Les Auteurs. Paul de Kervasdoué. Jérôme Soufflot. Ce document a été réalisé par la commission Identification-Authentification de Fedisa, composée de :

Dimension: px
Commencer à balayer dès la page:

Download "Les Auteurs. Paul de Kervasdoué. Jérôme Soufflot. Ce document a été réalisé par la commission Identification-Authentification de Fedisa, composée de :"

Transcription

1

2 Les Auteurs Ce document a été réalisé par la commission Identification-Authentification de Fedisa, composée de : Jean-Marie Giraudon Paul de Kervasdoué Françis Kuhn Philippe Landeau Michel Paillet Philippe Rosé Jérôme Soufflot Thibault de Valroger Xavier Vignal Keynectis Aquis Sictiam Orange Business Services GIP CPS Best Practices International Gemalto Keynectis Groupe STS 2

3 Sommaire I - Les enjeux de la protection des identités numériques p.5 A. Sécurité et ruptures technologiques p.5 B. L explosion des identités numériques p.6 a) Le contexte p.6 b) Les besoins p.6 c) Le marché p.9 d) La chaîne de valeur de l identité électronique p.10 II - Les stratégies clés d identification/ authentification p.11 A. Le contrôle d accès physique p.11 a) Qu est-ce que le contrôle d accès? p.11 b) Les objectifs d un bon système de contrôle d accès p.11 c) Les composantes d un système de contrôle d accès p.12 d) Mettre en place un contrôle d accès physique p.12 B. Contrôles d accès logiques Mots de passe p.13 a) Contexte p.13 b) Les enjeux p.14 c) Le processus d intrusion p.14 d) La construction des mots de passe p.15 1) Les caractéristiques d un mot de passe 2) La longueur des mots de passe 3) Les critères de choix des mots de passe e) Le SSO (Single sign on) p.18 C. Cartes à puces et tokens USB p.18 a) Le contexte p.18 b) La carte à puce p.20 c) L intégration dans la politique de l entreprise p.21 1) La gestion des identités 2) Le contrôle des accès 3) L authentification des utilisateurs 4) Convergence des systèmes d accès 5) Gestion des cartes et cycle de vie 6) Les fonctions du Card Management System (CMS) 7) Cartes et usages Multi applicatifs 8) Simplification du déploiement 9) Mobilité et sécurité 10) Régulation (exemple pour la santé) d) Recommandations p.25 D. La biométrie p.26 a) Les promesses de la biométrie p.26 b) Contexte p.27 c) Le marché p.27 d) Les applications de la biométrie p.28 e) les enjeux p.28 f) Déploiement de la biométrie p.28 g) Infrastructure et démocratisation p.29 h) Biométrie et Vie privée p.29 i) La biométrie et carte à puce? p.29 j) Les nouvelles applications et usages p.29 1) Contrôle d'accès physiques aux locaux 2) Contrôle d'accès logiques 3) Equipements de communication 4) Machines & Equipements divers k) Biométrie et aspects économiques p.30 3

4 E. Rôle du tiers de confiance en matière de contrôle d accès p.31 a) Contexte p.31 1) Qu est ce qu un service de certification électronique? 2) Les 5 piliers pour établir une relation de confiance 3) Infrastructure de Confiance : comment et pourquoi? 4) Les acteurs de la Certification Electronique b) Enjeux p.32 1) Quelles applications du certificat électronique? 2) La dématérialisation F. Exemples parlants en matière d identification forte, d authentification et de CA p.33 a) La messagerie sécurisée p.33 1) Qu'est-ce qu'une messagerie sécurisée? 2) Qu apporte une messagerie sécurisée? 3) Le Chiffrement * Un peu d histoire * La cryptographie symétrique * Le cryptage asymétrique b) La signature p.34 c) Les Annuaires LDAP p.35 1) Les caractéristiques principales d un annuaire 2) La différence entre un annuaire et une base de données 3) Historique du LDAP 4) Présentation de LDAP * Le protocole LDAP * Consultation des données en LDAP * Le format d'échange de données LDIF * Evolutions possibles du protocole LDAP III Perspectives juridiques p.38 A. Quelques définitions p.38 a) Identifiant p.38 b) Authentifiant p.38 c) Authentification p.38 B. Les niveaux de confiance de l authentification p.38 a) Aucune authentification p.38 b) Authentification de niveau bas p.38 c) Authentification de niveau moyen p.38 d) Authentification de niveau élevé p.38 C. Les textes en vigueur p.38 D. Principes juridiques directeurs impactant l archivage électronique sécurisé dans la sphère privée p.39 E. Principes juridiques directeurs impactant l archivage électronique sécurisé dans la sphère publique p.40 IV - Optimisation des Coûts et ROI p.41 A. Le contexte p.41 B. Les enjeux p.41 a) Etude a priori : analyse de risque Méthode des scénarios et méthode PISE p.41 1) Méthode des Scénarii de risque 2) Profil de l attaquant b) Etude a posteriori p.42 C. Recommandations p.43 V Prospective en matière de contrôle d accès p.44 A. Le contexte p.44 B. Les enjeux p.49 C. Recommandations p.53 D. Lexique p.54 4

5 I - Les enjeux de la protection des identités numériques A. Sécurité et ruptures technologiques Quatre tendances de fond, qui correspondent à des évolutions technologiques historiques majeures, montrent que la sécurité des accès aux systèmes d information doit être considérée comme stratégique. La première concerne la décentralisation des systèmes d information. Autant, dans les années 1960 et 1970, aux premiers temps de l informatique, le dirigeant d entreprise pouvait avoir l esprit relativement tranquille car son système d information était enfoui dans un centre informatique très centralisé, donc bien contrôlé, autant, dans les années 1980 et, plus encore, par la suite, le degré de tranquillité du dirigeant d entreprise s est effrité. Pourquoi? D abord parce qu est arrivée la microinformatique avec, pour corollaire, une intervention de l utilisateur final sur le système d information. On conçoit que ce contexte a constitué une profonde rupture vis-à-vis de la problématique de l informatique centralisée, avec des systèmes contrôlés par des «spécialistes» (informaticiens). Lorsque les postes de travail ont commencé à être connectés en réseau, le degré de sérénité des dirigeants d entreprises et des responsables informatiques a connu une nouvelle décrue. Seconde tendance majeure : l interconnexion de ces réseaux. Non seulement les postes de travail sont connectés au sein d une entreprise, mais les réseaux d entreprises sont devenus interconnectés, dans un premier temps avec des réseaux contrôlés par les opérateurs de télécommunications et reposant sur des technologies relativement fiables (par exemple X25). On parle d entreprise étendue, et cela correspond à une nébuleuse qui fait intervenir le système d information de l entreprise, mais également celui des sous-traitants, des fournisseurs, des clients, des administrations, voire des concurrents (par exemple dans le cas de coentreprise) : la problématique d authentificationidentification devient encore plus stratégique car multidimensionnelle. La troisième tendance de fond constitue le prolongement de la précédente et se résume à un mot : Internet. Non seulement les postes de travail de l entreprises sont interconnectés ; non seulement ils le sont avec ceux d autres entreprises et de tiers ; mais ils le sont sur des technologies ouvertes, certes standardisées mais fragiles, d autant que cela a correspondu avec une homogénéisation des systèmes d information autour de progiciels applicatifs standards (les ERP, la bureautique), d outils d administration eux aussi standards et de logiciels utilitaires non moins standards. Enfin, la quatrième tendance majeure concerne la nature de l information. Celle-ci devient de plus en plus ouverte, volontairement ou involontairement. Volontairement lorsque l entreprise choisit (par exemple sur un site Web) de diffuser des données qui, historiquement, restaient dans l entreprise. Involontairement lorsque les informations sont relayées, voire déformées, au fil de leur cheminement dans les réseaux. Ces tendances lourdes ont trois conséquences dans le domaine de la sécurité. D abord, la sécurité, d une approche technique, devient un enjeu de management. Autrement dit, les responsables sécurité, lorsqu ils existent, doivent se doter de compétences dans ce domaine, par exemple pour s assurer que l installation de technologies de sécurité s effectue dans un cadre organisationnel qui permettra une efficacité optimale. Ensuite, d une problématique de direction de systèmes d information, la sécurité remonte et devient une exigence de stratégie d entreprise, de gouvernance diraient les anglo-saxons, voire de gouvernement, tant la sécurité devient aussi une préoccupation des pouvoirs publics. Enfin, si la préoccupation de sécurité remonte vers les directions générales, elle redescend également vers les utilisateurs. Ceux-ci jouent un rôle central dans l efficacité des politiques de sécurité. A tous les niveaux, se pose la question de l authentification-identification. Selon le Clusif, qui a publié son étude sur la sinistralité informatique 2008, «les technologies de contrôle d accès logiques restent peu déployées, et surtout que la situation ne semble pas avoir évoluée en deux ans, puisque les résultats 2008 sont presque identiques { ceux de Alors que l ouverture des systèmes et surtout le nomadisme se sont considérablement accélérés depuis 2006, cette absence d évolution côté contrôle d accès est préoccupante.» Comme le montre le tableau ci-après, les entreprises n ont pas encore adopté massivement les technologies de contrôle d accès, selon la dernière enquête menée par le Clusif (Club de la sécurité de l information français). 5

6 Source : Clusif (www.clusif.asso.fr) 6

7 B. L explosion des identités numériques a) Le contexte Qu est-ce que l identité numérique et pourquoi estce un enjeu important pour l avenir? L identité numérique est un ensemble de données permettant de caractériser une personne, dans un contexte d utilisation donné. Elle n est donc pas absolue, comme l identité régalienne (état civil), mais contextuelle : on peut avoir plusieurs identités numériques en fonction de l espace numérique dans lequel on évolue (une identité sur Facebook, une identité pour déclarer ses impôts, une identité pour percevoir ses remboursements de santé, ). L identité numérique est clairement un enjeu pour l avenir : c est d abord un enjeu de confiance. Les utilisateurs, citoyens de démocraties modernes, ont un légitime droit à la protection de leur identité dans le contexte nouveau du cyber-espace (1,5 milliards d utilisateurs d Internet aujourd hui). Ils connaissent mal les risques, mais ils souhaitent que leurs données personnelles ne soient utilisées qu aux fins qu ils ont approuvées, et bien sur que personne ne puisse usurper leur identité. improve authentication in a balanced manner, with full protection of privacy and civil liberties C est ensuite un enjeu économique. La maîtrise des données personnelles est un actif majeur pour les offreurs de services. Elle permet les techniques de scoring à des fins de marketing ciblé, elle offre d énormes gains de productivité en permettant l automatisation de procédures, elle permet enfin de proposer de nouveaux services en ligne. Ce constat peut paraître dérangeant { bien des égards, il n en est pas moins réel, et nier l importance économique de l identité électronique reviendrait { faire prendre à la France un retard important. b) Les besoins La gestion des identités électroniques répond à quatre types de besoins, qui peuvent être classés par degré de criticité : Par ailleurs, il ne suffit pas de protéger les identités numériques des personnes, il faut aussi protéger celles des composants d infrastructures (serveurs, composants réseau, base de données), qui sont des objets mais qui sont également dotés d une identité sur les réseaux. Outre Atlantique, l administration Obama a réagi aux constats préoccupant sur la vulnérabilité des systèmes en lançant un ambitieux programme appelé «Securing Cyberspace for the 44th Presidency», dont l un des thèmes principaux est «Identity Management for Cybersecurity». Voici un extrait du rapport de la commission CSIS : The question is wether we improve, for cybersecurity purposes, authentication while we protect important social values such as privacy and free speech. We have concluded that security in cyberspace would benefit from stronger authentification and that the government must require strong authentication for access to critical infrastructure. In doing this, the United States must 7

8 Simplifier l usage des e-services ou des applications Le «binding» de données La garantie d unicité d utilisation Ici, il est question avant tout de simplifier la manipulation des e- services ou des applications par les utilisateurs. Ces derniers souhaitent autant que possible : - Eviter de ressaisir leurs informations personnelles dans les multiples formulaires qui leur sont proposés en ligne. (*) - Ne pas avoir à retenir un grand nombre de mot de passe, qui finissent par être identiques sur tous les services, au détriment évident de la sécurité. (**) Dans la plupart des transactions e-commerce, l offreur de service n a pas besoin de connaître l identité détaillée de l internaute mais seulement d être sûr que certaines données correspondent bien { une même personne, typiquement un N CB et une adresse de livraison (le payeur est bien le bénéficiaire). C est ce que l on appelle le binding de données. Il permet de garantir le e-commerce tout en préservant totalement ou partiellement l anonymat de l internaute. Dans beaucoup de e-services ou d applications, les utilisateurs créent un compte qui leur est propre et l utilisent ensuite régulièrement en y gérant des informations personnelles. L unicité d utilisation consiste { garantir que l utilisateur est bien toujours le même. On peut citer bien des exemples : compte de messagerie (Gmail, Yahoo, ), Compte fiscal, espace personnel sur la banque en ligne, compte joueur en ligne. On peut aussi trouver des applications très sensibles comme le recensement d une population (dédoublonnage), le vote électronique ou le parcours voyageur dans un aéroport. L{ encore, l anonymat n est pas nécessairement un problème, mais l unicité d utilisation doit être assurée, et l usurpation d identité combattue. La preuve d identité Le niveau le plus critique de gestion de l identité électronique est la preuve d identité. On entre dans le champ du contrôle administratif et / ou de la traçabilité à des fins juridiques. Ici, il faut pouvoir associer les actions électroniques à une identité au sens régalien. On peut citer les documents de voyage (passeports électroniques), les contrats passés de manière électronique, les actes administratifs ou notariés électroniques, les télé-procédures (*) Ce constat avait conduit Microsoft à créer en 2005 son système «Passeport» visant à proposer à l utilisateur de centraliser ses données d identité dans une base unique, gérée par Microsoft. Cette initiative a été abandonnée devant les fortes critiques émises par les défenseurs des libertés individuelles, au profit d une approche plus décentralisée dans le cadre du consortium OpenID, qui regroupe d autres grands acteurs de l informatique tels que Google ou IBM. (**) On parle de SSO ou «Sigle Sign On», c'est-à-dire une seule authentification pour tous les accès. Selon une analyse récente, plus de la moitié des internautes français (56%) utilisent le même mot de passe sur l'ensemble des sites sur lesquels ils sont inscrits. Ils sont donc une majorité à compromettre leur identité numérique afin de ne pas s'encombrer la mémoire, par négligence, par manque d'imagination, ou par inconscience du danger. 8

9 c) Le marché Deux approches se profilent pour la gestion de l identité électronique au niveau mondiale : l une, régalienne, gérée par les états au travers de documents d identité électronique comportant une puce ; l autre émergeant de manière plus anarchique au sein de la sphère privée (banques, opérateurs de télécommunications) et des grands acteurs des technologies de l information (Google, Facebook, ebay, Microsoft, Apple) qui tentent de créer un standard de fait. Bien qu elles ne soient pas antinomiques, quelle approche va prendre le dessus? Si les états ont pour eux la légitimité et la reconnaissance légale, les acteurs privés maîtrisent la plus grande part des usages. Il est probable que les deux approches vont co-exister : l approche régalienne pour le contrôle policier de l identité, l administration électronique et les échanges nécessitant une forte valeur probante, l approche privée pour le e-commerce. L interpénétration des deux approches dépendra de l évolution du rapport de force entre les deux sphères, de la capacité de consensus, et de l évolution des mentalités des utilisateurs. 9

10 Le marché mondial de l identité électronique régalienne est évalué aujourd hui { quatre milliards de dollars, pour un potentiel autour de 30 MD, selon IDC. Le marché de l identité électronique gérée par la sphère privée est très difficile à évaluer car il est dilué dans les usages (e-banking, e- commerce, réseaux sociaux, ). Il est certainement de loin le plus important en volume. Le (très petit) sous-ensemble de l identité électronique d entreprise (IAM) est évalué { 3,5 MD. - Les outils permettant de mettre en œuvre l identité électronique dans les différents contextes d usage. Il est clair toutefois que, s agissant de l identité électronique, la valeur de ce marché ne se réduit pas à sa seule valeur marchande, car il est aussi porteur de très forts enjeux sociétaux. d) La chaîne de valeur de l identité électronique La chaîne de valeur de l identité électronique s organise en trois grandes couches : - les dispositifs de protection de l identité, avec un profil d offreurs plutôt industriel. C est la couche de loin la plus importante aujourd hui, ce qui prouve la jeunesse de ce marché où la technologie précède les process et les usages. On y trouve notamment l industrie de la carte { puce, très bien représentée en France. Une part importante de la fabrication des composants est délocalisée vers les pays à bas coût (Chine), la valeur principale restant la R&D, le marketing et la distribution. - les gestionnaires d identité, avec un profil d offreur plutôt service. Cette couche est encore embryonnaire pour le marché de l identité électronique, mais elle représentera une part importante, voir majoritaire de la valeur à terme, comme on a pu le voir sur le marché des moyens de paiement, ou sur le marché du fonctionnement d Internet par exemple. Elle sera également celle qui dégagera les marges les plus importantes tout en étant la plus créatrice d emploi plus difficilement délocalisables. 10

11 II - Les stratégies clés d identification/ authentification Le marché de l identité numérique repose sur plusieurs technologies clés, dont certaines sont bien maîtrisées, voir dominées, par les offreurs français, et d autres pour lesquelles la France accuse un important retard. Parmi toutes ces technologies on peut citer la carte à puce, la cryptographie, la biométrie, la PKI, le RFID, l impression sécurisée, le cloud computing, la fédération d identités, les annuaires Les technologies dans ce domaine ne font pas tout, un axe de plus en plus important est la capacité d influence sur la standardisation, car l identité électronique ne peut se développer qu accompagnée par un mouvement de standardisation technique et juridique permettant son utilisation de manière interopérable. Sur ce point, le leadership est clairement anglo-saxon pour l instant. A. Le contrôle d accès physique a) Qu est-ce que le contrôle d accès? Un dispositif de contrôle d accès est un système avec plusieurs composantes dont l objectif est de contrôler (c est-à-dire identifier et/ou authentifier) les individus qui se présentent { un point d accès permettant de pénétrer dans un lieu donné. L identification consiste { déterminer si la personne { contrôler possède bien un droit d accès. L authentification consiste { s assurer que la bonne personne détient le bon droit d accès (pour éviter le vol de supports de contrôle d accès tels que les cartes à puces par exemple). On peut donc définir le contrôle d accès comme l interaction spécifique entre un sujet et un objet qui a pour résultat d autoriser ou non le transfert d un flux d informations de l un vers l autre. Il s agit, plus généralement, de l ensemble des moyens nécessaires pour accéder, stocker ou prélever des données, pour communiquer ou pour utiliser des ressources d un système d information. Les préoccupations de sécurité liées { l accès ne sauraient être dissociées de la sécurité générale des bâtiments. Il est recommandé de faire réaliser, par un organisme extérieur, un contrôle périodique des facteurs de risques. b) Les objectifs d un bon système de contrôle d accès Un système de contrôle d accès doit répondre aux impératifs suivant : - il doit être installé après une étude des besoins, en particulier des risques d intrusion. Cette étude présente plusieurs avantages, d abord économique (le coût sera optimisé par rapport aux enjeux), ensuite en termes d efficacité (inutile de se prémunir contre des risques hypothétiques ou de dépenser trop peu pour lutter contre un risque majeur). De même, une étude des besoins aboutit à une couverture exhaustive des locaux à protéger. En l absence d une étude des besoins, c est l illusion de sécurité qui prévaut, avec son cortège d issues non fermées, d ascenseurs desservant directement des locaux sensibles. - un dispositif de contrôle d accès doit être cohérent et hiérarchisé par rapport aux enjeux. En effet, on ne protège pas des locaux informatiques comme des salles de réunions, un hall d accueil ou des services de recherche-développement. Pour prendre en compte cette hiérarchisation, il est préférable d adopter une structure en anneaux, avec les zones suivantes : - locaux stratégiques (salle informatique, local télécoms...), - locaux à risque important (bureaux recherche-développement, entrepôts, direction générale...), - locaux { risque moyen (hall d accueil, parkings...), - locaux { risque faible ou zones d échanges (cafétéria, salle de réunions...). La cohérence signifie que l on évitera de mettre en place des dispositifs inutiles (par exemple un contrôle par carte { puce { l entrée d une cafétéria) 11

12 qui font double emploi (lecteur de carte à puce pour entrer dans le parking, autre lecteur, avec une autre carte pour entrer dans les bâtiments puis autre système à carte pour entrer dans une salle informatique). - le contrôle d accès doit prendre en compte la sécurité des personnes, en fonction des impératifs d urgence. Autrement dit, les issues de secours ne permettent pas des intrusions par l extérieur des bâtiments mais ne doivent pas gêner les évacuations, notamment en cas d incendie. - le dispositif de contrôle d accès doit être adapté aux flux, afin de ne pas paralyser le fonctionnement quotidien de l entreprise. On ne protège pas une tour de bureaux dans laquelle 3 ou 4000 personnes entrent le matin entre huit et neuf heures de la même manière qu une PME de cinquante personnes. Il importe en outre de tenir compte de la convivialité du système et, surtout, de son rapport qualité/prix. c) Les composantes d un système de contrôle d accès Un système de contrôle d accès est composé de plusieurs éléments : - un poste de gestion centralisé : il peut être local ou couvrir plusieurs sites. Le système centralisé permet de hiérarchiser les degrés de sécurité en fonction des locaux, de gérer les plannings horaires et calendaires selon les individus, de disposer de traces écrites et horodatées des accès, et de mettre { jour les droits d accès (départ ou changement d affectation des salariés, désactivation des cartes perdues ou volées). - des terminaux et des capteurs qui contrôlent les accès aux zones protégées : la communication entre le poste de gestion centralisé et les terminaux de contrôle d'accès varie en fonction de la nature des locaux, des configurations, du degré de contrainte des procédures mises en œuvre et des fonctionnalités du contrôle d accès. Les terminaux dialoguent en temps réel avec le PC auquel ils sont reliés, et ils gèrent les transactions. Les terminaux peuvent être autonomes, par exemple des PC portables raccordés temporairement au poste de gestion centralisé. - un dispositif d action, par exemple pour ouvrir les portes des locaux. Lié { l unité de gestion centralisée, ce dispositif ouvre ou ferme les accès en fonction des droits déterminés pour chaque individu. Ce dispositif est commandé soit automatiquement (par exemple pour les lecteurs de badges), soit manuellement (poste de gardiennage), soit de façon semi-automatique (télécommande depuis un poste de gardiennage). - des dispositifs de reconnaissance des individus, par exemple un code ou un document permettant de les identifier. On pourra associer aux moyens automatiques (par exemple des cartes à puces), un ensemble de moyens humains, par exemple des postes de gardiennage, souvent dissuasifs. Le système peut être complété par de la vidéosurveillance, en fonction des enjeux à protéger. Un tel dispositif doit être cohérent (rien ne sert de surveiller en vidéo tous les locaux de l entreprise) et complet (surveillance des angles morts). Le système le plus courant consiste à demander aux visiteurs le dépôt d une pièce d identité et { délivrer un badge provisoire, avec l indication de la date, de la personne visitée et, éventuellement, les limites des locaux autorisés. d) Mettre en place un contrôle d accès physique Le contrôle d accès doit être conçu de façon large. Il ne se limite pas aux accès des bâtiments, mais également { l ensemble du territoire immédiat. Cela implique de vérifier la qualité des clôtures lorsqu elles existent et d utiliser un dispositif de surveillance périphérique (par caméras). L ensemble du système doit être cohérent (c est-à-dire adapté aux enjeux) et complet (éviter les failles). Comment assurer l authentification d un individu? Un individu peut être identifié par quelque chose qu il connaît, par quelque chose qu il possède, ou par une caractéristique physique qui lui est propre. 12

13 La première catégorie correspond aux codes, mots de passe, ou clavier numérique. La reconnaissance d un code s apparente au système de mots de passe utilisé dans la sécurité logique (accès aux applications informatiques). Ces systèmes se présentent sous différentes formes : - l identification par un code commun (plusieurs salariés d un même service partagent un même code), - l identification par un code commun lié à un système de carte magnétique ou à puce et l identification personnalisée (l utilisateur possède un code qui lui est personnel). - L avantage essentiel réside dans la simplicité d utilisation et le coût modique. La seconde catégorie (quelque chose en possession de l individu) correspond à un attribut physique. Les systèmes les plus courants sont basés sur l emploi de cartes magnétiques ou à puces. L inconvénient de la technique des cartes magnétiques réside dans la relative facilité d élaborer des contrefaçons. Les lecteurs de badges ou de cartes constituent l élément essentiel d un dispositif de contrôle d accès. On distingue les lecteurs statiques, qui, en fonction de la lecture d un badge, autorisent ou non l ouverture d une porte. Parmi les inconvénients, on notera : - la difficulté d établir des hiérarchies horaires, - la difficulté d analyser des traces écrites des entrées-sorties. Les lecteurs dynamiques autorisent un dialogue avec le système de gestion centralisée, ce qui annule les inconvénients des lecteurs statiques. Il est en effet possible d effectuer une hiérarchisation des droits d accès, selon des contraintes temporelles et individuelles. La troisième catégorie (quelque chose de propre à l individu) concerne la reconnaissance biométrique. Le principe consiste à reconnaître les caractéristiques physiques d un individu, par exemple ses empreintes digitales, l œil, les contours de l oreille, la signature, le timbre de la voix. Outre leurs coûts et la nécessité de respecter les contraintes juridiques, les systèmes basés sur la reconnaissance des éléments biométriques provoquent certaines réticences de la part des individus. Ils sont pour l instant réservés au contrôle des accès à des locaux très stratégiques. B. Contrôles d accès logiques mots de passe a) Contexte L'authentification par mot de passe est le mécanisme le plus répandu. La raison essentielle est historique car il s'agit de la solution qui était proposée notamment par les systèmes informatiques centraux (mainframe). Enfin, il s'agit d'un système simple dans la mesure où le schéma d'authentification est basé sur ce que l'utilisateur sait ou connaît : son identification et son mot de passe. La compréhension de son usage par les utilisateurs est aisée et son adoption assurée car la mécanique d'authentification par identifiant/mot de passe est de fait employée depuis fort longtemps avant même l'avènement de l'ère informatique. Les avantages de l utilisation de ce type d authentification sont nombreux. Le principal est que ces mécanismes sont implémentés de base dans tous les systèmes d exploitation, les systèmes de gestion de bases de données, les applications et les services. Ils utilisent les mêmes bases que l identification ou les mêmes annuaires. Un autre avantage vient de leur indépendance vis-à-vis de l utilisation d autres mécanismes de sécurité comme les canaux de communication sécurisés (type VPN ). L'évolution du paysage informatique, et notamment sa mutation des systèmes centraux vers des systèmes distribués, est accompagnée de la démocratisation de son usage à titre personnel. Cela fait apparaître des limites quant à la confiance qui 13

14 peut être accordée à un tel système d'authentification. Le principe du mécanisme mis en œuvre est universel et repose sur une implémentation du procédé suivant. Le système repose sur une transaction bipartie réalisée entre un système requêtant et un système authentifiant. Le système requêtant soumet un identifiant et un mot de passe que l'utilisateur a saisi. Le système authentifiant confronte le couple identifiant/empreinte soumis avec celui contenu dans son propre référentiel. La simplicité d'un tel système ne mettant en œuvre que deux acteurs permet d'envisager un mode de fonctionnement en mode connecté tout comme en mode non connecté. Il est envisageable que les systèmes requêtant et authentifiant soient les soussystèmes d'un même système physique ou logique. Cela explique sa très forte utilisation en mode connecté sur Internet. Les applications les plus récentes utilisent un système basée sur la conservation d une empreinte numérique élaborée par procédé cryptographique en lieu et place du stockage du mot de passe de l identifiant. De même, la transmission du mot de passe entre les deux acteurs de la transaction d'authentification est remplacée par la communication de l'empreinte numérique. Ces sophistications permettent de remédier à la problématique évidente de sécurité qu'implique la diffusion des mots de passe des utilisateurs à la fois sur les infrastructures de communications et sur les systèmes authentifiant eux-mêmes. La robustesse de la solution repose sur la sécurité associée aux composants d'infrastructure, notamment pour assurer la confidentialité des informations qui y transitent. Certains systèmes proposent l'ajout d'une combinaison numérique unique (nonce) associée à cette empreinte permettant ainsi de protéger le système contre le rejeu. On parle alors de challenge. Par conception, il s'agit d'un mécanisme d'authentification qui ne permet pas d'assurer la non répudiation de la transaction car il ne garantit pas le consentement au contenu des données. Par conséquent, l'utilisation d'une authentification simple est, en principe adaptée pour un usage interne. C'est-à-dire, qu'elle s'inscrit dans un environnement où la sécurité des systèmes est assurée et que la criticité des données ne présente pas de caractère confidentiel ou secret. b) Les enjeux Nous avons vu que le principal inconvénient du système est qu il ne garantit pas l authentification du demandeur de l accès au Système d Information car il peut être facilement écouté, intercepté et réutilisé frauduleusement. Un autre inconvénient réside dans le fait que sa robustesse est complètement liée à la sensibilité de l utilisateur { la problématique sécurité. Même si les systèmes d exploitation proposent actuellement de plus en plus d outils d aide { la conception de mots de passe robustes. Un troisième inconvénient réside dans la non homogénéité des mécanismes de gestion des mots de passe. Actuellement, chaque utilisateur doit, en moyenne, connaître, pour accéder aux différentes fonctions du système d information nécessaires { ses activités, entre 3 et 5 mots de passe différents. Cette problématique entraîne la plupart du temps une réduction très importante de la robustesse de l ensemble de ces authentifications. Les individus utilisant à chaque fois le même mot de passe ou un mot de passe déductible du précédent par une mnémotechnie simple. La tendance actuelle du marché est de regrouper au sein d un même annuaire la notion d identification et d authentification. Ceci permet, avec les mécanismes de protection adéquats, de renforcer la centralisation de la gestion de ces éléments. c) Le processus d intrusion Les attaquants procèdent par étapes. Il leur faut d abord connaître un minimum d informations sur le système cible. Par exemple les logiciels utilisés et leurs versions, les types d adresses IP. Il faut ensuite identifier les failles, en fonction des versions installées. Plus les versions sont anciennes, plus la tâche est facilitée. Une fois que la faille est mise à profit pour entrer dans le système, le pirate pourra accéder à des informations supplémentaires comme par exemple : 14

15 - le nombre de serveurs, les typologies d utilisateurs, - les possibilités d exécuter des programmesespions. Il opèrera d autant plus facilement que la plupart des entreprises ne disposent pas de procédures d alertes efficaces. La dernière enquête du Clusif a ainsi révélé les éléments suivants : - Plus de 75 % des entreprises ne mesurent pas leur niveau de sécurité régulièrement. - Dans 43 % des entreprises, le RSSI (responsable de la sécurité des systèmes d information) n a pas d équipe assignée en permanence { la sécurité de l information. - Seulement 30 % des entreprises affirment réaliser une analyse globale des risques liés à la sécurité de leur SI. - Seulement un tiers des entreprises ont institué des programmes de sensibilisation à la sécurité de l information. - 6 entreprises sur 10 n ont pas de gestion par rôle ou par profil métier pour les habilitations % des entreprises ne disposent pas d'une équipe consacrée à la gestion des incidents de sécurité d origine malveillante % seulement des entreprises procèdent à une évaluation de l impact financier des incidents de sécurité % des entreprises ne mènent jamais d audit de sécurité. Les mots de passe constituent donc une cible privilégiée des pirates informatiques. Ces derniers disposent de logiciels et de documentations qui permettent ou expliquent comment s introduire dans un système d information. L un des objectifs des hackers est évidemment de s attacher { trouver les mots de passe des machines auxquelles ils veulent accéder. Pour cela, les outils pour pénétrer dans les systèmes informatiques et les réseaux sont disponibles gratuitement sur Internet. Le plus souvent, les programmes de recherche de mots de passe fonctionnent selon le principe du cheval de Troie, programme informatique, en apparence inoffensif, mais qui contient une fonction cachée. Un cheval de Troie peut donc contaminer un grand nombre d ordinateurs, notamment s il est propagé par des réseaux. Une fonction cachée tente de rechercher les mots de passe stockés dans la mémoire de l ordinateur. Il existe des chevaux de Troie plus complexes, qui peuvent simuler un écran de connexion, puis enregistrer le mot de passe frappé sur le clavier et qui, enfin, exécutent le vrai programme de connexion, de sorte que l utilisateur est leurré en croyant agir dans des conditions normales. On notera également le phénomène de phishing, forme d'usurpation d'identité par laquelle, un pirate utilise un d'allure authentique afin de tromper son destinataire pour que ce dernier donne de manière consentante ses données personnelles, telles qu'un numéro de carte de crédit, de compte bancaire ou de sécurité sociale. d) La construction des mots de passe Un mot de passe peu résistant constitue le principal point faible des réseaux et des systèmes d information en général. Celui-ci doit donc être construit de façon suffisamment robuste pour résister le plus longtemps possible aux attaques, qui, nous l avons vu plus haut, se réalisent avec de multiples points d entrée. Du point de vue de l administrateur réseau, le principal enjeu réside dans la gestion optimale des mots de passe et des droits d accès. Le choix des mots de passe répond à un certain nombre de règles de base. Le mot de passe reste toujours le secret de l'utilisateur légitime de l information protégée. 1) Les caractéristiques d un mot de passe Un système de mots de passe doit posséder au moins quatre caractéristiques : 15

16 * L'identification personnelle Les systèmes de mot de passe employés pour contrôler les accès { des systèmes d information doivent identifier chaque utilisateur de ce système, individuellement (éviter donc les mots de passe de groupe, commun à toutes les personnes travaillant dans un service par exemple). * L authentification Les systèmes de mot de passe doivent authentifier les utilisateurs, c est-à-dire s assurer de l identité de ceux-ci. * Le secret des mots de passe Les systèmes de mot de passe doivent assurer, dans la mesure du possible, la protection de la base de données des mots de passe. Ce fichier doit être traité comme un fichier sensible et confidentiel et protégé comme tel. * La vérification Les systèmes de mot de passe doivent être capables d offrir des fonctionnalités permettant d analyser les incidents et de détecter toute compromission des mots de passe ou des fichiers dans lesquels ils sont stockés. Par sa fragilité, l'authentification par mot de passe ne pourra couvrir tous les cas de protection. Si l'on prend par exemple quatre niveaux de sensibilité : - secret (1), - hautement confidentiel (2), - confidentiel (3), - personnel non sensible (4). Seul le niveau 4 peut être protégé par mot de passe. Le niveau de secret doit comporter des solutions additionnelles telles que cartes à puce, systèmes biométriques, etc. 2) La longueur des mots de passe Le meilleur moyen de diminuer les risques est d utiliser des mots de passe d une longueur suffisante afin qu ils ne puissent être trouvés facilement par une «attaque brutale». La sécurité fournie par des mots de passe est déterminée par la probabilité qu'un mot de passe ne puisse être deviné pendant sa durée de vie. Plus faible est cette probabilité, plus grande est la sécurité offerte par le mot de passe. 3) Les critères de choix des mots de passe Pour choisir un bon mot de passe, il importe donc d'observer les règles suivantes, qui seront rappelées par exemple dans un guide de sensibilisation à la sécurité de l information diffusé au sein de l entreprise dans le cadre de sa politique de sensibilisation à la sécurité. Ces critères principaux sont les suivants: - Le mot de passe est personnel et doit, par conséquent, rester secret. - Le mot de passe ne doit pas être mémorisé dans des fichiers, des programmes ou des touches de fonction auxquels des tiers ont accès. - Le mot de passe doit être choisi et géré par l'utilisateur lui-même. - Le mot de passe ne peut être introduit que sur demande du système et par le truchement du clavier ou/et d un périphérique biométrique. - Le mot de passe ne doit pas se lire à l'écran lorsque vous l entrez. S'il s'affiche, il y a lieu d'interrompre la procédure d'entrée et d'en informer le responsable de l'accès. - On évitera d'introduire le mot de passe en présence de tiers. Si cette présence ne peut être évitée, le mot de passe sera modifié discrètement avant la sortie du système; l utilisateur qui sait ou qui suppute que son mot de passe est connu par un tiers le changera sans tarder. - Hormis l'utilisateur, seul le responsable de l'accès est habilité à modifier le mot de passe. Dans des cas exceptionnels, le supérieur peut prescrire une 16

17 modification du mot de passe par l'intermédiaire du responsable de l'accès. Quel que soit l'initiateur de la modification, l utilisateur doit en être informé. - Il faut instituer l obligation de changer régulièrement le mot de passe (tous les 3 mois par exemple), sans reprendre les précédents sur une période assez longue (un an par exemple) : Dans certaines entreprises à technologie "sensible", le système informatique oblige les ingénieurs à changer leurs mots de passe toutes les deux heures. On ne doit pas pouvoir déceler le nouveau mot de passe ou celui qui a été modifié par un simple raisonnement. - Une longueur minimum doit être imposée (6 caractères). - Les mélanges de caractères numériques et alphabétiques sont préférables. Aucun mot de passe ne peut être formé en totalité de nombres, même associé à des signes moins ou de signes plus. Par exemple « » ne doit pas être utilisé comme type de mot de passe, car il est très facile de le deviner, en testant systématiquement tous les chiffres. - Les mots de passe ne doivent pas contenir le nom, le prénom ou le numéro du terminal de l utilisateur, ni aucune permutation entre ces éléments. - Les mots de passe de moins de dix caractères ne peuvent être totalement en minuscules ni totalement en majuscules : il est préférable d alterner les deux types de constructions. Par exemple «FEDISA» et «fedisa» ne doivent pas être considérés comme des mots de passe valides. Il suffit d inclure soit des caractères spéciaux, soit des chiffres pour que ce type de mot de passe soit valable. Par exemple, on pourra retenir «Fedisa$» ou encore «5fedisa!». Soulignons encore qu'il est évidemment risqué d'employer un même mot de passe pour plusieurs comptes sur différentes machines. - Un contrôle de non trivialité évitant que le mot de passe ne soit deviné trop facilement (voir encadré ciaprès) doit être mis en place de manière systématique. Mots de passe : quelques recommandations pratiques * pas plus de 3 lettres à la suite du clavier ou logiques : ex : AZERTY, QWERTY, ABCDEF, , * pas de nom ou prénom ou date de naissance ou numéro de téléphone de l'utilisateur ou de ses proches, * pas le numéro de l'année en cours, * pas de nom de grandes équipes sportives du moment, * pas de noms de lieu, * pas de mot figurant dans un dictionnaire de quelque langue que ce soit, * pas de mot concernant l'informatique comme Unix, Word, Windows, wizard, gourou,... * pas de mot représentant une information qui vous est relative (numéro de téléphone, adresse, plaque minéralogique, date particulière...), * pas de mot rentrant dans l'une des catégories précédentes écrit à l'envers ou combiné avec un chiffre, * pas de code postal, * pas de numéros de plaques minéralogiques, * pas de marques de voitures, * pas de marques de cigarettes ou de produits de consommation courante, * pas de jours, mois ou années, * pas plus de deux signes identiques consécutifs. Il est nécessaire de disposer d une politique de gestion très stricte : * Changer de mot de passe très régulièrement * Choix de mots de passe complexes à découvrir mais simples à retenir pour l utilisateur 17

18 * Individualisation et inaccessibilité des mots de passe * Stockage rigoureux (hashage, chiffrement, cloisonnement) aussi bien dans l esprit de l utilisateur que dans les différents systèmes et applications * Saisie du mot de passe invisible à l écran * Chiffrement du mot de passe dans les communications - Une bonne méthode pour choisir est d'accoler deux mots qui n'ont aucun rapport entre eux, tout en y intercalant un chiffre ou un autre signe. Par exemple : para2chauss, able(v(x?, tonta!rap23. Une autre façon encore consiste à prendre la première lettre des mots d'une phrase mémorisable facilement. Par exemple, «La commission Fedisa sur l authentification-identification» deviendra «LCFSAI», mot de passe qui, on en conviendra, est difficile à deviner avec des attaques basées sur les dictionnaires (attaques de force brute). D une manière générale, il faut se souvenir qu'un code difficile à découvrir n'est pas forcément un code difficile à retenir. e) Le SSO (Single sign on) Un autre axe d approche de la problématique de l authentification, a été depuis plusieurs années la mise en œuvre du concept de SSO (Single Sign On) ou mot de passe à usage unique. Le principe du SSO est basé sur deux types d architectures. Le premier type d architecture (type I) consiste { disposer d un serveur d authentification auquel l utilisateur souhaitant accéder au Système d Information va d abord se connecter pour s identifier et s authentifier. En cas de succès, l utilisateur pourra alors accéder automatiquement aux services et aux applications pour lesquelles il est habilité sans fournir de nouvelles identifications. C est un service situé sur son poste de travail qui va se substituer { l utilisateur. L ensemble des échanges entre l utilisateur, le serveur d habilitation et les services accessibles se font en mode chiffré. Le second type d architecture (type II) est basé sur une approche initiale identique. En cas d acceptation de l identification et de l authentification de l utilisateur, le serveur va retourner { l utilisateur un ticket protégé qui sera utilisé par les applications, au moment de la demande d accès, pour authentifier automatiquement l utilisateur et donc lui attribuer ses droits. L avantage principal de la première approche est de ne pas avoir à modifier les services et les applications cibles. L inconvénient majeur est la nécessité de renforcer très fortement l architecture d authentification pour pallier toute indisponibilité qui bloquerait l accès au Système d Information. La seconde approche est exactement { l opposée. Dans les deux types d architectures, il est possible d utiliser tous les types d authentification évoqués ci-dessus et traités ci-après, du mot de passe simple à la biométrie. Actuellement, il y a convergence forte entre les deux approches avec des démarches de type Active Directory qui permettent la mise en œuvre d un SSO de type II, ou de type Access Master pouvant intégrer une base d identification et d authentification { la norme X509 et compatible LDAP. C. Cartes à puces et tokens USB a) Le contexte La carte à puce est aujourd'hui omniprésente dans notre environnement : cartes SIM, cartes bancaires, cartes Vitale, cartes de décryptage de télévision par satellite ainsi que toutes les versions de cartes privatives de diverses enseignes commerciales sont autant de cartes à puce issues d'une même technologie. En revanche, dans le monde de l entreprise, l usage de la carte est perçue très vite comme complexe ; le plus souvent le manque de standard aux niveaux des cartes { puce et le fait qu ils doivent s intégrer dans une chaîne de confiance font notamment que la plupart des entreprises moyennes et grandes sont 18

19 dotées de systèmes hétérogènes. Cela complique donc significativement la gestion quotidienne de leur contrôle d accès. Aujourd hui, la plupart des entreprises pratiquent de façon artisanale la gestion des identités. Ce management est le plus souvent cloisonné, sans vision d ensemble et parfois géré souvent de manière manuelle. Autrement dit, l approche manque de coordination transversale et de standardisation d où un manque d efficience dans le contrôle d accès de l entreprise. Les chiffres publiés régulièrement par le Clusif (Club de la sécurité de l information français) montrent le fort degré de dépendance des entreprises et des organisations privées ou publiques vis à vis des systèmes d information : 75% des entreprises sont exposées à une dépendance forte vis à vis du système d information : une indisponibilité de 24 heures a des conséquences graves sur l activité industrielle et commerciale. Cette indisponibilité peut être due à une grave anomalie du contrôle d accès. Cela peut être par exemple la perte ou le vol de mot de passe. En pratique, sans incriminer tel ou tel qui s est fait voler son mot de passe, il est important que le RSSI communique efficacement sur ce thème vis à vis de la DSI et de la Direction Générale. Le vol de mot de passe est un délit réprimé pénalement. Maintenant pratiquement chaque salarié a accès au système d information de l entreprise, certes { des degrés divers. Il est donc nécessaire au plan de la sécurité informatique de l entreprise d étudier sous l angle technique, l identification et par voie de conséquence l authentification des personnes qui y travaillent. A la question : «Quelles technologies de contrôle d accès utilisez-vous?», les résultats sont peu adaptés aux besoins actuels et dénotent du lourd poids du passé en la matière. On constate donc que dans le domaine de l entreprise le schéma d'authentification classique est le plus utilisé à savoir celui basé sur ce que l'utilisateur sait ou connaît : son identification et son mot de passe. Les mots de passe associés à l identification de l'utilisateur ont été et sont encore la méthode prédominante d'authentification dans les environnements entreprise mainframe et dans les environnements client - serveur. Il existe de nombreuses limitations { l usage des mots de passe. Le principal est qu il ne garantit pas l identification du demandeur de l accès au système d information car il peut être facilement écouté, intercepté et réutilisé frauduleusement. Un autre inconvénient réside dans le fait que sa robustesse est complètement liée à la sensibilité de l utilisateur { la problématique sécurité. Même si les systèmes d exploitation proposent actuellement de plus en plus d outils d aide { la conception de mots de passe robustes, il est nécessaire de disposer d une politique de gestion très stricte. Un troisième inconvénient réside dans la non homogénéité des mécanismes de gestion des mots de passe. Actuellement, chaque utilisateur doit, en moyenne, connaître, pour accéder aux différentes fonctions du Système d Information nécessaires { ses activités, entre 3 et 5 mots de passe différents. Cette problématique entraîne la plus part du temps une réduction très importante de la robustesse de l ensemble de ces authentifications, les employés utilisant à chaque fois le même mot de passe ou un mot de passe déductible du précédent par une mnémotechnie simple. Il suffit pour s en convaincre d observer le nombre d incidents qui affectent les systèmes d information et les réseaux informatiques et télécoms compromettant en cela la disponibilité, l accès aux systèmes et donc la compétitivité de l entreprise. Pour y parer, il est indispensable au départ de bien identifier et authentifier le personnel de l entreprise, sans oublier de le doter d une solution d identification ou d authentification fortes. Cela permettrait { l entreprise de se doter d un bon système de contrôle d accès avec carte privative à microprocesseur ou clé USB. L authentification forte se fait par la combinaison d'au moins deux moyens d'authentification (exemple : ce que possède + ce que connaît l utilisateur) : une carte { puce et son code porteur ou bien une «calculette d authentification» et son code porteur. 19

20 Ce type peut lui-même être subdivisé en deux soustypes : - Renforcé simple : un élément sécuritaire authentifie l utilisateur et sa carte. Mais l'authentification inverse n'est pas mise en œuvre. - Renforcé mutuel : en complément du précédent, l utilisateur et sa carte (par exemple) authentifient l élément de sécurité (ce qui constitue une parade à plusieurs attaques et notamment au vol d'authentifiant par usurpation d'identité de l'autorité d authentification). b) La carte à puce Une carte à puce contient un processeur avec algorithme(s) et clé(s) cryptographique(s), de la mémoire et un système d'exploitation. Une carte à puce a considérablement plus de capacités que les autres mécanismes en ne se limitant pas à la seule identification et authentification de l utilisateur. La technique d'authentification utilisant la carte à puce est plus en plus implémentée "de base" dans un système d information (type Vista) mais peut faire l'objet de "rajouts" aux systèmes existants, c est ce que l on appelle les middlewares cryptographiques Cette technologie apporte un haut niveau de sécurité en ce sens : - Que le code confidentiel de la carte ne circule pas sur le réseau; - Que l'échange visant à l'authentification, même s'il est intercepté, ne peut pas être rejoué ; - Que cette technique permet l'authentification mutuelle, rendant impossible le routage d'authentification ; - Qu'il est possible de procéder à une nouvelle authentification régulière de façon transparente pour l'utilisateur (toutes les 30 minutes par exemple). - Stockage de credentials (type certificats X509) non possible sur d autres moyens d authentification. - Compatibilité avec les systèmes d accès physiques (bâtiments, restaurant d entreprise, distributeurs automatiques ) Surtout la carte à puce notamment dans le cadre de déploiement de Badge Employés est un support efficace et très évolutif pour d'autres usages que l'authentification (notamment pour le calcul de signatures électroniques, de chiffrement ). La technique carte à puce est souvent encore perçue comme contraignante en ce sens qu'elle exige : - Un lecteur sur chaque station de travail concernée par le contrôle d'accès avec authentification si la carte est de format ISO - Un système (réseau ou serveur) apte à mettre en œuvre les mécanismes cryptographiques de vérification de l'authentification (qui peut et devrait être mutuelle). - Et surtout une organisation humaine et procédurale pour : o Gérer les cartes à puce. Il faut prendre en compte de nombreux aspects : o La personnalisation graphique et électrique des cartes La distribution des cartes Gérer les codes d authentification secrets (toute authentification repose sur des secrets). Il faut prendre en compte de nombreux aspects également : Génération des secrets Stockage des secrets Diffusion des secrets Cet aspect prend une ampleur singulière quand une PKI est mise en place : il faut gérer les certificats et les clés privées associées. 20

21 Les cartes à puce peuvent se décliner en différents facteurs de forme (Type ISO bancaire) ou s insérer dans un connecteur USB. c) L intégration dans la politique de l entreprise Comme vu précédemment, le management du contrôle d accès est le plus souvent cloisonné, sans vision d ensemble et parfois manuel. Autrement dit, l approche manque de coordination transversale et de standardisation d où un manque d efficience. Ce constat s aggrave dans un contexte ou la mobilité devient la norme avec des accès permanents depuis n importe quel point du monde, au système d information de l entreprise stricto sensu. Mais l ouverture des systèmes d information de l entreprise aux partenaires et aux clients renforce encore le besoin d une gestion sûre des identités. De ce fait, la traçabilité des accès aux systèmes d information rend impérative la mise en œuvre d une bonne politique de sécurité pour la gestion des identités. Aujourd hui en effet, du fait de l abandon progressif des systèmes propriétaires, pour une application de contrôle d accès physique unique, le contrôle d accès physique et le contrôle d accès logique répondent { la même politique de mise en œuvre. De ce fait l entreprise doit au préalable dans son projet de cartes à puce intégrer la notion d infrastructure et plus précisément de la gestion des identités ou IAM (Identity and Access Management) qui couvre trois domaines : 1) La gestion des identités La gestion des identités associe à un utilisateur un certain nombre de paramètres : Son identité patrimoniale et ses caractéristiques : date et lieu de naissance et rattachement familial, numéro de sécurité sociale (en France) adresse, etc.; Son organisation ou sa direction et son service de référence ; Les éléments de sécurité qui lui sont associés : identifiant et mot de passe. L enjeu majeur pour l entreprise { ce niveau réside dans la mise à jour des informations dans les bases de données, notamment pour les mouvements de personnel en entrées/sorties : démissions, licenciements, recrutements). 2) Le contrôle des accès Le contrôle des accès aux applications et données fait appel à des solutions technologiques classiques de type logiciel. La difficulté réside dans la bonne prise en compte du périmètre de la cible : liste des applications à sécuriser? Celles à laisser en accès libre? A cela s ajoute la taille de la matrice applications/droit, en fonction des familles de profils d utilisateurs et de la complexité des règles d accès définies par la politique de l entreprise. La notion de gestion du cycle de vie peut s appliquer aux collaborateurs d une entreprise, tout comme aux produits vendus par l entreprise et aux clients de celle-ci. On parle alors d e-provisioning. L e-provisioning devient la gestion centralisée du personnel par une interface web unique de son entrée { son départ de l entreprise. L objectif est d automatiser au maximum la gestion du «cycle de vie»du salarié et de la rendre indépendante des applications informatiques propres { l entreprise. Il s agit de prendre en compte, en un minimum d interventions humaines, l impact sur le système d information de toute modification significative de la situation d un salarié dans l entreprise de son entrée dans l entreprise { sa sortie de celle ci, qui caractérise le cycle de vie du salarié dans l entreprise. L objectif principal est de gérer la sécurité de l entreprise en évitant que les autorisations d accès au système d information ne soient conservées pour des collaborateurs ayant quitté l entreprise ou changé de direction de rattachement dans l entreprise. Mais { la différence d un enregistrement «client» dans une entreprise, chaque collaborateur dispose de plusieurs couples identifiant/ mot de passe pour 21

22 la sécurité logique : réseau, Internet, messagerie ou pour la sécurité physique : accès au bureau, à la cantine, au parking, à la salle ordinateur, au PABX etc. Pour la sécurité logique, il peut s agir de droits d accès { plus d une dizaine d applications et d interdiction d accès { d autres applications : type fichier paie par exemple. Si l accès { chaque application doit se faire ponctuellement pour plusieurs milliers de salariés, la charge de travail est énorme et source d erreur { chaque niveau d accès. Gérer tous ces droits d accès au jour le jour devient vite fastidieux. En effet le RSSI (ou son représentant) a pour mission d activer les droits d accès en temps réel pour que le salarié puisse accéder à ses applications métiers et nous ne parlons pas l{ de contrôle d accès physique (accès au parking, accès à son bureau, parking, accès à son bureau etc.). Il convient donc d automatiser au maximum tous les processus liés au «cycle de vie» du collaborateur à savoir : embauche, changement de position hiérarchique, fin de contrat de travail etc. En pratique, cela se traduit par un ensemble d opérations dans le système d information de l entreprise qui se résume en : modification des droits d accès. Cela se traduit en classique transcription d un processus d entreprise en processus technique. Chacune de ces opérations est alors automatisée. Des macro-procédures types regroupent celles-ci en fonction des événements. Une opération pouvant en pratique appartenir à plusieurs macro-procédures types. Lorsqu un événement défini affecte un ou plusieurs salariés, la procédure adéquate est déclenchée, entraînant en un minimum de temps, toutes les modifications nécessaires dans le système d information. A l aide d un logiciel, l ensemble des tables et codes afférents { la situation d un salarié est mis à jour automatiquement de manière exhaustive sans risque d oubli. 3) L authentification des utilisateurs L authentification des utilisateurs doit être modulable depuis la simple fonction de contrôle d accès par mot de passe associé { un identifiant jusqu aux puissants dispositifs biométriques : Cela permettrait { l entreprise de se doter d un bon système de contrôle d accès avec carte privative à microprocesseur notion de convergence «badge d entreprise» ou clé USB sécurisée pour les employés qui travaillent à distance. 4) Convergence des systèmes d accès sur badge d entreprise La réalisation d un système d accès complet passe donc par la convergence des accès physiques et logiques sur un même support de type carte Badge ; celle-ci outre la partie microprocesseur peut intégrer des technologies dites sans contact ou RFID ; L usage du RFID (Radio Frequency Identification) tend { s étendre dans le monde. Il existe deux types de normes pour les puces RFID sans contact : Courte distance entre la puce et son lecteur : inférieure à 15 centimètres exemple système Navigo du Métro parisien. Longue distance la puce est située à une distance inférieure à 1,5 mètre (150 cm.) de son lecteur : cas pratique télé - péage des autoroutes françaises, parking, etc. A la différence de la puce classique avec contact, la puce RFID dispose d une antenne radio qui la rend détectable à distance. Il est possible de bâtir un système d identification { partir des puces RFID sans contact. Mais le niveau de sécurité de la puce RFID est bien inférieur aujourd hui { celui des puces avec contact pour les cartes bancaires françaises par exemple. Le fonctionnement des puces RFID est soumis à des échelles de fréquences variées allant jusqu { l UHF. L émission - réception peut être brouillée par la présence de liquide : comme de l eau ou l existence d une cage de Faraday dans un local. Compte tenu de la valeur investie dans les systèmes d accès physiques, il est important de s assurer 22

23 d une parfaite compatibilité des badges d entreprises avec le système physique. 5) Gestion des cartes et cycle de vie La mise en œuvre d une solution { base de carte { puce et de certificat (X 509) suppose l intégration de plusieurs composants : La carte avec son lecteur ainsi que le code logiciel embarqué qui doit être installé sur le poste de travail. L infrastructure du certificat X 509 doit fournir les différents composants d une infrastructure PKI : L Autorité de Certification et l Autorité d Enregistrement. Le CMS (Card Management System) lui va gérer l attribution des cartes (voir ci-après) et le cycle de vie de la carte dans l entreprise. 6) Les fonctions du Card Management System (CMS) Le CMS effectue les fonctions suivantes : - Création d une carte pour le nouvel employé d une entreprise (comme nous l avons vu dans le e-provisioning). Cela consiste à associer la carte à une personne (nom et photo?) et { dialoguer avec l Autorité de Certification (AC) de la PKI pour récupérer le certificat X 509 de niveau 3 et le placer dans la carte. - Fourniture en prêt d une carte temporaire { un employé de l entreprise lorsque celui-ci a oublié sa carte. - Gestion d une liste noire quand la carte est perdue ou retrait de la liste noire après un délai raisonnable lorsque celle-ci a été retrouvée. - Déblocage en local ou { distance d un code pin qu un utilisateur a verrouillé. Le choix d un CMS doit pouvoir s effectuer suite { une étude précise de l infrastructure d accès et de la base des utilisateurs de l entreprise ; il doit permettre la prise en compte de fonctions utilisables en mode décentralisé auprès des différents sites de l entreprise : 7) Cartes et usages Multi applicatifs Désormais, les cartes cryptographiques permettent de supporter un ensemble d identifiants personnels de type certificats, OTP (one time password applications). L enjeu du déploiement de ces cartes passe par un recensement très fin au préalable des usages potentiels fonction des risques à protéger et aussi de la facilité d usage qu en attendent les employés. Différents drivers peuvent accélérer le déploiement de cartes multi-applications : Le smart card logon/c'est-à-dire la protection d accès au système d exploitation via certificat et carte. Le chiffrement des mails, des dossiers fichiers à partir du credential stocké sur la carte. La protection des accès distants notamment avec la compatibilité des VPN (Virtual Private Network). Enfin le Single Sign On (mot de passe à unique) est souvent lié { l authentification de l utilisateur qui est d autant plus vulnérable que ce dernier dispose de nombreux mots de passe pour l identifier. La protection du master password (mot de passe primaire) sur la carte, le tout protégé par le code pin de la carte, est un facteur essentiel de promotion de la carte dans l entreprise auprès des utilisateurs 8) Simplification du déploiement (suppression des middleware) De nouveaux dispositifs cryptographiques désormais peuvent être déployés sans la nécessité de mise en place de middlewares cryptographiques lourds sur les postes ; c est notamment le cas de déploiement des badges dans le cadre des projets du secteur public en France avec les standards de type IAS poussées par l administration électronique; 9) Mobilité et sécurité Avec le phénomène de la mobilité s est démocratisé le développement des clés USB «mass memory storage».ce type de clé USB semble plus économique qu'une carte à puce car il ne nécessite 23

24 pas de lecteur spécifique, dès lors que le parc d'ordinateur est équipé de ports USB. Néanmoins, une clé USB offre actuellement une moins grande protection par rapport à une carte à puce des codes d authentification secrets qu'elle stocke, par rapport à une carte à puce. L enjeu est double pour les entreprises : Interdire la récupération d information sensibles au dépend de l entreprise { travers son système d information. Mettre en place de nouveau dispositif sécurisé de classe «PPSD» (portable personal security device) qui à la fois assure une protection forte des informations de l entreprise et s intègre dans une gestion globale de contrôle des dispositifs. 10) Régulation (exemple pour la santé) De nouveaux secteurs, tels que la santé hospitalière en France commencent à être directement régulés par l administration. En effet la mise en place de cartes à puce (carte type CPS), dans le cadre de l application du Décret de confidentialité, pour protéger l accès { des données confidentielles patients, constitue une première dans le secteur de la santé hospitalière et la prise en considération de la problématique sécuritaire. 24

25 d) Recommandations Choisir une solution de e- provisioning standard, éprouvée et flexible Evaluer correctement la réduction des coûts en investissement et exploitation Politique de sécurité et Contrôle d accès Audit des systèmes existants Considérer l identification/authentification comme un projet informatique. Bien analyser les solutions techniques existantes afin de choisir les mieux adaptées. En cas d appel { des consultants, leurs méthodologies doivent être éprouvées et ils doivent disposer d une expertise suffisante en matière de produits notamment pour la compréhension des fonctionnalités et l implémentation des solutions ad hoc. Les fonctionnalités des différentes solutions technologiques à mettre en œuvre sont { étudier : système de mot de passe unique (SSO), systèmes d authentification, portails web, serveurs d authentification, infrastructures de gestion des clés, PKI, Progiciels de gestion des ressources humaines, annuaires LDAP. Les gains directs peuvent consister en la réduction de l hétérogénéité des solutions techniques existantes en matière de contrôle d accès. La baisse du coût du support ne constitue qu un seul des éléments de l étude du retour sur investissement du nouveau projet. Les gains indirects peuvent être le temps gagné lors de la gestion d un mot de passe perdu, sur le contrôle d accès physique : vol de PC, téléphone mobile et autre matériel. - Bien définir les accès et les contrôles à instaurer. - Définir au besoin des indices de sécurité pour les informations sensibles et des niveaux d habilitation pour les utilisateurs correspondants. - Identifier les personnels nomades - Mettre en place une structure centralisée de gestion de droits des identités et du contrôle d accès. - Un sponsor, validateur du projet au niveau de la DG. Inventaire des types d accès physiques /cartes. En effet, un utilisateur moyen consomme en moyenne une dizaine d identifiants pour accéder aux applications et ressources du Système d Information. Cela implique donc de définir au préalable les différents propriétaires des bases de données (ou LDAP) : DRH, les directions métiers, la DSI, les chefs de projets, pour obtenir les autorisations d accès souhaitées. Avant de rechercher les solutions techniques et les produits de sécurité sur le marché, il convient d analyser l identification et l authentification des personnes et des objets comme un projet informatique à part entière et de le traiter comme tel en suivant les processus énoncés précédemment. Entre autres il faudra : - prendre en compte l existant, - savoir gérer l évolution de la solution retenue. Les solutions techniques d identification et d authentification sont techniquement au point y compris les plus performantes de type carte à microprocesseur ou clés USB... Attention qu { chaque type est associée une grande variété de lecteurs. 25

26 D. La biométrie a) Les promesses de la biométrie Pour la reconnaissance de la main, on retient l hypothèse que la géométrie constitue un critère de distinction de chaque individu. Pour la voix, il s agit de mesurer les altérations liées à la parole (bouche, gorge, thorax). Pour la signature, on s attache { mesure de la vitesse, les accélérations, la pression du stylo, les dimensions et les axes directionnels. En ce qui concerne l empreinte rétinienne, on balaie le fond d oeil avec un faisceau lumineux de faible intensité. L identification s effectue par rapport { une image de référence. Les systèmes basés sur la reconnaissance de l empreinte digitale prennent en compte ses caractéristiques uniques. Il existe des dispositifs biométriques basés sur les cartes { puces. Pour qu un message soit signé électroniquement, l individu peut être authentifié par son empreinte digitale. Rappelons que l empreinte digitale est un ensemble de schémas formés par des lignes dont chaque point de départ ou de fin, de séparation ou de circonvolution est une caractéristique physique unique et mesurable qui permet une identification personnelle sûre de l individu. L utilisateur doit introduire une carte dans un lecteur de cartes à puces, puis passe son doigt dans le capteur biométrique du lecteur. Le processus d acquisition de son empreinte digitale, du traitement de l image et d autorisation de la signature débute ensuite. En stockant le modèle de référence et l algorithme de correspondance sur la carte à puce elle-même, le processus d authentification devient plus facile dans la mesure où l utilisateur n a pas besoin de se rappeler ni de saisir un code confidentiel. Le circuit ASIC (Application Specific Integrated Circuit) du lecteur de carte à puce reconstruit l image pour extraire les informations essentielles de l empreinte digitale. Ces informations, constituant le modèle du «candidat» sont ensuite transmises à la carte à puce, où le modèle de référence a été précédemment stocké. En cas de perte ou de vol de la carte à puce, seule la conformité de l empreinte digitale de l utilisateur en possession de la carte avec le modèle stocké peut débloquer la carte, ceci afin d éviter l utilisation frauduleuse d une carte par des utilisateurs non autorisés. Cette technologie peut être par exemple utilisée pour les contrôles d accès { des ordinateurs portables, en obligeant les utilisateurs d ordinateurs portables à prouver leur identité au moyen de leurs empreintes digitales et/ou d une autre méthode d authentification durant la procédure de prédémarrage. Ainsi, seuls les utilisateurs autorisés peuvent accéder au système d exploitation ou aux données importantes stockées sur le disque. Techniquement, une interface de programmation d application (API, Application Programming Interface) pour l identification de l utilisateur sert d interface entre les périphériques d authentification et le système BIOS. Au lieu d être conservées sur la mémoire CMOS, les données d empreintes ou les autres données de correspondance destinées { l autorisation sont sauvegardées dans une mémoire de stockage non volatile. A moins que l utilisateur ne soit identifié grâce à ses empreintes digitales, une carte à puce, un jeton USB ou tout autre moyen, l accès au système d exploitation est complètement bloqué. On trouve également des solutions basées sur un senseur qui se branche sur un port USB. Le logiciel associé comprend un centre de contrôle qui permet { l administrateur et aux utilisateurs d enregistrer leurs empreintes digitales, de voir leurs listes de mots de passe et de sélectionner un écran de veille. De même, on peut utiliser un économiseur d écran qui protège les informations présentes { l écran en les recouvrant d un écran de veille qui ne s enlève qu avec la reconnaissance de l empreinte digitale par le système. Autre technologie possible qui fait l objet de produits commerciaux : la signature manuscrite. Les produits prennent en compte plus de cent paramètres tels que le stress, la rapidité, la pression, la résistance dans l air, pour authentifier la signature, préalablement stockée dans un serveur. Les données sont cryptées et l authentification s effectue de manière instantanée. Le système 26

27 stocke l ensemble de l historique des demandes de validation, calcule des statistiques pour chacun des utilisateurs, rejette systématiquement les signatures identiques car elles sont considérées comme des contrefaçons. b) Contexte La croissance internationale des échanges et des communications dans les entreprises, tant en volume qu'en diversité (déplacement physique, transaction financière, accès aux services...), implique le besoin de s'assurer de l'identité des individus. Il y a plusieurs possibilités de prouver son identité dans une entreprise : Ce que l'on possède (carte, badge, document) ; Ce que l'on sait (un nom, un mot de passe) ; Ce que l'on est (empreintes digitales, main, visage...) - Il s'agit de la biométrie. La biométrie permet l'identification ou l authentification d'une personne sur la base de données reconnaissables et vérifiables qui lui sont propres. Actuellement la majorité des entreprises s appuie sur une authentification de type login, mot de passe; cependant il est fréquent d'oublier les mots de passe. Pour éviter cet oubli, beaucoup de personnes écrivent ce code sur un carnet, perdant ainsi toute confidentialité. Les moyens biométriques, permettent une authentification forte «ce que je suis», ce qui n'est pas le cas avec les mots de passe Le niveau de sécurité d'un système est toujours celui du maillon le plus faible. Ce maillon faible, c'est bien souvent l'être humain : mot de passe aisément déchiffrable ou noté à coté de l'ordinateur. Dans la plupart des entreprises, on exige que les mots de passe soient modifiés régulièrement et comportent au moins 8 caractères, mélangeant lettres majuscules, minuscules et chiffres. L'objectif est d'échapper aux logiciels de décodage qui peuvent en peu de temps, balayer tous les mots du dictionnaire. Une protection qui peut s'avérer insuffisante pour l'accès à des applications sensibles ce qui reste pour l instant le marché essentiel de la biométrie d entreprises (par exemple : industries militaires, nucléaires...) c) Le marché Parmi les secteurs les plus dynamiques, on note la technologie des empreintes digitales et l identification par la voix. Le marché le plus actif restant l Allemagne, avec entre autre, le projet d inclure des caractéristiques biométriques sur les pièces d identité. Bruxelles a ouvert fin septembre 2007 un portail dédié à la biométrie. Son objectif est de «fournir une vue d'ensemble sur toutes les activités ayant trait à ce sujet à travers toute l'europe», explique-t-elle. Baptisé "European Biometrics Portal", il doit servir de «point de départ pour une réglementation en matière d'utilisation de la biométrie et de la vie privée». Il s'adresse tant aux pouvoirs publics, qu'aux sociétés et aux citoyens qui sont invités à y ajouter leur contribution. Le secteur de la biométrie est en train d'achever son premier cycle de développement. Il y a eu des progrès jusqu'à présent, sur les fronts technologiques, applicatifs et législatifs, mais ils se sont révélés trop peu importants et trop fragmentés pour envisager un déploiement de systèmes biométriques de grande envergure», affirme la Commission européenne. Dans ce secteur en tout cas, elle a déjà adopté plusieurs propositions, puisqu'elle préconise notamment que les visas et les titres de séjour des ressortissants des pays tiers (hors UE) intègrent des données biométriques (numérisation du visage et empreintes digitales). Sur recommandation du Conseil européen, elle a également accepté que des technologies similaires soient intégrées dans les passeports européens. En France, le marché de la biométrie est aujourd hui peu développé du fait d un très petit nombre d acteurs français spécialisés. Cependant, des systèmes ont d ores et déj{ été installés sur certains sites (installations militaires, sites nucléaires, banques, établissements et cantines scolaires,...), 27

28 ce qui témoigne des premières prises de conscience au niveau de la demande. Par ailleurs, la biométrie s inscrit dans le marché plus global de la sécurité qui connaît en France une forte croissance (+15%) depuis 1997 (surveillance, sécurité, contrôle d accès, alarmes...). Du coté des utilisateurs ou clients potentiels, il y a une diminution de la réticence vis-à-vis de la biométrie. Les demandes les plus fréquentes concernent le remplacement du mot de passe par la biométrie à l'ouverture d'un logiciel et le contrôle d'accès aux locaux. d) Les applications de la biométrie Les techniques d'authentification biométrique sont de plus en plus fiables et surtout très difficiles à falsifier. Elles reposent majoritairement sur la lecture d'empreinte digitale mais aussi sur des techniques de prise d'empreinte rétinienne, vocale ou auriculaire. Le champ d application de la biométrie couvre potentiellement tous les domaines de la sécurité où il est nécessaire de connaître l identité des personnes. Aujourd hui, les principales applications sont la production de titres d identité, le contrôle d accès { des sites sensibles, le contrôle des frontières. e) les enjeux Le marché du contrôle d'accès s'est ouvert avec la prolifération de systèmes dont la biométrie fait partie ; en général, les technologies «biométrie» dans l entreprise tardent { être adoptées et déployées même s il y a donc un intérêt grandissant pour les systèmes d'identification et d'authentification. Leur dénominateur commun, est le besoin d'un moyen simple, pratique, fiable, pour vérifier l'identité d'une personne, sans l'assistance d'une autre personne. Le très faible taux d'équipement actuel des entreprises s'explique par plusieurs facteurs : L'absence d'acteurs majeurs sur ce segment de marché. Le prix des lecteurs. Les incidences d une maladie (coupure, extinction de voix, conjonctivite, ) Le fait que les technologies soient encore peu matures Les aspects de respect de la vie privée et confidentialité au cœur de la relation employeur /employé En revanche, plusieurs raisons peuvent motiver l'usage de la biométrie dans une entreprise Une haute sécurité - En l'associant à d'autres technologies comme le cryptage, la carte à puce... Un confort d usage - En remplaçant juste le mot de passe, exemple pour l'ouverture d'un système d'exploitation, la biométrie permet de respecter les règles de base de la sécurité (ne pas inscrire son mot de passe à coté du PC, ne pas désactiver l'écran de veille pour éviter des saisies de mots de passe fréquentes). Et quand ces règles sont respectées, la biométrie évite aux administrateurs de réseaux d'avoir à répondre aux nombreux appels pour perte de mot de passe (que l'on donne parfois au téléphone, donc sans sécurité). Sécurité / Psychologie - Dans certains cas, particulièrement pour le commerce électronique, l'usager n'a pas confiance. Il est important pour les acteurs de ce marché de convaincre le consommateur de faire des transactions. Un moyen d'authentification connu comme les empreintes digitales pourrait faire changer le comportement des consommateurs. f) Déploiement de la biométrie La majeure partie de la population refuse des systèmes trop contraignants (solutions telles que celles basées sur la rétine).les technologies biométriques de reconnaissance apportent la simplicité et le confort aux utilisateurs et un niveau de sécurité jamais atteint, tout en étant superposables avec les systèmes classiques existants. Elles procurent une ergonomie non 28

29 négligeable dans leur utilisation et sont une brique dans tout système de sécurité actuel et futur. Cette technologie est applicable à un large champ d applications (contrôle d accès, gestion horaire, paiement sécurisé sur Internet, login sur ordinateur, etc.). Cependant elles doivent être compatibles avec des aspects économiques forcément critiques lorsque l on parle d un déploiement { grande échelle dans l entreprise. g) Infrastructure et démocratisation Ce phénomène est relativement récent mais certains grands constructeurs de PC (Dell par exemple) s'engagent sur la voie des nouvelles technologies comme la biométrie ou les technologies sans contact. Ils incluent désormais ces capteurs biométriques dans leur PC ce qui devrait très vite démocratiser l usage de la biométrie dans les entreprises. De même les fournisseurs de système d exploitation supportent maintenant dans leur système d exploitation nativement l authentification par biométrie ce qui devrait là aussi favoriser le déploiement de ces technologies dans les entreprises. h) Biométrie et vie privée La disparition des freins culturels et psychologiques est un élément fondamental du succès de la biométrie en entreprise. L existence de bases de données contenant les caractéristiques physiques d individus stockées par des entreprises ou des instances gouvernementales, est de nature { inquiéter l utilisateur et le grand public sur leur usage, mais la CNIL a un rôle prépondérant de surveillance et de respect de l intégrité des personnes sur le territoire français. L article de la loi informatique évoqué ci-dessous montre combien la CNIL est vigilante sur ces sujets : i) La biométrie et carte à puce? La biométrie n est pas concurrente de la carte { puce mais complémentaire ; en effet, ces deux technologies sont souvent associées car : Les cartes à puce sont des produits reconnus comme très fiables pour sécuriser des informations. L'association de la biométrie et de la carte à puce permet d'être certain que l'on est bien le possesseur autorisé de cette carte et des informations qu'elle contient. Dans la pratique, de plus en plus de schéma de type «match on card» ; dans un premier temps, on utilise la mémoire de la carte à puce pour enregistrer son empreinte (pas de base de données). Ensuite la vérification sur la carte peut être déployée ; cela permet { partir d une lecture d empreinte d effectuer une partie du logiciel de comparaison également sur la carte. j) Les nouvelles applications et usages de la biométrie en entreprise La liste des applications pouvant utiliser la biométrie pour contrôler un accès (physique ou logique), peut être très longue. L accès aux réseaux, systèmes d information, stations de travail et PC, le paiement électronique, la signature électronique et même le chiffrement de données constituent des applications potentielles pour la mise en œuvre de la biométrie en entreprise. Cette liste n est pas exhaustive, et de nouvelles applications vont très certainement voir rapidement le jour. La taille de cette liste n'est limitée que par l'imagination de chacun. 1) Contrôle d'accès physiques aux locaux Salle informatique. Site sensible (service de recherche, site nucléaire). 29

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Comment activer un accès pratique et sécurisé à Microsoft SharePoint?

Comment activer un accès pratique et sécurisé à Microsoft SharePoint? DOSSIER SOLUTIONS SharePoint Security Solution de CA Technologies Comment activer un accès pratique et sécurisé à Microsoft SharePoint? agility made possible La solution de sécurité SharePoint proposée

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

Le Dossier Médical Personnel et la sécurité

Le Dossier Médical Personnel et la sécurité FICHE PRATIQUE JUIN 2011 Le Dossier Médical Personnel et la sécurité www.dmp.gouv.fr L essentiel Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la confiance des utilisateurs

Plus en détail

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL Cette page doit fournir aux clients toutes les informations concernant la sécurité du site d internet banking transactionnel, en particulier les

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

Note d observations de la Commission nationale de l informatique et des libertés concernant la proposition de loi relative à la protection de l

Note d observations de la Commission nationale de l informatique et des libertés concernant la proposition de loi relative à la protection de l Note d observations de la Commission nationale de l informatique et des libertés concernant la proposition de loi relative à la protection de l identité Examinée en séance plénière le 25 octobre 2011 Depuis

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN ClearBUS Application cliente pour la communication sécurisée Version 1.12 Le 25/11/2011 Identifiant : CBUS-CS-1.12-20111125 contact@clearbus.fr tel : +33(0)485.029.634 Version 1.12

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Ce document fait office d introduction au cryptage des données ainsi qu aux solutions de stockage à cryptage fiable proposées par LaCie.

Ce document fait office d introduction au cryptage des données ainsi qu aux solutions de stockage à cryptage fiable proposées par LaCie. Livre blanc : CRYPTAGE Au regard du formidable succès des disques durs externes pour le stockage et la sauvegarde des données personnelles, commerciales et organisationnelles, le besoin de protection des

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Version destinée aux enseignants qui exercent dans des établissements

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

ANNEXE IDéNum - Foire aux questions

ANNEXE IDéNum - Foire aux questions ANNEXE IDéNum - Foire aux questions Le label et les certificats labellisés A quoi le label IDéNum est-il destiné? - Le label IDéNum sert à remplacer les mots de passe et autres moyens utilisés par l internaute

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

Solutions d authentification renforcée Critères d évaluation État de l art

Solutions d authentification renforcée Critères d évaluation État de l art Solutions d authentification renforcée Critères d évaluation État de l art Sommaire Rappel JRSSI 2012 : Sécurité des accès périmétriques Cas d'usage, besoins et contraintes utilisateurs Critères d évaluation

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail

Gestion de l Identité Numérique

Gestion de l Identité Numérique Gestion de l Identité Numérique La France veut accélérer et consolider le développement de l Economie numérique, instaurer la confiance numérique et lutter contre la fraude et l usurpation d identité,

Plus en détail

OpenScribe L ECM Sagem. Pour maîtriser simplement tous les flux d informations

OpenScribe L ECM Sagem. Pour maîtriser simplement tous les flux d informations OpenScribe L ECM Sagem. Pour maîtriser simplement tous les flux d informations Solution complète clé en main pour la gestion des flux d informations Gestion du cycle de vie du document actif Partage et

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

1 Introduction. La sécurité

1 Introduction. La sécurité La sécurité 1 Introduction Lors de l'écriture d'une application de gestion, les problèmes liés à la sécurité deviennent vite prégnants. L'utilisateur doit disposer des droits nécessaires, ne pouvoir modifier

Plus en détail

Les ressources numériques

Les ressources numériques Les ressources numériques Les ressources numériques sont diverses et regroupent entre autres, les applications, les bases de données et les infrastructures informatiques. C est un ensemble de ressources

Plus en détail

Sécurisation des paiements en lignes et méthodes alternatives de paiement

Sécurisation des paiements en lignes et méthodes alternatives de paiement Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude

Plus en détail

Présentation des caractéristiques des logiciels de chiffrement : principes et fonctionnalités

Présentation des caractéristiques des logiciels de chiffrement : principes et fonctionnalités Présentation des caractéristiques des logiciels de chiffrement : principes et fonctionnalités Journée chiffrement Le 24 janvier 2006 X. Jeannin (CNRS/UREC) Plan! Différents aspects du chiffrement de données!

Plus en détail

Gestion des licences électroniques avec Adobe License Manager

Gestion des licences électroniques avec Adobe License Manager Article technique Gestion des licences électroniques avec Adobe License Manager Une méthode plus efficace pour gérer vos licences logicielles Adobe Cet article technique traite des enjeux de la gestion

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l

Plus en détail

Architecture de join.me

Architecture de join.me Présentation technique de l architecture sécurisée et fiable de join.me 1 Introduction 2 Présentation de l architecture 3 Sécurité des données 4 Sécurité des sessions et du site web 5 Présentation de l

Plus en détail

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian Les 7 méthodes d authentification les plus utilisées Un livre blanc Evidian Appliquez votre politique d authentification grâce au SSO d entreprise. Par Stéphane Vinsot Chef de produit Version 1.0 Sommaire

Plus en détail

BIG DATA Jeudi 22 mars 2012

BIG DATA Jeudi 22 mars 2012 BIG DATA Jeudi 22 mars 2012 87 boulevard de Courcelles 75008 PARIS Tel :01.56.43.68.80 Fax : 01.40.75.01.96 contact@haas-avocats.com www.haas-avocats.com www.jurilexblog.com 1 2012 Haas société d Avocats

Plus en détail

Communiqué de Presse. Boulogne-Billancourt, Septembre 2003

Communiqué de Presse. Boulogne-Billancourt, Septembre 2003 Communiqué de Presse AudioSmartCard annonce son nouveau serveur d authentification Secured Sound Pro Server compatible LDAP et Radius et la disponibilité de son Software Developement Kit SDK Boulogne-Billancourt,

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi VERSION V0.3 Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Février 2014 MINISTÈRE DES AFFAIRES SOCIALES

Plus en détail

Chiffrement : Échanger et transporter ses données en toute sécurité

Chiffrement : Échanger et transporter ses données en toute sécurité Chiffrement : Échanger et transporter ses données en toute sécurité Septembre 2014 Chiffrement : Confidentialité des données Malgré les déclarations de Google et autres acteurs du Net sur les questions

Plus en détail

Security Center Plate-forme de sécurité unifiée

Security Center Plate-forme de sécurité unifiée Security Center Plate-forme de sécurité unifiée Reconnaissance automatique de plaques d immatriculation Vidéosurveillance Contrôle d accès Solutions innovatrices Tout simplement puissant. Le Security Center

Plus en détail

Présentation d'un Réseau Eole +

Présentation d'un Réseau Eole + Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance L authentification de confiance Digital DNA Server Serveur d authentification multifacteurs par ADN du Numérique Simplicité Rapidité Economie Liberté Evolutivité Fiabilité FR mar 205 www.loginpeople.com

Plus en détail

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci Cours Cryptographie Jeudi 22 février 2012 M1 ISIC Authentification Gabriel Risterucci Cours Cryptographie - Authentification - Principes généraux Moyens d'authentification Authentification différée Système

Plus en détail

AUTHENTIFICATION dans les systèmes d information Avec la contribution de

AUTHENTIFICATION dans les systèmes d information Avec la contribution de Réflexions des établissements financiers du Forum des Compétences AUTHENTIFICATION dans les systèmes d information Avec la contribution de 1 2 Propriété intellectuelle du Forum des Compétences Tous droits

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE 12/02/2013 RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE LE 12 FEVRIER 2013 SOMMAIRE PREAMBULE_VOTRE VISION DE LA SECURITE INTRODUCTION_QU EST-CE QUE LA SECURITE LA SECURITE FAIT PENSER

Plus en détail

Protection des données personnelles et sécurisation des données

Protection des données personnelles et sécurisation des données Protection des données personnelles et sécurisation des données Journées d études des documentalistes et archivistes des ministères sociaux Paris, 2 février 2012 Jeanne BOSSI, Secrétaire générale de l

Plus en détail

L accès sécurisé. aux données. médicales

L accès sécurisé. aux données. médicales L accès sécurisé aux données médicales Le décret confidentialité N 2007-960 du 15 mai 2007 La responsabilité personnelle des chefs d établissement et des médecins vis-à-vis de la confidentialité des données

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

Note technique. Recommandations de sécurité relatives aux mots de passe

Note technique. Recommandations de sécurité relatives aux mots de passe P R E M I E R M I N I S T R E Secrétariat général Paris, le 5 juin 2012 de la défense et de la sécurité nationale N o DAT-NT-001/ANSSI/SDE/NP Agence nationale de la sécurité Nombre de pages du document

Plus en détail

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès. Etat de l art Synchronisation des identités pour un référentiel d identités multi-annuaires La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

Plus en détail

Vu les articles 225-1 à 225-3 ; 226-1 et 226-16 à 226-24 du Code pénal ;

Vu les articles 225-1 à 225-3 ; 226-1 et 226-16 à 226-24 du Code pénal ; DÉLIBÉRATION N 03-034 DU 19 JUIN 2003 PORTANT ADOPTION D'UNE RECOMMANDATION RELATIVE AU STOCKAGE ET À L UTILISATION DU NUMÉRO DE CARTE BANCAIRE DANS LE SECTEUR DE LA VENTE À DISTANCE La Commission nationale

Plus en détail

SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE

SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE Michel Laloy 18/06/2002 Objectifs Expliquer les mécanismes de la signature digitale et de l authentification forte Montrer comment ces mécanismes s'appliquent

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

vendredi 8 juillet 2011

vendredi 8 juillet 2011 PROCESSUS DE CERTIFICATION ELECTRONIQUE AU BURKINA FASO 1 Sommaire Contexte de la CE Aspects techniques Réalisations et futurs projets de l ARCE Types et domaines d utilisation de certificats Procédures

Plus en détail

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération 5.4 Pour l exercice terminé le 31 décembre 2013 Sécurité des réseaux sans fil 5.4. Sécurité des

Plus en détail

Malveillances Téléphoniques

Malveillances Téléphoniques 28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre

Plus en détail

CONVENTION D'UTILISATION FAS

CONVENTION D'UTILISATION FAS CONVENTION D'UTILISATION Objectif du document : Une convention d'utilisation est un contrat spécifique à un service qui stipule les conditions liées à l'utilisation d'un service spécifique de Fedict. Il

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

10 bonnes pratiques de sécurité dans Microsoft SharePoint

10 bonnes pratiques de sécurité dans Microsoft SharePoint 10 bonnes pratiques de sécurité dans Microsoft SharePoint SharePoint constitue certes un outil collaboratif précieux. Mais gare aux risques pour votre entreprise. 10 bonnes pratiques de sécurité dans Microsoft

Plus en détail

Security Center Plate-forme de sécurité unifiée

Security Center Plate-forme de sécurité unifiée Security Center Plate-forme de sécurité unifiée Reconnaissance automatique de plaques d immatriculation Vidéosurveillance Contrôle d accès Solutions innovatrices Tout simplement puissant. Le Security Center

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

Centre de personnalisation de la puce pour la signature électronique

Centre de personnalisation de la puce pour la signature électronique REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE MINISTERE DE LA JUSTICE Centre de personnalisation de la puce pour la signature électronique Par Monsieur AKKA Abdelhakim Directeur Général de la Modernisation

Plus en détail

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes. Infos sécurité Charte d usage des TIC au sein de l Université de Bourgogne CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

La biométrie au cœur des solutions globales

La biométrie au cœur des solutions globales www.thalesgroup.com GESTION D IDENTITÉ SÉCURISÉE La biométrie au cœur des solutions globales Risques et solutions Explosion de la mobilité des personnes et des échanges de données, croissance des flux

Plus en détail

Pour bien commencer avec le Cloud

Pour bien commencer avec le Cloud Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -

Plus en détail

Protection des données personnelles dans le cadre des traitements de lutte contre la fraude

Protection des données personnelles dans le cadre des traitements de lutte contre la fraude la finance solidaire Chapitre ou éthique 4 Protection des données personnelles dans le cadre des traitements de lutte contre la fraude 37 37 Si dans le domaine du paiement par carte en proximité, l utilisation

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper Conformité PCI DSS Réduire les risques en gérant les identités et les accès Ce livre blanc explique comment la suite IAM d Evidian peut vous aider à vous conformer aux exigences PCI DSS. white paper 39

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux Sommaire Concepts du SSO Intégration du SSO dans un projet d IAM Spécifications fonctionnelles et techniques

Plus en détail

Dématérialisation des documents Quelques éléments pour analyser et choisir une solution Illustration avec EdelSafe

Dématérialisation des documents Quelques éléments pour analyser et choisir une solution Illustration avec EdelSafe Dématérialisation des documents Quelques éléments pour analyser et choisir une solution Illustration avec EdelSafe Peter Sylvester / Paul-André Pays EdelWeb http://www.edelweb.fr/ ps@edelweb.fr / pays@edelweb.fr

Plus en détail

Fédérer les identités et développer leurs usages dans de nouveaux contextes

Fédérer les identités et développer leurs usages dans de nouveaux contextes Track 2 : Fédérer les identités et développer leurs usages dans de nouveaux contextes Symposium International de la Transaction Electronique Sécurisée 11 et 12 Juin 2008 Rabat, Maroc 1. Introduction Le

Plus en détail

La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion

Plus en détail

Identité, sécurité et vie privée

Identité, sécurité et vie privée Identité, sécurité et vie privée Yves Deswarte deswarte@laas.fr Toulouse, France Sécurité et respect de la vie privée!deux droits fondamentaux o Déclaration universelle des droits de l homme, ONU, 1948

Plus en détail

SÉCURITÉ INFORMATIQUE AU NIVEAU DES SYSTÈMES DE CONDUITE

SÉCURITÉ INFORMATIQUE AU NIVEAU DES SYSTÈMES DE CONDUITE SÉCURITÉ INFORMATIQUE AU NIVEAU DES SYSTÈMES DE CONDUITE Plus de sécurité pour la gestion de l eau et de l énergie 2 Système de conduite en danger? Éviter les manipulations indésirables Lorsqu'un voleur

Plus en détail

Contrat de Souscription : CA Certificat + Conditions Générales d Utilisation Annexe 2 : Guide de souscription

Contrat de Souscription : CA Certificat + Conditions Générales d Utilisation Annexe 2 : Guide de souscription Contrat de Souscription : CA Certificat + Conditions Générales d Utilisation Annexe 2 : Guide de souscription Pour souscrire le service, le Client doit disposer des logiciels pré-requis indiqués ci-dessous

Plus en détail

Solutions Microsoft Identity and Access

Solutions Microsoft Identity and Access Solutions Microsoft Identity and Access 2 Solutions Microsoft Identity and Access Microsoft Identity and Access (IDA) permet aux entreprises d améliorer leur efficacité et leurs connexions internes et

Plus en détail

Au service des patients

Au service des patients Aastra développe une gamme de solutions répondant aux différents besoins des établissements de santé. Ces solutions optimisent l accueil et le service rendu aux patients, mais aussi les moyens de communication

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Les conseils & les astuces de RSA Pour être tranquille sur Internet

Les conseils & les astuces de RSA Pour être tranquille sur Internet Les conseils & les astuces de RSA Pour être tranquille sur Internet Comment utiliser Internet à son gré tout en étant protégé en permanence de ces menaces? Avec un peu de curiosité, on découvre qu il est

Plus en détail

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes

Plus en détail

La société. Service professionnel, flexible et sécurisé. Notre positionnement : une sécurité assurée et une offre sur-mesure

La société. Service professionnel, flexible et sécurisé. Notre positionnement : une sécurité assurée et une offre sur-mesure La société Service professionnel, flexible et sécurisé NetExplorer accompagne de nombreux clients au travers d une solution SaaS clé en main développée en interne depuis 2007. NetExplorer est devenu le

Plus en détail

DOSSIER SPÉCIAL Accès réseau : Offrez rapidité et sécurité à vos visiteurs

DOSSIER SPÉCIAL Accès réseau : Offrez rapidité et sécurité à vos visiteurs Accès réseau : Offrez rapidité et sécurité à vos LE CLIENT REÇU en rendez-vous, le prestataire venu effectuer un travail, ou le partenaire en visite d affaires ont-ils accès au réseau lorsqu ils se présentent

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Construire un annuaire d entreprise avec LDAP

Construire un annuaire d entreprise avec LDAP Construire un annuaire d entreprise avec LDAP Marcel Rizcallah Éditions Eyrolles ISBN : 2-212-09154-0 2000 Introduction L économie en réseau ou la Net-économie est au cœur des débats et des stratégies

Plus en détail

SOGEB@SE. Foire aux Questions

SOGEB@SE. Foire aux Questions SOGEB@SE Foire aux Questions Sommaire 1. Présentation... 4 Que pouvez-vous faire avec Sogeb@se?... 4 En tant que professionnel, pouvez-vous accéder à Sogeb@se?... 4 Comment souscrire à Sogeb@se?... 4 2.

Plus en détail

Systeme d authentification biometrique et de transfert de donnees cryptees

Systeme d authentification biometrique et de transfert de donnees cryptees Systeme d authentification biometrique et de transfert de donnees cryptees Securisez vos acces et protegez vos donnees Les composants ActiveX développés par NetInf associés aux produits de sécurisation

Plus en détail