Une conférence proposée par Emilie Bonnefoy & Xavier Domecq
L’accélération de la transformation digitale et l’augmentation et la complexification des attaques ont conduit à des changements de doctrine profond. Le concept de 0 trust s’est désormais imposé.
Sera-t-il suffisant pour faire face aux grandes ruptures technologiques auxquelles nous faisons déjà face ?
Intelligence artificielle, quantique, comment mieux les anticiper dans sa politique de gestion des identités ?
Nouvelle approche pour étendre le zéro trust à Active Directory
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à prendre dès aujourd’hui
1. 24 octobre 2023 - PARIS
5ème édition
@IdentityDays
#identitydays2023
2. L'authentification à l’ère des grandes ruptures
technologiques, un virage à prendre dès
aujourd’hui
Emilie BONNEFOY - Xavier DOMECQ
24 octobre 2023 - PARIS
Identity Days 2023
3. Emilie Bonnefoy
Co-Fondatrice - CEO
OPEN SEZAM
Auditrice IHEDN
Majeure
Cybersécurité et
Souveraineté Nat.
• Fresque de l’authentification
• Intelligence Artificielle appliquée à l’authentification
○ Menaces
○ Opportunités
○ Cadre légal et réglementaire
• Informatique quantique
○ Risques
○ Opportunités
AGENDA DE LA CONFÉRENCE
24 octobre 2023 - PARIS
Identity Days 2023
Xavier Domecq
Président ID-LOGISM
Auditeur INHESJ –
Intelligence
économique et
protection des
entreprises
7. Propos liminaire
L’intelligence artificielle
Identity Days 2023
24 octobre 2023 - PARIS
Alan TURING
“systèmes qui
agissent comme
des humains »
Marvin MINSKY
« La construction de
programmes informatiques
capables d'accomplir des
tâches qui sont, pour
l'instant, accomplies de
façon plus satisfaisantes
par des êtres humains. »
IA : Accompagner, pas remplacer, pas de solution
magique.
Techniques et Technologiques : Différents types,
pas de définition précise.
Éthique : Principes à respecter.
Moralité : Référence personnelle ou collective.
8. État de la menace
L’intelligence artificielle
Identity Days 2023
24 octobre 2023 - PARIS
Rançongiciels : Augmentation du danger à
l’aide de l’IA
« Deep fake » : Amélioration des technologies
9. État de la menace
L’intelligence artificielle
Identity Days 2023
24 octobre 2023 - PARIS
Requêtes à ChatGPT 3.5 pour
rédiger un mail de phishing
12. 24 octobre 2023 - PARIS
Biométrie
comportementale
Moteur IA
Machine Learning
Empreinte
Jumeau numérique
Authentification
adaptative
Analyse des
comportements
à risque
DATA
MATCHING
Identity Days 2023
Opportunités - les applications concrètes (1)
Développer une authentification évolutive
13. Opportunités - les applications concrètes (2)
Authentifier en utilisant un ensemble de signaux
Identity Days 2023
3 grandes sources d’informations :
Celles qui viennent de protocoles spécialisés dans
l’authentification : capteur d’empreinte, FIDO
(appareils compatibles avec ce standard)
Les informations qui proviennent du comportement de
l’utilisateur ou des habitudes de connexion :
temporalité de la connexion, zone géographique, taux
de frappe, données gyroscopiques, accéléromètre
Les informations techniques : système d’exploitation
utilisés, composants logiciels et matériels etc.
24 octobre 2023 - PARIS
14. Cas d’usage
Authentifier le porteur d’un gilet connecté
Identity Days 2023
24 octobre 2023 - PARIS
Forces de sécurité
Contraintes opérationnelles fortes
Authentification continue
15. Opportunités - les applications concrètes (2)
Bénéfices de l’authentification dynamique
augmenté par IA
Identity Days 2023
Données : traiter de très gros volumes.
Sécurité vs Expérience utilisateur : Résoudre l’équation en
demandant le moins d’actions possibles
Besoin : couvrir des cas d’usage qui aujourd’hui ne sont pas bien
adressés par les méthodes classiques
Architecture 0 Trust : Renforcer le contrôle d’accès aux données
confidentielles
24 octobre 2023 - PARIS
17. Projet de règlement européen sur l’IA (IA Act)
Dans de nombreux cas, les données (à caractère personnel et non personnel) dans le domaine de
l’IA constituent la clé de voûte des décisions autonomes, ce qui aura inévitablement une incidence
sur la vie des individus à différents niveaux.
Contexte
Identity Days 2023
24 octobre 2023 - PARIS
Face aux enjeux des systèmes d’IA et pour en permettre le développement sûr et digne de confiance
dans l’Union européenne, La Commission européenne a publié un projet de Règlement sur l’IA,
le 21 avril 2021.
Souhait d’une adoption définitive par les instances européennes d’ici fin 2023 pour une application
effective dans les Etats membres de l’Union prévue pour 2025.
18. Projet de règlement européen sur l’IA (IA Act)
Objectifs & champ d’application
Identity Days 2023
24 octobre 2023 - PARIS
Etablir des règles harmonisées concernant la mise sur le marché, la mise en service et l’utilisation de
systèmes d’IA dans l’Union européenne ;
Interdire certaines pratiques en matière d’IA ;
Etablir des exigences spécifiques applicables aux systèmes d’IA à haut risque.
Aux fournisseurs et aux utilisateurs de systèmes d’IA
19. Projet de règlement européen sur l’IA (IA Act)
Classification des systèmes d’IA
Identity Days 2023
24 octobre 2023 - PARIS
Système d’IA interdit Système d’IA à haut risque
Système d’IA à risque
limité
Système d’IA classique
Systèmes considérés comme
représentant une menace
évidente pour les citoyens de
l’UE
(ex. notation sociale par les
pouvoirs publics)
Systèmes d’IA portant sur :
les infrastructures critiques
susceptibles de mettre en
danger la vie et la santé des
citoyens, la formation scolaire
ou professionnelle, l’emploi, la
gestion des travailleurs, les
services publics et privés
essentiels, etc.
Systèmes d’IA tels que les
chatbots, soumis à des
obligations de transparence
minimales, destinées à
permettre aux personnes
concernées de prendre des
décisions éclairées.
Systèmes ne représentant
qu’un risque minime ou nul
pour les droits et la sécurité
des citoyens.
- Ces systèmes ne sont pas soumis
aux dispositions du projet de
règlement européen sur l’IA.
20. Projet de règlement européen sur l’IA (IA Act)
Une approche basée sur la gestion des risques
Identity Days 2023
24 octobre 2023 - PARIS
Exigences applicables aux systèmes d’IA à haut risque (et notamment aux jeux de données utilisées) ;
Analyse « by design » de la conformité du système d’IA à haut risque mis au point ;
Analyse de la conformité tout au long de la vie du système d’IA à haut risque ;
Transparence, contrôle humain et cybersécurité.
21. Projet de règlement européen sur l’IA (IA Act)
Sanctions
Identity Days 2023
24 octobre 2023 - PARIS
Jusqu’à 10 000 000 €
ou 2 % du CA mondial
Fourniture d’informations inexactes, incomplètes ou
trompeuses aux organismes notifiés et aux autorités
nationales compétentes en réponse à une demande
Jusqu’à 20 000 000 €
ou 4 % du CA mondial
Jusqu’à 30 000 000 €
ou 6 % du CA mondial
Manquement aux pratiques interdites en matière d’IA
ou à la gouvernance des données des systèmes d’IA
Non-conformité du système d’IA avec les exigences
ou obligations du règlement
23. Les ordinateurs traditionnels sont programmés avec des bits ne pouvant avoir qu’une seule
valeur de 0 ou de 1 selon l’état du transistor (le courant passe ou ne passe pas).
Identity Days 2023
24 octobre 2023 - PARIS
Les ordinateurs quantiques utilisent quant à eux des bits quantiques (appelés qubits)
ayant une infinité d’états 0 ou 1 pouvant se superposer.
Principe de superposition : une particule est simultanément dans des états différents|0>,
|1> mais aussi une combinaison linéaire des états possibles α|0> + β|1>.
Principe d’intrication : deux particules, qui partagent les mêmes propriétés, sont dites
intriquées et prennent la même valeur lorsqu’on mesure l’état de l’une d’entre elles.
L’informatique quantique
Rappels et principes fondamentaux
24. Les ordinateurs quantiques constituent des machines d'un nouveau genre tirant parti des propriétés physiques de la
matière à l'échelle de l'atome.
Identity Days 2023
24 octobre 2023 - PARIS
Il reste de nombreux défis techniques à relever pour qu'elle soit vraiment au point. L’un d’entre eux est de réussir à
stabiliser l’état quantique des qubits qui perdent très vite leurs propriétés lorsqu’ils interagissent avec leur environnement
(champ magnétique, changement de température, lumière, onde acoustique...), mais aussi entre eux.
À cause de l’instabilité des qubits, les machines quantiques ne peuvent traiter des algorithmes que durant un laps de temps
très court. Ce phénomène appelé la décohérence constitue le principal frein au développement des ordinateurs quantiques,
car il génère d’importantes erreurs de calcul. Augmenter le nombre de qubits des ordinateurs quantiques constitue l’un des
autres challenges à surmonter, car plus il est élevé, plus le système devient incontrôlable.
L’informatique quantique
Les défis
25. La protection des communications numériques, des transactions sur Internet, des mots de passe, des signatures
électroniques, des contrats et des autres documents numérisés est aujourd’hui essentiellement assurée par leur
chiffrement : en appliquant un algorithme basé sur une « clé ».
Identity Days 2023
24 octobre 2023 - PARIS
Les clés de chiffrement sont construites sur une propriété mathématique simple : il est très facile pour un ordinateur
classique de multiplier des grands nombres, mais très compliqué de faire l’opération inverse (retrouver les facteurs).
Cryptographie
État de l’art
26. Algorithme de Shor(Peter Shor 1994, Bell Labs): Algorithme de factorisation des grands nombres, qui permet de
décomposer en nombres premiers (utilisés pour l’algorithme RSA, découvert par Ronald Rivest, Adi Shamir et Leonard
Adleman) de très grands nombres.
Identity Days 2023
24 octobre 2023 - PARIS
Edward Snowden révèle en 2014 que la NSA finance à hauteur de 80 millions de dollars un programme de recherche sur
les ordinateurs quantiques du nom de "Penetrating hard targets" avec le projet "Owning the Net".
Dans le cas de certaines données très sensibles (données de santé, contrats, propriété intellectuelle, etc.), un attaquant
pourrait acquérir des données aujourd’hui chiffrées, et attendre la disponibilité de l’ordinateur quantique pour les
décrypter. Des données aujourd’hui protégées ne le seraient plus.
L’ordinateur quantique
Les risques pour la cryptographie
27. Pour l'ANSSI, la cryptographie post-quantique (Post-Quantum Cryptography, PQC) est la voie la plus prometteuse pour
contrecarrer la menace quantique. Il s'agit d'une famille d'algorithmes cryptographiques qui comprend l'établissement de
clés et de signatures numériques qui assurent une sécurité même contre un attaquant équipé d'ordinateurs quantiques.
Identity Days 2023
24 octobre 2023 - PARIS
Sécurisation des communications de par la nature même du qubit
Accélération drastique de la vitesse d’apprentissage des algorithmes d’intelligence artificielle et de machine learning.
L’ordinateur quantique
Les opportunités (puissance de calcul et sécurité)
29. Alors que faire dans ce contexte de grande incertitude ?
Une seule stratégie possible : l’anticipation !
Identity Days 2023
1. Adapter l’authentification au niveau
de risque
2. Réconcilier sécurité et expérience
utilisateur : le multimodal est la clé !
3. Les modes d’attaque évoluent, les
systèmes doivent s’adapter en créant
de la rupture !
24 octobre 2023 - PARIS