Capgemini Institut 0144742410
24 rue du Gouverneur général Eboué 92136 Issy les Moulineaux
Authentification, Habilitations, Accès : l'état de l’art Paris
Authentification, Habilitations, Accès : l'état de l’art Paris
DURéE
2 jours
DATES
23-24 novembre 2017
21-22 juin 2018
LIEU
Paris
PRIX
1 910 € ht (2 292 € ttc)
Sommaire du séminaire
    Séminaires technique Institut Capgemini

    Authentification, Habilitations, Accès :
    l'état de l’art

    >  Technologies, architectures, méthodes, outils, bonnes pratiques




    Ce séminaire, très pratique et illustré de nombreux exemples et cas concrets, s’appuie sur une expérience et un savoir-faire acquis sur des projets de tailles variées au sein d’établissements publics et privés et d’entreprises de différents secteurs. Un regard critique étayé par l’expérience acquise, permet de mesurer les apports des différents outils, techniques, standards et approches, aujourd’hui préconisés en matière de gestion des identités et habilitations.

    Une analyse pragmatique de l’évolution des besoins à court et moyen terme est proposée pour anticiper sur les futures transformations et architectures à mettre en œuvre.

    Sur deux journées, un état de l’art complet des meilleures pratiques en matière de gestion des identités et d’accès au SI, sous tous leurs aspects : architectures, sécurité, interfaces applicatives et administration :

    • Les tendances en matière d’identités.
    • L’importance des annuaires et du standard LDAP.
    • L’obligation sécuritaire de consolidation autour d’un point central de contrôle : SSO.
    • La mise en œuvre concrète d’un annuaire LDAP.
    • La gestion des accès liée aux identités.
    • La fédération des annuaires et le rôle de SAML.
    • La gestion des identités et le Cloud.
    • L’authentification forte et l’apport de la biométrie.

    LE MOT DE L’INTERVENANT

    « La confiance dans un système d’information passe par celle que l’on peut avoir dans son architecture de sécurité. Parmi les problématiques qui la concernent, figurent la gestion des identités, des habilitations et des accès. Le désormais célèbre AHA.

    Nous sommes ici à la fois dans un monde d’usagers, mais aussi très SI et technique, qui fait appel aux concepts de cryptographie, d’annuaires LDAP, d’assertions XAML, de SSO, etc. Sans doute l’un des plus difficiles à pénétrer aujourd’hui. Nous allons nous employer à en briser les barrières. »

    Claude Marson



    Insertion de la gestion des identités et des accès dans le SI


    Les problèmes à résoudre

    • Les processus de création des identités en entreprises.
    • Multiplicité des annuaires incompatibles, gérés indépendamment : mises à jour et saisies multiples, pertes de temps.
    • Identités et failles de sécurité.
    • Protection des ressources.

    Les bases de la gestion des identités

    • La notion d’identité.
    • Les différents types de comptes : rôles et profils.•
    • Les habilitations liées à une identité.
    • Les jetons.
    • Le processus d’authentification.
    • Le couple identifiant/mot de passe.
    • La cryptographie.

    - Algorithme de chiffrement.

    - Chiffrement, déchiffrement, décryptage.

    - Chiffrement symétrique, asymétrique et mixte.

    - Hashage et signature électronique.

    • PKI : architecture à clé publique, certificats.

    Les justifications d’un projet de gestion des identités

    • Justification financière.
    • Justification sécuritaire.
    • Justification d’efficacité opérationnelle.

    De l’habilitation à la gestion des identités


    Les habilitations en général

    • L’insertion de l’authentification dans une politique globale de sécurité.
    • Les problèmes nouveaux : les smartphones et tablettes, le mode déconnecté pour les mobiles avec bases de données intégrées (HTML5).
    • La mode du BYOD et ses conséquences.
    • La restriction des périmètres fonctionnels.
    • La mode du BYOID : « Apportez votre identité ».

    La gestion des identités

    • Ce que recouvre la gestion des identités.
    • Les obligations légales : audit, traçabilité, etc.
    • Les principales phases de mise en œuvre d’une infrastructure de gestion des identités.
    • Les fonctions de la gestion des identités.

    - Gestion des personnes et de leurs rattachements.

    - Gestion des applications et de leurs rattachements.

    - Provisionnement des habilitations : création, modification, suppression, processus automatiques, rapports de fonctionnement, etc.

    • Les mots de passe et leur sémantique. Faut-il continuer à leur faire confiance.
    • Les politiques de gestion du couple identifiant/mot de passe : renouvellement, moyens mnémotechniques.
    • Les facteurs clés de réussite d’un projet de gestion des identités.• .

    Sécurité et identités

    • Les faiblesses liées à la gestion des identités et des habilitations.
    • Les principales failles et comment s’en protéger.
    • Les techniques utilisées par les hackers.
    • Les outils à mettre en œuvre et les coûts induits.
    • Les bonnes pratiques.

    La gestion des accès issue de la gestion des identités

    • L’attribution des habilitations et privilèges d’accès aux ressources.
    • Les modèles de contrôle d’accès : IBAC (Identity Based Access Control), MAC (Mandatory Access Control), RBAC (Role Based Access Control), ABAC (Attribute Based Access Control), OrBAC (Organization Based Access Control).
    • Les bonnes pratiques.

    Mise en œuvre des annuaires et des méta-annuaires


    Les annuaires

    • Le langage LDAP.
    • L’architecture LDAP.
    • Conception d’un annuaire LDAP.

    - Construction de l’arborescence : entités, attributs.

    - Les bonnes pratiques.

    • Les éléments présents dans un annuaire : identifiants, mots de passe, certificats, clés publiques, jetons, etc.
    • Les frameworks d’accès à un annuaire LDAP.
    • Dispositions de sécurité liées aux annuaires : chiffrement, réplication.
    • Le format d’échange LDIF entre annuaires.
    • Exemple concret d’un annuaire LDAP.
    • Les solutions LDAP : Active Directory de Microsoft, IBM, Oracle, OpenLDAP, etc.

    SSO et les méta-annuaires

    • Les fondements des méta-annuaires : définition et contextes de mise en œuvre.
    • Les architectures : connexion directe ou non (annuaires virtuels) sur les habilitations individuelles et sur les annuaires déjà présents.
    • Les responsabilités des habilitations fédérées par un méta-annuaire.
    • Comment traiter les aspects performances pour de grandes installations.
    • Les solutions clés en mains : Microsoft, IBM, VMWare, etc.
    • Les Web SSO : OAuth, OpenID Connect

    La fédération des identités


    Le standard SAML

    • Les fondements de Liberty Alliance.
    • Les différentes versions de SAML.
    • Les constituants de SAML : assertions, bindings, profils, métadonnées.
    • L’utilisation de SAML pour la mise en œuvre d’un SSO.
    • Exemple concret.

    La fédération des identités

    • Ce que recouvre le concept de fédération.
    • La notion de domaine de sécurité.
    • Comment mettre en œuvre un système d’habilitations fédérées dans un domaine de sécurité.
    • Architectures et pratiques les plus courantes.
    • L’apport du standard SAML : lien statique hors ligne, pseudonymes persistants ou éphémères, par attributs.
    • Les autres standards et leurs liens avec SAML : Shibboleth (Open Source), WS-* (WS-Security, WS-SecurityPolicy, WS-Trust), etc., et leur compatibilité (transversalité).
    • Les solutions du marché et les coûts de mise en œuvre.

    Les évolutions incontournables


    La sécurité du Cloud

    • La gestion des identités et le Cloud
    • Peut-on avoir confiance en une gestion des identités délocalisée sur un Cloud.
    • Respect des contraintes propres aux entreprises.
    • Intégration d’une gestion des identités spécifique d’entreprise avec celle d’un Cloud : exemples concrets.
    • L’intégration d’Active Directory dans le Cloud.
    • Problèmes de sécurité et de réversibilité.

    L’authentification forte

    • Les exigences de mise en œuvre d’une solution d’authentification forte : BYOD, mobiles.
    • Ce que recouvre le concept.
    • L’authentification au niveau des processeurs et des jeux d’instructions.
    • Les techniques utilisées : accès à un mobile, accès à une application depuis un mobile, certificats, cartes à puces, etc.
    • L’apport de la biométrie : empreintes digitales, visage, iris, rétine, etc.
    • Les systèmes d’authentification à une, deux ou trois passes : OTP (One Time Password).
    • Rôle du MDM : Mobile Device Management, pour les mobiles.
    • Les frameworks disponibles pour les applications.
    • Les solutions du marché et les coûts d’intégration.
    • Les compétences requises pour un projet d’authentification forte.
    • Les bonnes pratiques.

    Le futur de la gestion des identités et des contrôles d’accès

    • La centralisation autour d’un “point de vérité” unique.
    • L’interopérabilité des annuaires fondés sur des standards de transfert et d’interconnexion (Cloud).
    • Renforcement des moyens de protection contre les attaques.
    • Prosélytisme auprès des utilisateurs.
    • Prise en charge des projets par la maîtrise d’ouvrage.

    La nécessité des audits

    • Analyse du cycle de vie des identités.
    • Détection des comptes dormants, des doublons, des comptes incohérents, etc.
    • Interactions douteuses ou mal protégées avec les applications.
    • Analyse de la structure des annuaires.
    • Point de vue sur la politique de sécurité et sur la perception qu’en ont les utilisateurs.