Par JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0306/030619_tribune.shtml
Lancer l'impression
La dématérialisation des échanges
inter- et intra- entreprise permet de gagner un temps précieux
dans le traitement de l'information et de réaliser d'importantes
économies.
Initialement cantonnée à un nombre restreint de services
(EDI, e-mail, déclaration de TVA en ligne, authentification distante
des acteurs de l'entreprise
), la dématérialisation
des flux prend une place croissante dans la vie de l'entreprise.
La gestion de tous les acteurs impliqués dans ces workflows
devient complexe, en particulier pour tout ce qui concerne la politique
d'attribution de certificats et la gestion des habilitations. Elle nécessite
la mise en place d'une infrastructure à clé publique ou
"PKI".
Si le thème de la dématérialisation devient de plus
en plus actuel, c'est que nous arrivons à un point de convergence
propre a favoriser l'émergence d'un "marché de la confiance"
:
1- les dispositions légales
et réglementaires sont suffisamment claires dans de nombreux domaines
pour que nous puissions mettre en place des services de dématérialisation;
2- les technologies ont atteint un
niveau d'ergonomie et de fiabilité suffisant pour être déployées
en masse;
3- les méthodologies d'approche
de ce type de problématique nous apparaissent maintenant clairement.
Cette maturité s'inscrit dans un contexte
où la volonté d'améliorer les coûts de traitement
de certains processus, ou d'accélérer certains traitements
se manifeste nettement dans les entreprises.
La problématique
réside dans les questions suivantes :
Quoi ? Pourquoi ? Comment ?
Quoi
& Pourquoi : Faire l'étude des processus à dématérialiser
au sein d'une entreprise nécessite d'avoir une parfaite connaissance
de la nature des flux et donc de l'organisation de l'entreprise et de
ses métiers.
Il convient de déterminer quels processus
seront éligibles à la dématérialisation, de
les repenser et, bien sur, d'apprécier les apports pour l'entreprise
en termes de finalités métiers:
1- meilleure réactivité;
2- productivité accrue;
3- acteur de différentiation;
seront autant de critères qui permettent
de définir le pourquoi.
Cette étape nécessite l'examen
approfondi des processus à dématérialiser. Elle s'appuie
sur les grands principes et règles qui traduisent les exigences
auxquelles l'entreprise souhaite se conformer dans la réalisation
de son activité.
Le Comment est la description des
mécanismes techniques et organisationnels qui permettront de satisfaire
les exigences décrites dans la partie précédente.
Il s'agit bien entendu d'une démarche
projet et nous conseillons de partir d'un nombre limité de processus
de l'entreprise, puis d'étendre progressivement la dématérialisation
à la totalité des processus recensés.
Au fur et à mesure de l'élargissement
du champ des processus traités, le nombre des acteurs et le nombre
des services à gérer augmenteront. La complexité
de la gestion et de l'administration va également augmenter et
nécessiter la mise en place d'une infrastructure PKI.
La gestion des flux repose en effet sur l'utilisation
de certificats qui permettront aux différents acteurs du périmètre
:
1- de s'authentifier;
2- de signer;
3- de chiffrer...
La PKI est l'infrastructure, reposant sur
des éléments physiques et logiques dont l'objet est de gérer
et administrer les certificats remis aux différents acteurs du
périmètre de confiance.
Une PKI n'est pas indispensable pour administrer
les premiers certificats. Par exemple, elle n'est pas forcement nécessaire
pour organiser le chiffrement de mails entre quelques dizaines d'individus
; elle ne l'est pas non plus pour mettre en place un processus de dématérialisation
fiscale . Elle le devient dès lors que le nombre d'acteurs et/ou
que le nombre de processus dépasse un certain seuil.
La mise en place d'une PKI nécessite
de:
- S'appuyer sur une politique générale
de sécurité;
- déterminer la nature et la classe des certificats distribués ainsi que
le type de support;
- définir la politique d'attribution des certificats;
- concevoir l'organisation et la logistique nécessaire à leur délivrance
et leur administration;
- définir de façon précise les services de sécurité
sollicités par les applications;
- mettre aux normes des différentes applications du SI qui supportent
les processus dématérialisés;
- définir une architecture cible, en précisant le rôle
à jouer par chacun des acteurs (Autorité de certification,
Autorité d'enregistrement, administrateur réseau, DRH
);
- mettre en place de moyens physiques et logiques nécessaires pour
une bonne gestion de l'infrastructure;
- concevoir une organisation cible.
La démarche générale
consiste en plusieurs phases dont le contenu et les objectifs sont brièvement
décrits ci-dessous :
Phase
1 : Compréhension de l'entreprise et de ses finalités
Prise
de connaissance de l'environnement de l'entreprise
|
1- L'organisation
interne et ses objectifs
|
2- Le contexte et
l'environnement externe
|
3- Description de
son système d'information
|
a. Etude des finalités poursuivies
b. Inventaire des fonctions assurées
|
a. Compréhension
du réseau d'échange
b. Connaissance des types d'échanges
|
a. Architecture physique et logique
b. Applicatifs qui supportent les workflows à dématérialiser
c. Organisation du Service informatique
|
Objectifs
:
1) définir le périmètre des processus à dématérialiser
2) connaître de façon précise l'organisation
(ou les organisations) concernée(s)
|
Phase
2 : Analyse des processus
Prise
de connaissance de l'environnement de l'entreprise
|
1-
Modélisation fonctionnelle des processus étudiés
|
2-
Recensement des acteurs intervenant dans chaque processus
|
3-
Recensement des ressources nécessaires à chacune des tâches du processus
|
4-
Typologie des acteurs et définition de leur niveau d'habilitation
conformément aux exigences de sécurité
|
5-
Définition des services de sécurité à mettre en place en fonction
de la nature des tâches.
|
Objectifs
:
1) définir les classes de certificats à mettre à disposition
de chacun des utilisateurs
2) définir la nature des certificats à distribuer en fonction de
leur utilisation (chiffrement, signature, authentification
)
3) établir une politique de certification
|
Phase
3 : Conception générale de la PKI
|
-
Examiner les scénarios possibles : Internalisation, externalisation,
externalisation partielle
- Estimer les coûts et les ressources nécessaires : en phase d'implémentation,
en phase d'exploitation
- Décider du niveau d'intégration de la plate forme dans l'environnement
de confiance
- Configurer la plate forme d'administration de l'entreprise
- Concevoir l'organisation à prévoir pour une bonne gestion de la
PKI :
>> Pour une administration efficiente des certificats internes
à l'entreprise
>> Dans sa relation avec d'autres PKI (interopérabilité)
>> Dans sa relation avec l'autorité de certification. |
Objectifs
: concevoir
1) Les processus d'attribution et d'administration des certificats
2) L'organisation à mettre en place pour supporter ces processus
|
Tribune publiée par Rédaction le 19/06/2003