biométrie et sécurité de l'information aapi avril 2014 v 15 04
DESCRIPTION
Biométrie et sécurité de l'information, présenté au congrès de l'AAPI, avril 2014 French presentation on biometry and Information SecurityTRANSCRIPT
Biométrie et sécurité de l’information
4/18/2014 1
Martin M Samson, CISM, CGEIT, CRISC
Parenthèse sur la sécurité de l’information
La biométrie qu’est-ce que c’est?
Différentes techniques biométriques
Comment ça marche?
Conclusion
Ordre du jour
La sécurité de l’information (SI) c’est quoi???
La sécurité totale est-ce que ça existe?
Une solution la gestion des risques!
Introduction
Normes et bonnes pratiques
Étape 1 D-I-C
CATEGORISER l'information
• Lois, directives, politiques, orientation • Objectifs stratégiques et d’affaires • Exigences de sécurité de l’information • Cadres de gestion d’entreprise et SI
• Architecture d’entreprise • Mission / processus d'affaires • Modèles de référence-Bonnes pratiques • Architecture de la solution • Limites du système d'information
GESTION DES RISQUES DE
L’INFORMATION Cycle de vie
Étape 2 SELECTION Contrôles de
sécurité
Étape 5 AUTORISER
Systèmes d'information
Étape 3 MISE EN ŒUVRE
Contrôles de sécurité
Étape 6 SURVEILLANCE
Contrôles de sécurité
Étape 4 ÉVALUER
Contrôles de sécurité
DÉROGATION
Source : NIST
Le risque est inévitable et il est présent dans presque toutes les situations de la vie.
Le risque pour une personne représente une opportunité pour une autre.
Le risque…
Dans l’organisation… RISQUE STRATÉGIQUE
RISQUE TACTIQUE
ORGANISATION
PROCESSUS D’AFFAIRES / MISSION
SYSTÈMES D’INFORMATION
Source NIST
Communication Amélioration continue
Conscience du risque à l’échelle de l’organisation
Traçabilité et transparence
Faire approuver les méthodologies d'évaluation de risque par la haute direction
Éviter de laisser une seule personne juger du risque et de son ampleur
Utiliser des méthodologies reconnues avec des
indicateurs les plus précis possible
Avoir une bonne connaissance des exigences de conformité légales et autres
Gérer le risque résiduel
La gestion du risque…
La gestion du risque…
Données
c’est ça!
Jusqu’où aller dans la sécurité ?
10
La SI…en équipe
11
Comité directeur en sécurité
CISO-DSI
Comité de gestion des risques d’entreprises
Responsable de la sécurité de l’information
Propriétaires
12
CISO-DSI
Responsabilités du CISO-DSI : • Établir et maintenir le SMSI • Définir et gérer le plan de gestion/traitement des risques et le plan de reprise • Contrôle et audit du SMSI Niveau d'autorité : Responsable/imputable de la mise en œuvre et du maintien de la stratégie de sécurité de l'information. La reddition de comptes (imputabilité) et l'approbation des décisions importantes reliées à la sécurité de l’information.
Source COBIT
13
Comité directeur/sécurité
• Regrouper les spécialistes qui permettront de bien gérer la sécurité de l’information en entreprise. Exemples : RH-Auditeurs internes-Légal etc.
• Communication des bonnes pratiques de sécurité de l’information de même que leur implantation et suivi.
Source COBIT
14
Comités de gestion des risques d’entreprises
• Responsable de certains processus ou applications d’affaires.
• Responsable de communiquer les liens entre les affaires et la sécurité (impacts sur les usagers).
• Connaissance des risques reliés à l’opération de même que les coûts/bénéfices des besoins de sécurité pour les directions.
Source COBIT
15
Responsable de la sécurité de l’information
• Développe une vision commune pour l’équipe de sécurité et le reste de l’entreprise.
• Gère le personnel relié à la sécurité de l’information en fonction des besoins d’affaires.
• Effectue les évaluations de risque et définit les profils de risque.
• Développe le plan de sécurité de l’information. • Surveille les indicateurs de gestions reliés à la SI. • Identifie/communique les besoins en sensibilisation. • Responsable de l’adhésion des ressources et de la
haute direction aux bonnes pratiques de sécurité.
Source COBIT
16
Propriétaires de processus /
responsables de la sécurité des données et des systèmes
• Communiquer, coordonner et conseiller l’entreprise sur les efforts requis pour gérer les risques avec les gestionnaires hiérarchiques.
• Rapporter les changement dans les besoins d’affaires et les stratégies liés aux nouveaux produits ou aux changements des produits existants.
• Responsable de rendre plus visible les aspects de sécurité de l’information au travers de toute l’entreprise.
Source COBIT
Éviter de…
Une série de méthodes automatisées permettant de reconnaître une personne
Le résultat doit être mesurable
La biométrie fait partie de l’arsenal de sécurité que les professionnels utilisent pour sécuriser l’accès à l’information
Ça demeure…
La Biométrie Qu’est-ce que c’est?
La Biométrie Réflexion
Nous n’en sommes pas encore au point de pouvoir prendre en photo des gens dans la rue au moyen de notre téléphone intelligent, les identifier et avoir accès à des renseignements à leur sujet. Toutefois, cette réalité n’est peut-être pas si lointaine et on peut en imaginer les répercussions sur nos interactions, nos relations interpersonnelles et la façon dont nous vivons notre vie. Entre autres choses, cela accentuera le fossé économique et social entre ceux qui ont accès à la technologie et les autres. Cela banalisera aussi le recours à la surveillance et à la reconnaissance faciale.
Source : Rapport de recherche de la CPVP mars 2013
Des premiers hommes, la reconnaissance faciale
Google Picasa (prochaine diapo…)
Les systèmes de reconnaissance faciale
dans les aéroports
Lecture biométrique aux guichets
Votre Galaxy S-IV reconnait votre visage
Exemples
Votre Galaxy S-… va lire votre IRIS!
Picasa
Augmenter le nombre de facteurs d’authentification
Ce que je sais Identifiant/Mot de passe/NIP
Ce que je possède Jeton/carte d’authentification
Ce que je suis Biométrie
La biométrie une sécurisation… supplémentaire
Caractéristiques mesurées Deux types de mesures biométriques
Biologiques/morphologiques Comportementales
Comme le niveau des failles de sécurité et les fraudes transactionnelles sont en hausse, le besoin en identification plus robuste/sécuritaire devient une nécessité
Les technologies biométriques sont en voie de devenir le fondement d'une gestion d'identité mieux sécurisée.
La Biométrie Qu’est-ce que c’est?
1. Unicité : l’attribut biométrique doit varier suffisamment d'une personne à une autre tel que les variations rendent l’attribut unique
2. Robustesse: un attribut biométrique devrait être permanent tout au long de la vie d'une personne
3. Quantifiable : mesurable avec une certaine précision
4. Acceptable par la population : les empreintes digitales ont souvent été associées à la criminalité
5. Universelle : la majeure partie de la population possède l’attribut mesuré (empreintes digitales).
La Biométrie Qu’est-ce que c’est?
Caractéristiques
Quelques modes de reconnaissance
Visage Iris Rétine Empreinte digitale
Oreille ADN Touches de clavier Démarche
Source : Pentest Magazine
Géométrie de la main
Une caméra mesure la taille et la forme de la main
Méthode biométrique facile à utiliser Méthode qui a fait ses preuves dans des
applications à volume élevé Faible taux d’enregistrement échoué,
environ 1 sur 10,000 La grande taille des lecteurs peut être un
désavantage La forme de la main est moins stable dans
le temps que les empreintes digitales.
Une photo 3D de la main est prise. Une analyse de 31,000 points est effectuée
– aucune empreinte. Une mesure de plus de 90 points distincts
est effectuée Longueur Largeur Épaisseur Surface
Qu’est-ce qui est mesuré?
Le NIP de l’usager est toujours requis.
Les techniques Intrusif : décrit dans quelle mesure l'utilisateur
perçoit le test comme intrusif
Distinctif : efficacité de la méthode (capacité à identifier quelqu'un)
Coût : coût de la technologie
Effort : effort requis par l'utilisateur lors de la mesure.
Comparaison des différentes techniques biométriques
Intrusif Distinctif Coût Effort
Biométrie « idéale » Empreinte
palmaire
Analyse de signature
Empreinte digitale
Empreinte vocale
Reconnaissance de l’iris
Analyse de la rétine
Reconnaissance faciale
Dynamique des frappes au
clavier
Source : International biometric group
Géométrie de la main
ADN
Empreintes digitales
Reconnaissance faciale
Image-source : www.luxand.com
Calculs basés sur des algorithmes pour détecter et suivre les traits du visage
Coordonnées de plusieurs caractéristiques du visage Yeux Contour des yeux Sourcils Contour des lèvres Bout du nez
Reconnaissance faciale
Reconnaissance de l’iris
Gestion et stockage des renseignements personnels…
Être retracé sans que nous le sachions… Fiabilité des méthodes de mesure
Aucune mesure n’est totalement exacte… Risque de rejet par l’équipement Risque de fausse acceptation par l’équipement
La méthode a des risques d’être attaquée Une fois que vos données personnelles
sont compromises…
Risques…
Contrefaçon d’empreintes
La biométrie Comment l’attaquer?
Copie de l’iris Empreinte vocale contrefaite …
D. brutes Gabarit
La biométrie : Comment ça marche?
Collecte Données Comparaison Extraction Ré s.
Entrepôt de gabarits
Vecteurs d’attaque Méthode Zamboni
1
6
2
3
4
5 8
7
En conclusion, la biométrie doit être vue comme un complément aux autres méthodes d’authentification et non un remplacement des méthodes existantes.
Biométrie Conclusion
Gérer les risques…