mardi 29 janvier 2013

Communauté SEPAmail : AriadNext

Nous continuons notre tour d'horizon de membres de la communauté SEPAmail avec la société AriadNext, contribuant depuis 2009 notamment pour des applications entre l'adhérent et son client, l'utilisateur.

Marc, Guillaume et Tristan ont répondu à nos questions.

Quand a été créé AriadNEXT et dans quel contexte ?


AriadNEXT est avant tout issue de la rencontre au sein de SFR entre deux personnes : Guillaume DESPAGNE et Marc NORLAIN. Alors que le premier, spécialiste de l’organisation de la distribution, cherchait des moyens de simplifier le processus d’enrôlement en point de vente, le deuxième, expert en lutte contre la fraude, voulait sécuriser ce même processus d’enrôlement. En dépit de l’apparente contradiction entre leurs problématiques, Guillaume et Marc ont décidé de travailler conjointement sur ces sujets et ont finalement mis au point une solution originale et efficace permettant d’optimiser l’enrôlement en point de vente.

Lauréate de plusieurs concours d’innovation, cette solution a rencontré un réel succès qui a incité SFR à externaliser le projet. En 2010, AriadNEXT est ainsi créée dans le but de développer et commercialiser la solution d’optimisation de l’enrôlement.

Combien de collaborateurs, quels sont leurs profils et leurs fonctions ?

AriadNEXT compte aujourd’hui 22 collaborateurs, essentiellement des ingénieurs et docteurs en informatique. De par la nature des produits développées par AriadNEXT, nous avons la spécificité de compter parmi nous à la fois des profils spécialisés en conception matérielle (mécanique et électronique), des experts en système d’exploitation et des ingénieurs en développement logiciel (sécurité, systèmes d’information, analyse d’image, applications mobiles).

Nous attachons une grande importance au fait que chaque collaborateur soit affecté à la fois à des tâches de R&D avancée et de déploiement ou de maintenance des solutions AriadNEXT.

Quels sont les principaux produits ou services développés et vendus ?


Le produit phare d’AriadNEXT est le S<CUBE. Il s’agit de la réponse concrète aux deux problématiques initiales : la simplification du processus d'enrôlement couplée à la lutte contre la fraude.

Ce terminal, déployé dans un millier de points de vente, permet de scanner des pièces justificatives (carte d’identité, chèque, …) tout en vérifiant leur authenticité. Cela sécurise et facilite le processus de souscription puisque les informations extraites des pièces justificatives sont utilisées pour pré-remplir le contrat du client. Le terminal est également utilisé pour effectuer une signature électronique qualifiée du contrat et ainsi donc dématérialiser totalement la souscription tout en conservant une valeur légale similaire à un processus manuel.

En outre, AriadNEXT offre plusieurs services pour répondre efficacement aux problématiques de dématérialisation et de lutte contre la fraude comme: 2D-Doc, S<MARTSTAMP, S<MARTCAM, ICheckItAU… avec une attention particulière portée aux applications mobiles de dématérialisation, de contrôle de pièces et de signature électronique.

Quel est le profil de vos clients, quelles sont vos références ?

Nous travaillons essentiellement aujourd’hui avec des opérateurs en téléphonie mobile, mais notre solution en point de vente est applicable à un grand nombre de situation d'enrôlement client et de signature de contrat.

Pour nos solutions d’apposition de code sécurisés 2D-Doc, nous sommes également amenés à travailler avec différents émetteurs de factures, RIB ou autres documents à sécuriser.

Nous travaillons aujourd’hui notamment avec SFR qui a déployé notre S<CUBE dans plus de 900 points de vente et appose aujourd’hui plus de 5 millions de 2D-Doc mensuellement. Virgin Mobile et Auchan commencent également à équiper leurs boutiques de S<CUBEs

Nous fournissons également des applications mobiles à destination du grand public pour le contrôle de pièces d'identité ou la dématérialisation des pièces justificatives lors de souscriptions en ligne.

Quelles sont vos spécificités ?

La spécificité d’AriadNEXT est d’avoir fait de la gestion de l’enrôlement une thématique à part entière pouvant tirer partie de nombreuses technologies : acquisition et contrôle de pièces justificatives, dématérialisation, archivage, signature électronique, ... 

De plus, AriadNEXT développe ses solutions avec une approche orientée service : les briques technologiques listées ci-dessus sont implémentées comme des services indépendants et sont combinées pour s’adapter à des besoins et contextes spécifiques.

Quel est votre lien à SEPAmail ?

Dans le cadre de la dématérialisation de la souscription de contrats en point de vente, la question de la prise en charge des autorisations de prélèvement s’est rapidement posée. En effet, s’il n’y a plus de contrat papier, comment demander à un client de transmettre une autorisation de prélèvement à sa banque ? Dès 2008, Guillaume DESPAGNE a discuté de ce sujet avec Cyril VIGNET et a contribué à la définition des besoins de SEPAmail.  Par la suite, AriadNEXT a développé un connecteur permettant à un créancier d’émettre et recevoir des missives SEPAmail.

SFR, via le connecteur AriadNEXT, a donc été le premier utilisateur de l’application GEMME et, aujourd’hui, c’est plus de 40 000 autorisations de prélèvement qui ont été dématérialisées avec SEPAmail.

Suite à ce succès, AriadNEXT s’est imposé comme un partenaire naturel du projet SEPAmail et a développé plusieurs logiciels, notamment un client SEPAmail pour Android et un serveur SEPAmail utilisé dans le cadre de la démonstration e-commerce menée par SEPAmail.eu.

Quel est votre implication dans la communauté SEPAmail ?

Nous avons un double rôle au sein de la communauté : d’une part nous sommes éditeurs de logiciels SEPAmail à part entière, comme expliqué précédemment. D’autre part, nous communiquons auprès de nos clients (grands créanciers et services publics) sur les opportunités offertes par SEPAmail.

A ce propos, nous préparons une matinale autour de ce sujet le 27 mars prochain. L’objectif de cette matinale est double : montrer les opportunités que représentent SEPAmail pour les créanciers et les e-commerçants puis détailler l’offre SEPAmail d’AriadNEXT. Les personnes qui le souhaitent peuvent demander une invitation en envoyant un email à sepamail _at_ ariadnext.com.

Quelle évolution pour la suite ?


L’année 2013 devrait permettre à AriadNEXT de s’affirmer en tant qu’éditeur de logiciels SEPAmail. Cela va passer par le renforcement de l’offre pour les créanciers (connecteur SEPAmail en mode hébergé) mais également par l’ouverture d’un service à destination des banques. Ce projet en cours de finalisation permettra aux banques non encore rattachées au réseau SEPAmail de se connecter simplement, sans faire d’évolutions lourdes dans leur infrastructure.

A plus long terme, le but d’AriadNEXT est de contribuer au développement durable de SEPAmail pour pouvoir ensuite construire par dessus des services liés au coeur de métier d’AriadNEXT : vérification de coordonnées bancaires, dématérialisation de mandats SEPA, ...

mercredi 23 janvier 2013

SEPAmail et les wallets : comment est-ce que cela s'articule ?

Le wallet


Un porte-feuille électronique (ou wallet) est un stockage virtuel d'identifiants bancaires permettant d'initier des paiements de type électronique.

Le wallet est donc une fonctionnalité orientée stockage.

Plutôt que d'avoir sur vous votre chéquier, un porte-feuille contenant des billets et des pièces ou un porte-carte contenant de nombreuses cartes bancaires ou autre, le wallet vous propose de dématérialiser tout cela en un seul stockage virtuel pouvant être accédé par une application de votre téléphone portable ou votre ordinateur.

L'intérêt est évident car cela évite d'avoir toutes ses cartes dans son portefeuille physique, voir d'avoir un portefeuille... Le wallet peut en interface avec certains sites douteux générer un code de carte (PAN) unique afin de ne pas corrompre les identifiants bancaires... On peut même imaginer qu'il n'y ait plus de cartes bancaires physiques.

La sécurité de ce stockage et de votre authentification sont garantis, la plupart du temps par des techniques de cryptographie et une bonne assurance de l'éditeur de la solution.
Il faut en effet sécuriser :
  • votre authentification sur votre terminal (smartphone ou pc)
  • votre espace virtuel dans le cloud, hébergé par votre éditeur, contenant vos identifiants bancaires et les fonctions pour les transmettre à un tiers
  • votre terminal (smartphone ou pc), dit environnement local de confiance qui réalise les opérations de cryptographie et qui est souvent le point faible du dispositif
  • la liaison entre votre smartphone et le terminal de paiement, souvent sans contact
Toutes les techniques nécessaires sont connues pour cette sécurisation ainsi que de nombreuses failles. Peu d'acteurs communiquent dessus. Je vous renvoie à mon billet sur la cryptographie pour comprendre comment certains experts plutôt dogmatiques mettent en avant des systèmes qui seraient ultimes. Cela rassure et cela s'assure...
Le portefeuille électronique est donc la combinaison de deux modules
  • le cœur du métier d'une application de paiement et de consultation
  • un espace de stockage numérique (on pourrait dire dématérialisé pour l'utilisateur)http://sepamail.blogspot.fr/2012/07/sapphire.html
Entre les deux, les flux sont le plus souvent propriétaires en mode client/serveur sans interopérabilité annoncée entre les différentes solutions
du marché.

SEPAmail


SEPAmail est un standard d'échange de données sécurisé, ouvert et structuré.

SEPAmail codifie des fonctionnalités orientées flux.

SEPAmail permet le transport de toutes sortes de messages et de réaliser toutes formes de dialogues, du moment que le contenu du message et la séquence du dialogue sont structurés et prédéfinis.

Par exemple, SEPAmail permet d'échanger une demande de paiement et son refus/acceptation entre deux personnes, quelques soient les applications utilisées, les canaux d'initiation du paiement, les banques, les supports sécurisés des identifiants bancaire etc.
Les banquiers expérimentent une application utilisant SEPAmail qui s'appelle RUBIS. Elle permet cet échange d'information d'une demande de règlement entre leur clients, qu'ils soient particuliers, entreprises ou institutions.

SEPAmail permet d'inventer des dialogues divers. Plusieurs ont déjà été proposés à la communauté :
  • autour de la demande de règlement (application RUBIS),
  • autour de la signature de document (application JASPE)
  • autour du mandat de prélèvement (application GEMME)
  • autour de l'avis de règlement (application JADE)
  • autour de la transmission de facture complexe (application IOLITE)
  • autour du simple courriel ou du sms (application AGATE)
  • autour de la vérification d'identifiant bancaire (application DIAMOND)
SEPAmail n'est donc pas un moyen de paiement; Il dit comment codifier un échange d'information qui permet éventuellement d'articuler une initiation de paiement et donc un paiement.

SEPAmail et les wallets


SEPAmail étant orienté flux, il permet de rendre interopérables des modules fonctionnels entre eux, relevant d'authentification différentes.

Cela pourrait être notamment :
  • un wallet et un coffre-fort électronique,
  • un wallet et un site eCommerce,
  • un wallet et un système d'information bancaire
  • un wallet et un DAB (Distributeur automatique de billet)
  • un wallet et une caisse/tpe
Le site eCommerce est un bon candidat pour mettre en oeuvre SEPAmail avec les wallets car aujourd'hui l'éditeur du site est innondé d'offres de paiements diverses qui lui demandent de gérer une page de paiement illisible pour son client, des connexions concurrentes à d’innombrables interfaces propriétaires (API).

Si on prend le parallèle avec le point de vente physique, on est à l'époque où chacun proposait un terminal de paiement électronique (tpe) différent.
Imaginez le commerçant avec un TPE différent pour visa, mastercard, l'american express etc...

Il est vrai que, dans le domaine domestique, les téléspectateurs ont bien accepté depuis plus de 10 ans d'avoir 2 à cinq télécommandes dans les mains.

L'avenir nous dira si les éditeurs de boutiques e-Commerce acceptent de développer N prises de paiement à des wallets ou, comme beaucoup d'entre eux, s'ils préfèrent faire faire le travail par un intermédiant comme ogone, system-pay, paybox, etc... et les réactions de ces intermédiants à la multiplication des prises de paiement.

SEPAmail permet-il de sécuriser l'authentification des personnes  pour le wallet ?


Oui et Non.

Oui, car SEPAmail ne peut être mis en œuvre que dans des conditions d'authentification des personnes garanties par le fournisseur de l'accès à SEPAmail (adhérent du réseau).

Oui, car SEPAmail permet de transporter les éléments sécurisés nécessaires aux techniques de cryptographie.

Non, car SEPAmail ne codifie rien sur la nature de cette authentification, laissant l'adhérent mettre en œuvre sa solution vis à vis de ces clients.

Par contre, SEPAmail propose de généraliser un autre protocole qui pourrait faire référence dans ce domaine s'il venait à être généralisé: SAPPhire.

Avec SAPPhire + SEPAmail, n'importe quel wallet est interopérable avec application mobile, boutique e-commerce et module fonctionnel en général.

Gageons que les quelques acteurs monopolistiques qui essaient d'occuper 80% du marché vont se faire tirer l'oreille par les nombreux utilisateurs des moyens de paiements électroniques.

samedi 19 janvier 2013

SEPAmail expliqué à mes proches

Le titre de cet article aurait pu être "SEPAmail pour les nuls" mais il traduit mal ce que sont mes proches ou le néophyte qui entre dans le sujet SEPAmail.

Voici le dialogue que j'aurais pu avoir avec mon épouse, ma maman, l'un de mes fils, ma meilleure amie etc.
Bien entendu, il est plus facile de l'écrire que rendre réel un tel échange.

SEPAmail, c'est quoi ?

SEPAmail, c'est juste un standard, c'est à dire un ensemble de règles qu'une communauté de personnes et de programmes utilisent.

C'est comme un standard en circulation routière. Un groupe de personnes définissent les largeurs des voies, les rayons de courbures des tournants, la hauteur des ponts et des tunnels, pour que les constructeurs de voitures, de camion, de route, de ponts, de rond-points etc. puissent réaliser les véhicules adaptées à ces routes.

A quoi sert SEPAmail ?

SEPAmail sert à structurer le contenu d'un courriel et sécuriser son transport.

Un courriel (email) aujourd'hui souffrent de trois gros défauts :
  • c'est une carte postale que tout le monde peut lire sur internet
  • rien n'affirme que l'expéditeur est celui qu'il dit être
  • le contenu est libre, on peut y écrire ce que l'on veut et y  joindre n'importe quel document
Ces trois défauts font la joie de prédateurs qui cherchent à récupérer de l'argent des autres utilisateurs.

L'absence de structure dans son contenu (le troisième défaut) permet une grande liberté mais c'est difficile à interpréter par un programme. C'est pourquoi sur les sites internet, ce sont des formulaires qui remplacent les emails (même de contact).
Ainsi, il est plus facile de faire interpréter le contenu par un programme, d'automatiser les tâches (aiguillage, tri, distribution) et ainsi d'acheminer l'information au bon agent humain si besoin.

SEPAmail propose une organisation qui transforme le courriel de la façon suivante :
  • il est confidentiel sur internet, donc ce n'est plus une carte postale mais une lettre scellée;
  • des agents intermédiaires vont garantir que l'expéditeur est celui qu'il dit être, même si tu ne le connais pas, que tu ne l'as jamais vu, que tu ne sais pas comment le reconnaitre;
  • le contenu du courriel est un formulaire d'un certain type, qui attend du destinataire une certaine réponse. Chacun de ces dialogues est du type question/réponse et défini dans une application précise de SEPAmail.
    Il y a déjà de nombreuses applications SEPAmail : une demande de paiement, une demande de signature de document, un mandat de prélèvement, un avis de réglement, une transmission de facture et même un simple courriel ou sms;
  • il est toujours possible de joindre un ou plusieurs documents d'un type spécifique et sécurisé;
  • il y a un accusé de réception de chaque envoi systématique, ce qui permet aux programmes et aux humains d'être sûr que le message est bien arrivé et qu'il sera acheminé vers le bon destinataire;

Qui va utiliser SEPAmail ?


Je ne sais pas, cela dépend de beaucoup de choses.

Quand une route est construite, quand le courrier pour tous a été mis en place, quand le courriel est arrivé, il y a plein de personnes qui ne voyaient pas l'intérêt car ils n'avaient pas de besoins ou ils n'étaient pas conscients du besoin.

Je me souviens que pour le courriel, au début, j'étais l'un des seuls de mon entourage à avoir une adresse mail donc je ne m'en servais pas beaucoup.

Ce sont les entreprises qui s'y sont mises en premier, car pour elle, cela réduisait beaucoup leur charge (papier, stockage) et permettait des délais que seul le fax autorisait (sans grande qualité). La notion de pièce jointe du courriel avec la possibilité d'échanger de façon simple et désynchronisé des fichiers sources (document, image etc...) a vite conquis la plupart des employés. Puis, comme souvent, ces employés ayant compris l'intérêt, ont commencé à utiliser le mail dans leurs usages domestiques.

Pour la conversation instantanée (chat) et le sms, c'est plutôt allé dans le sens contraire. Les particuliers, surtout les jeunes, s'y sont mis très vite et ont emportés les parents qui ont amenés l'usage dans leur entreprise.

Pour reprendre ta question, ceux qui vont utiliser SEPAmail sont ceux qui en ont le plus besoin si une masse critique d'utilisateurs est atteinte.

Les visions des uns et des autres sont différentes sur ce sujet; certains pensent que ce sont les usages domestiques qui vont inciter l'usage professionnel; d'autres pensent que cela va être le contraire.

Pour ma part, c'est la masse critique qui me semble être l'objectif premier.

Un autre objectif est que SEPAmail reste ouvert à tous et réalisé par de nombreux opérateurs (comme pour le courriel) et non un seul.

Pourquoi tu parles toujours de banque avec SEPAmail ?

Je t'ai parlé d'agents intermédiaires qui garantissent que l'expéditeur est celui qu'il dit être.

Cette organisation de proche en proche permet de ne pas avoir à rencontrer tous tes interlocuteurs à chaque échange.

Aujourd'hui, les circuits de l'argent dans la plupart des pays (qui ne sont pas des paradis fiscaux) sont opérés par un réseau assez important pour laisser le choix à l'utilisateur et assez petit pour contraindre ce réseau à des règles strictes. Ce sont les banques qui orchestrent ce réseau.
Parmi ces règles, il y a celle de connaître leur client et pouvoir les identifier (qui ils sont) et les authentifier (la personne en face d'eux, au téléphone, sur le site internet est bien son client).

Les banques sont donc de bons candidats pour être ces agents intermédiaires.

De plus, elles savent articuler un paiement si besoin.

Par exemple, tu me demandes de te rembourser un billet de train par SEPAmail, je te dis d'accord et alors, ma banque peut te faire le virement de façon automatique.

Par contre, les banques ne sont pas nécessaires et d'autres acteurs peuvent très bien jouer ce rôle de tiers de confiance.

Ce qui est important, c'est que nos deux tiers de confiance (le tien et le mien) se fassent confiance et mettre en oeuvre l'organisation SEPAmail car une grande partie de la sécurité est portée par eux deux.

Dans SEPAmail, on appelle ces tiers de confiance des adhérents SEPAmail et nous deux des utilisateurs SEPAmail.

Et pourquoi le nom SEPAmail alors ?

Le SEPA, c'est le paiement européen standardisé qui se généralise en Europe en 2014 avec un virement et un prélèvement codifié par des règles communes pour tous.

Le SEPA n'a pas prévu de sécuriser les échanges d'information avant ou après un paiement SEPA.

SEPAmail, c'est donc initialement le standard du mail autour du SEPA.

Mais SEPAmail permet de structurer et sécuriser n'importe quel échange d'information qui tiendrait dans un courriel classique.

jeudi 17 janvier 2013

Comment participer à la communauté SEPAmail ?

La question de comment contribuer m'est souvent posée.

Je vais tenter d'y répondre en quelques lignes et j'invite tous ceux qui dynamisent cette coopération à faire leur commentaire éventuel en réaction.

Les points d'entrée de la communauté SEPAmail sont multiples :
  • pour proposer une nouvelle idée, le principe est de soumettre une demande de commentaire interne nommée SMIRK (SepaMail Internal Request for Komment) au scheme sur l'adresse scheme _at_ sepamail.eu. Tout est résumé ici.
  • pour signaler une anomalie, poser une question, interagir avec les membres des comités SEPAmail, le mieux est de poser sa question directement sur la documentation en ligne, à l'onglet "discussion" de l'article qui vous pose question; il y a des personnes en lien avec la plupart des pages qui suivent les modifications de celles-ci et répondent aux questions posées
  • pour participer à un comité, le plus simple est de s'adresser à la structure sepamail.eu via ce formulaire. Une adhésion est aussi possible pour les entreprises, les futurs adhérents et tous ceux qui sont intéressés. Toutes les contributions sont les bienvenues.
  • pour participer à la traduction dans votre langue natale, vous pouvez également proposer votre assistance via ce formulaire pour obtenir les accès nécessaires à la traduction en ligne de la documentation
Pour les autres contributions, n'hésitez pas à commenter largement ces pages et poser vos questions; nous sommes quelques uns à pouvoir répondre à vos questions.

mardi 8 janvier 2013

Communauté SEPAmail : DenyAll

Nous continuons notre tour des entreprises de la communauté SEPAmail avec DenyAll.

Jacques Sebag, directeur général et Renaud Bidou, directeur technique, se sont très tôt intéressés au standard SEPAmail et ont apporté durant l'année 2012 une contribution importante au groupe sécurité.

Stéphane de Saint Albin, directeur marketing, répond à nos questions.

Quand a été créé DenyAll, dans quel contexte ?


DenyAll est un éditeur français de logiciel, leader sur le marché de la sécurité applicative. Spin-off de la Société Générale, fondée en 2001, la société fut l’un des pionniers du Web Application Firewall au niveau mondial. Afin de sécuriser ses applications bancaires, la Société Générale avait en effet mis au point l’un des premiers reverse proxy filtrant, une technologie qui n’existait pas encore sous forme commerciale à la fin des années 90. DenyAll n’a cessé d’innover depuis pour répondre aux défis liés à la sécurisation et à l’accélération des applications et services Web de ses clients.

Combien de collaborateurs, quels profils, quelles fonctions ?


DenyAll emploie une quarantaine de personnes, dont plus de la moitié sont des ingénieurs logiciels, qui innovent pour lutter contre les attaques connues et inconnues. Les ingénieurs avant-vente sont des experts en sécurité réseau et applicative. La direction est composée de vétérans de l’industrie du logiciels et d’experts en sécurité :
  • Jacques Sebag, Directeur Général, a plus de 25 années d'expérience en France, en Europe et aux Etats-Unis. Il a contribué au développement d’Oracle, Remedy, Veritas, Symantec et Ever Team.
  • Renaud Bidou, Directeur Technique, est un expert de la sécurité reconnu. Il a fondé la société Intexxia, premier SOC français en 2000, et travaillé pendant 5 ans chez Radware.
  • Stéphane de Saint Albin, Directeur Marketing, a exercé diverses fonctions au sein d’éditeurs comme Microsoft, 4D, Symantec et Neowave, en France, en Europe et aux Etats-Unis.

Quels sont les principaux produits ou services développés et vendus ?


L’offre de DenyAll s’articule autour des thèmes Protect, Detect et Manage :

  • Protect : les produits historiques de DenyAll sont des pare-feux pour applications et services Web. rWeb, sProxy et rXML s’appuient sur une technologie reverse proxy éprouvée et une architecture modulaire qui permet à la société d’ajouter régulièrement de nouveaux modules de sécurité, comme ce fut le cas pour Sepamail.
  • Detect : suite à l’acquisition de la société VulnIT en juillet 2012, DenyAll propose une gamme de scanneurs conçus pour aider auditeurs et équipes en charge de la sécurité informatique à gérer les vulnérabilités de leur infrastructure et de leurs applications, y compris en mode SaaS/Cloud, pour tester les défenses depuis l’extérieur.
  • Manage : la console de management (DAMC) permet de réduire le TCO, de centraliser l’allocation des tâches entre administrateurs en charge de la sécurité, de l’infrastructure informatique et des applications.


Quel est le profil de vos clients, quelles sont vos références ?


DenyAll a vendu initialement aux grandes institutions financières Françaises. La société s’est développée sur d’autres secteurs verticaux en Europe, aidant les entreprises leaders des secteurs de l’énergie, des transports, des télécoms, de la défense, des médias, de la distribution, des services et du secteur public à protéger leurs applications Web. Aujourd’hui, DenyAll compte plus de 300 clients actifs, dont un tiers sont membres du CAC40. Une part grandissante des nouveaux clients de DenyAll sont des entreprises de tailles moyennes en Europe, Afrique du Nord, au Moyen-Orient et en Asie.

Quelles sont vos spécificités ?


DenyAll est un expert de la sécurité applicative. Avec plus de 10 ans d'expérience dans la sécurisation et l’accélération des applications Web, XML et FTP, DenyAll répond aux besoins de la plupart des organisations, grands comptes comme PME. Les pare-feux applicatifs de DenyAll protègent plus de 30 000 sites transactionnels, frontaux web, applications à base de Web Services (SOA) et outils de collaboration, en environnement traditionnel comme dans le Cloud. Les innovations DenyAll incluent la Scoring List, l’analyse comportementale, l’architecture Multi-DMZ et son mode Pooling, le module Client Shield qui contrôle l’exécution sécurisée du navigateur, des nouveaux moteurs de sécurité pour les langages modernes tels que JSON, le Mode Transparent Sécurisé, pour un déploiement facilité sans compromis de sécurité et le virtual patching, fruit de l’intégration entre les produits Protect et Detect.

Quel est votre lien à SEPAmail ?

Nous fournissons des solutions de sécurité des couches de transport. Concrètement, cela signifie que nous sécurisons les flux HTTP ainsi que les données XML utilisés pour échanger les missives. En effet les protocoles utilisés sont connus pour servir de vecteur d’attaque des couches applicatives. De telles attaques pourraient compromettre l’intégrité des données, interférer sur les processus de traitement, altérer les transactions, voire permettre un accès illégitime aux terminaux des administrateurs ou des utilisateurs du service.

Ainsi nous vérifions qu’aucune attaque n’est insérée dans les données en comparant les flux avec différentes bases de signatures. Nous nous assurons également que les formats de données sont conformes aux spécifications afin de prévenir d’erreurs de traitement volontaires ou non. Enfin les fichiers sont extraits et transmis à un anti-virus afin d’identifier toute menace de cette nature avant leur traitement.

Quel est votre implication dans la communauté SEPAmail ? Quelle évolution pour la suite ?

A l’issue de la première expérimentation, nous avons remis une étude de la sécurité des couches de transport au groupe de travail sécurité. Cette étude avait pour but de mettre en avant les failles techniques et structurelles que nous avons identifiées lors des tests. Cela a permis de renforcer la sécurité de certains composants de la chaine applicative, tels que les modèles de données par exemple, et de définir les contours fonctionnels des besoins de sécurisation de la couche de transport.

Dans l’avenir nous continuons à travailler avec certains membres de la communauté pour la mise en production de nos solutions de sécurité. Nous restons également disponible pour assister le groupe de travail sécurité dans ses travaux touchant à nos domaines d’expertise.

lundi 7 janvier 2013

Revue de presse : décembre 2012

Voici quelques perles ratées des mois précédents :

et celles que j'ai trouvées pour le mois de décembre :

j'ai oublié volontairement les doublons des messages déjà cités.