4 millions de télédéclarations sociales parfaitement sécurisées

14/09/2007 à 00h00

Le portail Net-entreprises.fr authentifie les entreprises via le ' reverse proxy ' rWeb de Deny All, couplé à un serveur de jetons.

Plus de 4 millions de déclarations sociales ont été effectuées en 2006 sur le site Net-entreprises.fr, mis en ?"uvre et piloté par le Groupement d'intérêt public - Modernisation des déclarations sociales (GIP-MDS). A ce jour, près d'un quart des entreprises françaises sont inscrites sur ce portail, qui les autorise à opérer leurs déclarations sociales en ligne. ' Le créneau essentiel d'une telle relation, c'est la confiance ', rappelle Alain Roux, responsable de la sécurité des systèmes d'information du GIP-MDS.

Une authentification unique

Filtrage applicatif des flux internet, authentification unique des utilisateurs, et gestion des différentes instances (privées et publiques) constituaient les besoins essentiels du groupement. Ce qui l'a conduit à opter pour rWeb de Deny All, un pare-feu applicatif qui s'appuie sur une technologie de reverse proxy. Depuis l'ouverture du service en 2003, rWeb est le point d'entrée des utilisateurs du portail Net-entreprises.fr. Avantage : ces derniers accèdent à des services distincts sans devoir s'authentifier à chaque fois.Le GIP-MDS dresse un bilan positif de l'exploitation du logiciel. Des négociations ont cependant du être menées avec l'éditeur Deny All. Alain Roux s'en explique : ' Nous avions besoin d'une interface spécifique avec une solution interne. Comme ce n'était pas le métier de Deny All, il a fallu le convaincre d'accepter la gestion de cette spécificité. ' En l'occurrence, ce développement a consisté en un module d'authentification ' cross domaine ', baptisé Jeton V3. Son rôle : interfacer le reverse proxy avec le serveur de jetons. Ce module a été réalisé par Deny All.

Un filtrage par liste noire

Désormais, l'utilisateur s'authentifie. Ses autorisations sont contrôlées via un annuaire LDAP, puis un échange a lieu avec le serveur de jetons, et un cookie est envoyé au navigateur de l'utilisateur. Peu à peu, la solution a évolué pour devenir compatible SAML 2.0 (Security Assertion Markup Language).En complément, rWeb protège l'accès aux serveurs web du GIP-MDS. Un filtrage par liste noire a été préféré à celui par liste blanche, jugé plus complexe à mettre en ?"uvre et à maintenir. ' Avec la liste blanche, le risque d'omettre et donc de bloquer une URL légitime est plus grand. D'où un risque de déni de service ', explique Alain Roux. Toutes les applications ne sont pas protégées derrière le reverse proxy, certaines étant jugées suffisamment sécurisées par elles-mêmes. En outre, le GIP-MDS procède régulièrement à des tests d'intrusion en utilisant la solution de Qualys ou en recourant au cabinet indépendant HSC (Hervé Schauer Consultants).redaction@01informatique.presse.fr

Le cas étudié : GIP-MDS (Groupement d'intérêt public - modernisation des déclarations sociales)

Activité : gestion du portail Net-entreprises.fr (déclarations sociales réglementaires et contractuelles).
Siège : Paris.
Effectif : 50 salariés.
Budget de fonctionnement : plus de 20 M d'euros.
Entreprises inscrites : 881 628 (au 10 mai 2007).
Nombre de déclarations remplies : plus de 4 millions en 2006 (et déjà plus de 3 millions au 30 avril 2007).

Sécuriser les télé-déclarations sociales dématérialisées, authentifier les utilisateurs, filtrer des flux applicatifs, et protéger les serveurs web.

rWeb de Deny All, pare-feu applicatif basé sur une technologie de reverse proxy, interfacé avec le serveur de jetons du GIP-MDS.
Coût : environ 60 000 euros.

Convaincre léditeur de réaliser une interface spécifique avec le serveur de jetons en place.

Christophe Dupont-Elise

Votre opinion