SAGEM, biométrie et science-fiction

Publié le par Koala

Interviews
Loïc Bournon et Nicolas Goniak, Sagem Défense Sécurité : la biométrie est sortie du monde de la science-fiction  
avril 2007   

Loïc Bournon, CISO, et Nicolas Goniak, Chef de produit chez Sagem Défense Sécurité, estiment que la biométrie est sortie des livres de science fiction. Ces applications se multiplient tous les jours un peu plus en offrant plus de confort à ces utilisateurs. En France, des réticences subsistent, principalement liées aux contraintes réglementaires, à la peur d’une éventuelle utilisation mal intentionnée ou d’un manque de sécurité. Toutefois, c’est aujourd’hui une technologie mature qui a besoin d’effort de communication auprès des utilisateurs pour les convaincre que les gardes fous mis en place sont efficaces. Il est donc nécessaire que la population concernée se sente investie, bien en amont du projet, d’une mission vis-à-vis des enjeux de sécurité.
 
JPEG - 28.4 ko
Loïc Bournon - Sagem / Dominique Ciupa - Mag Securs / Nicolas Goniak - Sagem

Mag Securs : Quel est le périmètre du SI « fédérable » pour un projet de « fédération d’identités » ? Quels équipements sont impactés par de tels projets ?

Loïc Bournon et Nicolas Goniak : Pour résumer, le périmètre du SI fédérable a déjà atteint une taille conséquente : parti du cœur de l’informatique d’entreprise il s’étend maintenant jusque dans nos foyers en passant par les téléservices proposés par l’Administration.

L’extension du domaine d’applicabilité de la fédération des identités est à ce point inexorable que, sous peu, on ne parlera même plus de périmètre, et ce, pour trois raisons profondes :

1. l’informatisation des objets de notre quotidien -du réfrigérateur qui vous gère vos courses à votre décodeur télé, en passant par votre GSM et GPS- multiplie les points d’accès des individus au SI. C’est le « pervasive computing ».
2. la personnalisation des interfaces amène ses objets à gérer des profils variés d’utilisateurs, dont des « identités » nouvelles.
3. la capacité de communication de ces objets, en particulier les échanges entre objets et de manière indépendante constituera une nouvelle toile d’interconnexions où transiteront des profils d’usagers, de propriétaires d’information.

La mutation actuelle est portée par la migration de ces échanges d’un mode manuel à un mode typiquement de machine à machine « m2m ».

La question pertinente est plutôt la question à contrario : reste-t-il un endroit où le SI n’est pas ? Et reste-t-il un endroit du SI où un utilisateur n’est plus reconnu en fonction de son « identité » ? Avec une question cruciale pour la préservation de nos valeurs de liberté : ces interconnexions peuvent-elle ou sont elles faites à votre insu ?

Sagem Défense Sécurité, société du Groupe SAFRAN, intervient notamment :

1. aux extrémités du SI : nous fournissons aux individus, citoyens, consommateurs, les clés inviolables de leur vie privée : cartes à puce et tokens de sécurité ;
2. au cœur du SI : des systèmes de traitement des identités avec une capacité de fédération (gestion des bases d’identités et des services qui créent la valeur d’usage de cette identité pour un Etat comme pour une entreprise).

Votre identité est-elle – fongible dans le SI ? Paradoxe des temps, il semblerait que les systèmes informatiques de nos jours poursuivent la même évolution qu’on avait connue au siècle passé : de même que l’avènement de la photographie et de l’anthropométrie a permis de créer des liens forts entre l’identité de la personne, son corps et l’état civil et les titres d’identité, les SI s’emparent depuis peu de votre identité physique. Plus précisément, le SI prend peu à peu connaissance des caractéristiques physiologiques humaines reconnaissables directement ou indirectement, pour des raisons de sécurité (confidentialité, contrôle d’accès, imputabilité) et de délivrance de droits (civils, sociaux, professionnels). Votre biométrie peut alors servir de lien, public cette fois, entre vos différentes identités gérées dans des domaines distincts et plus ou moins de confiance.

Les évolutions techniques récentes dans le domaine des capteurs d’empreintes digitales et la disponibilité d’une puissance de calcul conséquente dans les dispositifs embarqués donnent à la fédération d’identité une dimension physique qu’elle n’avait pas auparavant.

Concrètement, à l’aéroport de Sidney, votre visage est mesurée en deux dimensions et comparé à celui figurant sur votre passeport. Si on peut imaginer une mesure en trois dimensions, notons le cas opérationnel de l’aéroport d’Heathrow où une analyse de votre iris vous évite les files d’attente à l’embarquement et simplifie les contrôles de sécurité. En fonction des réglementations applicables, ces biométries peuvent être en base centrale ou confinée dans une carte à puce.

La biométrie est une science mature, qui trouve aujourd’hui des applications majeures pour la sécurité de nos sociétés mais également de nouveaux usages encore inexplorés. Si la cryptographie était réservée aux militaires, il y a encore une dizaine d’année, la biométrie est sortie du monde de la science-fiction.
Sagem Défense Sécurité, précurseur depuis un quart de siècle et leader mondial de ces technologies, en maîtrise les limites. Dans une juste mesure, la biométrie nous apparaît comme un élément essentiel à la gestion de l’identité.

Mag Securs : Quels outils, méthodes, tableaux de bord, technique et organisation, doivent-ils être mis en œuvre pour le déploiement et l’exploitation de solutions Fédération d’Identités ? Quelles sont les étapes d’un tel projet ?

Loïc Bournon et Nicolas Goniak : Les systèmes gouvernementaux de gestion et de fédération des identités ont cela de particulier qu’ils recherchent l’équilibre entre la préservation de la vie privée, la protection des informations nominatives de chaque citoyen et la réalisation des missions des administrations (de sécurité, sociales, fiscales, de santé) dans l’intérêt général. Sagem Défense Sécurité a développé une méthodologie adaptée, fondée sur l’expérience acquise lors du déploiement de ses nombreuses solutions de par le monde.

La structure de « l’équipe programme », celle que nous attachons à la réalisation et à l’implantation de la solution est assez éloquente à ce sujet. Sont rattachés au chef de projet des responsables dédiés à un groupe de travail : spécification des processus (cycle de vie des identités) développement logiciel et intégration, gestion des supports (cartes, tokens), production, sécurité puis, moins spécifiques, déploiement, formation et enfin assistance. Par rapport à un projet SI conventionnel on note à l’international la montée en puissance du responsable sécurité, et ce dès le début de l’analyse.

Le déploiement ou la phase de production peut se révéler l’un des chantiers les plus importants. En effet, les projets auxquels nous faisons face nous font gérer des dizaines de millions d’usagers dès la mise en service ; les systèmes sont planifiés pour compter à terme plusieurs dizaines de millions d’individus qu’il faudra physiquement rencontrer dans des bureaux d’enregistrement fixes ou mobiles, et ce, en des temps records.

Tout cela nécessite une organisation et une logistique sans faille ; il n’est pas rare de devoir constituer de véritables ponts aériens vers des pays étrangers pour acheminer le matériel qui servira à monter ex-nihilo des centres de traitement des identités.

Mag Securs : Quelles architectures doivent être mise en œuvre ?

Loïc Bournon et Nicolas Goniak : Il n’y a pas de règle générale, cependant on peut relever que dans les divers cas de fédération d’identités traités par nos équipes, du gouvernement à la PME, les ingrédients suivants sont souvent intervenus :
- Registres d’identité (de la base de donnée à l’Annuaire LDAP) avec synchronisation par lot le plus souvent.
- Systèmes de gestion de cartes (cms en anglais) comme le point central de la gestion du cycle de vie des identités
- Infrastructure de gestion de clés avec reconnaissance mutuelles entre entités d’un même cercle de confiance ou accrochage sous une racine unique d’autorité.
- C’est en général l’adhérence du client à l’infrastructure existante, la largeur du plan de migration (faut-il fédérer toutes les applications ?) et surtout les cas d’usage retenus orientent le choix d’une architecture ad-hoc.

Dans le cas de systèmes gouvernementaux, Sagem Défense Sécurité a développé une architecture qui permet de fournir une solution au plus près des processus de gestion des identités et leur enchaînement : enregistrement des individus et de leurs biométries, unicité des identités, levée de doutes sur l’identité, détection de fraude, perte de titre, délivrance d’un titre, fin de vie de la personne physique,etc. Ce framework a été constitué pour assurer :
1. une montée en charge rapide liée au traitement de dizaines de millions d’identités
2. la plus grande interopérabilité avec les systèmes d’identités fédérés comme les registres d’état civil
3. une ouverture de plus en plus grande aux services et serveurs web

Ce framework adresse également les systèmes plus modestes d’entreprises, d’administrations ou encore de collectivités territoriales.

Mag Securs : Comment sécurisez vous le déploiement d’un système de Fédération d’Identités, puis son exploitation ?

Loïc Bournon et Nicolas Goniak : L’expertise de Sagem Défense Sécurité repose sur sa forte expérience dans les solutions gouvernementales à l’international. Cette expertise est entretenue au sein d’une unité de recherche spécifique qui regroupe l’ensemble des compétences nécessaires. Ces hommes et ces femmes sont régulièrement formés et suivent un plan de qualification dans les métiers de la sécurité.

D’autre part, les systèmes que l’on déploie donnent lieu à une gestion des risques très en amont, le plus souvent en collaboration avec le client et conformément aux pratiques locales.

La fédération de l’identité est typiquement le projet où la mise en place par le RSSI d’un management de la sécurité s’avère très pertinent. En effet, les organismes et entreprises utilisateurs de ces systèmes ont cela de particulier qu’ils gèrent tous des informations personnelles et/ou sensibles : votre employeur connaît votre rémunération, un hôpital ou un médecin votre état de santé et une banque vos dépenses. Le système de fédération doit bien entendu être robuste en terme de sûreté de fonctionnement, d’intégrité et de confidentialité.

Le référentiel normatif existant commence à répondre à nos besoins, en particulier pour les solutions gouvernementales, En particulier, la campagne de normalisation ISO 270xx nous apparaît comme essentielle et devrait être davantage relayée par le secteur privé et surtout les pouvoirs publics. Pourquoi ne pas rendre obligatoire l’application de ces normes dès lors qu’un système traite de données nominatives ? Il ne s’agit somme toute que de mettre en place une roue vertueuse, à chacun de choisir son braquet en conscience.

La méthodologie d’analyse et de traitement des risques retenue, EBIOS, est celle préconisée par l’agence de sécurité française. Elle est de plus en plus reconnue et adoptée en Europe et à l’international. Le Club EBIOS nous permet d’échanger autour de retours d’expérience entre experts de la sécurité et avec les grands donneurs d’ordre, nos homologues industriels et les régulateurs.

Mag Securs : Qu’est-ce qu’une intégration réussie en cette matière ?

Loïc Bournon et Nicolas Goniak : Une intégration réussie repose sur les quatre facteurs-clés

1. La prise en compte de l’ensemble des contraintes opérationnelles et de l’existant

Ces contraintes sont celles inhérentes d’une part à ce type de projet (mise en place d’un système d’information complexe) et d’autre part au contexte spécifique du projet (système automatisé et procédures venant remplacer l’existant, au sein de l’Administration). Les contraintes techniques concernent notamment la réalisation des passerelles entre les différents systèmes et bases de données d’individus. Ces systèmes historiques comme les registres d’état civil existent parfois depuis plusieurs décennies, et sont fondés sur des technologies très hétérogènes.

La constitution d’un système qui fédère des identités entre certains organismes d’Etat nécessite une adaptation constante aux contraintes légales et aux us en vigueur. Cependant ces règles métiers, qui portent sur le cycle de vie d’une identité, constituent l’essentiel du savoir-faire des intégrateurs. Inversement, la constitution d’un système fédérant les identités des citoyens ou des agents d’Etat, a parfois comme étape préalable l’adaptation de la législation qui a cours.

2. la satisfaction du donneur d’ordre

Elle se mesure le plus souvent en termes de respect de l’échéancier de livraison des titres d’identité, souvent liée à des échéances politiques comme des élections nationales, ou légales comme l’entrée en vigueur d’une nouvelle loi, dans le cas de systèmes gouvernementaux. Dans le cadre d’entreprises, les dates butoir sont fondées sur des modalités pratiques aussi insoupçonnées que le remplacement de badges de parking défaillants, mettant en péril la circulation sur un campus.
Ce facteur est majeur tant on sait que ces projets requièrent un déploiement lourd en termes de logistique : de l’enregistrement des individus qui peuvent nécessiter le déplacement de toute une population (d’un Etat, de l’entreprise, …) jusqu’à la délivrance des titres.

3. l’acceptation du système par les utilisateurs finaux -citoyens ou employés

Bien qu’il ne soit pas dans le périmètre de notre mission, la communication auprès des utilisateurs et leur implication revêt une dimension cruciale à cet égard : le déploiement d’une carte d’identité ou d’un système de radars routier nécessite un véritable effort en terme de lisibilité, de transparence par les usagers. Il faut à ce titre que la population concernée se sente investie bien en amont du projet d’une mission vis-à-vis des enjeux (nombre de morts sur les routes, réalité de la fraude à l’identité électronique ou non, facilité d’accès aux services… ) et soit convaincue que les gardes fous mis en place (confidentialité des données, respect de la vie privée, anonymisation, sanctuarisation des bases, …) soient efficaces.

Dès 1998, l’OCDE ne s’était pas trompée. Le débat autour de ces fédérations d’identité doit être replacé dans une approche plus globale de « culture de la sécurité ».

4. l’assurance que le système est fiable et résistant.

A la différence d’un système financier. La fraude à l’identité n’est pas un jeux à somme nulle. La fédération de cette identité ne signifie pas qu’il soit aisé de détecter la fraude.

Bien entendu, les meilleures pratiques en terme d’évaluation de la menace, de conception, de déploiement et d’audit sont à prendre en compte. La difficulté réside dans la détection de la fraude à l’identité qui n’ont pas toujours un effet visible ou mesurable.

Mag Securs : Quels centres de coûts sont-ils les plus importants ?

Loïc Bournon et Nicolas Goniak : Les coûts de conception sont le plus souvent bien inférieurs aux coûts de matériel et de prestations. Ensuite, les coûts sont très variables d’un projet à l’autre. Ainsi, l’infrastructure matérielle représentera un poste plus important si la capacité du système doit permettre de gérer des millions d’individus. Selon le type de titre d’identité, de la carte papier au passeport biométrique sans contact, les coûts des supports d’identités pourront être le premier facteur de coût.

Ensuite le coût logistique pourra l’emporter selon le mode d’enregistrement des individus et de délivrance des titres, qui varie fortement selon l’infrastructure du pays. En France, par exemple, il n’est pas déraisonnable de penser qu’un poste d’enregistrement/délivrance soit mis en place dans chaque commune, ce qui porte à minimum 50 000 unités ce type de matériel.

Mag Securs : Comment organisez-vous le suivi, la maintenance et le support de ces projets ?

Loïc Bournon et Nicolas Goniak : Comme il s’agit majoritairement de projets à l’international, nous faisons souvent reposer la maintenance sur des cellules locales, voire sur nos filiales le cas échéant, notamment aux Amériques.

Nos systèmes en opération réalisent des opérations qui ne supportent pas une perte de service (consultation Etat Civil, passage de frontières, élections, contrôle d’accès de siège d’entreprise ou d’instances internationales sans oublier nos systèmes d’aide à la résolution de crimes). En France, notre cellule de support et déploiement, peut répondre 24h/24 et 7j/7 dans plusieurs langues avec une capacité de projection d’équipe pour accompagner nos clients dans un passage délicat.

Mag Securs : Quelle est la part de la maintenance et des coûts d’exploitation par rapport à l’investissement de mise en oeuvre ?

Loïc Bournon et Nicolas Goniak : Le ratio coût de maintenance sur coût de système reste du même ordre que dans toute autre branche de l’intégration de systèmes. Les contraintes de disponibilité et de pérennité restent un facteur important de coût.

Mag Securs : Pouvez-vous donner des exemples ?

Loïc Bournon et Nicolas Goniak : Pour illustrer notre contribution à ces questions de fédération d’identité, nous retenons deux systèmes représentatifs de cette problématique et qui illustrent bien les savoir-faire de Sagem Défense Sécurité.

Visas Biométriques :

A l’issue d’un appel d’offres international, Sagem Défense Sécurité (Groupe SAFRAN) a été notifiée par l’administration française pour réaliser le nouveau système de traitement des visas biométriques. Le déploiement de ce système s’inscrit dans le cadre de la législation nationale, comme le prévoit la loi du 26 novembre 2003 relative à la maîtrise de l’immigration, ainsi que la réglementation européenne des pays membres de l’espace Schengen. Le nouveau dispositif sera mis en service dès le premier semestre 2007. Sagem Défense Sécurité fournira :
- un système de reconnaissance automatique d’empreintes digitales AFIS d’une capacité de plusieurs dizaines de millions de personnes,
- un parc de plus de 1000 stations de recueil d’empreintes digitales,
- des postes unifiés de contrôle aux frontières,
- des logiciels intégrés aux systèmes d’information de l’Administration réalisés par Atos Origin Intégration, sous-traitant déclaré. Ce système intégrera une connexion avec le futur système européen de gestion des visas VIS (Visa Information System). La protection des données personnelles a été prise en compte par des solutions sophistiquées de sécurisation du lien entre identité et données biométriques en conformité avec les exigences de la CNIL.

Bancaire :

Sagem Défense Sécurité s’inscrit pleinement dans une démarche de fédération lorsqu’il s’agit de fournir à la sphère bancaire les terminaux et systèmes sécurisés :
- IGC racine du Groupement des Cartes Bancaires CB qui vient certifier –et fédérer- les autorités de certifications de chaque banque émettrice de carte ;
- Cartes à puce bancaires à authentification dynamique à base de certificat (EMV/DDA) : Sagem Orga a été le premier à fournir un tel composant qualifié EAL4+ mettant un terme aux « yes-card » ;
- Terminaux de paiement bancaires : Sagem Monetel fournit une grande partie des terminaux EMV/DDA de par le monde. Ces terminaux reconnaissent, de fait des cartes certifiées par l’ensemble des banques faisant partie de ce cercle de confiance.

Publié dans articles

Commenter cet article