Guide de mise en oeuvre de l'authentification forteNis
La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
Guide de mise en oeuvre de l'authentification forteNis
La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
Fonctionnement de l’authentification « One Time Password » et son implémentation avec les solutions actuelles du marché telles que les solutions GEMALTO.
Brochure de présentation de la société Semlex, spécialisée depuis 1992 dans les systèmes d'identification et d'authentification biométriques.
Semlex prend en charge la production et l'émission de documents d'identité nationaux hautement sécurisés, en collaboration avec les instances gouvernementales du pays.
Plus d'informations sur http://www.semlex.com/fr
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0?
Workshop der SATW ICT Commission
20./21. Mai 2010, Parkhotel Schloss Münchenwiler
Workshop - Le traitement de données biométriques par la CNILStéphanie Roger
Les experts de la CNIL organisent un workshop dédié aux dispositifs biométriques à French Tech Central pour vous permettre de mieux comprendre le traitement de ces données parfois sensibles. En effet, la biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de caractéristiques physiques, biologiques et comportementales (empreintes digitales, iris, voix, visage ou même la démarche).
Comment procéder si vous comptez avoir recours aux mécanismes d’authentification biométriques proposés par les smartphones ?
-> La CNIL a clarifié les conditions dans lesquelles ces traitements de données biométriques sont soumis ou non aux obligations de protection des données. Elle rappelle que, dans tous les cas, le particulier doit garder la maîtrise de sa donnée biométrique.
Quelles sont les démarches à suivre pour les employeurs souhaitant recourir aux dispositifs biométriques pour contrôler les accès aux espaces, aux applications et aux outils de travail ?
- Un règlement type « biométrie sur les lieux de travail » précise désormais les obligations des employeurs.
De plus en plus l’évaluation de la sécurité des architectures logicielles et infrastructures se déporte vers la sécurité des Applications développées pour les mobiles.
La spécificité de ce type d’applications est sa mise à disposition dans des sites de promotions ou de vente non maitrisés par les Entreprises.
Par conséquent l’évaluation de la sécurité de l’application doit s’adapter et entrevoir d’autres Métriques et d’autres investigations.
Nous proposons ici d’illustrer par l’exemple une approche d’évaluation de la sécurité des applications mobiles en tenant compte des Aspects techniques mais aussi des problématiques de gouvernance associés à ces applications.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Emmanuel Chol
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...Stéphanie Roger
Un an après la mise en application du RGPD (Règlement Général sur la Protection des données) :
- Avez-vous mis en place les bonnes pratiques vous assurant d’être conforme à ce règlement ?
- Connaissez-vous tous les bons outils mis à votre disposition par la CNIL (Commission nationale de l'informatique et des libertés) ?
2010 - Les technologies d'authentification forte dans les applications web: c...Cyber Security Alliance
a) L'état de l'art 2010 sur les technologies d'authentification forte:
Out of Band Authentication
Risk Based Authentication
Biométrie Match on Card
OTP pour les smartphones notamment l'Iphone
PKI
Soft Token
Passeport Internet
Cryptographie matricielle
Les tendances...
b) Les approches pour l'intégration avec vos applications Web:
OpenID, SAML, Liberty Alliance / Kantara
API, Agents, Web Services, Modules
PAM, Radius, JAAS, SecurID, Kerberos, GSSAPI
Approche authentification périmétrique / Reverse Proxy (WAF) et WebSSO
Par Sylvain MARET
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
Fonctionnement de l’authentification « One Time Password » et son implémentation avec les solutions actuelles du marché telles que les solutions GEMALTO.
Brochure de présentation de la société Semlex, spécialisée depuis 1992 dans les systèmes d'identification et d'authentification biométriques.
Semlex prend en charge la production et l'émission de documents d'identité nationaux hautement sécurisés, en collaboration avec les instances gouvernementales du pays.
Plus d'informations sur http://www.semlex.com/fr
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0?
Workshop der SATW ICT Commission
20./21. Mai 2010, Parkhotel Schloss Münchenwiler
Workshop - Le traitement de données biométriques par la CNILStéphanie Roger
Les experts de la CNIL organisent un workshop dédié aux dispositifs biométriques à French Tech Central pour vous permettre de mieux comprendre le traitement de ces données parfois sensibles. En effet, la biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de caractéristiques physiques, biologiques et comportementales (empreintes digitales, iris, voix, visage ou même la démarche).
Comment procéder si vous comptez avoir recours aux mécanismes d’authentification biométriques proposés par les smartphones ?
-> La CNIL a clarifié les conditions dans lesquelles ces traitements de données biométriques sont soumis ou non aux obligations de protection des données. Elle rappelle que, dans tous les cas, le particulier doit garder la maîtrise de sa donnée biométrique.
Quelles sont les démarches à suivre pour les employeurs souhaitant recourir aux dispositifs biométriques pour contrôler les accès aux espaces, aux applications et aux outils de travail ?
- Un règlement type « biométrie sur les lieux de travail » précise désormais les obligations des employeurs.
De plus en plus l’évaluation de la sécurité des architectures logicielles et infrastructures se déporte vers la sécurité des Applications développées pour les mobiles.
La spécificité de ce type d’applications est sa mise à disposition dans des sites de promotions ou de vente non maitrisés par les Entreprises.
Par conséquent l’évaluation de la sécurité de l’application doit s’adapter et entrevoir d’autres Métriques et d’autres investigations.
Nous proposons ici d’illustrer par l’exemple une approche d’évaluation de la sécurité des applications mobiles en tenant compte des Aspects techniques mais aussi des problématiques de gouvernance associés à ces applications.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Emmanuel Chol
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...Stéphanie Roger
Un an après la mise en application du RGPD (Règlement Général sur la Protection des données) :
- Avez-vous mis en place les bonnes pratiques vous assurant d’être conforme à ce règlement ?
- Connaissez-vous tous les bons outils mis à votre disposition par la CNIL (Commission nationale de l'informatique et des libertés) ?
2010 - Les technologies d'authentification forte dans les applications web: c...Cyber Security Alliance
a) L'état de l'art 2010 sur les technologies d'authentification forte:
Out of Band Authentication
Risk Based Authentication
Biométrie Match on Card
OTP pour les smartphones notamment l'Iphone
PKI
Soft Token
Passeport Internet
Cryptographie matricielle
Les tendances...
b) Les approches pour l'intégration avec vos applications Web:
OpenID, SAML, Liberty Alliance / Kantara
API, Agents, Web Services, Modules
PAM, Radius, JAAS, SecurID, Kerberos, GSSAPI
Approche authentification périmétrique / Reverse Proxy (WAF) et WebSSO
Par Sylvain MARET
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsMicrosoft Ideas
Avec la prolifération des nouveaux appareils mobiles, le BYOD se présente comme un nouveau défi pour les entreprises. On peut le voir comme opportunité avec la mise à disposition d'applications business sur les smartphones, tablettes, PC en tout genre qui fleurissent dans le marché destiné au grand public; on peut le voir comme un risque avec une remise en cause la manière dont on gère les PC de l'entreprise, un changement dans l'approche de la sécurité, une porte ouverte à la fuite d'information. Une stratégie de refus complet du phénomène BOYD est illusoire à terme de même qu'une ouverture sans contrôle serait aventureuse et risquée. Cette session vous propose, dans une première partie, de détailler quels sont les sujets à traiter pour la mise en place d’un projet BYOD pour vous faire découvrir qu’il ne s’agit pas que d’un projet technique et l’approche sécurité qui va vous permettre d’envisager plus sereinement l’introduction d’appareils personnels dans l’entreprise. Dans la 2ème partie, nous aborderons les scénarios BYOD disponibles avec les nouvelles briques intégrées dans la plateforme Microsoft, Windows Server 2012, Azure Rights Management, Windows Intune agrémentés de quelques démonstrations pour vous convaincre que la seule réponse technique au BOYD n’est pas uniquement basée sur VDI.
Speaker : Jean-Yves Grasset (Microsoft)
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...Microsoft
Dans le contexte du BYOD (Bring Your Own Device), les professionnels de l'informatique doivent répondre au mieux, aux attentes des utilisateurs qui désirent travailler avec leur propre appareil. Face à cette transformation de l’IT et des usages, des solutions modernes sont nécessaires. Elles doivent garantir la sécurité en cas d'accès aux ressources de l'entreprise depuis des appareils personnels. C’est le fondement de toute réflexion d’un programme BYOD qui passe par la protection de l’identité des utilisateurs, sésame numérique et véritable talon d'Achille du système d’information. Découvrez dans cette session, les fonctionnalités de sécurité Microsoft adaptés au monde de l’entreprise comme l’enregistrement d’appareils, les cartes à puce virtuelles mais également l’authentification multi-facteurs qui permet de contrôler l'accès aux ressources en fonction de l’appareil utilisé par l’utilisateur. Vous découvrirez également comment avec Windows Server 2012 R2 et la solution partenaire Versatile Security il est possible de maitriser le processus d'inscription des appareils, de délivrer une carte à puce virtuelle et les certificats numériques associés, puis de gérer le cycle de vie de ce mode d’authentification moderne.
Speakers : Arnaud Jumelet (Microsoft France), William Houry (Versatile Security)
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...Microsoft Technet France
Dans le contexte du BYOD (Bring Your Own Device), les professionnels de l'informatique doivent répondre au mieux, aux attentes des utilisateurs qui désirent travailler avec leur propre appareil. Face à cette transformation de l’IT et des usages, des solutions modernes sont nécessaires. Elles doivent garantir la sécurité en cas d'accès aux ressources de l'entreprise depuis des appareils personnels. C’est le fondement de toute réflexion d’un programme BYOD qui passe par la protection de l’identité des utilisateurs, sésame numérique et véritable talon d'Achille du système d’information. Découvrez dans cette session, les fonctionnalités de sécurité Microsoft adaptés au monde de l’entreprise comme l’enregistrement d’appareils, les cartes à puce virtuelles mais également l’authentification multi-facteurs qui permet de contrôler l'accès aux ressources en fonction de l’appareil utilisé par l’utilisateur. Vous découvrirez également comment avec Windows Server 2012 R2 et la solution partenaire Versatile Security il est possible de maitriser le processus d'inscription des appareils, de délivrer une carte à puce virtuelle et les certificats numériques associés, puis de gérer le cycle de vie de ce mode d’authentification moderne.
Speakers : Arnaud Jumelet (Microsoft France), William Houry (Versatile Security)
Présentation de Semlex, société spécialisée depuis 1992 dans le développement et la mise en place de systèmes d'identification biométrique et la réalisation de documents d'identité biométriques hautement sécurisés.
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2Alice and Bob
1. Vers la fin du mot de passe ? 2. L'authentification forte : le b.a.ba 3. L'authentification forte garantit les connexions au système d'information 4. Bénéfices business : Point d'entrée de la transformation digitale Témoignage : Directrice Générale de ChamberSign 5. Exemples de mécanismes d'authentification forte 6. Choisir sa solution d'authentification forte 7. Le Cloud et le BYOD accélèrent le demande pour les solutions d'authentification forte 8. Les Experts Comptables utilisent l'authentification forte par certificat sur leur site web 9. Wikipédia adopte l'authentification par certificat en mode SaaS 10. Authentification forte et BYOD 11. Le certificat installé sur le terminal : une solution élégante 12.Gérer simplement les certificats électroniques en SaaS
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
Avec l’expansion des services en lignes via le cloud ou tout simplement l’interconnexion des SI, le besoin d’exposer des services vers l’extérieur est croissant. Les WebServices sont une solution
maintenant éprouvée depuis longtemps pour répondre à ce besoin.
Que l’on utilise SOAP ou REST un problème se pose toujours : comment faire pour sécuriser l’accès à mon SI alors que j’en ouvre une porte en exposant mon métier ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Strong Authentication in Web Application #SCS IIISylvain Maret
Swiss Cyber Storm 3 Security Conference / OWASP Track
Strong Authentication: State of the Art 2011
Risk Based Authentication
Biometry - Match on Card
OTP for Smartphones
OTP SMS
PKI
SuisseID
Mobile-OTP
OATH (HOTP, TOTP, OCRA)
Open Source approach
How to integrate Strong Authentication in Web Application?
OpenID, SAML, Identity Federation for Strong Authentication
API, SDK, Agents, Web Services, Modules
PAM, Radius, JAAS
Reverse Proxy (WAF) and WebSSO
PKI / SSL client authentication
PHP example with Multi-OTP PHP class
AppSec (Threat Modeling - OWASP)
Strong Authentication in Web Applications: State of the Art 2011Sylvain Maret
Sylvain’s talk will focus on risk based authentication, biometry, OTP for smartphones, PKIs, Mobile-OTP, OATH-HOTP, TOTP and the open-source approach to this subjet.
PHP Demo with multiotp class.
Strong Authentication in Web Application / ConFoo.ca 2011Sylvain Maret
Strong Authentication in Web Application: State of the Art 2011
* Risk Based Authentication
* Biometry - Match on Card
* OTP for Smartphones
* PKI
* Mobile-OTP
* OATH-HOTP
* TOTP
* Open Source approach
How to integrate Strong Authentication in Web Application
* OpenID, SAML, Liberty Alliance / Kantara
* API, Agents, Web Services, Modules
* PAM, Radius, JAAS
* Reverse Proxy (WAF) and WebSSO
* PKI / SSL client authentication
* PHP example with Multi-OTP PHP class
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Sylvain Maret
First- hand feedback on the implementation of identity management within a bank.
Technological choices ? Issues ? Concept and design, implementation, training and human aspects. A hands-on experience.
Corrélation d'évènements dans un environnement VoIP avec ExaProtectSylvain Maret
Ce projet est né d’une initiative d’e-Xpert Solutions SA, Exaprotect et IICT qui désiraient collaborer dans le domaine de la sécurité VoIP. En effet, grâce à l’aboutissement de la première étape du projet Vadese (www.vadese.org), l’IICT souhaitait déployer une solution de type SIEM (Security Information and Event Management) disponible sur le marché dans le but de créer un démonstrateur de fonctions de détection et traitement des alertes VoIP.
L’objectif de ce travail de diplôme consiste essentiellement à repérer des sessions SIP et de détecter des attaques complexes basées sur la corrélation de messages SIP et RTP/RTPC utilisés lors de l’établissement d’une communication téléphonique ainsi que l’enregistrement et l’actualisation du client (UA) auprès du proxy SIP.
Corrélation d'évènements dans un environnement VoIP avec ExaProtect
Protection Des Données avec la Biométrie Match On Card
1. Sylvain Maret / Security Architect @ MARET Consulting 10 novembre 2009 Protection des données avec la biométrie Match-on-Card MARET Consulting 2009
2. Agenda du Webcast « StrongAuthenticationSummit » Identité numérique et authentification forte Authentification forte ? Technologie d’authentification forte Biométrie et Match on Card Certificat numérique / PKI Applications pour la technologie Match on Card Illustration avec un projet dans le monde bancaire Tendances
3. Qui suis-je ? Architecte Sécurité 15 ans d’expérience en Sécurité des Systèmes d’Information CEO et Founder MARET Consulting Expert école ingénieur Yverdon & Université de Genève Swiss French Area delegate at OpenID Switzerland Auteur Blog: la Citadelle Electronique Domaine de prédilection Digital Identity Security
5. Pourquoi l’authentification forte ? Keylogger (hard and Soft) Malware Man in the Middle Browser in the Midle Password Sniffer Social Engineering Phishing / Pharming Le nombre de vol d’identités explose !
6. Un événement majeur dans le monde de l’authentification forte 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive « Single Factor Authentication » n’est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte http://www.ffiec.gov/press/pr101205.htm Et la norme PCI DSS Authentification forte obligatoire pour les accès distants Et maintenant des régulations Européennes Services de Paiement (2007/64/CE) pour les banques.
13. Une technologie en pleine mouvance Entreprises eBanking VPN Web Applications Mobilité GED Projet PIV FIPS-201 SAML Grand public Réseaux sociaux Google docs etc.
15. Biométrie= Authentification forte ? La réponse est clairement non Nécessite un deuxième facteur Problème de sécurité (usurpation) Uniquement un confort à l’utilisateur Plus d’information l’usurpation Etude Yokohama University
17. Exemple de technologie Match on Card pour l’IT Un lecteur Biométrie SmartCard Une carte à puce Technologie MOC Crypto processeur PC/SC PKCS#11 Certificat numérique X509
18. Stockage des données ? Sur un support externe Meilleure sécurité Mode « offline » MOC = Match On card Par serveur d’authentification Problème de sécurité Problème de confidentialité Problème de disponibilité Loi fédérale du 19 juin 1992 sur la protection des données (LPD)
19. Exemple d’utilisation de la technologie Match on Card Smart Card Logon de Microsoft PK-Init Applications Web très sensibles GED eBanking Chiffrement des données Laptop Chiffrement des share Solution Web SSO SAML Citrix Remoteacces VPN SSL VPN IPSEC Etc.
20. Sécurité mobilité avec la technologie MOC Authentification forte biométrique Lecteur de type « swipe » Applications Smart Card Logon VPN (SSL, IPSEC) Citrix Certificat X509 machine Utilisation TPM Authentification de la machine Pre Boot Authentication Full DiskEncryption
21. Authentification d’un utilisateur avec PKINIT (Smart Card Logon) Schéma de Philippe Logean e-XpertSolutions SA
23. Le projet de gestion électronique des documents Mise en place d’une solution de GED Accès à des informations très sensibles Classification de l’information: Secret Chiffrement des données Contrôle des accès Projet pour une banque privée Début du projet: 2005 Population concernée 500 personnes (Phase I) A termes: 3000 personnes (Phase II)
24. (Classification Data: Secret) Mise en place d’une technologie permettant d’identifier de façon forte – via un mécanisme de preuve irréfutable – les utilisateurs accédant au système d’information de la banque Qui accède à quoi, quand et comment !
25. Les contraintes techniques du projet d’authentification forte Obligatoires Intégration avec les applications existantes Web Microsoft Smart Card Logon Laptop Séparation des rôles Quatre yeux Signature numérique Auditing, Preuve Gestion des preuves souhaitées Intégration avec sécurité des bâtiments Chiffrement des données Postes nomades Applications futures Réseau et systèmes Authentification forte
26. Gestion des accès Gestion des identités Lien: cn PHASE 1 Authentification forte PHASE 2 Autorisation Concept de base: un lien unique
27. Composants de l’architecture technique Mise en place d’une PKI « intra muros » Non Microsoft (Séparation des pouvoirs) Mise en place de la révocation Online Protocole OCSP Utilisation d’un Hardware Security Module Sécurisation de l’architecture PKI OS « Hardening » Firewall interne IDS
31. Le maillon faible ? Plus important que la technique… Définition des rôles Tâches et responsabilités Objectif: séparation des pouvoirs Quatre yeux Mise en place des processus pour la gestion des identités Mise en place des procédures d’exploitation
32. Mise en place des processus Processus pour le team gestion des identités Enrôlement des utilisateurs Révocation Gestion des incidents Perte, vol, oublie de la carte Renouvellement Processus pour le Help Desk Processus pour les Auditeurs Processus pour le RSSI Et les procédures d’exploitation !
33. Le résultat Une série de documents pour la banque Procédures d’exploitation Description des processus Charte d’utilisation Définition des rôles et responsabilités CP /CPS pour la PKI « in house »
35. Un élément très important ! Formation du team gestion des identités Formation des utilisateurs Formation Help Desk Formation aux technologies PKI Biométrie
37. Conclusion du projet La technique est un aspect mineur pour la réussite d’un projet de cette ampleur Ne pas sous estimer la partie organisationnelle CP / CPS pour la PKI Processus de gestion Demander un appuis de la direction La Biométrie est une technologie mature Technologie PKI Offre un noyau de sécurité pour le futur Chiffrement, signature Information Rights Management Sécurité de la donnée Un pas vers la convergence Sécurité physique et logique
38. Tendance Biométrie Match on Card Le projet PIV Fips-201 est un moteur ! Convergence Sécurité physique et Sécurité logique Capteur Biométrique pour les portables UPEK (Solution FIPS-201) Nouvelles technologies biométrique Full DiskEncryption (Laptop) Support de la technologie Match on Card McAfee EndpointEncryption™ (formerlySafeBoot® Encryption) Win MagicSecureDocDiskEncryption
40. A quand la convergence ? Une convergence difficile ! Sécurité physique et sécurité logique
41. Merci pour votre présence sur ce Webcast Pour plus d’information sylvain@maret-consulting.ch http://www.maret-consulting.ch Vos feedback sont les bienvenues Merci à Bright Talk de m’avoir invité Plus particulièrement à Sophie Lam / Marketing Program Manager EMEA
42. Quelques liens pour aller approfondir le sujet MARET Consulting http://maret-consulting.ch/ La Citadelle Electronique (le blog sur les identités numériques) http://www.citadelle-electronique.net/ Article banque et finance: Usurper une identité? Impossible avec la biométrie! http://www.banque-finance.ch/numeros/88/59.pdf Biométrie et Mobilité http://www.banque-finance.ch/numeros/97/62.pdf Présentation public OSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande échelle http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf ISACA, Clusis: Accès à l’information : Rôles et responsabilités http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de28099authentification-forte.pdf
43. "Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantesdans la sécurité des systèmesd'information et de l'identiténumérique"