Dispositifs de sécurité
Pour sécuriser le téléservice, les techniques suivantes sont mises en œuvre :
- https sur toutes les origines ;
- marquage des cookies « HttpOnly » et « Secure » ;
- entêtes http dédiés à la sécurité alignés sur les standards techniques du donneur d'ordre, dont une « Content Security Policy ». Les règles applicables aux sous-ressources sont centrées sur l'origine « self », les condensats d'intégrité ou les valeurs uniques de circonstance mais sans « unsafe ».
Les authentifications du téléservice sont déléguées à un fournisseur d'identité désigné par le commanditaire (i.e. FranceConnect ou AgentConnect au standard OpenIDConnect) ou une présentation de certificats (X.509).