Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’Assurance Retraite sécurise ses flux applicatifs avec Beeware

juin 2008 par Marc Jacob

Dans le cadre de la modernisation de son système d’information le régime général des retraites lance de multiples Web Services pour faciliter les échanges avec ses partenaires. Pour sécuriser ses flux en environnement HTTP et XML, le régime général de la retraite a implémenté les solutions intégrées de Bee Ware : v-Sentry et i-Sentry.

Si l’actualité institutionnelle de la CNAV est marquée par son changement de raison sociale (elle s’appelle désormais l’Assurance Retraite, Ndlr), ses métiers restent inchangés, à savoir la gestion du régime général de la retraite. Pour mener à bien ses missions, le premier régime s’occupant des retraités en France a mis en place un système d’information refondu dans les années 90 et enrichi au fil des ans. Il permet de faire face à de nouveaux défis :
• Arrivée massive à la retraite des générations du baby-boom qui entraîne la gestion de 900 000 demandes de retraite chaque année ;
• Suivi de carrières de plus en plus complexes et la nécessité de répondre aux attentes multiples du public.

Un contexte applicatif de haute disponibilité Organisé autour de cinq processus métier, l’outil informatique de l’Assurance Retraite s’articule autour de différentes couches applicatives (gestion des données sociales, de la retraite, de l’action sociale, des ressources humaines, logistique, comptabilité, etc.). Ces dernières années, plusieurs portails sont venus compléter cet existant : retraite.cnav.fr, partenairesactionsociale.fr, e-ventail.fr, etc. Pour garantir la haute disponibilité de ces outils critiques, l’entreprise a mis en place une politique sécuritaire organisée autour de deux volets : les applicatifs HTTP d’un côté, XML de l’autre. « Nous avons démarré, il y a huit ans en mettant en place des pare-feu applicatifs. Au terme d’une consultation publique, nous avions retenu la solution d’Axilliance éditeur entré dans le giron de Bee-Ware depuis quelques années. Celle-ci permet de mettre en place une architecture de sécurité active des services en ligne », explique Noël Breton, responsable de la production Web et réseau.

La première application concernée était un Intranet. Il s’agissait de la Base nationale de législation. Véritable outil quotidien du liquidateur, il permet de rechercher des documents via un moteur intégré. La volonté de la publier dans un environnement Internet a nécessité la mise en place de mécanismes de Reverse Proxy permettant de garantir la haute disponibilité des données. « La puissance de la solution i-Sentry a été parfaitement exploitée ici en partenariat avec l’éditeur qui s’était montré très réactif tout au long de notre projet », explique Noël Breton. Déployée dans le cadre d’un projet ayant duré six mois, cette première expérience de sécurisation s’est soldée par un succès.

Dès lors, la CNAV avait décidé d’accélérer le mouvement de sécurisation de ses outils. « Nous avions pris pour parti de mettre toutes nos applications Web sous le contrôle d’un Reverse Proxy. Ce qui était original à l’époque. L’ensemble des sites web régionaux de la CNAV étant hébergé sur notre centre informatique de Tours, nous leur avons appliqué immédiatement cette stratégie sécuritaire », explique le responsable de la production Web et réseau. Chemin faisant, d’autres outils ont été concernés. Ainsi, le portail institutionnel cnav.fr a également été verrouillé par l’outil i-Sentry. Tout comme l’ensemble des solutions X-Net déployées au fil de l’eau. Le système retraite.cnav.fr en environnement HTTP a ainsi été verrouillé. Il contient 2 600 000 inscrits.

Entièrement destiné aux assurés, il leur permet de visualiser leur relevé individuel de carrière, d’estimer leur montant de retraite du régime général et de suivre l’état d’avancement de leur demande de retraite. La plateforme E-ventail destinée aux déclarations d’entreprises a connu également le même sort. Très sollicitée durant le premier trimestre par les sociétés qui déclarent les données sociales des cotisants, ce site doit fonctionner sans interruption. Traitement identique pour l’Extranet ouvert à de nombreux partenaires de la protection sociale. Les 50 000 agents de ces institutions inscrits au portail interrogent régulièrement le système d’information de l’Assurance Retraite dans un environnement qui doit être sécurisé de bout en bout. Parallèlement à ce verrouillage, la CNAV a suivi l’évolution technologique des solutions de Bee-Ware « devenues de véritables boîtes noires immédiatement prêtes à l’emploi », glisse M. Breton.

Les applications XML concernées à leur tour

A la tête d’un patrimoine applicatif imposant et hébergé dans un environnement MVS/DB2 en site central et Oracle Application Server en Front Office, l’Assurance Retraite doit échanger de plus en plus avec ses partenaires, Or cette architecture est loin d’être ouverte. Pour répondre à ses besoins de communiquer avec l’extérieur, elle a fait le choix des Web Services développés en environnement XML. La problématique de la sécurisation des transactions était donc posée. Fallait-il recourir à un produit du marché ou à une solution interne ? Après consultation le choix s’est porté sur l’acquisition de la solution v-Sentry de Bee Ware. Disponible sous forme d’Appliances sécurisées, elle est constituée d’une plate-forme d’optimisation et d’accélération du trafic, et supporte les deux modules, Web et XML, permettant de contrôler et de filtrer toute application Web quelle que soit sa technologie.

L’éditeur a ainsi participé à la sécurisation de l’ensemble des Web Services développés en interne. Cinq au total. Hébergeant le portail du GIP Services, l’Assurance Retraite entend ouvrir ce dernier via l’un de ces Web Services, à ses partenaires qui pourront l’interroger dans un environnement sécurisé. L’accès au service d’identification des assurés sera également effectué via l’un de ces Web Services.

Avant de se lancer dans la sécurisation de ces composants, le régime général de retraite français avait organisé la réalisation d’une maquette. Tout comme en environnement HTTP, les outils de Bee Ware fonctionnent ici dans une logique de boîte noire. De ce point de vue, il n’est pas nécessaire de configurer régulièrement les pare-feu. Cela dit, l’administrateur dispose d’une interface homme/machine lui permettant de les administrer. A partir de cette IHM de nouveaux applicatifs peuvent être déclarés.

Si intégrer des outils de sécurisation des flux constitue une étape importante en matière de verrouillage des flux, confirmer régulièrement leur bon fonctionnement est nécessaire. « Nous sommes en permanence sujets à des attaques variées, y compris applicatives. Il fallait mettre en place des solutions de sécurité sans faille basée sur les outils de Reverse Proxy. En complément de ces solutions, nous devons régulièrement vérifier leur aptitude à faire face aux assauts répétés des malveillants », explique Noël Breton.

Ayant prouvé ses capacités techniques v-Sentry sera exploité dans le cadre de la démarche de création d’un standard interopérabilité (INTEROPS) initiée par la Direction de la Sécurité Sociale (DSS) en collaboration avec la Direction Générale de la Modernisation de l’Etat (DGME), et avec la participation de différents organismes sociaux : Outre l’Assurance Retraite, la MSA, le RSI, la CNAF, la CNAMTS, etc. Dans l’expérimentation qui a permis de valider le standard, la CNAV a joué le rôle de fournisseur de services. Y participent également la direction de la Sécurité sociale (DSS) et la direction générale de la modernisation de l’Etat (DGME). A travers un tel projet, les organismes impliqués entendent sécuriser les échanges entre eux sur la base d’un standard de propagation des droits d’accès et des habilitations. Les normes techniques retenues sont HTTPS avec TLS, SOAP et WS-Security, SAML 2.0. Ce dernier étant le protocole permettant de véhiculer et d’échanger de façon sécurisée des informations liées à l’identification et l’authentification. Une expérimentation avait d’ores et déjà été conduite en 2006. Le champ applicatif concerné était le Web Services Identification. L’année 2008 sera celle de la finalisation de ces tests conduits tout au long de l’année 2007 (cf. LAI, Février 08).

Organisme gérant des applications critiques en environnement X-net et XML, l’Assurance Retraite a su mettre en place une solution intégrée de gestion des transactions. Mieux, elle est motrice dans le projet de mise en place du standard INTEROPS qui, à terme, permettra à différents organismes de la sphère sociale d’échanger en toute sécurité et à des coûts de gestion optimisés.




Voir les articles précédents

    

Voir les articles suivants