[PDF] Génération automatique de services Web sécurisés pour léchange

View - Download Génération automatique de services Web sécurisés pour léchange

Previous PDF

Next PDF

Bonnes pratiques en sécurité sociale

Publié en 2017 www.issa.int

Bonne pratique implémentée depuis: 2017

Génération automatique de services Web sécurisés pour

O·pŃOMQJH GH GRQQpHV

Une pratique de la Caisse nationale de sécurité sociale

Caisse nationale de sécurité sociale

Tunisie

2

Résumé

Les services de la Caisse nationale de sécurité sociale (CNSS) interagissent entre eux et avec

dautres institutions, des cotisants et des assurés. Ils entreprennent des échanges de données,

fournies ou consommées par le système dinformation de la CNSS. Ces échanges posent des

problèmes de standardisation et de sécurité. Dans ce contexte, la CNSS a réalisé un outil

informatique permettant de générer, automatiquement et à la demande, des services web

génériques, standards et sécurisés, implémentant ses différents rôles dans ces échanges.

Un Service Web générique, paramétré par une requête SQL et le choix dune politique de

sécurité, a été initialement développé. Il est utilisé par loutil pour instancier, en quelques

clics, un nouveau service pour une fonctionnalité métier donnée.

Problème ou défi

Quel problème ou défi votre bonne pratique devait-elle permettre de résoudre ou de relever? Veuillez fournir une brève description.

La CNSS entreprend différents échanges de données, en interne entre ses différents services

mais aussi en externe avec ses partenaires: les autres caisses sociales, les entreprises

cotisantes et les assurés sociaux. Ces échanges sont effectués à travers différents médias:

points daccès (ad hoc), emails, supports magnétiques, optiques ou papier envoyés par porteur

ou via courrier recommandé. Le système dinformation de la CNSS joue dans ses échanges, alternativement, le rôle de fournisseur ou de consommateur des données échangées. Lutilisation des médias décrits ci-dessus, pose des problèmes de standardisation. En effet, quel que soit le média utilisé, la CNSS doit convenir à lavance, éventuellement avec un

partenaire externe, du format de léchange: la structure (syntaxe) des données échangées et

leur signification (sémantique). Cette tâche peut être très complexe et donner lieu à léchange

dune documentation conséquente. Dun autre côté, la plupart des médias utilisés soulèvent

des interrogations sur la sécurité: Comment identifier avec certitude lorigine de léchange

(authentification)? Comment prouver, à postériori, quun échange a bel et bien eu lieu

(traçabilité)? Comment sassurer que les données échangées nont pas été altérées durant

léchange (intégrité)? Comment sassurer que seul le destinataire de léchange soit habilité à

en lire le contenu (confidentialité)?

Relever le défi

Quels étaient les principaux objectifs du projet ou de la stratégie mis en et décrire brièvement les principaux éléments de ce projet ou de cette stratégie en mettant plus particulièrement laccent sur ses aspects innovants et ses effets attendus ou visés.

Pour implémenter le rôle de la CNSS, dans des échanges de données entre ses propres

services ou avec des partenaires externes, les objectifs principaux suivants ont été fixés: Disposer dun cadre standard, indépendant des technologies et/ou des plateformes, pour les échanges de données, quils soient menés en interne (entre les différents 3 services de la CNSS) ou en externe (avec ses partenaires). Cet objectif est motivé par le besoin de supporter des échanges avec des systèmes dinformation hétérogènes que ce soit avec les partenaires externes de la CNSS ou au sein du système dinformation de la CNSS lui-même afin de permettre linteropérabilité des nouvelles applications avec les anciennes.

Garantir des propriétés telles que lauthentification, lintégrité, la confidentialité et

la traçabilité des échanges. Ces besoins en termes de sécurité, sont importants que les

échanges soient endogènes ou exogènes, car ils permettent de responsabiliser les différentes parties prenantes et dinstaurer un climat de confiance parmi elles. Simplifier et réduire les coûts de létude et de la réalisation des outils permettant les échanges de données. Ceci permet à la CNSS de renforcer sa collaboration avec ses partenaires externes mais aussi de mieux maitriser lintégration et lurbanisation de son propre système dinformation. Pour réaliser ces objectifs, la CNSS a choisi le recours aux Services Web qui représentent une bonne solution pour la standardisation et la sécurisation des échanges. Dabord, parce quils permettent dencapsuler des fonctionnalités métier existantes et de les exposer via des interfaces standards et auto-décrites. (Dans le cas de la CNSS, la majeure

partie du savoir-faire métier est uniformément implémentée au niveau des bases de données

sous forme de fonctions et de procédures stockées, ce qui devrait grandement simplifier la tâche).

Ensuite, parce que lutilisation des Services Web dits "orientés SOAP», permet de bénéficier

dune riche panoplie de standards (largement reconnus et utilisés) adressant la sécurité et mettant en pour garantir confidentialité, intégrité et authentification des échanges. Cest dans ce contexte que le développement du générateur automatique de Services Web

Sécurisés a été envisagé. Concrètement, il sagissait dabord de développer un modèle

(pattern) de Service Web, ayant pour tâche lexécution dune requête SQL donnée. Pour

utiliser un tel service, un client doit linvoquer en spécifiant ses propres valeurs pour les

paramètres de la requête. Le service exécute alors la requête avec les paramètres fournis par

son client et retourne une matrice contenant les résultats.

Ce pattern est décliné en plusieurs versions, chacune correspondant à une politique de sécurité

donnée, parmi lesquelles nous citons: une authentification par un jeton de sécurité: nom dutilisateur/mot de passe; signature du corps de la requête (respectivement de la réponse) du service; chiffrement du corps de la requête et de la réponse du service; signature et chiffrement du corps de la requête et de la réponse du service. Il sagissait ensuite de développer un générateur de Services Web qui prend en entrée une

requête SQL, le choix dune politique de sécurité donnée et un ensemble de paramètres de

sécurité et génère le Service Web correspondant, en manipulant les patterns décrits ci-dessus.

4

Objectifs à atteindre

Quels objectifs quantitatifs et/ou qualitatifs ou indicateurs clés de performance avaient été définis pour le projet ou la stratégie? Veuillez les décrire brièvement. Pour valider la solution obtenue les objectifs suivants ont été définis: Utiliser loutil pour mettre en place une nouvelle intégration entre deux applications existantes dans le parc applicatif de la CNSS. Utiliser loutil pour standardiser une intégration (déjà en place) entre deux applications existantes dans le parc applicatif de la CNSS.

Un objectif qualitatif associé au point précédent est de prouver que lefficacité, la

fiabilité ainsi que le coût en terme de charge de développement de la nouvelle intégration soient meilleurs. Utiliser loutil pour exposer un point daccès aux données destiné à un partenaire externe (une autre caisse de sécurité sociale, par exemple). Utiliser loutil pour générer un service web à utiliser par une application mobile (à destination des assurés sociaux ou des responsables des entreprises cotisantes, par exemple). Un objectif qualitatif associé aux deux points précédents est de soumettre les services

web obtenus à une analyse de sécurité. En effet ses services web sont destinés à être

déployés en extranet (internet). Faire utiliser loutil par un gestionnaire, familier avec le système dinformation de la CNSS, pour générer un service web correspondant à un besoin de son service.

Evaluation des résultats

La bonne pratique a-t-elle été évaluée? Veuillez fournir des données sur limpact et les résultats de la bonne pratique à partir dune comparaison entre les objectifs visés et les résultats réellement obtenus, dindicateurs avant-après et/ou dautres types de statistiques ou indicateurs.

La solution décrite dans ce document a été évaluée par rapport à un sous-ensemble des

objectifs décrits dans la section précédente. médical des polycliniques de la CNSS, loutil a été utilisé pour mettre en place une nouvelle intégration entre une application informatique existante (gestion de la pharmacie développée avec Oracle Forms) dun côté et une nouvelle application (gestion du cabinet médical développée avec Java JEE qui va utiliser le service web généré automatiquement pour consulter le stock des médicaments) de lautre. La génération automatique du web service en question a permis de gagner sur les délais et les coûts de développement. Afin doffrir aux assurés de la CNSS la possibilité de consulter des informations sur leur carrière ainsi que lestimation de leur pension, la CNSS a développé des applications mobiles utilisant exclusivement des services web générés par loutil.

Une analyse de sécurité a été menée à lencontre des services web utilisés par les

applications mobiles décrites ci-dessus. Son résultat était concluant: aucune attaque sur la confidentialité ou lintégrité des données na pu eu être mise en évidence. 5 Dans le cadre des échanges de données avec la Caisse nationale dassurance maladie (CNAM), des services web concernant les données nécessaires à louverture des droits aux soins ont été réalisés en utilisant loutil. Ce nouveau mode déchange permettra déviter les problèmes déchange actuellement rencontrés que ce soit au niveau de la fiabilité des données ou au niveau des délais.

Le reste des objectifs envisagés et non encore validés le seront sur le très court terme: des

scénarios de validation sont en train dêtre étudiés.

Enseignements tirés

Veuillez, en vous appuyant sur lexpérience de votre organisation, citer trois facteurs au maximum qui, selon vous, sont indispensables à la reproduction de cette bonne pratique. Veuillez citer trois risques au maximum qui sont apparus/pourraient apparaître lors de la mise en s et/ou ces risques. Pour reproduire la bonne pratique décrite dans ce document, il est indispensable de: Comprendre lintérêt des standards, surtout pour tout ce qui se rapporte la sécurité et rester tant que possible dans un contexte standardisé: le partage des mêmes références joue en faveur de linteropérabilité.

Préférer la réutilisation doutils existants à la réinvention de la roue: cela permet de

diminuer les coûts et de profiter de la maturité des logiciels déjà existants sur le

marché.

Certains risques sont néanmoins à prendre en compte avant lutilisation de cette bonne

pratique: Utiliser des services web pour standardiser les échanges doit être lucidement motivé et correspondre de ce fait à un vrai besoin. Il serait, par exemple, contre-productif dutiliser les services web pour intégrer les modules dune même application informatique. uvre cette bonne pratique. Les standards, ainsi que leurs implémentations, sont certes assez bien

documentés et disponibles en libre accès par contre ils restent assez difficiles à assimiler

et à prendre en main.quotesdbs_dbs7.pdfusesText_5

[PDF] application iphone saint jacques de compostelle

[PDF] application linéaire cours et exercices

[PDF] application linéaire cours exo7

[PDF] application linéaire définition

[PDF] application linéaire exercices corrigés

[PDF] application matrice inversible + corrigé

[PDF] application piano numérique

[PDF] application sportcash pour android

[PDF] application working holiday visa australia

[PDF] application zimbra mail

[PDF] applications linéaires exercices corrigés

[PDF] bareme note saut en longueur

[PDF] apport de la civilisation greco-romaine ? l'humanité

[PDF] apport du controle de gestion dans la performance de l'entreprise

[PDF] apposition mention de divorce sur acte de naissance