Commerce électronique: les clefs d'une mutation réussie

Le commerce électronique constitue sans nul doute l'un des défis majeurs que toute entreprise ou organisation se doit de relever en ce début de millénaire. La mondialisation du commerce et la concurrence de plus en plus acharnée que se livrent toutes les sociétés rendent inévitable l'utilisation de ces nouvelles technologies par tous les acteurs du marché.

Mais bien que chacun soit persuadé du caractère inéluctable de cette évolution à court ou moyen terme, de nombreuses études ont démontré qu'en l'absence d'informations claires et objectives, la plupart des entreprises hésitent quant à la stratégie à suivre pour réussir leur mutation.

S'il n'existe pas de méthode universelle «miracle» pour entrer dans le commerce électronique, les expériences acquises dans ce domaine ont montré qu'en posant les bonnes questions et en suivant un certain nombre de règles de base il est possible de définir une stratégie efficace.

Pourquoi faire du commerce électronique?

La première étape pour un dirigeant consiste bien évidemment à déterminer avec précision les motivations qui vont l'amener à se lancer dans le commerce électronique. Certains rechercheront la conquête de nouveaux marchés. D'autres essayeront d'offrir de nouveaux produits et services à leurs clients. D'autres enfin auront pour objectif d'améliorer leur efficacité grâce à l'automatisation de certaines tâches.

Prenons l'exemple d'un fabricant de produits régionaux qui reçoit en moyenne une cinquantaine de commandes par jour et qui a un outil de production parfaitement adapté à ce niveau d'activité. Après avoir créé un site Internet, le nombre de commandes passe en quelques semaines à 500 commandes quotidiennes, ces commandes arrivant du monde entier. Que va-t-il se passer si ce cas n'avait pas été prévu et que l'outil de production ne peut pas suivre? Les nouveaux clients risquent de ne pas être satisfaits mais pis encore, il ne sera plus possible de maintenir un service de qualité pour les clients habituels en raison de la désorganisation totale de l'entreprise.

Cet exemple, bien que caricatural, montre qu'il est impératif de bien définir les motivations qui nous guident et de bien réfléchir aux conséquences avant toute décision.

Règle n°1:

Nous ne faisons pas du commerce électronique pour faire comme tout le monde mais bien parce que cela fait partie de notre stratégie.

Par où commencer?

Le système d'information (SI) d'une entreprise ou d'une organisation regroupe l'ensemble des données de l'entreprise. Ces données ne sont pas statiques; elles évoluent dans le temps en fonction de flux d'informations entrants (commande, réclamation, etc.) provenant d'acteurs externes (clients, fournisseurs, administrations, etc.)

A l'opposé, les flux sortants de notre système d'information (facture, courrier, etc.) vont au contraire modifier le SI des acteurs externes auxquels ils sont destinés. Les acteurs externes peuvent être les mêmes acteurs que pour les flux entrants ou peuvent être différents.

Dans le commerce traditionnel on utilise pour acheminer ces flux de données des outils tels que le téléphone, le fac-similé, le courrier postal. L'objectif du commerce électronique est d'utiliser de nouvelles technologies pour diffuser en toute sécurité ces informations plus vite, plus loin, 24/24H et au plus grand nombre.

- Plus vite pour réduire drastiquement les délais et être plus réactif que ses concurrents.

- Plus loin pour permettre par exemple à une entreprise basée dans l'autre hémisphère d'obtenir instantanément des informations sur une entreprise grand-ducale.

- 24/24H pour permettre aux acteurs les plus éloignés d'obtenir des informations ou de passer des commandes même durant les heures de fermeture de notre entreprise.

- Au plus grand nombre pour faciliter la diffusion de l'information à grande échelle que ce soit à l'ensemble des acteurs ou à un sous-ensemble (clients, fournisseurs, etc.)

On comprendra aisément qu'excepté dans le cas où l'on souhaiterait créer une entreprise «virtuelle» (dont l'activité se fait à 100% via le commerce électronique), il n'est pas raisonnable de vouloir faire migrer l'ensemble des flux en une seule fois. Il est beaucoup plus judicieux de les étudier en détail et de donner des priorités à chacun d'entre eux.

Quelle que soit la motivation qui anime les dirigeants, il ne faudra pas non plus oublier que la mise en oeuvre des nouvelles technologies devra être accompagnée d'un important investissement en formation pour permettre à chaque acteur interne de la société de s'adapter au plus vite au nouvel environnement.

Règle n°2:

Il est important d'avoir une stratégie dans laquelle la migration du commerce traditionnel vers le commerce électronique se fait progressivement.

Comment se protéger?

La protection du système d'information, centre nerveux de l'entreprise, a de tout temps été une priorité pour ses dirigeants. La plus grande confidentialité est exigée de la part des acteurs internes et externes à l'entreprise quant aux activités de celle-ci, et ce pour pouvoir maintenir son avantage concurrentiel.

Lorsque l'on parle d'ouvrir ce système d'information au monde extérieur, il est donc tout naturel que la principale interrogation des dirigeants concerne la sécurité et la protection de ces données. Les nombreuses enquêtes auprès de ceux-ci ont d'ailleurs montré que ces doutes étaient une des raisons majeures de leur manque d'enthousiasme vis-à-vis du commerce électronique.

A leur décharge, nous admettrons que l'agitation frénétique des fournisseurs de solutions de sécurité plus «efficaces» les unes que les autres ne soit pas vraiment propice à la réflexion et au discernement. Cet article ne permettra sûrement pas aux lecteurs de devenir des experts en sécurité, mais il devrait contribuer à éclaircir le sujet et surtout à donner des bases pour comprendre les enjeux de la sécurité.

La première étape dans la mise en oeuvre d'une solution de sécurité consiste à évaluer la valeur des informations que l'on souhaite protéger. En effet, une attaque ayant un coût (temps, matériel, etc.), un des meilleurs moyens de se protéger est de rendre ce coût supérieur à la valeur de l'information protégée. Personne de sensé ne dépensera un million d'Euros pour se procurer une information qui ne peut rapporter que quelques centaines d'Euros. L'inverse est également vrai. Les coûts de la solution de sécurité doivent être adaptés aux données protégées. Il n'est pas raisonnable d'acheter un coffre-fort pour protéger un vulgaire crayon à papier.

Règle n°3:

Le coût d'une solution de sécurité doit toujours être inférieur à la valeur des données qu'elle protège.

Dès lors, la question qui revient souvent lors de l'évaluation de la valeur des informations de l'entreprise est de savoir s'il existe des informations qui n'ont pas de valeur. On a très souvent entendu dire qu'il n'est pas nécessaire de sécuriser un site Internet car les informations qu'il contient sont publiques. Nous allons montrer à l'aide d'un exemple que cette affirmation est un non-sens.

Prenons une entreprise qui a créé un site d'informations sur Internet dans lequel elle précise ses coordonnées ainsi que son catalogue de produit. Si ce site n'est pas sécurisé, un concurrent peut très bien s'introduire sur le site et par exemple doubler tous les prix et changer les coordonnées. La plupart des visiteurs se rendant sur le site après ces «légères» modifications seront très probablement effrayés par les tarifs, et les plus courageux seront de toutes les façons dans l'incapacité de contacter l'entreprise.

Nous voyons donc bien que, même dans le cas d'informations librement accessibles, il soit impératif de s'assurer de l'extrême précision de ces informations qui constituent la vitrine de l'entreprise et qu'il faut protéger de façon appropriée.

Règle n°4:

Aucune information échangée avec d'autres acteurs ne doit être laissée sans protection.

Le réseau Internet, principal vecteur du commerce électronique, doit être considéré comme une zone de non-droit dans laquelle on peut rencontrer des personnes mal-intentionnées. Lorsque deux acteurs communiquent via ce réseau, ils doivent donc s'assurer que les données échangées vont pouvoir traverser le réseau en toute sécurité.

Ceci n'est possible que si la solution mise en oeuvre permet de satisfaire les quatre grands critères de la sécurité: confidentialité, intégrité, authentification et non répudiation (ou non désaveu).

La confidentialité permet de s'assurer que seules les parties impliquées dans la communication pourront voir les données échangées. Une information envoyée de façon lisible sur Internet aura la même confidentialité qu'une information publiée dans un journal à grand tirage. Pour éviter ces désagréments, on fait appel à la cryptographie qui va «brouiller» les informations pour les rendre illisibles à une tierce personne.

Règle n°5:

La solution de sécurité doit nous garantir que seules les personnes autorisées peuvent lire les informations échangées.

L'intégrité permet de s'assurer que les données qui transitent entre deux parties ne peuvent pas être modifiées. En effet, si la confidentialité permet d'empêcher quelqu'un de lire les informations qui transitent, rien n'empêche personne de se placer exactement au milieu de la communication et de modifier les messages.

Supposant que deux personnes, Alice et Bob, souhaitent communiquer de façon sécurisée. Une personne malveillante, Martin, va se placer sur le réseau Internet et attendre le début de la communication. Quand Alice va chercher à contacter Bob, Martin va intercepter le message en faisant croire qu'il est Bob. Puis il prend le message et l'envoie à Bob en faisant croire qu'il est Alice. Ainsi, il va fonctionner comme un relais entre les deux parties et aura tout loisir de modifier le contenu des messages.

La cryptographie permet d'ajouter des données de vérification aux données du message de façon que les parties en présence puissent détecter toute tentative de modification de la part d'un tiers.

Règle n°6:

La solution de sécurité doit nous garantir l'intégrité des données échangées entre les acteurs.

L'authentification est probablement l'un des enjeux les plus importants de la sécurité. En effet, si Alice n'a pas la preuve que la personne avec laquelle elle communique est bien Bob, elle peut très bien sans s'en rendre compte envoyer ses messages à une personne qui se fait passer pour Bob.

Il existe de nombreuses solutions techniques pour identifier une personne et le choix d'une d'entre elles dépend des besoins et du niveau de sécurité recherché. Si les identifications bio-métriques (voir encadré) restent expérimentales, de nombreuses solutions sont aujourd'hui employées avec succès.

La solution la plus simple consiste à donner à chacun des interlocuteurs un mot de passe qui lui permettra de s'identifier auprès des autres. Bien que très simple, cette solution ne doit être retenue que pour protéger des informations peu sensibles comme par exemple un espace «abonnés» sur un site Internet.

Les «tokens» sont sans conteste la solution la plus sûre lorsque les parties en présence se connaissent à l'avance. De la taille d'un porte-clefs ou d'une calculatrice, un token est un composant électronique qui affiche un mot de passe qui change toutes les soixante secondes. Ainsi, si quelqu'un arrive à intercepter un de vos mots de passe, il n'a au mieux que 60 secondes pour s'en servir. De nombreuses banques au Luxembourg ont choisi, pour identifier leurs clients, une adaptation logicielle de ce type de composant. Ainsi, pour être authentifié, on vous demande de saisir aléatoirement deux symboles parmi les 16 symboles figurant sur une carte qui vous a été remise par la banque. Bien que dégradé par rapport à l'original, ce système reste encore aujourd'hui très sûr pour authentifier les utilisateurs, surtout si les banques prennent soin de renouveler régulièrement les cartes.

Enfin, lorsque les parties ne se connaissent pas, les solutions de type Public Key Infrastructure ou PKI (Cf. schéma) sont les seules à pouvoir assurer l'identité des parties. Pour simplifier, nous dirons que l'identité d'une personne est garantie par une tierce personne, appelée autorité de certification (CA) qui va délivrer un certificat attestant que Bob est bien Bob et que Alice est bien Alice.

Règle n°7:

Il ne sert à rien de communiquer de façon sécurisée si on a pas la certitude de l'identité de l'autre partie.

Enfin, c'est principalement dans la satisfaction du dernier critère, la non répudiation, que les architectures de type PKI vont prendre tout leur sens. L'objectif est de pourvoir le commerce électronique d'un système permettant de signer un document, l'auteur de la signature étant dans l'incapacité de se désavouer. Bien que les mathématiques sous-jacentes soient complexes, le principe est très simple.

Chaque personne possède deux clefs qui sont des suites numériques composées chacune d'environ 300 chiffres. La première clef est dite «privée» et ne doit être divulguée sous aucun prétexte par son propriétaire. La seconde clef est dite «publique» et peut être librement distribuée à quiconque. Ces clefs sont conçues telles que seule la clef publique d'une personne peut vérifier les actions effectuées avec la clef privée de cette même personne.

Si Alice veut signer un document, un programme va effectuer sur son ordinateur un calcul mathématique sur le document à l'aide de sa clef privée. Lorsque Bob veut vérifier que c'est bien Alice qui a signé le document, un programme va effectuer sur son ordinateur un calcul sur le document à l'aide cette fois-ci de la clef publique d'Alice.

Si le calcul de Bob aboutit, il est donc certain que c'est bien la clef privée d'Alice qui a signé le document, et peut donc en conclure que c'est bien Alice qui est à l'origine du document.

Sachant que quiconque peut vouloir utiliser la clef publique d'Alice, comment celle-ci peut-elle la distribuer?

C'est ici qu'interviennent les certificats numériques. Alice va remettre sa clef publique à une autorité de certification (CA) agréée, qui va inclure l'identité d'Alice ainsi que la clef dans un certificat, ce certificat garantissant à quiconque que la clef publique qu'il contient est bien celle d'Alice.

Règle n°8: Il doit être possible de retracer sans équivoque chaque action effectuée par un des acteurs du système. C'est décidé, je me lance?

Vous avez enfin pris la décision de prendre le train du commerce électronique dans les mois qui viennent. Cet article étant très général, il n'a probablement pas donné de solution aux problèmes qui vont se présenter mais il a pu contribuer à donner une meilleure vision d'ensemble sur ce que l'on appelle le commerce électronique et surtout il a donné quelques règles de base qu'il est indispensable de respecter pour construire une solution durable et sûre.

Gardez simplement bien à l'esprit que toutes ces technologies sont assez récentes et donc perfectibles. Ce qui est vrai aujourd'hui ne le sera peut être plus demain. Faites-vous conseiller par des sociétés spécialisées dans ce domaine et surtout, tenez-vous informés des dernières évolutions légales et technologiques? c'est la clef du succès.

Annexes:

1. Les identifications bio-métriques

Bien que souvent réservées à ce jour aux films de science-fiction, de nombreuses expérimentations sont effectuées dans le domaine des identifications portant sur le caractère unique de certaines parties du corps humain.

Certaines banques américaines ont ainsi déployé des distributeurs automatiques de billets pour lesquels l'identification des utilisateurs est basée sur la biométrie, et les résultats commencent à nous parvenir.

Aussi surprenant que cela puisse paraître, les identifications basées sur les empreintes digitales n'ont eu qu'un succès mitigé. Dans l'inconscient des gens, l'action de donner ses empreintes digitales avait une connotation «criminelle» qui les mettaient mal à l'aise.

Les scanners rétiniens, qui grâce à un rayon laser permettent d'analyser la rétine de l'?il, ont été systématiquement rejetés par les utilisateurs. Personne ne semblait très chaud à l'idée de voir son banquier lui tirer dans l'?il à coup de rayon laser.

La seule technologie qui a donné des résultats plutôt positifs est le scanning facial. Le visage est digitalisé par une caméra et comparé au visage conservé dans une base de données par la banque pour autoriser l'accès. La seule remarque négative des utilisateurs concernait les messages affichés lorsque la comparaison échouait. Les premiers messages affichaient «Vous n'êtes pas Monsieur Untel» et il a fallu les remplacer par «Monsieur Untel, vous n'avez pas l'air en forme aujourd'hui» pour ne pas froisser la sensibilité des utilisateurs..

Si tout ceci ne reste encore qu'à l'état d'expérimentations, il est important toutefois de bien suivre ces évolutions car elles concernent un futur qui n'est probablement pas si lointain. «

2. Les signatures électroniques sont-elles des signatures?

Malgré une première pierre posée par la législation, un grand débat agite aujourd'hui les acteurs du commerce électronique concernant la validité des signatures électroniques. En effet, la sécurité du système s'appuie sur l'hypothèse que tout citoyen doit assurer la protection de sa clef privée.

Or, quand on voit que des personnes mal-intentionnées sont parvenues à pénétrer dans les systèmes informatiques des plus grandes sociétés, on est en droit de s'interroger sur la capacité de chacun à investir plusieurs dizaines de milliers d'Euros pour sécuriser son ordinateur et empêcher une attaque sur sa clef privée, qu'elle soit sur le disque dur ou sur une carte à puces.

Sachant qu'il sera de la responsabilité de l'utilisateur de prouver que sa clef privée a été utilisée à son insu et qu'il n'aura probablement pas les compétences techniques pour le faire, n'essaye-t-on pas de transférer sur l'utilisateur une responsabilité beaucoup trop lourde pour lui. Ne faudrait-il pas que le gouvernement prévoie d'allouer une grande part des budgets du commerce électronique à la formation des utilisateurs?

Ou bien, comme certains groupes de juristes et d'avocats le recommandent outre-atlantique, ne serait-il pas plus sage de laisser la charge de la preuve aux Autorités de Certification qui, ayant une grande expertise dans le domaine de la sécurité, sont mieux équipés pour prouver que cette clef n'a PAS pu être volée?

Le débat est ouvert? Mais quelle que soit la solution retenue, il faut que personne n'oublie que les citoyens sont à la base de tout commerce, qu'il soit électronique ou traditionnel.

Il faut donc les séduire? mais également les protéger...