Signature électronique, Authentification, dans la jungle de la confiance numérique, il n’est pas toujours facile de s’y retrouver dans un contexte de réelle transformation digitale.
Des organisations locales ont largement investi dans ce domaine ces dernières années, mais il leur est encore difficile d’identifier toutes les pistes d’utilisation de ces services.
Des organisations locales ont largement investi dans ce domaine ces dernières années, mais il leur est encore difficile d’identifier toutes les pistes d’utilisation de ces services.
Au cœur de la confiance numérique
Au centre de la confiance numérique repose le fameux "Certificat". Cette carte d'identité numérique, délivrée par les infrastructures de gestions de clés (IGC) ou encore Public Key Infrastructure (PKI), permet de garantir qu'une personne, un équipement ou un service est bien celui qu'il prétend être dans le monde numérique.
Une variété de services est en effet proposée en Afrique par les géants étrangers, mais également par des PSCE locaux.
Ces derniers garantissent ainsi les identités numériques délivrées sous forme de certificats électroniques et mettent également à disposition des moyens pour vérifier la validité de ces certificats qui sécurisent les documents et échanges numériques.
Ces derniers garantissent ainsi les identités numériques délivrées sous forme de certificats électroniques et mettent également à disposition des moyens pour vérifier la validité de ces certificats qui sécurisent les documents et échanges numériques.
3 volets pour structurer l'offre de services
Pour tirer le meilleur parti des investissements réalisés, nos retours d’expérience montrent que l’entreprise doit s’attacher à construire son catalogue de service de confiance numérique en trois volets :
Premier volet :
La fourniture simple de certificats. Les utilisateurs finaux pourront alors utiliser ces certificats dans leurs propres systèmes ou pour leurs projets techniques. C’est par exemple le cas de projets d’applications web métiers, d’authentification réseaux, etc.
La fourniture simple de certificats. Les utilisateurs finaux pourront alors utiliser ces certificats dans leurs propres systèmes ou pour leurs projets techniques. C’est par exemple le cas de projets d’applications web métiers, d’authentification réseaux, etc.
Deuxième volet :
La fourniture de services de confiance destinés à l'utilisateur et intégrant des certificats. Il s'agit par exemple de projets de chiffrement de messagerie ou de poste de travail. Le certificat est alors intégré de manière transparente dans les services fournis.
La fourniture de services de confiance destinés à l'utilisateur et intégrant des certificats. Il s'agit par exemple de projets de chiffrement de messagerie ou de poste de travail. Le certificat est alors intégré de manière transparente dans les services fournis.
La fourniture de services "métiers" intégrant la confiance numérique. La dématérialisation des processus (ex: bulletin de paie, facturation, etc.), les coffres forts électroniques ou le stockage à valeur probante sont des exemples parlants.
3 éléments clés de la construction
Au-delà de cette catégorisation, quels sont les éléments clés de la constitution de ces services ?
De 1 : identifier les "gagnants"
Le premier défi rencontré est celui de l'identification initiale et de l'extension du périmètre des services. L'implication des acteurs de la Cyber-sécurité permet de recenser les besoins et préciser les volumétries, selon différentes typologies d'utilisateurs. L'identification de gagnants permet de cibler les premiers investissements à travers la valeur ajoutée des services qu'ils offriront.
A cet égard, on peut envisager de ne retenir d'abord qu'un nombre limité de fonctionnalités de sécurité, au profit de fonctionnalités dites "de confort". On pourra ainsi, dans un premier temps, coupler accès distant au SI et messagerie sécurisée (signature et chiffrement des emails) et dans un second temps, une fois les identités numériques largement déployées, s'atteler à la greffe de services de sécurité éventuellement plus poussés : signature de documents, signature de code, chiffrement de données.
De 2 : privilégier l'ergonomie et la facilité d'usage
En outre, l'ergonomie des outils doit rester au cœur des préoccupations : simplicité d'emploi, transparence de l'intégration au poste de travail, mais également gestion des accès de secours. Car si l'implémentation de ces derniers constitue souvent une atteinte au niveau de sécurité des outils, force est d'avouer qu'une offre rendant l'oubli du support cryptographique (token, smartcard) bloquant pour l'utilisateur, compromettra l'acceptabilité de la solution toute entière, notamment auprès des utilisateurs les plus exigeants lesquels sont aussi souvent les plus influents.
C'est pourquoi une étude précise des besoins des métiers permet d'identifier le meilleur compromis entre niveau de sécurité et types d'accès de secours exigés par les utilisateurs.
Notons également l'importance du dispositif utilisé, clé du succès de l'offre : un projet de sécurisation de la messagerie, de mise en place d'IPSec/VPN, de signature de documents en ligne, de dématérialisation des contrats et des factures ou encore de paiement en ligne comprend de vraies complexités organisationnelles mais apporte une valeur ajoutée considérable.
De 3 : le RSSI, un bon sponsor
De 3 : le RSSI, un bon sponsor
Notons qu'il doit, autant que possible, servir d'appui moteur au déploiement des services, que ce soit de façon directe, par exemple par le biais d’une participation au financement du projet abaissant ainsi le coût utilisateur, ou de façon indirecte, via la promulgation de règles de sécurité imposant in fine l’utilisation des services de confiance.
Ce sponsoring est d'autant plus crucial que la plupart du temps, l'appétence des utilisateurs finaux pour les services de confiance numérique est relativement modeste et ne suffit pas à donner un élan au projet.
La Confiance numérique a de l'avenir !
Nous avons montré plus haut que, si la confiance est d’ores et déjà au cœur de beaucoup de services proposés par les DSI, cela n'occulte en rien le fait que cette notion dépasse largement l'IT.
Les technologies changent mais les principes et processus perdurent, aussi le périmètre des services de confiance s'étend-il inéluctablement aux usages métiers les plus divers, à travers la dématérialisation notamment. Le chemin est, nous l’avons vu, semé d’embûches, mais pour l'offreur avisé, c'est donc un succès assuré.
CAKM
Aucun commentaire:
Enregistrer un commentaire
Pour vos avis, suggestions ou demandes de services, merci de laisser un commentaire.