Bonjour,

L'entreprise dans laquelle je travaille, développe et vend un ERP développé en .Net pour la plateforme Windows.
Nous avons aussi entrepris le développement d'une application Mobile connecté à cet ERP pour que nos clients est accès à la partie CRM en mobilité avec leurs smartphones/tablettes.
Cette application mobile est une application web développée avec le framework Sencha Touch.
Enfin pour permettre l'accès de l'application Mobile aux données de l'ERP, nous avons développé un Service Web en utilisant ASP.Net Web API.

Pour nos clients, il s’agira donc d'une utilisation interne à l'entreprise mais via un accès à travers le Web sur leurs serveurs.
Pour l'instant, l'application mobile et le service web sont accessibles depuis le serveur IIS du client à travers un port spécifique ouvert sur le routeur.
L'authentification de l'application Mobile sur le service Web est réalisée avec de l'Authentification Basic. Pour sécuriser l'échange entre les deux, nous activons aussi le protocole SSL et nous générons nos propres certificats (CA et certificat le serveur Web) étant donné qu'il s'agit d'une utilisation "interne" à l'entreprise.

C'est là qu'interviennent mes questions :

- Quelles méthodes emploieriez-vous pour avoir un accès sécurisé à ce web service, dans le but de garantir la confidentialité des données, et empêcher l'accès à des personnes non autorisées aux serveurs de l'entreprise ? (En considérant ce genre de cas d'utilisation)
- Est-ce que dans notre cas d'utilisation, la sécurité mise en place, le type d'authentification utilisé suffisent ?
- Considérez-vous qu'il faille passer par une autorité de certification pour les certificats ?
- Faut-il obligatoirement passer par une liaison VPN pour plus de sécurité ?

Merci d'avance pour vos réponses et retours d'expériences
Cordialement,
Yvan