Un Webcast sur l'utilisation de la technologie Biométrique Match on Card pour la protection des données. PKI, Smart Card Logon, FDE, Web Application

1. Sylvain Maret / Security Architect @ MARET Consulting 10 novembre 2009 Protection des données avec la biométrie Match-on-Card MARET Consulting 2009

2. Agenda du Webcast « StrongAuthenticationSummit » Identité numérique et authentification forte Authentification forte ? Technologie d’authentification forte Biométrie et Match on Card Certificat numérique / PKI Applications pour la technologie Match on Card Illustration avec un projet dans le monde bancaire Tendances

3. Qui suis-je ? Architecte Sécurité 15 ans d’expérience en Sécurité des Systèmes d’Information CEO et Founder MARET Consulting Expert école ingénieur Yverdon & Université de Genève Swiss French Area delegate at OpenID Switzerland Auteur Blog: la Citadelle Electronique Domaine de prédilection Digital Identity Security

4. Protection de l’identité numérique: un sujet d’actualité …. Identification

5. Pourquoi l’authentification forte ? Keylogger (hard and Soft) Malware Man in the Middle Browser in the Midle Password Sniffer Social Engineering Phishing / Pharming Le nombre de vol d’identités explose !

6. Un événement majeur dans le monde de l’authentification forte 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive « Single Factor Authentication » n’est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte http://www.ffiec.gov/press/pr101205.htm Et la norme PCI DSS Authentification forte obligatoire pour les accès distants Et maintenant des régulations Européennes Services de Paiement (2007/64/CE) pour les banques.

7. Identification et authentification ? Identification Qui êtes vous ? Authentification Prouvez le !

8. Définition authentification forte Authentification Forte sur Wikipédia

9. Pascal Thoniel NTX Research: « L'identité numérique est la pierre angulaire de la confiance » Plus d’information sur le sujet

10. Biométrie etMatch on Card

11. Quelle technologie d’authentification forte ?

12. * * Biométrie type Fingerprinting

13. Une technologie en pleine mouvance Entreprises eBanking VPN Web Applications Mobilité GED Projet PIV FIPS-201 SAML Grand public Réseaux sociaux Google docs etc.

14. Quelle technologie biométrique pour l’IT ?

15. Biométrie= Authentification forte ? La réponse est clairement non Nécessite un deuxième facteur Problème de sécurité (usurpation) Uniquement un confort à l’utilisateur Plus d’information l’usurpation Etude Yokohama University

16. Technologie Match on Card: votre PIN Code est votre doigt

17. Exemple de technologie Match on Card pour l’IT Un lecteur Biométrie SmartCard Une carte à puce Technologie MOC Crypto processeur PC/SC PKCS#11 Certificat numérique X509

18. Stockage des données ? Sur un support externe Meilleure sécurité Mode « offline » MOC = Match On card Par serveur d’authentification Problème de sécurité Problème de confidentialité Problème de disponibilité Loi fédérale du 19 juin 1992 sur la protection des données (LPD)

19. Exemple d’utilisation de la technologie Match on Card Smart Card Logon de Microsoft PK-Init Applications Web très sensibles GED eBanking Chiffrement des données Laptop Chiffrement des share Solution Web SSO SAML Citrix Remoteacces VPN SSL VPN IPSEC Etc.

20. Sécurité mobilité avec la technologie MOC Authentification forte biométrique Lecteur de type « swipe » Applications Smart Card Logon VPN (SSL, IPSEC) Citrix Certificat X509 machine Utilisation TPM Authentification de la machine Pre Boot Authentication Full DiskEncryption

21. Authentification d’un utilisateur avec PKINIT (Smart Card Logon) Schéma de Philippe Logean e-XpertSolutions SA

22. Retour d’expérience dans le monde bancaire

23. Le projet de gestion électronique des documents Mise en place d’une solution de GED Accès à des informations très sensibles Classification de l’information: Secret Chiffrement des données Contrôle des accès Projet pour une banque privée Début du projet: 2005 Population concernée 500 personnes (Phase I) A termes: 3000 personnes (Phase II)

24. (Classification Data: Secret) Mise en place d’une technologie permettant d’identifier de façon forte – via un mécanisme de preuve irréfutable – les utilisateurs accédant au système d’information de la banque Qui accède à quoi, quand et comment !

25. Les contraintes techniques du projet d’authentification forte Obligatoires Intégration avec les applications existantes Web Microsoft Smart Card Logon Laptop Séparation des rôles Quatre yeux Signature numérique Auditing, Preuve Gestion des preuves souhaitées Intégration avec sécurité des bâtiments Chiffrement des données Postes nomades Applications futures Réseau et systèmes Authentification forte

26. Gestion des accès Gestion des identités Lien: cn PHASE 1 Authentification forte PHASE 2 Autorisation Concept de base: un lien unique

27. Composants de l’architecture technique Mise en place d’une PKI « intra muros » Non Microsoft (Séparation des pouvoirs) Mise en place de la révocation Online Protocole OCSP Utilisation d’un Hardware Security Module Sécurisation de l’architecture PKI OS « Hardening » Firewall interne IDS

28. Concept pour la sécurisation de l’application GED

29. La mire d’authentification biométrique

30. Processus Humain Processus Humain

31. Le maillon faible ? Plus important que la technique… Définition des rôles Tâches et responsabilités Objectif: séparation des pouvoirs Quatre yeux Mise en place des processus pour la gestion des identités Mise en place des procédures d’exploitation

32. Mise en place des processus Processus pour le team gestion des identités Enrôlement des utilisateurs Révocation Gestion des incidents Perte, vol, oublie de la carte Renouvellement Processus pour le Help Desk Processus pour les Auditeurs Processus pour le RSSI Et les procédures d’exploitation !

33. Le résultat Une série de documents pour la banque Procédures d’exploitation Description des processus Charte d’utilisation Définition des rôles et responsabilités CP /CPS pour la PKI « in house »

34. Formation

35. Un élément très important ! Formation du team gestion des identités Formation des utilisateurs Formation Help Desk Formation aux technologies PKI Biométrie

36. Retour d’expérience ?

37. Conclusion du projet La technique est un aspect mineur pour la réussite d’un projet de cette ampleur Ne pas sous estimer la partie organisationnelle CP / CPS pour la PKI Processus de gestion Demander un appuis de la direction La Biométrie est une technologie mature Technologie PKI Offre un noyau de sécurité pour le futur Chiffrement, signature Information Rights Management Sécurité de la donnée Un pas vers la convergence Sécurité physique et logique

38. Tendance Biométrie Match on Card Le projet PIV Fips-201 est un moteur ! Convergence Sécurité physique et Sécurité logique Capteur Biométrique pour les portables UPEK (Solution FIPS-201) Nouvelles technologies biométrique Full DiskEncryption (Laptop) Support de la technologie Match on Card McAfee EndpointEncryption™ (formerlySafeBoot® Encryption) Win MagicSecureDocDiskEncryption

39. Une technologie très prometteuse: Vascular Pattern Recognition By SONY

40. A quand la convergence ? Une convergence difficile ! Sécurité physique et sécurité logique

41. Merci pour votre présence sur ce Webcast Pour plus d’information sylvain@maret-consulting.ch http://www.maret-consulting.ch Vos feedback sont les bienvenues Merci à Bright Talk de m’avoir invité Plus particulièrement à Sophie Lam / Marketing Program Manager EMEA

42. Quelques liens pour aller approfondir le sujet MARET Consulting http://maret-consulting.ch/ La Citadelle Electronique (le blog sur les identités numériques) http://www.citadelle-electronique.net/ Article banque et finance: Usurper une identité? Impossible avec la biométrie! http://www.banque-finance.ch/numeros/88/59.pdf Biométrie et Mobilité http://www.banque-finance.ch/numeros/97/62.pdf Présentation public OSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande échelle http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf ISACA, Clusis: Accès à l’information : Rôles et responsabilités http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de28099authentification-forte.pdf

43. "Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantesdans la sécurité des systèmesd'information et de l'identiténumérique"