SlideShare une entreprise Scribd logo
1  sur  40
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch




Mise en œuvre d’une solution biométrique d’authentification
                          forte
          pour l’accès aux données sensibles




                                                     Sylvain Maret
                                            Mercredi 27 mai 2009 / Lausanne

                                                                                                                                                             Conseil en technologies
Agenda




                   Objectifs du projet
                   Choix technologique
                   Concept et design technique
                   Mise en œuvre
                   Processus humain
                   Formation
                   Difficultés rencontrées


www.maret-consulting.ch                                                                   Conseil en technologies
                             L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                        2009
Le projet de gestion électronique des documents




                   Mise en place d’une solution de GED
                         Accès à des informations très sensibles
                         Classification de l’information: Niveau A = Secret
                         Chiffrement des données
                         Contrôle des accès


                   Projet pour une banque privée
                         Début du projet: 2005


                   Population concernée
                         500 personnes (Phase I)
                         A termes: 1’200 personnes (Phase II)
www.maret-consulting.ch                                                                         Conseil en technologies
                                   L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                              2009
(Classification Data: Secret)

  Mise en place d’une technologie permettant
             d’identifier de façon forte
  – via un mécanisme de preuve irréfutable –
      les utilisateurs accédant au système
           d’information de la banque

           Qui accède à quoi, quand et comment !

www.maret-consulting.ch                                   Conseil en technologies
Les contraintes techniques du projet d’authentification forte



Obligatoires                                                   souhaitées

       Intégration avec les applications                           Intégration avec sécurité des
        existantes                                                   bâtiments
                Web                                                Chiffrement des données
                « Legacy »                                         Postes nomades
                Microsoft Smart Card Logon
                                                                    Applications futures
       Séparation des rôles                                              Réseau et systèmes
                Quatre yeux                                              Authentification forte
       Signature numérique                                         Support impression
       Auditing, Preuve                                                  Accès aux imprimantes
       Gestion des preuves


www.maret-consulting.ch                                                                             Conseil en technologies
                                L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                           2009
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch




Choix technologique
authentification forte

                                                                                                                                                         Conseil en technologies
Quelle technologie d’authentification forte ?




www.maret-consulting.ch                                                                   Conseil en technologies
                             L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                        2009
OTP                         PKI (HW)                Biométrie
  Authentification
  forte
  Chiffrement

  Signature
  numérique
  Non répudiation

  Lien fort avec
  l’utilisateur


www.maret-consulting.ch                                                                      Conseil en technologies
                          L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                     2009
2 = « Authentifieur »




                                                                                       1= lien fort
                                                                                       avec l’utilisateur




www.maret-consulting.ch                                                                         Conseil en technologies
                          L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                     2009
La technologie d’authentification forte pour ce projet




                   Utilisation certificat
                    numérique
                         PKI (X509)
                   Biométrie
                         Lecture des
                          empreintes
                   Match on Card


www.maret-consulting.ch                                                                      Conseil en technologies
                                L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                           2009
Match On Card: c’est quoi ?




www.maret-consulting.ch                                                                  Conseil en technologies
                            L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                       2009
Stockage des empreintes: que dit la loi ?

                                                                               Préposé fédéral à la protection
                                                                              des données et à la transparence



                   Biométrie : l’autorisation                           Forte recommandation
                    de la CNIL est                                        d’utiliser un support
                    obligatoire !                                         physique tel que carte à
                                                                          puce, clé USB, etc.
                   Pour la biométrie basée
                    sur les empreintes
                    digital, obligation de
                    stocker les données sur
                    un support physique

www.maret-consulting.ch                                                                              Conseil en technologies
                               L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                          2009
Concept
           et
    design technique
www.maret-consulting.ch   Conseil en technologies
Concept de base: un lien unique

            Gestion des identités                                                                         Gestion des accès



                            Issuer
                            IT cert                                                                             Issuer
                                                                                                              App A cert




                                                                                                   Database
                            User
                                              Lien: cn
                                                                                        User




                             PHASE 1                                                            PHASE 2
                          Authentification                                                     Autorisation
                               PKI


www.maret-consulting.ch                                                                                                    Conseil en technologies
                                      L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                                 2009
Composants de l’architecture technique




                   Mise en place d’une PKI « intra muros »
                         Non Microsoft (Séparation des pouvoirs)
                   Mise en place de la révocation Online
                         Protocole OCSP
                   Utilisation d’un Hardware Security Module
                   Sécurisation de l’architecture PKI
                         OS « Hardening »
                         Firewall interne
                         SSH pour le « remote » management
                         Auditing
www.maret-consulting.ch                                                                        Conseil en technologies
                                  L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                             2009
Concept pour la sécurisation de l’application GED




www.maret-consulting.ch                                                                  Conseil en technologies
                            L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                       2009
La mire d’authentification biométrique




www.maret-consulting.ch                                                                   Conseil en technologies
                             L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                        2009
Mise en œuvre

www.maret-consulting.ch                                                                Conseil en technologies
                          L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                     2009
Quelques dates clé du projet (1/3)




                   Décembre 2005: démarrage du projet Authentification
                    Forte
                   Avril 2006: Finalisation de l’étude Technologie
                   Novembre 2006: Lettre de cadrage
                   Décembre 2006: Audit du projet par Ernst & Young
                   Janvier 2007: Intégration de la solution
                   Juin 2007: Cérémonie de génération des Clés
                   Juillet 2007: Mesure de recettes solution technique

www.maret-consulting.ch                                                                   Conseil en technologies
                             L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                        2009
Quelques dates clé du projet (2/3)




                   Octobre 2007: Finalisation des procédures d’exploitation
                         Processus
                   Novembre 2007: Formation team gestion des identités
                   Début 2008: Déploiement
                         Enrôlement de 400 personnes
                         Installation des lecteurs
                   Mi 2008: Blocage du projet
                         Pas de déploiement dans les succursales
                         Mise en conformité de la PKI avec le principe des quatre yeux
                              Circulaire CFB 06/6 – contrôle interne, séparation des rôles / tâches



www.maret-consulting.ch                                                                           Conseil en technologies
                                     L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                                2009
Quelques dates clé du projet (3/3)




                   Fin 2008: Rédaction CP & CPS pour la PKI

                   Début 2009: Changement des processus de génération des
                    identités

                   Février 2009: Cérémonie pour le partage des secrets

                   Avril 2009: Déploiement dans les succursales




www.maret-consulting.ch                                                                     Conseil en technologies
                               L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                          2009
Processus
Processus Humain
     Humain
www.maret-consulting.ch   Conseil en technologies
Le maillon faible ? Plus important que la technique…




                   Définition des rôles
                         Tâches et responsabilités
                         Objectif: séparation des pouvoirs
                              Quatre yeux


                   Mise en place des processus pour la gestion des
                    identités

                   Mise en place des procédures d’exploitation

www.maret-consulting.ch                                                                          Conseil en technologies
                                    L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                               2009
Mise en place des processus pour la gestion des identités




                   Processus pour le team gestion des identités
                         Enrôlement des utilisateurs
                         Révocation
                         Gestion des incidents
                              Perte, vol, oublie de la carte
                         Renouvellement
                         Etc.
                   Processus pour le Help Desk
                   Processus pour les Auditeurs
                   Processus pour le RSSI
                   Etc.
www.maret-consulting.ch                                                                           Conseil en technologies
                                     L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                                2009
Le résultat




                   Une série de documents initiaux

                         Procédures d’exploitation
                         Description des processus
                         Charte d’utilisation
                         Définition des rôles et responsabilités
                         Partage des secret (Quatre yeux)
                         Etc.


                   Adaptation des documents
www.maret-consulting.ch                                                                         Conseil en technologies
                                   L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                              2009
Formation

www.maret-consulting.ch               Conseil en technologies
       Un élément très important !

                         Formation du team gestion des identités
                         Formation des utilisateurs
                         Formation Help Desk
                         Formation aux technologies
                              PKI
                              Biométrie
www.maret-consulting.ch                                                                          Conseil en technologies
                                    L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                               2009
Formation du team gestion des identités




                   Un long travail à ne pas négliger

                         Technique de prise d’empreinte
                         Comment expliquer la technologie
                         Gestion des problèmes
                              Technique
                              Humain


                         Coaching les 1ere semaines


www.maret-consulting.ch                                                                         Conseil en technologies
                                   L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                              2009
Formation des utilisateurs




                   Environ 30 minutes par utilisateur lors de l’enrôlement

                         Explication de la technologie
                              Match on Card


                         Positionnement des doigts
                              Essais


                         Remise d’une brochure explicative

                         Signature de la charte d’utilisation

www.maret-consulting.ch                                                                          Conseil en technologies
                                    L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                               2009
Difficultés
                          rencontrées
www.maret-consulting.ch                 Conseil en technologies
Quelques exemples…




                   Enrôlement de certains utilisateurs

                   Problème pour la convocation des gestionnaires

                   Problème technique sur le système de validation
                    Online



www.maret-consulting.ch                                                                    Conseil en technologies
                              L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                         2009
Enrôlement de certains utilisateurs




                   Problème                                                  La solution

                         Capture des empreintes                                    Utilisation de capteur de
                          sur certaines personnes                                    meilleur qualité

                              Entre 1 à 2% des
                               personnes présentent                                 Création d’un profil avec
                               des problèmes pour                                    un FAR plus faible
                               l’enrôlement




www.maret-consulting.ch                                                                                Conseil en technologies
                                    L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                               2009
Problème pour la convocation des gestionnaires




                   Problème                                                 La solution

                         Convocation pour la                                      Passage par la
                          prise d’empreinte                                         direction de
                                                                                    l’entreprise (CEO)
                              Pas de succès
                              Peu de réponse !



www.maret-consulting.ch                                                                            Conseil en technologies
                                   L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                              2009
Problème technique sur le système de validation Online




                   Problème                                                Solution

                         Instabilité du système de                               1 année de « debugging »
                          révocation                                               au labo
                         Impossible de reproduire
                          le Bug avec le support de                               Trouvé le problème
                          l’éditeur                                                      Trop de mémoire sur les
                         Elément très critique de                                        serveur de validation
                          l’architecture                                                 Limitation de la mémoire


www.maret-consulting.ch                                                                                  Conseil en technologies
                                  L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                             2009
Retour
                          d’expérience
www.maret-consulting.ch                  Conseil en technologies
Conclusion (1/2)




                   La technique est un aspect mineur pour la réussite d’un projet de
                    cette ampleur

                   Ne pas sous estimer la rédaction des processus
                         CP / CPS pour la PKI
                         Processus de gestion


                   Ne pas sous estimer la séparation des pouvoirs

                   Demander un appuis de la direction

www.maret-consulting.ch                                                                        Conseil en technologies
                                  L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                             2009
Conclusion (2/2)




                   L’auditing est très important
                         Contrôle de la gestion des identités
                         Gestion de la fraude


                   La Biométrie est une technologie mature

                   Technologie PKI
                         Offre un noyau de sécurité pour le futur
                         Chiffrement, signature
                         Information Rights Management
                         Sécurité de la donnée


                   Un pas vers la convergence
                         Sécurité physique et logique

www.maret-consulting.ch                                                                            Conseil en technologies
                                      L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                                 2009
La suite du projet: la convergence ?




www.maret-consulting.ch                                                                   Conseil en technologies
                             L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                        2009
Quelques liens




                   MARET Consulting
                         http://maret-consulting.ch/


                   La Citadelle Electronique (mon blog)
                         http://sylvain-maret.blogspot.com/


                   Article banque et finance: Usurper une identité? Impossible avec
                    la biométrie!
                         http://www.banque-finance.ch/numeros/88/59.pdf




www.maret-consulting.ch                                                                          Conseil en technologies
                                    L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                               2009
quot;Le conseil et l'expertise pour le choix et la mise

           en oeuvre des technologies innovantes dans la sécurité

           des systèmes d'information et de l'identité numériquequot;




www.maret-consulting.ch                                                                      Conseil en technologies
                                L'atelier du risque, de l'audit et de la sécurité / 27 mai
                                                           2009

Contenu connexe

Tendances

Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
 
Authentification Forte BioméTrique Dans Le Cadre D
Authentification  Forte BioméTrique Dans Le Cadre DAuthentification  Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DSylvain Maret
 
Brochure Semlex Group FR
Brochure Semlex Group FRBrochure Semlex Group FR
Brochure Semlex Group FRSemlex Europe
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres   sivetonSolution sécurité les pours et les contres   siveton
Solution sécurité les pours et les contres sivetonCLDEM
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidenceSylvain Maret
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSylvain Maret
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebThawte
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitaleAntoine Vigneron
 
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Matooma
 
SEMLEX Brochure complète 2017
SEMLEX Brochure complète 2017SEMLEX Brochure complète 2017
SEMLEX Brochure complète 2017Semlex Europe
 
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...Sébastien Bourguignon
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurMathieu Isaia | TheGreeBow
 

Tendances (18)

Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Authentification Forte BioméTrique Dans Le Cadre D
Authentification  Forte BioméTrique Dans Le Cadre DAuthentification  Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre D
 
Brochure Semlex Group FR
Brochure Semlex Group FRBrochure Semlex Group FR
Brochure Semlex Group FR
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres   sivetonSolution sécurité les pours et les contres   siveton
Solution sécurité les pours et les contres siveton
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
 
lextension-auriga-20100421
lextension-auriga-20100421lextension-auriga-20100421
lextension-auriga-20100421
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on Card
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...
 
SEMLEX Brochure complète 2017
SEMLEX Brochure complète 2017SEMLEX Brochure complète 2017
SEMLEX Brochure complète 2017
 
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
Keynote Trend Marketing Conference 2019 - Marrakech - Tendances sur la Blockc...
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
 

En vedette

Car one magazine_ Invierno 2012
Car one magazine_ Invierno 2012Car one magazine_ Invierno 2012
Car one magazine_ Invierno 2012EmeGe SocialMedia
 
Pal oil mill machines
Pal oil mill machinesPal oil mill machines
Pal oil mill machinesMusa Sabri
 
Biomarker Analyst_Presentation_For_Client
Biomarker Analyst_Presentation_For_ClientBiomarker Analyst_Presentation_For_Client
Biomarker Analyst_Presentation_For_ClientCamille Diges
 
Jeser e Isabel <3
Jeser e Isabel <3Jeser e Isabel <3
Jeser e Isabel <3Erlin_Raptor
 
Name one gay club/bar for each of these global cities? And a little descripti...
Name one gay club/bar for each of these global cities? And a little descripti...Name one gay club/bar for each of these global cities? And a little descripti...
Name one gay club/bar for each of these global cities? And a little descripti...olsonqswrkyjwxq
 
Semana 2 actividad 2.2 función de un lms - josé jaime ruiz - ges
Semana 2   actividad 2.2 función de un lms - josé jaime ruiz - gesSemana 2   actividad 2.2 función de un lms - josé jaime ruiz - ges
Semana 2 actividad 2.2 función de un lms - josé jaime ruiz - gesSea Experto
 
Eman Jaheen Resume 2(1)- e.jaheen@outlook
Eman  Jaheen Resume 2(1)- e.jaheen@outlookEman  Jaheen Resume 2(1)- e.jaheen@outlook
Eman Jaheen Resume 2(1)- e.jaheen@outlookEman Jaheen
 
Presentación Pacto de Socios para certificado de profesionalidad
Presentación Pacto de Socios para certificado de profesionalidadPresentación Pacto de Socios para certificado de profesionalidad
Presentación Pacto de Socios para certificado de profesionalidadIEBS Business School
 
Story To Reflect Upon 25,26
Story To Reflect Upon 25,26Story To Reflect Upon 25,26
Story To Reflect Upon 25,26OH TEIK BIN
 
Media Monitoring als Erfolgsfaktor - Beispiel M-Adaptive
Media Monitoring als Erfolgsfaktor - Beispiel M-AdaptiveMedia Monitoring als Erfolgsfaktor - Beispiel M-Adaptive
Media Monitoring als Erfolgsfaktor - Beispiel M-AdaptiveMBrainDE
 
Energia, potencia y trabajo!
Energia, potencia y trabajo!Energia, potencia y trabajo!
Energia, potencia y trabajo!danielasandoval96
 
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...Snag
 

En vedette (20)

Car one magazine_ Invierno 2012
Car one magazine_ Invierno 2012Car one magazine_ Invierno 2012
Car one magazine_ Invierno 2012
 
Prospectiva Universitaria en Venezuela
Prospectiva Universitaria en VenezuelaProspectiva Universitaria en Venezuela
Prospectiva Universitaria en Venezuela
 
Pal oil mill machines
Pal oil mill machinesPal oil mill machines
Pal oil mill machines
 
Informatica bb 2011
Informatica bb 2011Informatica bb 2011
Informatica bb 2011
 
Biomarker Analyst_Presentation_For_Client
Biomarker Analyst_Presentation_For_ClientBiomarker Analyst_Presentation_For_Client
Biomarker Analyst_Presentation_For_Client
 
Conor2011
Conor2011Conor2011
Conor2011
 
Jeser e Isabel <3
Jeser e Isabel <3Jeser e Isabel <3
Jeser e Isabel <3
 
Vetbiz smart technology tools
Vetbiz smart technology toolsVetbiz smart technology tools
Vetbiz smart technology tools
 
Name one gay club/bar for each of these global cities? And a little descripti...
Name one gay club/bar for each of these global cities? And a little descripti...Name one gay club/bar for each of these global cities? And a little descripti...
Name one gay club/bar for each of these global cities? And a little descripti...
 
11.4
11.411.4
11.4
 
Semana 2 actividad 2.2 función de un lms - josé jaime ruiz - ges
Semana 2   actividad 2.2 función de un lms - josé jaime ruiz - gesSemana 2   actividad 2.2 función de un lms - josé jaime ruiz - ges
Semana 2 actividad 2.2 función de un lms - josé jaime ruiz - ges
 
Eman Jaheen Resume 2(1)- e.jaheen@outlook
Eman  Jaheen Resume 2(1)- e.jaheen@outlookEman  Jaheen Resume 2(1)- e.jaheen@outlook
Eman Jaheen Resume 2(1)- e.jaheen@outlook
 
Presentación Pacto de Socios para certificado de profesionalidad
Presentación Pacto de Socios para certificado de profesionalidadPresentación Pacto de Socios para certificado de profesionalidad
Presentación Pacto de Socios para certificado de profesionalidad
 
Story To Reflect Upon 25,26
Story To Reflect Upon 25,26Story To Reflect Upon 25,26
Story To Reflect Upon 25,26
 
Media Monitoring als Erfolgsfaktor - Beispiel M-Adaptive
Media Monitoring als Erfolgsfaktor - Beispiel M-AdaptiveMedia Monitoring als Erfolgsfaktor - Beispiel M-Adaptive
Media Monitoring als Erfolgsfaktor - Beispiel M-Adaptive
 
Antologia español
Antologia españolAntologia español
Antologia español
 
IPad2 manual_del_usuario
IPad2 manual_del_usuarioIPad2 manual_del_usuario
IPad2 manual_del_usuario
 
Energia, potencia y trabajo!
Energia, potencia y trabajo!Energia, potencia y trabajo!
Energia, potencia y trabajo!
 
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
The Rising Cost of Bad Hires: How to Stay Compliant with Background Checks an...
 
Semiótica y señalética
Semiótica y señaléticaSemiótica y señalética
Semiótica y señalética
 

Similaire à Mise en œuvre d’une solution biométrique d’authentification forte

Comment Sécurisé son Identité Numérique
Comment Sécurisé son Identité NumériqueComment Sécurisé son Identité Numérique
Comment Sécurisé son Identité NumériqueSylvain Maret
 
Nuxeo Summer Seminar 2007 - Micro Research (FR)
Nuxeo Summer Seminar 2007 - Micro Research (FR)Nuxeo Summer Seminar 2007 - Micro Research (FR)
Nuxeo Summer Seminar 2007 - Micro Research (FR)Stefane Fermigier
 
OCTO 2012 - Banque du futur 2020 : scenarios 2020
OCTO 2012 - Banque du futur 2020 : scenarios 2020OCTO 2012 - Banque du futur 2020 : scenarios 2020
OCTO 2012 - Banque du futur 2020 : scenarios 2020OCTO Technology
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleSylvain Maret
 
Tec Bretagne Hypermobilité Et Nomadisme - Explications
Tec Bretagne   Hypermobilité Et Nomadisme - ExplicationsTec Bretagne   Hypermobilité Et Nomadisme - Explications
Tec Bretagne Hypermobilité Et Nomadisme - ExplicationsOlivier Girault
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Biométrie et Mobilité
Biométrie et MobilitéBiométrie et Mobilité
Biométrie et MobilitéSylvain Maret
 
Offre Manufacturing : Produire dans un environnement connecté
Offre Manufacturing : Produire dans un environnement connectéOffre Manufacturing : Produire dans un environnement connecté
Offre Manufacturing : Produire dans un environnement connectéCapgemini
 
NRC - Présentation Entreprise
NRC - Présentation EntrepriseNRC - Présentation Entreprise
NRC - Présentation EntrepriseNRC
 
Phishing Facebook Attack
Phishing Facebook AttackPhishing Facebook Attack
Phishing Facebook AttackSylvain Maret
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)CERTyou Formation
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisationCyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisationCERTyou Formation
 
Campagne business security
Campagne business securityCampagne business security
Campagne business securityThomas Alostery
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?e-Xpert Solutions SA
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 
Ysatis Consulting - Offre Expertise Progiciel
Ysatis Consulting - Offre Expertise ProgicielYsatis Consulting - Offre Expertise Progiciel
Ysatis Consulting - Offre Expertise ProgicielPatrick Blanc
 

Similaire à Mise en œuvre d’une solution biométrique d’authentification forte (20)

OpenID et Facebook
OpenID et FacebookOpenID et Facebook
OpenID et Facebook
 
Comment Sécurisé son Identité Numérique
Comment Sécurisé son Identité NumériqueComment Sécurisé son Identité Numérique
Comment Sécurisé son Identité Numérique
 
Nuxeo Summer Seminar 2007 - Micro Research (FR)
Nuxeo Summer Seminar 2007 - Micro Research (FR)Nuxeo Summer Seminar 2007 - Micro Research (FR)
Nuxeo Summer Seminar 2007 - Micro Research (FR)
 
OCTO 2012 - Banque du futur 2020 : scenarios 2020
OCTO 2012 - Banque du futur 2020 : scenarios 2020OCTO 2012 - Banque du futur 2020 : scenarios 2020
OCTO 2012 - Banque du futur 2020 : scenarios 2020
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelle
 
Tec Bretagne Hypermobilité Et Nomadisme - Explications
Tec Bretagne   Hypermobilité Et Nomadisme - ExplicationsTec Bretagne   Hypermobilité Et Nomadisme - Explications
Tec Bretagne Hypermobilité Et Nomadisme - Explications
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Biométrie et Mobilité
Biométrie et MobilitéBiométrie et Mobilité
Biométrie et Mobilité
 
Offre Manufacturing : Produire dans un environnement connecté
Offre Manufacturing : Produire dans un environnement connectéOffre Manufacturing : Produire dans un environnement connecté
Offre Manufacturing : Produire dans un environnement connecté
 
NRC - Présentation Entreprise
NRC - Présentation EntrepriseNRC - Présentation Entreprise
NRC - Présentation Entreprise
 
Auditel 2011 Fra
Auditel 2011 FraAuditel 2011 Fra
Auditel 2011 Fra
 
Phishing Facebook Attack
Phishing Facebook AttackPhishing Facebook Attack
Phishing Facebook Attack
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation (1)
 
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisationCyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
Cyvip formation-approche-et-reussite-d-un-projet-de-virtualisation
 
Campagne business security
Campagne business securityCampagne business security
Campagne business security
 
Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?Séminaire Evolution de la Mobilité - Subir ou gérer ?
Séminaire Evolution de la Mobilité - Subir ou gérer ?
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
Ysatis Consulting - Offre Expertise Progiciel
Ysatis Consulting - Offre Expertise ProgicielYsatis Consulting - Offre Expertise Progiciel
Ysatis Consulting - Offre Expertise Progiciel
 
Pré-programme des conférences thématiques de Documation 2012
Pré-programme des conférences thématiques de Documation 2012Pré-programme des conférences thématiques de Documation 2012
Pré-programme des conférences thématiques de Documation 2012
 

Plus de Sylvain Maret

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionSylvain Maret
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlSylvain Maret
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationSylvain Maret
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationSylvain Maret
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationSylvain Maret
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOSylvain Maret
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPadSylvain Maret
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIISylvain Maret
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Sylvain Maret
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Sylvain Maret
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationSylvain Maret
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Sylvain Maret
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Sylvain Maret
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 

Plus de Sylvain Maret (20)

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 

Mise en œuvre d’une solution biométrique d’authentification forte

  • 1. MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Mise en œuvre d’une solution biométrique d’authentification forte pour l’accès aux données sensibles Sylvain Maret Mercredi 27 mai 2009 / Lausanne Conseil en technologies
  • 2. Agenda  Objectifs du projet  Choix technologique  Concept et design technique  Mise en œuvre  Processus humain  Formation  Difficultés rencontrées www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 3. Le projet de gestion électronique des documents  Mise en place d’une solution de GED  Accès à des informations très sensibles  Classification de l’information: Niveau A = Secret  Chiffrement des données  Contrôle des accès  Projet pour une banque privée  Début du projet: 2005  Population concernée  500 personnes (Phase I)  A termes: 1’200 personnes (Phase II) www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 4. (Classification Data: Secret) Mise en place d’une technologie permettant d’identifier de façon forte – via un mécanisme de preuve irréfutable – les utilisateurs accédant au système d’information de la banque Qui accède à quoi, quand et comment ! www.maret-consulting.ch Conseil en technologies
  • 5. Les contraintes techniques du projet d’authentification forte Obligatoires souhaitées  Intégration avec les applications  Intégration avec sécurité des existantes bâtiments  Web  Chiffrement des données  « Legacy »  Postes nomades  Microsoft Smart Card Logon  Applications futures  Séparation des rôles  Réseau et systèmes  Quatre yeux  Authentification forte  Signature numérique  Support impression  Auditing, Preuve  Accès aux imprimantes  Gestion des preuves www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 6. MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Choix technologique authentification forte Conseil en technologies
  • 7. Quelle technologie d’authentification forte ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 8. OTP PKI (HW) Biométrie Authentification forte Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 9. 2 = « Authentifieur » 1= lien fort avec l’utilisateur www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 10. La technologie d’authentification forte pour ce projet  Utilisation certificat numérique  PKI (X509)  Biométrie  Lecture des empreintes  Match on Card www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 11. Match On Card: c’est quoi ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 12. Stockage des empreintes: que dit la loi ? Préposé fédéral à la protection des données et à la transparence  Biométrie : l’autorisation  Forte recommandation de la CNIL est d’utiliser un support obligatoire ! physique tel que carte à puce, clé USB, etc.  Pour la biométrie basée sur les empreintes digital, obligation de stocker les données sur un support physique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 13. Concept et design technique www.maret-consulting.ch Conseil en technologies
  • 14. Concept de base: un lien unique Gestion des identités Gestion des accès Issuer IT cert Issuer App A cert Database User Lien: cn User PHASE 1 PHASE 2 Authentification Autorisation PKI www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 15. Composants de l’architecture technique  Mise en place d’une PKI « intra muros »  Non Microsoft (Séparation des pouvoirs)  Mise en place de la révocation Online  Protocole OCSP  Utilisation d’un Hardware Security Module  Sécurisation de l’architecture PKI  OS « Hardening »  Firewall interne  SSH pour le « remote » management  Auditing www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 16. Concept pour la sécurisation de l’application GED www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 17. La mire d’authentification biométrique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 18. Mise en œuvre www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 19. Quelques dates clé du projet (1/3)  Décembre 2005: démarrage du projet Authentification Forte  Avril 2006: Finalisation de l’étude Technologie  Novembre 2006: Lettre de cadrage  Décembre 2006: Audit du projet par Ernst & Young  Janvier 2007: Intégration de la solution  Juin 2007: Cérémonie de génération des Clés  Juillet 2007: Mesure de recettes solution technique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 20. Quelques dates clé du projet (2/3)  Octobre 2007: Finalisation des procédures d’exploitation  Processus  Novembre 2007: Formation team gestion des identités  Début 2008: Déploiement  Enrôlement de 400 personnes  Installation des lecteurs  Mi 2008: Blocage du projet  Pas de déploiement dans les succursales  Mise en conformité de la PKI avec le principe des quatre yeux  Circulaire CFB 06/6 – contrôle interne, séparation des rôles / tâches www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 21. Quelques dates clé du projet (3/3)  Fin 2008: Rédaction CP & CPS pour la PKI  Début 2009: Changement des processus de génération des identités  Février 2009: Cérémonie pour le partage des secrets  Avril 2009: Déploiement dans les succursales www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 22. Processus Processus Humain Humain www.maret-consulting.ch Conseil en technologies
  • 23. Le maillon faible ? Plus important que la technique…  Définition des rôles  Tâches et responsabilités  Objectif: séparation des pouvoirs  Quatre yeux  Mise en place des processus pour la gestion des identités  Mise en place des procédures d’exploitation www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 24. Mise en place des processus pour la gestion des identités  Processus pour le team gestion des identités  Enrôlement des utilisateurs  Révocation  Gestion des incidents  Perte, vol, oublie de la carte  Renouvellement  Etc.  Processus pour le Help Desk  Processus pour les Auditeurs  Processus pour le RSSI  Etc. www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 25. Le résultat  Une série de documents initiaux  Procédures d’exploitation  Description des processus  Charte d’utilisation  Définition des rôles et responsabilités  Partage des secret (Quatre yeux)  Etc.  Adaptation des documents www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 26. Formation www.maret-consulting.ch Conseil en technologies
  • 27. Un élément très important !  Formation du team gestion des identités  Formation des utilisateurs  Formation Help Desk  Formation aux technologies  PKI  Biométrie www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 28. Formation du team gestion des identités  Un long travail à ne pas négliger  Technique de prise d’empreinte  Comment expliquer la technologie  Gestion des problèmes  Technique  Humain  Coaching les 1ere semaines www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 29. Formation des utilisateurs  Environ 30 minutes par utilisateur lors de l’enrôlement  Explication de la technologie  Match on Card  Positionnement des doigts  Essais  Remise d’une brochure explicative  Signature de la charte d’utilisation www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 30. Difficultés rencontrées www.maret-consulting.ch Conseil en technologies
  • 31. Quelques exemples…  Enrôlement de certains utilisateurs  Problème pour la convocation des gestionnaires  Problème technique sur le système de validation Online www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 32. Enrôlement de certains utilisateurs  Problème  La solution  Capture des empreintes  Utilisation de capteur de sur certaines personnes meilleur qualité  Entre 1 à 2% des personnes présentent  Création d’un profil avec des problèmes pour un FAR plus faible l’enrôlement www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 33. Problème pour la convocation des gestionnaires  Problème  La solution  Convocation pour la  Passage par la prise d’empreinte direction de l’entreprise (CEO)  Pas de succès  Peu de réponse ! www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 34. Problème technique sur le système de validation Online  Problème  Solution  Instabilité du système de  1 année de « debugging » révocation au labo  Impossible de reproduire le Bug avec le support de  Trouvé le problème l’éditeur  Trop de mémoire sur les  Elément très critique de serveur de validation l’architecture  Limitation de la mémoire www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 35. Retour d’expérience www.maret-consulting.ch Conseil en technologies
  • 36. Conclusion (1/2)  La technique est un aspect mineur pour la réussite d’un projet de cette ampleur  Ne pas sous estimer la rédaction des processus  CP / CPS pour la PKI  Processus de gestion  Ne pas sous estimer la séparation des pouvoirs  Demander un appuis de la direction www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 37. Conclusion (2/2)  L’auditing est très important  Contrôle de la gestion des identités  Gestion de la fraude  La Biométrie est une technologie mature  Technologie PKI  Offre un noyau de sécurité pour le futur  Chiffrement, signature  Information Rights Management  Sécurité de la donnée  Un pas vers la convergence  Sécurité physique et logique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 38. La suite du projet: la convergence ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 39. Quelques liens  MARET Consulting  http://maret-consulting.ch/  La Citadelle Electronique (mon blog)  http://sylvain-maret.blogspot.com/  Article banque et finance: Usurper une identité? Impossible avec la biométrie!  http://www.banque-finance.ch/numeros/88/59.pdf www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  • 40. quot;Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numériquequot; www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009