1.
Biométrie et
sécurité de l’information
4/18/2014 1
Martin M Samson, CISM, CGEIT, CRISC

2.
 Parenthèse sur la sécurité de l’information
 La biométrie qu’est-ce que c’est?
 Différentes techniques biométriques
 Comment ça marche?
 Conclusion
Ordre du jour

3.
 La sécurité de l’information (SI) c’est quoi???
 La sécurité totale est-ce que ça existe?
 Une solution la gestion des risques!
Introduction

4.
Normes et bonnes pratiques

5.
Étape 1
D-I-C
CATEGORISER
l'information
• Lois, directives, politiques, orientation
• Objectifs stratégiques et d’affaires
• Exigences de sécurité de l’information
• Cadres de gestion d’entreprise et SI
• Architecture d’entreprise
• Mission / processus d'affaires
• Modèles de référence-Bonnes pratiques
• Architecture de la solution
• Limites du système d'information
GESTION DES
RISQUES DE
L’INFORMATION
Cycle de vie
Étape 2
SELECTION
Contrôles de
sécurité
Étape 5
AUTORISER
Systèmes
d'information
Étape 3
MISE EN
ŒUVRE
Contrôles de
sécurité
Étape 6
SURVEILLANCE
Contrôles de
sécurité
Étape 4
ÉVALUER
Contrôles de
sécurité
DÉROGATION
Source : NIST

6.
 Le risque est inévitable et il est présent dans
presque toutes les situations de la vie.
 Le risque pour une personne représente une
opportunité pour une autre.
Le risque…

7.
Dans l’organisation…
RISQUE STRATÉGIQUE
RISQUE TACTIQUE
ORGANISATION
PROCESSUS D’AFFAIRES / MISSION
SYSTÈMES D’INFORMATION
Source NIST
Communication
Amélioration continue
Conscience du risque à l’échelle de l’organisation
Traçabilité et transparence

8.
 Faire approuver les méthodologies d'évaluation de
risque par la haute direction
 Éviter de laisser une seule personne juger du
risque et de son ampleur
 Utiliser des méthodologies reconnues avec des
indicateurs les plus précis possible
 Avoir une bonne connaissance des exigences de
conformité légales et autres
 Gérer le risque résiduel
La gestion du risque…

9.
La gestion du risque…
Données
c’est ça!

10.
Jusqu’où aller dans la sécurité ?
10

11.
La SI…en équipe
11
Comité directeur en sécurité
CISO-DSI
Comité de gestion des risques d’entreprises
Responsable de la sécurité de l’information
Propriétaires

12.
12
CISO-DSI
Responsabilités du CISO-DSI :
• Établir et maintenir le SMSI
• Définir et gérer le plan de gestion/traitement des risques et le
plan de reprise
• Contrôle et audit du SMSI
Niveau d'autorité : Responsable/imputable de la mise en œuvre
et du maintien de la stratégie de sécurité de l'information.
La reddition de comptes (imputabilité) et l'approbation des
décisions importantes reliées à la sécurité de l’information.
Source COBIT

13.
13
Comité directeur/sécurité
• Regrouper les spécialistes qui permettront de
bien gérer la sécurité de l’information en
entreprise.
Exemples : RH-Auditeurs internes-Légal etc.
• Communication des bonnes pratiques de
sécurité de l’information de même que leur
implantation et suivi.
Source COBIT

14.
14
Comités de gestion des risques d’entreprises
• Responsable de certains processus ou
applications d’affaires.
• Responsable de communiquer les liens entre les
affaires et la sécurité (impacts sur les usagers).
• Connaissance des risques reliés à l’opération de
même que les coûts/bénéfices des besoins de
sécurité pour les directions.
Source COBIT

15.
15
Responsable de la sécurité de l’information
• Développe une vision commune pour l’équipe de
sécurité et le reste de l’entreprise.
• Gère le personnel relié à la sécurité de l’information
en fonction des besoins d’affaires.
• Effectue les évaluations de risque et définit les
profils de risque.
• Développe le plan de sécurité de l’information.
• Surveille les indicateurs de gestions reliés à la SI.
• Identifie/communique les besoins en sensibilisation.
• Responsable de l’adhésion des ressources et de la
haute direction aux bonnes pratiques de sécurité.
Source COBIT

16.
16
Propriétaires de processus /
responsables de la sécurité des données et des systèmes
• Communiquer, coordonner et conseiller
l’entreprise sur les efforts requis pour gérer les
risques avec les gestionnaires hiérarchiques.
• Rapporter les changement dans les besoins
d’affaires et les stratégies liés aux nouveaux
produits ou aux changements des produits
existants.
• Responsable de rendre plus visible les aspects
de sécurité de l’information au travers de toute
l’entreprise.
Source COBIT

17.
Éviter de…

18.
 Une série de méthodes automatisées
permettant de reconnaître une personne
 Le résultat doit être mesurable
 La biométrie fait partie de l’arsenal de
sécurité que les professionnels utilisent
pour sécuriser l’accès à l’information
 Ça demeure…
La Biométrie
Qu’est-ce que c’est?

19.
La Biométrie
Réflexion
Nous n’en sommes pas encore au point de pouvoir
prendre en photo des gens dans la rue au moyen de
notre téléphone intelligent, les identifier et avoir accès
à des renseignements à leur sujet. Toutefois, cette
réalité n’est peut-être pas si lointaine et on peut en
imaginer les répercussions sur nos interactions, nos
relations interpersonnelles et la façon dont nous vivons
notre vie. Entre autres choses, cela accentuera le
fossé économique et social entre ceux qui ont accès à
la technologie et les autres. Cela banalisera aussi le
recours à la surveillance et à la reconnaissance
faciale.
Source : Rapport de recherche de la CPVP mars 2013

20.
 Des premiers hommes, la reconnaissance
faciale
 Google Picasa (prochaine diapo…)
 Les systèmes de reconnaissance faciale
dans les aéroports
 Lecture biométrique aux guichets
 Votre Galaxy S-IV reconnait votre visage
Exemples
 Votre Galaxy S-… va lire votre IRIS!

21.
Picasa

22.
 Augmenter le nombre de facteurs d’authentification
 Ce que je sais
 Identifiant/Mot de passe/NIP
 Ce que je possède
 Jeton/carte d’authentification
 Ce que je suis
 Biométrie
La biométrie une sécurisation…
supplémentaire

23.
 Caractéristiques mesurées
 Deux types de mesures biométriques
 Biologiques/morphologiques
 Comportementales
 Comme le niveau des failles de sécurité et
les fraudes transactionnelles sont en
hausse, le besoin en identification plus
robuste/sécuritaire devient une nécessité
 Les technologies biométriques sont en
voie de devenir le fondement d'une
gestion d'identité mieux sécurisée.
La Biométrie
Qu’est-ce que c’est?

24.
1. Unicité : l’attribut biométrique doit varier suffisamment
d'une personne à une autre tel que les variations
rendent l’attribut unique
2. Robustesse: un attribut biométrique devrait être
permanent tout au long de la vie d'une personne
3. Quantifiable : mesurable avec une certaine précision
4. Acceptable par la population : les empreintes digitales
ont souvent été associées à la criminalité
5. Universelle : la majeure partie de la population
possède l’attribut mesuré (empreintes digitales).
La Biométrie
Qu’est-ce que c’est?
Caractéristiques

25.
Quelques modes de reconnaissance
Visage Iris Rétine Empreinte digitale
OreilleADNTouches de clavier Démarche
Source : Pentest Magazine

26.
Géométrie de la main
 Une caméra mesure la taille et la forme
de la main
 Méthode biométrique facile à utiliser
 Méthode qui a fait ses preuves dans des
applications à volume élevé
 Faible taux d’enregistrement échoué,
environ 1 sur 10,000
 La grande taille des lecteurs peut être un
désavantage
 La forme de la main est moins stable dans
le temps que les empreintes digitales.

27.
 Une photo 3D de la main est prise.
 Une analyse de 31,000 points est effectuée
– aucune empreinte.
 Une mesure de plus de 90 points distincts
est effectuée
 Longueur
 Largeur
 Épaisseur
 Surface
Qu’est-ce qui est mesuré?
 Le NIP de l’usager est toujours requis.

28.
Les techniques
 Intrusif : décrit dans quelle mesure l'utilisateur
perçoit le test comme intrusif
 Distinctif : efficacité de la méthode (capacité à
identifier quelqu'un)
 Coût : coût de la technologie
 Effort : effort requis par l'utilisateur lors de la
mesure.

29.
Comparaison des différentes techniques biométriques
Intrusif Distinctif Coût Effort
Biométrie
« idéale » Empreinte
palmaire
Analyse de
signature
Empreinte
digitale
Empreinte
vocale
Reconnaissance
de l’iris
Analyse de la rétine
Reconnaissance
faciale
Dynamique des
frappes au
clavier
Source : International biometric group
Géométrie de la main
ADN

30.
Empreintes digitales

31.
Reconnaissance faciale
Image-source : www.luxand.com
 Calculs basés sur des algorithmes pour
détecter et suivre les traits du visage
 Coordonnées de plusieurs
caractéristiques du visage
 Yeux
 Contour des yeux
 Sourcils
 Contour des lèvres
 Bout du nez

32.
Reconnaissance faciale

33.
Reconnaissance de l’iris

34.
 Gestion et stockage des renseignements
personnels…
 Être retracé sans que nous le sachions…
 Fiabilité des méthodes de mesure
 Aucune mesure n’est totalement exacte…
 Risque de rejet par l’équipement
 Risque de fausse acceptation par l’équipement
 La méthode a des risques d’être attaquée
 Une fois que vos données personnelles
sont compromises…
Risques…

35.
 Contrefaçon d’empreintes
La biométrie
Comment l’attaquer?
 Copie de l’iris
 Empreinte vocale contrefaite
 …

36.
D. brutes Gabarit
La biométrie : Comment ça marche?
CollecteDonnées ComparaisonExtraction
R
é
s.
Entrepôt de
gabarits
Vecteurs d’attaque
Méthode Zamboni
1
6
2
3
4
5 8
7

37.
En conclusion, la biométrie doit être vue comme un
complément aux autres méthodes d’authentification et
non un remplacement des méthodes existantes.
Biométrie
Conclusion
Gérer les
risques…

38.
QUESTIONS ?
Contact : martin.samson@nurun.com 418 627-0999 poste 55395