|
L'accès au commerce électronique peut
dans certains cas nécessiter des dispositions particulières
1 - Mise en place d'une politique de sécurité informatique
2 - Cas d'une boutique dans une galerie marchande virtuelle
3 - Cas d'une PME qui ne commercialise que des prestations
de services à distance
L'accès au commerce électronique peut
dans certains cas nécessiter des dispositions particulières.
Nous avons vu dans la première partie
que la majorité des modalités d'accès au commerce électronique
sont bien " standards ". Cependant, les grandes entreprises
ont souvent de multiples filiales et de multiples réseaux
locaux connectés entre eux. Ceci peut également être
le cas pour une PME qui dispose de plusieurs réseaux
locaux et qui attribue divers accès informatiques à
ses employés. Le facteur humain peut s'avérer destructeur
dans le monde informatique, c'est la raison pour laquelle
cetraines PME, comme toutes les grandes entreprises,
devront mettre en place une politique de sécurité informatique.
D'autre part, nous verrons le cas des boutiques virtuelles
dans les galeries marchandes qui ne rentre pas dans
le cadre des modalités d'accès au commerce électronique.
En effet, l'extrême simplicité de ces boutiques ne permet
pas d'aborder sérieusement le commerce électronique.
Enfin, nous verrons que les PME qui proposent la vente
des prestations de service à distance doivent prendre
en compte un certain nombre de facteurs supplémentaires.
1- La mise en place d'une politique
de sécurité informatique
Lorsque la PME doit manipuler des quantités
importantes de données relatives aux clients, ou bien
lorsque plusieurs personnes dans plusieurs sites ont
accès au site de commerce électronique (ex: plusieurs
filiales), il est fortement conseillé de mettre en place
une politique de sécurité adéquate. D'autre part, lorsque
la stratégie commerciale ou marketing de la PME pourrait
intéresser la concurrence, il est également conseillé
de prendre des précautions nécessaires.
Dans ces deux cas, des dispositions spéciales sont à
prévoir. Le coût de la mise en place d'une politique
de sécurité peut être élevé pour certaines PME car il
nécessite aussi la protection des réseaux locaux de
l'entreprise.
Voici la méthode utilisée par les meilleurs spécialistes
en sécurité informatique :
L'estimation de la valeur des informations traitées
par le système de commerce électronique
C'est une étape essentielle de la conception d'une politique
de sécurité. Dans le cadre de cette étape, les spécialistes
vont créer une base de données contenant les informations
relatives aux différentes sortes d'informations traitées
par le système informatique ainsi que les applications
et le matériel utilisés pour leur traitement. Les informations
collectées pendant cette étape permettront de réaliser
les autres étapes de la mise en place de la politique
de sécurité.
La valorisation et la classification
des informations stockées et traitées
Les informations collectées lors de la première étape
sont classifiées selon leur valeur pour la PME. Les
critères dont il faut tenir compte sont notamment le
degré de confiance, les conséquences de la transmission
d'une information donnée à une personne non autorisée,
les conséquences de la perte ou de la modification d'une
information donnée.
L'analyse conduite permet de classifier les informations
traitées par le système informatique en 5 groupes :
- Les informations non classifiées (qui
sont publiées)
- Les informations non classifiées (protégées, qui ne
seront pas publiées) - Les informations classifiées
- Les informations confidentielles
- Les informations secrètes
Même si la valorisation des informations
pourrait présenter un risque dans certains cas, elle
est un élément indispensable de la création d'un système
de protection des données.
La définition de la meilleure circulation
des informations à l'intérieur comme à l'extérieur de
la PME
En possédant les données relatives aux différentes sortes
de l'information du système, il faut analyser les sens
de circulation des informations. Cette analyse permet
de créer le schéma de circulation des informations,
pour en déterminer les points faibles. Aussi, cette
analyse nous permet de diviser le système informatique
en " domaines " en indiquant les sens de circulation
des informations.
L'analyse du risque: une classification
en catégories de risques avec les moyens permettant
de les éviter
Cette classification permet l'établissement d'un plan
d'action. Celui-ci permettra d'utiliser la quasi-totalité
des moyens existants pour prévenir les risques les plus
probables. Lors de cette analyse de risque , il faut
attribuer des degrés de priorité aux diverses menaces
qui peuvent avoir une conséquence sur le fonctionnement
du système informatique de la PME.
Suite à cette analyse, il est conseillé de rédiger un
document opérationnel. Voici les informations que devrait
comporter ce document:
- La description du risque potentiel
- Les conséquences potentielles
- Le coût de réparation des dommages
- La probabilité de la réalisation du risque
- Les actions prioritaires
- La description des actions préventives
- Le coût des éléments de sécurisation
Elaboration d'une méthode de protection
des informations adaptée aux spécificités du système
informatique de la PME
La réalisation de cette étape commence par la définition
des trois principaux niveaux de sécurité :
- Le niveau de la procédure
- Le niveau physique
- Le niveau logique
L'intégration de la méthode de sécurité
est réalisée à chaque niveau en utilisant les meilleurs
moyens de sécurisation (physiques, techniques, et juridiques).
L'élaboration d'une " police de sécurité
", c'est-à-dire d'un ensemble de documents décrivant
la politique de sécurité
Outre la partie générale de la police de sécurité qui
comprend les normes relatives aux méthodes d'une utilisation
sécurisée du système informatique, la police de sécurité
comprend les documents destinés aux utilisateurs finaux
et aux groupes d'utilisateurs, établis en fonction des
tâches concrètes accomplies par chacune de ces personnes.
Chaque salarié devrait approuver avoir pris connaissance
de ce document.
Une police de sécurité bien conçue remplit
trois fonctions principales:
- Elle doit comporter les règles concernant chaque utilisateur.
- Elle devrait pouvoir être utilisée comme source des
connaissances en matière des meilleures méthodes de
travail dans le système informatique.
- Elle constitue une référence en terme de l'intégration
de la politique de sécurité dans l'entreprise.
L'intégration d'une politique de sécurité
suppose deux principaux modes d'action
- L'installation du matériel et des logiciels indispensables
au maintient d'un haut niveau physique de sécurité des
données stockées et traitées par le système informatique.
- La formation des futurs utilisateurs du système informatique
sécurisé. En effet, les utilisateurs du système informatique
devraient être formés aussi bien au niveau général qu'au
niveau pratique. Pour ce faire, il est conseillé de
préparer des outils pédagogiques et de former les utilisateurs.
L'évolution de la politique de sécurité et la maintenance
du système des protections doivent être contrôlées régulièrement
Avec le temps, de nouvelles menaces apparaissent et
des modifications sont apportées au système informatique
(le remplacement du matériel ou des logiciels, l'intégration
des nouvelles fonctionnalités, la rotation du personnel).
La politique de sécurité doit en permanence prendre
en compte tous ces changements, sinon elle deviendra
complètement inutile.
2 - Cas d'une boutique dans une galerie
marchande virtuelle
Il existe des systèmes permettant d'ouvrir
rapidement ce que certains appellent des sites de commerce
électronique…Le principe en est simple: une entreprise
met en place, sur un serveur Internet, un logiciel permettant
aux utilisateurs d'ouvrir des comptes " e-commerce ".
En général, ces sites proposent un nombre limité de
fonctionnalités et d'articles. On peut créer un tel
site soi même, et il faudra payer un abonnement mensuel
à partir de 150 FF / mois.
Ces sites ne peuvent pas être comparés avec des vrais
sites de commerce électronique car il s'agit dans la
quasi-totalité des cas seulement d'une bonne affaire
pour la société qui loue ces emplacements. C'est un
peu comme si l'on souhaitait ouvrir un petit magasin
dans un petit village de 300 habitants et une dizaine
de touristes…
Néanmoins, certaines PME peuvent être obligées, pour
diverses raisons, d'opter pour une telle solution.
Dans ce cas, l'une des solutions est de créer un site
institutionnel avec un grand nombre de pages de façon
à pouvoir le référencer correctement dans les moteurs
de recherche. En réalité, ce site devrait être considéré
comme une grande porte d'entrée dans la boutique virtuelle
en location. A cet effet, il suffit de placer sur les
pages du site les hyperliens vers la boutique virtuelle
en location. Ainsi, tous le travail de référencement
et tous les efforts de communication doivent être alloués
au nouveau site institutionnel avec les portes d'accès
à la boutique virtuelle. Cette stratégie permet de sauvegarder
sa part d'audience en cas de changement de boutique
virtuelle. Cette opération suppose bien évidemment l'achat
d'un nom de domaine.
3 - Cas d'une PME qui ne commercialise
que des prestations de services à distance
Lorsque la marchandise est un service
réalisé à distance, le client doit pouvoir vérifier
le bon résultat du travail. Deux cas de figure se présentent
:
- Le client paie d'avance : dans ce cas
la PME doit pouvoir fournir le travail effectué dans
les bons délais et éventuellement avertir régulièrement
le client sur le déroulement du travail qu'il a commandé.
Ce processus de contrôle et de validation nécessite
la mise en place d'une procédure spécifique. C'est par
exemple le cas des entreprises qui proposent les services
de positionnement des sites web dans les moteurs de
recherche. Le client ayant payé, il faut assurer un
service de qualité dans les bons délais.
- Le client paie à la réception des travaux
: dans ce cas la PME doit s'assurer que le cient , souvent
très éloigné, va bien payer le service rendu. L'idée
de l'acompte n'est pas mauvaise car elle élimine d'avance
les fraudeurs mais elle ne garantit pas que le client
va payer. Lorsque la PME connaît un fort taux d'impayés
dans ses activités habituelles, la solution réside peut-être
dans un système qui va essayer de calculer à chaque
fois le risque client en fonction de divers paramètres
(pays, prestation demandée…).
Dans tous les cas, ce problème peut
être résolu partiellement par la mise en place d'un
centre d'appels téléphoniques.
|
Livres
