Ce retour d’expérience sera l’occasion d’aborder de façon pragmatique les aspects suivants :
- La PKI : un service de commodité.
- Notions de Base.
- Identification des pré-requis (sujet, usage, séquestre, carte à puce, vitesse de révocation, publication, CPS…)
- Conception de la hiérarchie des autorités de certification (Hiérarchie, taille et durée de validité des clefs, HSM, matrice des rôles…)
- Stratégie de révocation (CRL, CDP, OCSP…)
- Stratégie d’enrôlement (automatique, autorité d’enregistrement…)
Présentations données lors du séminaire LINAGORA, intitulé : « LinID, l'offre de gestion
et de fédération d'identité Open Source »
Intervenant : Sébastien BAHLOUL, leader de l’offre LinID et du module LinID Access Management, LINAGORA
Ce retour d’expérience sera l’occasion d’aborder de façon pragmatique les aspects suivants :
- La PKI : un service de commodité.
- Notions de Base.
- Identification des pré-requis (sujet, usage, séquestre, carte à puce, vitesse de révocation, publication, CPS…)
- Conception de la hiérarchie des autorités de certification (Hiérarchie, taille et durée de validité des clefs, HSM, matrice des rôles…)
- Stratégie de révocation (CRL, CDP, OCSP…)
- Stratégie d’enrôlement (automatique, autorité d’enregistrement…)
Présentations données lors du séminaire LINAGORA, intitulé : « LinID, l'offre de gestion
et de fédération d'identité Open Source »
Intervenant : Sébastien BAHLOUL, leader de l’offre LinID et du module LinID Access Management, LINAGORA
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
De nos jours la gestion des identités dépasse largement son cadre initial.
Aujourd’hui on a besoin de process intégrant les base métiers RH, des processus de création de comptes, groupes, délégation de gestion et approvisionnement d’autres annuaires et autres applicatifs qui ne peuvent pas se connecter à une gestion des identités
Cette conférence basé sur des exemples réels et détailles va vous offrir un état de l’art et montrer quelles évolutions sont possibles dans le futur.
Guide d’architecture pour le support de la fédération d’identité dans une app...Gregory Haik
L’objectif de ce document est de décrire comment adapter une
application web pour permettre son usage à travers une solution de fédération d’identités telle que Trustelem. Le document ne
s’applique pas aux applications mobiles et aux
clients lourds.
La solution décrite ici s’appuie sur le standard de fédération OpenID Connect. Elle est donc indépendante de Trustelem et s’appliquera pour tout autre système de fédération d’identité supportant le standard OpenID Connect.
Ce document s’intéresse principalement aux impacts de la fédération d’identité sur l’architecture logicielle de l’application. Il ne rentre pas dans les détails d’implémentation, qui sont dépendants du langage et des piles technologiques sur lesquels l’application est fondée.
Ce document fournit également des indications pour:
• valider les développements réalisés sur la base du fournisseur d’identité Trustelem et
• inclure l’application parmi les solutions supporté les nativement par Trustelem.
Sécurisation de jitsi en SAAS (OSXP 2023)Soisik FROGER
Revue de l’architecture technique et du fonctionnement d’une solution HDS basée sur Jitsi, Jitsi-admin et Keycloak et hébergé en SAAS.
Le projet, déjà en production, permet à des médecins conseil de l’assurance maladie (l’organisateur) ou à leur secrétariat de prendre rendez-vous avec un médecin libéral (l’invité) pour des échanges confraternels autour de sujets médicaux sur une plateforme inter-connectée au SSO de l’assurance maladie pour l’authentification. Les invités passent par un sas d’accueil puis patientent dans une salle d’attente jusqu’à l’ouverture de la visioconférence par l’organisateur qui valide leur arrivée. Les sessions sont automatiquement fermées cinq minutes après le départ de l’organisateur.
Denodo 2022 : le meilleur time-to-Data du marchéDenodo
Watch full webinar here: https://bit.ly/3RXRi3m
Vincent Fages-Gouyou, EMEA Product Management Director, détaille les nouveautés produits de Denodo Platform.
Lors de cette session, vous découvrirez :
- d’où vient Denodo et pourquoi Denodo porte cette vision auprès des organisations modernes
- quels sont les challenges Data des départements IT et des métiers
- quelles ont été les réponses apportées et pourquoi elles ont été insuffisantes
- quelle est la vision de Denodo pour résoudre enfin rapidement les problématiques data
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm
La formation complète est disponible ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-le-pki-avec-adcs-2012-r2
Au travers des modules couvrant la totalité des rôles ADCS 2012 R2 Microsoft, cette formation vous guide graduellement à l'expertise des architectures PKI Windows 2012 R2 qui constituent aujourd'hui la "pierre angulaire" de toutes stratégies de sécurité informatique.
Vous acquérez toutes les compétences et connaissances nécessaires pour planifier, déployer (avec automatisation), configurer, administrer, maintenir et dépanner, et implémenter des hiérarchies sécurisées d'autorités de certification pour une sécurité et une souplesse maximale de votre PKI.
Tous les modules sont illustrés de travaux pratiques pour une approche pragmatique et 100% concrète.
Les concepts cryptographiques sont également abordés pour une compréhension complète et claire de la gestion des certificats.
Cette formation est utile dans la préparation de certaines certifications Microsoft (70-412...).
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
Une conférence proposée par Clément Oudot
Le projet LDAP Tool Box (LTB project) est un ensemble d’outils Open Source simplifiant la gestion de son annuaire (LDAP standard ou AD) et offrant de multiples services aux utilisateurs.
Nous présenterons quelques-uns de ces outils :
* Self Service Password : interface de changement et réinitialisation de son mot de passe
* White Pages : annuaire d’entreprise avec répertoire, carte géographique, export vCard et CSV
* Service Desk : outil pour le support permettant de débloquer des compte et forcer des mots de passe, tableaux de bord
Plusieurs exemples de projets seront mis en avant.
Les plateformes d'hébergement et de partage de code open source (Github, Gitkab, BitBucket, etc.) constituent le pilier fondamental pour la dissémination et l'organisation des logiciels open source. Elles permettent de structurer le code source, d'orchestrer les contributions, d'organiser le versionnage, de gérer la communauté des contributeurs et de fournir une vitrine essentielle pour tous les projets open source.
Exposer son code source au public va dans la démarche du partage open source, mais elle peut exposer son auteur a divulguer des vulnérabilités plus ou moins facile a exploiter par un attaquant. L'une des vulnérabilités les plus courantes et plus faciles a exploiter consiste a laisser les secrets (clefs d'API, Mots de passes, tickets, informations confidentielles etc.) en clair dans le code ou dans l'historique de modification du code. Les conséquences de ce genre de vulnérabilités peuvent se révéler désastreuses pour les entreprises, les organisations et le citoyens. Le cas de Uber en 2016 qui a subi une fuite de données personnelles de 57 millions de leurs clients à cause d'un mot de passe non protégé sur Github en est un exemple flagrant.
Dans cette présentation nous allons discuter des raisons qui conduisent à engendrer ce genre de vulnérabilités, des moyens de s'en protéger et des différents outils Open Source permettant de scanner les projets et détecter en amont les risques de divulgation des secrets.
Live Action : assistez à la récupération d’un AD compromisIdentity Days
Une conférence proposée par Matthieu Trivier & Pierre Normand
La remise en route d’une infrastructure saine n’est que la première étape dans la récupération après compromission d’un Active Directory.
Le traitement de l’identité en elle-même, reste le défi le plus important.
Rejoignez Matthieu et Pierre dans le cadre de cette session Live pour découvrir comment les solutions et les services Semperis peuvent vous aider dans cette situation.
Une conférence proposée par Hervé Thibault & Sylvain Cortès
Votée en novembre 2022, la directive européenne NIS2 entrera en vigueur en France au 2ème semestre 2024, avec pour objectif d’apporter davantage de protection face à des acteurs malveillants toujours plus performants et mieux outillés. Beaucoup d’entreprises (grandes, moyennes, petites) ou d’organismes publics se posent les questions suivantes : A qui s’adresse cette directive ? Quelles sont les obligations qui en résultent ? Comment satisfaire à ces obligations ? Quel impact pour mes clients, mes fournisseurs, mes partenaires ?
Dans cette session, nous décrypterons dans un premier temps le jargon de la directive et parlerons des enjeux, des critères d’application et des moyens d’accompagnement afin de se préparer à l’échéance si proche de 2024.
Dans un deuxième temps, nous vous donnerons des pistes sur les actions à entreprendre pour assurer la conformité avec la directive NIS2 sous un angle identité : Nous parlerons feuille de route, gestion des vulnérabilités, sécurisation des identités internes/externes et on-prem/Cloud.
Contenu connexe
Similaire à Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils de gestion
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
De nos jours la gestion des identités dépasse largement son cadre initial.
Aujourd’hui on a besoin de process intégrant les base métiers RH, des processus de création de comptes, groupes, délégation de gestion et approvisionnement d’autres annuaires et autres applicatifs qui ne peuvent pas se connecter à une gestion des identités
Cette conférence basé sur des exemples réels et détailles va vous offrir un état de l’art et montrer quelles évolutions sont possibles dans le futur.
Guide d’architecture pour le support de la fédération d’identité dans une app...Gregory Haik
L’objectif de ce document est de décrire comment adapter une
application web pour permettre son usage à travers une solution de fédération d’identités telle que Trustelem. Le document ne
s’applique pas aux applications mobiles et aux
clients lourds.
La solution décrite ici s’appuie sur le standard de fédération OpenID Connect. Elle est donc indépendante de Trustelem et s’appliquera pour tout autre système de fédération d’identité supportant le standard OpenID Connect.
Ce document s’intéresse principalement aux impacts de la fédération d’identité sur l’architecture logicielle de l’application. Il ne rentre pas dans les détails d’implémentation, qui sont dépendants du langage et des piles technologiques sur lesquels l’application est fondée.
Ce document fournit également des indications pour:
• valider les développements réalisés sur la base du fournisseur d’identité Trustelem et
• inclure l’application parmi les solutions supporté les nativement par Trustelem.
Sécurisation de jitsi en SAAS (OSXP 2023)Soisik FROGER
Revue de l’architecture technique et du fonctionnement d’une solution HDS basée sur Jitsi, Jitsi-admin et Keycloak et hébergé en SAAS.
Le projet, déjà en production, permet à des médecins conseil de l’assurance maladie (l’organisateur) ou à leur secrétariat de prendre rendez-vous avec un médecin libéral (l’invité) pour des échanges confraternels autour de sujets médicaux sur une plateforme inter-connectée au SSO de l’assurance maladie pour l’authentification. Les invités passent par un sas d’accueil puis patientent dans une salle d’attente jusqu’à l’ouverture de la visioconférence par l’organisateur qui valide leur arrivée. Les sessions sont automatiquement fermées cinq minutes après le départ de l’organisateur.
Denodo 2022 : le meilleur time-to-Data du marchéDenodo
Watch full webinar here: https://bit.ly/3RXRi3m
Vincent Fages-Gouyou, EMEA Product Management Director, détaille les nouveautés produits de Denodo Platform.
Lors de cette session, vous découvrirez :
- d’où vient Denodo et pourquoi Denodo porte cette vision auprès des organisations modernes
- quels sont les challenges Data des départements IT et des métiers
- quelles ont été les réponses apportées et pourquoi elles ont été insuffisantes
- quelle est la vision de Denodo pour résoudre enfin rapidement les problématiques data
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm
La formation complète est disponible ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-le-pki-avec-adcs-2012-r2
Au travers des modules couvrant la totalité des rôles ADCS 2012 R2 Microsoft, cette formation vous guide graduellement à l'expertise des architectures PKI Windows 2012 R2 qui constituent aujourd'hui la "pierre angulaire" de toutes stratégies de sécurité informatique.
Vous acquérez toutes les compétences et connaissances nécessaires pour planifier, déployer (avec automatisation), configurer, administrer, maintenir et dépanner, et implémenter des hiérarchies sécurisées d'autorités de certification pour une sécurité et une souplesse maximale de votre PKI.
Tous les modules sont illustrés de travaux pratiques pour une approche pragmatique et 100% concrète.
Les concepts cryptographiques sont également abordés pour une compréhension complète et claire de la gestion des certificats.
Cette formation est utile dans la préparation de certaines certifications Microsoft (70-412...).
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
Une conférence proposée par Clément Oudot
Le projet LDAP Tool Box (LTB project) est un ensemble d’outils Open Source simplifiant la gestion de son annuaire (LDAP standard ou AD) et offrant de multiples services aux utilisateurs.
Nous présenterons quelques-uns de ces outils :
* Self Service Password : interface de changement et réinitialisation de son mot de passe
* White Pages : annuaire d’entreprise avec répertoire, carte géographique, export vCard et CSV
* Service Desk : outil pour le support permettant de débloquer des compte et forcer des mots de passe, tableaux de bord
Plusieurs exemples de projets seront mis en avant.
Les plateformes d'hébergement et de partage de code open source (Github, Gitkab, BitBucket, etc.) constituent le pilier fondamental pour la dissémination et l'organisation des logiciels open source. Elles permettent de structurer le code source, d'orchestrer les contributions, d'organiser le versionnage, de gérer la communauté des contributeurs et de fournir une vitrine essentielle pour tous les projets open source.
Exposer son code source au public va dans la démarche du partage open source, mais elle peut exposer son auteur a divulguer des vulnérabilités plus ou moins facile a exploiter par un attaquant. L'une des vulnérabilités les plus courantes et plus faciles a exploiter consiste a laisser les secrets (clefs d'API, Mots de passes, tickets, informations confidentielles etc.) en clair dans le code ou dans l'historique de modification du code. Les conséquences de ce genre de vulnérabilités peuvent se révéler désastreuses pour les entreprises, les organisations et le citoyens. Le cas de Uber en 2016 qui a subi une fuite de données personnelles de 57 millions de leurs clients à cause d'un mot de passe non protégé sur Github en est un exemple flagrant.
Dans cette présentation nous allons discuter des raisons qui conduisent à engendrer ce genre de vulnérabilités, des moyens de s'en protéger et des différents outils Open Source permettant de scanner les projets et détecter en amont les risques de divulgation des secrets.
Live Action : assistez à la récupération d’un AD compromisIdentity Days
Une conférence proposée par Matthieu Trivier & Pierre Normand
La remise en route d’une infrastructure saine n’est que la première étape dans la récupération après compromission d’un Active Directory.
Le traitement de l’identité en elle-même, reste le défi le plus important.
Rejoignez Matthieu et Pierre dans le cadre de cette session Live pour découvrir comment les solutions et les services Semperis peuvent vous aider dans cette situation.
Une conférence proposée par Hervé Thibault & Sylvain Cortès
Votée en novembre 2022, la directive européenne NIS2 entrera en vigueur en France au 2ème semestre 2024, avec pour objectif d’apporter davantage de protection face à des acteurs malveillants toujours plus performants et mieux outillés. Beaucoup d’entreprises (grandes, moyennes, petites) ou d’organismes publics se posent les questions suivantes : A qui s’adresse cette directive ? Quelles sont les obligations qui en résultent ? Comment satisfaire à ces obligations ? Quel impact pour mes clients, mes fournisseurs, mes partenaires ?
Dans cette session, nous décrypterons dans un premier temps le jargon de la directive et parlerons des enjeux, des critères d’application et des moyens d’accompagnement afin de se préparer à l’échéance si proche de 2024.
Dans un deuxième temps, nous vous donnerons des pistes sur les actions à entreprendre pour assurer la conformité avec la directive NIS2 sous un angle identité : Nous parlerons feuille de route, gestion des vulnérabilités, sécurisation des identités internes/externes et on-prem/Cloud.
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
Une conférence proposée par Anne-Sophie Goeldner & Matthieu Masson
Pour gagner du temps dans l’exécution de leurs attaques, les adversaires utilisent des comptes valides depuis quelques années. Pour s’en emparer, ils exploitent notamment des mécanismes et des failles propres à l’AD. Une fois en possession d’identifiants compromis, leur objectif est toujours le même : réaliser des mouvements latéraux, obtenir plus de privilèges si nécessaire et compromettre un domaine pour en exfiltrer ses données.
Il est utopique de penser qu’on peut empêcher un adversaire avec des identifiants valides de s’introduire au sein d’un environnement. Et bien souvent, il est trop tard lorsqu’on arrive à détecter une attaque basée sur l’identité. Alors quelle approche adopter ? Nous pensons que la seule approche efficace consiste à entraver sa capacité à se déplacer latéralement dans l’environnement cible.
Passwordless – de la théorie à la pratiqueIdentity Days
Une conférence proposée par Fabrice de Vésian & Renato Antunes
Les mots de passe sont sur le déclin, car synonymes de faille de sécurité et de complexité. Pourtant, les entreprises craignent la conduite du changement et continuent à en souffrir avec le rallongement du nombre de caractères et les changements de mots de passe incessants.
Alors que le passwordless fait de plus en plus de bruit, il est important de le démystifier pour les équipes techniques et les utilisateurs, afin d’assurer l’adoption la plus efficace.
Au travers de quelques démonstrations, découvrez comment vous pouvez dès à présent proposer à vos utilisateurs une expérience passwordless disruptive, quelle que soit votre architecture en place, avec efficacité et simplicité.
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
Une conférence proposée par Emilie Bonnefoy & Xavier Domecq
L’accélération de la transformation digitale et l’augmentation et la complexification des attaques ont conduit à des changements de doctrine profond. Le concept de 0 trust s’est désormais imposé.
Sera-t-il suffisant pour faire face aux grandes ruptures technologiques auxquelles nous faisons déjà face ?
Intelligence artificielle, quantique, comment mieux les anticiper dans sa politique de gestion des identités ?
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
Une conférence proposée par Hervé-François Le Devehat
Dans un monde hyper-connecté, cible de cyberattaques de plus en plus industrialisées, il est essentiel de trouver des approches holistiques, qui intègrent la sécurité physique et la cybersécurité, tout en préservant la confidentialité des données et la protection de la vie privée, en renforçant l’authentification grâce à la biométrie décentralisée.
Cette conférence explorera les synergies et les opportunités offertes par cette combinaison alliée au MFA, dans le but de renforcer la protection des individus, des organisations et des infrastructures critiques. Des études de cas seront présentées pour illustrer comment la convergence de ces domaines peut améliorer la résilience des systèmes de sécurité, notamment face aux attaques de phishing, d’ingénierie sociale et d’usurpation d’identité.
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
Une conférence proposée par Christophe Maudoux
Je commencerai par présenter comment protéger des applications avec LemonLDAP::NG en mode reverse proxy, principal mode de raccordement utilisé pour protéger les applications des FSI.
J’expliquerai ensuite le principe de fonctionnement des handlers LL::NG en général et le handler DevOps en particuliers.
Enfin, je détaillerai comment mettre en œuvre une infrastructure DevOps complète basée sur le serveur Web Nginx et comment le STSISI a déployé le « SSO as a Service » pour offrir de nouvelles fonctionnalités aux équipes de développement.
Gérer les privilèges locaux en utilisant IntuneIdentity Days
Une conférence proposée par Thierry Deman et Jean-Sébastien Duchêne
Dans cette session, nous verrons les solutions disponibles pour gérer les privilèges des utilisateurs sur les machines. Au travers de démonstrations, nous passerons en revue tous les mécanismes tels que la gestion locale des utilisateurs et des groupes, Windows LAPS, Endpoint Privilege Management, etc.
Votre sécurité dépend de vos machines et des privilèges associés !
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
Une conférence proposée par Xuan Ahehehinnou, Nicolas Bonnet & Hakim Taoussi
Sur les ordinateurs et les serveurs, tout compte utilisateur/ système / de service, avec privilège d’administrateur local présente un très haut niveau de risque.
Ces risques de sécurité pouvant ouvrir la porte à des attaques pass-the-hash et autres vols d’informations d’identification, exécution de malware, mouvement latéral, désactivation des mécanismes de défense comme l’antivirus ou l’EDR, impersonation, chiffrement des données, etc.
Dans cette session, nous vous détaillerons donc les bonnes pratiques ainsi que des outils et fonctionnalités Microsoft comme : LAPS, Endpoint Privilege Management, Account protection
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
Une conférence proposée par Romaric Fayol
Le MFA, l’accès conditionnel et d’autres contrôles sur les identités sont très efficaces pour stopper les attaques. Ils sont largement utilisés dans des applications et infrastructures modernisées.
Cependant jusqu’à peu, ils ne pouvaient pas être facilement appliqués aux vielles applications, comptes de service, outils en ligne de commande, systèmes industriels et autres ressources reposant sur Active Directory. Ces angles morts sont ciblés dans presque toutes les attaques, et selon un nombre croissant de cyber assurances et régulations nécessitent des mesures de protections.
Rejoignez cette session et découvrez comment les solutions d’identités modernes et MFA peuvent être étendus aux assets connectés à l’Active Directory.
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
Une conférence proposée par Benoit Mortier
Les moteurs de workflow sont une partie importante de l’inscription, de l’accréditation, de l’habilitation et de la sécurité. Le problème courant est qu’il sont limités en fonctionnalités, trop complexes ou prévus pour certains usages seulement.
Un autre aspect est que cela doit rester utilisable par tout type d’utilisateur et donc être convivialNos recherches nous on donc amenés à implémenter un gestionnaire de workflow générique dans FusionDirectory. Ainsi, les utilisateurs peuvent créer leurs workflows et suivre leur exécution dans FusionDirectory de manière conviviale
Cette conférence montrera l’état de nos recherches actuelles et un cas d’usage concret du premier déploiement de cette solution
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
Une conférence proposée par Clément Notin
Mon Azure AD est-il à risque si mon Active Directory est piraté ? Ou l’inverse ?
De nombreuses organisations ont désormais un environnement d’identité hybride avec leur annuaire Active Directory historique, on-prem, et plus récemment Azure AD, dans le cloud. Les attaquants connaissent et savent exploiter plusieurs failles pour compromettre Active Directory (intrusion initiale, latéralisation, élévation de privilèges, persistance…), idem côté Azure AD.
Mais quid de l’isolation de ces environnements ? Un attaquant peut-il rebondir de l’un vers l’autre ?
Le piratage de SolarWinds en 2020 a confirmé que cela était possible de plusieurs manières.
Dans cette session, nous verrons :
– un éventail des techniques permettant à un attaquant de rebondir vers Azure AD depuis un Active Directory compromis
– mais aussi l’inverse !
– des démonstrations de plusieurs de ces techniques avec des outils de piratage publics
– et bien sûr des recommandations pour s’en prémunir
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
Une conférence proposée par David Coutadeur
La gestion d’identité est de plus en plus présente aujourd’hui, et les offres de SSO sont multiples.
Au coeur de ce marché, LemonLDAP::NG est une implémentation open-source robuste, complète, et adaptable de WebSSO.
Il répond aux besoins de sociétés privées et d’administrations de toutes tailles.
L’objectif de cette session est d’expliquer les concepts liés au SSO, de présenter le logiciel LemonLDAP::NG, de faire un point sur ses nouveautés, et de présenter un retour d’expérience client concret : architecture, état des lieux, difficultés rencontrées et bilan. Vous saurez tout !
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
Une conférence proposée par Loïc Veirman, Guillaume Mathieu et Jean-François Fernandez.
Au programme :
Gestion de la dette technique dans un modèle à plusieurs Tiers Active Directory
– Contextualisation : qu’est-ce que la dette technique ? Pourquoi la gestion est inévitable ?
– Deepdive : présentation des tiers legacy, isolement des DC dédiés (mnémonique, etc)
– Analyse de risque : ca ne règle pas tout !
Quand la dette technique touche le Cloud : obsolescence à grande vitesse
– Dépréciation des méthodes d’authentification héritées : Legacy MFA, Legacy SSPR
– Dépréciation des modules PowerShell AzureAD et MsOnline : présentation du module MGGraph et des outils de conversion de scripts.
– Dépréciation des API : au revoir Azure AD Graph
– Il est venu le temps de nettoyer vos applications Azure AD et supprimer les permissions API à risque
Azure AD pod Identity et son remplaçant les Azure AD Workload Identity
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
Avec l’évolution des usages et la migration vers le cloud, les systèmes d’information des entreprises sont de plus complexes et ouverts, ce qui augmente la surface d’attaque. Dans ce contexte, la gestion des identités et des accès (IAM) est essentielle pour assurer la sécurité et la conformité. En adoptant une approche Zero Trust, centrée sur les utilisateurs, les actifs et les ressources, l’IAM joue un rôle crucial en maîtrisant les identités et les autorisations pour protéger le système d’information. Dans cette présentation nous allons explorer les idées reçues, les pièges à éviter et les bonnes pratiques pour assurer le succès d’un projet IAM.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...Horgix
This is the slide deck of a talk by Alexis "Horgix" Chotard and Laurentiu Capatina presented at the MongoDB Paris User Group in June 2024 about the feedback on how PayFit move away from a monolithic hell of a self-hosted MongoDB cluster to managed alternatives. Pitch below.
March 15, 2023, 6:59 AM: a MongoDB cluster collapses. Tough luck, this cluster contains 95% of user data and is absolutely vital for even minimal operation of our application. To worsen matters, this cluster is 7 years behind on versions, is not scalable, and barely observable. Furthermore, even the data model would quickly raise eyebrows: applications communicating with each other by reading/writing in the same MongoDB documents, documents reaching the maximum limit of 16MiB with hundreds of levels of nesting, and so forth. The incident will last several days and result in the loss of many users. We've seen better scenarios.
Let's explore how PayFit found itself in this hellish situation and, more importantly, how we managed to overcome it!
On the agenda: technical stabilization, untangling data models, breaking apart a Single Point of Failure (SPOF) into several elements with a more restricted blast radius, transitioning to managed services, improving internal accesses, regaining control over risky operations, and ultimately, approaching a technical migration when it impacts all development teams.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils de gestion
1. Politique des mots de passe des
annuaires LDAP et outils de gestion
Clément OUDOT
29 octobre 2020
Identity Days 2020
2. Clément OUDOT
Identity Solutions Manager
PRO :
●
Worteks
●
LemonLDAP::NG
●
LDAP Tool Box
●
LDAP Synchronization Connector
●
FusionIAM
●
W’Sweet
PERSO :
●
KPTN
●
DonJon Legacy
●
Improcité
• « Mot de passe protégé »
• Le standard LDAP “password policy”
• Implémentation dans OpenLDAP
• Les outils du projet LDAP Tool Box
• Self Service Password
• Service Desk
AGENDA DE LA CONFÉRENCE
29 octobre 2020
Identity Days 2020
3. Mot de passe protégé
Sur l’air de Femme Libérée de Cookie Dingler
Souvent chiffré, mais parfois en clair
Un mot de passe mal géré ça peut coûter cher
Les attaquants ne font pas semblant
Quand ils s’en prennent à ton compte, c’est pas très marrant
Ne le laisse pas traîner
Il est si fragile
Un mot de passe à protéger tu sais c'est pas si facile
Ne le laisse pas traîner
Il est si fragile
Un mot de passe à protéger tu sais c'est pas si facile
Ta date naissance, le nom de ton chat
C’est pas comme si tu n’avais pas d’autre choix
Essaye un peu de faire un effort
Respecte les critères pour choisir un mot de passe fort
Identity Days 2020
29 octobre 2020
Ne le laisse pas traîner
Il est si fragile
Un mot de passe à protéger tu sais c'est pas si facile
Ne le laisse pas traîner
Il est si fragile
Un mot de passe à protéger tu sais c'est pas si facile
Des majuscules, des chiffres mais aussi
Des caractères spéciaux de la table ASCII
Un mot de passe complexe, c’est pas compliqué
Mais il faut bien l’apprendre pour ne pas l’oublier
Ne le laisse pas traîner
Il est si fragile
Un mot de passe à protéger tu sais c'est pas si facile
Ne le laisse pas traîner
Il est si fragile
Un mot de passe à protéger tu sais c'est pas si facile
4. Le standard LDAP “password policy”
Identity Days 2020
29 octobre 2020
5. Un standard encore en brouillon (draft)
La politique des mots de passe est spécifiée à l’IETF, mais sous forme de brouillon
Identity Days 2020
29 octobre 2020
https://tools.ietf.org/html/draft-behera-ldap-password-policy
Première version publiée en 1999
La dernière version (10), publiée en 2009, est maintenant expirée
6. Contenu du standard
Le standard porte sur :
●
Le contrôle dans les requêtes et réponses LDAP
●
Le schéma pour la configuration
●
Les attributs opérationnels pour le statut de la politique pour chaque compte
●
Le traitement des requêtes d’authentification et de changement de mot de
passe
Identity Days 2020
29 octobre 2020
8. Vérifications faites à l’authentification
●
Expiration : refuser l’authentification si le mot de passe est expiré, ou gérer les
grâces d’authentification
●
Verrouillage : gérer le compteur d’authentification ratées, refuser
l’authentification si le mot de passe est bloqué
●
Forcer le changement : autoriser l’authentification mais forcer le changement
de mot de passe
●
Alertes : informer sur le temps avant expiration ou sur les grâces
d’authentification restantes
Identity Days 2020
29 octobre 2020
9. Vérification faites à la modification du mot
de passe
●
Longueur minimale
●
Âge minimal
●
Présence dans l’historique
●
Complexité
Identity Days 2020
29 octobre 2020
Le standard n’impose rien concernant la complexité
11. Le logiciel OpenLDAP
●
Serveur conforme au standard LDAPv3
●
Licence compatible BSD (Logiciel Libre)
●
Paquets Debian/Ubuntu/CentOS/RHEL disponibles dans le projet LDAP Tool Box
Identity Days 2020
24 octobre 2020
12. Overlay ppolicy
●
OpenLDAP 2.4 : Behera draft v9
●
OpenLDAP 2.5 : Behera draft v10
●
Principaux changements entre v9 et v10 :
●
Taille maximale du mot de passe
●
Délais d’authentification
●
Calcul du temps de non utilisation
●
Période de validité
Identity Days 2020
29 octobre 2020
13. Configuration de l’overlay
dn: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyHashCleartext: TRUE
olcPPolicyUseLockout: TRUE
olcPPolicyForwardUpdates: FALSE
Identity Days 2020
29 octobre 2020
14. Configuration des politiques
●
Chaque politique est représentée par une entrée LDAP utilisant la classe d’objet
pwdPolicy
●
On peut ajouter la classe d’objet pwdPolicyChecker pour charge un module de
vérification de la complexité
●
Le projet LDAP Tool Box fournit un module nommé ppm :
https://github.com/ltb-project/ppm
Identity Days 2020
29 octobre 2020
16. Attributs opérationnels pour le statut
●
pwdPolicySubentry : politique active pour ce compte
●
pwdChangedTime : date de dernier changement de mot de passe
●
pwdAccountLockedTime : date de verrouillage. Si la valeur est
"000001010000Z", cela signifie que le compte est bloqué pour une durée
indéterminée
●
pwdFailureTime : listes des dates d’authentification ratées
●
pwdHistory : historique des mots de passe
●
pwdGraceUseTime : liste des dates de grâce d’authentifcation
●
pwdReset : forcer le changement à la prochaine connexion
Identity Days 2020
29 octobre 2020
17. Overlay lastbind
Overlay spécifique pour mémoriser la date de dernière authentification réussie
(attribut opérationel authTimestamp)
dn: olcOverlay=lastbind,olcDatabase={1}mdb,cn=config
objectClass: top
objectClass: olcConfig
objectClass: olcLastBindConfig
objectClass: olcOverlayConfig
olcOverlay: lastbind
olcLastBindPrecision: 1
Identity Days 2020
29 octobre 2020
18. Ce que personne ne vous a jamais dit
Verrouillage de compte : avoir une valeur dans l’attribut pwdAccountLockedTime
ne signifie pas que le compte est bloqué. Si la date courante est supérieure à la
date de verrouillage à laquelle est ajoutée la durée de blocage, alors le compte
n’est plus verrouillé. L’attribut sera supprimé à la prochaine authentification.
Réinitialisation du mot de passe : même si une réinitialisation du mot de passe
est demandée, l’authentification est valide. OpenLDAP limite les opérations
possibles ensuite pour n’autoriser que la modification du mot de passe.
Cependant cela n’impacte pas les applications qui ne font qu’une requête
d’authentification.
Identity Days 2020
29 octobre 2020
19. Les outils du projet LDAP Tool Box
Identity Days 2020
29 octobre 2020
20. Self Service Password
Identity Days 2020
29 octobre 2020
●
Logiciel Libre (licence GPL)
●
Destiné aux utilisateurs finaux
●
Changement ou réinitialisation de mot de
passe
●
Utilisation d’un jeton par mail, SMS ou de
questions de sécurité
●
Modification de sa clé SSH
●
Utilisation de la politique de l’annuaire ou
d’une politique locale
●
Fonctionne avec un annuaire LDAP standard
et avec Active Directory
21. Service Desk
Les problèmes rencontrés par les utilisateurs avec le système d’authentification
sont souvent liées à un mot de passe perdu, expiré ou bloqué
Les équipes de support ont rarement accès directement à l’annuaire LDAP et ne
savent pas comment fonctionne la politique des mots de passe
Les équipes de support ont besoin d’un outil qui donne rapidement le statut d’un
compte afin d’aider les utilisateurs
Identity Days 2020
29 octobre 2020
22. Service Desk
●
Logiciel Libre (licence GPL)
●
Destiné aux équipes de support
●
Recherche d’un compte
●
Affichage des attributs principaux
●
Affichage du statut du compte
●
Vérification du mot de passe courant
●
Réinitialisation du mot de passe
●
Verrouillage/déverrouillage
Identity Days 2020
29 octobre 2020