SlideShare a Scribd company logo

Biométrie et sécurité de l'information aapi avril 2014 v 15 04

M
Morkfromork

Biométrie et sécurité de l'information, présenté au congrès de l'AAPI, avril 2014 French presentation on biometry and Information Security

Technology
1 of 40
Download to read offline
Biométrie et sécurité de l’information 4/18/2014 1 Martin M Samson, CISM, CGEIT, CRISC
 Parenthèse sur la sécurité de l’information  La biométrie qu’est-ce que c’est?  Différentes techniques biométriques  Comment ça marche?  Conclusion Ordre du jour
 La sécurité de l’information (SI) c’est quoi???  La sécurité totale est-ce que ça existe?  Une solution la gestion des risques! Introduction
Normes et bonnes pratiques
Étape 1 D-I-C CATEGORISER l'information • Lois, directives, politiques, orientation • Objectifs stratégiques et d’affaires • Exigences de sécurité de l’information • Cadres de gestion d’entreprise et SI • Architecture d’entreprise • Mission / processus d'affaires • Modèles de référence-Bonnes pratiques • Architecture de la solution • Limites du système d'information GESTION DES RISQUES DE L’INFORMATION Cycle de vie Étape 2 SELECTION Contrôles de sécurité Étape 5 AUTORISER Systèmes d'information Étape 3 MISE EN ŒUVRE Contrôles de sécurité Étape 6 SURVEILLANCE Contrôles de sécurité Étape 4 ÉVALUER Contrôles de sécurité DÉROGATION Source : NIST
 Le risque est inévitable et il est présent dans presque toutes les situations de la vie.  Le risque pour une personne représente une opportunité pour une autre. Le risque…
Dans l’organisation… RISQUE STRATÉGIQUE RISQUE TACTIQUE ORGANISATION PROCESSUS D’AFFAIRES / MISSION SYSTÈMES D’INFORMATION Source NIST Communication Amélioration continue Conscience du risque à l’échelle de l’organisation Traçabilité et transparence
 Faire approuver les méthodologies d'évaluation de risque par la haute direction  Éviter de laisser une seule personne juger du risque et de son ampleur  Utiliser des méthodologies reconnues avec des indicateurs les plus précis possible  Avoir une bonne connaissance des exigences de conformité légales et autres  Gérer le risque résiduel La gestion du risque…
La gestion du risque… Données c’est ça!
Jusqu’où aller dans la sécurité ? 10
La SI…en équipe 11 Comité directeur en sécurité CISO-DSI Comité de gestion des risques d’entreprises Responsable de la sécurité de l’information Propriétaires
12 CISO-DSI Responsabilités du CISO-DSI : • Établir et maintenir le SMSI • Définir et gérer le plan de gestion/traitement des risques et le plan de reprise • Contrôle et audit du SMSI Niveau d'autorité : Responsable/imputable de la mise en œuvre et du maintien de la stratégie de sécurité de l'information. La reddition de comptes (imputabilité) et l'approbation des décisions importantes reliées à la sécurité de l’information. Source COBIT
13 Comité directeur/sécurité • Regrouper les spécialistes qui permettront de bien gérer la sécurité de l’information en entreprise. Exemples : RH-Auditeurs internes-Légal etc. • Communication des bonnes pratiques de sécurité de l’information de même que leur implantation et suivi. Source COBIT
14 Comités de gestion des risques d’entreprises • Responsable de certains processus ou applications d’affaires. • Responsable de communiquer les liens entre les affaires et la sécurité (impacts sur les usagers). • Connaissance des risques reliés à l’opération de même que les coûts/bénéfices des besoins de sécurité pour les directions. Source COBIT
15 Responsable de la sécurité de l’information • Développe une vision commune pour l’équipe de sécurité et le reste de l’entreprise. • Gère le personnel relié à la sécurité de l’information en fonction des besoins d’affaires. • Effectue les évaluations de risque et définit les profils de risque. • Développe le plan de sécurité de l’information. • Surveille les indicateurs de gestions reliés à la SI. • Identifie/communique les besoins en sensibilisation. • Responsable de l’adhésion des ressources et de la haute direction aux bonnes pratiques de sécurité. Source COBIT
16 Propriétaires de processus / responsables de la sécurité des données et des systèmes • Communiquer, coordonner et conseiller l’entreprise sur les efforts requis pour gérer les risques avec les gestionnaires hiérarchiques. • Rapporter les changement dans les besoins d’affaires et les stratégies liés aux nouveaux produits ou aux changements des produits existants. • Responsable de rendre plus visible les aspects de sécurité de l’information au travers de toute l’entreprise. Source COBIT
Éviter de…
 Une série de méthodes automatisées permettant de reconnaître une personne  Le résultat doit être mesurable  La biométrie fait partie de l’arsenal de sécurité que les professionnels utilisent pour sécuriser l’accès à l’information  Ça demeure… La Biométrie Qu’est-ce que c’est?
La Biométrie Réflexion Nous n’en sommes pas encore au point de pouvoir prendre en photo des gens dans la rue au moyen de notre téléphone intelligent, les identifier et avoir accès à des renseignements à leur sujet. Toutefois, cette réalité n’est peut-être pas si lointaine et on peut en imaginer les répercussions sur nos interactions, nos relations interpersonnelles et la façon dont nous vivons notre vie. Entre autres choses, cela accentuera le fossé économique et social entre ceux qui ont accès à la technologie et les autres. Cela banalisera aussi le recours à la surveillance et à la reconnaissance faciale. Source : Rapport de recherche de la CPVP mars 2013
 Des premiers hommes, la reconnaissance faciale  Google Picasa (prochaine diapo…)  Les systèmes de reconnaissance faciale dans les aéroports  Lecture biométrique aux guichets  Votre Galaxy S-IV reconnait votre visage Exemples  Votre Galaxy S-… va lire votre IRIS!
Picasa
 Augmenter le nombre de facteurs d’authentification  Ce que je sais  Identifiant/Mot de passe/NIP  Ce que je possède  Jeton/carte d’authentification  Ce que je suis  Biométrie La biométrie une sécurisation… supplémentaire
 Caractéristiques mesurées  Deux types de mesures biométriques  Biologiques/morphologiques  Comportementales  Comme le niveau des failles de sécurité et les fraudes transactionnelles sont en hausse, le besoin en identification plus robuste/sécuritaire devient une nécessité  Les technologies biométriques sont en voie de devenir le fondement d'une gestion d'identité mieux sécurisée. La Biométrie Qu’est-ce que c’est?
1. Unicité : l’attribut biométrique doit varier suffisamment d'une personne à une autre tel que les variations rendent l’attribut unique 2. Robustesse: un attribut biométrique devrait être permanent tout au long de la vie d'une personne 3. Quantifiable : mesurable avec une certaine précision 4. Acceptable par la population : les empreintes digitales ont souvent été associées à la criminalité 5. Universelle : la majeure partie de la population possède l’attribut mesuré (empreintes digitales). La Biométrie Qu’est-ce que c’est? Caractéristiques
Quelques modes de reconnaissance Visage Iris Rétine Empreinte digitale OreilleADNTouches de clavier Démarche Source : Pentest Magazine
Géométrie de la main  Une caméra mesure la taille et la forme de la main  Méthode biométrique facile à utiliser  Méthode qui a fait ses preuves dans des applications à volume élevé  Faible taux d’enregistrement échoué, environ 1 sur 10,000  La grande taille des lecteurs peut être un désavantage  La forme de la main est moins stable dans le temps que les empreintes digitales.
 Une photo 3D de la main est prise.  Une analyse de 31,000 points est effectuée – aucune empreinte.  Une mesure de plus de 90 points distincts est effectuée  Longueur  Largeur  Épaisseur  Surface Qu’est-ce qui est mesuré?  Le NIP de l’usager est toujours requis.
Les techniques  Intrusif : décrit dans quelle mesure l'utilisateur perçoit le test comme intrusif  Distinctif : efficacité de la méthode (capacité à identifier quelqu'un)  Coût : coût de la technologie  Effort : effort requis par l'utilisateur lors de la mesure.
Comparaison des différentes techniques biométriques Intrusif Distinctif Coût Effort Biométrie « idéale » Empreinte palmaire Analyse de signature Empreinte digitale Empreinte vocale Reconnaissance de l’iris Analyse de la rétine Reconnaissance faciale Dynamique des frappes au clavier Source : International biometric group Géométrie de la main ADN
Empreintes digitales
Reconnaissance faciale Image-source : www.luxand.com  Calculs basés sur des algorithmes pour détecter et suivre les traits du visage  Coordonnées de plusieurs caractéristiques du visage  Yeux  Contour des yeux  Sourcils  Contour des lèvres  Bout du nez
Reconnaissance faciale
Reconnaissance de l’iris
 Gestion et stockage des renseignements personnels…  Être retracé sans que nous le sachions…  Fiabilité des méthodes de mesure  Aucune mesure n’est totalement exacte…  Risque de rejet par l’équipement  Risque de fausse acceptation par l’équipement  La méthode a des risques d’être attaquée  Une fois que vos données personnelles sont compromises… Risques…
 Contrefaçon d’empreintes La biométrie Comment l’attaquer?  Copie de l’iris  Empreinte vocale contrefaite  …
D. brutes Gabarit La biométrie : Comment ça marche? CollecteDonnées ComparaisonExtraction R é s. Entrepôt de gabarits Vecteurs d’attaque Méthode Zamboni 1 6 2 3 4 5 8 7
En conclusion, la biométrie doit être vue comme un complément aux autres méthodes d’authentification et non un remplacement des méthodes existantes. Biométrie Conclusion Gérer les risques…
QUESTIONS ? Contact : martin.samson@nurun.com 418 627-0999 poste 55395

Recommended

La Biométrie
La BiométrieLa Biométrie
La BiométrieTakwa Touzni
 
Biometrie Whitepaper (fr)
Biometrie Whitepaper (fr)Biometrie Whitepaper (fr)
Biometrie Whitepaper (fr)Paul De Bruyne
 
Présentation Biométrie et Marketing
Présentation Biométrie et MarketingPrésentation Biométrie et Marketing
Présentation Biométrie et MarketingJeremi Roch
 
Identification des empreintes digitales
Identification des empreintes digitalesIdentification des empreintes digitales
Identification des empreintes digitalesSarah
 
Finger prints presentation opencv
Finger prints presentation opencvFinger prints presentation opencv
Finger prints presentation opencvBilal ZIANE
 
Reconnaissance faciale
Reconnaissance facialeReconnaissance faciale
Reconnaissance facialebgdu49xxx
 
Empreinte digitale
Empreinte digitaleEmpreinte digitale
Empreinte digitaleHejer Nouira
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardSylvain Maret
 

Recommended

La Biométrie
La BiométrieLa Biométrie
La BiométrieTakwa Touzni
 
Biometrie Whitepaper (fr)
Biometrie Whitepaper (fr)Biometrie Whitepaper (fr)
Biometrie Whitepaper (fr)Paul De Bruyne
 
Présentation Biométrie et Marketing
Présentation Biométrie et MarketingPrésentation Biométrie et Marketing
Présentation Biométrie et MarketingJeremi Roch
 
Identification des empreintes digitales
Identification des empreintes digitalesIdentification des empreintes digitales
Identification des empreintes digitalesSarah
 
Finger prints presentation opencv
Finger prints presentation opencvFinger prints presentation opencv
Finger prints presentation opencvBilal ZIANE
 
Reconnaissance faciale
Reconnaissance facialeReconnaissance faciale
Reconnaissance facialebgdu49xxx
 
Empreinte digitale
Empreinte digitaleEmpreinte digitale
Empreinte digitaleHejer Nouira
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardSylvain Maret
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputationAgoralink
 
Etude de cas Biométrie
Etude de cas BiométrieEtude de cas Biométrie
Etude de cas BiométrieSylvain Maret
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016Thierry RAMARD
 
Rh et sécurité
Rh et sécurité Rh et sécurité
Rh et sécurité Prof. Jacques Folon (Ph.D)
 
Authentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DAuthentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DSylvain Maret
 
Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualiteLe Moulin Digital
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationSéminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationORSYS
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Ulg cours 5 rh et securite
Ulg cours 5 rh et securite Ulg cours 5 rh et securite
Ulg cours 5 rh et securiteProf. Jacques Folon (Ph.D)
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Sylvain Maret
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Sécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesSécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesProf. Jacques Folon (Ph.D)
 
Brochure SEMLEX
Brochure SEMLEXBrochure SEMLEX
Brochure SEMLEXAlbert Karaziwan
 
Brochura
BrochuraBrochura
BrochuraAlbert Karaziwan
 
Brochure Semlex Group FR
Brochure Semlex Group FRBrochure Semlex Group FR
Brochure Semlex Group FRSemlex Europe
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 

More Related Content

Similar to Biométrie et sécurité de l'information aapi avril 2014 v 15 04

Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputationAgoralink
 
Etude de cas Biométrie
Etude de cas BiométrieEtude de cas Biométrie
Etude de cas BiométrieSylvain Maret
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Authentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DAuthentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DSylvain Maret
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationSéminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationORSYS
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Sylvain Maret
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Sécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesSécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesProf. Jacques Folon (Ph.D)
 
Brochure Semlex Group FR
Brochure Semlex Group FRBrochure Semlex Group FR
Brochure Semlex Group FRSemlex Europe
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 

Similar to Biométrie et sécurité de l'information aapi avril 2014 v 15 04 (20)

Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
Etude de cas Biométrie
Etude de cas BiométrieEtude de cas Biométrie
Etude de cas Biométrie
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
 
Rh et sécurité
Rh et sécurité Rh et sécurité
Rh et sécurité
 
Authentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DAuthentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre D
 
Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualite
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationSéminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Ulg cours 5 rh et securite
Ulg cours 5 rh et securite Ulg cours 5 rh et securite
Ulg cours 5 rh et securite
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Sécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesSécurité de l'information et ressources humaines
Sécurité de l'information et ressources humaines
 
Brochure SEMLEX
Brochure SEMLEXBrochure SEMLEX
Brochure SEMLEX
 
Brochura
BrochuraBrochura
Brochura
 
Brochure Semlex Group FR
Brochure Semlex Group FRBrochure Semlex Group FR
Brochure Semlex Group FR
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 

Biométrie et sécurité de l'information aapi avril 2014 v 15 04

  • 1. Biométrie et sécurité de l’information 4/18/2014 1 Martin M Samson, CISM, CGEIT, CRISC
  • 2.  Parenthèse sur la sécurité de l’information  La biométrie qu’est-ce que c’est?  Différentes techniques biométriques  Comment ça marche?  Conclusion Ordre du jour
  • 3.  La sécurité de l’information (SI) c’est quoi???  La sécurité totale est-ce que ça existe?  Une solution la gestion des risques! Introduction
  • 4. Normes et bonnes pratiques
  • 5. Étape 1 D-I-C CATEGORISER l'information • Lois, directives, politiques, orientation • Objectifs stratégiques et d’affaires • Exigences de sécurité de l’information • Cadres de gestion d’entreprise et SI • Architecture d’entreprise • Mission / processus d'affaires • Modèles de référence-Bonnes pratiques • Architecture de la solution • Limites du système d'information GESTION DES RISQUES DE L’INFORMATION Cycle de vie Étape 2 SELECTION Contrôles de sécurité Étape 5 AUTORISER Systèmes d'information Étape 3 MISE EN ŒUVRE Contrôles de sécurité Étape 6 SURVEILLANCE Contrôles de sécurité Étape 4 ÉVALUER Contrôles de sécurité DÉROGATION Source : NIST
  • 6.  Le risque est inévitable et il est présent dans presque toutes les situations de la vie.  Le risque pour une personne représente une opportunité pour une autre. Le risque…
  • 7. Dans l’organisation… RISQUE STRATÉGIQUE RISQUE TACTIQUE ORGANISATION PROCESSUS D’AFFAIRES / MISSION SYSTÈMES D’INFORMATION Source NIST Communication Amélioration continue Conscience du risque à l’échelle de l’organisation Traçabilité et transparence
  • 8.  Faire approuver les méthodologies d'évaluation de risque par la haute direction  Éviter de laisser une seule personne juger du risque et de son ampleur  Utiliser des méthodologies reconnues avec des indicateurs les plus précis possible  Avoir une bonne connaissance des exigences de conformité légales et autres  Gérer le risque résiduel La gestion du risque…
  • 9. La gestion du risque… Données c’est ça!
  • 10. Jusqu’où aller dans la sécurité ? 10
  • 11. La SI…en équipe 11 Comité directeur en sécurité CISO-DSI Comité de gestion des risques d’entreprises Responsable de la sécurité de l’information Propriétaires
  • 12. 12 CISO-DSI Responsabilités du CISO-DSI : • Établir et maintenir le SMSI • Définir et gérer le plan de gestion/traitement des risques et le plan de reprise • Contrôle et audit du SMSI Niveau d'autorité : Responsable/imputable de la mise en œuvre et du maintien de la stratégie de sécurité de l'information. La reddition de comptes (imputabilité) et l'approbation des décisions importantes reliées à la sécurité de l’information. Source COBIT
  • 13. 13 Comité directeur/sécurité • Regrouper les spécialistes qui permettront de bien gérer la sécurité de l’information en entreprise. Exemples : RH-Auditeurs internes-Légal etc. • Communication des bonnes pratiques de sécurité de l’information de même que leur implantation et suivi. Source COBIT
  • 14. 14 Comités de gestion des risques d’entreprises • Responsable de certains processus ou applications d’affaires. • Responsable de communiquer les liens entre les affaires et la sécurité (impacts sur les usagers). • Connaissance des risques reliés à l’opération de même que les coûts/bénéfices des besoins de sécurité pour les directions. Source COBIT
  • 15. 15 Responsable de la sécurité de l’information • Développe une vision commune pour l’équipe de sécurité et le reste de l’entreprise. • Gère le personnel relié à la sécurité de l’information en fonction des besoins d’affaires. • Effectue les évaluations de risque et définit les profils de risque. • Développe le plan de sécurité de l’information. • Surveille les indicateurs de gestions reliés à la SI. • Identifie/communique les besoins en sensibilisation. • Responsable de l’adhésion des ressources et de la haute direction aux bonnes pratiques de sécurité. Source COBIT
  • 16. 16 Propriétaires de processus / responsables de la sécurité des données et des systèmes • Communiquer, coordonner et conseiller l’entreprise sur les efforts requis pour gérer les risques avec les gestionnaires hiérarchiques. • Rapporter les changement dans les besoins d’affaires et les stratégies liés aux nouveaux produits ou aux changements des produits existants. • Responsable de rendre plus visible les aspects de sécurité de l’information au travers de toute l’entreprise. Source COBIT
  • 18.
  • 19.  Une série de méthodes automatisées permettant de reconnaître une personne  Le résultat doit être mesurable  La biométrie fait partie de l’arsenal de sécurité que les professionnels utilisent pour sécuriser l’accès à l’information  Ça demeure… La Biométrie Qu’est-ce que c’est?
  • 20. La Biométrie Réflexion Nous n’en sommes pas encore au point de pouvoir prendre en photo des gens dans la rue au moyen de notre téléphone intelligent, les identifier et avoir accès à des renseignements à leur sujet. Toutefois, cette réalité n’est peut-être pas si lointaine et on peut en imaginer les répercussions sur nos interactions, nos relations interpersonnelles et la façon dont nous vivons notre vie. Entre autres choses, cela accentuera le fossé économique et social entre ceux qui ont accès à la technologie et les autres. Cela banalisera aussi le recours à la surveillance et à la reconnaissance faciale. Source : Rapport de recherche de la CPVP mars 2013
  • 21.  Des premiers hommes, la reconnaissance faciale  Google Picasa (prochaine diapo…)  Les systèmes de reconnaissance faciale dans les aéroports  Lecture biométrique aux guichets  Votre Galaxy S-IV reconnait votre visage Exemples  Votre Galaxy S-… va lire votre IRIS!
  • 23.  Augmenter le nombre de facteurs d’authentification  Ce que je sais  Identifiant/Mot de passe/NIP  Ce que je possède  Jeton/carte d’authentification  Ce que je suis  Biométrie La biométrie une sécurisation… supplémentaire
  • 24.  Caractéristiques mesurées  Deux types de mesures biométriques  Biologiques/morphologiques  Comportementales  Comme le niveau des failles de sécurité et les fraudes transactionnelles sont en hausse, le besoin en identification plus robuste/sécuritaire devient une nécessité  Les technologies biométriques sont en voie de devenir le fondement d'une gestion d'identité mieux sécurisée. La Biométrie Qu’est-ce que c’est?
  • 25. 1. Unicité : l’attribut biométrique doit varier suffisamment d'une personne à une autre tel que les variations rendent l’attribut unique 2. Robustesse: un attribut biométrique devrait être permanent tout au long de la vie d'une personne 3. Quantifiable : mesurable avec une certaine précision 4. Acceptable par la population : les empreintes digitales ont souvent été associées à la criminalité 5. Universelle : la majeure partie de la population possède l’attribut mesuré (empreintes digitales). La Biométrie Qu’est-ce que c’est? Caractéristiques
  • 26. Quelques modes de reconnaissance Visage Iris Rétine Empreinte digitale OreilleADNTouches de clavier Démarche Source : Pentest Magazine
  • 27. Géométrie de la main  Une caméra mesure la taille et la forme de la main  Méthode biométrique facile à utiliser  Méthode qui a fait ses preuves dans des applications à volume élevé  Faible taux d’enregistrement échoué, environ 1 sur 10,000  La grande taille des lecteurs peut être un désavantage  La forme de la main est moins stable dans le temps que les empreintes digitales.
  • 28.  Une photo 3D de la main est prise.  Une analyse de 31,000 points est effectuée – aucune empreinte.  Une mesure de plus de 90 points distincts est effectuée  Longueur  Largeur  Épaisseur  Surface Qu’est-ce qui est mesuré?  Le NIP de l’usager est toujours requis.
  • 29. Les techniques  Intrusif : décrit dans quelle mesure l'utilisateur perçoit le test comme intrusif  Distinctif : efficacité de la méthode (capacité à identifier quelqu'un)  Coût : coût de la technologie  Effort : effort requis par l'utilisateur lors de la mesure.
  • 30. Comparaison des différentes techniques biométriques Intrusif Distinctif Coût Effort Biométrie « idéale » Empreinte palmaire Analyse de signature Empreinte digitale Empreinte vocale Reconnaissance de l’iris Analyse de la rétine Reconnaissance faciale Dynamique des frappes au clavier Source : International biometric group Géométrie de la main ADN
  • 31.
  • 33. Reconnaissance faciale Image-source : www.luxand.com  Calculs basés sur des algorithmes pour détecter et suivre les traits du visage  Coordonnées de plusieurs caractéristiques du visage  Yeux  Contour des yeux  Sourcils  Contour des lèvres  Bout du nez
  • 36.  Gestion et stockage des renseignements personnels…  Être retracé sans que nous le sachions…  Fiabilité des méthodes de mesure  Aucune mesure n’est totalement exacte…  Risque de rejet par l’équipement  Risque de fausse acceptation par l’équipement  La méthode a des risques d’être attaquée  Une fois que vos données personnelles sont compromises… Risques…
  • 37.  Contrefaçon d’empreintes La biométrie Comment l’attaquer?  Copie de l’iris  Empreinte vocale contrefaite  …
  • 38. D. brutes Gabarit La biométrie : Comment ça marche? CollecteDonnées ComparaisonExtraction R é s. Entrepôt de gabarits Vecteurs d’attaque Méthode Zamboni 1 6 2 3 4 5 8 7
  • 39. En conclusion, la biométrie doit être vue comme un complément aux autres méthodes d’authentification et non un remplacement des méthodes existantes. Biométrie Conclusion Gérer les risques…
  • 40. QUESTIONS ? Contact : martin.samson@nurun.com 418 627-0999 poste 55395