Études de cas sur la sécurité : société B
La société B est un éditeur de logiciels. Son modèle d'entreprise s'appuie sur des transactions électroniques entre des clients et des fournisseurs importants. L’entreprise B utilise une implémentation BizTalk Server pour ses transactions.
L’entreprise B utilise BizTalk Server pour gérer les transactions et les communications entre les applications internes et externes. Elle communique avec environ 85 applications internes et 2300 partenaires commerciaux. Elle traite actuellement aux alentours de 2,5 millions de documents par mois et prévoit que ce chiffre atteindra 6 millions à la fin de l'année 2007.
Menaces potentielles et problèmes de sécurité
La société B veut avoir l'assurance qu'elle reçoit et traite uniquement des messages provenant de sources authentifiées. Elle souhaite également s'assurer qu'elle puisse recevoir et récupérer des documents en toute sécurité en dehors de son réseau d'entreprise. Le pare-feu qui sépare le réseau d’entreprise de l’entreprise B d’Internet autorise uniquement le trafic à partir du port 80 et du port 443. Le pare-feu rejette tout autre trafic.
Architecture de la sécurité
L'architecture utilisée par la société B est représentée dans la figure suivante. Cette société utilise BizTalk Server comme un courtier de messages pour communiquer entre les applications internes mais également pour traiter, recevoir et envoyer des messages au format approprié en provenance ou à destination de ses fournisseurs et clients. Elle doit traiter des documents internes et externes dans plusieurs formats, y compris les fichiers plats et des documents XML.
Figure 1 : architecture de sécurité de la société B
Un pare-feu unique sépare d'Internet les ordinateurs d'entreprise de la société B. Cette société implémente une couche de sécurité supplémentaire en intégrant le protocole IPSec (Internet Protocol Security) aux communications entre l'intégralité de ses serveurs d'entreprise et les stations de travail résidant à l'intérieur du réseau d'entreprise. Le protocole IPSec permet de chiffrer toutes les communications au sein du domaine interne.
La société B utilise un serveur de partage de fichiers pour recevoir des fichiers plats. Celui-ci réside en dehors de son domaine et de son réseau d'entreprise. Un pare-feu sépare ce serveur du réseau d'entreprise. Les partenaires externes de la société B envoient leurs documents de fichier plat sur ce serveur de partage de fichiers par l'intermédiaire d'un pipeline PPTP (Point-to-Point Tunneling Protocol) chiffré. La société B protège l'accès à ce serveur au moyen de mots de passe partenaires qui expirent tous les 30 jours.
La société B a créé une application de déplacement de fichiers personnalisée qui récupère les documents de fichier plat sur le serveur de partage de fichiers et les envoie à BizTalk Server pour des traitements supplémentaires. Les applications internes de la société B utilisent également l'application de déplacement de fichiers personnalisée pour transmettre les fichiers plats à BizTalk Server. BizTalk Server transforme ensuite ces documents, puis il les envoie aux partenaires commerciaux de la société B.
Avant que BizTalk Server transforme les données des partenaires aux formats pris en charge par les applications internes, il vérifie puis valide la présence d'une entrée correspondant à l'expéditeur, au récepteur et au type de document. Si BizTalk Server reçoit un message dans lequel il n'existe aucune entrée pour l'expéditeur, le récepteur ou le type de document, il rejette le message. L'équipe des opérations au sein de la société B est alors chargée d'examiner le message. Les applications internes envoient des messages dans divers formats dont EDIFACT, fichier plat, XML et ANSI X12.
La société B reçoit également des documents via HTTPS en provenance de sources internes et externes. Les partenaires externes envoient leurs documents vers un serveur Web situé en dehors du réseau d'entreprise. Un pare-feu sépare ce serveur Web du réseau d'entreprise. L'application de déplacement de fichiers personnalisée récupère aussi les documents envoyés via HTTPS. La société B fait appel à un produit tiers pour chiffrer et signer les messages envoyés à ses partenaires commerciaux. Elle implémente un niveau de sécurité supplémentaire en réalisant un audit de nuit sur tous les serveurs afin de vérifier que les paramètres de sécurité sont corrects. Toutes les exceptions sont consignées à des fins d'analyse.
Voir aussi
Études de cas de sécurité pour les petites entreprises & Medium-Sized
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour