Sylvain Maret / Security Architect  @ MARET Consulting<br />10 novembre 2009<br />Protection des données avec la biométrie...
Agenda du Webcast « StrongAuthenticationSummit »<br />Identité numérique et authentification forte<br />Authentification f...
Qui suis-je ?<br />Architecte Sécurité<br />15 ans d’expérience en Sécurité des Systèmes d’Information<br />CEO et Founder...
Protection de l’identité numérique: un sujet d’actualité ….<br />Identification <br />
Pourquoi l’authentification forte ?<br />Keylogger (hard and Soft)<br />Malware<br />Man in the Middle<br />Browser in the...
Un événement majeur dans le monde de l’authentification forte<br />12 octobre 2005: le  Federal Financial Institutions Exa...
Identification et authentification ?<br />Identification<br />Qui êtes vous ?<br />Authentification<br />Prouvez le !<br />
Définition authentification forte<br />Authentification Forte sur Wikipédia<br />
Pascal Thoniel NTX Research: « L&apos;identité numérique est la pierre angulaire de la confiance »<br />Plus d’information...
Biométrie etMatch on Card<br />
Quelle technologie d’authentification forte ?<br />
*<br />* Biométrie type Fingerprinting<br />
Une technologie en pleine mouvance<br />Entreprises<br />eBanking<br />VPN<br />Web Applications<br />Mobilité<br />GED<br...
Quelle technologie biométrique pour l’IT ?<br />
Biométrie= Authentification forte ?<br />La réponse est clairement non<br />Nécessite un deuxième facteur<br />Problème de...
Technologie Match on Card: votre PIN Code est votre doigt<br />
Exemple de technologie Match on Card pour l’IT<br />Un lecteur<br />Biométrie<br />SmartCard<br />Une carte à puce<br />Te...
Stockage des données ?<br /> Sur un support externe<br />Meilleure sécurité<br />Mode « offline »<br />MOC = Match On card...
Exemple d’utilisation de la technologie Match on Card<br />Smart Card Logon de Microsoft<br />PK-Init<br />Applications We...
Sécurité mobilité avec la technologie MOC<br />Authentification forte biométrique <br />Lecteur de type « swipe »<br />App...
           Authentification d’un utilisateur avec PKINIT (Smart Card Logon)<br />Schéma de Philippe Logean<br />e-XpertSol...
Retour d’expérience <br />dans le monde<br />bancaire<br />
Le projet de gestion électronique des documents<br />Mise en place d’une solution de GED<br />Accès à des informations trè...
(Classification Data: Secret)<br />Mise en place d’une technologie permettant d’identifier de façon forte <br />– via un m...
Les contraintes techniques du projet d’authentification forte<br />Obligatoires<br />Intégration avec les applications exi...
Gestion des accès<br />Gestion des identités<br />Lien: cn<br />PHASE 1<br />Authentification<br />forte<br />PHASE 2<br /...
Composants de l’architecture technique<br />Mise en place d’une PKI « intra muros »<br />Non Microsoft (Séparation des pou...
Concept pour la sécurisation de l’application GED<br />
La mire d’authentification biométrique<br />
Processus<br />Humain<br />Processus Humain<br />
Le maillon faible ? Plus important que la technique…<br />Définition des rôles<br />Tâches et responsabilités<br />Objecti...
Mise en place des processus<br />Processus pour le team gestion des identités<br />Enrôlement des utilisateurs<br />Révoca...
Le résultat<br />Une série de documents pour la banque<br />Procédures d’exploitation<br />Description des processus<br />...
Formation<br />
Un élément très important !<br />Formation du team gestion des identités<br />Formation des utilisateurs<br />Formation He...
Retour<br />d’expérience ?<br />
Conclusion du projet<br />La technique est un aspect mineur pour la réussite d’un projet de cette ampleur<br />Ne pas sous...
Tendance Biométrie Match on Card<br />Le projet PIV Fips-201 est un moteur !<br />Convergence<br />Sécurité physique et Sé...
Une technologie très prometteuse: Vascular Pattern Recognition <br />By SONY<br />
A quand la convergence ?<br />Une convergence difficile ! Sécurité physique et sécurité logique<br />
Merci pour votre présence sur ce Webcast<br />Pour plus d’information<br />sylvain@maret-consulting.ch<br />http://www.mar...
Quelques liens pour aller approfondir le sujet<br />MARET Consulting<br />http://maret-consulting.ch/<br />La Citadelle El...
&quot;Le conseil et l&apos;expertise pour le choix et la mise<br />en oeuvre des technologies innovantesdans la sécurité<b...
Prochain SlideShare
Chargement dans…5
×

Protection Des Données avec la Biométrie Match On Card

2 544 vues

Publié le

Un Webcast sur l'utilisation de la technologie Biométrique Match on Card pour la protection des données.

PKI, Smart Card Logon, FDE, Web Application

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 544
Sur SlideShare
0
Issues des intégrations
0
Intégrations
27
Actions
Partages
0
Téléchargements
108
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Protection Des Données avec la Biométrie Match On Card

  1. 1. Sylvain Maret / Security Architect @ MARET Consulting<br />10 novembre 2009<br />Protection des données avec la biométrie Match-on-Card<br />MARET Consulting 2009<br />
  2. 2. Agenda du Webcast « StrongAuthenticationSummit »<br />Identité numérique et authentification forte<br />Authentification forte ?<br />Technologie d’authentification forte<br />Biométrie et Match on Card<br />Certificat numérique / PKI<br />Applications pour la technologie Match on Card<br />Illustration avec un projet dans le monde bancaire<br />Tendances<br />
  3. 3. Qui suis-je ?<br />Architecte Sécurité<br />15 ans d’expérience en Sécurité des Systèmes d’Information<br />CEO et Founder MARET Consulting<br />Expert école ingénieur Yverdon & Université de Genève<br />Swiss French Area delegate at OpenID Switzerland<br />Auteur Blog: la Citadelle Electronique<br />Domaine de prédilection<br />Digital Identity Security<br />
  4. 4. Protection de l’identité numérique: un sujet d’actualité ….<br />Identification <br />
  5. 5. Pourquoi l’authentification forte ?<br />Keylogger (hard and Soft)<br />Malware<br />Man in the Middle<br />Browser in the Midle<br />Password Sniffer<br />Social Engineering<br />Phishing / Pharming<br />Le nombre de vol d’identités explose !<br />
  6. 6. Un événement majeur dans le monde de l’authentification forte<br />12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive<br />« Single Factor Authentication » n’est pas suffisant pour les applications Web financière<br />Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte<br />http://www.ffiec.gov/press/pr101205.htm<br />Et la norme PCI DSS<br />Authentification forte obligatoire pour les accès distants<br />Et maintenant des régulations Européennes<br />Services de Paiement (2007/64/CE) pour les banques.<br />
  7. 7. Identification et authentification ?<br />Identification<br />Qui êtes vous ?<br />Authentification<br />Prouvez le !<br />
  8. 8. Définition authentification forte<br />Authentification Forte sur Wikipédia<br />
  9. 9. Pascal Thoniel NTX Research: « L&apos;identité numérique est la pierre angulaire de la confiance »<br />Plus d’information sur le sujet<br />
  10. 10. Biométrie etMatch on Card<br />
  11. 11. Quelle technologie d’authentification forte ?<br />
  12. 12. *<br />* Biométrie type Fingerprinting<br />
  13. 13. Une technologie en pleine mouvance<br />Entreprises<br />eBanking<br />VPN<br />Web Applications<br />Mobilité<br />GED<br />Projet PIV FIPS-201<br />SAML<br />Grand public<br />Réseaux sociaux<br />Google docs<br />etc.<br />
  14. 14. Quelle technologie biométrique pour l’IT ?<br />
  15. 15. Biométrie= Authentification forte ?<br />La réponse est clairement non<br />Nécessite un deuxième facteur<br />Problème de sécurité (usurpation)<br />Uniquement un confort à l’utilisateur<br />Plus d’information l’usurpation<br />Etude Yokohama University<br />
  16. 16. Technologie Match on Card: votre PIN Code est votre doigt<br />
  17. 17. Exemple de technologie Match on Card pour l’IT<br />Un lecteur<br />Biométrie<br />SmartCard<br />Une carte à puce<br />Technologie MOC<br />Crypto processeur<br />PC/SC<br />PKCS#11<br />Certificat numérique X509<br />
  18. 18. Stockage des données ?<br /> Sur un support externe<br />Meilleure sécurité<br />Mode « offline »<br />MOC = Match On card<br /> Par serveur d’authentification<br />Problème de sécurité<br />Problème de confidentialité<br />Problème de disponibilité<br />Loi fédérale du 19 juin 1992 <br />sur la <br />protection des données (LPD)<br />
  19. 19. Exemple d’utilisation de la technologie Match on Card<br />Smart Card Logon de Microsoft<br />PK-Init<br />Applications Web très sensibles<br />GED<br />eBanking<br />Chiffrement des données<br />Laptop<br />Chiffrement des share<br />Solution Web SSO<br />SAML<br />Citrix<br />Remoteacces<br />VPN SSL<br />VPN IPSEC<br />Etc.<br />
  20. 20. Sécurité mobilité avec la technologie MOC<br />Authentification forte biométrique <br />Lecteur de type « swipe »<br />Applications<br />Smart Card Logon<br />VPN (SSL, IPSEC)<br />Citrix<br />Certificat X509 machine<br />Utilisation TPM<br />Authentification de la machine<br />Pre Boot Authentication<br />Full DiskEncryption<br />
  21. 21. Authentification d’un utilisateur avec PKINIT (Smart Card Logon)<br />Schéma de Philippe Logean<br />e-XpertSolutions SA<br />
  22. 22. Retour d’expérience <br />dans le monde<br />bancaire<br />
  23. 23. Le projet de gestion électronique des documents<br />Mise en place d’une solution de GED<br />Accès à des informations très sensibles<br />Classification de l’information: Secret<br />Chiffrement des données<br />Contrôle des accès<br />Projet pour une banque privée<br />Début du projet: 2005<br />Population concernée<br />500 personnes (Phase I)<br />A termes: 3000 personnes (Phase II)<br />
  24. 24. (Classification Data: Secret)<br />Mise en place d’une technologie permettant d’identifier de façon forte <br />– via un mécanisme de preuve irréfutable – <br />les utilisateurs accédant au système d’information de la banque<br />Qui accède à quoi, quand et comment !<br />
  25. 25. Les contraintes techniques du projet d’authentification forte<br />Obligatoires<br />Intégration avec les applications existantes<br />Web<br />Microsoft Smart Card Logon<br />Laptop<br />Séparation des rôles<br />Quatre yeux<br />Signature numérique<br />Auditing, Preuve<br />Gestion des preuves<br />souhaitées<br />Intégration avec sécurité des bâtiments<br />Chiffrement des données<br />Postes nomades<br />Applications futures<br />Réseau et systèmes<br />Authentification forte<br />
  26. 26. Gestion des accès<br />Gestion des identités<br />Lien: cn<br />PHASE 1<br />Authentification<br />forte<br />PHASE 2<br />Autorisation<br />Concept de base: un lien unique<br />
  27. 27. Composants de l’architecture technique<br />Mise en place d’une PKI « intra muros »<br />Non Microsoft (Séparation des pouvoirs)<br />Mise en place de la révocation Online<br />Protocole OCSP<br />Utilisation d’un Hardware Security Module<br />Sécurisation de l’architecture PKI<br />OS « Hardening »<br />Firewall interne<br />IDS<br />
  28. 28. Concept pour la sécurisation de l’application GED<br />
  29. 29. La mire d’authentification biométrique<br />
  30. 30. Processus<br />Humain<br />Processus Humain<br />
  31. 31. Le maillon faible ? Plus important que la technique…<br />Définition des rôles<br />Tâches et responsabilités<br />Objectif: séparation des pouvoirs<br />Quatre yeux<br />Mise en place des processus pour la gestion des identités<br />Mise en place des procédures d’exploitation<br />
  32. 32. Mise en place des processus<br />Processus pour le team gestion des identités<br />Enrôlement des utilisateurs<br />Révocation<br />Gestion des incidents<br />Perte, vol, oublie de la carte<br />Renouvellement<br />Processus pour le Help Desk<br />Processus pour les Auditeurs<br />Processus pour le RSSI<br />Et les procédures d’exploitation !<br />
  33. 33. Le résultat<br />Une série de documents pour la banque<br />Procédures d’exploitation<br />Description des processus<br />Charte d’utilisation<br />Définition des rôles et responsabilités<br />CP /CPS pour la PKI « in house »<br />
  34. 34. Formation<br />
  35. 35. Un élément très important !<br />Formation du team gestion des identités<br />Formation des utilisateurs<br />Formation Help Desk<br />Formation aux technologies<br />PKI<br />Biométrie<br />
  36. 36. Retour<br />d’expérience ?<br />
  37. 37. Conclusion du projet<br />La technique est un aspect mineur pour la réussite d’un projet de cette ampleur<br />Ne pas sous estimer la partie organisationnelle<br />CP / CPS pour la PKI<br />Processus de gestion<br />Demander un appuis de la direction<br />La Biométrie est une technologie mature<br />Technologie PKI<br />Offre un noyau de sécurité pour le futur<br />Chiffrement, signature<br />Information Rights Management<br />Sécurité de la donnée<br />Un pas vers la convergence<br />Sécurité physique et logique<br />
  38. 38. Tendance Biométrie Match on Card<br />Le projet PIV Fips-201 est un moteur !<br />Convergence<br />Sécurité physique et Sécurité logique<br />Capteur Biométrique pour les portables<br />UPEK (Solution FIPS-201)<br />Nouvelles technologies biométrique<br />Full DiskEncryption (Laptop)<br />Support de la technologie Match on Card<br />McAfee EndpointEncryption™ (formerlySafeBoot® Encryption)<br />Win MagicSecureDocDiskEncryption<br />
  39. 39. Une technologie très prometteuse: Vascular Pattern Recognition <br />By SONY<br />
  40. 40. A quand la convergence ?<br />Une convergence difficile ! Sécurité physique et sécurité logique<br />
  41. 41. Merci pour votre présence sur ce Webcast<br />Pour plus d’information<br />sylvain@maret-consulting.ch<br />http://www.maret-consulting.ch<br />Vos feedback sont les bienvenues<br />Merci à Bright Talk de m’avoir invité<br />Plus particulièrement à Sophie Lam / Marketing Program Manager EMEA<br />
  42. 42. Quelques liens pour aller approfondir le sujet<br />MARET Consulting<br />http://maret-consulting.ch/<br />La Citadelle Electronique (le blog sur les identités numériques)<br />http://www.citadelle-electronique.net/<br />Article banque et finance: <br />Usurper une identité? Impossible avec la biométrie!<br />http://www.banque-finance.ch/numeros/88/59.pdf<br />Biométrie et Mobilité<br />http://www.banque-finance.ch/numeros/97/62.pdf<br />Présentation public<br />OSSIR Paris 2009: Retour d&apos;expérience sur le déploiement de biométrie à grande échelle<br />http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf<br />ISACA, Clusis: Accès à l’information : Rôles et responsabilités<br />http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de28099authentification-forte.pdf<br />
  43. 43. &quot;Le conseil et l&apos;expertise pour le choix et la mise<br />en oeuvre des technologies innovantesdans la sécurité<br />des systèmesd&apos;information et de l&apos;identiténumérique&quot;<br />

×