Usages numériques, gestion de l’identité et des données personnelles :
les Français sont-ils schizophrènes ?
Analyse de Frédéric Trojani suite à la publication de l'étude IFOP sur les Usages numériques, gestion de l’identité et des données personnelles
2. 2
Les français ne se sentent pas en sécurité sur Internet
01
Conférence de PresseCarteset Milipol du 24 septembre2013
3. 3
Les français ne se sentent pas en sécurité sur
Internet
= 52% des Internautes ne se sentent pas en sécurité
sur Internet
IFOP: 48% des Internautes se sentent en sécurité
sur Internet mais…
Conférence de PresseCarteset Milipol du 24 septembre2013
4. 4
Les faitstendent à leurdonner raison
Des attaques pirates massives montrent des défauts majeurs dans
la sécurité d’Internet d'aujourd'hui
Source: BCG
40 millions de
données des
salariésvolées
77 millions d’
adresses e-mail
et
d’informationcart
es de
créditsvolées
Adresses email
et noms de
millions de clients
dévoilés
Bases de
données
piratées, clients
adresses e-mail
et noms des
clients dévoilés
Divulgation de
noms, mots de
passe et
informations
personnelles de
35 millions de
Coréens
Conférence de PresseCarteset Milipol du 24 septembre2013
L’impact de l'incident Sony PlayStation Network estimé à 4,6 milliards USD
L'information
médicale et
financière de 5,1
millions de
personnes volés
Ecoute des
communications
en salle de
réunion
concernant plus
de 10.000 cadres
Numéros de
téléphone clients
retrouvés sur des
sites pirates
Fichiers
contenant 6,4
millions de mots
de passe
LinkedIn
retrouvés sur
sites de piratage
Plus de 200.000
adresses e-
mail, ainsi que
d'autres
informations
clients dévoilées
major 2011/12 data breaches
6. 6
Identifiant et mot de passe
Les nomsd’utilisateur et mots de
passesontpiratés
La plupart des gens ont plus de 25 mots de
passedifférentsouutilisent le même pour tous les
services
Les mots de passe les plus
sophistiquéssontaussivulnérables…Les
fraudeursont de nombreusesméthodes pour
capturer “les clés du royaume”
Source: NSTIC
Conférence de PresseCarteset Milipol du 24 septembre2013
8. 8
Source: NSTIC
LES IDENTITES SONT DIFFICILES A VERIFIER
SUR INTERNET
o DE NOMBREUSES TRANSACTIONS, PRET AUTO OU
PRET HYPOTHECAIRE, SONT TOUJOURS CONSIDEREES
COMME TROP RISQUEES POUR ETRE REALISEES EN
LIGNE EN RAISON DE RISQUES DE RESPONSABILITÉ
o NOMBREUX SONT LES SERVICES GOUVERNEMENTAUX
QUI DOIVENT ENCORE ETRE MENES EN PERSONNE OU
PAR LA POSTE, CE QUI ENTRAINE UNE
AUGMENTATION DES COUTS
o LES DOSSIERS DE SANTE ELECTRONIQUES
POURRAIENT PERMETTRE AUX ETATS D’ECONOMISER
DES MILLIARDS DE EUROS, MAIS IL EST IMPOSSIBLE
DE PROGRESSER SANS RESOUDRE LES PROBLEMES
D’AUTHENTIFICATION ENTRE FOURNISSEURS DE
SERVICE ET PARTICULIERS.
Usurpation d’identité
Conférence de PresseCarteset Milipol du 24 septembre2013
10. 10
Source: NSTIC
LA PROTECTION DE LA VIE PRIVÉE
DEMEURE UN DEFI
o LES PERSONNES DOIVENT SOUVENT FOURNIR
PLUS D’INFORMATION PERSONNELLE QUE
NECESSAIRE
o CES DONNEES SONT SOUVENT STOCKEES, CE
QUI CONSTITUE DES MINES D’ INFORMATION
POUR LES CYBERCRIMINELS
o LES INDIVIDUS DISPOSENT DE PEU DE
MOYENS CONCRETS POUR CONTRÔLER
L'UTILISATION DE LEURS RENSEIGNEMENTS
o PRES DE DEUX TIERS DES ADULTES (62%)
HESITENT A ENTRER DES INFORMATIONS
PERSONNELLES NE SACHANT PAS COMMENT LE
SITE OU LA MARQUE PEUVENT UTILISER CES
INFORMATIONS
Le respect de la vie privée
Conférence de PresseCarteset Milipol du 24 septembre2013
11. 11
@
La menace du Big Data: des millions de données
collectées aujourd’hui
N de téléphone
Adresse
Centre d’ interêt
Historiqued’acha
t
Historiquemédical
Groupesanguin
Assurance
Adresse
SécuritéSociale
Anniversaire
Genre
Nationalité
Credit rating
Revenus
Adresse
Loisirs
Travail
Conférence de PresseCarteset Milipol du 24 septembre2013
12. 12
Les comportementscontradictoires des internautes
Grâce à toutes les informationsdisponibles en ligne, ilest possible
d’obtenir un acte de naissance qui luimêmepermetd’obtenir un
passeportouune carte d’identité
Source Bearing Point
Les comportementsdes internautespeuvent porter atteinte
à la chaine de confiance
Conférence de PresseCarteset Milipol du 24 septembre2013
13. 13
Les français sont prêts pour plus de sécurité sur Internet
02
Conférence de PresseCarteset Milipol du 24 septembre2013
14. 14
De nombreux exemples existent déjà à l’étranger
notamment dans les domaines gouvernementaux
Accès multi-canal (fixe–mobile) à des services gouvernementaux
en ligne, sécurisés par uneidentitéélectronique
OMAN
EAU
Belgium
Estonia
Moldava
Finland
Sweden
Singapore
Norway
AlbaniaeCard
Germany
Sweden
Italy
Conférence de PresseCarteset Milipol du 24 septembre2013
15. 15
Les gouvernements sont capables de mettre en
place l’environnement de sécurité
03
Conférence de PresseCarteset Milipol du 24 septembre2013
16. 16
Les quatre piliers d’un système d’identité
numérique
Ergonomie
Confiance
Vie PrivéeSecurité
Conférence de PresseCarteset Milipol du 24 septembre2013
17. 17
Les gouvernements garants de l’identité numérique
Opérateurs services
de confiance
2
3
Fournisseurs de
services
REVOCATION
Identité
Régalienne
Client /
Usager
@
Conférence de PresseCarteset Milipol du 24 septembre2013
18. 18
L’identité numérique sécurisée par composant
électronique (technologie carte à puce)
• 500 MILLIONS DE
PASSEPORTS
ELECTRONIQUES
UTILISES (SOURCE OACI
2012)
• 1 350 MILLIONS DE
CARTES D'IDENTITE
NATIONALE
ELECTRONIQUES EN
CIRCULATION (SOURCE
ABI 2012)
• 450 MILLIONS DE CARTES
DE SANTE EN
CIRCULATION (SOURCE
ABI 2012)
• 250 MILLIONS DE PERMIS
DE CONDUIRE
ELECTRONIQUES (SOURCE
ABI 2012)
• 25 MILLIARDS DE CARTES
SIM LIVREES
• 1 MILLIARD DE CARTES
DE PAIEMENT EMV
FOURNIES EN 2011
Confidentialité : données personnelles
stockées dans un composant sécurisé
(dossiers de santé, la biométrie, autres)
Portabilité : différents dispositifs d'accès
peuvent être utilisés
Contrôle citoyen : transmission de données
initiée par le l’individu
Personnalisation : une plateforme multi-
services
Sécurité : garantie à chaque étape du cycle
de vie
Connectivité : gestion à distance avec
domaines sécurisés gérés indépendamment
par chaque entité
Normalisation : interopérabilité des
dispositifs / support physique & services
Une technologie éprouvée et mûre - pas de
fraude significative depuis sa création
Conférence de PresseCarteset Milipol du 24 septembre2013
19. 19
Un rôle logique mais une tâche complexe.
“AN ONLINE ENVIRONMENT WHERE INDIVIDUALS
AND ORGANIZATIONS WILL BE ABLE TO TRUST EACH OTHER
BECAUSE THEY FOLLOW AGREED UPON STANDARDS TO
OBTAIN AND AUTHENTICATE THEIR DIGITAL IDENTITIES.”
NSTIC
CADRE REGLEMENTAIRE
o NSTIC AUX ÉTATS-UNIS (National Program Office of
the National Strategy for Trusted Identities in
Cyberspace)
o E- IDAS EN EUROPE (eIdentification, eAuthentication
and eSignatures )
o INITIATIVES NATIONALES EN SUEDE OU ESTONIE
PAR EXEMPLE
CADRE NORMATIF
o CEN , ETSI , OACI , ISO , GSMA MOBILE ID
Conférence de PresseCarteset Milipol du 24 septembre2013
20. 20
La Secure Identity Alliance
FONDEE EN MARS 2013, LES PRINCIPALES MISSIONS DE LA SECURE IDENTITY
ALLIANCE SONT D'ACCELERER LA TRANSITION VERS DES DOCUMENTS
ELECTRONIQUES INTELLIGENTS ET DE PERMETTRE UN DEPLOIEMENT
OUVERT, INTEROPERABLE ET EFFICACE DE SERVICES GOUVERNEMENTAUX EN
LIGNE FIABLES
Conférence de PresseCarteset Milipol du 24 septembre2013
LES PREMIERS RESULTATS DES GROUPES DE TRAVAIL SECURE DOCUMENTS ET
EGOV SERVICES SERONT PRESENTES LORS DU SALON CARTES
These examples speak for themselves: Sony (a high tech company!), RSA (a security company!), NASDAQ (a financial and trusted institution!), etc. Obviously conventional methods of accessing online services which have tended to revolve around user name and password systems have been proven to be ineffective against increasingly sophisticated attacks. We are familiar at managing security in the real world: lock a door, put a PC/tablet in a safe of the hotel room, etc….. But a lot still needs to be done in the Virtual world.
Example of the numberof points on a driving licence in France.Identities are difficult to verify over the internetNumerous government services must still be conducted in person or by mail, leading to continual rising costsElectronic health records could save billions, but can’t move forward without solving authentication challenge for providers and individualsMany transactions, such as signing an auto loan or a mortgage, are still considered too risky to be conducted online due to liability risks