Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Mise en œuvre d’une solution biométrique d’authentification forte

1,593 views

Published on

Étude de cas d'un projet d'authentification forte par biométrie dans une banque.

Published in: Technology, Business
  • Be the first to comment

  • Be the first to like this

Mise en œuvre d’une solution biométrique d’authentification forte

  1. 1. MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Mise en œuvre d’une solution biométrique d’authentification forte pour l’accès aux données sensibles Sylvain Maret Mercredi 27 mai 2009 / Lausanne Conseil en technologies
  2. 2. Agenda  Objectifs du projet  Choix technologique  Concept et design technique  Mise en œuvre  Processus humain  Formation  Difficultés rencontrées www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  3. 3. Le projet de gestion électronique des documents  Mise en place d’une solution de GED  Accès à des informations très sensibles  Classification de l’information: Niveau A = Secret  Chiffrement des données  Contrôle des accès  Projet pour une banque privée  Début du projet: 2005  Population concernée  500 personnes (Phase I)  A termes: 1’200 personnes (Phase II) www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  4. 4. (Classification Data: Secret) Mise en place d’une technologie permettant d’identifier de façon forte – via un mécanisme de preuve irréfutable – les utilisateurs accédant au système d’information de la banque Qui accède à quoi, quand et comment ! www.maret-consulting.ch Conseil en technologies
  5. 5. Les contraintes techniques du projet d’authentification forte Obligatoires souhaitées  Intégration avec les applications  Intégration avec sécurité des existantes bâtiments  Web  Chiffrement des données  « Legacy »  Postes nomades  Microsoft Smart Card Logon  Applications futures  Séparation des rôles  Réseau et systèmes  Quatre yeux  Authentification forte  Signature numérique  Support impression  Auditing, Preuve  Accès aux imprimantes  Gestion des preuves www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  6. 6. MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Choix technologique authentification forte Conseil en technologies
  7. 7. Quelle technologie d’authentification forte ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  8. 8. OTP PKI (HW) Biométrie Authentification forte Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  9. 9. 2 = « Authentifieur » 1= lien fort avec l’utilisateur www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  10. 10. La technologie d’authentification forte pour ce projet  Utilisation certificat numérique  PKI (X509)  Biométrie  Lecture des empreintes  Match on Card www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  11. 11. Match On Card: c’est quoi ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  12. 12. Stockage des empreintes: que dit la loi ? Préposé fédéral à la protection des données et à la transparence  Biométrie : l’autorisation  Forte recommandation de la CNIL est d’utiliser un support obligatoire ! physique tel que carte à puce, clé USB, etc.  Pour la biométrie basée sur les empreintes digital, obligation de stocker les données sur un support physique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  13. 13. Concept et design technique www.maret-consulting.ch Conseil en technologies
  14. 14. Concept de base: un lien unique Gestion des identités Gestion des accès Issuer IT cert Issuer App A cert Database User Lien: cn User PHASE 1 PHASE 2 Authentification Autorisation PKI www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  15. 15. Composants de l’architecture technique  Mise en place d’une PKI « intra muros »  Non Microsoft (Séparation des pouvoirs)  Mise en place de la révocation Online  Protocole OCSP  Utilisation d’un Hardware Security Module  Sécurisation de l’architecture PKI  OS « Hardening »  Firewall interne  SSH pour le « remote » management  Auditing www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  16. 16. Concept pour la sécurisation de l’application GED www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  17. 17. La mire d’authentification biométrique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  18. 18. Mise en œuvre www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  19. 19. Quelques dates clé du projet (1/3)  Décembre 2005: démarrage du projet Authentification Forte  Avril 2006: Finalisation de l’étude Technologie  Novembre 2006: Lettre de cadrage  Décembre 2006: Audit du projet par Ernst & Young  Janvier 2007: Intégration de la solution  Juin 2007: Cérémonie de génération des Clés  Juillet 2007: Mesure de recettes solution technique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  20. 20. Quelques dates clé du projet (2/3)  Octobre 2007: Finalisation des procédures d’exploitation  Processus  Novembre 2007: Formation team gestion des identités  Début 2008: Déploiement  Enrôlement de 400 personnes  Installation des lecteurs  Mi 2008: Blocage du projet  Pas de déploiement dans les succursales  Mise en conformité de la PKI avec le principe des quatre yeux  Circulaire CFB 06/6 – contrôle interne, séparation des rôles / tâches www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  21. 21. Quelques dates clé du projet (3/3)  Fin 2008: Rédaction CP & CPS pour la PKI  Début 2009: Changement des processus de génération des identités  Février 2009: Cérémonie pour le partage des secrets  Avril 2009: Déploiement dans les succursales www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  22. 22. Processus Processus Humain Humain www.maret-consulting.ch Conseil en technologies
  23. 23. Le maillon faible ? Plus important que la technique…  Définition des rôles  Tâches et responsabilités  Objectif: séparation des pouvoirs  Quatre yeux  Mise en place des processus pour la gestion des identités  Mise en place des procédures d’exploitation www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  24. 24. Mise en place des processus pour la gestion des identités  Processus pour le team gestion des identités  Enrôlement des utilisateurs  Révocation  Gestion des incidents  Perte, vol, oublie de la carte  Renouvellement  Etc.  Processus pour le Help Desk  Processus pour les Auditeurs  Processus pour le RSSI  Etc. www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  25. 25. Le résultat  Une série de documents initiaux  Procédures d’exploitation  Description des processus  Charte d’utilisation  Définition des rôles et responsabilités  Partage des secret (Quatre yeux)  Etc.  Adaptation des documents www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  26. 26. Formation www.maret-consulting.ch Conseil en technologies
  27. 27.  Un élément très important !  Formation du team gestion des identités  Formation des utilisateurs  Formation Help Desk  Formation aux technologies  PKI  Biométrie www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  28. 28. Formation du team gestion des identités  Un long travail à ne pas négliger  Technique de prise d’empreinte  Comment expliquer la technologie  Gestion des problèmes  Technique  Humain  Coaching les 1ere semaines www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  29. 29. Formation des utilisateurs  Environ 30 minutes par utilisateur lors de l’enrôlement  Explication de la technologie  Match on Card  Positionnement des doigts  Essais  Remise d’une brochure explicative  Signature de la charte d’utilisation www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  30. 30. Difficultés rencontrées www.maret-consulting.ch Conseil en technologies
  31. 31. Quelques exemples…  Enrôlement de certains utilisateurs  Problème pour la convocation des gestionnaires  Problème technique sur le système de validation Online www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  32. 32. Enrôlement de certains utilisateurs  Problème  La solution  Capture des empreintes  Utilisation de capteur de sur certaines personnes meilleur qualité  Entre 1 à 2% des personnes présentent  Création d’un profil avec des problèmes pour un FAR plus faible l’enrôlement www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  33. 33. Problème pour la convocation des gestionnaires  Problème  La solution  Convocation pour la  Passage par la prise d’empreinte direction de l’entreprise (CEO)  Pas de succès  Peu de réponse ! www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  34. 34. Problème technique sur le système de validation Online  Problème  Solution  Instabilité du système de  1 année de « debugging » révocation au labo  Impossible de reproduire le Bug avec le support de  Trouvé le problème l’éditeur  Trop de mémoire sur les  Elément très critique de serveur de validation l’architecture  Limitation de la mémoire www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  35. 35. Retour d’expérience www.maret-consulting.ch Conseil en technologies
  36. 36. Conclusion (1/2)  La technique est un aspect mineur pour la réussite d’un projet de cette ampleur  Ne pas sous estimer la rédaction des processus  CP / CPS pour la PKI  Processus de gestion  Ne pas sous estimer la séparation des pouvoirs  Demander un appuis de la direction www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  37. 37. Conclusion (2/2)  L’auditing est très important  Contrôle de la gestion des identités  Gestion de la fraude  La Biométrie est une technologie mature  Technologie PKI  Offre un noyau de sécurité pour le futur  Chiffrement, signature  Information Rights Management  Sécurité de la donnée  Un pas vers la convergence  Sécurité physique et logique www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  38. 38. La suite du projet: la convergence ? www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  39. 39. Quelques liens  MARET Consulting  http://maret-consulting.ch/  La Citadelle Electronique (mon blog)  http://sylvain-maret.blogspot.com/  Article banque et finance: Usurper une identité? Impossible avec la biométrie!  http://www.banque-finance.ch/numeros/88/59.pdf www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009
  40. 40. quot;Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numériquequot; www.maret-consulting.ch Conseil en technologies L'atelier du risque, de l'audit et de la sécurité / 27 mai 2009

×