Études de cas sur la sécurité : société A
La société A est un fournisseur important de matériel et services destinés au secteur industriel. Son modèle d'entreprise s'appuie sur des transactions électroniques entre des clients et des fournisseurs importants. La société A utilise une application Microsoft BizTalk pour gérer les transactions et la communication entre les environnements interne et externe.
Menaces potentielles et problèmes de sécurité
La société A veut avoir l'assurance qu'elle traite uniquement des messages provenant de sources authentifiées. Certains documents traités par BizTalk Server peuvent contenir des informations sensibles, telles que des données personnelles et financières. La société A vérifie les messages entrants à l'aide d'API de chiffrement personnalisées. Elle a également développé son architecture physique pour gérer ses besoins en matière de sécurité.
La société A utilise le protocole FTP (File Transfer Protocol) pour une partie du trafic de ses messages. Bien que le protocole FTP ne soit pas sécurisé, la société A accepte les risques associés à son utilisation car elle dispose de plusieurs pare-feu pour sécuriser ses applications connectées à l'extérieur. Comme la société A reçoit certaines données entrantes via HTTPS, elle est potentiellement exposée aux attaques par déni de service provenant de sources externes. Si ce type d'attaque se produit, la société a mis en place des mécanismes capables d'alerter les responsables concernés immédiatement.
Architecture de la sécurité
L'architecture de sécurité utilisée par la société A est représentée dans la figure suivante. Notez qu'elle a segmenté son environnement à l'aide de pare-feu pour protéger son application frontale, ses serveurs de contenu, sa base de données principale, ses serveurs de logique d'entreprise et son infrastructure de messages sortants.
Figure 1 Architecture de sécurité de la société A
La société A a défini deux méthodes principales pour l'envoi et la réception d'informations via BizTalk Server. La première méthode utilise le protocole FTP. La société A prend en charge les transactions EDI à l'aide d'un fournisseur de service de conversion tiers pour communiquer avec ses fournisseurs et partenaires. Ce fournisseur de service de conversion tiers gère les commandes entrantes et sortantes que BizTalk Server doit traiter au format EDI.
La seconde méthode utilisée par la société A utilise le protocole HTTPS. La société A fait également appel à un fournisseur de service tiers qui lui sert de hub pour ses activités et simplifie l'achat et la vente des produits qu'elle vend et utilise.
Certificats numériques sécurisés
La société A implémente ses propres certificats numériques sécurisés. Elle gère un nombre restreint de certificats. Comme elle fait appel à un fournisseur de service tiers, le problème des certificats numériques la concerne moins. La société A a conscience que les certificats numériques constituent un aspect plus important pour le fournisseur de service, car celui-ci interagit avec plusieurs organismes.
Voir aussi
Études de cas de sécurité pour les petites entreprises & Medium-Sized
Exemples de scénarios pour l’analyse du modèle des menaces
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour