SlideShare une entreprise Scribd logo

Mise en œuvre d’une solution biométrique d’authentification forte

Télécharger en tant que PPTX, PDF
Sylvain Maret
Sylvain Maret

Étude de cas d'un projet d'authentification forte par biométrie dans une banque.

TechnologieBusiness
1  sur  40
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Mise en œuvre d’une solution biométrique d’authentification forte pour l’accès aux données sensibles Sylvain Maret Mercredi 27 mai 2009 / Lausanne Conseil en technologies
Agenda  Objectifs du projet  Choix technologique  Concept et design technique  Mise en œuvre  Processus humain  Formation  Difficultés rencontrées www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Le projet de gestion électronique des documents  Mise en place d’une solution de GED  Accès à des informations très sensibles  Classification de l’information: Niveau A = Secret  Chiffrement des données  Contrôle des accès  Projet pour une banque privée  Début du projet: 2005  Population concernée  500 personnes (Phase I)  A termes: 1’200 personnes (Phase II) www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
(Classification Data: Secret) Mise en place d’une technologie permettant d’identifier de façon forte – via un mécanisme de preuve irréfutable – les utilisateurs accédant au système d’information de la banque Qui accède à quoi, quand et comment ! www.maret-consulting.ch Conseil en technologies
Les contraintes techniques du projet d’authentification forte Obligatoires souhaitées  Intégration avec les applications  Intégration avec sécurité des existantes bâtiments  Web  Chiffrement des données  « Legacy »  Postes nomades  Microsoft Smart Card Logon  Applications futures  Séparation des rôles  Réseau et systèmes  Quatre yeux  Authentification forte  Signature numérique  Support impression  Auditing, Preuve  Accès aux imprimantes  Gestion des preuves www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Choix technologique authentification forte Conseil en technologies
Quelle technologie d’authentification forte ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
OTP PKI (HW) Biométrie Authentification forte Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
2 = « Authentifieur » 1= lien fort avec l’utilisateur www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
La technologie d’authentification forte pour ce projet  Utilisation certificat numérique  PKI (X509)  Biométrie  Lecture des empreintes  Match on Card www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Match On Card: c’est quoi ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Stockage des empreintes: que dit la loi ? Préposé fédéral à la protection des données et à la transparence  Biométrie : l’autorisation  Forte recommandation de la CNIL est d’utiliser un support obligatoire ! physique tel que carte à puce, clé USB, etc.  Pour la biométrie basée sur les empreintes digital, obligation de stocker les données sur un support physique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Concept et design technique www.maret-consulting.ch Conseil en technologies
Concept de base: un lien unique Gestion des identités Gestion des accès Issuer IT cert Issuer App A cert Database User Lien: cn User PHASE 1 PHASE 2 Authentification Autorisation PKI www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Composants de l’architecture technique  Mise en place d’une PKI « intra muros »  Non Microsoft (Séparation des pouvoirs)  Mise en place de la révocation Online  Protocole OCSP  Utilisation d’un Hardware Security Module  Sécurisation de l’architecture PKI  OS « Hardening »  Firewall interne  SSH pour le « remote » management  Auditing www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Concept pour la sécurisation de l’application GED www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
La mire d’authentification biométrique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Mise en œuvre www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Quelques dates clé du projet (1/3)  Décembre 2005: démarrage du projet Authentification Forte  Avril 2006: Finalisation de l’étude Technologie  Novembre 2006: Lettre de cadrage  Décembre 2006: Audit du projet par Ernst & Young  Janvier 2007: Intégration de la solution  Juin 2007: Cérémonie de génération des Clés  Juillet 2007: Mesure de recettes solution technique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Quelques dates clé du projet (2/3)  Octobre 2007: Finalisation des procédures d’exploitation  Processus  Novembre 2007: Formation team gestion des identités  Début 2008: Déploiement  Enrôlement de 400 personnes  Installation des lecteurs  Mi 2008: Blocage du projet  Pas de déploiement dans les succursales  Mise en conformité de la PKI avec le principe des quatre yeux  Circulaire CFB 06/6 – contrôle interne, séparation des rôles / tâches www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Quelques dates clé du projet (3/3)  Fin 2008: Rédaction CP & CPS pour la PKI  Début 2009: Changement des processus de génération des identités  Février 2009: Cérémonie pour le partage des secrets  Avril 2009: Déploiement dans les succursales www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Processus Processus Humain Humain www.maret-consulting.ch Conseil en technologies
Le maillon faible ? Plus important que la technique…  Définition des rôles  Tâches et responsabilités  Objectif: séparation des pouvoirs  Quatre yeux  Mise en place des processus pour la gestion des identités  Mise en place des procédures d’exploitation www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Mise en place des processus pour la gestion des identités  Processus pour le team gestion des identités  Enrôlement des utilisateurs  Révocation  Gestion des incidents  Perte, vol, oublie de la carte  Renouvellement  Etc.  Processus pour le Help Desk  Processus pour les Auditeurs  Processus pour le RSSI  Etc. www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Le résultat  Une série de documents initiaux  Procédures d’exploitation  Description des processus  Charte d’utilisation  Définition des rôles et responsabilités  Partage des secret (Quatre yeux)  Etc.  Adaptation des documents www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Formation www.maret-consulting.ch Conseil en technologies
 Un élément très important !  Formation du team gestion des identités  Formation des utilisateurs  Formation Help Desk  Formation aux technologies  PKI  Biométrie www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Formation du team gestion des identités  Un long travail à ne pas négliger  Technique de prise d’empreinte  Comment expliquer la technologie  Gestion des problèmes  Technique  Humain  Coaching les 1ere semaines www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Formation des utilisateurs  Environ 30 minutes par utilisateur lors de l’enrôlement  Explication de la technologie  Match on Card  Positionnement des doigts  Essais  Remise d’une brochure explicative  Signature de la charte d’utilisation www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Difficultés rencontrées www.maret-consulting.ch Conseil en technologies
Quelques exemples…  Enrôlement de certains utilisateurs  Problème pour la convocation des gestionnaires  Problème technique sur le système de validation Online www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Enrôlement de certains utilisateurs  Problème  La solution  Capture des empreintes  Utilisation de capteur de sur certaines personnes meilleur qualité  Entre 1 à 2% des personnes présentent  Création d’un profil avec des problèmes pour un FAR plus faible l’enrôlement www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Problème pour la convocation des gestionnaires  Problème  La solution  Convocation pour la  Passage par la prise d’empreinte direction de l’entreprise (CEO)  Pas de succès  Peu de réponse ! www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Problème technique sur le système de validation Online  Problème  Solution  Instabilité du système de  1 année de « debugging » révocation au labo  Impossible de reproduire le Bug avec le support de  Trouvé le problème l’éditeur  Trop de mémoire sur les  Elément très critique de serveur de validation l’architecture  Limitation de la mémoire www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Retour d’expérience www.maret-consulting.ch Conseil en technologies
Conclusion (1/2)  La technique est un aspect mineur pour la réussite d’un projet de cette ampleur  Ne pas sous estimer la rédaction des processus  CP / CPS pour la PKI  Processus de gestion  Ne pas sous estimer la séparation des pouvoirs  Demander un appuis de la direction www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Conclusion (2/2)  L’auditing est très important  Contrôle de la gestion des identités  Gestion de la fraude  La Biométrie est une technologie mature  Technologie PKI  Offre un noyau de sécurité pour le futur  Chiffrement, signature  Information Rights Management  Sécurité de la donnée  Un pas vers la convergence  Sécurité physique et logique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
La suite du projet: la convergence ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
Quelques liens  MARET Consulting  http://maret-consulting.ch/  La Citadelle Electronique (mon blog)  http://sylvain-maret.blogspot.com/  Article banque et finance: Usurper une identité? Impossible avec la biométrie!  http://www.banque-finance.ch/numeros/88/59.pdf www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
quot;Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numériquequot; www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009

Recommandé

Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2
Sylvain Maret
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériques
Sylvain Maret
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On Card
Sylvain Maret
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’IT
Sylvain Maret
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passe
Alice and Bob
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
Nis
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
Sylvain Maret
 

Recommandé

Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2
Sylvain Maret
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériques
Sylvain Maret
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On Card
Sylvain Maret
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’IT
Sylvain Maret
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passe
Alice and Bob
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
Nis
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1
Sylvain Maret
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
Sylvain Maret
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
Sylvain Maret
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
Sylvain Maret
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Sylvain Maret
 
Authentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DAuthentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre D
Sylvain Maret
 
Brochure Semlex Group FR
Brochure Semlex Group FRBrochure Semlex Group FR
Brochure Semlex Group FR
Semlex Europe
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres siveton
CLDEM
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
Antoine Vigneron
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Witekio
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
Sylvain Maret
 
lextension-auriga-20100421
lextension-auriga-20100421lextension-auriga-20100421
lextension-auriga-20100421
Marcelo Correa de Oliveira
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on Card
Sylvain Maret
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
Thawte
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
Antoine Vigneron
 
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Matooma
 
SEMLEX Brochure complète 2017
SEMLEX Brochure complète 2017SEMLEX Brochure complète 2017
SEMLEX Brochure complète 2017
Semlex Europe
 
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
Sébastien Bourguignon
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
Mathieu Isaia | TheGreeBow
 
Car one magazine_ Invierno 2012
Car one magazine_ Invierno 2012Car one magazine_ Invierno 2012
Car one magazine_ Invierno 2012
EmeGe SocialMedia
 
Prospectiva Universitaria en Venezuela
Prospectiva Universitaria en VenezuelaProspectiva Universitaria en Venezuela
Prospectiva Universitaria en Venezuela
Universidad Dr. Jose Gregorio Hernandez
 
Pal oil mill machines
Pal oil mill machinesPal oil mill machines
Pal oil mill machines
Musa Sabri
 
Informatica bb 2011
Informatica bb 2011Informatica bb 2011
Informatica bb 2011
Julia Cristina Mitzner
 

Contenu connexe

Tendances

Authentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DAuthentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre D
Sylvain Maret
 

Tendances (18)

Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Authentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DAuthentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre D
 
Brochure Semlex Group FR
Brochure Semlex Group FRBrochure Semlex Group FR
Brochure Semlex Group FR
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres siveton
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
 
lextension-auriga-20100421
lextension-auriga-20100421lextension-auriga-20100421
lextension-auriga-20100421
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on Card
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
 
SEMLEX Brochure complète 2017
SEMLEX Brochure complète 2017SEMLEX Brochure complète 2017
SEMLEX Brochure complète 2017
 
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
 

En vedette

Car one magazine_ Invierno 2012
Car one magazine_ Invierno 2012Car one magazine_ Invierno 2012
Car one magazine_ Invierno 2012
EmeGe SocialMedia
 
Biomarker Analyst_Presentation_For_Client
Biomarker Analyst_Presentation_For_ClientBiomarker Analyst_Presentation_For_Client
Biomarker Analyst_Presentation_For_Client
Camille Diges
 
Eman Jaheen Resume 2(1)- e.jaheen@outlook
Eman Jaheen Resume 2(1)- e.jaheen@outlookEman Jaheen Resume 2(1)- e.jaheen@outlook
Eman Jaheen Resume 2(1)- e.jaheen@outlook
Eman Jaheen
 
Energia, potencia y trabajo!
Energia, potencia y trabajo!Energia, potencia y trabajo!
Energia, potencia y trabajo!
danielasandoval96
 
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
Snag
 

En vedette (20)

Car one magazine_ Invierno 2012
Car one magazine_ Invierno 2012Car one magazine_ Invierno 2012
Car one magazine_ Invierno 2012
 
Prospectiva Universitaria en Venezuela
Prospectiva Universitaria en VenezuelaProspectiva Universitaria en Venezuela
Prospectiva Universitaria en Venezuela
 
Pal oil mill machines
Pal oil mill machinesPal oil mill machines
Pal oil mill machines
 
Informatica bb 2011
Informatica bb 2011Informatica bb 2011
Informatica bb 2011
 
Biomarker Analyst_Presentation_For_Client
Biomarker Analyst_Presentation_For_ClientBiomarker Analyst_Presentation_For_Client
Biomarker Analyst_Presentation_For_Client
 
Conor2011
Conor2011Conor2011
Conor2011
 
Jeser e Isabel <3
Jeser e Isabel <3Jeser e Isabel <3
Jeser e Isabel <3
 
Vetbiz smart technology tools
Vetbiz smart technology toolsVetbiz smart technology tools
Vetbiz smart technology tools
 
Name one gay club/bar for each of these global cities? And a little descripti...
Name one gay club/bar for each of these global cities? And a little descripti...Name one gay club/bar for each of these global cities? And a little descripti...
Name one gay club/bar for each of these global cities? And a little descripti...
 
11.4
11.411.4
11.4
 
Semana 2 actividad 2.2 función de un lms - josé jaime ruiz - ges
Semana 2 actividad 2.2 función de un lms - josé jaime ruiz - gesSemana 2 actividad 2.2 función de un lms - josé jaime ruiz - ges
Semana 2 actividad 2.2 función de un lms - josé jaime ruiz - ges
 
Eman Jaheen Resume 2(1)- e.jaheen@outlook
Eman Jaheen Resume 2(1)- e.jaheen@outlookEman Jaheen Resume 2(1)- e.jaheen@outlook
Eman Jaheen Resume 2(1)- e.jaheen@outlook
 
Presentación Pacto de Socios para certificado de profesionalidad
Presentación Pacto de Socios para certificado de profesionalidadPresentación Pacto de Socios para certificado de profesionalidad
Presentación Pacto de Socios para certificado de profesionalidad
 
Story To Reflect Upon 25,26
Story To Reflect Upon 25,26Story To Reflect Upon 25,26
Story To Reflect Upon 25,26
 
Media Monitoring als Erfolgsfaktor - Beispiel M-Adaptive
Media Monitoring als Erfolgsfaktor - Beispiel M-AdaptiveMedia Monitoring als Erfolgsfaktor - Beispiel M-Adaptive
Media Monitoring als Erfolgsfaktor - Beispiel M-Adaptive
 
Antologia español
Antologia españolAntologia español
Antologia español
 
IPad2 manual_del_usuario
IPad2 manual_del_usuarioIPad2 manual_del_usuario
IPad2 manual_del_usuario
 
Energia, potencia y trabajo!
Energia, potencia y trabajo!Energia, potencia y trabajo!
Energia, potencia y trabajo!
 
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
 
Semiótica y señalética
Semiótica y señaléticaSemiótica y señalética
Semiótica y señalética
 

Similaire à Mise en œuvre d’une solution biométrique d’authentification forte

OCTO 2012 - Banque du futur 2020 : scenarios 2020
OCTO 2012 - Banque du futur 2020 : scenarios 2020OCTO 2012 - Banque du futur 2020 : scenarios 2020
OCTO 2012 - Banque du futur 2020 : scenarios 2020
OCTO Technology
 
NRC - Présentation Entreprise
NRC - Présentation EntrepriseNRC - Présentation Entreprise
NRC - Présentation Entreprise
NRC
 
Phishing Facebook Attack
Phishing Facebook AttackPhishing Facebook Attack
Phishing Facebook Attack
Sylvain Maret
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisationCyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
CERTyou Formation
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
CERTyou Formation
 
Ysatis Consulting - Offre Expertise Progiciel
Ysatis Consulting - Offre Expertise ProgicielYsatis Consulting - Offre Expertise Progiciel
Ysatis Consulting - Offre Expertise Progiciel
Patrick Blanc
 

Similaire à Mise en œuvre d’une solution biométrique d’authentification forte (20)

OpenID et Facebook
OpenID et FacebookOpenID et Facebook
OpenID et Facebook
 
Comment Sécurisé son Identité Numérique
Comment Sécurisé son Identité NumériqueComment Sécurisé son Identité Numérique
Comment Sécurisé son Identité Numérique
 
Nuxeo Summer Seminar 2007 - Micro Research (FR)
Nuxeo Summer Seminar 2007 - Micro Research (FR)Nuxeo Summer Seminar 2007 - Micro Research (FR)
Nuxeo Summer Seminar 2007 - Micro Research (FR)
 
OCTO 2012 - Banque du futur 2020 : scenarios 2020
OCTO 2012 - Banque du futur 2020 : scenarios 2020OCTO 2012 - Banque du futur 2020 : scenarios 2020
OCTO 2012 - Banque du futur 2020 : scenarios 2020
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelle
 
Tec Bretagne Hypermobilité Et Nomadisme - Explications
Tec Bretagne Hypermobilité Et Nomadisme - ExplicationsTec Bretagne Hypermobilité Et Nomadisme - Explications
Tec Bretagne Hypermobilité Et Nomadisme - Explications
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Biométrie et Mobilité
Biométrie et MobilitéBiométrie et Mobilité
Biométrie et Mobilité
 
Offre Manufacturing : Produire dans un environnement connecté
Offre Manufacturing : Produire dans un environnement connectéOffre Manufacturing : Produire dans un environnement connecté
Offre Manufacturing : Produire dans un environnement connecté
 
NRC - Présentation Entreprise
NRC - Présentation EntrepriseNRC - Présentation Entreprise
NRC - Présentation Entreprise
 
Auditel 2011 Fra
Auditel 2011 FraAuditel 2011 Fra
Auditel 2011 Fra
 
Phishing Facebook Attack
Phishing Facebook AttackPhishing Facebook Attack
Phishing Facebook Attack
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisationCyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
 
Campagne business security
Campagne business securityCampagne business security
Campagne business security
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
Ysatis Consulting - Offre Expertise Progiciel
Ysatis Consulting - Offre Expertise ProgicielYsatis Consulting - Offre Expertise Progiciel
Ysatis Consulting - Offre Expertise Progiciel
 
Pré-programme des conférences thématiques de Documation 2012
Pré-programme des conférences thématiques de Documation 2012Pré-programme des conférences thématiques de Documation 2012
Pré-programme des conférences thématiques de Documation 2012
 

Plus de Sylvain Maret

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Sylvain Maret
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
Sylvain Maret
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Sylvain Maret
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 

Plus de Sylvain Maret (20)

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 

Mise en œuvre d’une solution biométrique d’authentification forte

  • 1. MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Mise en œuvre d’une solution biométrique d’authentification forte pour l’accès aux données sensibles Sylvain Maret Mercredi 27 mai 2009 / Lausanne Conseil en technologies
  • 2. Agenda  Objectifs du projet  Choix technologique  Concept et design technique  Mise en œuvre  Processus humain  Formation  Difficultés rencontrées www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 3. Le projet de gestion électronique des documents  Mise en place d’une solution de GED  Accès à des informations très sensibles  Classification de l’information: Niveau A = Secret  Chiffrement des données  Contrôle des accès  Projet pour une banque privée  Début du projet: 2005  Population concernée  500 personnes (Phase I)  A termes: 1’200 personnes (Phase II) www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 4. (Classification Data: Secret) Mise en place d’une technologie permettant d’identifier de façon forte – via un mécanisme de preuve irréfutable – les utilisateurs accédant au système d’information de la banque Qui accède à quoi, quand et comment ! www.maret-consulting.ch Conseil en technologies
  • 5. Les contraintes techniques du projet d’authentification forte Obligatoires souhaitées  Intégration avec les applications  Intégration avec sécurité des existantes bâtiments  Web  Chiffrement des données  « Legacy »  Postes nomades  Microsoft Smart Card Logon  Applications futures  Séparation des rôles  Réseau et systèmes  Quatre yeux  Authentification forte  Signature numérique  Support impression  Auditing, Preuve  Accès aux imprimantes  Gestion des preuves www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 6. MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Choix technologique authentification forte Conseil en technologies
  • 7. Quelle technologie d’authentification forte ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 8. OTP PKI (HW) Biométrie Authentification forte Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 9. 2 = « Authentifieur » 1= lien fort avec l’utilisateur www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 10. La technologie d’authentification forte pour ce projet  Utilisation certificat numérique  PKI (X509)  Biométrie  Lecture des empreintes  Match on Card www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 11. Match On Card: c’est quoi ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 12. Stockage des empreintes: que dit la loi ? Préposé fédéral à la protection des données et à la transparence  Biométrie : l’autorisation  Forte recommandation de la CNIL est d’utiliser un support obligatoire ! physique tel que carte à puce, clé USB, etc.  Pour la biométrie basée sur les empreintes digital, obligation de stocker les données sur un support physique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 13. Concept et design technique www.maret-consulting.ch Conseil en technologies
  • 14. Concept de base: un lien unique Gestion des identités Gestion des accès Issuer IT cert Issuer App A cert Database User Lien: cn User PHASE 1 PHASE 2 Authentification Autorisation PKI www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 15. Composants de l’architecture technique  Mise en place d’une PKI « intra muros »  Non Microsoft (Séparation des pouvoirs)  Mise en place de la révocation Online  Protocole OCSP  Utilisation d’un Hardware Security Module  Sécurisation de l’architecture PKI  OS « Hardening »  Firewall interne  SSH pour le « remote » management  Auditing www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 16. Concept pour la sécurisation de l’application GED www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 17. La mire d’authentification biométrique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 18. Mise en œuvre www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 19. Quelques dates clé du projet (1/3)  Décembre 2005: démarrage du projet Authentification Forte  Avril 2006: Finalisation de l’étude Technologie  Novembre 2006: Lettre de cadrage  Décembre 2006: Audit du projet par Ernst & Young  Janvier 2007: Intégration de la solution  Juin 2007: Cérémonie de génération des Clés  Juillet 2007: Mesure de recettes solution technique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 20. Quelques dates clé du projet (2/3)  Octobre 2007: Finalisation des procédures d’exploitation  Processus  Novembre 2007: Formation team gestion des identités  Début 2008: Déploiement  Enrôlement de 400 personnes  Installation des lecteurs  Mi 2008: Blocage du projet  Pas de déploiement dans les succursales  Mise en conformité de la PKI avec le principe des quatre yeux  Circulaire CFB 06/6 – contrôle interne, séparation des rôles / tâches www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 21. Quelques dates clé du projet (3/3)  Fin 2008: Rédaction CP & CPS pour la PKI  Début 2009: Changement des processus de génération des identités  Février 2009: Cérémonie pour le partage des secrets  Avril 2009: Déploiement dans les succursales www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 22. Processus Processus Humain Humain www.maret-consulting.ch Conseil en technologies
  • 23. Le maillon faible ? Plus important que la technique…  Définition des rôles  Tâches et responsabilités  Objectif: séparation des pouvoirs  Quatre yeux  Mise en place des processus pour la gestion des identités  Mise en place des procédures d’exploitation www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 24. Mise en place des processus pour la gestion des identités  Processus pour le team gestion des identités  Enrôlement des utilisateurs  Révocation  Gestion des incidents  Perte, vol, oublie de la carte  Renouvellement  Etc.  Processus pour le Help Desk  Processus pour les Auditeurs  Processus pour le RSSI  Etc. www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 25. Le résultat  Une série de documents initiaux  Procédures d’exploitation  Description des processus  Charte d’utilisation  Définition des rôles et responsabilités  Partage des secret (Quatre yeux)  Etc.  Adaptation des documents www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 26. Formation www.maret-consulting.ch Conseil en technologies
  • 27. Un élément très important !  Formation du team gestion des identités  Formation des utilisateurs  Formation Help Desk  Formation aux technologies  PKI  Biométrie www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 28. Formation du team gestion des identités  Un long travail à ne pas négliger  Technique de prise d’empreinte  Comment expliquer la technologie  Gestion des problèmes  Technique  Humain  Coaching les 1ere semaines www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 29. Formation des utilisateurs  Environ 30 minutes par utilisateur lors de l’enrôlement  Explication de la technologie  Match on Card  Positionnement des doigts  Essais  Remise d’une brochure explicative  Signature de la charte d’utilisation www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 30. Difficultés rencontrées www.maret-consulting.ch Conseil en technologies
  • 31. Quelques exemples…  Enrôlement de certains utilisateurs  Problème pour la convocation des gestionnaires  Problème technique sur le système de validation Online www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 32. Enrôlement de certains utilisateurs  Problème  La solution  Capture des empreintes  Utilisation de capteur de sur certaines personnes meilleur qualité  Entre 1 à 2% des personnes présentent  Création d’un profil avec des problèmes pour un FAR plus faible l’enrôlement www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 33. Problème pour la convocation des gestionnaires  Problème  La solution  Convocation pour la  Passage par la prise d’empreinte direction de l’entreprise (CEO)  Pas de succès  Peu de réponse ! www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 34. Problème technique sur le système de validation Online  Problème  Solution  Instabilité du système de  1 année de « debugging » révocation au labo  Impossible de reproduire le Bug avec le support de  Trouvé le problème l’éditeur  Trop de mémoire sur les  Elément très critique de serveur de validation l’architecture  Limitation de la mémoire www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 35. Retour d’expérience www.maret-consulting.ch Conseil en technologies
  • 36. Conclusion (1/2)  La technique est un aspect mineur pour la réussite d’un projet de cette ampleur  Ne pas sous estimer la rédaction des processus  CP / CPS pour la PKI  Processus de gestion  Ne pas sous estimer la séparation des pouvoirs  Demander un appuis de la direction www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 37. Conclusion (2/2)  L’auditing est très important  Contrôle de la gestion des identités  Gestion de la fraude  La Biométrie est une technologie mature  Technologie PKI  Offre un noyau de sécurité pour le futur  Chiffrement, signature  Information Rights Management  Sécurité de la donnée  Un pas vers la convergence  Sécurité physique et logique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 38. La suite du projet: la convergence ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 39. Quelques liens  MARET Consulting  http://maret-consulting.ch/  La Citadelle Electronique (mon blog)  http://sylvain-maret.blogspot.com/  Article banque et finance: Usurper une identité? Impossible avec la biométrie!  http://www.banque-finance.ch/numeros/88/59.pdf www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 40. quot;Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numériquequot; www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009