PP In au Coeur 25-10-2012 FAMEDEF - forumatena.org€¦ · OAuth 1.0 et 2.0 L’idée est de donner...

25 octobre 2012

L'identité économique au cœur des stratégies économiques - Colloque Forum ATENA - MEDEF du 25-10-2012 Tous droits réservés

Philippe RecouppéPrésident de l’Association Forum AtenaPrésident de l’Association Forum Atena


Philippe LemoinePrésident du Comité Économie numériquePrésident du Comité Économie numériquedu MEDEF

L'identité économique au coeur des stratégies économiques - Colloque Forum ATENA - MEDEF du 25-10-2012 Tous droits réservés

Guy de FelcourtAtelier Identité Numérique Forum AtenaAtelier Identité Numérique Forum Atena

Quelques évolutions récentes …


Les niveaux d’assurance américains progressentNIST SP 800-63 – et possibles ISO/IEC 29115

Niveau deconfiance

Degréd’authentification

Exempled’application

Conséquences

1 Faible Authentification simple Serviced’informationjournalistique surInternet

Personnelles etfinancièreslimitées

2 Modérée Un seul facteurd’authentification etcryptographie

Changementd’adresse par unbénéficiaire

Corporatelimitées,personnelles,cryptographie bénéficiaire personnelles,financières,modérées

3 Forte Authentification multifacteursJetons de sécurités logiciels oumatériels cryptographiés ou MPnon rejouables

Accès à un servicede courtage enligne

Modéréestoutescatégories.Risque éco etréputation

4 Trèsforte

Authentificationrenforcée par niveau de

cryptage et jeton de sécuritématériel uniquement

Un virementfinancier de unmilliond’Euros/USD

Élevées toutescatégories


Security Assertion Markup LanguageDéveloppé depuis le début des années 200De plus en plus utilisé, véritable standardDemande un degré de confiance entre lefournisseur d’identité et la partie qui l’accepte.

Open ID 1.0 et 2.0SSO centré utilisateur assez largement déployé surla Toile. Il permet le transfert des attributs.Open ID

Progrès des techniques de partages d’attributs

la Toile. Il permet le transfert des attributs.Open IDConnect intègre Open ID 2.0 et permet defonctionner avec des applications Web et peuts’intégrer avec OAuth

OAuth 1.0 et 2.0L’idée est de donner un accès limité de type ValetKey (durée, espace) et de ne pas communiquer lenom et le mot de passe. En même temps l’interfaceAPI permet d’exporter ou d’importer de nombreuxattributs de l’environnement


L’arrivée des réseaux de confiance numérique (USA)

Et des premiers fournisseurs d’identité certifiés

LOA 1 Certified Identity Providers

Identity ProvidersICAMProfile

TFP

GoogleOpenID2.0

OIX

Equifax IMI 1.0 OIXPayPal IMI 1.0 OIX

PayPalOpenID

OIXPayPalOpenID2.0

OIX

VeriSignOpenID2.0

OIX

Wave SystemsOpenID2.0

OIX

LOA1, 2 and non-PKI 3 Certified Identity ProvidersIdentity Providers ICAM Profile TFPVerizon SAML 2.0 Kantara


L’écosystème fédéral public américain (FICAM) en voied’harmonisation, de modernisation et de sécurisation

Eté 2012: Lancement du système de gouvernance privédes identités numériques aux Etats-Unis: IDESG


Enjeux et environnementinternationalinternational


Enjeux et environnement international

Jaan Priisalu, directeur de l’Autorité des systèmes d’informationd’Estonie

Gérard Galler, direction générale Réseaux de communicationcontenu et technologie, Commission européenne

Hans Graux, avocat au barreau de Bruxelles

Guy de Felcourt, modérateur


L’Estonie:L'Etat NumériqueL'Etat Numérique

Jaan PriisaluDirecteur Général


Autorité Estoniende Système Informatique

•Systèmes communs

•Cyber-securité•Cyber-securité

•Moyens financiers

www.ria.ee


L’Estonie

• Population: 1.3 (Lille)• Supérficie: 43 698 km2

(Midi-Pyrenées)• PIB: 16 M €• Membre de: l'UE, l’OTAN• Membre de: l'UE, l’OTAN


Contexte• 100% écoles connectées à l'Internet• 97% des enterprises utilisent l’Internet• 76% des foyers utilisent l’Internet• wifi gratuit• 3G, 4G• 3G, 4G


Exemples

• 99% transactions bancaires• 94% déclarations fiscales• vote électronique depuis 2005.• 66% participe au recensement

population numeriquepopulation numerique• prescriptions numériques• école numérique• police numérique• ètat sans papier


Pilier #1Carte d'identité électronique

• Crée en 2002• 1 191 500 cartes émises• 100 000 000 signatures en 2012• M-ID• M-ID


• L'environnement pour l’échange des données• Securisé et standardisé• Transfert des données bien organisé

Pilier #2:Carrefour Numérique

• Transfert des données bien organisé• Données pérsonnelles protégées


Conclusion: l’ètat numérique est

• Transparent

• Sécurisé

• Moins cher• Moins cher

www.e-stonia.com


European Commission’s proposal for a

Regulation on

Electronic identification and trust services for

electronic transactions in the EU internal

20

electronic transactions in the EU internal

market

Gérard GALLER

Policy Officer

European Commission - DG ConNECT

[email protected]


What is the problem? Example #1

Elisa, a Belgian student wants to enrol online to aUniversity in Italy.

Albeit she has an eID card,

it does not work

because her Belgian eIDbecause her Belgian eID

IS NOT RECOGNISED in Italy

21


What is the problem? Example #2

• A French SME wants to do business electronicallywith an Italian counterpart.

• What about the respective requirements for trustservices like e-signatures, seals, documents, timestamps, delivery?

• Are cross-border services technically feasible? Maybe…

• Will they be legally recognised?

• Result:


Where do we stand in EU?

• EU legal framework for eSignatures: Directive1999/93/EC of 13.12.1999

• No EU legal framework for electronic trust servicesancillary to eSignature (ex. time stamping)

• Excellent but incomplete EU standards framework on• Excellent but incomplete EU standards framework oneSignature and ancillary electronic trust services

• No EU legal framework for eID

• Few widely adopted standards on eID

• Large EU Member States + industry investments


What is the proposed regulation’s ambition?

• To strengthen EU Single Market by boosting

TRUST and CONVENIENCE in cross-border

and cross-sector electronic TRANSACTIONS


What is the scope of the proposedRegulation?

1. Mutual recognition of “notified” electronicidentification schemes

2. Electronic trust services:

• eSignatures interoperability and usability

• Electronic seals interoperability and usability

25

• Electronic seals interoperability and usability

• Cross-border dimension of:

1.Time stamping,

2.Electronic delivery service,

3.Electronic documents admissibility,

4.Website authentication.


Why will it make a difference? (1/2)

• Creates confidence in electronic trust services:• Effective state supervision

• Systematic usage of "trusted lists“ (i.e. directories of “qualified”services providers)

• De facto «trustmark» for EU qualified services

• Easy eSignature:

26

• Easy eSignature:• Harmonisation power of Regulation

• Full specification via secondary legislation + standards

• Related trust services:• Address clear market needs: eSeals, eDelivery, …

• Harmonise national legislation: time stamping, eDelivery

• eDocument admissibility: « big bang » for de-materialisation

• Website authentication is an implicit expectation of the citizens


Why will it make a difference? (2/2)

• Comprehensive “toolbox” of trust buildinginstruments

• One single legislation across EU

• Foster eID usage (“world premiere”):

• Leverage eID cards and mobile ID infrastructure

27

• Leverage eID cards and mobile ID infrastructure

• Reliable eID for cross border eBusiness and eGovservices

• Private sector is invited to build on «notified» eIDs

• Leverage Large Scale Pilot project STORK


Parliament+ Counciladoption

Indicative timeline

Legislative process

Standardisation mandate m460

Commissionproposal4.6.2012

Cyprus EUPresidency

report

28

Standards

2011 2012 2013 2014 2015

Commission Decisions

Standardisation mandate m460

NB. Dates are indicative

Delegated/Implementing acts

2016


L’identité électronique en Europe

Nouveaux développements - entre règlement et réalité

L'identité économique au cœur des stratégies économiques - Colloque Forum ATENA - MEDEF du 25-10-2012 Tous droits réservés29

Hans Graux

Avocat spécialisé en droit des TIC

[email protected]

• Le projet met en place les règles de base

• Questions pas (encore) abordées:

• La standardisation technique

• Les exigences de sécurité

Rôle du projet de règlement européen

• La qualité des identités électroniques et des dispositifs

• La gestion de l’écosystème eID par les Etats-Membres

• Le règlement permet de répondre à ces exigences parvoie de législation secondaire (actes d’exécution /délégués), afin d’avancer l’interopérabilité technique

• Contributions techniques sont produits e.a. par le projetpilote STORK

30L'identité économique au cœur des stratégies économiques - Colloque Forum ATENA - MEDEF du 25-10-2012 Tous droits réservés

Les LSP(Large Scale Pilot)The EU’s “LSP House”La “maison LSP” de l’UE

31L'identité économique au coeur des stratégies économiques - Colloque Forum ATENA - MEDEF du 25-10-2012 Tous droits réservés

Les LSP(Large Scale Pilot)


• Secure idenTity acrOss boRders linKed

• Projet pilote (Large Scale Pilot) visant à développer desapplications transfrontalières qui permettent des’identifier en utilisant les dispositifs nationaux existants

C’est quoi, STORK?

s’identifier en utilisant les dispositifs nationaux existants

• STORK 1: https://www.eid-stork.eu/

18 pays; 20 mil. EUR, 2009-2011

• STORK 2: http://www.eid-stork2.eu/

19 pays; 18 mil. EUR, 2012-2015


• Le but: créer des applications pratiques, disponiblepour tout les citoyens européens

• P.e. changement d’adresse transfrontalier, établissement d’unenouvelle entreprise, prouver ses qualifications académiques, …

• En liant les infrastructures d’identification nationales

Principes de STORK

• En liant les infrastructures d’identification nationalespar voie d’interfaces communes

• Sous contrôle de l’utilisateur (user centric): l’utilisateurpeut juger et décider quels attributs seront communiquésà chaque fournisseur de services

Le règlement proposé permettrait de formaliser lescontributions de STORK, complètant le cadrejuridique/politique européen!


• Proportionnalité: quels services seront obligésd’accepter des dispotifs étrangers?

• Responsabilité: quelle sera la responsabilité juridiquedes Etats-Membres pour la qualité des dispositifs etleurs moyens d’authentification?

Questions encore à resoudre

leurs moyens d’authentification?

• Protection de la vie privée: comment s’assurer que lefournisseur de services d’authentification ne surveillerapas n’importe quelle transaction?

• Gouvernance: comment gérer l’écosystème, y comprisles standards, exigences de sécurité, dispositifsévoluants, …?


Identité numérique au centrede la modernisation des entreprisesde la modernisation des entreprises


Identité numérique au centrede la modernisation des entreprises

Jean Mounet, Président de l’Observatoire du Numérique

Francis Grégoire, directeur de l’activité Solutions, ArismoreFrancis Grégoire, directeur de l’activité Solutions, Arismore

Olivier Clémot, directeur exécutif R&D, Dictao

Eric Blot-Lefévre, délégué du programme Identité numérique, SSEDIC



3 piliers logiciels :

Dictao

Editeur logiciel leader de lasécurité et de la confiance enFrance

Création : 2003

Chiffre d’Affaires 2011 : 12, 2Millions d’euros

Sécurité et contractualisation en ligne

3 secteurs d’activités :

Institutions financières

Administration

Industrie et services

L’un des premiers éditeurseuropéen à certifier ses logiciels designature électronique au niveauEAL3+ de la norme internationaledes Common Criteria

Millions d’euros

20% du CA à l’international

20% en mode SaaS

Effectif : 93 collaborateurs

Membre ACN


Contractualisation BtoB

EntrepriseFournisseu

r

EntrepriseCliente

Signature du

d’une preuve

Signature ducontrat (entitémorale)

Constitution etconservationd’une preuve

Transaction –contrat

dématérialisés

Signature ducontrat par lereprésentant del’entreprise cliente


La certification de la chaîne complète decontractualisation

Chaîne deconfiance

EntrepriseFournisseur

Certification Sécurité de 1er Niveau (CSPN)

EntrepriseCliente

Certification Sécurité de 1er Niveau (CSPN)

La Certification de Sécurité de Premier Niveau garantit la qualité de lapreuve générée par la solution Dictao

La Certification de Sécurité de Premier Niveau garantit la qualité de lapreuve générée par la solution Dictao

Preuve


Intervention des partenaires

• Philippe Clément pour le groupe Orange

• Cédric Morel-Guilloux pour le pôle TES

• André Delaforge pour Natural Security


Grandes entreprises(18)

PME(69)

Adhérents (104)

Pôle TES

Mobilité&

Sans contact

Dématérialisation&

ConfianceNumérique

Interface H/M&

Micro-Electronique

Réseau TES(Animation de la communauté,Rdv one2one, lobbying, salons,partenariat internationaux, …)

Aide au montage de projetsEmergence / créativité,

détection AAP, montage financier,recherche de partenaire

présentation au financeurs, …)

Activités du Pôle

Veille TESIntelligence économique (VTC, PI)

Conseil juridiques,…

Idée – Besoin- Constat issus du marché

e-Id&

Sécurité

e-Santé&

Domotique

e-Tourisme&

Culture

e-admin& nouveauxe-services

FutursMoyens dePaiements

Technologies et compétences « cœur de métier »

Centresd’enseignementet de recherche

(6)

Autres organismes(11)

Pôle TES(géré par l’association APTES) Sensibilisation aux TES

(formation, séminaires,conférences,…)

Valorisation de la recherche(formation, séminaires,

conférences, communication…)

Projets collaboratifs innovants

Conseil d’administration: : 14 administrateurs + Etat et Région BN4 permanents - 567 K€ de budget

Opportunités d’affairesInitiatives nationales

117 projets labellisés

MarchésMarchés


Pause


Favoriser l’identificationet la confiance numériqueet la confiance numérique


Didier ChaudunResponsable de la feuille de route nationaleResponsable de la feuille de route nationalede l’identité numérique


La feuille de route nationale de l’Identité Numérique

• Sujet: L’identité numérique sécurisée interopérable fondée sur l’identitérégalienne et la capacité à signer électroniquement.

• But: Proposer une stratégie avec un schéma directeur permettant à la France:o de rattraper son retard à court terme,

o de placer son industrie et ses services numériques au meilleur niveau de compétitivité

• Motivation: L’identité numérique, pilier de la sécurité numérique, se• Motivation: L’identité numérique, pilier de la sécurité numérique, seconstruira. L’Etat français a le devoir d’être moteur.

• Comment? une stratégie de l’identité numériqueo Prise en compte du projet de règlement européen eIAS, des résultats des travaux réalisés,

des normes et de la technologie disponibles, sans s’opposer aux solutions existantes

o Pérennisation avec une vision à 5 ans

• Quand? Fin de l’année 2012

Cette feuille de route s’inscrit dans la démarche de structuration de la filière sécurité en liaison avec le SGDSN et lesupport des Groupes Techniques Nationaux TIC et Sécurité


Les membres actifs de la feuille de route nationale IdentitéNumérique

Avec l’ACN, l’ACSEL, la FIEEC, la FFT, le GIXEL Identité Numérique, les pôles de compétitivitéSCS, SYSTEM@TIC,TES, le support de la feuille de route correspond à celui de l’activité des

services numériques.

Contact: [email protected] [email protected]


Promotion de l’identité numérique allemande par leMinistère de l’Intérieur (I had a dream …)


Favoriser l’identificationet la confiance numérique

Fabrice Mattatia, responsable de l’investissement numérique, Caissesdes dépôt

Cédric Morel-Guilloux, directeur du Pôle de Compétitivité TransactionsCédric Morel-Guilloux, directeur du Pôle de Compétitivité Transactionsélectroniques

Henry Crémadès, directeur général, co-fondateur, STS Group

Philippe Aymar, expert judiciaire, UCS

Didier Chaudun, modérateur


Les solutions nationales


Les solutions internationales

Besoins Enjeux Solutions

Identitéforte

Fréquence faibleValeur élevée

SmartphoneConnectNB: les opérateursmobiles peuventégalement délivrerdes identités fortes

Identitéfaible

Fréquence élevéeValeur faible

2005 2010 2015

NetworkConnect


STS Group

Créateur de Confiance Numérique


Chaine de la confiance

Identification

Authentification

Authentification forte

Journalisation

Intégrité

Confidentialité

Imputabilité

Horodatage

Journalisation


STS KEYVELOPEchange sécurisé, confidentiel, tracé

STS Keyvelop assure la génération et le cycle de vied’enveloppes numériques chiffrées

• Capable de transmettre tous type de données (audio,vidéo, documents, …). Taille des données de quelquesoctets à plusieurs giga-octets

Indépendant ducontenu

Indépendant du mode • La Keyvelop peut être échangée par e-mail, FTP, clé USB,CD/DVD…

Indépendant du modede transport

• La Keyvelop et son contenu sont chiffrés avec une clef uniquegénérée au moment de sa création et générée en XMLSécurité

• L’intégrité des données est contrôlée à l’ouverture de laKeyvelopIntégrité

• Les actions effectuées sur une Keyvelop (scellement, ouverture,révocation, ..) sont journalisées sur le serveurTraçabilité

• Seul le(s) destinataire(s) peu(ven)t accéder au contenu aprèsauthentificationConfidentialité


La valeur probatoire dans STS PEA

•Formats normalisés et standardisés

•Gestion et évolution des éléments de preuve

•Gestion de la durée de conservationPérennité

•Calcul et vérification d’empreinte

•Dépôt contrôléIntégrité •Dépôt contrôlé

•Gestion de supports de stockage sécurisésIntégrité

•Gestion des accès et habilitation

•Gestion de back-up et moyens pour assurer la continuitéde service

Sécurité

• Journalisation

•Chaînage et horodatage des journauxTraçabilité


STS PEA ET STS SUITE :EXEMPLES DE DOMAINES D’APPLICATION


MIPIH

Echanges sécurisés entre professionnels de santé

Solution baptisée Medim@il: aujourd’hui utilisé pour les échangesentre le milieu hospitalier et les médecins libéraux

Authentification des utilisateurs par CPS (Carte de Professionnel de Authentification des utilisateurs par CPS (Carte de Professionnel deSanté)

Le MIPIH (Midi Picardie Informatique Hospitalière)

– Structure publique (GIP) de coopération inter-hospitalière

– Plus d'une centaine adhérents directs

• +30 CH et CHU-CHR en Midi-Pyrénées sont clients

• +170 Centres Hospitaliers dont 10 CHR utilisent

au moins une application développée par le MIPIH


Domaines d’application

Dématéria--lisation

Coffre-fortPersonnel

Factureélectronique

Courrierrecommandé

Archivage àValeur

SANTE TELECOMS RH BANQUE ADMINISTRATION

EXEMPLES D’APPLICATIONS

SECTEURS POTENTIELS

Socle de Confiance

Digital Vault Keyvelop Server Evidence Server

-lisation Personnel électronique recommandéValeur

Probatoire

STS WebSTS SaaSManager

STS SIGNSTS PEA


• L’informatique a gardé la « preuve »– Des éléments dématérialisés servent à établir une

preuve dans un contentieux

– Acquérir, qualifier, analyser, conserver

• Un projet informatique dérape• Un projet informatique dérape– Identifier et objectiver les composantes du litige,

– Remonter aux causes,

– Imputer les causes selon les engagements de chacun(engagement avant-vente, contrats, historiqueprojet)


• L’expert de justice au service du débat technique– Il anime le débat

• Expert judiciaire,

• Expert amiable

– Il nourrit le débat– Il nourrit le débat• Expert judiciaire

• Expert privé

• Toujours– Aide le débat technique à se déployer

– Pointe les certitudes et … les doutes


• Qui– Identification implicite ou explicite?– Identification du dispositif technique ou de la personne?

• Quoi– Avait-il intégré la portée de l’identification?– Avait-il intégré la portée de l’identification?

• signature, délégation, accès, …• Un accord ou un accusé de réception?

– Quel était le contexte?• Celui nous est présenté aujourd’hui? Apparu avec la même mise

en forme?

– Quand?• Horodatage certain? Suffisamment précis?


• Du système d’archivage au fax

• Un composant certifié ne suffit pas,

• La recherche du doute questionne les failles– Technique– Technique

– Organisationnelle

– Humaine

• Souvent de « bonne foi » pour satisfaire àune urgence ou rattraper une ergonomiedéficiente


Nouveaux modèles de conquête desmarchés et des consommateursmarchés et des consommateurs


Nouveaux modèles de conquête desmarchés et des consommateurs

Philippe Clément, directeur de la Stratégie marketing identités, Orange

Willy Dubost, directeur des Systèmes et moyens de paiement, FBF

Ludovic Francesconi, président de la Commission Identités numérique,ACSEL, responsable Marketing, GIE-CB

Dianne Mullenex, avocat



Identification d’unconsommateur : Soft Identity ?

o Identifiant + mot de passeo Comptes mail, réseaux sociaux,E-commerceo Ex : compte client

Strong Identity ?

oCNI, passeport électronique…

Politique du Numérique:

oGestion d’identité :oInitiative KANTARAoUSA: OIX

oEurope : Digital Agenda for EuropeoUSA : NSTIC

Crédit photo : Fredcavazzahttp://www.flickr.com/photos/fredcavazza/276533601/


Les problématiques juridiques liées à l’identité numérique

• Les supports envisagés :

Signature électronique et certificats électroniques Paiement en ligne Paiement mobile

• Sécurité / confiance :

Comportement des utilisateurs (utilis’acteurs) : perte de confiance Cybercriminalité, risques de fraude et d’escroquerie Atteinte au droit au respect de la vie privée des utilisateurs (ex :sur les règles de confidentialité Google) Les risques liés aux fédérations d’identité sur internet Les risques d’usurpation d’identité sur les sites de e-commerce

•Vers de nécessaires garanties de sécurisation des systèmesd’identification des consommateurs


Conclusionetet

Remerciements


25 octobre 2012

Cocktail de 19h 30 à 21 h 00


PP In au Coeur 25-10-2012 FAMEDEF - forumatena.org€¦ · OAuth 1.0 et 2.0 L’idée est de donner...

Documents

Transcript of PP In au Coeur 25-10-2012 FAMEDEF - forumatena.org€¦ · OAuth 1.0 et 2.0 L’idée est de donner...