Identity Control &

MultiFactor Authentication
IC-MFA
 neomia Pulse
Le controle d’identité
la première barrière de sécurité des access IT/OT

« La protection de cette connexion entre les identités (employés, contractants, partenaires, machines) et la technologie
semble assez complexe à gérer correctement lorsque vous empilez le tout » JDN

« L’identitovigilance est un préalable essentiel à la qualité et la sécurité des soins.» ARS Bordeaux
« L’identité : désormais en première ligne pour la sécurité du monde digital » : Last Pass

Alors, à un moment donné, il va falloir devenir coercitif. Fini les accès sans MFA, fini les comptes VPN fournisseurs sans
revue ou ouverts à tous les vents 24-365, fini les prises de main à distance, extérieures, sans filtrage….. DSIH

Tendance 1 : Une conception de la sécurité centrée sur l’humain

Reconnaissant que les programmes traditionnels de sensibilisation des collaborateurs à la cybersécurité ont échoué à réduire les comportements à risque, Gartner
invite les RSSI à de nouvelles approches en examinant les incidents passés pour mieux identifier les frictions. Objectif : alléger la charge pour les employés en adoptant
des contrôles plus centrés sur l’humain et en supprimant les contrôles qui ajoutent de la friction sans réduire significativement le risque. …. GARTNER 9 tendances 2023 d’une
cybersécurité qui se recentre sur l’humain
Neomia : L’IA au service de la cybersécurité et de l’intelligence économique

Pulse :
• Le MFA device & token FREE,
• Monitoring de ressources partagées,
• Authentification forte, continue, ciblée
• PasswordLess

Nos Services IA :
leurs domaines d’application
• Executives briefing,
• Foundation,
• Starter Kit,
• Proof of Concept,
• Production, Produits
Sense : Application d’Intelligence Economique
• Analyse concurrentielle,
• Analyse de marchés, produits,
• Veille technologique,
• …
Neomia : References
 neomia Pulse

L’accès au MFA pour tous

Le contrôle d’identité permanent des accès sensibles
 Rappels généraux : Catégorisation des facteurs d'authentification
(Source ANSSI : « recommandation relative à l’authentification multifacteur et aux mots de passe » : chapitre 2.4)

« Ce que je sais » « Ce que je possède » « Ce que je suis »

(jeton, application smartphone, carte à (biométrie physiologique,
(mot de passe, PIN, OTP, …)
puce,…) comportementale, …)

Eléments basés sur la Eléments basés sur la Eléments

connaissance possession inhérents
Facile Difficile
Usurpation

Le mot de passe reste

MFA : Quadrant des facteurs d’authentification
Forte

Sécurité
Mot de passe
+ Facteur supp.

expérience utilisateur
Mauvaise Excellente

****
* passe
Mot de Déplacement des MAF vers
une sécurité forte

Faible
Comment ça marche : démonstration en vidéos

Vidéos du site web :

Exemples d’utilisation
1 Neomia Pulse versus OTP
2 Authentification continue – explication du pattern
https://neomia.ai/authentification-continue-par-exemple/

1 Supervision de saisie autocomplétée

2 Intégration avec un IDP
Pulse : Les domaines d’application

Authentification secondaire :
Ouverture des applications
Disponible

Authentification ciblée :
A la demande dans une application (sécurisation de process)

Authentification primaire :
Ouverture du système d’exploitation d’un ordinateur (connecté)
Disponible sous conditions

Authentification multiple :
Pouvoir se connecter sur des comptes génériques

Authentification continue : Disponible T4 2023

Fonctionnement en continue tout au long du travail dans la session

Déjà prêt pour l’avenir : le passwordless

 Pulse: Une authentification transparente et sans friction !

En premier lieu elle fait usage d’un matériel standard couplé à des algorithmes d'IA (développés in-house)

Ce qui permet une authentification

transparente : sans friction :

• le facteur d'authentification fort se produit • les utilisateurs n’ont pas besoin d’utiliser, de
de manière invisible pour l'utilisateur, gérer, de s’occuper d’un système additionnel
• il « voit » seulement le premier facteur
(identifiant de connexion)
 neomia Pulse
Comment cela fonctionne
MFA : La situation actuelle

Les solutions à base de token Physiques / certificats etc..

Nécessitent la présence de device avec leurs problèmes
• Gestion du parc (accès, vétusté, déprovisionning..)
• Possibilité de prêt/vol, etc..
• Coût
Neomia pulse : éléments techniques et contexte

Type de contrôles Impact du contrôle Type populations Type d’Usage

• Permanent
Authentification forte basée sur
Validation Complète Tout le monde • Sur des périodes spécifiques
IA
Ex : Etudiants en examens à distance

Renforcement de l’authentification
Segmentation par profil métier
par analyse de Validation en contrôle continue • Utilisateurs Nomades
critères contextuels • Utilisateurs à privilège
• Utilisateurs d’une application
• …
Détection des saisie automatisée
Validation ciblée (liée à une
avec possibilité
action spécifique dans un logiciel)
d’imposer un challenge

Blocage de l’utilisation d’un

compte usurpé
Cas d’usages : les cas d’usage…
Disponible
Disponible sous conditions
Disponible T4 2023

Transactions et
Mainteneur IOT paiements en ligne
(internes externes) Accès aux
applications
bancaires

Utilisateurs en Population vaste

conditions difficiles,
- Etudiants
ne pouvant utiliser
deux devices - Patients
- Vendeurs Supervision des Sécuriser la
comptes génériques connexion des
Administrateurs IT
(internes externe)
Authentification Controle dans des activités "à
pouvoir"

Population à temps
de présence faible Populations Usurpation
- Stagiaires difficilement d'identité en
- Alternants accessibles examen distant
- Intervenants (sites étrangers) - Etudiants
externes - Certifications
professionnelles

Déjà prêt pour l’avenir : le passwordless

La technique : fonctionnement générale
Par utilisateur, neomia Pulse génère des empreintes uniques issues de
données biométriques comportementales et d’analyses contextuelles

Disponible
Disponible T4 2023

Ordinateur Contexte Environnement tactile

IP Appareil Informations Accéléromètre Glissement Gyroscope

Temps d’appui par touche, navigateur
entre touches

Profils Zone de frappe Pression Mouvement

d’utilisateurs

Remarque : Neomia Pulse ne collecte pas les caractères saisis par utilisateur
 L’on-boarding des utilisateurs : Saisie dans une interface dédiée
Ecran Biopass : Saisie de mots dans un écran avec visionnement de l’avancement de l’Onboarding

Your IC-MFA
Identity Control & Multi Factor Authentication

Onboarding Session

Recommandation :
Saisie de 5 patterns
Sélection de 3 patterns de référence

Validate

TWO patterns out of FIVE have been generated

You have THREE patterns left to enter

Welcome! You have generated your FIVE patterns

Your onboarding is finalized
 Focus cas d’usage : les fameux comptes génétiques …
Pour différentes raisons (historiques, facilité d’usages, …) des comptes génériques peuvent être utilisés, avec des risques associés :
- Non maitrise des identités ;
- Risques d’utilisation de ces comptes par des personnes non légitimes sans aucune détection possible ;
- Diffusion de ces comptes par des internes et/ou externes (partenaires, prestataires) sans aucun contrôle possible ;
- …
Utilisateurs On boardés Qui ?

Valider l’identité de la
personne connectée
malgré l’usage d’un
compte générique
Login
Générique

Non validé

Applications Validé
Web, Windows, …
La technique : comprendre le scoring
Permet de comparer les empreintes biométriques générées dynamiquement à chaque connexion avec les empreintes biométriques
comportementales de référence
Définition d’un indice de confiance ou défiance potentiellement minoré par le niveau de risque contextuel

Empreintes Accepté
biométriques

Challenge(s)

Données liées
à la machine et son
environnement
Bloqué
2 Options Etat Block :
• Re challenge
• Blocage immédiatement d’un compte si on est sûr que ce n’est pas la bonne personne
L’integration : L’intégration dans OKTA

OIDC
4 & 5

2
1 3 6

7
…
Video site WEB
Synoptique
1. Authentification par mot de passe.
2. Redirection depuis okta vers Pulse-Identity (formulaire de saisie des mots).
3. Le client Web redirige le résultat de l’authentification Pulse vers le serveur Okta (redirection).
4. Le serveur Okta demande à Pulse les tokens d’authentification (ID token et access token).
5. Le serveur Okta consulte l’annuaire des clés de Pulse (clés publiques pour vérification des signatures).
6. Si la procédure est complète, le client est redirigé vers l’app serveur avec les informations d’accès.
7. L’utilisateur peut accéder à son(ses) application(s)
L’integration : Native par API

Neomia Pulse aide les développeurs, les ingénieurs DevOps et DevSecOps à sécuriser leurs applications.

Notre système d’API intégré permet d’adopter une politique de Security-by-design au cœur de leurs propres applications
et d’améliore instantanément le niveau de confiance.
Authentification sécurisée
Élimine le risque associé aux mécanismes de
sécurité basiques
Editeurs de logiciels

Intégration rapide
Fournisseurs SaaS Mécanisme d’API à la demande

Organisations avec applications

internes Security By Design
Améliore la sécurité des produits via une approche
frictionless, sans perturber les utilisateurs

Couplage avec des solutions de sécurité

SIEM, XDR, EDR, …