Mettre en oeuvre l authentification forte au sein d une banque d investissement Alain ROUX Consultant sécurité GS Days Présentation EdelWeb Décembre 2009
Agenda Présentation d EdelWeb Contexte Les solutions techniques Le couple gagnant Spécificités de l Investment Banking Démarche projet Facteurs clés de réussite Questions/réponses 2
Notre métier : La gestion du risque lié au SI Conseil en sécurité des Systèmes d Information Protéger les systèmes d information, considérés comme valeur essentielle pour l entreprise et ses activités Expertise Spécifier des solutions de sécurité adaptées, accompagner à la mise en œuvre et contrôler la conformité de sécurité Méthodes, expertise, et rigueur - stricte indépendance - esprit de partenariat avec nos clients - transfert de compétence 3
Nos domaines d expertises Identification des risques Audit SSI Stratégie et organisation Globales pour le SI Particulières res Guides de sécurisation Cahier des charges Etude de solutions Expertise technique Formation et sensibilisation Tableaux de bord Veille Audits techniques Tests d intrusion 4 Certifié ISO 9001-2000
Contexte Objectif Bénéfices Pourquoi l authentification forte? Lutter contre la malveillance ou «rogue trading» (ex. : N.Leeson en 1995, B.Hunter en 2006, J.Kerviel en 2008, UBS AG en 2009, etc.) Corriger les mauvaises pratiques (partage de comptes et mots de passe) Simplifier la sécurité pour l utilisateur (gestion des comptes et mots de passe) Respecter la réglementation (déontologie) Garantir l identité de l utilisateur du SI Permettre des contrôles A priori Contrôle d accès physique (bureaux, parkings, restaurants) logique (poste de travail, applications) Gestion des habilitations A posteriori Analyse des traces d audit Accès physique Accès logique Accès applicatif Cohérence? Cohérence? Chemin d audit Certifié ISO 9001-2000 Authentification forte = contrôle d accès + imputabilité 5
Les solutions techniques Authentification forte : les moyens Différentes technologies Carte à puce PKI Biométrie Etc. En fonction des besoins et des contraintes Usages étendus signature électronique, chiffrement, etc. Adhérence au poste de travail, ergonomie, Critère de choix possible : le concept de badge unique Principe Accès aux locaux (bureaux, parking, restaurant) reprise de l existant Accès au système d information (session Windows / applications) carte + code PIN Bénéfices Force à conserver le badge pour circuler plus de sessions laissées ouvertes Analogie avec la carte bancaire réticence à partager son badge Identifier les opportunités et les besoins actuels et futurs (si possible ) 6
Le couple gagnant Authentification forte + SSO = sécurité + ergonomie jdupont xxxxxxx Authentification au poste de travail carte + PIN Mot de passe Windows inconnu (géré par le SSO) ou inexistant (Smart Card logon) Authentification applicative login/password joué par le SSO Mot de passe géré par le SSO Sécurité Authentification forte Imputabilité Plus de vol ou partage possible Possibilité d ajuster robustesse et fréquence de renouvellement Credentials stockés dans le conteneur SSO uniquement activables par saisie du PIN Possibilité de redemander le PIN pour des applications sensibles Plus de vol ou partage possible Possibilité d ajuster robustesse et fréquence de renouvellement Ergonomie Plus de saisie de login/password mais simple saisie d un PIN Plus de gestion (définition, mémorisation) par l utilisateur Plus de saisie de login/password Plus de gestion (définition, mémorisation) par l utilisateur 7
Les spécificités de l Investment Banking Un seul badge pour 1 à n PC gestion de grappes Solutions techniques disponibles Quelle organisation pour les administrer? Continuité des opérations (absences) délégation (sessions Windows / applications) Simplicité et ergonomie des interfaces? Quelle organisation pour exploiter les traces? Continuité des opérations (absences) écrans transparents Fonction standard Surveillance uniquement Quels cas d usage? 10 % de la population = 90% de la complexité 8 8
Démarche Mettre en place la gouvernance Design de la solution Mise en place de l infra Mise en oeuvre du SSO Conduite du changmt Pilote Déploiement Comité de pilotage Comité de suivi Ateliers de travail Fonctionnel Technique Processus SSO Conduite du changement Adaptation éventuelle des produits Proof of concept Expression des besoins fonctionnels Identification des différents cas d usage Contraintes opérationnelles Définition de l organisation et des processus Gestion du cycle de vie de la carte Organisation du déploiement Évaluation des impacts techniques Infrastructure Applications Postes de travail cahier des charges techniques Choix des composants CMS PKI OTP SSO Définition de l organisation Mise en œuvre Exploitation Identification des applications concernées Typologie volumétrie Mécanismes de provisionning Architecture Enrôlement des applications Communication Acteurs projet Générale Formation Opérateurs Admins Support Utilisateurs Périmètre représentatif Cas d usage Typologie utilisateurs Applications Technique (postes clients) Fonctionnel (remise de carte + formation) Formation (carte + SSO) 9 9
Facteurs clés de succès FCS Gouvernance forte Acceptation de l utilisateur Solution technique robuste compatible avec les exigences métier Organisation et processus pertinents Faire partager les enjeux stratégiques du projet Appuyer les évolutions nécessaires : organisation, processus, infrastructure, modes de travail, etc Assurer l adéquation fonctionnelle de la solution Conduire le changement Apporter de l ergonomie et de la simplicité Taux de disponibilité (environnement s critiques) Impact sur les performances (infra client) Adéquation avec l existant Compromis entre sécurité (doubles-contrôles) et simplicité Solution inadaptée risque de rejet 10
Questions? 11
Merci pour votre attention Alain ROUX EdelWeb, Groupe ON-X alain.roux@edelweb.fr 06 21 80 11 57 12