40
FÉDÉRATION D’IDENTITÉ Implémentation et mise en production d’une architecture complète Yann Desmarest Innovation Center Manager tel. +41 22 727 05 55 [email protected] www.e-xpertsolutions.com Yoann Le Corvic Senior Security Engineer / ISO 27001 Lead Auditor tel. +41 22 727 05 55 [email protected] www.e-xpertsolutions.com

Fédération d'identité, séminaire du 27 novembre 2014

Embed Size (px)

Citation preview

Page 1: Fédération d'identité, séminaire du 27 novembre 2014

FÉDÉRATION D’IDENTITÉImplémentation et mise en production d’une architecture complète

Yann DesmarestInnovation Center Manager

tel. +41 22 727 05 [email protected]

Yoann Le CorvicSenior Security Engineer / ISO 27001 Lead Auditor

tel. +41 22 727 05 [email protected]

Page 2: Fédération d'identité, séminaire du 27 novembre 2014

AGENDA

1. Retour sur les concepts de fédération

2. Fédération SAML 2.0 avec BIG-IP

3. Améliorations

4. Architectures

5. e-Xpert

6. Démos

Page 3: Fédération d'identité, séminaire du 27 novembre 2014

RETOUR SUR

LES CONCEPTS

Page 4: Fédération d'identité, séminaire du 27 novembre 2014

FÉDÉRATION D’IDENTITÉ

► Fédérer les identités

o Une histoire de «Confiance»

► Plusieurs technologies (Liste non exhaustive)

o WS-Federation et composants associés (WS-*)

o SAML 1.1, 2.0

o Oauth 2.0 + OpenID Connect

o OpenID 2.0

Page 5: Fédération d'identité, séminaire du 27 novembre 2014

WS-FEDERATION

► Spécifications écrites en 2007 par un consortium d’éditeurs incluant entre autre IBM, Microsoft, Novell

► Maintenant sous l’égide de OASIS

► Repose sur des “assertions”, et un réseau de confiance entre partenaires business

Page 6: Fédération d'identité, séminaire du 27 novembre 2014

SAML

► Sous la responsabilité de OASIS

o Mai 2005

o Basé sur l’échange de messages XML

► Service Provider

o Protège l’accès aux services

o Redirige les requêtes vers IDP si non authentifiées

► Identity Provider

o Authentifie l’utilisateur

o Récupère les informations relatives

► Discovery Service

o Présentation de la liste les domaines disponibles à l’utilisateur

o Uniquement dans le cadre d’une fédération inter domaines

Page 7: Fédération d'identité, séminaire du 27 novembre 2014

SAML V2 - PROFILES

► Web Browser SSO Profile (décrit en détail ensuite)

o Le plus utilisé

o Authentification à des applications Web

o Single Sign On

► Enhanced Client and Proxy Profile - ECP

o Des composants logiciels compatibles SAML présents sur les équipements

o Réalisé directement avec des messages SOAP entre le client et l’IdP et entre le client et le SP

o Utile dans le cas où le client ne supporte pas les redirections (e.g. un client qui n’est pas un navigateur)

► Single Logout (décrit en détail ensuite)

o Déconnexion rapide en une fois de tous les participants

Page 8: Fédération d'identité, séminaire du 27 novembre 2014

SAML 2.0 PROFILE «WEB BROWER SSO» - POST - NORMAL

► Connexion à un ressource protégée par un Service Provider

o 1. Tentative d’accès à la ressource

o 2. Si non authentifiée, envoi d’une redirection vers IdP

o 3. Requête IdP

o 4. Demande d’authentification par IdP

o 5. Authentification vers IdP

o 6. Si OK, IdP répond avec une «assertion» SAML et redirige l’utilisateur vers la ressource demandée

o 7. L’utilisateur accède à la ressource

Page 9: Fédération d'identité, séminaire du 27 novembre 2014

SAML 2.0 PROFILE «SINGLE LOGOUT»

► Situation initiale : L’utilisateur est authentifié et a accès aux ressources protégées par le Service Provider A et B

o 1.Demande de logout global au SP A

o 2.Redirection vers IdP

o 3.Redirection vers IdP

o 4.Logout Request au SP B

o 5.Logout Response vers IdP

o 6.Logout Response via redirection

o 7.Logout Response via redirection

o 8.Logged out

Page 10: Fédération d'identité, séminaire du 27 novembre 2014

SÉCURITÉ SAML

► XML Enc

o Garantie de confidentialité des messages entre SP, IDP et utilisateur

o Utilise le certificat de chiffrement du destinataire

o Indépendant de la sécurité du canal

► XML Sig

o Garantie d’origine, d’intégrité des messages entre SP et IDP

o Avec la clé privée de signature de l’émetteur

o Indépendant de la sécurité du canal

► HTTP(s) / SOAP

o Transport

o Web Services

Page 11: Fédération d'identité, séminaire du 27 novembre 2014

FÉDÉRATION SAML 2.0

AVEC BIG-IP

Page 12: Fédération d'identité, séminaire du 27 novembre 2014

12

GAMME F5 NETWORKS

Page 13: Fédération d'identité, séminaire du 27 novembre 2014

FONCTIONS CLÉS

13

Page 14: Fédération d'identité, séminaire du 27 novembre 2014

BIG-IP DANS UNE ARCHITECTURE FÉDÉRÉE

14

Page 15: Fédération d'identité, séminaire du 27 novembre 2014

IMPLÉMENTER UN SERVICE PROVIDER AVEC BIG-IP (1/2)

► PHASE 1 : Création du Service Provider

o Entity ID

o Relay State (Optionnel)

o Paramètres de sécurité

• Signature des SAML Request et Assertion

• Chiffrement des Assertion

o Exporter les Metadata du SP

• Et les donner à l’IDP

15

<?xml version="1.0" encoding="UTF-8" ?>

<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" ID="I3987ce695a1ad8c5"

xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"

xpertsolutions.com">

<SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned

protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

<KeyDescriptor>

<ds:KeyInfo>

<ds:X509Data>

ozSFVSZ+XlI=</ds:X509Certificate>

</ds:X509Data>

</ds:KeyInfo>

</KeyDescriptor>

<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid

<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP

Location="https://demo-saml2.e-xpertsolutions.com/saml/sp/profile/post/acs" index="0"

</AssertionConsumerService>

<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP

Location="https://demo-saml2.e-xpertsolutions.com/saml/sp/profile/post/sls" ResponseLocation

xpertsolutions.com/saml/sp/profile/post/slr" isDefault="true">

</SingleLogoutService>

</SPSSODescriptor>

</EntityDescriptor>

Page 16: Fédération d'identité, séminaire du 27 novembre 2014

IMPLÉMENTER UN SERVICE PROVIDER AVEC BIG-IP (2/2)

► PHASE 2 : Définition de connecteurs IDP

o Import des metadata de l’IDP

o Ou création manuelle

o Création des Bindings

► IDP Automation

o Création auto des connecteurs IDP

o Get Metadata via HTTP(s)

16

Page 17: Fédération d'identité, séminaire du 27 novembre 2014

IDP AUTOMATION : EXEMPLE D’IMPLÉMENTATION

► Automatise

o Connecteurs IDP

o Bindings

► Crawler

o Auth mutuelle (option)

o Basic / Client Certificate

o http/https

17

BIG-IP ASM+APM

ldap

Metadata crawlerhttp

Import metadata file

Update metadata file

Business partner

connect

Page 18: Fédération d'identité, séminaire du 27 novembre 2014

IDP INITIATED SINGLE SIGN ON

18

Page 19: Fédération d'identité, séminaire du 27 novembre 2014

19

SAML REQUEST AVEC SIGNATURE

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

Page 20: Fédération d'identité, séminaire du 27 novembre 2014

20

SAML REQUEST AVEC SIGNATURE

<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"AssertionConsumerServiceURL="https://demo1-sp.e-xpertsolutions.com/saml/sp/profile/post/acs"Destination="https://demo1-idp.e-xpertsolutions.com/saml/idp/profile/redirectorpost/sso"ID="_aea45de943cf6a9069c7d83017c9575fcf0983"IssueInstant="2014-11-26T12:45:32.002Z"ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"Version="2.0">

<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://demo1-sp.e-xpertsolutions.com</saml:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

<ds:SignedInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /><ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" /><ds:Reference URI="#_aea45de943cf6a9069c7d83017c9575fcf0983">

<ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /><ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

<ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#"PrefixList="xs" />

</ds:Transform></ds:Transforms><ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" /><ds:DigestValue>5NuI6BhnWWcFiba1nP9XE4+fb/o=</ds:DigestValue>

</ds:Reference></ds:SignedInfo>

<ds:SignatureValue>HH90m5YJrDHtBcpcwrV3EBnU2CFJyLEk8GQONvDsIU08vZNakVos2JAke6kdof/3HCzUZrUusPOty92V8/DZFXu+5TNheZNNeGir390pE1YD39ac1mZJ9w/SezpH+Rh46aBaBTPf0ne4H5984PnStwzlewzFHDTJLk24A0fEFyRR7OpXvF6BpU5E7I0If0p0LbsTBEZSIBTug+cd6eVrIlmNbkIxaYbBPFkQa/stqMEdXcpPWJufbajTaE9X34V6Bale0cgoj0Q5K9o10qX1/C1qtBPhgfV4G8qUw4OnMsh8MLA6xhH7qbsFY0He1HgWbiYrg0z2p7NJ3nSYLgnpXA==</ds:SignatureValue>

Signature de la requête

Page 21: Fédération d'identité, séminaire du 27 novembre 2014

21

SAML ASSERTION

<saml2:Subject>

<saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">ydesmarest</saml2:NameID>

<saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">

<saml2:SubjectConfirmationData NotOnOrAfter="2014-11-26T13:29:59Z"

InResponseTo="_95f05d3113b5392654f025acde63c50a78c978"

Recipient="https://demo1-sp.e-xpertsolutions.com/saml/sp/profile/post/acs"/>

</saml2:SubjectConfirmation>

</saml2:Subject>

<saml2:Conditions NotBefore="2014-11-26T13:16:59Z"

NotOnOrAfter="2014-11-26T13:29:59Z">

<saml2:AudienceRestriction>

<saml2:Audience>https://demo1-sp.e-xpertsolutions.com</saml2:Audience>

</saml2:AudienceRestriction>

</saml2:Conditions>

<saml2:AuthnStatement AuthnInstant="2014-11-26T13:19:59Z"

SessionIndex="_a814856aefecbdb32f76eb38c06cc6345e4e72">

<saml2:AuthnContext>

<saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>

</saml2:AuthnContext>

</saml2:AuthnStatement>

<saml2:AttributeStatement>

<saml2:Attribute Name=“password"

NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">

<saml2:AttributeValue>mon_super_password</saml2:AttributeValue>

</saml2:Attribute>

</saml2:AttributeStatement>

</saml2:Assertion>

</saml2p:Response>

Page 22: Fédération d'identité, séminaire du 27 novembre 2014

22

SAML ASSERTION AVEC CHIFFREMENT DES ATTRIBUTS (AES256)

<saml2:AttributeStatement>

<saml2:EncryptedAttribute>

--- TRUNCATED ---

<xenc:CipherData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">

<xenc:CipherValue>BjH1ntSlZvljxp0zrLSd1aQBDghUzSBEWmBOIEJbP8+1tGlpJ6Oaizs4zEupznDVGFakYdZHRUPwUk/ZCIjaxLjtfWUbE+H0dn+KS+UCythx8LH0EvFt1TvU8y

aCa8mH+TZ2z2gAkoeTt1WXh2AZwnf843gDY9+4So0EDV1wQ35vTXDuF3jc7QuqGtoeZXZmC2W2wro/Q7j94Vjp+5y8dEuFkN8oVPla83zijbL0KNoZ1rhhX3bFDEUDs5/VTR

MJP0GwhDoP4q4MdB6dKvaptUTfuYYhaN202M/xUd/q1JmQ1BvYqXDryW7fZdHPP0tO4mGhakA7HQnoTDdMjicgfA==</xenc:CipherValue>

</xenc:CipherData>

</xenc:EncryptedKey>

</ds:KeyInfo>

<xenc:CipherData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">

<xenc:CipherValue>JGVZdsCDEtotJXShcegyJ0XxM3wMFVGPcDeJXFL0hHXv/FwozC0bFBT8vVxRsbM4XvnM4pWBwBgELIFHvoQwzN+HOkRm4W470q5JG9G29MfY0cJolY

C9J29KMJ+uCcbFszWBg6//TTiNeCBjsYvJ0CRp7QAR2WDfCwQiDwqOTZa1iQoaGTZ/cNVOXmRxUpdJifsVipIvoYFmFYEGfLIIXEdU7zpcFXUV4A6DcYXewYCPifISaYhQJBFFeT

x0OW1D</xenc:CipherValue>

</xenc:CipherData>

</xenc:EncryptedData>

</saml2:EncryptedAttribute>

<saml2:Attribute Name=“group"

NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">

<saml2:AttributeValue>administrators</saml2:AttributeValue>

</saml2:Attribute>

</saml2:AttributeStatement>Attribut non chiffré

Attribut chiffré

Clé de chiffrement

Page 23: Fédération d'identité, séminaire du 27 novembre 2014

23

SAML ASSERTION AVEC CHIFFREMENT DU SUBJECT (AES256)

<saml2:Subject>

--- TRUNCATED ---

<xenc:CipherData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">

<xenc:CipherValue>SgtNORNgWu8FBBs4GVa06wx2TgyRmJz04FUOm9lRPKMmIUDzNGmI1b5nBgegT7a3iA/YvQzKvLwCgQzzA9wC0hgDAuYHwhjMc9P0h1UM9DjuZ7QK

69I3ao2emnvJWpXYVYNw99Yxw1lW9iQJ1Py6cUKmDn7CLDps5gH7WIRbU2TCioMDXkSd0EKqjC4eRq6wHEdDVZUceqrRXmB3LrpvGSzkGVDgYHGcDa0g1eVx7UGVx0hG

wJCswkQEs2Gp5ChN4/cu+XkNuAl/voTMglujp5XDnNt6GTRqEB4LuemCF38oHQ5+FiejLAW3qxaCh3YDrPCl58YBI3FHF3NmQHd/uw==</xenc:CipherValue>

</xenc:CipherData>

</xenc:EncryptedKey>

</ds:KeyInfo>

<xenc:CipherData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">

<xenc:CipherValue>/ls/nr5v0/kCqygDWWAclUMBRHFG6TgRN6N/OQZO8Hv4fzR/D1Tml2S3sxgbNOCGymhsJXywH7S7skp96dIypLVZdWc+HNCAnjcATmpOo1kATD3s8lq

mSj8R/sbxZDSiWnew4OTFgbVsLXJ/bo94e1DFhH2en3G9GCpz5/YYuM6O1TmAG4ZeaLKBr8mU58rI95+fzatBflW5K9+c0QW7YQ==</xenc:CipherValue>

</xenc:CipherData>

</xenc:EncryptedData>

</saml2:EncryptedID>

<saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">

<saml2:SubjectConfirmationData NotOnOrAfter="2014-11-26T13:21:51Z"

InResponseTo="_86efc5d55d4f210a6f132c1aae2cdbb7c58e6a"

Recipient="https://demo1-sp.e-xpertsolutions.com/saml/sp/profile/post/acs"/>

</saml2:SubjectConfirmation>

</saml2:Subject>

Subject chiffré

Clé de chiffrement AES256

Page 24: Fédération d'identité, séminaire du 27 novembre 2014

24

SAML ASSERTION CHIFFRÉE (AES256)

<xenc:CipherData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">

<xenc:CipherValue>Zfj0E/F/nggOc053F1SmeQ5ofjPTBIBOTpotgDldeUwQKvVJfvngmizMj0wul1uYUpAWFk6cQ6lP1XmmjYtAp64yvw4Fkz96Ty+iaa1PVh3d//er9

HUsmhH/zP8weiBAWBYvxocHCW36crOV4k/hSWHTJQfiH9iXwReXbOOlO8MTkTZ5h64X5s9Xz/3pKqgBgUjmjvuOBxlqq87Fy76pAsa4Y8AsPSzsISjbaK4QUhu0AM

dmR/XowT71mMWvjL62biHW9mXNK7VYkoLDOvZBh3DmjoHZj/HwhwlO4neWVVjjKGpM33VHOo149Q/qdVdnVAzB4MDdPe0wq3rjIMeDHw==</xenc:CipherV

alue>

</xenc:CipherData>

</xenc:EncryptedKey>

</ds:KeyInfo>

<xenc:CipherData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">

<xenc:CipherValue>W4QPSfNNuTlPu2h0i4FC5txCPmQAzoGeL943F9GZunHOHZ+bJMXYtJYo4jpkDR5DeU/tFPArsin4BYixPdcxswRetfQpxhueNaLY0PHYQFV9DON

vhsWhBMF+l0pxhVNp30UgSdDPN7A7Cfp8C3Dg2loHhJuaTvyCRd3fPkEkiXQ8fIy/MtGbvPv1did

--- TRUNCATED ---

UuL9LRhGhpejLWaGJ1DYaOiKhlbDkdqfHx4iIJCiDXIf9Y2tY45fE6cTCcUIaFfwS0D2cjv98JwqcO3ZyottxgMpZJ3cx94eM9NBtK4qIKfLu44HDk7fnXlB665LWoSSEL4/+y

JCXXSrpOHIyrFHnvRiyBuqmTSMXI4+bH4iKpgsQLe3hmYlMW3BYRrnrU4/ueBHwhz7XVOrBzqFMx2PRh0C2mjas+4krevDjD8RCSag7Ui4N6Vzoo452bVoImIWKjz6a

mr0I7pyG9KN/z8pSTRKc3VkSTPhnK/Tn3vjX7KSxrdQCx9UUyQJVMw==</xenc:CipherValue>

</xenc:CipherData>

</xenc:EncryptedData>

</saml2:EncryptedAssertion>

</saml2p:Response>

Clé symétrique AES256

Données chiffrées

Page 25: Fédération d'identité, séminaire du 27 novembre 2014

AMÉLIORATIONS

Page 26: Fédération d'identité, séminaire du 27 novembre 2014

IDP CHAINING

► Creation d’IDP broker

► Creation de workflow d’authentification

► Un point unique pour etablir les trusts

SP IDP

SP IDP

SP

[email protected]

app.demo.com idp.demo.com

idp.dummy.ch

IDP

SPidp.acme.it

[email protected]

Page 27: Fédération d'identité, séminaire du 27 novembre 2014

STEP-UP AUTHENTICATION (1/2)

27

app1

app2

app1.demo.com

1. Connect

idp.demo.com

2. SAML Request / 3. SAML Assertion

4. resource access

Page 28: Fédération d'identité, séminaire du 27 novembre 2014

STEP-UP AUTHENTICATION (2/2)

28

app1

app2

app2.demo.com

1. Connect

idp-strong.demo.com

2. SAML Request / 6. SAML Assertion

7. resource access

idp.demo.com

3. SAML Request / 4. SAML Assertion

5.

8. resource access

Page 29: Fédération d'identité, séminaire du 27 novembre 2014

29

SOCIAL LOGIN (FACEBOOK, GOOGLE, ...)

Page 30: Fédération d'identité, séminaire du 27 novembre 2014

PROCESSUS D’AUTHENTIFICATION AMELIORE

► Transformation de protocoles (SAML 2.0 -> Oauth 2.0)

► IDP Discovery automatique (base sur le contexte – ex: addr ip source)

► Transformation du login (addr email -> user Principal Name / Common Name

► Prise de decision basee sur le client, une requete ldap, etc.

30

Page 31: Fédération d'identité, séminaire du 27 novembre 2014

ARCHITECTURES

Page 32: Fédération d'identité, séminaire du 27 novembre 2014

INTÉGRATION IDP SUISSEID

► F5 APM as Service Provider

► IDP SuisseID de la Poste

► SSO Kerberos (Constraint

Delegation/Protocol Transition)

Customer site

BIG-IP LTM

BIG-IP ASM+APM

Kerberos

Service Provider

IDP SuisseID

Page 33: Fédération d'identité, séminaire du 27 novembre 2014

INTÉGRATION IDP SUISSEID

Page 34: Fédération d'identité, séminaire du 27 novembre 2014

INTÉGRATION IDP SUISSEID

Page 35: Fédération d'identité, séminaire du 27 novembre 2014

INTÉGRATION ELCARD : IDP SAML 2.0 (1/2)

35

Customer site

BIG-IP ASM+APM

Kerberos

SP

Serveur Elcard

IDP

Customer site

BIG-IP ASM+APM

Kerberos

SP

Serveur Elcard

IDP

Page 36: Fédération d'identité, séminaire du 27 novembre 2014

36

INTÉGRATION ELCARD : SAML PROXY (2/2)

Service Provider X

Identity Provider

Service Provider X

SAMLRequest SAML Assertion RessourceSingle Sign On

AuthentificationElcard

Autorisation

Service Provider X

SAML ProxyIdentity

Provider YSAMLRequest SAMLRequest SAML ProxySAML Assertion

Authentification

Service Provider X

AuthentificationElcard

SAML Assertion

Page 37: Fédération d'identité, séminaire du 27 novembre 2014

E-XPERT

Page 38: Fédération d'identité, séminaire du 27 novembre 2014

VALEUR AJOUTÉE E-XPERT

► Compétences techniques pointues sur les solutions F5

► Fortes Connaissances dans le domaine de la Fédération

d’identité

► Capable d’avoir la vision d’ensemble et de comprendre les

besoins

► Nombreuses compétences et connaissances connexes

► Forte aptitude au Troubleshooting

38

Page 39: Fédération d'identité, séminaire du 27 novembre 2014

LA COLLABORATION ELCA / E-XPERT

► Excellent niveau d’expertise et de connaissances de chaque coté

► Bonne Complémentarité des profils d’ingénieurs

► Capacité de fournir une offre complète allant :

DU DESIGN A L’IMPLEMENTATION

39

Page 40: Fédération d'identité, séminaire du 27 novembre 2014

MERCI DE VOTRE ATTENTION

Yann Desmarest

Innovation Center Manager

tel. +41 22 727 05 55

[email protected]

www.e-xpertsolutions.com

Yoann Le Corvic

Senior Security Engineer / ISO 27001 Lead Auditor

tel. +41 22 727 05 55

[email protected]

www.e-xpertsolutions.com