vers une architecture orientée services et l’utilisation commune des services de base
Post on 23-Jan-2016
23 Views
Preview:
DESCRIPTION
TRANSCRIPT
Vers une architecture orientée services et l’utilisation commune des
services de base
Kruispuntbank van de Sociale Zekerheid
KSZ-BCSS
2Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Plan de l’exposé
TIC interopérable sur base d’une architecture orientée services (service oriented architecture – SOA)
aperçu de plusieurs services de base offerts- gestion des utilisateurs et des accès- ticketing et accusé de réception- pages personnelles- logging- customer relationship management (CRM) ou gestion de la
relation client
état de la question en ce qui concerne les mandats autorisés à intervenir au nom des entreprises et des citoyens
3Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
TIC interopérable
architecture orientée services (SOA – Service Oriented Architecture)
en couches basée sur des standards ouverts ou au moins des
spécifications ouvertes basée sur des composants modulaire souple extensible sécurisée
4Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Architecture orientée services
“Service Oriented Architecture (SOA) is a paradigm for organizing and utilizing distributed capabilities that may be under the control of different ownership domains. It provides a uniform means to offer, discover, interact with and use capabilities to produce desired effects consistent with measurable preconditions and expectations. Enterprise architects believe that SOA can help businesses respond more quickly and cost-effectively to the changing market conditions. This style of architecture promotes reuse at the macro (service) level rather than micro levels (eg. objects). It also makes interconnection of existing IT assets trivial.” (OASIS Reference Group)
5Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Architecture en couches
Services de Services de basebase
ApplicationsApplications
PrésentationPrésentation
Services Services métiermétier
DonnéesDonnées
6Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Spécifications ouvertes et standards ouverts
spécification ouverte: spécification qui est suffisante pour écrire une application entièrement opérationnelle et qui est libre de contraintes juridiques entravant sa diffusion et son utilisation
standard ouvert: spécification ouverte qui a été approuvée par une organisation de standardisation indépendante
principales organisations de standardisation indépendantes internationales- International Organization for Standardization (ISO) (
http://www.iso.org)- World Wide Web Consortium (W3C) (http://www.w3.org)- OASIS (http://www.oasis-open.org)
7Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
exemples- sets de caractères- interconnexion- échange de messages- échange de documents- enregistrement de messages- enregistrement de documents- compression de documents- sécurisation
voir par exemple http://www.bcss.fgov.be/documentation/fr/
documentation/Presse/OpenstandaardenFR_FEDICT.pdf
Spécifications ouvertes et standards ouverts
8Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Composants
composants clairement définis, fonctionnant de manière autonome qui interopèrent mutuellement et avec des composants externes, sur
base d’une architecture orientée services, à l’aide de standards ouverts de sorte à garantir une souplesse maximale afin
- de connecter d’autres composants
- d’ajouter d’autres composants
- de remplacer des composants par d’autres composants
- de réutiliser des composants pour d’autres finalités en fonction de
- l’évolution des besoins
- l’évolution des possibilités technologiques sans avoir d’impact sur les composants existants en faisant appel à la concurrence ouverte pour le développement des
composants à connecter, à ajouter ou à remplacer
9Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Données et informations
données à caractère personnel- enregistrées et gérées dans des banques de données
authentiques complémentaires en fonction d’une répartition des tâches
informations non personnelles- enregistrées de façon modulaire et tenues à jour dans des
systèmes de content management accessibles de manière générale
- contenant des métadonnées standardisées basées sur des thésaurus standardisés
- avec séparation du contenu, des métadonnées et de la forme (réutiliser et non réécrire)
- pouvant faire l’objet d’une réindexation automatique
10Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Données et informations
informations à l’appui de la politique et de la recherche- en agrégeant des données provenant de systèmes
opérationnels dans des datawarehouses- avec possibilités d’approche des données en fonction de
différentes dimensions et différents degrés de granularité- avec des outils puissants d’exploration, d’analyse et de
visualisation- de préférence, en temps réel (on line analytical processing –
OLAP)
11Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Services de base
composants offrant un service générique à tout service métier qui veut l’utiliser
valeur ajoutée- permet d’économiser des coûts de développement et
d’exploitation: develop once, use many- permet aux développeurs de services métier et d’applications
de se concentrer sur les services métier- cohérence pour les utilisateurs des différentes applications- simplifie l’offre et le monitoring de processus et de chaînes
de processus
12Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Services de base
gestion des utilisateurs et des accès pour les citoyens, les entreprises et les professionnels
signature électronique transformation de formats ticketing et accusé de réception time stamping routage gestion de statut orchestration logging pages personnelles gestion de la relation client ...
13Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Services de base
user & access
mgt
electronic signature
ticketing/
receipt
transfor-mation
…orches-tration
loggingpersona
lpages
14Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Services métier et applications
développement de services métier grâce à la coordination de composants et l’utilisation de services de base
développement d’applications répondant aux besoins des différents types d’utilisateurs par une coordination des services métier
où les mêmes composants et services de base peuvent être utilisés pour le développement de différents services métier, et où les mêmes services métier peuvent être utilisés pour le développement de différentes applications
15Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Applications
Application Application Application
OrchestrationOrchestration Enterprise Application Integration
Exposed services
Consulted services
Application Application Application
Enterprise Service Bus
Clients
Providers
16Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Intégration d’applications via services web
service web: composant logiciel offrant une fonctionnalité autodécrite univoque et qui est appelé de manière distribuée grâce à la technologie Internet standard
web servicesrepository(WSDL)
web servicesclient
web servicesprovider
UDDI (enregistrement services web)(recherche services web) UDDI
XML/SOAP
XML/SOAP XML/SOAP
17Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Intégration d’applications dans l’administration fédérale
environnements middleware- environnement Enterprise Application Integration dans le secteur
social géré par la Banque Carrefour de la sécurité sociale
- Universal Messaging Engine (FEDICT), avec évolution vers Federal Service Bus
- Centre de communication de la fiscalité fédérale (CCFF) en cours de développement au sein du SPF Finances
- environnement Enterprise Application Integration en cours de développement au sein du SPF Justice dans le cadre du projet Phenix
réseaux interconnectés- extranet de la sécurité sociale entre les institutions de sécurité
sociale
- FEDMAN entre les services publics fédéraux
- extranets d’autres niveaux de pouvoir
- Internet et sur celui-ci des réseaux privés virtuels
18Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Intégration de présentation: sites portail
sites web
avec présentation intégrée des- informations, gérées de préférence dans des systèmes de
content management- transactions
avec single log on ou single sign on
éventuellement soutenus par des outils de gestion de la relation client
19Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Intégration de présentation: sites portail
personnalisés, axés sur les intentions ou le groupe cible- personnalisés
• look & feel et interface
• contenu (uniquement informations et transactions pertinentes)
• appui personnalisé, par ex.
– utilisation de données à caractère personnel disponibles
– aide contextuelle adaptée à l’utilisateur (par ex. texte, explication orale, aide lors de l’utilisation de supports électroniques, accompagnement des processus, …)
– langage propre
– vocabulaire approprié
– simulations en ligne
- axés sur les intentions ou le groupe cible• événements (p.ex. naissance, mariage, création d’une entreprise, …)
• domaines de la vie (p.ex. culture, sport, …)
• statut social (p.ex. travailleur salarié, chômeur, pensionné, …) ou secteur d’entreprise
• groupes cibles
20Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Sites portail: faux
utilisateurs•citoyens•entreprises
fournisseurs
partenaires
personnelintermédiaires
PORTAIL A•single sign on•personnalisation•groupes d’utilisateurs•multi-channel•agrégation
systèmesback-end, p.ex.•ERP•groupware•DB’s•applications
transactionscontent
management
gestionutilisateurs
PORTAIL B•single sign on•personnalisation•groupes d’utilisateurs•multi-channel•agrégation
systèmes back-end, p.ex.•ERP•groupware•DB’s•applications
contentmanagement
transactions
gestion utilisateurs
21Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Sites portail: vrai
clients•citoyens•entreprises
fournisseurs
partenaires
personnelintermédiaire
s
systèmesback-end, p.ex.•ERP•groupware•DB’s•applications
contentmanagemen
ttransactions
PORTAIL A•single sign on•personnalisation•groupes d’utilisateurs•multi-channel•agrégation
systèmesback-end, p.ex.•ERP•groupware•DB’s•applications
transactionscontent
management
gestionutilisa-teurs
gestionutilisa-teurs
PORTAIL B•single sign on•personnalisation•groupes d’utilisateurs•multi-channel•agrégation
22Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Intégration de présentation: centre de contact
accessible de manière multimodale: téléphone, e-mail, formulaire sur le portail …
soutenu par outil de gestion de la relation client
IPSS
TéléphoneE-mail
Internet@
Centre contact Eranova
SPF
Internet
23Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Réseau d’intégrateurs de services
InternetInternet
Extranetcommunauté
ou région
Extranetcommunauté
ou région
FedMANFedMAN
cataloguede services
SPF
SPF
SPF
ISS
ISS
cataloguede services
ISS
SPR
SPR
cataloguede services
VPN,Publilink, VERA, ...
VPN,Publilink, VERA, ...
ville province
commune
cataloguede
services
intégrateurde services(FEDICT)
intégrateurde services
(BCSS)
intégrateur de services
Extranetsécurité sociale
24Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Réseau d’intégrateurs de services
types d’informations échangées- données structurées- documents- images- multimédia- métadonnées- processus métier
sur base d’une technologie de services web
25Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Réseau d’intégrateurs de services
tâches possibles d’un intégrateur de services (BCSS, FEDICT, …)- organisation de la gestion des données, des services de
base et métier, de l’intégration d’applications et de l’intégration de présentation
- organisation du cadre d’interopérabilité sécurisé- gestion des utilisateurs et des accès
• liste des utilisateurs (personnes, entreprises, applications, …)• détermination des moyens d’authentification possibles pour chaque
service• gestion des autorisations
– quel service est accessible pour quel type d’utilisateur concernant quelles personnes/entreprises en quelles qualités, dans quelle situation et concernant quelle période
• contrôle préventif quant au respect des autorisations• logging d’échange de données à caractère personnel
26Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Réseau d’intégrateurs de services
tâches possibles d’un intégrateur de services- gestion d’un répertoire des références
• quelles personnes/entreprises possèdent un dossier (électronique) sous quelles qualités, auprès de quelles instances et pour quelles périodes
• quelle information est disponible auprès d’une instance donnée lorsqu’elle gère un dossier concernant une personne/entreprise déterminée sous une qualité donnée
- gestion d’un répertoire des instances qui souhaitent obtenir des (modifications de) données de manière automatique
• quelles instances souhaitent obtenir quelles données de manière automatique, dans quelles situations, concernant quelles personnes/entreprises, sous quelles qualités
27Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Vers une répartition des tâches ?
autorité fédérale, institutions publiques de sécurité sociale (IPSS) gérant des régimes ou branches, régions et communautés- accent est mis sur les couches de données et de services,
avec pour résultat des services métier utilisables par les administrations locales, les institutions coopérantes de sécurité sociale et les fournisseurs de services aux citoyens et entreprises
- le cas échéant, offre aux administrations locales, aux institutions coopérantes de sécurité sociale et aux fournisseurs de services aux citoyens et entreprises d’un environnement standard pour le développement d’applications et d’une couche de présentation
28Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Quelques services de base offerts
gestion des utilisateurs et des accès- notions- rappel du fonctionnement de la carte d’identité électronique
(CIE)- modèle de « policy enforcement »- situation actuelle- quelques évolutions
ticketing et accusé de réception pages personnelles gestion de la relation client
29Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Gestion utilisateurs/accès - notions entité: quelqu’un ou quelque chose qui doit pouvoir être identifié,
comme par exemple une personne physique, une entreprise, un établissement d’une entreprise, une machine ou une application
attribut: une petite partie d’informations relatives à une entité identité: un numéro unique ou une série d’attributs d’une entité
qui permet de savoir de manière univoque qui est l’entité; une entité ne possède qu’une seule identité
caractéristique: un attribut d’une entité autre que les attributs qui déterminent l’identité de l’entité, tel qu’une qualité, une fonction dans une organisation déterminée, une qualification professionnelle, …; une entité peut avoir différentes caractéristiques
30Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Gestion utilisateurs/accès: notions
mandat: un droit conféré par une entité identifiée à une autre entité identifiée pour poser en son nom et pour son compte certains actes juridiques
enregistrement: le processus qui établit avec une certitude suffisante l’identité, une caractéristique d’une entité ou un mandat, avant la mise à disposition de moyens permettant d’authentifier ou de vérifier l’identité, une caractéristique ou un mandat
31Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Gestion utilisateurs/accès: notions
authentification de l’identité: le processus permettant de vérifier que l’identité que prétend posséder une entité pour pouvoir utiliser un service électronique constitue bien l’identité exacte; l’authentification d’une identité peut intervenir sur base d’un contrôle - des connaissances (p.ex. un mot de passe)- d’une possession (p.ex. un certificat sur une carte lisible par
la voie électronique)- de caractéristiques biométriques- d’une combinaison d’un ou plusieurs de ces moyens
32Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Gestion utilisateurs/accès: notions
vérification d’une caractéristique ou d’un mandat: le processus permettant de vérifier qu’une caractéristique ou un mandat que prétend posséder une entité pour pouvoir utiliser un service électronique est effectivement une caractéristique ou un mandat de cette entité; la vérification d’une caractéristique ou d’un mandat peut intervenir sur base- des mêmes types de moyens que ceux utilisés pour
l’authentification de l’identité- après l’authentification de l’identité d’une entité, par la
consultation d’une banque de données où sont enregistrés les caractéristiques ou les mandats relatifs à une entité identifiée
33Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Gestion utilisateurs/accès: notions
autorisation: une permission accordée à une entité afin de réaliser une action déterminée ou d’utiliser un service donné
groupe d’autorisations: un ensemble d’autorisations rôle: un ensemble d’autorisations ou des groupes
d’autorisations afférents à un service donné role based access control (RBAC): une méthode
permettant d’attribuer des autorisations à des entités à l’aide de groupes d’autorisations et de rôles, afin de simplifier sur le plan administratif la gestion des autorisations et leur attribution à des entités
Entité
Autorisation(groupe)
Rôle
Service
34Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Carte d’identité électronique
35Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Carte d’identité électronique (CIE)
fonctions retenues- identification visuelle et électronique du titulaire- authentification électronique de l’identité du titulaire au
moyen de la technique de la signature numérique- apposition d’une signature électronique au moyen de la
technique de la signature numérique
pas d’enregistrement d’autres données électroniques, mais promotion de l’accès contrôlé aux données via des réseaux où la carte d’identité électronique fait office d’instrument d’accès- éviter de percevoir la carte comme un ‘big brother’- éviter la perte d’une multitude de données en cas de perte de
la carte- éviter la nécessité d’une mise à jour multiple de la carte
CA CA
clé publique clé publique
signature numérique
36Kruispuntbank van de Sociale Zekerheid 04/07/2006
37Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
CIE – quelques notions
certificat d’authentification: authentification de l’identité – usage requiert l’introduction d’un mot de passe, une fois par session
certificat de signature: apposition d’une signature électronique valide sur le plan juridique - usage requiert l’introduction d’un mot de passe lors de toute apposition d’une signature électronique
communes assument la fonction d’autorité d’enregistrement (RA): ‘guichet’ où le certificat est demandé et qui vérifie si l’identité communiquée est exacte; dans l’affirmative, il approuve la demande et le signale à l’autorité de certification
38Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
CIE – quelques notions
Certipost assume la fonction d’autorité de certification (CA): produit sur base des informations reçues de la RA un certificat, associé à une paire de clés, et indiquant ce que cette paire de clés prouve dorénavant, et gère ce certificat
39Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
CIE
1. Receive message 3. Check CRL/OCSP 5. Fetch public key 7. Compute reference hash2. Inspect certificate 4. Check certificate 6. Fetch signature 8. Hash, signature, public
key match?
Matching triplet?
CRL
Alice
Alice
hash
Bob
3, 4
2
1 7
6
5
8
1. Compose message 3. Generate signature 5. Collect certificate2. Compute hash 4. Collect signature 6. Send message
Alice
hash
Alice
1
2
3
5 4
6
40Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
CIE CIE
- identification et authentification électroniques de l’identité des personnes physiques âgées de plus de 12 ans qui sont inscrites dans les registres de population
- signature électronique de ces personnes encore besoin d’une solution pour l’identification et
l’authentification électroniques de l’identité des personnes- âgées de moins de 12 ans- qui ne sont pas inscrites dans les registres de population
des compléments sont nécessaires pour une gestion intégrée complète des utilisateurs, p.ex.- vérification des caractéristiques pertinentes (p.ex. médecin, notaire,
…) d’une personne physique- vérification d’un mandat entre une personne morale ou une
personne physique sur lequel porte un service électronique et la personne qui utilise ce service
- autorisations d’utilisation des services
41Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Policy Enforcement Model
Utilisateur
Policy
Application
(PEP )
Application
Policy
Décision (PDP )
Action sur
application Demandede décision
Réponsedécision
Actionsur
applicationAUTORISÉE
Policy Information
(PIP )
InformationQuestion /
Réponse
Policy Autorisation
(PAP )
Recherchepolicies
Source authentique
Policy Information
(PIP )
InformationQuestion /Réponse
Policy
repository
Actionsur
applicationREFUSÉE
Gestionnaire
Gestionde l’autorisation
Source authentique
42Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Policy Enforcement Point (PEP)
intercepter la demande d’autorisation avec toutes les informations disponibles concernant l’utilisateur, l’action demandée, les ressources et l’environnement
transmettre la demande d’autorisation au Policy Decision Point (PDP) et exiger une décision d’autorisation
donner accès à l’application et fournir les justificatifs pertinents
UtilisateurPolicy
Application (PEP)
Application
PolicyDécision (PDP)
Actionsur
application Demandede décision,
Réponsedécision
Actionsur
applicationAUTORISÉE
Actionsur
applicationREFUSÉE
43Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Policy Decision Point (PDP)
sur la base de la demande d’autorisation reçue, recher-cher la policy d’autorisation adéquate dans les Policy Administration Points (PAP)
évaluer la policy et, au besoin, rechercher les informa-tions pertinentes dans les Policy Information Points (PIP)
prendre la décision d’autorisation (permit / deny / not applicable) et la communiquer au PEP
Policy Application
(PEP)
PolicyDécision (PDP)
Demande de
décisionRéponsedécision
Policy Information (PIP)
Question / Réponse
Policy Autorisation(PAP)
RecherchePolicies
Policy Information (PIP)
InformationQuestion /
Réponse
Information
44Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Policy Administration Point (PAP)
environnement de sauvegarde et de gestion des policies d’autorisation par les personnes compétentes désignées par le responsable de l’application
mise à la disposition du PDP des policies d’autorisation
PDPPAP
RecherchePolicies
Gestionnaire
Gestionde l’autorisation
Policyrepository
45Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Policy Information Point (PIP)
mise à la disposition du PDP de l’information pour l’évaluation des policies d’autorisation (sources authentiques avec caractéristiques, mandats, …)
PDP
PIP 1
InformationQuestion/Réponse
Source authentique
PIP 2
Source authentique
InformationQuestion/Réponse
46Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Principe de « cercles de confiance » objectif
- éviter une centralisation inutile- éviter des menaces inutiles à l’égard de la protection de la vie privée- éviter des contrôles identiques multiples et la sauvegarde multiple
de loggings méthode: répartition des tâches entre les instances concernées
par la prestation de services électroniques et décisions claires en en ce qui concerne les questions suivantes:- qui effectue quels authentifications, vérifications et contrôles à l’aide
de quels moyens et qui en est responsable- comment échanger électroniquement entre les instances
concernées, de façon sécurisée, les résultats des authentifications, vérifications et contrôles
- qui conserve quels loggings- comment veiller, lors d’un examen à l’initiative d’un organisme de
contrôle ou suite à une plainte, à retracer entièrement quelle personne physique a utilisé quel service ou transaction concernant quel citoyen ou entreprise par l’intermédiaire de quel canal et pour quelle finalité
47Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Situation actuelle – principes généraux
une distinction est opérée entre 4 groupes cibles- citoyens- collaborateurs des institutions de sécurité sociale (ISS)- entreprises- autres acteurs concernés par le secteur social
les informations et transactions disponibles sont réparties sur base d’une analyse des risques et les procédures d’enregistrement et d’authentification de l’identité requises dépendent du niveau de sécurité exigé- 5 niveaux pour les citoyens et les collaborateurs des
institutions de sécurité sociale - 4 niveaux pour les entreprises (pas de niveau spécifique
faisant appel à des tokens)
48Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Situation actuelle citoyens
actuellement un citoyen obtient uniquement accès- à des informations et transactions publiques- à des transactions non publiques le concernant
donc uniquement besoin- d’un enregistrement de l’identité- d’une authentification de l’identité à un niveau adapté au
degré de sensibilité de la transaction
(pour l’instant) pas- de vérification de caractéristiques- de vérification de mandats- de gestion d’autorisations
49Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Situation actuelle citoyens
Niv Enregistrement identité Authentification identité
Applications
0 aucun aucune info / transactions publiques
1 online par l’introduction du numéro de registre national, numéro de carte d’identité et numéro de carte SIS
numéro d’utilisateur et mot de passe choisi par l’utilisateur
info / transactions à faible sensibilitélogging
2 niveau 1 + envoi d’e-mail avec URL d’activation vers l’adresse e-mail indiquée par le citoyen et envoi de token sur support papier vers la résidence principale du citoyen reprise dans le Registre national
niveau 1 + introduction d’un string mentionné sur le token (contient 24 strings) demandé de façon aléatoire
info / transactions à sensibilité moyennelogging
3 présentation physique auprès de la commune pour obtention CIE
certificat d’authentification sur CIE + mot de passe par session
info / transactions à sensibilité élevée
logging
4 présentation physique auprès de la commune pour obtention CIE
certificat d’authentification sur CIE + certificat de signature sur EID + mot de passe par transaction
transactions qui requièrent une signature électronique
50Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Token
51Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Situation actuelle collaborateurs ISS
enregistrement et authentification de l’identité- comme pour citoyen- au niveau 2, le token est toutefois envoyé au conseiller en
sécurité de l’institution de sécurité sociale dont l’intéressé est un collaborateur et c’est le conseiller en sécurité qui le remet à l’intéressé
enregistrement caractéristique du collaborateur d’une institution de sécurité sociale- introduction par le conseiller en sécurité de l’institution de
sécurité sociale concernée auprès d’un PIP chez FEDICT (à l’avenir dans le secteur social)
52Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Situation actuelle collaborateurs ISS
vérification caractéristique du collaborateur d’une institution de sécurité sociale- consultation du PIP auprès de FEDICT (à l’avenir dans le
secteur social)- en cas d’utilisation de token, également demande d’un string
aléatoire indiqué sur le token enregistrement autorisation
- introduction par le conseiller en sécurité de l’institution de sécurité sociale concernée dans le PAP auprès de la SmalS-MvM (pour le portail) ou auprès de la BCSS (pour les services offerts par la BCSS) (à l’avenir intégration des deux PAP)
vérification autorisation- consultation de l’autorisation dans le PAP auprès de la
SmalS-MvM ou auprès de la BCSS à partir des informations transmises après consultation du PIP
53Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Enregistrement
caisse de vacances 1
Min. des Finances
Sécurité socialeagency
département
ONVA - caisse de vacances 1
ONVA – caisse de vacances 2
ONVA – caisse de vacances 3
enregistrement autorisation(PAP’s SmalS-MvM et BCSS)
BCSS
ONVA
caisse de vacances 2
caisse de vacances 3
Min. des Finances
enregistrement collaborateur institution de sécurité sociale(PIP FEDICT)
ONVA
CIN
CIN
54Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Situation actuelle entreprises
Niv Enregistrement identité Authentification identité
Applications
0 aucun aucune info / transactions publiques
1 gestionnaire local: lettre de la part de l’entreprise pour laquelle l’intéressé agit en tant que gestionnaire local
autres collaborateurs: validation par le gestionnaire local
numéro d’utilisateur et mot de passe
info / transactions à faible sensibilité
logging
2 présentation physique auprès de la commune pour obtention de la CIE
certificat d’authentification sur CIE + mot de passe par session
info / transactions à sensibilité élevée
logging
3 présentation physique auprès de la commune pour obtention de la CIE
certificat d’authentification sur CIE + certificat de signature sur CIE + mot de passe par transaction
transactions qui requièrent une signature électronique
55Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Situation actuelle entreprises
enregistrement mandat et autorisation à utiliser info / transactions au nom d’une entreprise / d’un prestataire de services- introduction par ONSS dans propre PIP
• du mandat d’un gestionnaire local d’une entreprise pour utiliser, au nom et pour le compte d’une entreprise, des infos / transactions sécurisées
• du mandat du prestataire de services (secrétariat social agréé ou autre) pour utiliser, au nom et pour le compte d’une entreprise, des infos / transactions sécurisées
• du mandat d’un gestionnaire local d’un prestataire de services pour utiliser, au nom et pour le compte d’un prestataire de services, des infos / transactions sécurisées
- introduction dans le PIP de l’ONSS par le gestionnaire local d’une entreprise / d’un prestataire de services
• du mandat d’autres préposés d’une entreprise / d’un prestataire de services pour utiliser, au nom ou pour le compte d’une entreprise / d’un prestataire de services, certaines infos / transactions sécurisées
56Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Situation actuelle entreprisesl’entreprise est représentée par une personne physique, le gestionnaire local, dont elle communique l’identité par écrit à l’ONSS
l’ONSS accorde une numéro d’utilisateur et un mot de passe au gestionnaire local
le gestionnaire local- a accès à toutes les applications sécurisées à
l’aide du numéro d’utilisateur et mot de passe ou de la CIE comme moyen d’authentification de son identité, selon le niveau de sécurité
- peut attribuer des numéros d’utilisateur et mots de passe à d’autres utilisateurs au sein de l’entreprise pour authentifier leur identité lors de l’utilisation d’infos / transactions à faible sensibilité
- peut introduire des autorisations pour d’autres utilisateurs au sein de l’entreprise
le gestionnaire local doit être une personne dont l’entreprise est finalement responsable et qui agit sous l’autorité directe de l’entreprise
- il peut donc s’agir d’un travailleur, du chef d’entreprise, d’un gestionnaire, ...
- mais pas d’un comptable externe, …
Entreprise
Gestionnaire local
Utilisateurs
Uniquement propres données
57Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Situation actuelle entreprises
par le biais d’un mandat signé transmis à l’ONSS, une entreprise peut désigner un prestataire de services qui peut utiliser pour son compte les applications sécurisées
l’entreprise reste le responsable du traitement au sens de la Loi Traitement de Données à caractère personnel; le prestataire de services est un sous-traitant au sens de cette loi
entre l’entreprise et le prestataire de services il doit dès lors y avoir un contrat qui répond aux contraintes de l’article 16 de la Loi Traitement de Données à caractère personnel (choix consciencieux, contrôle, détermination des conditions et de la responsabilité, …)
le prestataire de services peut être une personne morale (p.ex. un secrétariat social) ou une personne physique (p.ex. un comptable)
58Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Prestataires de services d’entreprises
Entreprise
Gestionnaire local
Utilisateurs
Uniquement les données des entreprises affiliées auprès du secrétariat social concerné
Mandat(répertoire ONSS)
Secrétariat social
59Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Prestataires de services d’entreprises
Entreprise
Gestionnaire local
Utilisateurs
Uniquement les données des entreprises pour lesquelles une relation contractuelle a été enregistrée
Prestataire de services
Relation contractuelle(répertoire ONSS)
Personne morale Personne physique
=
60Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Niveaux de sécurité entreprises voir règlement d’utilisateur approuvé par le Comité de gestion BCSS niveau 0: transactions publiques, p.ex.
- DIMONA via le portail et le serveur vocal- demandes de détachement- déclaration de chantier- consultation répertoire des employeurs- consultation obligation de retenue et responsabilité solidaire secteur de la
construction niveau 1: uniquement accessible moyennant introduction du numéro
d’utilisateur et du mot de passe ou CIE, p.ex.- consultation E-box- consultation du fichier du personnel- déclaration trimestrielle et transmission de propositions de modification via le
portail- déclaration de risques sociaux via le portail
niveau 2 uniquement accessible moyennant CIE- consultation et modification de la déclaration trimestrielle via le portail- toutes les applications par transfert de fichier
• DIMONA• déclaration trimestrielle et (proposition de) modification• déclaration de risques sociaux• demandes de détachement (Gotot)
61Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Situation actuelle – autres acteurs du secteur social
p.ex. communes, CPAS, notaires, huissiers de justice accès via extranet
- utilisation de la gestion des utilisateurs et des accès des collaborateurs des institutions de sécurité sociale
accès via Internet- utilisation provisoire de la gestion des utilisateurs et des
accès des entreprises- à partir du 4ième trimestre 2006: utilisation de la gestion des
accès et des utilisateurs des collaborateurs des institutions de sécurité sociale, si possible avec des PIP externes
62Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Quel niveau de sécurité ?
décision incombe en premier lieu à l’instance qui met le service ou la transaction électronique à disposition, sous le contrôle du Comité de gestion de la BCSS (règlement d’utilisateur) et du Comité sectoriel de la sécurité sociale
critères à prendre en compte- type de traitement: communication, consultation, modification, …
- champ d’application personnel de la transaction: traitement de données sociales à caractère personnel de l’utilisateur uniquement ou également d’autres personnes
- degré de confidentialité des types de données traitées
- homogénéité du niveau de sécurité par catégorie d’utilisateurs
- impact du traitement sur le réseau de la sécurité sociale en plus du niveau de sécurité souhaité, l’utilisation de la
signature électronique peut être requise pour prémunir l’institution contre toute contestation ultérieure
63Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Quelques évolutions souhaitées
application systématique du modèle de « policy enforcement »
développement de PIP relatif à une caractéristique de collaborateur d’institution de sécurité sociale au sein du secteur social
possibilité d’utilisation de PAP et PIP externes p.ex. pour- les prestataires de soins- les collaborateurs de la justice (p.ex. notaires, huissiers de
justice, …)- les collaborateurs des communes- …
64Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Quelques évolutions souhaitées
offre systématique de propres PIP et PAP pour l’utilisation par des tiers, p.ex.- institutions coopérantes de sécurité sociale- SPF et SPP
coordination efficace de PIP et PAP avec application systématique du modèle de policy enforcement entre- autorités fédérales- secteur social- communautés et régions- administrations provinciales et locales- …
65Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Ticketing et accusé de réception
toute transaction reçoit un numéro unique ou un ticket l’octroi du ticket constitue pour l’utilisateur la preuve
que la transaction a été enregistrée le ticket est utilisé à des fins d’identification unique de
la transaction- dans l’accusé de réception pour l’utilisateur, p.ex. à titre de
référence en cas de problèmes- dans le logging- lors d’un appel éventuel au centre de contact
66Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
E-box et pages personnelles
quoi ?- espace sécurisé pour la mise à disposition de documents de
façon électronique et sécurisée à l’attention d’un utilisateur- avec possibilité d’envoyer un mail vers les utilisateurs les
informant qu’un document est à leur disposition, avec mention de l’URL dans le mail (push)
- documents peuvent être mis à disposition• soit par une transaction portail• soit par une institution de sécurité sociale, au besoin via la BCSS
accessibilité ?- est créé automatiquement pour tout utilisateur- accessible via le portail de la sécurité sociale- utilisation du système de gestion des utilisateurs et des
accès
67Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
E-box et pages personnelles
situation actuelle- E-box pour les entreprises
• un E-box par entreprise• gestion des utilisateurs et des accès des entreprises• gestionnaire local gère les accès, possibilité de sélectivité en fonction de
l’application qui crée le document
- page personnelle pour les collaborateurs de la sécurité sociale
• une page personnelle par collaborateur d’une institution de sécurité sociale et une page personnelle par institution
• gestion des accès et des utilisateurs des collaborateurs des institutions de sécurité sociale
• chaque collaborateur a accès à l’ensemble des documents sur sa page personnelle
• chaque collaborateur a accès aux types de documents sur la page personnelle de son institution auxquels le conseiller en sécurité de cette institution lui a donné accès
68Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
E-box et pages personnelles
situation actuelle- page personnelle pour le citoyen
• une page personnelle par citoyen• gestion des accès et des utilisateurs des citoyens• chaque citoyen a accès à l’ensemble des documents sur sa page
personnelle• pas encore utilisée en production
69Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Logging
quoi ?- conserver
• qui ou quelle application, identifiés à l’aide d’un numéro d’identification unique a utilisé
• quand (date et heure)• concernant qui, identifié à l’aide du numéro d’identification de la sécurité
sociale, du numéro BCE ou numéro ONSS• quel message ou quelle transaction, identifiés à l’aide d’un numéro de
ticket unique• a exécuté quelle opération (création, consultation, modification, liste, …)• avec quel résultat (OK, NOK)• pas de logging du contenu des données échangées !!!
la pertinence du contenu des loggings relève toujours de la responsabilité du propriétaire de l’application conformément à la policy élaborée par le Comité général de coordination
70Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Logging et cercles de confiance
A B C
D
LOG LOG
LOG
LOG
LOGGESTION
PARA
LOGGESTION
PARB
LOGGESTION
PARB
Institution de confianceA
Institution de confianceB
Institution de confianceC & D
LOGGESTION
PARC
LOGGESTION
PARD
LOGGING COMPLET = A + B + C / D
71Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Logging – état d’avancement de l’implémentation
composant de base SecurityLog- implémentation dans le front-end de l’application ou d’un autre
service de base sur le portail de la sécurité sociale- déjà utilisé pour toutes les applications sur le portail de la sécurité
sociale utilisées par les collaborateurs des institutions de sécurité sociale
application IRIS- disponible sur le portail de la sécurité sociale- consultation des loggings de toutes les applications portail et
transactions GDAUT utilisées par les collaborateurs des institutions de sécurité sociale par: (chacun pour les utilisateurs qu’il est chargé de surveiller)
• les conseillers en sécurité des institutions du réseau primaire de la BCSS
• les responsables des services d’inspection sociale, dans le cadre de la délibération n° 04/32 du Comité sectoriel
- avec la CIE comme moyen d’authentification de l’identité de l’utilisateur
72Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Application IRIS
(questions TP +
Applicationweb, SEBA. et
service webportail
Application sur système Siemens
Application sursystème
Stratus
Application C/S
TuxedoServices
Log NATREG, RIP, WREP,
DUC,...Log LATG, DMFA
Log accès DB ATCE et
ADABAS)
Log ONAFTS, FAT, RIP,...
Fusionnement + traitement et
introduction (SAS) Données utilisateurs,applications,
institutions, logging.
application webIRIS
Portail SS
ApplicationSP 11
(Lotus Notes)Services
Log Dimona
Lotus notes)
Process création CD-ROM
Processpréparation
application web (SAS)
Regroupementquotidien(DMFA
hebdomadaire)
Accès application
IRIS via
UMAF
73Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Gestion de la relation client
gestion intégrée de la relation avec l’utilisateur indépendamment des canaux et des services
liée à une gestion des utilisateurs et des accès, base pour une personnalisation ou approche ciblée et utilisation de mécanismes push
fournit feed-back pour l’amélioration constante des services
74Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Status questionis mandats
mandats pour les entreprises sont régis par le règlement d’utilisateur
mandats pour citoyens: délibération du Comité de surveillance n° 95/58 du 24 octobre 1995 fixe les modalités selon lesquelles un préposé peut obtenir communication des données sociales à caractère personnel d’une personne physique - mandant
75Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Délibération n° 95/58
communication au mandataire est autorisée - dans la mesure où il dispose d’un mandat écrit mentionnant
• les données d’identification du mandant et du mandataire• la signature du mandant• les types de données à caractère personnel que le mandataire peut
obtenir• les finalités pour lesquelles ces données peuvent être traitées par le
mandataire• la durée du mandat
- dans la mesure où il dispose d’un mandat tacite conformément aux modalités suivantes
• le mandataire est une association de défense des intérêts dont le mandant est membre ou auprès de laquelle il est affilié, p.ex. un syndicat, une mutualité, une association de pensionnés, une organisation de travailleurs indépendants, une association de personnes handicapées, …
• le mandant fournit la preuve de son affiliation ou de son adhésion au moyen de faits objectifs, p.ex. par la mention du numéro d’affiliation du mandant ou d’autres éléments
76Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Evolution ?
associations qui souhaitent agir pour le compte d’un mandataire tacite enregistrent les membres ou les affiliés dans un PIP
PIP de membres ou d’affiliés répond aux conditions pour être accepté au sein du système de cercles de confiance
les transactions utilisées font l’objet d’un logging il est examiné si la délibération n° 95/58 doit être
adaptée
77Banque Carrefour de la sécurité sociale
KSZ-BCSS
04/07/2006
Pour plus d’informations
portail de la sécurité sociale- https://www.socialsecurity.be
sites web relatifs à la carte d’identité électronique- http://eid.belgium.be- http://www.cardreaders.be/en/default.htm
site web de la Banque Carrefour de la sécurité sociale- http://www.bcss.fgov.be
site web personnel de Frank Robben- http://www.law.kuleuven.ac.be/icri/frobben
Merci !
Questions ?
78Banque Carrefour de la sécurité sociale 04/07/2006
top related