Questionnaire rempli par Charles Delbrassine, Senior Manager ([email protected])
Vous êtes une société proposant des solutions applicables dans le domaine d'Internet? Décrivez rapidement les services que vous proposez
Pour mieux servir ses clients et les aider à optimiser leur utilisation d'Internet, nous avons créé une ligne de services spécifique, Deloitte Consulting IDI (Infrastructure, Development & Integration), qui axe ses activités suivant deux pôles inter-dépendants : l'Infrastructure et la Sécurité des Systèmes d'Information. Ces deux thématiques sont traitées tant sur le plan organisationnel que technique.
Ainsi, Deloitte Consulting définit et met en oeuvre les plans de réorganisation et d'optimisation des entreprises afin d'améliorer leurs traitements internes et de supporter leurs nouveaux canaux de communication et d'échanges de données. Ces plans se prolongent par la conception de maquettes, la construction et l'intégration des sites Internet aux systèmes d'information et aux bases de données internes. Cet accompagnement inclut aussi la définition de la stratégie Internet et de la gestion du contenu, et la mise en valeur de la nouvelle présence Internet de l'entreprise.
De même, la définition et le déploiement d'architecture d'accès à Internet sous les aspects sécurité, haute disponibilité ou systèmes spécifiques de non-répudiation de transactions font partie des attributions fondamentales de la ligne de services de Deloitte & Touche. Elles couvrent l'ensemble des aspects d'un projet Internet, de l'analyse des besoins et sélection des produits au paramétrage avancé des éléments mis en place tels que les firewalls, serveurs ou systèmes de détection d'intrusion (IDS).
Un projet Internet ne peut être complètement achevé s'il n'a fait l'objet d'un audit de validation par un tiers indépendant de l'installateur, ce tiers pouvant être, le cas échéant, le maître d'oeuvre qui a défini le cahier des charges.
A ce titre, Deloitte Consulting réalise des revues organisationnelle et technique d'applications e-commerce ou e-banking. Ces revues incluent les tests de conformité avec les contraintes légales et prudentielles luxembourgeoises et sont généralement complétées par une revue de sécurité avec tests intrusifs.
Les revues de sécurité et les tests intrusifs permettent d'obtenir une assurance quant à l'efficacité de l'architecture de sécurité mise en place, et s'adressent aux sites Internet e-banking ou e-commerce ainsi qu'aux architectures d'accès Internet ou d'interconnexion entre professionnels.
Enfin, et c'est malheureusement un point souvent négligé dans les projets Internet, un service personnalisé de veille technologique quotidienne ou régulière assure les clients du cabinet Deloitte & Touche d'être au fait des dernières vulnérabilités et failles de sécurité auxquelles sont sujettes leurs infrastructures.
Pensez-vous que l'arrivée progressive de solutions de signature électronique soit condition suffisante pour le développement du commerce électronique? L'État a-t-il un rôle à jouer dans ce domaine?
Le commerce électronique, tarde à prendre de l'ampleur dans certains pays d'Europe, particulièrement en ce qui concerne sa forme Business to Consumer, souffrant principalement de la frilosité des utilisateurs à fournir des données confidentielles au travers d'Internet. Les solutions de signature électronique peuvent manifestement contribuer à une évolution des habitudes, en fournissant une solution technique fiable, répondant aux exigences du commerce électronique en matière de sécurité.
Un système d'infrastructure à clé publique permet, en effet, de répondre aux principes fondamentaux que sont l'authentification des transactions, l'autorisation, la confidentialité, l'intégrité, et la non-répudiation. Dès lors, un certificat X.509 allié à un mécanisme d'authentification de l'utilisateur (comme le permet le stockage du certificat sur une carte à puce par exemple) constitue une solution technique sûre.
Mais la validité d'un système PKI (Public Key Infrastructure) repose fondamentalement sur la confiance que l'on accorde aux clés publiques et privées et nécessite donc un tiers de confiance (l'autorité de certification) qui crée et gère les clés. C'est dans ce domaine que l'Etat a très certainement un rôle à jouer. En effet, l'avènement du PKI s'est concrétisé jusqu'ici par un développement anarchique des initiatives.
L'interopérabilité des solutions n'étant pas encore acquise, on voit se profiler des solutions peu conviviales pour des utilisateurs amenés à posséder de multiples paires de clés et à avoir recours à plusieurs modes d'authentification. De plus, les initiatives privées sont bien souvent mises en danger par leur difficulté à atteindre la taille critique, comme en témoigne l'arrêt des activités de SWISSKEY en Suisse au 31 décembre 2001 par exemple.
Les différents projets d'Etat, de nature variée, qui ont vu le jour dans plusieurs des pays de l'Union Européenne démontrent le rôle que peut jouer L'Etat dans le développement du commerce électronique. Citons à cet égard les projets de carte d'identité électronique existants en Belgique, Italie ou Finlande, qui permettent dans un premier temps la dématérialisation des relations entre les administrations et les citoyens, mais dont le champ d'application peut facilement et va très certainement s'élargir.
L'Etat peut avoir une fonction fédératrice en se positionnant comme "Root CA", l'autorité de certification suprême : Il joue alors un rôle d'accréditation, d'homologation des différents types de certificats pouvant exister, garantit une meilleure interopérabilité et favorise ainsi les initiatives inter-sectorielles.
Son action peut se caractériser par un soutien aux initiatives existantes, mais également par le développement d'initiatives propres pour les entreprises et les citoyens.
Construire un site Internet doit à la fois tenir compte d'objectifs opérationnels (faut-il présenter l'entreprise, vendre?), mais également des questions coûts, des technologies disponibles et de l'ergonomie. L'approche des entreprises a-t-elle évolué au cours de la dernière année?
Dans un cadre économique généralement dégradé par rapport aux années précédentes, la stratégie Internet des entreprises s'est rationalisée. Pour des raisons de coût tout d'abord, Internet en général et le commerce électronique en particulier n'ayant pas tenu leurs promesses, certaines entreprises ont reconsidéré à la baisse les budgets consacrés aux nouvelles technologies, d'autres ont tout simplement gelé les projets, préférant attendre de jauger l'évolution du marché.
Mais l'approche des entreprises a également évolué parce qu'aujourd'hui celles-ci ont une plus grande expérience d'Internet. Après avoir lancé des projets de site institutionnels dans un premier temps, elles ont acquis aujourd'hui la maturité nécessaire par rapport au media pour entreprendre des projets plus ambitieux.
Cette évolution des entreprises s'est également accompagnée d'une maturation des technologies permettant d'intégrer Internet au coeur du système d'information. Ces technologies telles que les plates-formes Java 2 Enterprise Edition (J2EE) ou ".NET" de Microsoft autorisent aujourd'hui la construction d'applications Internet transactionnelles, sécurisées, tolérantes aux pannes et intégrant des systèmes hétérogènes.
Les nouvelles possibilités techniques combinées aux difficultés de marché ont rendu les entreprises prudentes par rapport à la conception de leur site Internet, globalement elles sont plus mature par rapport à leur présence en ligne et se révèlent également plus exigeantes vis-à-vis de leurs prestataires marketing et techniques.