Inscrivez-vous gratuitement à la Newsletter BFM Business
Le portail Net-entreprises.fr authentifie les entreprises via le ' reverse proxy ' rWeb de Deny All, couplé à un serveur de jetons.
Plus de 4 millions de déclarations sociales ont été effectuées en 2006 sur le site
Net-entreprises.fr, mis en ?"uvre et piloté par le Groupement d'intérêt public - Modernisation des déclarations sociales (GIP-MDS). A ce jour, près d'un quart des entreprises françaises
sont inscrites sur ce portail, qui les autorise à opérer leurs déclarations sociales en ligne. ' Le créneau essentiel d'une telle relation, c'est la confiance ', rappelle Alain Roux, responsable de la
sécurité des systèmes d'information du GIP-MDS.
Une authentification unique
Filtrage applicatif des flux internet, authentification unique des utilisateurs, et gestion des différentes instances (privées et publiques) constituaient les besoins essentiels du groupement. Ce qui l'a conduit à opter pour rWeb de
Deny All, un pare-feu applicatif qui s'appuie sur une technologie de reverse proxy. Depuis l'ouverture du service en 2003, rWeb est le point d'entrée des utilisateurs du portail
Net-entreprises.fr. Avantage : ces derniers accèdent à des services distincts sans devoir s'authentifier à chaque fois.Le GIP-MDS dresse un bilan positif de l'exploitation du logiciel. Des négociations ont cependant du être menées avec l'éditeur Deny All. Alain Roux s'en explique : ' Nous avions besoin d'une interface
spécifique avec une solution interne. Comme ce n'était pas le métier de Deny All, il a fallu le convaincre d'accepter la gestion de cette spécificité. ' En l'occurrence, ce développement a consisté en un module
d'authentification ' cross domaine ', baptisé Jeton V3. Son rôle : interfacer le reverse proxy avec le serveur de jetons. Ce module a été réalisé par Deny All.
Un filtrage par liste noire
Désormais, l'utilisateur s'authentifie. Ses autorisations sont contrôlées via un annuaire LDAP, puis un échange a lieu avec le serveur de jetons, et un cookie est envoyé au navigateur de l'utilisateur. Peu à peu, la solution a évolué
pour devenir compatible SAML 2.0 (Security Assertion Markup Language).En complément, rWeb protège l'accès aux serveurs web du GIP-MDS. Un filtrage par liste noire a été préféré à celui par liste blanche, jugé plus complexe à mettre en ?"uvre et à maintenir. ' Avec la liste
blanche, le risque d'omettre et donc de bloquer une URL légitime est plus grand. D'où un risque de déni de service ', explique Alain Roux. Toutes les applications ne sont pas protégées derrière le reverse proxy, certaines
étant jugées suffisamment sécurisées par elles-mêmes. En outre, le GIP-MDS procède régulièrement à des tests d'intrusion en utilisant la solution de Qualys ou en recourant au cabinet indépendant HSC (Hervé Schauer Consultants).redaction@01informatique.presse.fr
Votre opinion