Actualités

inWebo sécurise les applications de santé

Posted by | Actualités | No Comments

inWebo et Doktorpoket travaillent main dans la main afin de sécuriser l’accès aux données personnelles de Santé de l’application de e-santé Wizivi.

Dès la conception de l’application Wizivi, qui met en relation les patients et les praticiens sur leurs parcours de santé, les dirigeants de Wizivi ont choisi de répondre aux obligations légales de sécurité des accès en sélectionnant la solution Inwebo, souple et agile. Lorsque la population des praticiens et pharmaciens accèdent au dossier de leur patient, l’application vérifie l’accréditation de l’appareil du praticien, (ordinateur, tablette, smartphone) de façon non intrusive et naturelle.

Le code qu’il va alors rentrer génèrera en toute transparence pour l’utilisateur un mot de passe à usage unique, qui ne sera connu que par l’application. Ce choix s’est imposé tout naturellement à l’équipe de Doktorpocket au moment du développement de l’application, par son haut niveau de sécurité (comme en témoigne sa certification ANSSI), sa facilité d’intégration et la simplification apportée dans le parcours de login des utilisateurs.

Le système inWebo dans l’application Wizivi est aujourd’hui déployé auprès des praticiens. Il permet de rassurer la population utilisatrice sur la confidentialité de ses données de santé partagées, sans y ajouter de contraintes supplémentaires. La solution inWebo évite en effet la gestion lourde et complexe des mots de passe.

« Tout est prêt pour la compliance à la RGPD dans le cadre de la PGSSI-S, avant même la date de mai 2018, date de son entrée en vigueur et nous avons réalisé cela en toute sérénité. C’est un atout majeur de notre solution et de son acceptation par les praticiens et patients » confirme David Bilfeld, médecin généraliste et CEO de Doktorpocket

« Nous avons accompagné le client et son partenaire pour intégrer nativement la sécurité dans l’application E-santé. Cette security-by-design est désormais un incontournable dans les applications médicales » confirme Olivier Perroquin, CEO inWebo.

A propos d’inWebo

InWebo est un acteur majeur des solutions d’authentification forte BtoB ou BtoBtoC. InWebo permet à tout client, employé, patient, praticien d’avoir accès à une solution VPN, IAM, applications Web ou IoT de façon sécurisé et agile. Sa technologie permet d’intégrer nativement une couche de sécurité à tout type de matériel (smartphone, tablette, PC..) au moment de l’authentification. Elle combine un très haut niveau de sécurité (certifiée par l’ANSSI) à une très grande facilité d’utilisation. InWebo protège des millions d’identités de nombreux clients (CAC 40, Administration, PME, start up ) exemple de nom si possible et d’usage (BtoB, BtoBtoC). Pour plus d’informations visitez notre site.

A propos de Doktorpocket

La société Doktopocket a été créé en 2014 par un médecin généraliste, afin de simplifier l’exercice des professionnels de santé et de faciliter le parcours de soin des patients. Wizvi connecte à ce jour plus de 40 000 patients à 4500 pharmacies et plus de 10 000 médecins. Cette connection permet également l’amélioration de l’observance médicamenteuse grâce à un outil simple, sécurisé de rappel de prise.

Le RGPD chez inWebo

Posted by | Actualités | No Comments

De security-by-design à privacy-by-design

Dans les semaines et jours précédant (et suivant) le 25 mai 2018, les boites e-mail ont été inondées de courriels tels que « Conformité RGPD » ou « Mise à jour de notre politique de confidentialité ». Vous vous demandez peut-être pourquoi vous n’en avez pas reçu de la part d’inWebo, ce que nous avons fait à ce sujet et quel est notre degré de préparation.

L’activité d’inWebo est la protection des identités. Pour cela, nous concevons et mettons en œuvre des techniques de cybersécurité protégeant les identités des utilisateurs de nos clients. Les données sensibles sont protégées dans nos systèmes grâce à des techniques de chiffrement, des crypto-serveurs (HSMs) et des firewalls. Les exigences du RGPD en matière de sécurité sont donc plus que respectées. Cependant, le RGPD englobe bien plus de choses et nous avons donc dû définir une trajectoire depuis notre situation de départ, « security-by-design », jusqu’à l’objectif de « privacy-by-design ».

Voici les différents sujets abordés ainsi que notre approche :

  • Le consentement de l’utilisateur au traitement des données : en tant que fournisseur de solutions d’authentification B2B, nous ne collectons pas de données auprès des utilisateurs finaux de la solution, ce sont nos clients qui en collectent. Nous recueillons des données auprès des administrateurs lorsqu’ils créent le compte de leur organisation, dans le seul but de créer ce compte et de leur fournir un accès.
  • Collecte minimale de données : nous stockons uniquement dans nos systèmes les données des utilisateurs dont nos clients ont besoin pour exploiter les solutions d’authentification que nous leur fournissons, telles que le nom d’utilisateur, une adresse e-mail et des données résultant de l’usage de la solution (jour et heure, adresse IP, statut d’authentification). Il est de la responsabilité de nos clients d’utiliser des pseudonymes en lieu et place des noms d’utilisateurs s’ils jugent ceux-ci sensibles et de ne pas stocker les adresses e-mail s’ils n’utilisent pas de fonctionnalités telles que « Réinitialiser le code PIN par email » qui nécessitent l’adresse e-mail.
  • La gouvernance des données : l’un des bénéfices du RGPD est de nous avoir fait définir une gouvernance et une politique de conservation des données. Nous avons maintenant standardisé nos durées de conservation des données : par défaut, les données d’usage sont conservées un an. En outre, toutes les données d’une organisation sont supprimées au maximum 6 mois après l’expiration de son compte. Les clients qui ont besoin d’une durée de conservation plus longue, par exemple pour une analyse de sécurité à long terme, peuvent souscrire une option d’archivage.
  • L’accès aux données et leur traçabilité : puisque nous exploitons la plate-forme d’authentification et que nous dépendons de fournisseurs de services pour certains aspects de la solution (fournisseur d’envoi d’e-mail, hébergeur et infogéreur notamment), nous avions besoin de définir des procédures concernant l’accès aux données, à la fois pour nous-mêmes et pour nos fournisseurs. Ces fournisseurs ont publié leur propre déclaration de conformité au RGPD. Nous les avons analysées et les avons estimées compatibles avec nos objectifs et nos pratiques. En ce qui nous concerne, par défaut, nous n’accédons jamais aux données des utilisateurs sauf si un client nous demande de le faire, par exemple pour résoudre un problème de fonctionnement de la solution. Nous avons formalisé la manière dont nos équipes opérationnelles autorisent et enregistrent ces demandes.
  • La protection des données : les données sensibles telles que les facteurs d’authentification sont chiffrées dans notre plateforme grâce à des crypto-serveurs (HSMs). Les noms d’utilisateurs ne sont généralement pas considérés comme sensibles (si c’est le cas, il est de la responsabilité de nos clients d’utiliser des pseudonymes à la place des noms) et il est nécessaire de les avoir en clair afin par exemple de pouvoir exécuter des requêtes de recherche. D’autres identifiants tels que les adresses e-mail ou les noms d’équipement de confiance ne sont généralement pas considérés comme sensibles. Nous avons néanmoins décidé de les chiffrer.
  • Droits (accès, modification, oubli) : nous ne connaissons pas les utilisateurs finaux de nos clients et n’avons aucun moyen de faire correspondre une demande que nous recevrions avec un utilisateur final réel dans notre plate-forme, ni de vérifier qu’une telle demande est légitime. De plus, si un de nos clients a créé un profil d’authentification dans notre plateforme pour un utilisateur, notre responsabilité est de ne pas y accéder, de ne pas le modifier et de ne pas le supprimer. Par conséquent, notre rôle ici de fournir à nos clients les outils et les procédures dont ils ont besoin pour répondre aux demandes de leurs utilisateurs, par exemple une fonction d’API permettant de supprimer des journaux d’authentification de notre plateforme les données d’un utilisateur. Néanmoins, nous avons aussi créé une adresse e-mail pour les demandes des utilisateurs finaux relatives à la confidentialité et aux informations personnelles. Nous limiterons notre rôle à une réponse conseillant à l’utilisateur d’envoyer sa demande à son organisation ou fournisseur de services.
  • Mise à jour de notre politique de confidentialité et de nos conditions générales : nous avons mis à jour notre politique de confidentialité et nos conditions générales en janvier 2018 afin d’inclure les changements résultant de notre conformité au RGPD.


inWebo renouvelle le label France Cybersecurity

Posted by | Actualités | No Comments

Paris, mercredi 24 janvier 2018 – À l’occasion du Forum International de la Cyber-sécurité qui s’est tenu à Lille les 23 et 24 janvier, inWebo s’est vu décerner le label France Cybersecurity pour ses solutions d’authentification forte. Il s’agit en fait d’un renouvellement puisqu’inWebo avait fait partie des premières entreprises labellisées en 2015. La création d’un label France Cybersecurity en 2015 faisait partie des actions prioritaires identifiées par le 33ème Plan de la Nouvelle France Industrielle. Son objectif est d’identifier et distinguer les offres nationales et d’être un gage de qualité et de performance. En coordination avec les pouvoirs publics, les industriels et les utilisateurs, le label France Cybersecurity vise à guider les clients dans leur recherche de solutions de cybersécurité françaises.

Ce label est une marque de qualité pour les entreprises qui souhaitent développer des offres de sécurité tout en contribuant à la croissance et à l’indépendance de la filière française. Le label France Cybersecurity est l’indication que les produits et services sont conçus et opérés en France, par une industrie dynamique et innovante. Ce label permet, à qualité équivalente, de choisir une solution issue de l’offre de cybersécurité française, reconnue tant par les pouvoirs publics que par les utilisateurs. Le Label France Cybersecurity est gouverné de façon collégiale par des représentants des industriels du secteur ACN, HEXATRUST), des utilisateurs (CESIN, CIGREF, GITSIS) et des pouvoirs publics (ANSSI, DGA, DGE).

inWebo a fait partie des premières entreprises à obtenir ce label en 2015.

http://www.francecybersecurity.com/

inWebo étend son offre de sécurité pour l’IoT

Posted by | Actualités | No Comments

San Francisco et Paris, 18 décembre 2017 – inWebo Technologies étend son offre de sécurité pour l’IoT en lançant une nouvelle offre dénommée inWebo Local Authorization.

Les fournisseurs de services dans des domaines tels que la Voiture Connectée, les services de mobilité, les Smart Cities, la Maison Connectée, la Santé Connectée etc., bénéficient désormais de l’offre de contrôle d’accès sécurisé d’inWebo, à la fois pour les services IoT en ligne et pour les ressources IoT locales.

« Lors de la première vague de services IoT, les fournisseurs de services ont eu besoin de solutions de sécurité pour protéger leurs applications dans le cloud. inWebo a répondu à ces besoins en adaptant et en déployant ses solutions d’authentification forte, par exemple pour les services de la Voiture Connectée », déclare Didier Perrot, CEO d’inWebo Technologies. « Dans la seconde vague, les fournisseurs de services ont besoin de solutions permettant un contrôle d’accès sécurisé à des ressources ‘locales’ telles que des véhicules, des serrures intelligentes, des terminaux d’autorisation ou de paiement etc., qui ne disposent pas d’une connexion permanente via Internet à une plate-forme d’autorisation centrale. Ces cas d’usage ‘offline’ deviennent prépondérants dans l’IoT. Ils exigent une nouvelle approche de sécurité pour protéger les ressources et les services de l’IoT, tout en maintenant un usage extrêmement simple et intuitif. C’est ce qu’inWebo Local Authorization permet désormais. Nous allons continuer de développer des partenariats avec des fournisseurs de services ou de technologies de l’IoT afin d’en faire un espace plus sûr. ».

Le développement de l’offre de contrôle d’accès sécurisé pour l’IoT a demandé un effort important de R&D et vient d’aboutir au dépôt d’une demande de brevet. inWebo Local Authorization (IWLA) peut être vu comme une alternative ou un complément aux solutions de connectivité telles que la 3G ou les technologies mobiles ‘low-bandwidth’.

IWLA permet à une ressource locale telle qu’un véhicule sans chauffeur ou une serrure intelligente de prendre une décision localement pour autoriser un utilisateur. La décision se fait en vérifiant une clé virtuelle qui contient des droits inaltérables concernant cette ressource locale. La clé virtuelle peut être intégrée dans une simple application mobile sur un smartphone. La vérification a lieu instantanément, sans que la ressource ni le smartphone n’aient besoin de se connecter à un serveur d’autorisation central. Enfin, la vérification n’expose pas la clé proprement dite, évitant ainsi de nombreuses situations d’attaques.

Dans le cadre d’IWLA, inWebo fournit une API permettant de créer et gérer des serrures intelligentes et des clés virtuelles. Cette API s’appuie sur une infrastructure de service faisant un usage extensif d’équipements hardware de sécurité (HSM). IWLA est donc extrêmement simple à déployer par les fournisseurs de services, tout en fournissant une sécurité optimale.

Plus d’information concernant l’offre de contrôle d’accès sécurisé pour l’IoT d’inWebo est disponible sur notre site https://www.inwebo.fr.


En route pour le RGPD, le CIMUT opte pour l’authentification forte inWebo

Posted by | Actualités | No Comments

Quimper et Paris, le 1er decémbre 2017 – Agréé Hébergeur de Données de Santé (HDS) depuis novembre 2016 et dans le cadre de l’entrée prochaine en vigueur du RGPD, le CIMUT muscle la sécurité de son système d’information et investit dans les standards en la matière. C’est dans ce cadre que l’entreprise a fait le choix d’une nouvelle solution d’authentification forte de ses applications web. En termes de sécurité informatique, gérer une politique d’authentification par mot de passe est onéreux et inadapté, du point de vue des nouveaux risques sécurité comme sur le plan règlementaire.

C’est pourquoi le CIMUT s’est tourné vers la solution d’authentification forte certifiée par l’ANSSI d’inWebo. Le principe ? Un accès à ses applications web via la saisie d’un code PIN personnel défini par l’utilisateur. Le plus ? Starweb© en association avec inWebo ajoute plusieurs niveaux de sécurité afin de protéger l’authentification de ses utilisateurs qui repose désormais sur plusieurs facteurs. Lors de la connexion, le système vérifie l’accréditation de l’appareil de l’utilisateur, tel que son ordinateur, son téléphone ou sa tablette. Cela se fait de façon non-intrusive pour l’utilisateur. La cryptographie et les codes de sécurité sont mis en œuvre mais n’apparaissent pas. Un marquage préalable du navigateur de son appareil suffit. Le dispositif d’identification forte inWebo est déployé auprès des collaborateurs du CIMUT depuis le mois de juin. Il sera totalement disponible pour les mutuelles adhérentes au CIMUT pour une expérience Starweb© ultra-sécurisée, avant le mois de mai 2018, date d’entrée en vigueur du RGPD.

Partenariat « Trust Network Technology » de Forgerock

Posted by | Actualités | No Comments

Cet article est disponible en anglais

Forgerock logo  

Forgerock announced today the extension of its technology partnership program, of which inWebo is now a member. See the full press release and partner directory featuring inWebo.

« For years, Forgerock and inWebo have been sharing a common vision of Identity and Access Management for Web applications, IT applications, and now IoT », said Didier Perrot, CEO at inWebo. « This renewed partnership and the investment we make in integrating inWebo MFA solution with Forgerock products will allow any organization to take a best-of-breed and future-proofed approach to IAM and security, combining Forgerock’s leading identity platform and inWebo’s innovative MFA and local authorization framework. ».

L’Authentification Forte – Maintenant!

Posted by | Actualités | No Comments
2fa Jetzt  

inWebo a rejoint l’initiative allemande L’Authentification Forte – Maintenant! en tant que partenaire. Les objectifs de l’initiative sont d’éduquer les fournisseurs de services et les utilisateurs finaux sur les avantages de l’authentification forte et de développer son adoption dans les services en ligne. Retrouvez plus d’information ici.

« L’Authentification Forte – Maintenant! » participe au Mois Européen de la Cybersécurité, qui vise à sensibiliser aux menaces en ligne, à promouvoir la cyber-sécurité auprès des citoyens et des organisations, et à informer sur les meilleures pratiques en matière de sécurité.

Une nouvelle API de Logs

Posted by | Actualités, Tutoriels | No Comments

Pour éviter d’avoir à exporter manuellement les logs d’activité chaque jour ou chaque semaine et pouvoir en disposer automatiquement dans vos outils d’analyse et de collecte, inWebo met à votre disposition une nouvelle API.

L’API de Logs vous permet d’accéder aux logs d’un service donné. L’authentification à l’API se fait grâce au même certificat client que pour les autres APIs d’inWebo. On y trouve les catégories de logs suivantes :

  • Authentification
  • Actions liées aux outils d’authentification (Activation, OTP online, Requêtes Push)
  • Gestion des utilisateurs
  • Configuration et administration du service

Lors d’une requête à l’API de Logs, vous pouvez préciser une date de début et une date de fin, effectuer des requêtes paginées, ou encore filtrer les logs par catégorie. Chaque ligne de log est retournée sous la forme d’un tableau JSON avec, notamment, les informations suivantes :

  • nom de la méthode utilisée (authenticate, loginCreate, …)
  • résultat (OK, KO, …)
  • identifiant concerné
  • date et heure
  • adresse IP (si disponible)
  • type d’outil d’authentification
  • identifiant de l’outil

Contactez inWebo si vous souhaitez souscrire à l’option d’API de Logs pour votre service d’authentification.

La biométrie comme second facteur d’authentification

Posted by | Actualités, Tutoriels | No Comments

Depuis l’introduction par Apple de TouchID sur l’iPhone 5s en 2013, de plus en plus de smartphones sont fournis avec des capteurs biométriques. Les cabinets d’études prédisent que 100% des smartphones en usage seront équipés en 2020 – la généralisation n’est pas tout à fait là, mais elle est proche. inWebo a donc procédé à la modernisation de ses solutions pour supporter la biométrie comme second facteur d’authentification. Cette option est disponible pour les clients comme pour les prospects en évaluation (test gratuit).

Après activation de l’option, 2 alternatives sont proposées, pour autoriser ou forcer la biométrie. Lorsque la biométrie est autorisée, pour un service utilisant un PIN comme second facteur d’authentification, les utilisateurs le souhaitant peuvent remplacer la saisie du PIN par la biométrie. Lorsque la biométrie est forcée, elle doit être utilisée comme second facteur par tous les utilisateurs du service.

Biometry Settings

Le support de la biométrie par inWebo peut être mis à profit de 2 façons

  • inWebo Authenticator version 4.2.0 ou plus. Cette App supporte le capteur TouchID d’Apple ainsi que les capteurs d’empreintes digitiales équipant les smartphones Android Marshmallow (6.0+).
  • inWebo mAccess version (0.)2.8 ou plus. Les développeurs peuvent utiliser la librairie mAccess pour supporter dans leurs Apps la reconnaissance d’empreinte digitale, mais également potentiellement toute forme de biométrie (voix, visage …), du moment que celle-ci est implémentée avec un mécanisme « match on card » (c-à-d que l’empreinte est stockée et vérifiée localement sur le smartphone). La documentation de la librairie fournit un exemple complet d’implémentation pour les capteurs d’empreintes digitales.

Contactez inWebo si vous souhaitez souscrire à l’option de biométrie comme second facteur d’authentification pour vos services et applications.

inWebo supporte la campagne hack-academy

Posted by | Actualités | No Comments
Paris, le 15 octobre 2015 – Au travers d’Hexatrust, dont elle est membre fondateur, inWebo est fière de supporter la nouvelle campagne nationale de sensibilisation à la sécurité des usages en ligne, appelée « Hack Academy ». Plus sur http://www.hack-academy.fr