Le système de sécurité d'une entreprise se construit à l'aide de nombreux outils complémentaires et techniques existant sur le marché. Un seul ne suffit pas: la sécurité est assurée par une utilisation correcte d'un ensemble d'outils à choisir, paramétrer et/ou développer en fonction de l'objectif de sécurité fixé.

Encryption, signature électronique et certificats

L'utilisation des techniques d'encryption, de signature électronique et des certificats sont la base d'un commerce électronique sécurisé:

• l'encryption: elle consiste à transformer les informations électroniques au moyen d'un algorithme mathématique afin de les rendre inintelligibles, sauf pour celui qui possède le moyen (une clé) de les décoder. L'encryption des informations qui transitent par le réseau est utilisée pour assurer la confidentialité, l'intégrité et l'authenticité des transactions et du courrier électronique. A titre d'exemple, le logiciel d'encryption gratuit Pretty Good Privacy (PGP) est très largement employé pour protéger le courrier électronique;
• la signature électronique: c'est un code digital (une réduction du document électronique à envoyer) qui, associé aux techniques d'encryption, garantit l'identité de la personne qui émet le message et assure la non-répudiation et l'intégrité de l'envoi;
• le certificat: document électronique (carte d'identité) émis par une autorité de certification. Il valide l'identité des interlocuteurs d'une transaction électronique, associe une identité à une clé publique d'encryption et fournit des informations de gestion complémentaires sur le certificat et le détenteur.

L'authentification et l'autorisation

Une personne peut être authentifiée par la combinaison d'une identification et d'un mot de passe (code secret personnel). Le mot de passe doit posséder certaines caractéristiques: non trivial, difficile à deviner, régulièrement modifié, secret, etc. Des outils logiciel ou hardware de génération de mots de passe existent.

L'authentification précède généralement l'autorisation. L'autorisation définit les ressources, services et informations que la personne identifiée peut utiliser et dans quelle mesure (par exemple consulter ou mettre à jour des données).

Les techniques d'encryption et de certificats utilisés conjointement à celle des mots de passe ajoutent un très haut degré de sécurité dans le domaine de l'authentification des utilisateurs.

Le firewall

Le firewall est un ensemble informatique du réseau d'entreprise comprenant du matériel hardware (un ou des routers, un ou des serveurs) et des logiciels (à paramétrer ou à développer). Son objectif est de protéger le réseau interne contre les accès et actions non autorisés en provenance de l'extérieur, en contrôlant le trafic entrant. Le firewall peut également contrôler le trafic sortant.

Le firewall est localisé entre le réseau externe et le réseau interne. Pour être efficace, le firewall doit être le seul point d'entrée-sortie du réseau interne (pas de modem sur un serveur ou pc pour accéder à l'extérieur sans passer par le firewall) et surtout doit être correctement configuré et géré en fonction des objectifs spécifiques de sécurité. Sans ces précautions, un firewall ne remplit pas son rôle et est complètement inutile.

Le firewall est un élément de la sécurité, il ne couvre pas tous les risques (par exemple le firewall n'assure pas la confidentialité des informations, n'authentifie pas l'origine des informations, ne vérifie pas l'intégrité des informations, ne protège pas contre les attaques internes).

Il existe plusieurs types de techniques de firewall:

• la technique de filtrage des paquets: chaque paquet d'information entrant ou sortant est accepté ou rejeté selon des règles établies par l'utilisateur;
• la technique des serveurs proxy qui empêchent l'extérieur de connaître les adresses internes du réseau d'entreprise;
• la technique des passerelles qui fournissent des systèmes de sécurité pour établir des connexions TCP/IP TCP/IP (Transmission Control Protocol/Internet Protocol)Le protocole Internet TCP/IP est commun à toutes les machines connectées à Internet, indépendant du logiciel comme du matériel. Il définit la manière dont l'information sera transmise. Elle est scindée en "packets" comprenant une adresse de départ, une adresse de destination et un contenu. Le protocole IP contrôle le trajet (routage) des packets en fonction de l'adresse de destination. Le protocole TCP vérifie la bonne réception des packets à l'adresse de destination et demande le renvoi des packets perdus entre l'extérieur et l'intérieur ou pour certains services comme FTP FTP (File Transfer Protocol)Protocole de transfert de fichiers utilisés sur Internet et basé sur TCP-IP  et Telnet TelnetProtocole Internet par lequel on peut relier son ordinateur à un autre ordinateur et le faire fonctionner comme un terminal.

Les fichiers historiques

Des outils de traçabilité (logging) doivent être mis en oeuvre pour garder une trace des événements, comme par exemple:

• qui est venu, quand, quelle a été la durée de la transaction?
• qu'a-t-on consulté ou modifié?
• quelles on été les ressources utilisées?

La consultation régulière des fichiers historiques constitués doit notamment permettre de vérifier les anomalies dans le trafic des transactions (par exemple les message répétitifs en provenance d'une même adresse extérieure et rejetés par le firewall peuvent être un signe d'essai d'intrusion).

Les copies de sauvegarde

Les copies de sauvegarde (back-up) créées régulièrement et stockées dans des endroits sécurisés permettent de protéger les informations essentielles pour l'entreprise et permettent également de redémarrer rapidement en cas de problème.

Réseau Privé Virtuel

Le VPN (Virtual Private Network) est un service disponible chez les fournisseurs de services Internet (ISP ISP (Internet Service Provider (Fournisseur de Services Internet))L'ISP est une entreprise fournissant les services liés à l'Internet, comme par exemple: accès sécurisé à l'Internet (temporaire ou permanent), courrier électronique, conception et hébergement de sites Web, etc) qui permet d'établir des connexions sécurisées privées (un réseau privé) sur un réseau public comme l'Internet. Le VPN est réalisé avec les techniques d'encryption et d'authentification, en assurant la qualité de services requise. Le VPN permet l'économie de connexions directes coûteuses entre les différentes implantations de l'entreprise, l'accès Internet lui servant à la fois pour la consultation classique de sites web et pour son réseau privé.

Voici un exemple de VPN: