Upload
gabrielle-pavia
View
117
Download
2
Embed Size (px)
Citation preview
Spécialiste de la gestion des risques & de la sécurité de l’information
08/03/2017
‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATIONwww.harmonie-technologie.com
Quand mes clients gèrent l’accès à leurs donnéesSmart security for business identity
2
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
PARTIE 1
Thomas Jolivet - Partner
Données clients/personnelles Nouveaux usages, nouveaux risques
PARTIE 2
Pierre Millot - Principal
Quelles solutions mettre en œuvre pour que mes clients gèrent l’accès à leurs données en autonomie ?
Agenda
3
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
Parcours de la donnée
en milieu médical
Interactions entre device et
objets connectés
Composition de services
dans l'industrie du voyage
Disruption des chaînes de valeurs Le partage des données clients permet la création de services innovants, l'amélioration de l'expérience utilisateur et sa fidélisation.
Vol Location Séjours Dîner
Acquisition Analyses Diagnostic Transmission médecin
Tablette/PC Véhicule Montre TV
4
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
CONTEXTES
Heures, GéolocalisationAppareils utilisés…Navigation internet
IDENTITÉ
Nom PrénomSexe, Age, Adresses…
PAIEMENTS
Cartes de créditsObjets connectésService de paiement (Paypal…)
CONTACTS
Mes amis, Mes clientsMes collègues, Ma famille,Mes followers,
ACHATS
Historiques achatsMontantsPériodesQuantités, prix…
DOCUMENTS
Données personnellesPhotos, Documents BureautiquesDocuments officiels…
75% des consommateurs préfèrent les services qui utilisent des informations personnelles pour rendre leur expérience d’achat plus pertinente.
Le faire sans l'accord des clients : risque règlementaire, risque sur la confiance, risque d'image…75%
Données clients
5
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
Don’t !
UBER GOD MODE
Des milliers" d'employés d'Uber auraient toujours librement accès au "God View" (ou "God Mode", le mode de Dieu), un niveau de privilège permettant d'accéder en temps réel à toutes les données personnelles d'un utilisateur
AT&THEMISPHERE PROGRAM
Pendant 8 ans, grâce à un programme intitulé « Hemisphère », le premier opérateur US, AT&T, a enregistré et revendu aux autorités, les données provenant des SMS, historiques d’appels ou conversations Skype de ses clients.
POKEMON GOPLAYER TRACKING
"Le processus d'acquisition de données doit être divertissant pour assurer un engagement de l'utilisateur sur le long terme. Nous sommes convaincus que l'amusement et le fun sont un élément clé d'un tel service de collecte"
John Hanke
6
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
Opportunités à encadrer
Les clients partagent volontiers leurs données quand les bénéfices pour eux sont clairs et que cela n'est pas fait à leur insu
Le partage de donnée, la corrélation d'information, le transfert de contexte… permettent aux entreprises innovantes de créer de la valeur
Les Contraintes réglementaires poussent à la fois l'ouverture des données (DSP2) et l'encadrement des traitements sur les données personnelles (GDPR ).
Comment permettre aux clients de faire ce partage de données demanière consciente et en toute confiance ?
Comment tirer de la valeur de ce partage en respectant la règlementationet en renforçant la confiance ?
7
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
PARTIE 2 / Solution
Quelles solutions mettre en œuvre pour que mes clients gèrent l’accès à leurs données en autonomie ?
8
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
De nombreux services, encore souvent silotésROOMN 2017 / ATELIER HARMONIE TECHNOLOGIE
▪ Les services proposés aux clients s’enrichissent de nombreux services partenaires
▪ L’ensemble de ces services manipulent des données client, de différent niveaux de sensibilité
▪ Les services sont également accédés par des applications non maitrisées par la banque
▪ Le plus souvent, l’utilisateur ne connait plus les autorisations consenties dans les conditions d’utilisation du service, et ne peut plus revenir dessus
ServicesB.A. Banque
Partenaires
API
• FinTechOpen Banking
• DSP2Gérer mes comptesB.A. Bank
AssuranceCrédit
Bankin
Loisirs RentMyHomeCompte RentMyCarEpargne Placement Coffre-fort doc.
Mauvaises pratiques
▪ Partage dissimulé dans les conditions d’utilisation : relation de confiance en risque
▪ Opportunité non exploitée
9
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
Une relation de confiance basée sur le contrôle donné au clientROOMN 2017 / ATELIER HARMONIE TECHNOLOGIE
Bénéfices client
▪ Meilleur lisibilité, Approche Facebook sur les applications autorisées à accéder à mes données
▪ Capacité à révoquer des accès, en cas d’application désinstallée, portable volé, résiliation service partenaire
ServicesB.A. Banque
Partenaires
Epargne Placement Crédit Assurance
API
Coffre-fort doc.
Bénéfices B.A. Banque
▪ Consolider la relation de confiance avec le client, en lui assurant le contrôle sur l’utilisation de ses données
▪ Faciliter la conformité règlementaire GDPR
LoisirsCompte RentMyHome RentMyCar
Gérer mes comptesB.A. Bank Bankin
10
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
Contrôle de l’accès à mes données Scénario 1/3 (standard UMA)ROOMN 2017 / ATELIER HARMONIE TECHNOLOGIE
ServicesB.A. Banque
Partenaires
Epargne Placement Crédit Assurance
API
Coffre-fort doc. Loisirs RentMyCarCompte
▪ 1er scénario : le propriétaire autorise un service qu’il utilise à accéder à ses données
a. Le service hébergeant les données les déclare au niveau du service d’autorisation
b. Le service consommateur sollicite l’accès aux données
c. Le propriétaire est sollicité pour autoriser ou refuser l’accès à ses données
d. Avec l’accord du propriétaire, le service d’autorisation délivre un jeton d’accès au consommateur
e. Le service consommateur accède aux données depuis le serveur les hébergeant
Service d’autorisation
Propriétaire
Service hébergeant les données
AutoriseRefuse
Révoque
Demande l’accès
Protègel’accès
RentMyHome
Service consommateur
• UMA permet de protéger de multiples services internes ou partenaires
• Le consentement peut être demandé lors de l’accès• Autorisation/révocation un terminal
11
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
Contrôle de l’accès à mes données Scénario 2/3 (standard UMA)ROOMN 2017 / ATELIER HARMONIE TECHNOLOGIE
ServicesB.A. Banque
Partenaires
Epargne Placement Crédit Assurance
API
Coffre-fort doc. Loisirs RentMyCarCompte
▪ 2ème scénario : le propriétaire des données autorise un tiers à accéder à ses données
a. Le propriétaire accorde l’accès à certaines données à un bénéficiaire
b. Le service hébergeant les données les déclare au niveau du service d’autorisation
c. Le service consommateur sollicite l’accès aux données, pour le compte du bénéficiaire
d. Selon la règle d’accès existante, le service d’autorisation délivre un jeton d’accès au service consommateur
e. Le service consommateur accède aux données
Service d’autorisation
Propriétaire
AutoriseRefuse
Révoque
Protègel’accès
RentMyHome
Bénéficiaire
Service hébergeant les données
Demande l’accès
Service consommateur
• Accès consenti au préalable• Accès temporaire ou
persistent
12
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
Contrôle de l’accès à mes données Scénario 3/3 (standard UMA)ROOMN 2017 / ATELIER HARMONIE TECHNOLOGIE
ServicesB.A. Banque
Partenaires
Epargne Placement Crédit Assurance
API
Coffre-fort doc. Loisirs RentMyCarCompte
▪ 3ème scénario : un délégué gère l’accès aux données du propriétaire
a. Le service hébergeant les données les déclare au niveau du service d’autorisation
b. Le service consommateur sollicite l’accès aux données
c. Le délégué est sollicité pour autoriser ou refuser l’accès aux données du propriétaire
d. Avec l’accord du délégué, le service d’autorisation accorde un jeton d’accès aux données
e. Le service consommateur accède aux données
Service d’autorisation
Délégué
AutoriseRefuse
Révoque
Demande l’accès
Protègel’accès
RentMyHome
Propriétaire
Service hébergeant les données
Service consommateur
13
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
Le standard UMA et les acteurs impliquésROOMN 2017 / ATELIER HARMONIE TECHNOLOGIE
14
Spécialiste de la gestion du risque et de la sécurité du SI‹N°›SMART SECURITY FOR DIGITAL TRANSFORMATION
www.harmonie-technologie.com
1 Le consentement de l'accès aux données réconcilie confiance et création de valeur
2 Le standard UMA, basé sur le protocoleOAuth 2, offre une solution ouverte
3Certains acteurs fondent leur Business Model uniquement sur la valorisation des données personnelles
En conclusion