Stage / Alternance - Modern authentication : protéger l'identité numérique de demain

Contexte

La practice cybersécurité de Wavestone accompagne ses clients dans la mise en œuvre de leurs projets de transformation de l'Identité Numérique. L'identité est un des principaux piliers de la prévention cyber et est un élément clé de la mise en œuvre d'une stratégie Zero Trust réussie. Ces projets touchent à toutes les facettes de l'identité numérique, notamment le contrôle d'accès.
Les projets que nous menons auprès de nos clients sur ce sujet peuvent prendre différentes formes telles que l'audit de leurs solutions actuelles, le cadrage de leurs projets futures, l'accompagnement en expertise sur des sujets pointus en lien avec le contrôle d'accès.
Le périmètre technologique de ces accompagnements englobe différents sujets allant de l'authentification à l'autorisation et habilitations. Nous traitons également dans le cadre de ces accompagnements de sujets de sécurisation des infrastructures API de nos clients.
Le domaine du contrôle d'accès étant en constante évolution, Wavestone mise sur la veille technologique pour continuer à apporter une forte valeur à ces client sur le sujet. À titre d'exemple, nous travaillons actuellement sur l'approfondissement de nos connaissances et savoir faire sur des sujets tels que le passwordless (connexion sans mot de passe), notamment avec FIDO (standard d’authentification sécurisé par appareil) et les passkeys (clé numérique liée à l’appareil pour se connecter), le RBA – Risk-Based Authentication (connexion adaptée selon le niveau de risque) et continuous access evaluation (vérification continue que l’utilisateur a toujours le droit d’accès), ainsi que les différents drafts en cours de réalisation pour faire évoluer les protocoles d’autorisation OAuth et OIDC (règles permettant aux applications d’autoriser un accès sécurisé aux comptes).

Objectif 

L’objectif de ce stage est de faire évoluer les connaissances et savoir-faire de Wavestone en matière de contrôle d'accès. Cela passe par le développement de nouvelles expertises et la maitrise des technologie émergeantes.

Travaux à réaliser 
Sous la tutelle d’un.e consultant.e et le pilotage d’un.e manager, le/la stagiaire pourra être amené.e à réaliser une partie ou la totalité des travaux suivants :

• Réalisation de PoCs ou de maquettes de solutions ou technologies d'access control (tests de prototypes pour vérifier le fonctionnement des outils de gestion des accès)
• Audit de solutions ou architectures d'access control (analyse pour vérifier la sécurité et le bon fonctionnement des systèmes de gestion des accès)
• Étude et analyse de nouveaux standards ou technologies du marché
• Définition d'architectures techniques de solutions d'Access control
• Benchmarks de mécanismes technologiques ou de solutions du marché

L’intitulé et le cadrage exact du sujet de stage ou du travail à effectuer seront confirmés en début de stage. Ci-dessous deux exemples de tels sujets.

Exemple de sujet n°1
L'objectif de ce stage est de monter en compétence sur la norme FIDO2 et sa nouvelle application aux passkeys, afin de:
- Présenter et analyser les évolutions du standard FIDO2 à travers les changements de l’API WebAuthn
- Appréhender l’impact des passkeys sur les méthodes d’authentification actuelles
- Analyser les opportunités et les limites du standard selon le cas d’usage, par population et par secteur d’activité.

Travaux à réaliser : 
• Réaliser une étude comparative des évolutions de versions de WebAuthn de la L1 à la L2, puis de la L2 à la L3
• Evaluer la maturité et l’impact des passkeys sur les méthodes d’authentification traditionnelles
• Étudier des cas d’usage de FIDO2 et de son adoption
• Réaliser une maquette d'authentification FIDO2 sur mobile

Exemple de sujet n°2
L'objectif de ce stage est de contribuer au sein de l’offre «Access Management» à la réalisation de maquettes d'applications mobiles sur Android et iOS et de les utiliser afin de :
- Construire une maquette d'authentification mobile à l'état de l'art et démontrant différents cas d'usage répondant aux besoins de nos clients et implémentant les standards du marché
- Fournir un environnement permettant de tester de nouveaux mécanismes de sécurisation de l'authentification mobile
- Se servir de ces expérimentations pour enrichir le socle de convictions de l'offre sur le sujet (exemple de sujets à creuser: Social login sur in app browser tab, Déblocage via biométrie locale, Native Single SIgn On, Single Sign On mobile/web, Accès aux API, Custom URI vs universal links, DPOP, Native FIDO, etc.)