Merci à tous nos partenaires !
29 octobre 2020
@IdentityDays #identitydays2020

David MARTINACHE (Wavestone)
Laurent NEZOT (Yubico)
29 octobre 2020
Identity Days 2020
Le passwordless : un train qui est
déjà en marche

Laurent NEZOT
Avec plus de 25 ans passés dans le conseil et la
vente de solutions de cybersécurité, Laurent Nezot
a rejoint Yubico avec l'ambition de moderniser le
monde de l'authentification forte, via une offre
répondant aux enjeux d'aujourd'hui, en matière de
niveau de sécurité, d'adoption utilisateur, et de TCO.
Outre ses responsabilités de management de
l'équipe Yubico France, Il accompagne les
entreprises dans leurs projets de transition vers une
authentification universelle et sans compromis.
1. Pourquoi faut-il se lancer dans un projet
passwordless aujourd’hui ?
2. Comment aborder un projet passwordless et quels
sont les pièges à éviter ?
3. A quoi ressemble un projet passwordless ?
AGENDA DE LA CONFÉRENCE
29 octobre 2020
Identity Days 2020
David MARTINACHE
Passionné des sujets IAM, j’accompagne les grandes
entreprises dans la définition, la conception et
l’implémentation de leurs services de gestion des
accès et des identités, de la définition de leurs cibles
à leurs déclinaisons opérationnelles afin de soutenir
leurs objectifs de transformation digitale.

Pourquoi faut-il se lancer dans un projet
Passwordless aujourd’hui ?
Identity Days 2020
29 octobre 2020

Des promesses…
Identity Days 2020
29 octobre 2020
SÉCURITÉ RÉPUTATIONEXPÉRIENCE UTILISATEUR
Moins d’information à retenir, phase
d’enregistrement facilité, etc.
Réduction de la surface d’attaque:
phishing, rainbow table, password
spreading, brute force, dictionnaire, etc.
Image d’entreprise tech-
lead/moderne et réduction de
l’impact en cas de fuite des
informations d’authentification

…Devenues réalité
Identity Days 2020
29 octobre 2020
Sécurité UX
Enrichir l’authentification
… en renforçant les
facteurs lorsque nécessaire
Adopter le standard FIDO2
… et abandonner le mot
de passe
Supprimer définitivement le mot de passe
en utilisant le standard FIDO2
Renforcer la sécurité en ajoutant des facteurs lorsque nécessaire
(ex. : changement de RIB, virement, enregistrement CB sur compte client, changement d’adresse…)
Cacher le mot de passe
… même s’il existe
Limiter l’usage et la saisie du mot de passe
en utilisant des moyens permettant de le masquer à l’utilisateur final

FIDO2 : comment enrôler ?
Identity Days 2020
29 octobre 2020
User ID
Key ID
Public Key
Challenge
0x272deca5…
0x9e47a48b…
john_doe
0xb891730e…
EXAMPLE.COM
Registration
John
Register
with FIDO2
DOE
jd@xx.fr
Fn
Sn
@
1
EXAMPLE.COM
Welcome
John DOE!
3
Expérience utilisateur
En coulisse…
Navigateur web
Sys. auth. local
Générateur
de clés
2
3
4
5
User ID
+ Challenge
UserID
+Challenge
+Domaine
KeyID
+PublicKey
+Clg.signed
Key ID
+ Public Key
+ Clg. signed
User ID
Key ID
Private Key
Domaine
Authentification
EXAMPLE.COM
Registration
Please register
your device
2
john_doe
0x272deca5…
0x9e47a48b…
example.com
Generates
FIDO2 keys
Serveur
d’autorisation
1
6
Lancement du
processus
d’enrôlement FIDO2

FIDO2 : comment authentifier ?
Identity Days 2020
29 octobre 2020
Serveur
d’autorisation
EXAMPLE.COM
Authentication
john_doe
Log in
with FIDO2
Login
1
EXAMPLE.COM
Welcome
John DOE!
3
Expérience utilisateur
En coulisse…
Navigateur web
Sys. auth. local
Coffre fort
interne (clés)
1
2
3
4
5
6
Key ID
+ Challenge
KeyID
+Challenge
+Domaine
Challenge
signed
Challenge
signed
User ID
Key ID
Public Key
Challenge
User ID
Key ID
Private Key
Domaine
0x272deca5…
0x9e47a48b…
Authentification
EXAMPLE.COM
Authentication
Please
authenticate
2
john_doe
0x272deca5…
0x9e47a48b…
example.com
john_doe
0xb891730e…
Retrieves
FIDO2 keys
Lancement du
processus
d’authentification
FIDO2

Comment aborder un projet passwordless et quels
sont les pièges à éviter ?
Identity Days 2020
29 octobre 2020

Une phase de réflexion cruciale
Identity Days 2020
29 octobre 2020
❑ Analyser le nombre de reset pwd
par rapport aux nombres d’accès
❑ Calculer le temps passé sur les
interfaces de changements / avec le
support
❑ Valider le niveau de sécurité attendu
S’assurer du besoin avant de se
lancer
❑ Workstation / Smartphone
❑ Portail Web
❑ Application mobile
❑ Client lourd
❑ Smartcard, hard/softToken, SMS
OTP, etc.
Lister les services, les canaux
d’accès et les facteurs d’authn
/ Employées : cols bleus, cols blancs, IT
et administrateurs, etc.
/ Clientes : partenaire business,
technophile, etc.
Identifier ses populations
❑ Les équipements possédés
(smartphone, PC Windows, etc.)
❑ Maturité technologique et
population résistante au
changement
❑ Différentiateur business (B2C)
Identifier les accélérateurs
❑ Lecteur NFS
❑ Port USB/USB-C
❑ Badge d’accès
❑ Programme de déploiement de
flotte mobile
Identifier les adhérences et les
possibilités d’homogénéisation

Pour cadrer et définir le programme
Identity Days 2020
29 octobre 2020
Définir les bons rouages
Préparer les parcours utilisateur
Penser aux processus de gestion des facteurs (remise, restitution, fallback) mais
également l’expérience utilisateur (enregistrement, réinitialisation, self-service) et
du helpdesk.
Choisir le ou les bons authentificateurs FIDO2
En fonction du canal d’accès des équipements et du niveau de sécurité attendu.
Clés biométriques, « simples », smartphone, à l’achat ou à la location.
Prioriser les déploiements
Identifier des populations MVP : populations IT, à accès à privilèges, ou
sensibles (VIP) avant l’industrialisation.
Mettre en place les bons éléments techniques
Webauthn possède de nombreuses « options », telles que la possibilité de limiter
les clés à un fabriquant, de forcer l’authentification locale (2FA) ou encore de
n’autoriser que les authentificateurs amovibles ou fixes.

Et éviter les pièges
Identity Days 2020
29 octobre 2020
le facteur au besoin et à la population.
Risque de rejet et de ne pas arriver au
niveau de sécurité souhaité
Ne pas adapter
A l’ensemble des processus, et en particulier
le fallback (perte / oublie de clés)
Risque de bloquer les utilisateurs et de
rompre la continuité du service
Ne pas revoir
Passwordless et SSO
Risque de complexifier le parcours utilisateur,
notamment en cas de changement de clé et
risque sécurité (gestion des accès)
Confondre
La conduite du changement
Risque d’incompréhension, de refus et
de mauvais usage de la technologie
Oublier

Un projet passwordless
Identity Days 2020
29 octobre 2020
Un véritable projet de refonte du SI
Présentant les mêmes problématiques que tout projet, et dont il faut éviter les écueils
• Fonctionnels : définir ce dont ses populations ont besoin
• Culturels : accompagner le changement
• Techniques : choisir les bonnes technologies tout au long de la chaine

Comment gérer un projet de modernisation de
l’authentification
Identity Days 2020
29 octobre 2020

Identity Days 2020
29 octobre 2020
Yubico, acteur majeur de l’authentification moderne
COMPANY TEAM
OFFERING – THE #1 HARDWARE SECURITY KEY CLIENTS
•Founded 2007 in Stockholm Sweden
•Moved to Silicon Valley 2011 to work with
Internet thought leaders
•Invented the YubiKey, the only
authentication technology proven to stop
account take over at scale
•Backed by top tier investors; Andreessen
Horowitz, M Benioff, NEA
• Years of experience in wide-scale deployment
across large enterprise organizations
• Team approaching 300 people in
10 countries
• HQ in Palo Alto, California & Stockholm
•The YubiKey is the most secure,
easy-to-use, and affordable multi-
factor authentication
•0 risk of account takeover
compared to one-time password
push apps, secondary email, sms
and phone numbers
• 10M+ YubiKeys made
• 4000+ business customers in 160 countries
• The world’s largest governments, technology
companies, and financial institutions trust
Yubico to secure their most important
information, accounts, and applications.
• Consistent high customer satisfaction

Identity Days 2020
29 octobre 2020
Contexte ACME
● Société multinationale dans le secteur industriel
● Croissance externe
● Chiffres :
○ 20 sites principaux
○ 60 magasins
○ 5000 utilisateurs
● Concurrent victime récente d’une attaque : impact
sur le business, la réputation et le cours de l’action
en Bourse
● Comex : volonté de renforcer et moderniser la
sécurité des accès
Projet de l’entreprise ACME
Résultats attendus
● Renforcement de la sécurité - blocage du phishing
● Vers une solution unique pour tous les use-cases
● Expérience utilisateur simplifiée - passwordless ?
● Rationalisation des budgets - optimisation des coûts
● Maintien de la conformité RGPD
Critères de choix
● Rapport risque/prix
● Adhésion des utilisateurs (deal win-win)
● Universalité de la solution technique
● Robustesse de l’outil
● Accompagnement sur le projet (POC)
● Flexibilité de l’offre financière
● Partenariat avec un acteur européen, et une
représentation locale

Identity Days 2020
29 octobre 2020
Projet de l’entreprise ACME T0
Cloud
Services
On-premises
Services
Cols bleus
Application techniques
Cols blancs
Ouverture session
M365
VPN Pulse Secure
Employés magasins
VDI Citrix
M365
Applications de vente
Commerciaux
itinérants
Ouverture
session
Intégration
native
Projet IAM en
cours
Postes partagés
Postes partagés
40% des
utilisateurs

Identity Days 2020
29 octobre 2020
Smartcard
(PIV)
OATH-TOTP
& HOTP
FIDO 2
bientôt :
Config
Slots 1 & 2
FIDO U2F OpenPGP
YubiKey = une clé d’authentification multi-XXX

Identity Days 2020
29 octobre 2020
Dedicated
Hardware
Public key
cryptography
Touch to
authenticate
EXPERIENCE UTILISATEUR
NIVEAUDESECURITE
YubiKey + FIDO
Smart Card
Phishable
Single-factor OTP
Login/Password
Login/Password + Single-factor OTP
SMS+
Mobile App Push
Les challenges de l’authentification

Identity Days 2020
29 octobre 2020
Enjeux métiers
Mobile
restreint
Comptes à
privilèges 2
0
Clients
finaux
Postes
partagés PartenairesEmployésMobilité et
télétravail
Renforcer la sécurité à des
applications critiques,
accessibles hors du SI.
Applications Web
Sécuriser l’accès aux VPN en
second facteur.
VPN & accès
distants
Sécurise l’accès à
l’environnement métier à
travers l’IAM ou le SSO.
IAM / SSO
Tous les services et
applications
La plupart des solutions,
proposent une
authentification multi facteurs.
Ouverture de postes
Sécuriser l’accès aux postes
de travail, donc aux outils et
données installées dessus.
Authentification autour des services et applications
Cas d’usages adressés par la YubiKey

Identity Days 2020
29 octobre 2020
1. Entrez PW or PIN Insérez la Yubikey Touchez la Yubikey1 2 3
Approchez/Insérez la YubikeyEntrez PW or PIN1 2
IOS
ANDROID
Utilisation simplifiée, quel que soit le device

Identity Days 2020
29 octobre 2020
Points critiques :
Process d’on-
boarding
et
d’off-boarding
Management du cycle de vie de la YubiKey

Identity Days 2020
29 octobre 2020
Low
Enrôlement
Management
/Support
Off-boarding
Self-service
Medium High
Délégué à
l’administrateur.
YK envoyée
chez
l’utilisateur.
YubiKey remise en
mains propres au
Kiosque IT
Service Desk Délégué à
l’administrateur
Révocation des clés
publiques.
YubiKey laissée à
l’utilisateur.
Révocation des
clés publiques.
YubiKey laissée
à l’utilisateur.
Révocation des clés
publiques.
Récupération de la
YubiKey.
Niveaux de risque
Délégué à
l’administrateur
Bureaux Télétravail
Délégué à
l’administrateur
Délégué à
l’administrateur
Révocation des
clés publiques.
YubiKey laissée
à l’utilisateur.
Création des profils utilisateurs

Identity Days 2020
29 octobre 2020
L’utilisateur n’a pas de YubiKey de secours
Attribution d’une nouvelle YubiKey
Si l’utilisateur de
retrouve pas sa YK :
- Révocation des clés
publiques.
Si l’utilisateur ne retrouve pas sa YubiKey :
- l’administrateur re-sélectionne
l’authentification via YubiKey à l’issue
de la période temporaire définie
L’administrateur
attribue une YubiKey
temporaire
A
L’admin change la méthode
d’authentification, en retenant par exemple
et pour un temps limité, une solution MFA.
B
Si l’utilisateur ne retrouve pas sa YubiKey :
- Révocation des clés publiques.
Attribution d’une nouvelle YubiKey
L’utilisateur peut accéder à ses comptes avec
sa YubiKey de secours sans interruption de
travail.
Pas d’action requise pour l’administrateur.
Aucun process de recovery
nécessaire
Faible impact au helpdesk
2
Ré-utilisation des process de recovery
existants
Support de l’administrateur requis
L’utilisateur peut accéder à ses comptes avec
sa YubiKey de secours sans interruption de
travail.
Pas d’action requise pour l’administrateur.
L’utilisateur a une
YubiKey de secours
1
Si l’utilisateur ne retrouve pas sa YubiKey :
- Révocation des clés publiques.
Gestion des pertes de clés
Recommandé

Identity Days 2020
29 octobre 2020
L’utilisateur
quitte
l’entreprise
L’admin désactive le
compte AD de
l’utilisateur et révoque
les clés publiques
La YubiKey n’est plus liée au
compte utilisateur
La YubiKey ne peut plus être
utilisée pour accéder aux
ressources systèmes et
applicatifs de l’entreprise
La YubiKey doit être révoquée
sur chaque compte personnel
La YubiKey peut continuer
d’être utilisée pour les comptes
personnels de l’utilisateur Il n’est pas nécessaire
que la YubiKey soit
physiquement
récupérée
L’entreprise décide s’il
est nécessaire de
récupérer
physiquement la
YubiKey
Risque
modéré
L’utilisateur
quitte
l’entreprise
Risque élevé
L’admin désactive le
compte AD de
l’utilisateur et révoque
les clés publiques
Révocation des YubiKeys (off-boarding)

Identity Days 2020
29 octobre 2020
Permet de capitaliser sur les retours d’expérience,
pour un déploiement massif souvent plus rapide et
réussi.
Quelques conseils :
• Montrer les quicks wins avec une population
sponsor pour provoquer l’adhésion
• l’IT ou des utilisateurs au profil technique sont
souvent un bon groupe pilote
• Si possible, mener 2 pilotes (1 avec un groupe
technique et 1 autre non-technique)
• Les premières phases de déploiement doivent
protéger les profils les plus exposés : IT admins,
RH, Finance...
L’approche Big Bang peut être appropriée pour des
nombres d’utilisateurs moins importants, et/ou
notamment dans les cas suivants :
• Mise en conformité dans le cadre d’un règlement,
• Réponse à une récente attaque,
• Période de déploiement limitée,
• ...
La phase Pilote L’approche “Big Bang”
Recommandé
Stratégies de déploiement

Identity Days 2020
29 octobre 2020
• Les métriques de déploiement et le reporting associé
sont souvent sous-estimés, mais sont cruciaux pour
un déploiement réussi.
• Quelques indicateurs et métriques importants :
o Nombre d’applications concernées
o Nombre of YubiKeys distribuées,
o Nombre d’utilisateurs enregistrés,
o % d’utilisateurs actifs
o % d’échecs d’authentification avant/après déploiement
o ...
• La création de dashboards est une bonne façon
d’éduquer le management et d’assurer la promotion
du projet.
Reporting

Identity Days 2020
29 octobre 2020
Cloud
Services
On-premises
Services
Cols bleus
Application techniques
Cols blancs
Ouverture session
M365
VPN Pulse Secure
Employés magasins
VDI Citrix
M365
Applications de vente
Commerciaux
itinérants
Ouverture
session
Intégration
native
Projet IAM en
cours
Postes partagés
Postes partagés
Projet de l’entreprise ACME ...après déploiement
40% des
utilisateurs

Identity Days 2020
24 octobre 2020
❏ Aucun vol d’identifiant / mot de passe constaté depuis le déploiement des
YubiKeys.
❏ Généralisation passwordless avec l’intégration progressive au sein des
applicatifs du protocole FIDO2 WebAuthn, en attendant le déploiement du
SSO.
❏ Augmentation du périmètre pour inclure l’authentification des partenaires
externes.
❏ Acquisition de YubiKey de secours additionnelles.
❏ Renforcement PKI - HSM
Et après ?

Q&A
Identity Days 2020
29 octobre 2020

Merci à tous nos partenaires ! @IdentityDays #identitydays2020