claires dans de nombreux domaines pour que nous puissions
mettre en place des services de dématérialisation;
2- les technologies
ont atteint un niveau d'ergonomie et de fiabilité
suffisant pour être déployées en
masse;
3- les méthodologies
d'approche de ce type de problématique nous apparaissent
maintenant clairement.
Cette maturité s'inscrit
dans un contexte où la volonté d'améliorer
les coûts de traitement de certains processus,
ou d'accélérer certains traitements se
manifeste nettement dans les entreprises.
La
problématique réside dans les questions
suivantes :
Quoi ? Pourquoi ? Comment ?
Quoi
& Pourquoi : Faire l'étude des processus
à dématérialiser au sein d'une
entreprise nécessite d'avoir une parfaite connaissance
de la nature des flux et donc de l'organisation de l'entreprise
et de ses métiers.
Il convient de déterminer
quels processus seront éligibles à la
dématérialisation, de les repenser et,
bien sur, d'apprécier les apports pour l'entreprise
en termes de finalités métiers:
1- meilleure réactivité;
2- productivité accrue;
3- acteur de différentiation;
seront autant de critères
qui permettent de définir le pourquoi.
Cette étape nécessite
l'examen approfondi des processus à dématérialiser.
Elle s'appuie sur les grands principes et règles
qui traduisent les exigences auxquelles l'entreprise
souhaite se conformer dans la réalisation de
son activité.
Le Comment est
la description des mécanismes techniques et organisationnels
qui permettront de satisfaire les exigences décrites
dans la partie précédente.
Il s'agit bien entendu
d'une démarche projet et nous conseillons de
partir d'un nombre limité de processus de l'entreprise,
puis d'étendre progressivement la dématérialisation
à la totalité des processus recensés.
Au fur et à mesure
de l'élargissement du champ des processus traités,
le nombre des acteurs et le nombre des services à
gérer augmenteront. La complexité de la
gestion et de l'administration va également augmenter
et nécessiter la mise en place d'une infrastructure
PKI.
La gestion des flux repose
en effet sur l'utilisation de certificats qui permettront
aux différents acteurs du périmètre
:
1- de s'authentifier;
2- de signer;
3- de chiffrer...
La PKI est l'infrastructure,
reposant sur des éléments physiques et
logiques dont l'objet est de gérer et administrer
les certificats remis aux différents acteurs
du périmètre de confiance.
Une PKI n'est pas indispensable
pour administrer les premiers certificats. Par exemple,
elle n'est pas forcement nécessaire pour organiser
le chiffrement de mails entre quelques dizaines d'individus
; elle ne l'est pas non plus pour mettre en place un
processus de dématérialisation fiscale
. Elle le devient dès lors que le nombre d'acteurs
et/ou que le nombre de processus dépasse un certain
seuil.
La mise en place d'une
PKI nécessite de:
- S'appuyer sur une politique
générale de sécurité;
- déterminer la nature et la classe des certificats
distribués ainsi que le type de support;
- définir la politique d'attribution des certificats;
- concevoir l'organisation et la logistique nécessaire
à leur délivrance et leur administration;
- définir de façon précise les
services de sécurité sollicités
par les applications;
- mettre aux normes des différentes applications
du SI qui supportent les processus dématérialisés;
- définir une architecture cible, en précisant
le rôle à jouer par chacun des acteurs
(Autorité de certification, Autorité d'enregistrement,
administrateur réseau, DRH…);
- mettre en place de moyens physiques et logiques nécessaires
pour une bonne gestion de l'infrastructure;
- concevoir une organisation cible.
La
démarche générale consiste en plusieurs
phases dont le contenu et les objectifs sont brièvement
décrits ci-dessous :
|
Phase
1 : Compréhension de l'entreprise et de ses finalités
Prise
de connaissance de l'environnement de l'entreprise
|
|
1-
L'organisation interne et ses objectifs
|
2-
Le contexte et l'environnement externe
|
3-
Description de son système d'information
|
|
a. Etude des finalités
poursuivies
b. Inventaire des fonctions assurées
|
a. Compréhension du réseau d'échange
b. Connaissance des types d'échanges
|
a. Architecture
physique et logique
b. Applicatifs qui supportent les workflows
à dématérialiser
c. Organisation du Service informatique
|
|
Objectifs
:
1) définir le périmètre des processus
à dématérialiser
2) connaître de façon précise
l'organisation (ou les organisations) concernée(s)
|
|
Phase
2 : Analyse des processus
Prise
de connaissance de l'environnement de l'entreprise
|
|
1-
Modélisation fonctionnelle des processus étudiés
|
2-
Recensement des acteurs intervenant dans chaque
processus
|
3-
Recensement des ressources nécessaires à chacune
des tâches du processus
|
4-
Typologie des acteurs et définition de leur niveau
d'habilitation conformément aux exigences de sécurité
|
5-
Définition des services de sécurité à mettre en
place en fonction de la nature des tâches.
|
|
Objectifs
:
1) définir les classes de certificats à mettre
à disposition de chacun des utilisateurs
2) définir la nature des certificats à distribuer
en fonction de leur utilisation (chiffrement,
signature, authentification
)
3) établir une politique de certification
|
|
Phase
3 : Conception générale de la PKI
|
-
Examiner les scénarios possibles : Internalisation,
externalisation, externalisation partielle
- Estimer les coûts et les ressources nécessaires
: en phase d'implémentation, en phase d'exploitation
- Décider du niveau d'intégration de la plate forme
dans l'environnement de confiance
- Configurer la plate forme d'administration de
l'entreprise
- Concevoir l'organisation à prévoir pour une bonne
gestion de la PKI :
>> Pour une administration efficiente des
certificats internes à l'entreprise
>> Dans sa relation avec d'autres PKI (interopérabilité)
>> Dans sa relation avec l'autorité de certification. |
|
Objectifs
: concevoir
1) Les processus d'attribution et d'administration
des certificats
2) L'organisation à mettre en place pour supporter
ces processus
|
|
Stéphane Molère 