de la securité informatique a l’identite numerique 2.0
DESCRIPTION
De la Sécurité Informatique à l’identité Numérique sur les plateformes SaaS.(Internet) Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé. Éléments d'analyse prospective sur l'evolution de la securite du systeme d'information 2.0TRANSCRIPT
E. Herschkorn & P. Barrabé
De la Sécurité Informatiqueà l’Identité Numérique 2.0
Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé de 1998 à 2008
E. Herschkorn & P. Barrabé
De la Sécurité Informatique à l’Identité De la Sécurité Informatique à l’Identité Numérique 2.0Numérique 2.0
Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé
D’avant hier à 1998
De 1998 à 2008
Après 2008
E. Herschkorn & P. Barrabé
La Sécurité de l'informationLa Sécurité de l'information Internet et IntranetInternet et Intranet
Mai 1998Mai 1998
Prendre conscience et mesurer les risques liés à la sécurité du système d'information
Introduction
La sécurité informatique
Les risques
Les solutions
Le chiffrement (cryptage)
Démonstration / Débat
E. Herschkorn & P. Barrabé
Ce qui a changé en 1998 ?Ce qui a changé en 1998 ?
89/90 : Le gouvernement US autorise l'usage commercial de l’Internet
92 : Le "World Wide Web"=> ouverture au monde PC=> ouverture au commerce électronique !?
Explosion des réseaux IP (97)
Réalité industrielle (98)
Le phénomène Internet a fait prendre conscience aux décideurs des problèmes existants de la sécurité
1998
E. Herschkorn & P. Barrabé
Avancée rapide des technologies
Avancée rapide des technologies
Des besoins qui murissent
Des besoins qui murissent
Reconnaissancedu marché
Reconnaissancedu marché
Publication d’informationPublication d’informationPublication d’informationPublication d’information
……l’utilisation évolue l’utilisation évolue
1968 1998
Applications métiersApplications métiersApplications métiersApplications métiers
FonctionnalitésFonctionnalités Amélioration de la Amélioration de la
bande passantebande passante AdministrabilitéAdministrabilité Performance des Performance des
servicesservices
FonctionnalitésFonctionnalités Amélioration de la Amélioration de la
bande passantebande passante AdministrabilitéAdministrabilité Performance des Performance des
servicesservices
FonctionnalitésFonctionnalités Publication facilePublication facile Accès simplifié à Accès simplifié à
l’informationl’information Contenu richeContenu riche
FonctionnalitésFonctionnalités Publication facilePublication facile Accès simplifié à Accès simplifié à
l’informationl’information Contenu richeContenu riche
ExemplesExemples MarketingMarketing JeuxJeux Commerce Commerce
électroniqueélectronique Téléphonie et visioTéléphonie et visio
ExemplesExemples MarketingMarketing JeuxJeux Commerce Commerce
électroniqueélectronique Téléphonie et visioTéléphonie et visio
Exemples Exemples d’applicationsd’applications
Rapports d’activités Rapports d’activités Liste de prix, Liste de prix,
catalogues catalogues
Exemples Exemples d’applicationsd’applications
Rapports d’activités Rapports d’activités Liste de prix, Liste de prix,
catalogues catalogues
1998
E. Herschkorn & P. Barrabé
Pourquoi se Protéger en 1998 ?Pourquoi se Protéger en 1998 ?
Protéger le SI de l’entreprisepour lutter contre le piratage informatique
Identifier les collaborateurs (authentification)
Échanges avec vos partenaires (confidentialité)
Virus (intégrité)
Messagerie (pollution des boites Email )
Commerce électronique
1998
E. Herschkorn & P. Barrabé
Les risques par domaineLes risques par domaine
50% des risques viennent de l’intérieur des entreprises
1998
E. Herschkorn & P. Barrabé
La sécurité d'accès logiqueLa sécurité d'accès logique
Id : mon prénomPassword : toto
1988
E. Herschkorn & P. Barrabé
La sécurité d'accès logiqueLa sécurité d'accès logique
1998
E. Herschkorn & P. Barrabé
La sécurité des messagerie (email)La sécurité des messagerie (email)
1998
E. Herschkorn & P. Barrabé
La sécurité des messagerie en ligne (hotmail)La sécurité des messagerie en ligne (hotmail)
Et Microsoft inventa le compte Passport Ma 1ere adresses de messagerie Microsoft : [email protected]
1998
E. Herschkorn & P. Barrabé
La sécurité informatiqueLa sécurité informatique
Le phénomène "Internet" a fait ressurgir les problèmes de sécurité informatique de l’entreprise
Prise de conscience de la direction DG
Le responsable sécurité : RSSI
La sécurité est un problème de culture et non de technologie
1998
E. Herschkorn & P. Barrabé
Maîtres mots de la sécuritéMaîtres mots de la sécurité
Interdire tout ce qui n’est pas explicitement autorisé
Réagir aux actions anormales ou hostiles
Journaliser toute l’activité
Éduquer les administrateurs et les utilisateurs
Nommer un responsable sécurité et lui donner les pouvoirs nécessaires
1998
E. Herschkorn & P. Barrabé
Internet / Intranet / ExtranetInternet / Intranet / Extranet
Intranet : ensemble des technologies de l’Internet appliquées au domaine privé de l’entreprise. (réseau local IP)
Internet / Intranet : à la frontière entre Internet et Intranet doit exister une machine qui met en œuvre la politique de sécurité de l’entreprise
Extranet : doit exister une solution qui met en œuvre l'identification des partenaires
1998
E. Herschkorn & P. Barrabé
Serveur Web
Internet : la vision du publicInternet : la vision du public
RéseauTéléphoniqueou d’Entreprise
Internet
BanquesIntermédiaires(tiers de confiance)
Client Web
Commerce
Consommateurs
POP
1998
E. Herschkorn & P. Barrabé
Intranet et Internet : La vision de l’entrepriseIntranet et Internet : La vision de l’entreprise
Serveurs Web privés :Communication,Travail en groupe
Client Web
Collaborateur
Intranet
Internet
Applicatifs etBases de donnéesexistantes
Serveur Web public
PartenairesAccès à l’existant
1998
E. Herschkorn & P. Barrabé
Les risques de l’Internet par serviceLes risques de l’Internet par service
Messagerie (email) Virus PJ+Id
Consultation de pages (http) Intru+Intégrité
Groupes de discussion (News) Identification
Transfert de fichiers (FTP) Virus+$
Visioconférence Authentification
Vidéo à la demande $
Commerce électronique $
1998
E. Herschkorn & P. Barrabé
Définition de l’Internet : les standardsDéfinition de l’Internet : les standards
Un réseau de réseaux
Unifiés par un ensemble de protocoles et de standards
TCP/IP (16.189.208.252), DNS, PPP, RAS, ...
NNTP, SMTP, POP, LDAP, X500, SNMP, ...
HTTP/HTML, MIME, FTP, VRML, SQL, ...
SSL, SET, CSET, EDI, …
RSA
1998
E. Herschkorn & P. Barrabé
Solutions de Sécurité l’InternetSolutions de Sécurité l’Internet
Technologie des «firewalls» (murs pare-feu)
Serveur Proxy
Hébergement du serveur chez un prestataire externe
Gestion de la stratégie de la sécurité (Mdp + Id)
Contrôle d'accès logique : Smartcard
Cryptographie
Tiers de confiance
1998
E. Herschkorn & P. Barrabé
Qu’est ce qu’un Serveur de proxy ?Qu’est ce qu’un Serveur de proxy ?
Proxy ServerProxy Server
Ré
sea
u d
e l’E
ntre
prise
~50%De
traffic en
moins
~50%De
traffic en
moins
Connexion à l’Internet
Premier browserPremier browser Deuxième browserDeuxième browser
Contenucaché
Contenucaché
Gestion optimisée du
cache
Gestion optimisée du
cache
Internet
1998
E. Herschkorn & P. Barrabé
Cache hiérarchiqueCache hiérarchique
ParisParis
LyonLyon MarseilleMarseille
Internet
1998
E. Herschkorn & P. Barrabé
FIRE WALLFIRE WALL
Internet
Agence de l'entreprise
Réseau privéLAN distant
Utilisateur en accès distant
SI de l'Entreprise
Utilisateur en accès local
1998
E. Herschkorn & P. Barrabé
Virtual Private NetworkVirtual Private Network
Internet
AltaVista Tunnel, ed. groupe
Réseau privéLAN distant
AltaVistal Tunnel, ed. personnelle
AltaVista Tunnel, ed. groupe
1998
E. Herschkorn & P. Barrabé
La carte à puceLa carte à puce
Une solution d’identification sur le système d’information La carte se substitue à l'identifiant Le PIN code au mot de passe
1998
Single Sign-on et log-on unique pour authentifier chaque utilisateur
E. Herschkorn & P. Barrabé
La sécurité d’accès logique par SmartcardLa sécurité d’accès logique par Smartcard
1998
E. Herschkorn & P. Barrabé
Solutions de CryptageSolutions de Cryptage
Technologies Clef secrète ou symétrique (DES, 3DES, ...) Clef publique / clef privée ou asymétrique (RSA)
Le chiffrage des transmissions La Signature : contrôle d'accès logique
ex: Mdp + Id par Smartcard "CAPSUL®«
Transaction financière cryptographie via tiers de confiance délivrant des certificats
1998
E. Herschkorn & P. Barrabé
Le Cryptage en France en 1998Le Cryptage en France en 1998
SCSSI Organisme indépendant contrôlé par l'état Fr
(Décret n°98-101 du 24 février 1998) Il agrée les dépositaires candidats faisant du chiffrage de
transmissions
TCP : tiers de confiance délivrant des certificats et détenteur des clés privées
Signature électronique par Smartcard ne nécessite pas d'autorisation
1998
E. Herschkorn & P. Barrabé
AA
Cryptographie à clef symétriqueCryptographie à clef symétrique
1.1. A crée un message et le chiffre avec la clef connue de lui et de B
2.2. A envoi le message sur le réseau à B
3.3. B reçoit le message chiffre et le déchiffre avec la clef
Message Message
BB
1998
E. Herschkorn & P. Barrabé
Cle publique de ACle publique de A
Cryptographie à clef AsymétriqueCryptographie à clef Asymétrique
1.1. B crée 2 clés : 1 privée et 1 publique qu'il diffuseB crée 2 clés : 1 privée et 1 publique qu'il diffuse
2. A crée un message et le chiffre avec la clef publique de B
3.3. A envoi le message sur le réseau à B
4.4. B reçoit le message chiffré et le déchiffre avec sa clef privée
5. Si B veut répondre, il utilisera la clé publique de A
Message Message
Cle privée de BCle privée de B
RSARSA
1998
E. Herschkorn & P. Barrabé
Positionnement des mode de chiffrementPositionnement des mode de chiffrement
AsymetriqueAsymetriqueSymetriqueSymetrique
Ric
hes
seR
ich
esse
Mo
ins
Mo
ins
Plu
sP
lus
La clef est uniqueLa clef est uniquepas de certificatpas de certificat
RapideRapide
LentLent
robusterobuste
1998
E. Herschkorn & P. Barrabé
Commerce électroniqueCommerce électronique
Le commerce électronique a besoin de sécurité (accès, transport, transactions)
Les technologies correspondantes sont connues et disponibles, mais contrôlées par le gouvernement
Le SCSSI impose un tiers de confiance
Leur déploiement sur l’Internet est en cours SSL (Netscape), https SET,CSET (Microsoft, Netscape, IBM, Visa, Mastercard)
» ( signature et chiffrement )
1998
E. Herschkorn & P. Barrabé
Connexion à Internet en mode paiement sécuriséConnexion à Internet en mode paiement sécurisé
Modem RTC, RNIS, câble
Client équipé d'un lecteur de carte
INTERNET
Tiers de confiance délivrant des certificats
Fournisseurde services
Architecture commerce électronique en 1998
1998
E. Herschkorn & P. Barrabé
1998 / 1998 / 2008
What’s new
E. Herschkorn & P. Barrabé
Bienvenue dans l’économie numérique!Bienvenue dans l’économie numérique! « L’Entreprise 2.0 désigne l’usage de plateformes
collaboratives et sociales au sein d’une entreprise ou de plusieurs entreprises et ses partenaires et clients »(Collaborative Attitude par Fred Cavazza)
« Donner de la vitesse aux Entreprises 2.0 qui possèdent de la valeur sur un modèle de PRM» (Run your Network par Eric Herschkorn)
Le véritable patrimoine est informationnel et identitaire (marques, usages, compétences)
le nouvel axe stratégique de la sécurité en entreprise
E. Herschkorn & P. Barrabé
S’inscrire, pour avoir une identité numérique !S’inscrire, pour avoir une identité numérique !
E. Herschkorn & P. Barrabé
Identité: 2.0 ? La part de l’entrepriseIdentité: 2.0 ? La part de l’entreprisePersonnelle
Professionnelle
PubliquePrivée ID
contrôle
fonction - rôle
statut
liberté
E. Herschkorn & P. Barrabé
ViralitéViralité 2.0 et NetRep:2.0 et NetRep:maîtrise de son identité numériquemaîtrise de son identité numérique
Source Viadéo
Celle de l’entreprise
Celle des dirigeants
Celle des salariés
E. Herschkorn & P. Barrabé
Un risque pour la maîtrise de l’identité!Un risque pour la maîtrise de l’identité!
Des services et des usages 2.0 Chat on line Gestion de Contact Courrier électronique Courrier mensuel (newsletter) Applications
Portabilité des services multi réseaux
E. Herschkorn & P. Barrabé
Identité numérique & NetRepIdentité numérique & NetRep
De nouvelles failles de sécurité informatique ?
Qu’est-ce que la sécurité dans ce nouvel environnement d’usages?
E. Herschkorn & P. Barrabé
Identité numérique & NetRepIdentité numérique & NetRep
Une simple réponse dans un blog ! avec usurpation d’identité Mais vous n’avez jamais répondu !!!
Quelle confiance dans ce nouvel environnement d’usages?
E. Herschkorn & P. Barrabé
Besoin d’identité, mais pour quelles sites ? Besoin d’identité, mais pour quelles sites ? B2B
B2C
BusinessLoisirs
RSP
Media
Alumni
Rencontres
Cadran Magic RSP 2.0 by Sparinc –mars 2008
E. Herschkorn & P. Barrabé
Googlez l’identité des auteurs sur le web
Eric HERSCHKORN Patrick BARRABE
What else ?