Sylvain Maret / Security Architect  @ MARET Consulting<br />10 novembre 2009<br />Protection des données avec la biométrie...
Agenda du Webcast « StrongAuthenticationSummit »<br />Identité numérique et authentification forte<br />Authentification f...
Qui suis-je ?<br />Architecte Sécurité<br />15 ans d’expérience en Sécurité des Systèmes d’Information<br />CEO et Founder...
Protection de l’identité numérique: un sujet d’actualité ….<br />Identification <br />
Pourquoi l’authentification forte ?<br />Keylogger (hard and Soft)<br />Malware<br />Man in the Middle<br />Browser in the...
Un événement majeur dans le monde de l’authentification forte<br />12 octobre 2005: le  Federal Financial Institutions Exa...
Identification et authentification ?<br />Identification<br />Qui êtes vous ?<br />Authentification<br />Prouvez le !<br />
Définition authentification forte<br />Authentification Forte sur Wikipédia<br />
Pascal Thoniel NTX Research: « L&apos;identité numérique est la pierre angulaire de la confiance »<br />Plus d’information...
Biométrie etMatch on Card<br />
Quelle technologie d’authentification forte ?<br />
*<br />* Biométrie type Fingerprinting<br />
Une technologie en pleine mouvance<br />Entreprises<br />eBanking<br />VPN<br />Web Applications<br />Mobilité<br />GED<br...
Quelle technologie biométrique pour l’IT ?<br />
Biométrie= Authentification forte ?<br />La réponse est clairement non<br />Nécessite un deuxième facteur<br />Problème de...
Technologie Match on Card: votre PIN Code est votre doigt<br />
Exemple de technologie Match on Card pour l’IT<br />Un lecteur<br />Biométrie<br />SmartCard<br />Une carte à puce<br />Te...
Stockage des données ?<br /> Sur un support externe<br />Meilleure sécurité<br />Mode « offline »<br />MOC = Match On card...
Exemple d’utilisation de la technologie Match on Card<br />Smart Card Logon de Microsoft<br />PK-Init<br />Applications We...
Sécurité mobilité avec la technologie MOC<br />Authentification forte biométrique <br />Lecteur de type « swipe »<br />App...
           Authentification d’un utilisateur avec PKINIT (Smart Card Logon)<br />Schéma de Philippe Logean<br />e-XpertSol...
Retour d’expérience <br />dans le monde<br />bancaire<br />
Le projet de gestion électronique des documents<br />Mise en place d’une solution de GED<br />Accès à des informations trè...
(Classification Data: Secret)<br />Mise en place d’une technologie permettant d’identifier de façon forte <br />– via un m...
Les contraintes techniques du projet d’authentification forte<br />Obligatoires<br />Intégration avec les applications exi...
Gestion des accès<br />Gestion des identités<br />Lien: cn<br />PHASE 1<br />Authentification<br />forte<br />PHASE 2<br /...
Composants de l’architecture technique<br />Mise en place d’une PKI « intra muros »<br />Non Microsoft (Séparation des pou...
Concept pour la sécurisation de l’application GED<br />
La mire d’authentification biométrique<br />
Processus<br />Humain<br />Processus Humain<br />
Le maillon faible ? Plus important que la technique…<br />Définition des rôles<br />Tâches et responsabilités<br />Objecti...
Mise en place des processus<br />Processus pour le team gestion des identités<br />Enrôlement des utilisateurs<br />Révoca...
Le résultat<br />Une série de documents pour la banque<br />Procédures d’exploitation<br />Description des processus<br />...
Formation<br />
Un élément très important !<br />Formation du team gestion des identités<br />Formation des utilisateurs<br />Formation He...
Retour<br />d’expérience ?<br />
Conclusion du projet<br />La technique est un aspect mineur pour la réussite d’un projet de cette ampleur<br />Ne pas sous...
Tendance Biométrie Match on Card<br />Le projet PIV Fips-201 est un moteur !<br />Convergence<br />Sécurité physique et Sé...
Une technologie très prometteuse: Vascular Pattern Recognition <br />By SONY<br />
A quand la convergence ?<br />Une convergence difficile ! Sécurité physique et sécurité logique<br />
Merci pour votre présence sur ce Webcast<br />Pour plus d’information<br />sylvain@maret-consulting.ch<br />http://www.mar...
Quelques liens pour aller approfondir le sujet<br />MARET Consulting<br />http://maret-consulting.ch/<br />La Citadelle El...
&quot;Le conseil et l&apos;expertise pour le choix et la mise<br />en oeuvre des technologies innovantesdans la sécurité<b...
Upcoming SlideShare
Loading in …5
×

Protection Des Données avec la Biométrie Match On Card

2,615 views

Published on

Un Webcast sur l'utilisation de la technologie Biométrique Match on Card pour la protection des données.

PKI, Smart Card Logon, FDE, Web Application

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,615
On SlideShare
0
From Embeds
0
Number of Embeds
26
Actions
Shares
0
Downloads
111
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Protection Des Données avec la Biométrie Match On Card

  1. 1. Sylvain Maret / Security Architect @ MARET Consulting<br />10 novembre 2009<br />Protection des données avec la biométrie Match-on-Card<br />MARET Consulting 2009<br />
  2. 2. Agenda du Webcast « StrongAuthenticationSummit »<br />Identité numérique et authentification forte<br />Authentification forte ?<br />Technologie d’authentification forte<br />Biométrie et Match on Card<br />Certificat numérique / PKI<br />Applications pour la technologie Match on Card<br />Illustration avec un projet dans le monde bancaire<br />Tendances<br />
  3. 3. Qui suis-je ?<br />Architecte Sécurité<br />15 ans d’expérience en Sécurité des Systèmes d’Information<br />CEO et Founder MARET Consulting<br />Expert école ingénieur Yverdon & Université de Genève<br />Swiss French Area delegate at OpenID Switzerland<br />Auteur Blog: la Citadelle Electronique<br />Domaine de prédilection<br />Digital Identity Security<br />
  4. 4. Protection de l’identité numérique: un sujet d’actualité ….<br />Identification <br />
  5. 5. Pourquoi l’authentification forte ?<br />Keylogger (hard and Soft)<br />Malware<br />Man in the Middle<br />Browser in the Midle<br />Password Sniffer<br />Social Engineering<br />Phishing / Pharming<br />Le nombre de vol d’identités explose !<br />
  6. 6. Un événement majeur dans le monde de l’authentification forte<br />12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive<br />« Single Factor Authentication » n’est pas suffisant pour les applications Web financière<br />Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte<br />http://www.ffiec.gov/press/pr101205.htm<br />Et la norme PCI DSS<br />Authentification forte obligatoire pour les accès distants<br />Et maintenant des régulations Européennes<br />Services de Paiement (2007/64/CE) pour les banques.<br />
  7. 7. Identification et authentification ?<br />Identification<br />Qui êtes vous ?<br />Authentification<br />Prouvez le !<br />
  8. 8. Définition authentification forte<br />Authentification Forte sur Wikipédia<br />
  9. 9. Pascal Thoniel NTX Research: « L&apos;identité numérique est la pierre angulaire de la confiance »<br />Plus d’information sur le sujet<br />
  10. 10. Biométrie etMatch on Card<br />
  11. 11. Quelle technologie d’authentification forte ?<br />
  12. 12. *<br />* Biométrie type Fingerprinting<br />
  13. 13. Une technologie en pleine mouvance<br />Entreprises<br />eBanking<br />VPN<br />Web Applications<br />Mobilité<br />GED<br />Projet PIV FIPS-201<br />SAML<br />Grand public<br />Réseaux sociaux<br />Google docs<br />etc.<br />
  14. 14. Quelle technologie biométrique pour l’IT ?<br />
  15. 15. Biométrie= Authentification forte ?<br />La réponse est clairement non<br />Nécessite un deuxième facteur<br />Problème de sécurité (usurpation)<br />Uniquement un confort à l’utilisateur<br />Plus d’information l’usurpation<br />Etude Yokohama University<br />
  16. 16. Technologie Match on Card: votre PIN Code est votre doigt<br />
  17. 17. Exemple de technologie Match on Card pour l’IT<br />Un lecteur<br />Biométrie<br />SmartCard<br />Une carte à puce<br />Technologie MOC<br />Crypto processeur<br />PC/SC<br />PKCS#11<br />Certificat numérique X509<br />
  18. 18. Stockage des données ?<br /> Sur un support externe<br />Meilleure sécurité<br />Mode « offline »<br />MOC = Match On card<br /> Par serveur d’authentification<br />Problème de sécurité<br />Problème de confidentialité<br />Problème de disponibilité<br />Loi fédérale du 19 juin 1992 <br />sur la <br />protection des données (LPD)<br />
  19. 19. Exemple d’utilisation de la technologie Match on Card<br />Smart Card Logon de Microsoft<br />PK-Init<br />Applications Web très sensibles<br />GED<br />eBanking<br />Chiffrement des données<br />Laptop<br />Chiffrement des share<br />Solution Web SSO<br />SAML<br />Citrix<br />Remoteacces<br />VPN SSL<br />VPN IPSEC<br />Etc.<br />
  20. 20. Sécurité mobilité avec la technologie MOC<br />Authentification forte biométrique <br />Lecteur de type « swipe »<br />Applications<br />Smart Card Logon<br />VPN (SSL, IPSEC)<br />Citrix<br />Certificat X509 machine<br />Utilisation TPM<br />Authentification de la machine<br />Pre Boot Authentication<br />Full DiskEncryption<br />
  21. 21. Authentification d’un utilisateur avec PKINIT (Smart Card Logon)<br />Schéma de Philippe Logean<br />e-XpertSolutions SA<br />
  22. 22. Retour d’expérience <br />dans le monde<br />bancaire<br />
  23. 23. Le projet de gestion électronique des documents<br />Mise en place d’une solution de GED<br />Accès à des informations très sensibles<br />Classification de l’information: Secret<br />Chiffrement des données<br />Contrôle des accès<br />Projet pour une banque privée<br />Début du projet: 2005<br />Population concernée<br />500 personnes (Phase I)<br />A termes: 3000 personnes (Phase II)<br />
  24. 24. (Classification Data: Secret)<br />Mise en place d’une technologie permettant d’identifier de façon forte <br />– via un mécanisme de preuve irréfutable – <br />les utilisateurs accédant au système d’information de la banque<br />Qui accède à quoi, quand et comment !<br />
  25. 25. Les contraintes techniques du projet d’authentification forte<br />Obligatoires<br />Intégration avec les applications existantes<br />Web<br />Microsoft Smart Card Logon<br />Laptop<br />Séparation des rôles<br />Quatre yeux<br />Signature numérique<br />Auditing, Preuve<br />Gestion des preuves<br />souhaitées<br />Intégration avec sécurité des bâtiments<br />Chiffrement des données<br />Postes nomades<br />Applications futures<br />Réseau et systèmes<br />Authentification forte<br />
  26. 26. Gestion des accès<br />Gestion des identités<br />Lien: cn<br />PHASE 1<br />Authentification<br />forte<br />PHASE 2<br />Autorisation<br />Concept de base: un lien unique<br />
  27. 27. Composants de l’architecture technique<br />Mise en place d’une PKI « intra muros »<br />Non Microsoft (Séparation des pouvoirs)<br />Mise en place de la révocation Online<br />Protocole OCSP<br />Utilisation d’un Hardware Security Module<br />Sécurisation de l’architecture PKI<br />OS « Hardening »<br />Firewall interne<br />IDS<br />
  28. 28. Concept pour la sécurisation de l’application GED<br />
  29. 29. La mire d’authentification biométrique<br />
  30. 30. Processus<br />Humain<br />Processus Humain<br />
  31. 31. Le maillon faible ? Plus important que la technique…<br />Définition des rôles<br />Tâches et responsabilités<br />Objectif: séparation des pouvoirs<br />Quatre yeux<br />Mise en place des processus pour la gestion des identités<br />Mise en place des procédures d’exploitation<br />
  32. 32. Mise en place des processus<br />Processus pour le team gestion des identités<br />Enrôlement des utilisateurs<br />Révocation<br />Gestion des incidents<br />Perte, vol, oublie de la carte<br />Renouvellement<br />Processus pour le Help Desk<br />Processus pour les Auditeurs<br />Processus pour le RSSI<br />Et les procédures d’exploitation !<br />
  33. 33. Le résultat<br />Une série de documents pour la banque<br />Procédures d’exploitation<br />Description des processus<br />Charte d’utilisation<br />Définition des rôles et responsabilités<br />CP /CPS pour la PKI « in house »<br />
  34. 34. Formation<br />
  35. 35. Un élément très important !<br />Formation du team gestion des identités<br />Formation des utilisateurs<br />Formation Help Desk<br />Formation aux technologies<br />PKI<br />Biométrie<br />
  36. 36. Retour<br />d’expérience ?<br />
  37. 37. Conclusion du projet<br />La technique est un aspect mineur pour la réussite d’un projet de cette ampleur<br />Ne pas sous estimer la partie organisationnelle<br />CP / CPS pour la PKI<br />Processus de gestion<br />Demander un appuis de la direction<br />La Biométrie est une technologie mature<br />Technologie PKI<br />Offre un noyau de sécurité pour le futur<br />Chiffrement, signature<br />Information Rights Management<br />Sécurité de la donnée<br />Un pas vers la convergence<br />Sécurité physique et logique<br />
  38. 38. Tendance Biométrie Match on Card<br />Le projet PIV Fips-201 est un moteur !<br />Convergence<br />Sécurité physique et Sécurité logique<br />Capteur Biométrique pour les portables<br />UPEK (Solution FIPS-201)<br />Nouvelles technologies biométrique<br />Full DiskEncryption (Laptop)<br />Support de la technologie Match on Card<br />McAfee EndpointEncryption™ (formerlySafeBoot® Encryption)<br />Win MagicSecureDocDiskEncryption<br />
  39. 39. Une technologie très prometteuse: Vascular Pattern Recognition <br />By SONY<br />
  40. 40. A quand la convergence ?<br />Une convergence difficile ! Sécurité physique et sécurité logique<br />
  41. 41. Merci pour votre présence sur ce Webcast<br />Pour plus d’information<br />sylvain@maret-consulting.ch<br />http://www.maret-consulting.ch<br />Vos feedback sont les bienvenues<br />Merci à Bright Talk de m’avoir invité<br />Plus particulièrement à Sophie Lam / Marketing Program Manager EMEA<br />
  42. 42. Quelques liens pour aller approfondir le sujet<br />MARET Consulting<br />http://maret-consulting.ch/<br />La Citadelle Electronique (le blog sur les identités numériques)<br />http://www.citadelle-electronique.net/<br />Article banque et finance: <br />Usurper une identité? Impossible avec la biométrie!<br />http://www.banque-finance.ch/numeros/88/59.pdf<br />Biométrie et Mobilité<br />http://www.banque-finance.ch/numeros/97/62.pdf<br />Présentation public<br />OSSIR Paris 2009: Retour d&apos;expérience sur le déploiement de biométrie à grande échelle<br />http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf<br />ISACA, Clusis: Accès à l’information : Rôles et responsabilités<br />http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de28099authentification-forte.pdf<br />
  43. 43. &quot;Le conseil et l&apos;expertise pour le choix et la mise<br />en oeuvre des technologies innovantesdans la sécurité<br />des systèmesd&apos;information et de l&apos;identiténumérique&quot;<br />

×