En vedette - Sécuriser les procédures d'entreprise dans le cadre des services logiciels
L'évolution continue vers une activité en ligne nous oblige à accepter une multitude de nouveaux services et technologies pour entrer en contact avec nos relations, clients, collègues et fournisseurs, mais aussi avec n'importe quel pirate de la planète ! Le projet Master («Managing assurance, security and trust for services») financé par l'UE conçoit une plateforme informatique pour gérer en toute sécurité l'ensemble des processus métier dans différents contextes, afin que chacun puisse accéder en toute transparence à l'informatique en nuage comme aux services logiciels, sans se soucier de sa sécurité. C'est à ce niveau qu'interviennent la «gouvernance de la sécurité» et la «gestion de la conformité». Ces deux concepts se sont bien établis dans les entreprises de par le monde, afin de garantir que les services fonctionnent ensemble et dans le respect des règles et des meilleures pratiques de chaque organisation. Des services que l'on achetait auparavant par téléphone ou en personne sont désormais fournis de nouvelles façons. Aujourd'hui, on s'attend quasiment à recevoir des 'recommandations' après avoir fait un achat en ligne, ou à trouver le taxi le plus proche grâce à une application GPS sur notre téléphone portable. Ces arrangements spéciaux (parfois nommés mash-up) s'appuient sur des relations de «confiance» entre les revendeurs, les fournisseurs tiers et, surtout, les consommateurs qui paient pour ces services. Lorsque ces «relations de service» se sont multipliées et ont pris des formes plus complexes, les réglementations gouvernementales et les meilleurs pratiques sont venues mettre de l'ordre dans le chaos qui s'installait. Cependant, ceci a obligé les entreprises à allouer davantage de temps et de ressources pour s'assurer que leurs systèmes et services se conformaient à ses réglementations, surtout lorsque la sécurité et la confiance sont en jeu. «La gestion de la conformité aux réglementations est la clé de la sécurité des procédures d'entreprise, surtout lorsque l'on tient compte de la multitude de dépendances au sein des processus internes comme des fournisseurs externes», déclare Pedro Soria Rodriguez de la société Atos. Par exemple, les différents départements d'une entreprise peuvent être conduits à développer et déployer différemment des procédures d'entreprise afin de répondre aux besoins de leurs clients respectifs, ou encore ils peuvent intégrer dans leurs systèmes les travaux de plusieurs prestataires, mais dans tous les cas, il faut préserver la cohérence de l'ensemble du fonctionnement de l'entreprise. La sécurité et la souplesse sont essentielles dans le cadre d'une future activité en ligne. Par exemple, l'informatique en nuage (en simplifiant, c'est la location d’une place sur l'ordinateur d'un prestataire pour stocker et traiter les données) dépend de la fourniture de services capables de se conformer aux contraintes propres de chaque client. «En termes de sécurité, on n'accepte plus la notion de 'meilleurs efforts'; les entreprises doivent proposer des services certifiés à leurs clients et elles attendent la même démarche de leurs prestataires, afin de gérer les risques métier et technologiques associés», souligne M. Soria Rodriguez. Sa société a coordonné le projet Master, qui s'est attaqué à un aspect critique d'un environnement professionnel aujourd'hui très prudent: la gestion de la conformité dans le contexte de la sécurité. Face aux nombreux acteurs impliqués, il fallait appliquer une approche globale et modulaire. En outre, les nombreux éléments du système de Master devaient être faciles à assembler et à adapter aux besoins. Le projet Master s'est attaché à répondre à un besoin croissant rencontré par toutes les entreprises, depuis les plus grandes jusqu'aux PME, celui de respecter les diverses réglementations, règles internes, meilleures pratiques et obligations contractuelles. «La conformité est un gros problème car elle oblige à engager des actions coûteuses pour répondre à toutes les attentes, ou à prendre le risque de faire face à des amendes, une mauvaise publicité, des actions en justice, etc.», souligne M. Soria Rodriguez. Par conséquent, les chercheurs ont étudié comment sécuriser des procédures d'entreprise complètes, dans des contextes différents: centralisé, distribué (plusieurs domaines) et externalisé. Ils ont défini un ensemble d'indicateurs clé d'assurance et de sécurité, des modèles de protection et de réglementation, et des transformations de modèles de sécurité, et les ont associés avec des outils pour analyser et évaluer les procédures d'entreprise. L'équipe de ce projet sur trois ans a également défini des études de cas pour tester ses approches, l'une dans les banques et les assurances, l'autre dans la e-santé, domaines où l'Europe a déjà une solide expérience. Des systèmes de soins L'hôpital San Raffaele (HSR) en Italie, un membre du consortium de Master, a collaboré avec les autres partenaires pour s'assurer que l'ensemble d'outils puisse aider le personnel hospitalier à mieux gérer les soins externes. Ils ont mis au point un «système informatique personnalisé» qui coordonne les rendez-vous, facilite la surveillance et d'une manière générale 'élargit la portée' des soins traditionnels en intégrant dans le système tous les acteurs: les infirmières, les médecins, les pharmaciens et les patients, et même les familles. Les tests conduits à l'hôpital San Raffaele ont montré l'amélioration du suivi des cas médicaux, même par de nombreuses parties et depuis de nombreux emplacements. Le système a pu gérer les réglementations parfois complexes concernant la santé et les assurances, ainsi que les règles de l'hôpital en matière de soins, tout en préservant la sécurité des données sensibles et des informations médicales. «Master a été présenté en Italie à d'autres organismes de soins qui partagent certaines exigences réglementaires avec San Raffaele, aussi la solution rencontre un intérêt commun», conclut M. Soria Rodriguez. Le programme pilote conduit à San Raffaele a donc apporté une preuve de concept intéressante. Il a été suivi de près par d'autres tests dans des hôpitaux de Sassari et de Pérouse. Le projet Master financé par l'UE s'est achevé cette année, mais les recherches continuent. En tant que coordinateur, la société Atos est satisfaite des résultats et en intègre certains dans RIGER, sa propre plateforme de gestion de la conformité, qui est déjà utilisée par certains de ses clients en Espagne. Selon M. Soria Rodriguez, d'autres groupes du consortium agissent de même avec leurs produits. Le projet en collaboration Master a été financé par le septième programme-cadre (7e PC) de l'UE pour la recherche, en ligne avec l'objectif stratégique «Secure, dependable and trusted infrastructures» défini dans le programme de travail des TIC pour 2007-2008. Liens utiles: - Projet 'Managing assurance, security and trust for services' - Registre des données sur le projet Master sur CORDIS Articles connexes: - Les européens tentent d'améliorer l'efficacité des systèmes d'aviation - IPHOBAC s'attaque au monde des communications sans fil - Une recherche financée par l'UE soutient le secteur européen de la fabrication