1.
Sylvain Maret / Security Architect @ MARET Consulting<br />10 novembre 2009<br />Protection des données avec la biométrie Match-on-Card<br />MARET Consulting 2009<br />

2.
Agenda du Webcast « StrongAuthenticationSummit »<br />Identité numérique et authentification forte<br />Authentification forte ?<br />Technologie d’authentification forte<br />Biométrie et Match on Card<br />Certificat numérique / PKI<br />Applications pour la technologie Match on Card<br />Illustration avec un projet dans le monde bancaire<br />Tendances<br />

3.
Qui suis-je ?<br />Architecte Sécurité<br />15 ans d’expérience en Sécurité des Systèmes d’Information<br />CEO et Founder MARET Consulting<br />Expert école ingénieur Yverdon & Université de Genève<br />Swiss French Area delegate at OpenID Switzerland<br />Auteur Blog: la Citadelle Electronique<br />Domaine de prédilection<br />Digital Identity Security<br />

4.
Protection de l’identité numérique: un sujet d’actualité ….<br />Identification <br />

5.
Pourquoi l’authentification forte ?<br />Keylogger (hard and Soft)<br />Malware<br />Man in the Middle<br />Browser in the Midle<br />Password Sniffer<br />Social Engineering<br />Phishing / Pharming<br />Le nombre de vol d’identités explose !<br />

6.
Un événement majeur dans le monde de l’authentification forte<br />12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive<br />« Single Factor Authentication » n’est pas suffisant pour les applications Web financière<br />Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte<br />http://www.ffiec.gov/press/pr101205.htm<br />Et la norme PCI DSS<br />Authentification forte obligatoire pour les accès distants<br />Et maintenant des régulations Européennes<br />Services de Paiement (2007/64/CE) pour les banques.<br />

7.
Identification et authentification ?<br />Identification<br />Qui êtes vous ?<br />Authentification<br />Prouvez le !<br />

8.
Définition authentification forte<br />Authentification Forte sur Wikipédia<br />

9.
Pascal Thoniel NTX Research: « L&apos;identité numérique est la pierre angulaire de la confiance »<br />Plus d’information sur le sujet<br />

10.
Biométrie etMatch on Card<br />

11.
Quelle technologie d’authentification forte ?<br />

12.
*<br />* Biométrie type Fingerprinting<br />

13.
Une technologie en pleine mouvance<br />Entreprises<br />eBanking<br />VPN<br />Web Applications<br />Mobilité<br />GED<br />Projet PIV FIPS-201<br />SAML<br />Grand public<br />Réseaux sociaux<br />Google docs<br />etc.<br />

14.
Quelle technologie biométrique pour l’IT ?<br />

15.
Biométrie= Authentification forte ?<br />La réponse est clairement non<br />Nécessite un deuxième facteur<br />Problème de sécurité (usurpation)<br />Uniquement un confort à l’utilisateur<br />Plus d’information l’usurpation<br />Etude Yokohama University<br />

16.
Technologie Match on Card: votre PIN Code est votre doigt<br />

17.
Exemple de technologie Match on Card pour l’IT<br />Un lecteur<br />Biométrie<br />SmartCard<br />Une carte à puce<br />Technologie MOC<br />Crypto processeur<br />PC/SC<br />PKCS#11<br />Certificat numérique X509<br />

18.
Stockage des données ?<br /> Sur un support externe<br />Meilleure sécurité<br />Mode « offline »<br />MOC = Match On card<br /> Par serveur d’authentification<br />Problème de sécurité<br />Problème de confidentialité<br />Problème de disponibilité<br />Loi fédérale du 19 juin 1992 <br />sur la <br />protection des données (LPD)<br />

19.
Exemple d’utilisation de la technologie Match on Card<br />Smart Card Logon de Microsoft<br />PK-Init<br />Applications Web très sensibles<br />GED<br />eBanking<br />Chiffrement des données<br />Laptop<br />Chiffrement des share<br />Solution Web SSO<br />SAML<br />Citrix<br />Remoteacces<br />VPN SSL<br />VPN IPSEC<br />Etc.<br />

20.
Sécurité mobilité avec la technologie MOC<br />Authentification forte biométrique <br />Lecteur de type « swipe »<br />Applications<br />Smart Card Logon<br />VPN (SSL, IPSEC)<br />Citrix<br />Certificat X509 machine<br />Utilisation TPM<br />Authentification de la machine<br />Pre Boot Authentication<br />Full DiskEncryption<br />

21.
Authentification d’un utilisateur avec PKINIT (Smart Card Logon)<br />Schéma de Philippe Logean<br />e-XpertSolutions SA<br />

22.
Retour d’expérience <br />dans le monde<br />bancaire<br />

23.
Le projet de gestion électronique des documents<br />Mise en place d’une solution de GED<br />Accès à des informations très sensibles<br />Classification de l’information: Secret<br />Chiffrement des données<br />Contrôle des accès<br />Projet pour une banque privée<br />Début du projet: 2005<br />Population concernée<br />500 personnes (Phase I)<br />A termes: 3000 personnes (Phase II)<br />

24.
(Classification Data: Secret)<br />Mise en place d’une technologie permettant d’identifier de façon forte <br />– via un mécanisme de preuve irréfutable – <br />les utilisateurs accédant au système d’information de la banque<br />Qui accède à quoi, quand et comment !<br />

25.
Les contraintes techniques du projet d’authentification forte<br />Obligatoires<br />Intégration avec les applications existantes<br />Web<br />Microsoft Smart Card Logon<br />Laptop<br />Séparation des rôles<br />Quatre yeux<br />Signature numérique<br />Auditing, Preuve<br />Gestion des preuves<br />souhaitées<br />Intégration avec sécurité des bâtiments<br />Chiffrement des données<br />Postes nomades<br />Applications futures<br />Réseau et systèmes<br />Authentification forte<br />

26.
Gestion des accès<br />Gestion des identités<br />Lien: cn<br />PHASE 1<br />Authentification<br />forte<br />PHASE 2<br />Autorisation<br />Concept de base: un lien unique<br />

27.
Composants de l’architecture technique<br />Mise en place d’une PKI « intra muros »<br />Non Microsoft (Séparation des pouvoirs)<br />Mise en place de la révocation Online<br />Protocole OCSP<br />Utilisation d’un Hardware Security Module<br />Sécurisation de l’architecture PKI<br />OS « Hardening »<br />Firewall interne<br />IDS<br />

28.
Concept pour la sécurisation de l’application GED<br />

29.
La mire d’authentification biométrique<br />

30.
Processus<br />Humain<br />Processus Humain<br />

31.
Le maillon faible ? Plus important que la technique…<br />Définition des rôles<br />Tâches et responsabilités<br />Objectif: séparation des pouvoirs<br />Quatre yeux<br />Mise en place des processus pour la gestion des identités<br />Mise en place des procédures d’exploitation<br />

32.
Mise en place des processus<br />Processus pour le team gestion des identités<br />Enrôlement des utilisateurs<br />Révocation<br />Gestion des incidents<br />Perte, vol, oublie de la carte<br />Renouvellement<br />Processus pour le Help Desk<br />Processus pour les Auditeurs<br />Processus pour le RSSI<br />Et les procédures d’exploitation !<br />

33.
Le résultat<br />Une série de documents pour la banque<br />Procédures d’exploitation<br />Description des processus<br />Charte d’utilisation<br />Définition des rôles et responsabilités<br />CP /CPS pour la PKI « in house »<br />

34.
Formation<br />

35.
Un élément très important !<br />Formation du team gestion des identités<br />Formation des utilisateurs<br />Formation Help Desk<br />Formation aux technologies<br />PKI<br />Biométrie<br />

36.
Retour<br />d’expérience ?<br />

37.
Conclusion du projet<br />La technique est un aspect mineur pour la réussite d’un projet de cette ampleur<br />Ne pas sous estimer la partie organisationnelle<br />CP / CPS pour la PKI<br />Processus de gestion<br />Demander un appuis de la direction<br />La Biométrie est une technologie mature<br />Technologie PKI<br />Offre un noyau de sécurité pour le futur<br />Chiffrement, signature<br />Information Rights Management<br />Sécurité de la donnée<br />Un pas vers la convergence<br />Sécurité physique et logique<br />

38.
Tendance Biométrie Match on Card<br />Le projet PIV Fips-201 est un moteur !<br />Convergence<br />Sécurité physique et Sécurité logique<br />Capteur Biométrique pour les portables<br />UPEK (Solution FIPS-201)<br />Nouvelles technologies biométrique<br />Full DiskEncryption (Laptop)<br />Support de la technologie Match on Card<br />McAfee EndpointEncryption™ (formerlySafeBoot® Encryption)<br />Win MagicSecureDocDiskEncryption<br />

39.
Une technologie très prometteuse: Vascular Pattern Recognition <br />By SONY<br />

40.
A quand la convergence ?<br />Une convergence difficile ! Sécurité physique et sécurité logique<br />

41.
Merci pour votre présence sur ce Webcast<br />Pour plus d’information<br />sylvain@maret-consulting.ch<br />http://www.maret-consulting.ch<br />Vos feedback sont les bienvenues<br />Merci à Bright Talk de m’avoir invité<br />Plus particulièrement à Sophie Lam / Marketing Program Manager EMEA<br />

42.
Quelques liens pour aller approfondir le sujet<br />MARET Consulting<br />http://maret-consulting.ch/<br />La Citadelle Electronique (le blog sur les identités numériques)<br />http://www.citadelle-electronique.net/<br />Article banque et finance: <br />Usurper une identité? Impossible avec la biométrie!<br />http://www.banque-finance.ch/numeros/88/59.pdf<br />Biométrie et Mobilité<br />http://www.banque-finance.ch/numeros/97/62.pdf<br />Présentation public<br />OSSIR Paris 2009: Retour d&apos;expérience sur le déploiement de biométrie à grande échelle<br />http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf<br />ISACA, Clusis: Accès à l’information : Rôles et responsabilités<br />http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de28099authentification-forte.pdf<br />

43.
&quot;Le conseil et l&apos;expertise pour le choix et la mise<br />en oeuvre des technologies innovantesdans la sécurité<br />des systèmesd&apos;information et de l&apos;identiténumérique&quot;<br />