De la Securité Informatique a l’Identite Numerique 2.0

42
E. Herschkorn & P. Barrabé De la Sécurité Informatique à l’Identité Numérique 2.0 Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé de 1998 à 2008

description

De la Sécurité Informatique à l’identité Numérique sur les plateformes SaaS.(Internet) Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé. Éléments d'analyse prospective sur l'evolution de la securite du systeme d'information 2.0

Transcript of De la Securité Informatique a l’Identite Numerique 2.0

Page 1: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

De la Sécurité Informatiqueà l’Identité Numérique 2.0

Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé de 1998 à 2008

Page 2: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

De la Sécurité Informatique à l’Identité De la Sécurité Informatique à l’Identité Numérique 2.0Numérique 2.0

Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé

D’avant hier à 1998

De 1998 à 2008

Après 2008

Page 3: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

La Sécurité de l'informationLa Sécurité de l'information Internet et IntranetInternet et Intranet

Mai 1998Mai 1998

Prendre conscience et mesurer les risques liés à la sécurité du système d'information

Introduction

La sécurité informatique

Les risques

Les solutions

Le chiffrement (cryptage)

Démonstration / Débat

Page 4: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Ce qui a changé en 1998 ?Ce qui a changé en 1998 ?

89/90 : Le gouvernement US autorise l'usage commercial de l’Internet

92 : Le "World Wide Web"=> ouverture au monde PC=> ouverture au commerce électronique !?

Explosion des réseaux IP (97)

Réalité industrielle (98)

Le phénomène Internet a fait prendre conscience aux décideurs des problèmes existants de la sécurité

1998

Page 5: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Avancée rapide des technologies

Avancée rapide des technologies

Des besoins qui murissent

Des besoins qui murissent

Reconnaissancedu marché

Reconnaissancedu marché

Publication d’informationPublication d’informationPublication d’informationPublication d’information

……l’utilisation évolue l’utilisation évolue

1968 1998

Applications métiersApplications métiersApplications métiersApplications métiers

FonctionnalitésFonctionnalités Amélioration de la Amélioration de la

bande passantebande passante AdministrabilitéAdministrabilité Performance des Performance des

servicesservices

FonctionnalitésFonctionnalités Amélioration de la Amélioration de la

bande passantebande passante AdministrabilitéAdministrabilité Performance des Performance des

servicesservices

FonctionnalitésFonctionnalités Publication facilePublication facile Accès simplifié à Accès simplifié à

l’informationl’information Contenu richeContenu riche

FonctionnalitésFonctionnalités Publication facilePublication facile Accès simplifié à Accès simplifié à

l’informationl’information Contenu richeContenu riche

ExemplesExemples MarketingMarketing JeuxJeux Commerce Commerce

électroniqueélectronique Téléphonie et visioTéléphonie et visio

ExemplesExemples MarketingMarketing JeuxJeux Commerce Commerce

électroniqueélectronique Téléphonie et visioTéléphonie et visio

Exemples Exemples d’applicationsd’applications

Rapports d’activités Rapports d’activités Liste de prix, Liste de prix,

catalogues catalogues

Exemples Exemples d’applicationsd’applications

Rapports d’activités Rapports d’activités Liste de prix, Liste de prix,

catalogues catalogues

1998

Page 6: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Pourquoi se Protéger en 1998 ?Pourquoi se Protéger en 1998 ?

Protéger le SI de l’entreprisepour lutter contre le piratage informatique

Identifier les collaborateurs (authentification)

Échanges avec vos partenaires (confidentialité)

Virus (intégrité)

Messagerie (pollution des boites Email )

Commerce électronique

1998

Page 7: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Les risques par domaineLes risques par domaine

50% des risques viennent de l’intérieur des entreprises

1998

Page 8: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

La sécurité d'accès logiqueLa sécurité d'accès logique

Id : mon prénomPassword : toto

1988

Page 9: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

La sécurité d'accès logiqueLa sécurité d'accès logique

1998

Page 10: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

La sécurité des messagerie (email)La sécurité des messagerie (email)

1998

Page 11: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

La sécurité des messagerie en ligne (hotmail)La sécurité des messagerie en ligne (hotmail)

Et Microsoft inventa le compte Passport Ma 1ere adresses de messagerie Microsoft : [email protected]

1998

Page 12: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

La sécurité informatiqueLa sécurité informatique

Le phénomène "Internet" a fait ressurgir les problèmes de sécurité informatique de l’entreprise

Prise de conscience de la direction DG

Le responsable sécurité : RSSI

La sécurité est un problème de culture et non de technologie

1998

Page 13: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Maîtres mots de la sécuritéMaîtres mots de la sécurité

Interdire tout ce qui n’est pas explicitement autorisé

Réagir aux actions anormales ou hostiles

Journaliser toute l’activité

Éduquer les administrateurs et les utilisateurs

Nommer un responsable sécurité et lui donner les pouvoirs nécessaires

1998

Page 14: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Internet / Intranet / ExtranetInternet / Intranet / Extranet

Intranet : ensemble des technologies de l’Internet appliquées au domaine privé de l’entreprise. (réseau local IP)

Internet / Intranet : à la frontière entre Internet et Intranet doit exister une machine qui met en œuvre la politique de sécurité de l’entreprise

Extranet : doit exister une solution qui met en œuvre l'identification des partenaires

1998

Page 15: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Serveur Web

Internet : la vision du publicInternet : la vision du public

RéseauTéléphoniqueou d’Entreprise

Internet

BanquesIntermédiaires(tiers de confiance)

Client Web

Commerce

Consommateurs

POP

1998

Page 16: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Intranet et Internet : La vision de l’entrepriseIntranet et Internet : La vision de l’entreprise

Serveurs Web privés :Communication,Travail en groupe

Client Web

Collaborateur

Intranet

Internet

Applicatifs etBases de donnéesexistantes

Serveur Web public

PartenairesAccès à l’existant

1998

Page 17: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Les risques de l’Internet par serviceLes risques de l’Internet par service

Messagerie (email) Virus PJ+Id

Consultation de pages (http) Intru+Intégrité

Groupes de discussion (News) Identification

Transfert de fichiers (FTP) Virus+$

Visioconférence Authentification

Vidéo à la demande $

Commerce électronique $

1998

Page 18: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Définition de l’Internet : les standardsDéfinition de l’Internet : les standards

Un réseau de réseaux

Unifiés par un ensemble de protocoles et de standards

TCP/IP (16.189.208.252), DNS, PPP, RAS, ...

NNTP, SMTP, POP, LDAP, X500, SNMP, ...

HTTP/HTML, MIME, FTP, VRML, SQL, ...

SSL, SET, CSET, EDI, …

RSA

1998

Page 19: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Solutions de Sécurité l’InternetSolutions de Sécurité l’Internet

Technologie des «firewalls» (murs pare-feu)

Serveur Proxy

Hébergement du serveur chez un prestataire externe

Gestion de la stratégie de la sécurité (Mdp + Id)

Contrôle d'accès logique : Smartcard

Cryptographie

Tiers de confiance

1998

Page 20: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Qu’est ce qu’un Serveur de proxy ?Qu’est ce qu’un Serveur de proxy ?

Proxy ServerProxy Server

sea

u d

e l’E

ntre

prise

~50%De

traffic en

moins

~50%De

traffic en

moins

Connexion à l’Internet

Premier browserPremier browser Deuxième browserDeuxième browser

Contenucaché

Contenucaché

Gestion optimisée du

cache

Gestion optimisée du

cache

Internet

1998

Page 21: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Cache hiérarchiqueCache hiérarchique

ParisParis

LyonLyon MarseilleMarseille

Internet

1998

Page 22: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

FIRE WALLFIRE WALL

Internet

Agence de l'entreprise

Réseau privéLAN distant

Utilisateur en accès distant

SI de l'Entreprise

Utilisateur en accès local

1998

Page 23: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Virtual Private NetworkVirtual Private Network

Internet

AltaVista Tunnel, ed. groupe

Réseau privéLAN distant

AltaVistal Tunnel, ed. personnelle

AltaVista Tunnel, ed. groupe

1998

Page 24: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

La carte à puceLa carte à puce

Une solution d’identification sur le système d’information La carte se substitue à l'identifiant Le PIN code au mot de passe

1998

Single Sign-on et log-on unique pour authentifier chaque utilisateur

Page 25: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

La sécurité d’accès logique par SmartcardLa sécurité d’accès logique par Smartcard

1998

Page 26: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Solutions de CryptageSolutions de Cryptage

Technologies Clef secrète ou symétrique (DES, 3DES, ...) Clef publique / clef privée ou asymétrique (RSA)

Le chiffrage des transmissions La Signature : contrôle d'accès logique

ex: Mdp + Id par Smartcard "CAPSUL®« 

Transaction financière cryptographie via tiers de confiance délivrant des certificats

1998

Page 27: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Le Cryptage en France en 1998Le Cryptage en France en 1998

SCSSI Organisme indépendant contrôlé par l'état Fr

(Décret n°98-101 du 24 février 1998) Il agrée les dépositaires candidats faisant du chiffrage de

transmissions

TCP : tiers de confiance délivrant des certificats et détenteur des clés privées

Signature électronique par Smartcard ne nécessite pas d'autorisation

1998

Page 28: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

AA

Cryptographie à clef symétriqueCryptographie à clef symétrique

1.1. A crée un message et le chiffre avec la clef connue de lui et de B

2.2. A envoi le message sur le réseau à B

3.3. B reçoit le message chiffre et le déchiffre avec la clef

Message Message

BB

1998

Page 29: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Cle publique de ACle publique de A

Cryptographie à clef AsymétriqueCryptographie à clef Asymétrique

1.1. B crée 2 clés : 1 privée et 1 publique qu'il diffuseB crée 2 clés : 1 privée et 1 publique qu'il diffuse

2. A crée un message et le chiffre avec la clef publique de B

3.3. A envoi le message sur le réseau à B

4.4. B reçoit le message chiffré et le déchiffre avec sa clef privée

5. Si B veut répondre, il utilisera la clé publique de A

Message Message

Cle privée de BCle privée de B

RSARSA

1998

Page 30: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Positionnement des mode de chiffrementPositionnement des mode de chiffrement

AsymetriqueAsymetriqueSymetriqueSymetrique

Ric

hes

seR

ich

esse

Mo

ins

Mo

ins

Plu

sP

lus

La clef est uniqueLa clef est uniquepas de certificatpas de certificat

RapideRapide

LentLent

robusterobuste

1998

Page 31: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Commerce électroniqueCommerce électronique

Le commerce électronique a besoin de sécurité (accès, transport, transactions)

Les technologies correspondantes sont connues et disponibles, mais contrôlées par le gouvernement

Le SCSSI impose un tiers de confiance

Leur déploiement sur l’Internet est en cours SSL (Netscape), https SET,CSET (Microsoft, Netscape, IBM, Visa, Mastercard)

» ( signature et chiffrement )

1998

Page 32: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Connexion à Internet en mode paiement sécuriséConnexion à Internet en mode paiement sécurisé

Modem RTC, RNIS, câble

Client équipé d'un lecteur de carte

INTERNET

Tiers de confiance délivrant des certificats

Fournisseurde services

Architecture commerce électronique en 1998

1998

Page 33: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

1998 / 1998 / 2008

What’s new

Page 34: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Bienvenue dans l’économie numérique!Bienvenue dans l’économie numérique! « L’Entreprise 2.0 désigne l’usage de plateformes

collaboratives et sociales au sein d’une entreprise ou de plusieurs entreprises et ses partenaires et clients »(Collaborative Attitude par Fred Cavazza)

« Donner de la vitesse aux Entreprises 2.0 qui possèdent de la valeur sur un modèle de PRM» (Run your Network par Eric Herschkorn)

Le véritable patrimoine est informationnel et identitaire (marques, usages, compétences)

le nouvel axe stratégique de la sécurité en entreprise

Page 35: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

S’inscrire, pour avoir une identité numérique !S’inscrire, pour avoir une identité numérique !

Page 36: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Identité: 2.0 ? La part de l’entrepriseIdentité: 2.0 ? La part de l’entreprisePersonnelle

Professionnelle

PubliquePrivée ID

contrôle

fonction - rôle

statut

liberté

Page 37: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

ViralitéViralité 2.0 et NetRep:2.0 et NetRep:maîtrise de son identité numériquemaîtrise de son identité numérique

Source Viadéo

Celle de l’entreprise

Celle des dirigeants

Celle des salariés

Page 38: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Un risque pour la maîtrise de l’identité!Un risque pour la maîtrise de l’identité!

Des services et des usages 2.0 Chat on line Gestion de Contact Courrier électronique Courrier mensuel (newsletter) Applications

Portabilité des services multi réseaux

Page 39: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Identité numérique & NetRepIdentité numérique & NetRep

De nouvelles failles de sécurité informatique ?

Qu’est-ce que la sécurité dans ce nouvel environnement d’usages?

Page 40: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Identité numérique & NetRepIdentité numérique & NetRep

Une simple réponse dans un blog ! avec usurpation d’identité Mais vous n’avez jamais répondu !!!

Quelle confiance dans ce nouvel environnement d’usages?

Page 41: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Besoin d’identité, mais pour quelles sites ? Besoin d’identité, mais pour quelles sites ? B2B

B2C

BusinessLoisirs

RSP

Media

Alumni

Rencontres

Cadran Magic RSP 2.0 by Sparinc –mars 2008

Page 42: De la Securité Informatique a l’Identite Numerique 2.0

E. Herschkorn & P. Barrabé

Googlez l’identité des auteurs sur le web

Eric HERSCHKORN Patrick BARRABE

What else ?