0
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 ...
Agenda




                   Objectifs du projet
                   Choix technologique
                   Concept et ...
Le projet de gestion électronique des documents




                   Mise en place d’une solution de GED
              ...
(Classification Data: Secret)

  Mise en place d’une technologie permettant
             d’identifier de façon forte
  – v...
Les contraintes techniques du projet d’authentification forte



Obligatoires                                             ...
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 ...
Quelle technologie d’authentification forte ?




www.maret-consulting.ch                                                 ...
OTP                         PKI (HW)                Biométrie
  Authentification
  forte
  Chiffrement

  Signature
  numé...
2 = « Authentifieur »




                                                                                       1= lien f...
La technologie d’authentification forte pour ce projet




                   Utilisation certificat
                    ...
Match On Card: c’est quoi ?




www.maret-consulting.ch                                                                  C...
Stockage des empreintes: que dit la loi ?

                                                                               ...
Concept
           et
    design technique
www.maret-consulting.ch   Conseil en technologies
Concept de base: un lien unique

            Gestion des identités                                                        ...
Composants de l’architecture technique




                   Mise en place d’une PKI « intra muros »
                   ...
Concept pour la sécurisation de l’application GED




www.maret-consulting.ch                                             ...
La mire d’authentification biométrique




www.maret-consulting.ch                                                        ...
Mise en œuvre

www.maret-consulting.ch                                                                Conseil en technolog...
Quelques dates clé du projet (1/3)




                   Décembre 2005: démarrage du projet Authentification
           ...
Quelques dates clé du projet (2/3)




                   Octobre 2007: Finalisation des procédures d’exploitation
      ...
Quelques dates clé du projet (3/3)




                   Fin 2008: Rédaction CP & CPS pour la PKI

                   D...
Processus
Processus Humain
     Humain
www.maret-consulting.ch   Conseil en technologies
Le maillon faible ? Plus important que la technique…




                   Définition des rôles
                       ...
Mise en place des processus pour la gestion des identités




                   Processus pour le team gestion des ident...
Le résultat




                   Une série de documents initiaux

                         Procédures d’exploitation
 ...
Formation

www.maret-consulting.ch               Conseil en technologies
       Un élément très important !

                         Formation du team gestion des identités
                   ...
Formation du team gestion des identités




                   Un long travail à ne pas négliger

                      ...
Formation des utilisateurs




                   Environ 30 minutes par utilisateur lors de l’enrôlement

              ...
Difficultés
                          rencontrées
www.maret-consulting.ch                 Conseil en technologies
Quelques exemples…




                   Enrôlement de certains utilisateurs

                   Problème pour la convo...
Enrôlement de certains utilisateurs




                   Problème                                                  La ...
Problème pour la convocation des gestionnaires




                   Problème                                           ...
Problème technique sur le système de validation Online




                   Problème                                   ...
Retour
                          d’expérience
www.maret-consulting.ch                  Conseil en technologies
Conclusion (1/2)




                   La technique est un aspect mineur pour la réussite d’un projet de
               ...
Conclusion (2/2)




                   L’auditing est très important
                         Contrôle de la gestion de...
La suite du projet: la convergence ?




www.maret-consulting.ch                                                          ...
Quelques liens




                   MARET Consulting
                         http://maret-consulting.ch/


          ...
quot;Le conseil et l'expertise pour le choix et la mise

           en oeuvre des technologies innovantes dans la sécurité...
Upcoming SlideShare
Loading in...5
×

Mise en œuvre d’une solution biométrique d’authentification forte

1,196

Published on

Étude de cas d'un projet d'authentification forte par biométrie dans une banque.

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,196
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
88
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Mise en œuvre d’une solution biométrique d’authentification forte"

  1. 1. MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Mise en œuvre d’une solution biométrique d’authentification forte pour l’accès aux données sensibles Sylvain Maret Mercredi 27 mai 2009 / Lausanne Conseil en technologies
  2. 2. Agenda  Objectifs du projet  Choix technologique  Concept et design technique  Mise en œuvre  Processus humain  Formation  Difficultés rencontrées www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  3. 3. Le projet de gestion électronique des documents  Mise en place d’une solution de GED  Accès à des informations très sensibles  Classification de l’information: Niveau A = Secret  Chiffrement des données  Contrôle des accès  Projet pour une banque privée  Début du projet: 2005  Population concernée  500 personnes (Phase I)  A termes: 1’200 personnes (Phase II) www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  4. 4. (Classification Data: Secret) Mise en place d’une technologie permettant d’identifier de façon forte – via un mécanisme de preuve irréfutable – les utilisateurs accédant au système d’information de la banque Qui accède à quoi, quand et comment ! www.maret-consulting.ch Conseil en technologies
  5. 5. Les contraintes techniques du projet d’authentification forte Obligatoires souhaitées  Intégration avec les applications  Intégration avec sécurité des existantes bâtiments  Web  Chiffrement des données  « Legacy »  Postes nomades  Microsoft Smart Card Logon  Applications futures  Séparation des rôles  Réseau et systèmes  Quatre yeux  Authentification forte  Signature numérique  Support impression  Auditing, Preuve  Accès aux imprimantes  Gestion des preuves www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  6. 6. MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Choix technologique authentification forte Conseil en technologies
  7. 7. Quelle technologie d’authentification forte ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  8. 8. OTP PKI (HW) Biométrie Authentification forte Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  9. 9. 2 = « Authentifieur » 1= lien fort avec l’utilisateur www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  10. 10. La technologie d’authentification forte pour ce projet  Utilisation certificat numérique  PKI (X509)  Biométrie  Lecture des empreintes  Match on Card www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  11. 11. Match On Card: c’est quoi ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  12. 12. Stockage des empreintes: que dit la loi ? Préposé fédéral à la protection des données et à la transparence  Biométrie : l’autorisation  Forte recommandation de la CNIL est d’utiliser un support obligatoire ! physique tel que carte à puce, clé USB, etc.  Pour la biométrie basée sur les empreintes digital, obligation de stocker les données sur un support physique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  13. 13. Concept et design technique www.maret-consulting.ch Conseil en technologies
  14. 14. Concept de base: un lien unique Gestion des identités Gestion des accès Issuer IT cert Issuer App A cert Database User Lien: cn User PHASE 1 PHASE 2 Authentification Autorisation PKI www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  15. 15. Composants de l’architecture technique  Mise en place d’une PKI « intra muros »  Non Microsoft (Séparation des pouvoirs)  Mise en place de la révocation Online  Protocole OCSP  Utilisation d’un Hardware Security Module  Sécurisation de l’architecture PKI  OS « Hardening »  Firewall interne  SSH pour le « remote » management  Auditing www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  16. 16. Concept pour la sécurisation de l’application GED www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  17. 17. La mire d’authentification biométrique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  18. 18. Mise en œuvre www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  19. 19. Quelques dates clé du projet (1/3)  Décembre 2005: démarrage du projet Authentification Forte  Avril 2006: Finalisation de l’étude Technologie  Novembre 2006: Lettre de cadrage  Décembre 2006: Audit du projet par Ernst & Young  Janvier 2007: Intégration de la solution  Juin 2007: Cérémonie de génération des Clés  Juillet 2007: Mesure de recettes solution technique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  20. 20. Quelques dates clé du projet (2/3)  Octobre 2007: Finalisation des procédures d’exploitation  Processus  Novembre 2007: Formation team gestion des identités  Début 2008: Déploiement  Enrôlement de 400 personnes  Installation des lecteurs  Mi 2008: Blocage du projet  Pas de déploiement dans les succursales  Mise en conformité de la PKI avec le principe des quatre yeux  Circulaire CFB 06/6 – contrôle interne, séparation des rôles / tâches www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  21. 21. Quelques dates clé du projet (3/3)  Fin 2008: Rédaction CP & CPS pour la PKI  Début 2009: Changement des processus de génération des identités  Février 2009: Cérémonie pour le partage des secrets  Avril 2009: Déploiement dans les succursales www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  22. 22. Processus Processus Humain Humain www.maret-consulting.ch Conseil en technologies
  23. 23. Le maillon faible ? Plus important que la technique…  Définition des rôles  Tâches et responsabilités  Objectif: séparation des pouvoirs  Quatre yeux  Mise en place des processus pour la gestion des identités  Mise en place des procédures d’exploitation www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  24. 24. Mise en place des processus pour la gestion des identités  Processus pour le team gestion des identités  Enrôlement des utilisateurs  Révocation  Gestion des incidents  Perte, vol, oublie de la carte  Renouvellement  Etc.  Processus pour le Help Desk  Processus pour les Auditeurs  Processus pour le RSSI  Etc. www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  25. 25. Le résultat  Une série de documents initiaux  Procédures d’exploitation  Description des processus  Charte d’utilisation  Définition des rôles et responsabilités  Partage des secret (Quatre yeux)  Etc.  Adaptation des documents www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  26. 26. Formation www.maret-consulting.ch Conseil en technologies
  27. 27.  Un élément très important !  Formation du team gestion des identités  Formation des utilisateurs  Formation Help Desk  Formation aux technologies  PKI  Biométrie www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  28. 28. Formation du team gestion des identités  Un long travail à ne pas négliger  Technique de prise d’empreinte  Comment expliquer la technologie  Gestion des problèmes  Technique  Humain  Coaching les 1ere semaines www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  29. 29. Formation des utilisateurs  Environ 30 minutes par utilisateur lors de l’enrôlement  Explication de la technologie  Match on Card  Positionnement des doigts  Essais  Remise d’une brochure explicative  Signature de la charte d’utilisation www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  30. 30. Difficultés rencontrées www.maret-consulting.ch Conseil en technologies
  31. 31. Quelques exemples…  Enrôlement de certains utilisateurs  Problème pour la convocation des gestionnaires  Problème technique sur le système de validation Online www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  32. 32. Enrôlement de certains utilisateurs  Problème  La solution  Capture des empreintes  Utilisation de capteur de sur certaines personnes meilleur qualité  Entre 1 à 2% des personnes présentent  Création d’un profil avec des problèmes pour un FAR plus faible l’enrôlement www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  33. 33. Problème pour la convocation des gestionnaires  Problème  La solution  Convocation pour la  Passage par la prise d’empreinte direction de l’entreprise (CEO)  Pas de succès  Peu de réponse ! www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  34. 34. Problème technique sur le système de validation Online  Problème  Solution  Instabilité du système de  1 année de « debugging » révocation au labo  Impossible de reproduire le Bug avec le support de  Trouvé le problème l’éditeur  Trop de mémoire sur les  Elément très critique de serveur de validation l’architecture  Limitation de la mémoire www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  35. 35. Retour d’expérience www.maret-consulting.ch Conseil en technologies
  36. 36. Conclusion (1/2)  La technique est un aspect mineur pour la réussite d’un projet de cette ampleur  Ne pas sous estimer la rédaction des processus  CP / CPS pour la PKI  Processus de gestion  Ne pas sous estimer la séparation des pouvoirs  Demander un appuis de la direction www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  37. 37. Conclusion (2/2)  L’auditing est très important  Contrôle de la gestion des identités  Gestion de la fraude  La Biométrie est une technologie mature  Technologie PKI  Offre un noyau de sécurité pour le futur  Chiffrement, signature  Information Rights Management  Sécurité de la donnée  Un pas vers la convergence  Sécurité physique et logique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  38. 38. La suite du projet: la convergence ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  39. 39. Quelques liens  MARET Consulting  http://maret-consulting.ch/  La Citadelle Electronique (mon blog)  http://sylvain-maret.blogspot.com/  Article banque et finance: Usurper une identité? Impossible avec la biométrie!  http://www.banque-finance.ch/numeros/88/59.pdf www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  40. 40. quot;Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numériquequot; www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×