SlideShare une entreprise Scribd logo
24 octobre 2023 - PARIS
5ème édition
@IdentityDays
#identitydays2023
L'authentification à l’ère des grandes ruptures
technologiques, un virage à prendre dès
aujourd’hui
Emilie BONNEFOY - Xavier DOMECQ
24 octobre 2023 - PARIS
Identity Days 2023
Emilie Bonnefoy
Co-Fondatrice - CEO
OPEN SEZAM
Auditrice IHEDN
Majeure
Cybersécurité et
Souveraineté Nat.
• Fresque de l’authentification
• Intelligence Artificielle appliquée à l’authentification
○ Menaces
○ Opportunités
○ Cadre légal et réglementaire
• Informatique quantique
○ Risques
○ Opportunités
AGENDA DE LA CONFÉRENCE
24 octobre 2023 - PARIS
Identity Days 2023
Xavier Domecq
Président ID-LOGISM
Auditeur INHESJ –
Intelligence
économique et
protection des
entreprises
Fresque de
l’authentification
Identity Days 2023
24 octobre 2023 - PARIS
Identity Days 2023
24 octobre 2023 - PARIS
1990 2000 2010 2020
1990 - Norme X 500
1993 - Protocole LDAP
1999 - 1ère utilisation AD
2012 - OAuth 2.0
2013 - Fido Alliance
2013 - Adoption du Cloud
2014 - OpenID connect
2015 - SCIM 2.0 2022 -
2022 -
2005 - SAML 2.0
2006 -
2008 - Azure
Intelligence Artificielle
Identity Days 2023
24 octobre 2023 - PARIS
Propos liminaire
L’intelligence artificielle
Identity Days 2023
24 octobre 2023 - PARIS
Alan TURING
“systèmes qui
agissent comme
des humains »
Marvin MINSKY
« La construction de
programmes informatiques
capables d'accomplir des
tâches qui sont, pour
l'instant, accomplies de
façon plus satisfaisantes
par des êtres humains. »
IA : Accompagner, pas remplacer, pas de solution
magique.
Techniques et Technologiques : Différents types,
pas de définition précise.
Éthique : Principes à respecter.
Moralité : Référence personnelle ou collective.
État de la menace
L’intelligence artificielle
Identity Days 2023
24 octobre 2023 - PARIS
Rançongiciels : Augmentation du danger à
l’aide de l’IA
« Deep fake » : Amélioration des technologies
État de la menace
L’intelligence artificielle
Identity Days 2023
24 octobre 2023 - PARIS
Requêtes à ChatGPT 3.5 pour
rédiger un mail de phishing
Cas d’usage
Identity Days 2023
24 octobre 2023 - PARIS
Opportunités
Identity Days 2023
24 octobre 2023 - PARIS
24 octobre 2023 - PARIS
Biométrie
comportementale
Moteur IA
Machine Learning
Empreinte
Jumeau numérique
Authentification
adaptative
Analyse des
comportements
à risque
DATA
MATCHING
Identity Days 2023
Opportunités - les applications concrètes (1)
Développer une authentification évolutive
Opportunités - les applications concrètes (2)
Authentifier en utilisant un ensemble de signaux
Identity Days 2023
3 grandes sources d’informations :
Celles qui viennent de protocoles spécialisés dans
l’authentification : capteur d’empreinte, FIDO
(appareils compatibles avec ce standard)
Les informations qui proviennent du comportement de
l’utilisateur ou des habitudes de connexion :
temporalité de la connexion, zone géographique, taux
de frappe, données gyroscopiques, accéléromètre
Les informations techniques : système d’exploitation
utilisés, composants logiciels et matériels etc.
24 octobre 2023 - PARIS
Cas d’usage
Authentifier le porteur d’un gilet connecté
Identity Days 2023
24 octobre 2023 - PARIS
Forces de sécurité
Contraintes opérationnelles fortes
Authentification continue
Opportunités - les applications concrètes (2)
Bénéfices de l’authentification dynamique
augmenté par IA
Identity Days 2023
Données : traiter de très gros volumes.
Sécurité vs Expérience utilisateur : Résoudre l’équation en
demandant le moins d’actions possibles
Besoin : couvrir des cas d’usage qui aujourd’hui ne sont pas bien
adressés par les méthodes classiques
Architecture 0 Trust : Renforcer le contrôle d’accès aux données
confidentielles
24 octobre 2023 - PARIS
IA et réglementation
Identity Days 2023
24 octobre 2023 - PARIS
Projet de règlement européen sur l’IA (IA Act)
Dans de nombreux cas, les données (à caractère personnel et non personnel) dans le domaine de
l’IA constituent la clé de voûte des décisions autonomes, ce qui aura inévitablement une incidence
sur la vie des individus à différents niveaux.
Contexte
Identity Days 2023
24 octobre 2023 - PARIS
Face aux enjeux des systèmes d’IA et pour en permettre le développement sûr et digne de confiance
dans l’Union européenne, La Commission européenne a publié un projet de Règlement sur l’IA,
le 21 avril 2021.
Souhait d’une adoption définitive par les instances européennes d’ici fin 2023 pour une application
effective dans les Etats membres de l’Union prévue pour 2025.
Projet de règlement européen sur l’IA (IA Act)
Objectifs & champ d’application
Identity Days 2023
24 octobre 2023 - PARIS
Etablir des règles harmonisées concernant la mise sur le marché, la mise en service et l’utilisation de
systèmes d’IA dans l’Union européenne ;
Interdire certaines pratiques en matière d’IA ;
Etablir des exigences spécifiques applicables aux systèmes d’IA à haut risque.
Aux fournisseurs et aux utilisateurs de systèmes d’IA
Projet de règlement européen sur l’IA (IA Act)
Classification des systèmes d’IA
Identity Days 2023
24 octobre 2023 - PARIS
Système d’IA interdit Système d’IA à haut risque
Système d’IA à risque
limité
Système d’IA classique
Systèmes considérés comme
représentant une menace
évidente pour les citoyens de
l’UE
(ex. notation sociale par les
pouvoirs publics)
Systèmes d’IA portant sur :
les infrastructures critiques
susceptibles de mettre en
danger la vie et la santé des
citoyens, la formation scolaire
ou professionnelle, l’emploi, la
gestion des travailleurs, les
services publics et privés
essentiels, etc.
Systèmes d’IA tels que les
chatbots, soumis à des
obligations de transparence
minimales, destinées à
permettre aux personnes
concernées de prendre des
décisions éclairées.
Systèmes ne représentant
qu’un risque minime ou nul
pour les droits et la sécurité
des citoyens.
- Ces systèmes ne sont pas soumis
aux dispositions du projet de
règlement européen sur l’IA.
Projet de règlement européen sur l’IA (IA Act)
Une approche basée sur la gestion des risques
Identity Days 2023
24 octobre 2023 - PARIS
Exigences applicables aux systèmes d’IA à haut risque (et notamment aux jeux de données utilisées) ;
Analyse « by design » de la conformité du système d’IA à haut risque mis au point ;
Analyse de la conformité tout au long de la vie du système d’IA à haut risque ;
Transparence, contrôle humain et cybersécurité.
Projet de règlement européen sur l’IA (IA Act)
Sanctions
Identity Days 2023
24 octobre 2023 - PARIS
Jusqu’à 10 000 000 €
ou 2 % du CA mondial
Fourniture d’informations inexactes, incomplètes ou
trompeuses aux organismes notifiés et aux autorités
nationales compétentes en réponse à une demande
Jusqu’à 20 000 000 €
ou 4 % du CA mondial
Jusqu’à 30 000 000 €
ou 6 % du CA mondial
Manquement aux pratiques interdites en matière d’IA
ou à la gouvernance des données des systèmes d’IA
Non-conformité du système d’IA avec les exigences
ou obligations du règlement
Informatique quantique
risques et opportunité
Identity Days 2023
24 octobre 2023 - PARIS
Les ordinateurs traditionnels sont programmés avec des bits ne pouvant avoir qu’une seule
valeur de 0 ou de 1 selon l’état du transistor (le courant passe ou ne passe pas).
Identity Days 2023
24 octobre 2023 - PARIS
Les ordinateurs quantiques utilisent quant à eux des bits quantiques (appelés qubits)
ayant une infinité d’états 0 ou 1 pouvant se superposer.
Principe de superposition : une particule est simultanément dans des états différents|0>,
|1> mais aussi une combinaison linéaire des états possibles α|0> + β|1>.
Principe d’intrication : deux particules, qui partagent les mêmes propriétés, sont dites
intriquées et prennent la même valeur lorsqu’on mesure l’état de l’une d’entre elles.
L’informatique quantique
Rappels et principes fondamentaux
Les ordinateurs quantiques constituent des machines d'un nouveau genre tirant parti des propriétés physiques de la
matière à l'échelle de l'atome.
Identity Days 2023
24 octobre 2023 - PARIS
Il reste de nombreux défis techniques à relever pour qu'elle soit vraiment au point. L’un d’entre eux est de réussir à
stabiliser l’état quantique des qubits qui perdent très vite leurs propriétés lorsqu’ils interagissent avec leur environnement
(champ magnétique, changement de température, lumière, onde acoustique...), mais aussi entre eux.
À cause de l’instabilité des qubits, les machines quantiques ne peuvent traiter des algorithmes que durant un laps de temps
très court. Ce phénomène appelé la décohérence constitue le principal frein au développement des ordinateurs quantiques,
car il génère d’importantes erreurs de calcul. Augmenter le nombre de qubits des ordinateurs quantiques constitue l’un des
autres challenges à surmonter, car plus il est élevé, plus le système devient incontrôlable.
L’informatique quantique
Les défis
La protection des communications numériques, des transactions sur Internet, des mots de passe, des signatures
électroniques, des contrats et des autres documents numérisés est aujourd’hui essentiellement assurée par leur
chiffrement : en appliquant un algorithme basé sur une « clé ».
Identity Days 2023
24 octobre 2023 - PARIS
Les clés de chiffrement sont construites sur une propriété mathématique simple : il est très facile pour un ordinateur
classique de multiplier des grands nombres, mais très compliqué de faire l’opération inverse (retrouver les facteurs).
Cryptographie
État de l’art
Algorithme de Shor(Peter Shor 1994, Bell Labs): Algorithme de factorisation des grands nombres, qui permet de
décomposer en nombres premiers (utilisés pour l’algorithme RSA, découvert par Ronald Rivest, Adi Shamir et Leonard
Adleman) de très grands nombres.
Identity Days 2023
24 octobre 2023 - PARIS
Edward Snowden révèle en 2014 que la NSA finance à hauteur de 80 millions de dollars un programme de recherche sur
les ordinateurs quantiques du nom de "Penetrating hard targets" avec le projet "Owning the Net".
Dans le cas de certaines données très sensibles (données de santé, contrats, propriété intellectuelle, etc.), un attaquant
pourrait acquérir des données aujourd’hui chiffrées, et attendre la disponibilité de l’ordinateur quantique pour les
décrypter. Des données aujourd’hui protégées ne le seraient plus.
L’ordinateur quantique
Les risques pour la cryptographie
Pour l'ANSSI, la cryptographie post-quantique (Post-Quantum Cryptography, PQC) est la voie la plus prometteuse pour
contrecarrer la menace quantique. Il s'agit d'une famille d'algorithmes cryptographiques qui comprend l'établissement de
clés et de signatures numériques qui assurent une sécurité même contre un attaquant équipé d'ordinateurs quantiques.
Identity Days 2023
24 octobre 2023 - PARIS
Sécurisation des communications de par la nature même du qubit
Accélération drastique de la vitesse d’apprentissage des algorithmes d’intelligence artificielle et de machine learning.
L’ordinateur quantique
Les opportunités (puissance de calcul et sécurité)
Identity Days 2023
24 octobre 2023 - PARIS
Stratégie
Alors que faire dans ce contexte de grande incertitude ?
Une seule stratégie possible : l’anticipation !
Identity Days 2023
1. Adapter l’authentification au niveau
de risque
2. Réconcilier sécurité et expérience
utilisateur : le multimodal est la clé !
3. Les modes d’attaque évoluent, les
systèmes doivent s’adapter en créant
de la rupture !
24 octobre 2023 - PARIS
Identity Days 2023
24 octobre 2023 - PARIS
Identity Days 2023
24 octobre 2023 - PARIS
Merci !
Identity Days 2023
24 octobre 2023 - PARIS
@IdentityDays
#identitydays2023

Contenu connexe

Similaire à L’authentification à l’Ère des grandes ruptures technologiques, un Virage à prendre dès aujourd’hui

Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / SmileSéminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
Smile I.T is open
 
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteInternet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
CITC-EuraRFID
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
Jean-Luc Lemire
 
Tcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaTcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaCERTyou Formation
 
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Technologia Formation
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
Dig-IT
 
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par..."Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
Claudy75
 
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
M2i Formation
 
les objets connectées.pptx
les objets connectées.pptxles objets connectées.pptx
les objets connectées.pptx
AdelGhamki2
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Lexing - Belgium
 
Véhicules autonomes et discrimination 
Véhicules autonomes et discrimination Véhicules autonomes et discrimination 
Véhicules autonomes et discrimination 
Alexandre Cassart
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Identity Days
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
Infopole1
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
Hamza Ben Marzouk
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
ir. Carmelo Zaccone
 
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
Lexing - Belgium
 
01 mdn2018 - conference cybersecurite - marc watin-augouard
01 mdn2018 - conference cybersecurite - marc watin-augouard01 mdn2018 - conference cybersecurite - marc watin-augouard
01 mdn2018 - conference cybersecurite - marc watin-augouard
Cyril Marsaud
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Pascal ALIX
 
NV-chapitre-3 (2).doc
NV-chapitre-3 (2).docNV-chapitre-3 (2).doc
NV-chapitre-3 (2).doc
KhalfallahWafa
 
La Blockchain, le Big Data, l'Intelligence Artificielle et la future mobilité...
La Blockchain, le Big Data, l'Intelligence Artificielle et la future mobilité...La Blockchain, le Big Data, l'Intelligence Artificielle et la future mobilité...
La Blockchain, le Big Data, l'Intelligence Artificielle et la future mobilité...
Web à Québec
 

Similaire à L’authentification à l’Ère des grandes ruptures technologiques, un Virage à prendre dès aujourd’hui (20)

Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / SmileSéminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
 
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteInternet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 
Tcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaTcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panorama
 
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
 
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par..."Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
 
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
Formation M2i - Cadre réglementaire des IA Génératives : premiers éléments de...
 
les objets connectées.pptx
les objets connectées.pptxles objets connectées.pptx
les objets connectées.pptx
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
Véhicules autonomes et discrimination 
Véhicules autonomes et discrimination Véhicules autonomes et discrimination 
Véhicules autonomes et discrimination 
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
 
01 mdn2018 - conference cybersecurite - marc watin-augouard
01 mdn2018 - conference cybersecurite - marc watin-augouard01 mdn2018 - conference cybersecurite - marc watin-augouard
01 mdn2018 - conference cybersecurite - marc watin-augouard
 
Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...Bâtiments connectés : "La protection des données doit être prise en compte tr...
Bâtiments connectés : "La protection des données doit être prise en compte tr...
 
NV-chapitre-3 (2).doc
NV-chapitre-3 (2).docNV-chapitre-3 (2).doc
NV-chapitre-3 (2).doc
 
La Blockchain, le Big Data, l'Intelligence Artificielle et la future mobilité...
La Blockchain, le Big Data, l'Intelligence Artificielle et la future mobilité...La Blockchain, le Big Data, l'Intelligence Artificielle et la future mobilité...
La Blockchain, le Big Data, l'Intelligence Artificielle et la future mobilité...
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
Identity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Identity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
Identity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
Identity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
Identity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Identity Days
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
Identity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
Identity Days
 

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 

L’authentification à l’Ère des grandes ruptures technologiques, un Virage à prendre dès aujourd’hui

  • 1. 24 octobre 2023 - PARIS 5ème édition @IdentityDays #identitydays2023
  • 2. L'authentification à l’ère des grandes ruptures technologiques, un virage à prendre dès aujourd’hui Emilie BONNEFOY - Xavier DOMECQ 24 octobre 2023 - PARIS Identity Days 2023
  • 3. Emilie Bonnefoy Co-Fondatrice - CEO OPEN SEZAM Auditrice IHEDN Majeure Cybersécurité et Souveraineté Nat. • Fresque de l’authentification • Intelligence Artificielle appliquée à l’authentification ○ Menaces ○ Opportunités ○ Cadre légal et réglementaire • Informatique quantique ○ Risques ○ Opportunités AGENDA DE LA CONFÉRENCE 24 octobre 2023 - PARIS Identity Days 2023 Xavier Domecq Président ID-LOGISM Auditeur INHESJ – Intelligence économique et protection des entreprises
  • 4. Fresque de l’authentification Identity Days 2023 24 octobre 2023 - PARIS
  • 5. Identity Days 2023 24 octobre 2023 - PARIS 1990 2000 2010 2020 1990 - Norme X 500 1993 - Protocole LDAP 1999 - 1ère utilisation AD 2012 - OAuth 2.0 2013 - Fido Alliance 2013 - Adoption du Cloud 2014 - OpenID connect 2015 - SCIM 2.0 2022 - 2022 - 2005 - SAML 2.0 2006 - 2008 - Azure
  • 6. Intelligence Artificielle Identity Days 2023 24 octobre 2023 - PARIS
  • 7. Propos liminaire L’intelligence artificielle Identity Days 2023 24 octobre 2023 - PARIS Alan TURING “systèmes qui agissent comme des humains » Marvin MINSKY « La construction de programmes informatiques capables d'accomplir des tâches qui sont, pour l'instant, accomplies de façon plus satisfaisantes par des êtres humains. » IA : Accompagner, pas remplacer, pas de solution magique. Techniques et Technologiques : Différents types, pas de définition précise. Éthique : Principes à respecter. Moralité : Référence personnelle ou collective.
  • 8. État de la menace L’intelligence artificielle Identity Days 2023 24 octobre 2023 - PARIS Rançongiciels : Augmentation du danger à l’aide de l’IA « Deep fake » : Amélioration des technologies
  • 9. État de la menace L’intelligence artificielle Identity Days 2023 24 octobre 2023 - PARIS Requêtes à ChatGPT 3.5 pour rédiger un mail de phishing
  • 10. Cas d’usage Identity Days 2023 24 octobre 2023 - PARIS
  • 11. Opportunités Identity Days 2023 24 octobre 2023 - PARIS
  • 12. 24 octobre 2023 - PARIS Biométrie comportementale Moteur IA Machine Learning Empreinte Jumeau numérique Authentification adaptative Analyse des comportements à risque DATA MATCHING Identity Days 2023 Opportunités - les applications concrètes (1) Développer une authentification évolutive
  • 13. Opportunités - les applications concrètes (2) Authentifier en utilisant un ensemble de signaux Identity Days 2023 3 grandes sources d’informations : Celles qui viennent de protocoles spécialisés dans l’authentification : capteur d’empreinte, FIDO (appareils compatibles avec ce standard) Les informations qui proviennent du comportement de l’utilisateur ou des habitudes de connexion : temporalité de la connexion, zone géographique, taux de frappe, données gyroscopiques, accéléromètre Les informations techniques : système d’exploitation utilisés, composants logiciels et matériels etc. 24 octobre 2023 - PARIS
  • 14. Cas d’usage Authentifier le porteur d’un gilet connecté Identity Days 2023 24 octobre 2023 - PARIS Forces de sécurité Contraintes opérationnelles fortes Authentification continue
  • 15. Opportunités - les applications concrètes (2) Bénéfices de l’authentification dynamique augmenté par IA Identity Days 2023 Données : traiter de très gros volumes. Sécurité vs Expérience utilisateur : Résoudre l’équation en demandant le moins d’actions possibles Besoin : couvrir des cas d’usage qui aujourd’hui ne sont pas bien adressés par les méthodes classiques Architecture 0 Trust : Renforcer le contrôle d’accès aux données confidentielles 24 octobre 2023 - PARIS
  • 16. IA et réglementation Identity Days 2023 24 octobre 2023 - PARIS
  • 17. Projet de règlement européen sur l’IA (IA Act) Dans de nombreux cas, les données (à caractère personnel et non personnel) dans le domaine de l’IA constituent la clé de voûte des décisions autonomes, ce qui aura inévitablement une incidence sur la vie des individus à différents niveaux. Contexte Identity Days 2023 24 octobre 2023 - PARIS Face aux enjeux des systèmes d’IA et pour en permettre le développement sûr et digne de confiance dans l’Union européenne, La Commission européenne a publié un projet de Règlement sur l’IA, le 21 avril 2021. Souhait d’une adoption définitive par les instances européennes d’ici fin 2023 pour une application effective dans les Etats membres de l’Union prévue pour 2025.
  • 18. Projet de règlement européen sur l’IA (IA Act) Objectifs & champ d’application Identity Days 2023 24 octobre 2023 - PARIS Etablir des règles harmonisées concernant la mise sur le marché, la mise en service et l’utilisation de systèmes d’IA dans l’Union européenne ; Interdire certaines pratiques en matière d’IA ; Etablir des exigences spécifiques applicables aux systèmes d’IA à haut risque. Aux fournisseurs et aux utilisateurs de systèmes d’IA
  • 19. Projet de règlement européen sur l’IA (IA Act) Classification des systèmes d’IA Identity Days 2023 24 octobre 2023 - PARIS Système d’IA interdit Système d’IA à haut risque Système d’IA à risque limité Système d’IA classique Systèmes considérés comme représentant une menace évidente pour les citoyens de l’UE (ex. notation sociale par les pouvoirs publics) Systèmes d’IA portant sur : les infrastructures critiques susceptibles de mettre en danger la vie et la santé des citoyens, la formation scolaire ou professionnelle, l’emploi, la gestion des travailleurs, les services publics et privés essentiels, etc. Systèmes d’IA tels que les chatbots, soumis à des obligations de transparence minimales, destinées à permettre aux personnes concernées de prendre des décisions éclairées. Systèmes ne représentant qu’un risque minime ou nul pour les droits et la sécurité des citoyens. - Ces systèmes ne sont pas soumis aux dispositions du projet de règlement européen sur l’IA.
  • 20. Projet de règlement européen sur l’IA (IA Act) Une approche basée sur la gestion des risques Identity Days 2023 24 octobre 2023 - PARIS Exigences applicables aux systèmes d’IA à haut risque (et notamment aux jeux de données utilisées) ; Analyse « by design » de la conformité du système d’IA à haut risque mis au point ; Analyse de la conformité tout au long de la vie du système d’IA à haut risque ; Transparence, contrôle humain et cybersécurité.
  • 21. Projet de règlement européen sur l’IA (IA Act) Sanctions Identity Days 2023 24 octobre 2023 - PARIS Jusqu’à 10 000 000 € ou 2 % du CA mondial Fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités nationales compétentes en réponse à une demande Jusqu’à 20 000 000 € ou 4 % du CA mondial Jusqu’à 30 000 000 € ou 6 % du CA mondial Manquement aux pratiques interdites en matière d’IA ou à la gouvernance des données des systèmes d’IA Non-conformité du système d’IA avec les exigences ou obligations du règlement
  • 22. Informatique quantique risques et opportunité Identity Days 2023 24 octobre 2023 - PARIS
  • 23. Les ordinateurs traditionnels sont programmés avec des bits ne pouvant avoir qu’une seule valeur de 0 ou de 1 selon l’état du transistor (le courant passe ou ne passe pas). Identity Days 2023 24 octobre 2023 - PARIS Les ordinateurs quantiques utilisent quant à eux des bits quantiques (appelés qubits) ayant une infinité d’états 0 ou 1 pouvant se superposer. Principe de superposition : une particule est simultanément dans des états différents|0>, |1> mais aussi une combinaison linéaire des états possibles α|0> + β|1>. Principe d’intrication : deux particules, qui partagent les mêmes propriétés, sont dites intriquées et prennent la même valeur lorsqu’on mesure l’état de l’une d’entre elles. L’informatique quantique Rappels et principes fondamentaux
  • 24. Les ordinateurs quantiques constituent des machines d'un nouveau genre tirant parti des propriétés physiques de la matière à l'échelle de l'atome. Identity Days 2023 24 octobre 2023 - PARIS Il reste de nombreux défis techniques à relever pour qu'elle soit vraiment au point. L’un d’entre eux est de réussir à stabiliser l’état quantique des qubits qui perdent très vite leurs propriétés lorsqu’ils interagissent avec leur environnement (champ magnétique, changement de température, lumière, onde acoustique...), mais aussi entre eux. À cause de l’instabilité des qubits, les machines quantiques ne peuvent traiter des algorithmes que durant un laps de temps très court. Ce phénomène appelé la décohérence constitue le principal frein au développement des ordinateurs quantiques, car il génère d’importantes erreurs de calcul. Augmenter le nombre de qubits des ordinateurs quantiques constitue l’un des autres challenges à surmonter, car plus il est élevé, plus le système devient incontrôlable. L’informatique quantique Les défis
  • 25. La protection des communications numériques, des transactions sur Internet, des mots de passe, des signatures électroniques, des contrats et des autres documents numérisés est aujourd’hui essentiellement assurée par leur chiffrement : en appliquant un algorithme basé sur une « clé ». Identity Days 2023 24 octobre 2023 - PARIS Les clés de chiffrement sont construites sur une propriété mathématique simple : il est très facile pour un ordinateur classique de multiplier des grands nombres, mais très compliqué de faire l’opération inverse (retrouver les facteurs). Cryptographie État de l’art
  • 26. Algorithme de Shor(Peter Shor 1994, Bell Labs): Algorithme de factorisation des grands nombres, qui permet de décomposer en nombres premiers (utilisés pour l’algorithme RSA, découvert par Ronald Rivest, Adi Shamir et Leonard Adleman) de très grands nombres. Identity Days 2023 24 octobre 2023 - PARIS Edward Snowden révèle en 2014 que la NSA finance à hauteur de 80 millions de dollars un programme de recherche sur les ordinateurs quantiques du nom de "Penetrating hard targets" avec le projet "Owning the Net". Dans le cas de certaines données très sensibles (données de santé, contrats, propriété intellectuelle, etc.), un attaquant pourrait acquérir des données aujourd’hui chiffrées, et attendre la disponibilité de l’ordinateur quantique pour les décrypter. Des données aujourd’hui protégées ne le seraient plus. L’ordinateur quantique Les risques pour la cryptographie
  • 27. Pour l'ANSSI, la cryptographie post-quantique (Post-Quantum Cryptography, PQC) est la voie la plus prometteuse pour contrecarrer la menace quantique. Il s'agit d'une famille d'algorithmes cryptographiques qui comprend l'établissement de clés et de signatures numériques qui assurent une sécurité même contre un attaquant équipé d'ordinateurs quantiques. Identity Days 2023 24 octobre 2023 - PARIS Sécurisation des communications de par la nature même du qubit Accélération drastique de la vitesse d’apprentissage des algorithmes d’intelligence artificielle et de machine learning. L’ordinateur quantique Les opportunités (puissance de calcul et sécurité)
  • 28. Identity Days 2023 24 octobre 2023 - PARIS Stratégie
  • 29. Alors que faire dans ce contexte de grande incertitude ? Une seule stratégie possible : l’anticipation ! Identity Days 2023 1. Adapter l’authentification au niveau de risque 2. Réconcilier sécurité et expérience utilisateur : le multimodal est la clé ! 3. Les modes d’attaque évoluent, les systèmes doivent s’adapter en créant de la rupture ! 24 octobre 2023 - PARIS
  • 30. Identity Days 2023 24 octobre 2023 - PARIS
  • 31. Identity Days 2023 24 octobre 2023 - PARIS Merci !
  • 32. Identity Days 2023 24 octobre 2023 - PARIS @IdentityDays #identitydays2023