La Cnaf sécurise ses échanges électroniques avec Axway

Thierry Guiot, architecte sécurité à la Cnaf, rappelle le contexte de la caisse : sa mission consiste à verser des prestations d’aide aux familles et à lutter contre la précarité. En tout, elle doit distribuer 80 Md€ par an, répartis en 120 millions de virements. Mais tout cela ne se fait pas seul. En tout, la Caisse Nationale d’Allocations Familiales interagit électroniquement avec trois partenaires financiers, 12 types de partenaires de protection sociale - pour 88 flux de données -, 20 types de partenaires publics - pour 86 flux - et 27 partenaires privés et prestataires - pour 89 flux. Un total de près de 300 flux de données qui nécessitent d’être sécurisés. L’enjeu s’avère d’autant plus grand que «l’enjeu des prochains mois sera dans la coproduction des données, leur certification et la lutte contre la fraude», explique Thierry Guiot. Et de donner un exemple : «nous avons besoin de vérifier les SIREN/SIRET en nous appuyant sur un service Web délivré par l’Insee.» La lutte contre la fraude s’appuiera quant à elle sur la construction «d’un référentiel interbranches pour réaliser des contrôles croisés et identifier d’éventuelles anomalies de déclaration ». Tout cela «implique une intensification des échanges synchrones» entre la Cnaf et ses partenaires. Une intensification qui impose «d’être agile dans l’exposition du métier tout en garantissant l’intégrité du système ».

Un standard taillé sur mesure

 

D’où la naissance, dès 2004, d’un standard dédié aux échanges entre organismes de la sphère sociale : Interops. Issu d’un projet initié par la Direction de la Sécurité Sociale, il vise à «définir une manière d’échanger sécurisée et standardisée», et est arrivé en version 2.0 en 2012. «Il repose sur la confiance », explique Thierry Guiot, précisant que «l’authentification et l’habilitation [des personnes morales l’utilisant, NDLR] sont déléguées aux organismes clients » ; ce qui permet de limiter les coûts d’administration. Le standard permet en outre de tracer de bout en bout les échanges pour en assurer le contrôle à posteriori. Lui-même repose sur des standards techniques connus et éprouvés : SAML, SSL, «pour assurer sa portabilité, car chaque organisme est libre de son implémentation », précise Thierry Guiot. Par construction, le standard est conforme au référentiel général de sécurité de l’Anssi, mais c’est l’implémentation qui fera la conformité du système.

Sécuriser les flux

Le standard Interops prévoit plusieurs typologies d’échanges. Thierry Guiot précise qu’il n’est pas «intrusif vis à vis du métier : lorsque l’on va vouloir développer un service métier exposé, l’équipe concernée n’a pas besoin de connaître Interops parce qu’il est basé sur des proxy et des reverse-proxy qui s’intègrent au sein de la chaîne de liaison et qui prennent eux-même le standard en charge ». Depuis la fin 2012, la branche famille utilise ainsi le standard en s’appuyant sur quatre appliances Axway «pour la gestion des échanges synchrones ». L’un des impératifs était de disposer d’une solution capable d’évoluer en volume «pour industrialiser la sécurisation de ces échanges ».

Les appliances retenues fournissent ainsi «une approche sur étagère avec de nombreux filtres de sécurisation. Elles sont modulaires, flexibles et intègrent de nombreuses possibilités de manipulation de flux XML, utiles pour les échanges SOAP ». En outre, Thierry Guiot indique avoir été séduit par les «capacités d’interfaçage» des appliances : «anti-virus, annuaire LDAP, bases de données, serveur Radius... Nous avons pu les intégrer véritablement à notre système d’information». Et de résumer sa description à une solution «hybride entre pare-feu applicatif et ESB ».