Sélection de la langue

Government of Canada / Gouvernement du Canada

Contrôle d’accès

Précédent

Sur cette page

Les activités et les contrôles dans la famille Contrôle d’accès (AC pour Access Control) permettent d’autoriser ou de refuser l’accès des utilisatrices et utilisateurs à des ressources dans le système.

AC-01 Politique et procédures de contrôle d’accès

Activité

  1. Développer, consigner et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
    1. une politique de contrôle d’accès [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, à la jurisprudence, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
    2. des procédures pour faciliter la mise en œuvre de la politique de contrôle d’accès et des contrôles d’accès connexes
  2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures liées au contrôle d’accès
  3. Passer en revue et mettre à jour, par rapport au contrôle d’accès,
    1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
    2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

Les politiques de contrôle d’accès abordent les contrôles de la famille AC qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les fonctions de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures de contrôle d’accès. En règle générale, les politiques et les cadres liés au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système. Les politiques de contrôle d’accès peuvent être intégrées au cadre général de la sécurité et de la protection de la vie privée ou, inversement, être représentées par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour la sécurité et la protection de la vie privée, pour les processus opérationnels ou liés à la mission, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts. Les procédures liées à la protection de la vie privée ne devraient pas avoir un caractère ad hoc.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de contrôle d’accès comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, à la jurisprudence, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

IA-01, PM-09, PM-24, PS-08, SI-02 et SI-12.

Améliorations: Aucune.

Références:

Haut de la page 
 

AC-02 Gestion des comptes

Contrôle

  1. Définir et consigner les types de comptes permis et dont l’utilisation est interdite dans le système
  2. Affecter des gestionnaires de comptes et des responsables des données
  3. Exiger [Affectation : prérequis et critères ayant été définis par l’organisation] en ce qui concerne l’appartenance au groupe et au rôle
  4. Préciser
    1. les utilisatrices et utilisateurs autorisés du système
    2. les membres des groupes et des rôles
    3. les autorisations d’accès (par exemple, droits d’accès ou privilèges) et [Affectation : attributs définis par l’organisation (selon les besoins)] pour chaque compte
  5. Obtenir l’approbation de [Affectation : personnel ou rôles définis par l’organisation] pour les demandes de création de comptes
  6. Créer, activer, modifier, désactiver et retirer les comptes du système conformément aux [Affectation : politiques, procédures, conditions préalables et critères définis par l’organisation
  7. Surveiller l’utilisation des comptes
  8. Aviser les gestionnaires de compte et [Affectation : personnel ou rôles définis par l’organisation] dans
    1. [Affectation : délais définis par l’organisation] lorsque les comptes ne sont plus requis ou en état de latence
    2. [Affectation : délais définis par l’organisation] lorsque les utilisatrices et utilisateurs quittent leur emploi ou sont transférés
    3. [Affectation : délais définis par l’organisation] lorsque l’utilisation du système ou le besoin de connaître d’une personne change
  9. Autoriser l’accès au système en fonction de ce qui suit
    1. une autorisation d’accès valide
    2. l’utilisation prévue du système
    3. [Affectation : attributs définis par l’organisation (selon les besoins)]
  10. Examiner périodiquement les comptes pour s’assurer qu’ils sont conformes aux exigences en matière de gestion des comptes tous les [Affectation : fréquence définie par l’organisation]
  11. Établir et mettre en œuvre un processus de changement des authentifiants de compte partagé ou de groupe (s’ils sont déployés) lorsque des utilisatrices et utilisateurs sont retirés du groupe
  12. Aligner les processus de gestion des comptes avec les processus de cessation d’emploi et de mutation de personnel

Discussion

Les types de comptes de système comprennent les comptes individuels, partagés, temporaires, anonymes ou d’invité, de groupe, de système, d’urgence, de développeuse ou développeur et de service. L’identification des utilisatrices et utilisateurs autorisés du système et la spécification des privilèges d’accès reflètent les exigences que l’on retrouve dans d’autres contrôles de sécurité et de protection de la vie privée. Les utilisatrices et utilisateurs nécessitant des privilèges administratifs sur les comptes du système font l’objet d’un examen plus approfondi de la part des responsables du personnel de l’organisation pour l’approbation des comptes et de l’accès privilégié. Il peut s’agir entre autres de la ou du propriétaire du système, de la mission ou des activités, d’une ou un cadre supérieur de la gouvernance en matière de sécurité du ministère, d’une ou un responsable des données ou d’une haute ou un haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée. Les types de comptes que les organisations peuvent interdire en raison d’un risque de sécurité accru incluent les comptes partagés, anonymes, temporaires, de groupe, d’urgence et d’invité.

Dans la mesure où l’accès comporte des renseignements personnels, les cadres supérieures et supérieurs responsables de la sécurité et de la protection de la vie privée collaborent avec la ou le responsable des données pour déterminer les conditions particulières de l’appartenance aux groupes et aux rôles, identifier les utilisatrices et utilisateurs autorisés, l’appartenance aux groupes et aux rôles, et les autorisations d’accès pour chaque compte, ainsi que créer, ajuster ou supprimer les comptes du système conformément aux stratégies organisationnelles. Les stratégies peuvent comprendre de l’information telle que les dates d’expiration des comptes ou d’autres facteurs qui déclenchent la désactivation des comptes.

Les organisations peuvent choisir de définir les droits d’accès ou d’autres attributs en fonction du compte, du type de compte ou d’une combinaison des deux. Les exemples d’autres attributs requis pour autoriser l’accès incluent les restrictions en fonction du moment de la journée, du jour de la semaine et du point d’origine. Au moment de définir les autres attributs des comptes de système, les organisations considèrent les exigences liées au système et celles liées à la mission ou aux activités. Si les organisations ne considèrent pas ces facteurs, la disponibilité des systèmes risque d’en subir les conséquences.

Les comptes temporaires et d’urgence devraient être utilisés à court terme. Les organisations établissent des comptes temporaires dans leurs procédures standard d’activation de compte s’il convient d’utiliser les comptes à court terme et que leur activation n’est pas urgente. Les organisations établissent des comptes d’urgence à la suite de situations de crise et lorsqu’il faut activer des comptes rapidement. Par conséquent, l’activation de compte d’urgence risque de contourner les processus standard d’autorisation de compte. Il ne faut pas confondre les comptes temporaires et d’urgence avec les comptes utilisés peu fréquemment, notamment les comptes d’ouverture de session locaux utilisés pour réaliser des tâches particulières ou lorsque les ressources réseau ne sont pas disponibles (communément appelés des comptes de dernier recours). Ces comptes demeurent activés et ne sont pas assujettis aux dates de retrait ou de désactivation automatique.

Les conditions de désactivation des comptes peuvent inclure ce qui suit : lorsque les comptes temporaires, les comptes d’urgence ou les comptes partagés ou de groupe ne sont plus requis; ou lorsque des utilisatrices ou utilisateurs quittent leur poste ou font l’objet d’un transfert. Changer des authentifiants partagés ou de groupe vise à s’assurer que d’anciennes ou anciens membres du groupe ne puissent pas conserver des accès au compte partagé ou de groupe. Les utilisatrices et utilisateurs de certains types de comptes de système pourraient être appelés à suivre une formation spécialisée.

Contrôles et activités connexes

AC-03, AC-05, AC-06, AC-17, AC-18, AC-20, AC-24, AU-02, AU-12, CM-05, IA-02, IA-04, IA-05, IA-08, MA-03, MA-05, PE-02, PL-04, PS-02, PS-04, PS-05, PS-07, PT-02, PT-03, SC-07, SC-12, SC-13 et SC-37.

Améliorations

  • (01) Gestion des comptes : Gestion automatisée des comptes système
    • Appuyer la gestion des comptes système au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : La gestion automatisée des comptes système comprend le recours à des mécanismes automatisés pour :
      • créer, activer, modifier, désactiver et supprimer les comptes;
      • aviser les gestionnaires des comptes lorsqu’un compte est créé, activé, modifié, désactivé ou supprimé, ou lorsque des utilisatrices ou utilisateurs sont congédiés ou transférés;
      • surveiller l’usage du compte de système; et signaler une utilisation irrégulière de celui-ci.
    • Les mécanismes automatisés peuvent comprendre des fonctions de systèmes internes ainsi que des notifications téléphoniques, de courriels et de messages texte.
    • Contrôles et activités connexes : Aucun.
  • (02) Gestion des comptes : Gestion automatisée des comptes temporaires et des comptes d’urgence
    • Automatiquement, le système [Sélection (un choix) : supprime; désactive] les comptes temporaires et d’urgence après [Affectation : délais définis par l’organisation pour chaque type de compte].
    • Discussion : La gestion de comptes temporaires et d’urgence comprend la suppression ou la désactivation automatique de ces comptes après un délai prédéfini plutôt qu’à la convenance de l’administratrice ou administrateur de système. Une suppression ou une désactivation automatique des comptes assure une mise en œuvre plus cohérente.
    • Contrôles et activités connexes : Aucun.
  • (03) Gestion des comptes : Désactivation des comptes
    • Désactiver les comptes dans [Affectation : délais définis par l’organisation] lorsque les comptes
      1. ont expiré
      2. ne sont plus associés à une utilisatrice ou un utilisateur, ou à une personne
      3. contreviennent à une politique organisationnelle
      4. sont inactifs depuis [Affectation : délais définis par l’organisation]
    • Discussion : Désactiver des comptes expirés, inactifs ou comportant des anomalies soutient les concepts du principe de droit d’accès et du principe de fonctionnalité minimale qui permettent de réduire la surface d’attaque du système.
    • Contrôles et activités connexes : Aucun.
  • (04) Gestion des comptes : Opérations automatisées de vérification
    • Vérification automatique des activités de création, de modification, d’activation, de désactivation et de retrait des comptes.
    • Discussion : Les dossiers de vérification de gestion des comptes sont définis conformément au contrôle AU-02 et ils sont examinés, analysés et signalés conformément au contrôle AU-06.
    • Contrôles et activités connexes : AU-02 et AU-06.
  • (05) Gestion des comptes : Fermeture de session en cas d’inactivité
    • Exiger des utilisatrices et utilisateurs qu’ils ferment leur session après [Affectation : délai d’inactivité prévu ou description du moment de la fermeture de session définis par l’organisation].
    • Discussion : La fermeture de session en cas d’inactivité peut être basée sur des comportements ou sur des stratégies, et nécessite que les utilisatrices et utilisateurs effectuent une opération physique afin de fermer leur session s’ils prévoient d’être inactifs sur le système pendant une période dépassant la période définie. L’application automatique de la fermeture de session en cas d’inactivité est abordée dans le contrôle AC-11.
    • Contrôles et activités connexes : AC-11.
  • (06) Gestion des comptes : Gestion dynamique des droits d’accès
    • Mettre en œuvre des [Affectation : capacités de gestion dynamique des droits d’accès définies par l’organisation].
    • Discussion : Contrairement aux approches de contrôle d’accès qui emploient des comptes statiques et des droits d’accès d’utilisatrice et utilisateur prédéfinis, les approches de contrôle d’accès dynamique reposent sur des décisions d’exécution de contrôle d’accès facilitées par une gestion dynamique des droits d’accès, comme le contrôle d’accès basé sur les attributs.
      Quoique les identités d’utilisateur demeurent relativement constantes au fil du temps, les droits d’accès changent généralement plus fréquemment selon les exigences de la mission et des opérations ainsi que selon les besoins opérationnels de l’organisation. Un exemple de la gestion dynamique des droits d’accès est la révocation immédiate des droits d’accès des utilisatrices et utilisateurs, par opposition à forcer les utilisatrices et utilisateurs à mettre fin à leur session et à en ouvrir une nouvelle pour refléter les changements de droits d’accès.
      La gestion dynamique des droits d’accès peut également comprendre les mécanismes qui modifient les droits d’accès des utilisatrices et utilisateurs en fonction de règles dynamiques, au lieu de modifier les profils d’utilisatrice ou utilisateur particuliers. Des exemples peuvent comprendre des ajustements automatiques des droits d’accès si les utilisatrices et utilisateurs travaillent en dehors de leurs heures normales de travail, leurs fonctions ou affectations changent, ou si les systèmes sont dans des situations contraignantes ou de maintenance d’urgence. La gestion dynamique des droits d’accès peut également inclure les effets des changements de droits d’accès, lorsqu’il y a des changements aux clés de chiffrement utilisées pour les communications.
    • Contrôles et activités connexes : AC-16.
  • (07) Gestion des comptes : Comptes d’utilisateur privilégiés
      1. Établir et administrer des comptes d’utilisateur privilégiés conformément à un [Sélection (un choix) : plan de contrôle d’accès basé sur les rôles; plan d’accès basés sur les attributs]
      2. Surveiller les attributions de rôles privilégiés ou d’attributs
      3. Surveiller les changements aux rôles ou aux attributs
      4. Révoquer l’accès lorsque les attributions de rôles privilégiés ou d’attributs ne conviennent plus
    • Discussion : Les rôles privilégiés sont des rôles définis par l’organisation qui sont attribués aux utilisatrices et utilisateurs pour leur permettre d’exécuter certaines fonctions de sécurité qu’ils ne sont pas habituellement autorisés à exécuter. Les rôles privilégiés comprennent la gestion des clés, la gestion des comptes, l’administration des bases de données, l’administration des réseaux et des systèmes, et l’administration Web. Un plan d’accès basé sur les rôles regroupe l’accès et les droits d’accès permis au système par rôle. À l’inverse, un plan d’accès basé sur des attributs précise les droits d’accès au système en fonction des attributs.
    • Contrôles et activités connexes : Aucun.
  • (08) Gestion des comptes : Gestion dynamique des comptes
    • Créer, activer, gérer et désactiver [Affectation : comptes du système définis par l’organisation] de manière dynamique.
    • Discussion : Les approches permettant de créer, d’activer, de gérer et de désactiver de manière dynamique les comptes du système reposent sur l’attribution automatique des comptes au moment de leur exécution en temps réel dans le cas des entités jusque-là inconnues. Les organisations planifient la gestion, la création, l’activation et la désactivation dynamiques de comptes de système en établissant des relations de confiance, des règles opérationnelles et des mécanismes avec les autorités appropriées pour valider les autorisations et droits d’accès connexes.
    • Contrôles et activités connexes : AC-16.
  • (09) Gestion des comptes : Restrictions liées à l’utilisation de comptes partagés et de groupe
    • Autoriser uniquement l’utilisation des comptes partagés et de groupe qui répondent aux [Affectation : conditions relatives à l’établissement de comptes partagés et de groupe définies par l’organisation].
    • Discussion : Avant d’autoriser l’utilisation de comptes partagés ou de groupe, les organisations tiennent compte du risque accru engendré par le manque de responsabilisation associé à de tels comptes.
    • Contrôles et activités connexes : Aucun.
  • (10) Gestion des comptes : Changement de justificatifs d’identité de comptes partagés et de groupe
    • Annulé : Intégré au contrôle AC-02.
  • (11) Gestion des comptes : Conditions d’utilisation
    • Appliquer [Affectation : circonstances et/ou conditions d’utilisation définies par l’organisation] aux [Affectation : comptes du système définis par l’organisation].
    • Discussion : Le fait de préciser et d’appliquer des conditions d’utilisation aide à appliquer le principe de droit d’accès minimal, à accroître l’imputabilité de l’utilisatrice ou utilisateur et à permettre une surveillance efficace des comptes. La surveillance des comptes implique que des alertes sont générées si l’utilisation d’un compte contrevient aux paramètres organisationnels. Les organisations peuvent décrire les conditions ou les circonstances particulières selon lesquelles les comptes du système peuvent être utilisés, comme en limitant l’utilisation à certains jours de la semaine, à certaines heures du jour ou à une durée précise.
    • Contrôles et activités connexes : Aucun.
  • (12) Gestion des comptes : Surveillance des comptes pour utilisation irrégulière
      1. Surveiller les comptes de système afin de détecter [Affectation : utilisation irrégulière définie par l’organisation]
      2. Signaler une utilisation irrégulière des comptes de système à [Affectation : personnel ou rôles définis par l’organisation]
    • Discussion : L’utilisation irrégulière peut comprendre l’accès à des systèmes à des heures précises de la journée ou à partir d’endroits qui ne correspondent pas aux habitudes d’utilisation régulières des employées et employés. La surveillance des comptes pour utilisation irrégulière peut révéler un comportement malhonnête de certaines personnes ou une attaque en cours. La surveillance des comptes peut créer par inadvertance des risques pour ce qui touche les renseignements personnels étant donné que les données recueillies pour repérer une utilisation irrégulière peuvent exposer de l’information précédemment inconnue concernant le comportement de personnes. Les organisations évaluent et documentent les risques pour les renseignements personnels en surveillant les comptes afin de déceler une utilisation irrégulière en ce qui a trait à l’évaluation des facteurs relatifs à la vie privée (EFVP), et prennent des décisions conformément à leur plan du programme de protection de la vie privée.
    • Contrôles et activités connexes : AU-06, AU-07, CA-07, IR-08 et SI-04.
  • (13) Gestion des comptes : Désactivation des comptes des personnes à risque élevé
    • Désactiver des comptes du personnel dans les [Affectation : délais définis par l’organisation] après la découverte des [Affectation : risques importants définis par l’organisation].
    • Discussion : Les utilisatrices et utilisateurs qui présentent un risque important pour la sécurité et/ou l’atteinte à la vie privée comprennent les personnes pour lesquelles des preuves fiables indiquent l’intention d’utiliser un accès autorisé aux systèmes afin de causer des dommages ou de permettre à des adversaires de causer des dommages. Ces dommages comprennent des incidences négatives aux activités et aux biens organisationnels, aux employées et employés, à d’autres organisations ou au Canada. Une collaboration étroite entre les administratrices et administrateurs de système, le personnel juridique, les gestionnaires des ressources humaines et les autorités responsables est essentielle à la désactivation des comptes système des personnes présentant un risque élevé.
    • Contrôles et activités connexes : AU-06 et SI-04.

Références:

Haut de la page 
 

AC-03 Application de l’accès

Contrôle

Appliquer les autorisations approuvées pour l’accès logique à l’information et aux ressources système conformément aux stratégies de contrôle d’accès applicables.

Discussion

Les stratégies de contrôle d’accès contrôlent ou documentent l’accès entre les entités ou sujets actifs (c’est-à-dire les utilisatrices et utilisateurs ou les processus système agissant en leur nom) et les entités ou objets passifs (c’est-à-dire les dispositifs, les fichiers, les documents et les domaines) dans les systèmes organisationnels. En plus de consigner et d’appliquer l’accès autorisé au système et de reconnaître que les systèmes peuvent héberger de nombreuses applications et services à l’appui des fonctions liées à la mission et aux activités, les mécanismes d’application de l’accès peuvent également servir aux applications et aux services en vue de renforcer la sécurité et la protection de la vie privée de l’information. Contrairement aux contrôles d’accès logiques qui sont mis en œuvre dans le système, les contrôles d’accès physiques relèvent des contrôles appartenant à la famille Protection physique et environnementale (PE).

Contrôles et activités connexes

AC-02, AC-04, AC-05, AC-06, AC-16, AC-17, AC-18, AC-19, AC-20, AC-21, AC-22, AC-24, AC-25, AT-02, AT-03, AU-09, CA-09, CM-05, CM-11, IA-02, IA-05, IA-06, IA-07, IA-11, IA-13, MA-03, MA-04, MA-05, MP-04, PM-02, PS-03, PT-02, PT-03, SA-17, SC-02, SC-03, SC-04, SC-12, SC-13, SC-28, SC-31, SC-34, SI-04 et SI-08.

Améliorations

  • (01) Application de l’accès : Restriction de l’accès aux fonctions privilégiées
    • Annulé : Intégré au contrôle AC-06.
  • (02) Application de l’accès : Double autorisation
    • Appliquer une double autorisation pour [Affectation : commandes privilégiées ou autres mesures définies par l’organisation].
    • Discussion : La double autorisation, également appelée le contrôle par deux personnes, réduit le risque lié aux menaces internes. L’exécution des mécanismes de double autorisation exige l’approbation de deux personnes autorisées. Pour réduire le risque de collusion, les organisations considèrent la rotation des tâches à double autorisation. Les organisations tiennent compte du risque associé à la mise en œuvre de mécanismes de double autorisation lorsqu’il faut agir immédiatement pour assurer la sécurité publique et environnementale.
    • Contrôles et activités connexes : CP-09 et MP-06.
  • (03) Application de l’accès : Contrôle d’accès obligatoire
    • Appliquer la [Affectation : stratégie de contrôle d’accès non discrétionnaire définie par l’organisation] à l’ensemble de sujets et objets couverts qui sont définis dans la stratégie, quand la stratégie
      1. est appliquée de façon uniforme pour tous les sujets et objets dans le système
      2. précise qu’un sujet ayant reçu l’accès à l’information est contraint
        1. d’acheminer l’information à des sujets ou à des objets non autorisés
        2. d’octroyer ses droits d’accès à d’autres sujets
        3. de changer un ou plusieurs attributs de sécurité (précisés par la stratégie) pour des sujets, des objets, le système ou des composants du système
        4. de choisir les attributs de sécurité et les valeurs d’attribut (précisés par la stratégie) qui seront associés aux objets nouvellement créés ou modifiés
        5. de changer les règles régies par le contrôle d’accès
      3. précise que les [Affectation : sujets définis par l’organisation] peuvent accorder explicitement [Affectation : droits d’accès définis par l’organisation, de façon à ce qu’ils ne soient pas limités par les contraintes ci-dessus
    • Discussion : Le contrôle d’accès obligatoire est un type de contrôle non discrétionnaire des accès. Les stratégies de contrôle d’accès obligatoire limitent les opérations que peuvent exécuter les sujets par rapport à l’information obtenue des objets auxquels l’accès leur a déjà été accordé. C’est ce qui empêche les sujets de transmettre de l’information à des sujets ou à des objets non autorisés. Les stratégies de contrôle d’accès obligatoire limitent les opérations que peuvent exécuter les sujets en ce qui a trait à la propagation des privilèges de contrôle d’accès, à savoir qu’un sujet ayant un privilège ne peut pas le transmettre à d’autres sujets. La stratégie est appliquée de façon uniforme pour tous les sujets et objets que contrôle le système. Autrement, la politique de contrôle d’accès peut être contournée. Cette application est assurée par une mise en œuvre qui répond au concept de contrôleur de référence décrit dans le contrôle AC-25. La stratégie est délimitée par les frontières du système (c’est-à-dire une fois que l’information sort du contrôle du système, des moyens additionnels seront peut-être nécessaires pour s’assurer que les contraintes imposées sur l’information demeurent en vigueur).
      Les droits d’accès accordés aux sujets de confiance décrits ci-dessus sont conformes au concept du droit d’accès minimal (voir AC-06). Les sujets de confiance reçoivent seulement les droits d’accès minimaux qui sont nécessaires afin de satisfaire les besoins de l’organisation liés à la mission et aux opérations associées à la stratégie ci-dessus. Le contrôle s’applique particulièrement lorsqu’il existe un mandat qui établit une politique concernant l’accès à l’information protégée ou classifiée, où certaines utilisatrices ou certains utilisateurs du système ne sont pas autorisés à accéder à toute l’information sensible ou classifiée contenue dans le système d’information.
      Un contrôle d’accès obligatoire peut être appliqué en conjonction avec le contrôle d’accès discrétionnaire décrit dans le contrôle AC-03(04). Un sujet dont les activités sont limitées par les stratégies d’accès obligatoire peut quand même être en mesure de réaliser ses activités en vertu des contraintes moins rigoureuses du contrôle AC-03(04), mais les stratégies d’accès obligatoire ont préséance sur les contraintes moins rigoureuses du contrôle AC-03(04). Par exemple, bien qu’une stratégie de contrôle d’accès obligatoire impose une contrainte empêchant un sujet de transmettre de l’information à un sujet menant des activités à un niveau d’incidence ou de classification différent, le contrôle AC-03(04) permet au sujet de transmettre de l’information à des sujets ayant le même niveau d’incidence ou de classification que celui du sujet. Des exemples de stratégies de contrôle d’accès obligatoire comprennent la stratégie Bell-LaPadula pour protéger la confidentialité de l’information et la stratégie Biba pour protéger l’intégrité de l’information.
    • Contrôles et activités connexes : SC-07.
  • (04) Application de l’accès : Contrôle d’accès discrétionnaire
    • Appliquer la [Affectation : stratégie de contrôle d’accès non discrétionnaire définie par l’organisation] aux ensembles de sujets et d’objets couverts qui ont été précisés dans la stratégie, et quand la stratégie précise qu’un sujet à qui l’accès à l’information a été accordé peut réaliser l’un ou l’autre des aspects suivants
      1. acheminer l’information à d’autres sujets ou objets
      2. octroyer ses droits d’accès à d’autres sujets
      3. changer des attributs de sécurité de sujets, d’objets, du système ou de composants du système
      4. choisir les attributs de sécurité qui seront associés aux objets nouvellement créés ou modifiés; par le contrôle d’accès
      5. changer les règles régies par le contrôle d’accès
    • Discussion : Lors de la mise en œuvre des stratégies de contrôle d’accès discrétionnaire, les sujets ne sont pas limités quant aux opérations qu’ils peuvent exécuter par rapport à l’information de l’organisation à laquelle ils ont déjà reçu l’accès. Toutefois, ils sont limités quant à l’utilisation ou la divulgation de renseignements personnels. Un avis d’utilisation est fourni à la personne au point de collecte et les seules utilisations autorisées de l’information sont communiquées dans un énoncé de confidentialité, et les limites d’utilisation sont détaillées au paragraphe 8(2) de la Loi sur la protection des renseignements personnels (LPRP).
      Pour les dossiers opérationnels, les sujets ayant déjà obtenu l’accès à l’information sont autorisés à transmettre (c’est-à-dire qu’ils peuvent choisir de transmettre) l’information à d’autres sujets ou à d’autres objets. Un contrôle d’accès discrétionnaire peut être appliqué en conjonction avec le contrôle d’accès obligatoire décrit dans les contrôles AC-03(03) et AC-03(15). Un sujet dont les activités sont limitées par les stratégies de contrôle d’accès obligatoire peut toujours effectuer ses activités selon les contraintes moins rigoureuses du contrôle d’accès discrétionnaire. Par conséquent, bien que le contrôle AC-03(03) impose des contraintes empêchant un sujet de transmettre de l’information à un sujet travaillant à un niveau d’incidence ou de classification différent, le contrôle AC-03(04) permet au sujet de transmettre de l’information à des sujets ayant le même niveau d’incidence ou de classification que celui du sujet.
      La politique est délimitée par le système. Une fois que l’information sort du contrôle du système, des moyens additionnels seront peut-être nécessaires pour s’assurer que les contraintes imposées demeurent en vigueur. Alors que les définitions traditionnelles du contrôle d’accès discrétionnaire exigeaient le contrôle d’accès basé sur l’identité, il n’est pas nécessaire d’appliquer cette limite à l’utilisation du contrôle d’accès discrétionnaire.
    • Contrôles et activités connexes : Aucun.
  • (05) Application de l’accès : Information pertinente en matière de sécurité
    • Empêcher l’accès à [Affectation : information pertinente en matière de sécurité définie par l’organisation] sauf lorsque le système est en état de non-fonctionnement sécurisé.
    • Discussion : L’information pertinente en matière de sécurité désigne l’information dans les systèmes susceptibles d’influer sur l’exécution des fonctions de sécurité ou sur la prestation des services de sécurité, de telle façon qu’elle nuirait à l’application des stratégies de sécurité du système ou à la séparation du code et des données. L’information liée à la sécurité comprend les listes de contrôle d’accès, les règles de filtrage pour les routeurs et les pare-feu, les paramètres de configuration pour les services de sécurité et l’information de gestion des clés cryptographiques. Les systèmes dans un état de non-fonctionnement sécurisé comprennent également les périodes où ils n’effectuent aucun traitement lié à la mission ou aux opérations, comme lorsqu’un système a été mis hors ligne aux fins de maintenance, de dépannage, d’amorçage ou d’arrêt.
    • Contrôles et activités connexes : CM-06 et SC-39.
  • (06) Application de l’accès : Protection de l’information du système, des utilisatrices et utilisateurs
    • Annulé : Intégré aux contrôles MP-04 et SC-28.
  • (07) Application de l’accès : Contrôle d’accès basé sur les rôles
    • Appliquer une stratégie de contrôle d’accès basé sur les rôles à des sujets et objets définis, et il contrôle l’accès en fonction des [Affectation : rôles et du personnel autorisé à assumer ces rôles définis par l’organisation].
    • Discussion : Le contrôle d’accès basé sur les rôles (RBAC pour Role-Based Access Control) est une stratégie de contrôle d’accès qui applique l’accès à des objets et à des fonctions de système en se basant sur le rôle défini (par exemple, les fonctions) du sujet. Les organisations peuvent créer des rôles précis selon les fonctions du poste et les autorisations (c’est-à-dire les droits d’accès) nécessaires en vue d’exécuter les opérations requises sur les systèmes associés aux rôles définis par l’organisation. Lorsque des rôles particuliers sont attribués aux utilisatrices et utilisateurs, ceux-ci héritent des autorisations ou des privilèges définis pour ces rôles. Le RBAC simplifie l’administration des droits d’accès des organisations puisque les droits d’accès ne sont pas attribués directement à chaque utilisatrice ou utilisateur (ce qui peut représenter beaucoup d’utilisatrices et utilisateurs), mais plutôt à des rôles. Le RBAC peut également accroître les risques liés à la protection de la vie privée et à la sécurité si des personnes à qui un rôle a été attribué obtiennent l’accès à de l’information qui excède ce dont elles ont besoin pour appuyer les fonctions liées à la mission et aux activités de l’organisation. Le RBAC peut être mis en œuvre de façon discrétionnaire ou non. Pour les organisations mettant en œuvre le RBAC avec des contrôles d’accès non discrétionnaire, les exigences du contrôle AC-03(03) définissent la portée des sujets et des objets couverts par la stratégie.
    • Contrôles et activités connexes : Aucun.
  • (08) Application de l’accès : Révocation des autorisations d’accès
    • Appliquer la révocation des autorisations d’accès à la suite de changements apportés aux attributs de sécurité des sujets et des objets en fonction des [Affectation : règles régissant le moment de la révocation des autorisations d’accès définies par l’organisation].
    • Discussion : La révocation des règles d’accès peut être différente selon les types d’accès révoqué. Par exemple, si un sujet (c’est-à-dire une utilisatrice ou un utilisateur, ou un processus agissant au nom d’une utilisatrice ou d’un utilisateur) est retiré d’un groupe, il se peut que l’accès ne soit pas révoqué jusqu’à ce que l’objet soit ouvert de nouveau ou jusqu’à ce que le sujet tente d’accéder de nouveau à l’objet. La révocation fondée sur les changements aux étiquettes de sécurité peut entrer en vigueur sur-le-champ. Les organisations fournissent d’autres approches pour l’application immédiate des révocations dans les cas où les systèmes sont incapables d’offrir cette capacité si elle est obligatoire.
    • Contrôles et activités connexes : Aucun.
  • (09) Application de l’accès : Diffusion contrôlée
    • Diffuser de l’information hors du système uniquement si
      1. le [Affectation : système ou composant du système désigné par l’organisation] destinataire fournit les [Affectation : contrôles définis par l’organisation]
      2. les [Affectation : contrôles définis par l’organisation] sont utilisés pour valider la pertinence de l’information désignée à des fins de diffusion
    • Discussion : Les organisations peuvent uniquement protéger l’information directement lorsqu’elle réside dans le système. Des contrôles additionnels pourraient être nécessaires pour veiller à ce que l’information organisationnelle soit protégée de façon adéquate une fois qu’elle a été transmise hors du système. Dans les cas où le système est incapable de déterminer la convenance des mesures de protection fournies par des entités externes, à titre de contrôle d’atténuation, les organisations établissent, en fonction des procédures, si les systèmes externes fournissent des contrôles adéquats.
      Les moyens servant à déterminer la convenance des contrôles assurée par les systèmes externes comprennent la conduite d’évaluations périodiques (inspections ou tests), l’établissement d’ententes entre l’organisation et les organisations homologues ou d’autres processus. Les mécanismes qu’utilisent les entités externes pour protéger l’information reçue peuvent être différents de ceux qu’emploie l’organisation, mais ils doivent être suffisants afin de statuer sur la stratégie sur la sécurité et la protection de la vie privée pour protéger l’information et la vie privée des individus.
      La diffusion contrôlée de l’information exige que les systèmes mettent en œuvre des mécanismes techniques ou procéduraux pour valider l’information avant de la diffuser à des systèmes externes. Par exemple, si le système transmet l’information à un autre système contrôlé par une autre organisation, les mécanismes techniques servent à confirmer que les attributs de sécurité et de protection de la vie privée associés à l’information exportée sont appropriés pour le système destinataire. Autrement, si le système transmet de l’information à une imprimante dans un espace contrôlé par l’organisation, des mécanismes procéduraux peuvent être mis en œuvre pour s’assurer que seules les personnes autorisées peuvent accéder à l’imprimante.
    • Contrôles et activités connexes : CA-03, PT-07, PT-08, SA-09 et SC-16.
  • (10) Application de l’accès : Dérogation vérifiée aux mécanismes de contrôle d’accès
    • Utiliser une dérogation vérifiée aux mécanismes automatisés de contrôle d’accès en vertu des [Affectation : conditions définies par l’organisation] par les [Affectation : rôles définis par l’organisation].
    • Discussion : Dans certains cas, comme lorsque la vie humaine est menacée ou qu’un événement menace la capacité de l’organisation à mener des missions prioritaires ou des fonctions opérationnelles, une fonction de correction pour les mécanismes de contrôle d’accès peut s’avérer nécessaire. Les fonctions de correction sont définies par les organisations et utilisées seulement dans des cas restreints. Les événements vérifiables sont définis dans le contrôle AU-02. Les enregistrements de vérification sont générés dans le contrôle AU-12.
    • Contrôles et activités connexes : AU-02, AU-06, AU-10, AU-12 et AU-14.
  • (11) Application de l’accès : Accès restreint à des types d’information spécifiques
    • Accès restreint à des référentiels contenant des [Affectation : types d’information définis par l’organisation].
    • Discussion : Limiter l’accès à de l’information spécifique permet d’offrir une certaine souplesse quant au contrôle d’accès de types spécifiques d’information dans un système. Par exemple, un accès basé sur les rôles peut être employé pour permettre l’accès à seulement un type spécifique de renseignements personnels dans une base de données plutôt que d’autoriser l’accès à l’intégralité de la base de données. D’autres exemples comprennent de limiter l’accès à des clés cryptographiques, à de l’information d’authentification et à de l’information sélectionnée de système.
    •  
    • Contrôles et activités connexes : CM-08, CM-12, CM-13 et PM-05.
  • (12) Application de l’accès : Assurer et appliquer l’accès aux applications
      1. Exiger des applications pour assurer, dans le cadre du processus d’installation, l’accès nécessaire aux applications et fonctions de systèmes suivantes : [Affectation : applications et fonctions de systèmes définies par l’organisation]
      2. Fournir un mécanisme d’application de l’accès pour empêcher les accès non autorisés
      3. Approuver les changements d’accès après l’installation initiale de l’application
    • Discussion : Assurer et appliquer l’accès aux applications permet d’aborder la question des applications qui doivent accéder à des applications et fonctions existantes de systèmes, notamment les contacts des utilisatrices et utilisateurs, le système mondial de localisation, les caméras, les claviers, les microphones, les réseaux, les téléphones ou autres fichiers.
    • Contrôles et activités connexes : CM-07.
  • (13) Application de l’accès : Contrôle d’accès basé sur les attributs
    • Appliquer une stratégie de contrôle d’accès basé sur les attributs des sujets et objets définis, et contrôler l’accès en fonction des [Affectation : attributs définis par l’organisation pour assumer les autorisations d’accès].
    • Discussion : Le contrôle d’accès basé sur les attributs est une stratégie de contrôle d’accès qui limite l’accès aux systèmes aux utilisatrices et utilisateurs autorisés en fonction des attributs particuliers de l’organisation (par exemple, les fonctions, l’identité), des attributs d’intervention (par exemple, lecture, écriture, suppression), des attributs environnementaux (par exemple, l’heure ou l’emplacement) et des attributs des ressources (par exemple, la classification d’un document). Les organisations peuvent créer des règles selon des attributs et les autorisations (c’est-à-dire des droits d’accès) nécessaires en vue d’exécuter les opérations requises sur les systèmes associés aux règles et attributs définis par l’organisation.
      Lorsque des attributs définis dans des règles ou des stratégies de contrôle d’accès basé sur des attributs sont attribués, sont attribués aux utilisatrices et utilisateurs, ils peuvent être provisionnés à un système doté des privilèges requis, ou obtenir de manière dynamique accès à une ressource protégée. Le contrôle d’accès basé sur les attributs peut être mis en œuvre de façon obligatoire ou discrétionnaire. Lorsqu’elles sont mises en œuvre avec des contrôles d’accès obligatoire, les exigences du contrôle AC-03(03) définissent la portée des sujets et des objets couverts par la stratégie.
    • Contrôles et activités connexes : Aucun.
  • (14) Application de l’accès : Accès individuel
    • Fournir les [Affectation : mécanismes définis par l’organisation] pour permettre aux personnes d’avoir accès aux éléments suivants des renseignements personnels : [Affectation : éléments définis par l’organisation].
    • Discussion : Un accès individuel permet aux gens d’accéder et de possiblement corriger des inexactitudes liées aux renseignements personnels qui se trouvent dans les dossiers organisationnels, indépendamment de leur format. L’accès aide les gens à mieux comprendre comment les organisations gouvernementales recueillent, utilisent ou divulguent leurs renseignements personnels. Cet accès peut également aider les gens à s’assurer que leurs renseignements personnels utilisés pour prendre des décisions administratives sont exacts. Les mécanismes d’accès comprennent les formulaires de demande et les interfaces d’applications.
    • Discussion au sein du GC : Pour les ministères et organismes fédéraux, les procédures liées à la LPRP se trouvent dans la publication du gouvernement, Sources des renseignements sur le gouvernement fédéral et les employées et employés, et sur les sites Web des ministères. L’accès à certains types de dossiers peut ne pas convenir ou peut nécessiter certains niveaux d’assurance de l’authentification. Le personnel de l’organisation peut consulter la haute ou le haut fonctionnaire ou cadre supérieure ou supérieur et la conseillère ou le conseiller juridique en matière de protection de la vie privée pour déterminer les mécanismes, les droits d’accès ou les contraintes appropriés.
    • Contrôles et activités connexes : IA-08, PM-22, PM-20, PM-21 et PT-06.
  • (15) Application de l’accès : Contrôle d’accès discrétionnaire et obligatoire
      1. Appliquer la [Affectation : stratégie de contrôle d’accès non discrétionnaire définie par l’organisation] à l’ensemble de sujets et objets couverts qui sont définis dans la stratégie
      2. Appliquer la [Affectation : stratégie de contrôle d’accès discrétionnaire définie par l’organisation] à l’ensemble de sujets et objets couverts qui sont définis dans la stratégie
    • Discussion : En mettant en œuvre simultanément une stratégie de contrôle d’accès obligatoire et une stratégie de contrôle d’accès discrétionnaire, il est possible d’offrir une protection supplémentaire contre une exécution non autorisée de code de la part d’utilisatrices ou utilisateurs, ou provenant de processus agissant au nom de ceux-ci. Il est ainsi possible d’empêcher qu’une seule utilisatrice ou un seul utilisateur compromis ou qu’un seul processus compromette tout le système.
    • Contrôles et activités connexes : SC-02, SC-03 et AC-04.

Références:

Haut de la page 
 

AC-04 Application du contrôle de flux d’information

Contrôle

Appliquer des autorisations approuvées pour contrôler le flux d’information dans le système et entre les systèmes reconnectés en fonction des [Affectation : stratégies de contrôle de flux d’information définies par l’organisation].

Discussion

Le contrôle de flux d’information régit le cheminement de l’information au sein d’un système et entre des systèmes (par opposition aux personnes autorisées à y accéder), quels que soient les accès subséquents à cette information. Les restrictions relatives au contrôle du flux d’information consistent notamment à bloquer le trafic externe qui prétend provenir de l’intérieur de l’organisation, éviter que l’information contrôlée pour exportation ne soit transmise en clair sur Internet, limiter les requêtes Web qui ne sont pas acheminées par l’intermédiaire du serveur mandataire Web interne et limiter les transferts d’information entre les organisations selon les structures et le contenu des données. Le transfert d’information entre des organisations peut nécessiter une entente indiquant comment le flux d’information sera appliqué (voir le contrôle CA-03).

Le transfert d’information entre des systèmes associés à des domaines de sécurité ou de protection de la vie privée différents et faisant l’objet de stratégies de sécurité ou de protection de la vie privée différentes présente un risque qu’un tel transfert contrevienne à une ou à plusieurs stratégies de sécurité ou de protection de la vie privée des domaines. Dans de telles situations, les gardiennes et gardiens de l’information fournissent des directives aux points désignés d’application des stratégies entre les systèmes interconnectés.

Les organisations considèrent le recours à des solutions architecturales particulières pour appliquer des stratégies de sécurité et de protection de la vie privée en particulier. L’application des contrôles comprend l’interdiction des transferts d’information entre les systèmes connectés (c’est-à-dire autoriser l’accès seulement), la vérification des autorisations en écriture avant d’accepter l’information provenant d’un autre domaine de sécurité ou de protection de la vie privée ou d’un système connecté, le recours à des mécanismes matériels pour appliquer des flux d’information dans une seule direction et la mise en place de mécanismes remaniés de confiance pour réassigner les attributs et les étiquettes de sécurité et de protection de la vie privée.

Les responsables des fonds de renseignements personnels devraient s’assurer que la quantité minimale de renseignements personnels requis est échangée d’un système à l’autre et, dans la mesure du possible, veiller à ce que l’échange des renseignements personnels soit documenté dans un accord.

Les organisations utilisent couramment les mécanismes d’application et les stratégies de contrôle de flux d’information pour contrôler le flux d’information entre des sources et des destinations précises à l’intérieur des systèmes et entre les systèmes interconnectés. Le contrôle de flux est fondé sur les caractéristiques de l’information et/ou sur son chemin. Il est appliqué, par exemple, aux dispositifs de protection des frontières qui font appel à des ensembles de règles ou qui mettent en place des paramètres de configuration qui restreignent les services de systèmes et permettent de filtrer les paquets de données en fonction de l’information comprise dans les en-têtes ou de filtrer les messages en fonction du contenu du message.

Les organisations doivent également considérer la robustesse des mécanismes de filtrage et d’inspection (c’est-à-dire les composants matériels, micrologiciels et logiciels) qui sont essentiels à l’application du contrôle de flux d’information. Les améliorations 3 à 32 portent principalement sur les besoins en matière de solutions interdomaines, qui sont axés sur des techniques de filtrage avancées, une analyse approfondie et des mécanismes robustes d’application du contrôle de flux d’information mis en œuvre dans les produits interdomaines, comme les mécanismes de protection à assurance élevée. De telles capacités ne sont généralement pas offertes dans des produits commerciaux sur étagère (COTS pour Commercial Off-The-Shelf). L’application du contrôle de flux d’information vise également le trafic du plan de contrôle (par exemple, le routage et le système de noms de domaine (DNS pour Domain Name System)).

Contrôles et activités connexes

AC-03, AC-06, AC-16, AC-17, AC-19, AC-21, AU-10, CA-03, CA-09, CM-07, PL-09, PM-24, SA-17, SC-04, SC-07, SC-16 et SC-31.

Améliorations

  • (01) Application du contrôle de flux d’information : Attributs de sécurité et de protection de la vie privée des objets
    • Utiliser des [Affectation : attributs de sécurité et de protection de la vie privée définis par l’organisation] associés aux [Affectation : objets d’information, de source et de destination définis par l’organisation] pour appliquer les [Affectation : stratégies de contrôle de flux d’information définies par l’organisation] comme base pour les décisions concernant le contrôle de flux.
    • Discussion : Les mécanismes d’application du contrôle de flux d’information comparent les attributs de sécurité associés à l’information (contenu et structure de données) avec des objets de source et de destination, et interviennent de manière appropriée lorsqu’ils identifient des flux d’information non explicitement autorisés par les politiques de contrôle de flux d’information. Par exemple, un objet d’information étiqueté Secret serait autorisé à être transmis à un objet de destination étiqueté Secret, mais un objet d’information étiqueté Très secret ne serait pas autorisé à être transmis à un objet de destination étiqueté Secret.
      Un jeu de données comportant des renseignements personnels peut porter une étiquette avec des restrictions pour empêcher une combinaison avec d’autres types de jeux de données et, ainsi, ce jeu de données ne serait pas autorisé à circuler vers le jeu de données à diffusion restreinte. Les attributs de sécurité et de protection de la vie privée peuvent inclure également les adresses source et destination utilisées dans les pare-feu qui filtrent le trafic. L’application du contrôle de flux d’information basée sur des attributs de sécurité et de protection de la vie privée explicites peut servir, par exemple, à contrôler la diffusion de certains types d’information.
    • Contrôles et activités connexes : Aucun.
  • (02) Application du contrôle de flux d’information : Domaines de traitement
    • Utiliser des domaines de traitement protégés pour appliquer les [Affectation : stratégies de contrôle de flux d’information définies par l’organisation] comme base pour les décisions concernant le contrôle de flux.
    • Discussion : Les domaines de traitement protégés sont des espaces de traitement ayant des interactions contrôlées avec d’autres espaces de traitement, permettant le contrôle des flux d’information entre les espaces, de même qu’en provenance et à destination des objets de données ainsi que des objets d’information. Un domaine de traitement protégé peut être établi, par exemple, en mettant en œuvre un domaine et une application type. Dans le domaine et l’application type, les processus du système sont attribués aux domaines; l’information est identifiée par type; les flux d’information sont contrôlés selon les accès autorisés à l’information (c’est-à-dire déterminés par domaine et type), selon la signalisation autorisée entre les domaines et selon les transitions de processus autorisées vers d’autres domaines.
    • Contrôles et activités connexes : SC-39.
  • (03) Application du contrôle de flux d’information : Contrôle dynamique de flux d’information
    • Appliquer les [Affectation : stratégies de contrôle de flux d’information définies par l’organisation].
    • Discussion : Les stratégies organisationnelles liées au contrôle dynamique de flux d’information comprennent la permission ou l’interdiction des flux d’information en fonction de conditions changeantes ou de motifs liés à la mission et aux opérations. Les conditions changeantes peuvent être des changements dans la tolérance au risque en raison de changements dans l’immédiateté des besoins relatifs à la mission et aux opérations, des changements dans l’environnement de menace et la détection d’événements potentiellement préjudiciables et néfastes.
    • Contrôles et activités connexes : SI-04.
  • (04) Application du contrôle de flux d’information : Contrôle de flux de l’information chiffrée
    • Le système empêche l’information chiffrée de contourner les [Affectation : mécanismes de vérification de contenu] en [Sélection (un choix ou plus) : déchiffrant l’information; bloquant le flux d’information chiffrée; en mettant fin aux sessions de communication qui tentent d’acheminer l’information chiffrée; [Affectation : procédure ou méthode définie par l’organisation].
    • Discussion : Les mécanismes de contrôle de flux comprennent la vérification de contenu, les filtres de stratégie de sécurité et les identifiants de type de données. Le terme « chiffrement » est élargi pour couvrir les données codées qui ne sont pas reconnues par les mécanismes de filtrage.
    • Contrôles et activités connexes : SI-04.
  • (05) Application du contrôle de flux d’information : Types de données intégrés
    • Appliquer [Affectation : restrictions définies par l’organisation] concernant l’intégration de types de données dans d’autres types de données.
    • Discussion : L’intégration de types de données dans d’autres types de données pourrait réduire l’efficacité du contrôle de flux. L’intégration de types de données comprend l’insertion de fichiers à titre d’objets dans d’autres fichiers et l’utilisation de types de données comprimées ou archivées qui peuvent contenir de multiples types de données intégrés. Les limites relatives à l’intégration de types de données considèrent les niveaux d’intégration et interdisent les niveaux d’intégration qui dépassent les capacités des outils d’inspection.
    • Contrôles et activités connexes : Aucun.
  • (06) Application du contrôle de flux d’information : Métadonnées
    • Appliquer le contrôle de flux d’information en fonction des [Affectation : métadonnées définies par l’organisation].
    • Discussion : Les métadonnées désignent de l’information qui décrit les caractéristiques des données. Elles comprennent les métadonnées structurales décrivant des structures de données ou les métadonnées descriptives décrivant du contenu de données. Les métadonnées peuvent également déduire des caractéristiques personnelles d’une personne. L’application des flux d’information permis en fonction des métadonnées simplifie et améliore le contrôle de flux.
      Les organisations considèrent la fiabilité des métadonnées selon l’exactitude des données (c’est-à-dire la connaissance que les valeurs de métadonnées sont correctes par rapport aux données), l’intégrité des données (c’est-à-dire la protection contre les changements non autorisés aux étiquettes de métadonnées) et la liaison entre les métadonnées et les données utiles (c’est-à-dire des techniques solides et suffisantes de liaison ainsi que l’assurance appropriée).
    • Contrôles et activités connexes : AC-16 et SI-07.
  • (07) Application du contrôle de flux d’information : Mécanismes de flux unidirectionnels
    • Appliquer des flux unidirectionnels d’information par des mécanismes de contrôle de flux matériel.
    • Discussion : Les mécanismes de flux unidirectionnels peuvent aussi être appelés réseau unidirectionnel, passerelle de sécurité unidirectionnelle ou diode réseau. Les mécanismes de flux unidirectionnels peuvent aider à empêcher que des données soient exportées d’un domaine ou d’un système classifié ou à incidence élevée tout en autorisant l’importation de données d’un domaine ou d’un système non classifié ou à faible incidence.
    • Contrôles et activités connexes : Aucun.
  • (08) Application du contrôle de flux d’information : Filtres de stratégie de sécurité et protection de la vie privée
      1. Appliquer le contrôle de flux d’information en utilisant des [Affectation : filtres de stratégie de sécurité ou de protection de la vie privée définis par l’organisation] comme base pour les décisions de contrôle de flux pour les [Affectation : flux d’information définis par l’organisation]
      2. [Sélection (un choix ou plus) : Bloquer; retirer; modifier; mettre en quarantaine] les données après l’échec d’un traitement de filtre conformément à [Affectation : stratégie de sécurité ou de protection de la vie privée définie par l’organisation]
    • Discussion : Les filtres de stratégie de sécurité ou de protection de la vie privée définis par l’organisation peuvent s’appliquer au contenu et aux structures de données. Par exemple, les filtres de stratégie de sécurité ou de protection de la vie privée pour les structures de données peuvent chercher la taille maximale des fichiers, la taille maximale des champs ainsi que les types de données et de fichiers (pour les données structurées et non structurées). Les filtres de stratégie de sécurité ou de protection de la vie privée pour le contenu des données peuvent chercher des mots précis, des valeurs énumérées ou des intervalles de valeur de données et du contenu caché. Ils peuvent être utilisés pour améliorer la précision des données utilisées dans le cadre d’un processus de prise de décision; par exemple, les numéros de téléphone doivent comprendre 10 chiffres. Les organisations peuvent mettre en œuvre plus d’un filtre de stratégie de sécurité ou de protection de la vie privée pour répondre aux objectifs liés au contrôle de flux d’information.
      Les données structurées permettent l’interprétation du contenu des données par application. Les données non structurées désignent l’information numérique sans structure de données ou avec une structure de données qui ne permet pas d’élaborer des ensembles de règles pour traiter le niveau d’incidence ou de classification de l’information contenue dans les données ou les décisions relatives à l’application du contrôle de flux.
      Les données non structurées consistent en des objets binaires, essentiellement indépendants de tout langage (c’est-à-dire les fichiers d’images, les fichiers vidéo ou les fichiers audio) et des objets textuels associés à des langages écrits ou imprimés.
    • Contrôles et activités connexes : Aucun.
  • (09) Application du contrôle de flux d’information : Vérifications manuelles
    • Appliquer l’utilisation de vérifications manuelles pour les [Affectation : flux d’information définis par l’organisation] selon les modalités suivantes : [Affectation : modalités définies par l’organisation].
    • Discussion : Les organisations définissent les filtres de stratégie de sécurité ou de protection de la vie privée pour toutes les situations dans lesquelles des décisions automatisées liées au contrôle de flux peuvent être prises. Lorsqu’une décision entièrement automatisée liée au contrôle de flux ne peut être prise, on peut faire appel à un examen humain au lieu du filtrage automatisé de stratégie de sécurité ou de protection de la vie privée, ou à titre de complément au filtrage automatisé. Les organisations peuvent faire appel aux vérifications manuelles lorsqu’elles le jugent nécessaire.
    • Contrôles et activités connexes : Aucun.
  • (10) Application du contrôle de flux d’information : Activer et désactiver les filtres de stratégie de sécurité et de protection de la vie privée
    • Permettre à une administratrice ou à un administrateur privilégié d’activer ou de désactiver les [Affectation : filtres de la stratégie de sécurité définis par l’organisation] selon les modalités suivantes : [Affectation : modalités définies par l’organisation].
    • Discussion : Par exemple, comme le permet le système, les administratrices et administrateurs peuvent activer les filtres de stratégie de sécurité ou de protection de la vie privée pour les types de données approuvés. Les administratrices et administrateurs peuvent sélectionner les filtres qui sont exécutés sur un flux spécifique de données en fonction du type de données à transférer, des domaines de sécurité de source et de destination, et d’autres fonctions pertinentes de sécurité ou de protection de la vie privée, selon les besoins.
    • Contrôles et activités connexes : Aucun.
  • (11) Application du contrôle de flux d’information : Configuration des filtres de stratégie de sécurité et de protection de la vie privée
    • Permettre à des administratrices et administrateurs privilégiés de configurer [Affectation : filtres de la stratégie de sécurité ou de protection de la vie privée définis par l’organisation] pour appuyer les différentes stratégies de sécurité ou de protection de la vie privée.
    • Discussion : Les documents contiennent de l’information détaillée pour configure les filtres de stratégie de sécurité ou de protection de la vie privée. Par exemple, les administratrices et administrateurs peuvent configurer des filtres de stratégie de sécurité ou de protection de la vie privée pour inclure la liste des mots à proscrire vérifiée par les mécanismes de stratégie de sécurité ou de protection de la vie privée, conformément aux définitions fournies par les organisations.
    • Contrôles et activités connexes : Aucun.
  • (12) Application du contrôle de flux d’information : Identifiants de type de données
    • Lors du transfert d’information entre différents domaines de sécurité, utiliser des [Affectation : identifiants de type de données définis par l’organisation] pour valider les données essentielles aux décisions liées au flux d’information.
    • Discussion : Les identifiants de type de données comprennent les noms de fichier, les types de fichiers, les signatures et jetons de fichier ainsi que les signatures ou jetons multiples de fichier interne. Les systèmes peuvent autoriser seulement le transfert de données qui est conforme aux spécifications du format de type de données. L’identification et la validation de types de données sont fondées sur des spécifications définies associées à chaque format de données permis. Le nom et le numéro de fichier à eux seuls ne sont pas utilisés pour l’identification de type de données. Le contenu est validé de manière syntaxique et sémantique par rapport à ses spécifications pour assurer qu’il s’agit du bon type de données. Cela peut améliorer l’intégrité des données, plus particulièrement les renseignements personnels, qui sont à transmettre entre les systèmes.
    • Contrôles et activités connexes : Aucun.
  • (13) Application du contrôle de flux d’information : Décomposition en sous-composantes pertinentes
    • Lors du transfert d’information entre différents domaines de sécurité, décomposer l’information en [Affectation : sous-composantes pertinentes définies par l’organisation] pour la présenter aux mécanismes d’application de la stratégie.
    • Discussion : Décomposer l’information en sous-composants pertinents avant le transfert de l’information facilite les décisions relatives aux stratégies concernant la source, la destination, les certificats, la classification, les pièces jointes et les autres différenciateurs de composants liés à la sécurité et à la protection de la vie privée. Les mécanismes d’application des stratégies appliquent des règles de filtrage, d’inspection et/ou de nettoyage aux sous-composants d’information pertinents afin de faciliter l’application du contrôle de flux avant de transférer l’information à des domaines de sécurité différents.
    • Contrôles et activités connexes : Aucun.
  • (14) Application du contrôle de flux d’information : Contraintes liées aux filtres de stratégie de sécurité ou de protection de la vie privée
    • Lors du transfert d’information entre différents domaines de sécurité, appliquer des [Affectation : filtres de stratégie de sécurité ou de protection de la vie privée définis par l’organisation] qui exigent des formats entièrement énumérés limitant le contenu et la structure des données.
    • Discussion : Les restrictions relatives au contenu et à la structure des données réduisent l’éventail de contenu potentiellement malveillant ou illicite dans les transactions interdomaines. Les filtres de stratégie de sécurité ou de protection de la vie privée qui restreignent les structures de données comprennent la restriction de la taille des fichiers et des champs. Limiter la taille et le champ des fichiers à des champs de données ouverts peut réduire le risque de collecte excessive de renseignements personnels. Les filtres de stratégie de contenu des données comprennent le codage des formats pour les jeux de caractères, la restriction des champs de caractère pour qu’ils comportent uniquement des caractères alphanumériques, l’interdiction des caractères spéciaux et la validation des structures de schéma.
    • Contrôles et activités connexes : Aucun.
  • (15) Application du contrôle de flux d’information : Détection de l’information non autorisée
    • Lors du transfert d’information entre différents domaines de sécurité, examiner l’information afin de détecter la présence de [Affectation : information non autorisée définie par l’organisation] et interdire le transfert de cette information, conformément à la [Affectation : stratégie de sécurité ou de conformité définie par l’organisation].
    • Discussion : L’information non autorisée inclut le code malveillant, l’information qui n’est pas adéquate pour une publication provenant du réseau source, ou le code exécutable qui pourrait perturber ou nuire aux services ou systèmes sur le réseau de destination. Limiter la collecte d’information non autorisée spécifique peut réduire le risque de collecte de renseignements personnels inappropriés.
    • Contrôles et activités connexes : SI-03.
  • (16) Application du contrôle de flux d’information : Transferts d’information sur des systèmes interconnectés
    • Annulé : Intégré au contrôle AC-04.
  • (17) Application du contrôle de flux d’information : Authentification des domaines
    • Identifier de façon unique et authentifier les points source et destination par [Sélection (un choix ou plus) : organisation; système; application; service; personne] à des fins de transfert d’information.
    • Discussion : L’attribution est une composante essentielle d’un concept d’opération de la sécurité et de la protection de la vie privée. La capacité d’identifier les points source et destination de l’information circulant dans des systèmes permet de reconstruire les événements à des fins judiciaires et d’encourager le respect des politiques en attribuant à des organisations ou à des personnes précises les infractions à la politique. Pour que l’authentification du domaine réussisse, les étiquettes des systèmes doivent faire la distinction entre les systèmes, les organisations et les personnes qui participent à la préparation, à l’envoi, à la réception ou à la diffusion de l’information. L’attribution permet également aux organisations de mieux gérer l’extraction du traitement des renseignements personnels circulant dans les systèmes et elle peut faciliter le suivi du consentement, ainsi que la correction, la suppression ou les demandes d’accès des gens.
    • Contrôles et activités connexes : IA-02, IA-03 et IA-09.
  • (18) Application du contrôle de flux d’information : Liaison d’attribut de sécurité
    • Annulé : Intégré au contrôle AC-16.
  • (19) Application du contrôle de flux d’information : Validation des métadonnées
    • Lors du transfert de l’information entre différents domaines de sécurité, mettre en œuvre les [Affectation : filtres de stratégie de sécurité ou de protection de la vie privée définis par l’organisation] en fonction des métadonnées.
    • Discussion : Toute l’information (y compris les métadonnées de même que les données auxquelles les métadonnées s’appliquent) est assujettie au filtrage et à l’inspection. Certaines organisations font une distinction entre les métadonnées et les données utiles (c’est-à-dire seules les données auxquelles sont liées les métadonnées). D’autres organisations ne font pas cette distinction et considèrent plutôt que les métadonnées ainsi que les données auxquelles les métadonnées s’appliquent font partie des données utiles.
    • Contrôles et activités connexes : Aucun.
  • (20) Application du contrôle de flux d’information : Solutions approuvées
    • Utiliser des [Affectation : solutions définies par l’organisation dans les configurations approuvées] pour contrôler le flux de [Affectation : l’information définie par l’organisation] dans les domaines de sécurité.
    • Discussion : Les organisations définissent les configurations et solutions approuvées dans les stratégies et directives interdomaines conformément aux types de flux d’information dans les limites de la classification.
    • Discussion au sein du GC : Le Centre pour la cybersécurité offre des recommandations sur des produits de solutions interdomaines (SID) et des schémas de conception. Pour obtenir de plus amples renseignements, communiquer avec contact@cyber.gc.ca du Centre pour la cybersécurité.
    • Contrôles et activités connexes : Aucun.
  • (21) Application du contrôle de flux d’information : Séparation physique ou logique des flux d’information
    • Séparer les flux d’information de façon logique ou physique au moyen de [Affectation : mécanismes et/ou techniques définis par l’organisation] pour accomplir les [Affectation : séparations requises par type d’information définies par l’organisation].
    • Discussion : L’application de la séparation des flux d’information associés à des types définis de données peut renforcer la protection en garantissant que l’information n’est pas mélangée en transit et en permettant le contrôle de flux par chemin de transmission qui ne serait pas faisable autrement. Les types d’information séparable comprennent le trafic de communication entrant et sortant, les demandes de services et les réponses, ainsi que l’information de catégories de sécurité ou de niveaux de classification différents.
    • Contrôles et activités connexes : SC-32.
  • (22) Application du contrôle de flux d’information : Accès seulement
    • Fournir à un seul dispositif l’accès aux plateformes informatiques, aux applications ou aux données contenues dans des domaines de sécurité différents tout en empêchant le flux d’information entre les différents domaines de sécurité.
    • Discussion : Le système fournit un bureau afin que les utilisatrices et utilisateurs puissent accéder à chaque domaine de sécurité connecté sans fournir de mécanismes de transfert de données ou d’information entre les différents domaines de sécurité. Un exemple de solution d’accès seulement est un terminal qui offre à une utilisatrice ou un utilisateur accès à de l’information avec différentes classifications de sécurité tout en gardant l’information séparée.
    • Contrôles et activités connexes : SI-400.
  • (23) Application du contrôle de flux d’information : Modifier l’information non communicable
    • Lors du transfert d’information entre différents domaines de sécurité, modifier l’information non communicable en mettant en œuvre une [Affectation : mesure modifiable définie par l’organisation].
    • Discussion : Modifier ou anonymiser de l’information non communicable peut aider à prévenir une fuite de données ou une attaque lorsque l’information est transférée dans les domaines de sécurité. Parmi les mesures de modification, il faut noter le masquage, la permutation, la modification comme l’embrouillage de l’élimination de données ou le caviardage.
    • Contrôles et activités connexes : Aucun.
  • (24) Application du contrôle de flux d’information : Format normalisé interne
    • Lors du transfert d’information entre différents domaines de sécurité, analyser des données entrantes dans un format normalisé interne et régénérer les données pour qu’elles soient conformes aux spécifications prévues.
    • Discussion : Convertir des données en formulaires normalisés est l’un des mécanismes les plus efficaces pour arrêter les attaques malveillantes et les classes importantes d’exfiltration de données.
    • Contrôles et activités connexes : Aucun.
  • (25) Application du contrôle de flux d’information : Nettoyage des données
    • Lors du transfert d’information entre différents domaines de sécurité, nettoyer les données pour minimiser la [Sélection (un choix ou plus) : livraison de contenu malveillant, la commande et le contrôle de code malveillant, l’augmentation de code malveillant, et les données codées par stéganographie; fuite d’information sensible] conformément à la [Affectation : stratégie définie par l’organisation].
    • Discussion : Le nettoyage des données est le processus irréversible qui consiste à supprimer ou à détruire les données stockées sur un dispositif de stockage (par exemple, disques durs, disques à mémoire flash ou à circuits intégrés, appareils mobiles, CD, DVD et disques Blu-ray) ou sous forme d’imprimé.
    • Contrôles et activités connexes : MP-06.
  • (26) Application du contrôle de flux d’information : Mesures de filtrage de vérification
    • Lors du transfert d’information entre différents domaines de sécurité, enregistrer et vérifier les mesures de filtrage de contenu ainsi que les résultats pour l’information faisant l’objet du filtrage.
    • Discussion : Le filtrage de contenu est le processus qui consiste à inspecter l’information alors qu’elle traverse une SID et détermine si l’information respecte une stratégie prédéfinie. Les mesures de filtrage de contenu et les résultats de ces mesures de filtrage sont enregistrés pour différents messages pour assurer l’application des bonnes mesures de filtrage. Les rapports sur les filtres de contenu sont utilisés pour aider au dépannage des mesures, par exemple, en déterminant pourquoi le contenu du message a été modifié ou pourquoi il a échoué au processus de filtrage. Les événements vérifiables sont définis dans le contrôle AU-02. Les enregistrements de vérification sont générés dans le contrôle AU-12.
    • Contrôles et activités connexes : AU-02, AU-03 et AU-12.
  • (27) Application du contrôle de flux d’information : Mécanismes de filtrage redondants et indépendants
    • Lors du transfert d’information entre différents domaines de sécurité, mettre en œuvre des solutions de filtrage de contenu qui offrent des mécanismes de filtrage de contenu redondants et indépendants pour chaque type de données.
    • Discussion : Le filtrage de contenu est le processus qui consiste à inspecter l’information alors qu’elle traverse une SID et détermine si l’information respecte une stratégie prédéfinie. Le filtrage de contenu redondant et indépendant permet d’éliminer un système de filtrage à point de défaillance unique. L’indépendance se définit comme étant la mise en œuvre d’un filtre de contenu qui utilise un code de base différent et différentes bibliothèques de soutien (par exemple, 2 filtres JPEG utilisant différentes bibliothèques JPEG de fournisseurs) et plusieurs processus de systèmes indépendants.
    • Contrôles et activités connexes : Aucun.
  • (28) Application du contrôle de flux d’information : Pipelines de filtre linéaire
    • Lors du transfert d’information entre différents domaines de sécurité, mettre en œuvre un pipeline de filtre de contenu linéaire qui est appliqué avec contrôle d’accès discrétionnaire et obligatoire.
    • Discussion : Le filtrage de contenu est le processus qui consiste à inspecter l’information alors qu’elle traverse une SID et détermine si l’information respecte une stratégie prédéfinie. L’utilisation de pipelines de filtre de contenu linéaire permet de s’assurer que les processus du filtre sont incontournables et automatiquement invoqués. En général, le recours à des architectures de filtrage en parallèle pour le filtrage de contenu d’un seul type de données crée des problèmes de contournement ou de non-exécution.
    • Contrôles et activités connexes : Aucun.
  • (29) Application du contrôle de flux d’information : Moteurs d’orchestration de filtre
    • Lors du transfert d’information entre différents domaines de sécurité, utiliser des moteurs d’orchestration de filtre de contenu pour s’assurer de ce qui suit
      1. les mécanismes de filtrage de contenu ont réussi l’exécution sans présenter d’erreurs
      2. les opérations de filtrage de contenu sont exécutées dans le bon ordre et sont conforment à la [Affectation : stratégie définie par l’organisation]
    • Discussion : Le filtrage de contenu est le processus qui consiste à inspecter l’information alors qu’elle traverse une SID et détermine si l’information respecte une stratégie de sécurité prédéfinie. Un moteur d’orchestration coordonne l’ordre des activités (manuelles et automatisées) dans le cadre d’un processus de filtrage de contenu. Les erreurs sont définies comme des actions anormales ou une interruption inattendue du processus de filtres de contenu. Il ne s’agit pas ici d’un contenu filtre défaillant en raison d’une non-conformité à la stratégie. Les rapports sur les filtres de contenu relèvent d’un mécanisme fréquemment utilisé pour s’assurer que les mesures de filtrages prévues sont exécutées avec succès.
    • Contrôles et activités connexes : Aucun.
  • (30) Application du contrôle de flux d’information : Mécanismes de filtrage à l’aide de plusieurs processus
    • Lors du transfert d’information entre différents domaines de sécurité, mettre en œuvre des mécanismes de filtrage de contenu à l’aide de plusieurs processus.
    • Discussion : Le recours à plusieurs processus pour mettre en œuvre les mécanismes de filtrage de contenu permet de réduire la probabilité d’un point de défaillance unique.
    • Contrôles et activités connexes : Aucun.
  • (31) Application du contrôle de flux d’information : Prévenir l’échec d’un transfert de contenu
    • Lors du transfert d’information entre différents domaines de sécurité, prévenir l’échec d’un transfert de contenu vers le domaine destinataire.
    • Discussion : Tout contenu ayant échoué aux vérifications de filtrage peut corrompre le système s’il est transféré au domaine destinataire.
    • Contrôles et activités connexes : Aucun.
  • (32) Application du contrôle de flux d’information : Exigences des processus pour le transfert d’information
    • Lors du transfert d’information entre différents domaines de sécurité, le processus qui transfert l’information entre les pipelines de filtre :
      1. ne filtre pas le contenu du message;
      2. valide les métadonnées de filtration;
      3. assure que le contenu associé aux métadonnées de filtrage a effectué avec succès le filtrage;
      4. transfert le contenu au pipeline de filtre de destination.
    • Discussion : Les processus qui transfèrent l’information entre les pipelines de filtre sont associés à une complexité et une fonctionnalité minimales pour assurer que les processus fonctionnent correctement.
    • Contrôles et activités connexes : Aucun.

Références:

Haut de la page 
 

AC-05 Séparation des tâches

Contrôle

  1. Identifier et consigner les [Affectation : tâches assumées par le personnel définies par l’organisation nécessitant une séparation]
  2. Définir les autorisations d’accès au système afin d’appuyer la séparation des tâches

Discussion

La séparation des tâches gère l’abus possible des droits d’accès autorisés et aide à réduire le risque d’activités malveillantes sans collusion. Les mécanismes de séparation des tâches comprennent notamment : la division des fonctions liées à la mission ou aux activités et des fonctions de soutien entre les personnes ou rôles, l’exécution de fonctions de soutien liées au système par différentes personnes et l’assurance que le personnel de sécurité qui administre les fonctions de contrôle d’accès n’administre pas également les fonctions de vérification.

Puisque les violations de séparation des tâches peuvent s’étendre sur plusieurs systèmes et domaines d’application, les organisations doivent prendre en considération l’ensemble des systèmes et des composants de système lors de l’élaboration de la stratégie sur la séparation des tâches. La séparation des tâches s’applique dans le cadre des activités de gestion des comptes du contrôle AC-02, tandis que les mécanismes de contrôle de l’accès relèvent du contrôle AC-03 et les activités relatives à la gestion des identités relèvent des contrôles IA-02, IA-04 et IA-12.

Contrôles et activités connexes

AC-02, AC-03, AC-06, AU-09, CM-05, CM-11, CP-09, IA-02, IA-04, IA-05, IA-12, MA-03, MA-05, PS-02, SA-08 et SA-17.

Améliorations

Aucune.

Références

Aucune.

Haut de la page 
 

AC-06 Droit d’accès minimal

Contrôle

Utiliser le principe du droit d’accès minimal, ce qui autorise l’accès uniquement aux utilisatrices et utilisateurs (ou aux processus exécutés en leur nom) qui en ont besoin pour accomplir les tâches qui leur ont été assignées par l’organisation.

Discussion

Les organisations font appel au principe du droit d’accès minimal pour des tâches et systèmes précis. Ce principe est également appliqué aux processus de système et assure que les processus ont accès aux systèmes et fonctionnent au niveau de droits d’accès appropriés pour la réalisation des fonctions liées à la mission ou aux activités de l’organisation. Les organisations considèrent la création de processus, de rôles et de comptes de système additionnels, au besoin, pour adhérer au principe du droit d’accès minimal. Elles appliquent également ce principe au développement, à la mise en œuvre et à l’exploitation de leurs systèmes.

Contrôles et activités connexes

AC-02, AC-03, AC-05, AC-16, CM-05, CM-11, PL-02, PM-12, SA-08, SA-15, SA-17 et SC-38.

Améliorations

  • (01) Droit d’accès minimal : Autorisation de l’accès aux fonctions de sécurité
    • Autoriser l’accès à [Affectation : personnel et rôles définis par l’organisation] pour
      1. les [Affectation : fonctions de sécurité définies par l’organisation (déployées dans le matériel, les logiciels et les micrologiciels)]
      2. [Affectation : information liée à la sécurité définie par l’organisation]
    • Discussion : Les fonctions de sécurité comprennent l’établissement des comptes de système, la configuration des autorisations d’accès (c’est-à-dire les permissions et droits d’accès), la configuration des paramètres pour les événements à vérifier et l’établissement des paramètres de détection d’intrusion.
      L’information liée à la sécurité comprend les règles de filtrage pour les routeurs et les pare-feu, les paramètres de configuration pour les services de sécurité, l’information de gestion des clés cryptographiques et les listes de contrôle d’accès.
      Le personnel autorisé comprend les administratrices et administrateurs de la sécurité, les administratrices et administrateurs de système, les agentes et agents de sécurité de système, les programmeuses et programmeurs de système et d’autres utilisatrices et utilisateurs disposant d’un accès privilégié.
    • Contrôles et activités connexes : AC-17, AC-18, AC-19, AU-09 et PE-02.
  • (02) Droit d’accès minimal : Accès non privilégié aux fonctions non liées à la sécurité
    • Exiger que les utilisatrices et utilisateurs de comptes ou de rôles de système qui ont accès aux [Affectation : fonctions de sécurité et informations sur la sécurité définies par l’organisation] utilisent des comptes ou des rôles non privilégiés pour accéder à des fonctions qui ne sont pas liées à la sécurité.
    • Discussion : L’exigence d’utiliser des comptes non privilégiés pour accéder à des fonctions ou à des fonctions qui ne sont pas liées à la sécurité limite l’exposition lors de l’utilisation de comptes privilégiés ou des rôles. Les rôles sont inclus pour tenir compte des situations où les organisations mettent en œuvre des stratégies de contrôle d’accès, comme le contrôle d’accès basé sur les rôles, et où un changement de rôle fournit le même degré d’assurance, dans le changement des autorisations d’accès de l’utilisatrice ou utilisateur et les processus exécutés en son nom, que celui qui serait fourni dans un changement apporté entre un compte privilégié et un compte non privilégié.
    • Contrôles et activités connexes : AC-17, AC-18, AC-19 et PL-04.
  • (03) Droit d’accès minimal : Accès réseau aux commandes privilégiées
    • Autoriser l’accès réseau aux [Affectation : commandes privilégiées définies par l’organisation] seulement pour [Affectation : répondre à des besoins opérationnels urgents définis par l’organisation] et consigner les motifs d’un tel accès dans le plan de sécurité pour le système.
    • Discussion : L’accès réseau désigne tout accès dans une connexion réseau par opposition à l’accès local (c’est-à-dire utilisatrice ou utilisateur sur place).
    • Contrôles et activités connexes : AC-17, AC-18 et AC-19.
  • (04) Droit d’accès minimal : Domaines de traitement séparés
    • Fournir des domaines de traitement séparés pour permettre une granularité plus fine dans l’attribution des droits d’accès d’utilisatrice et utilisateur.
    • Discussion : Fournir des domaines de traitement séparés pour permettre une granularité plus fine dans l’attribution des droits d’accès d’utilisatrice et utilisateur comprend l’utilisation de techniques de virtualisation pour accorder des droits d’accès additionnels dans une machine virtuelle tout en limitant ceux accordés à d’autres machines virtuelles ou à la machine réelle sous-jacente; la mise en œuvre de domaines physiques séparés et l’utilisation de mécanismes de séparation des domaines logiciels ou matériels.
    • Contrôles et activités connexes : AC-04, SC-02, SC-03, SC-30, SC-32 et SC-39.
  • (05) Droit d’accès minimal : Comptes privilégiés
    • Restreindre les comptes privilégiés sur le système à [Affectation : personnel ou rôles définis par l’organisation].
    • Discussion : Les comptes privilégiés, y compris les comptes de superutilisateur, sont habituellement décrits comme des administratrices et administrateurs système dans les différents types de systèmes d’exploitation COTS. La restriction des comptes privilégiés à des employées et employés ou à des rôles précis empêche les utilisatrices et utilisateurs normaux d’accéder aux fonctions et à l’information privilégiées. Lorsqu’elles appliquent des restrictions, les organisations peuvent faire une distinction entre les droits d’accès attribués aux comptes locaux et ceux attribués aux comptes de domaine pour autant qu’elles restent en mesure de contrôler les configurations des systèmes en ce qui a trait aux paramètres clés et, le cas échéant, d’atténuer suffisamment les risques.
    • Contrôles et activités connexes : IA-02, MA-03 et MA-04.
  • (06) Droit d’accès minimal : Accès privilégié des utilisatrices et utilisateurs ne faisant pas partie de l’organisation
    • Interdire tout accès privilégié au système aux utilisatrices et utilisateurs ne faisant pas partie de l’organisation.
    • Discussion : Une utilisatrice ou un utilisateur organisationnel est une employée ou un employé ou encore une personne dont le statut est considéré par son organisation comme étant équivalent à celui d’une employée ou un employé. Les utilisatrices et utilisateurs organisationnels comprennent les entrepreneures et entrepreneurs, chercheuses et chercheurs invités ou des personnes provenant d’autres organisations. Les stratégies et procédures permettant l’octroi du statut équivalent d’employées et employés à des personnes comprennent le principe du besoin de savoir, la citoyenneté et le lien avec l’organisation.
    • Contrôles et activités connexes : AC-18, AC-19, IA-02 et IA-08.
  • (07) Droit d’accès minimal : Examen des privilèges d’utilisateur
      1. Examiner les [Affectation : droits d’accès attribués aux [Affectation : rôles ou classes d’utilisateur définis par l’organisation] tous les [Affectation : fréquence définie par l’organisation] pour valider la nécessité de détenir ces droits d’accès
      2. Réattribuer ou retirer les droits d’accès, au besoin, pour bien refléter les besoins organisationnels liés à la mission et aux opérations
    • Discussion : La nécessité de détenir certains droits d’accès d’utilisatrice ou utilisateur pourrait changer au fil du temps selon les changements aux fonctions opérationnelles et aux missions organisationnelles, selon les environnements d’opération, selon les technologies ou selon les menaces. Un examen périodique des droits d’accès attribués aux utilisatrices et utilisateurs est essentiel afin de déterminer si la justification relative à l’attribution de ces droits d’accès est toujours valide. Si la nécessité ne peut être validée de nouveau, les organisations doivent prendre les mesures correctives appropriées.
    • Contrôles et activités connexes : CA-07.
  • (08) Droit d’accès minimal : Niveaux de droits d’accès pour une exécution de code
    • Empêcher les logiciels d’être exécutés à des niveaux de droits d’accès plus élevés que ceux des utilisatrices et utilisateurs qui exécutent les logiciels : [Affectation : logiciels définis par l’organisation].
    • Discussion : Dans certains cas, les applications ou programmes logiciels doivent être exécutés avec des droits d’accès élevés pour effectuer les fonctions requises. Toutefois, selon la fonctionnalité et la configuration des logiciels, si les droits d’accès requis pour l’exécution sont à un niveau plus élevé que les droits d’accès attribués aux utilisateurs de ces applications et programmes, les utilisatrices et utilisateurs peuvent recevoir indirectement des droits d’accès plus élevés que deux qui leur ont été attribués.
    • Contrôles et activités connexes : Aucun.
  • (09) Droit d’accès minimal : Journalisation de l’utilisation des fonctions privilégiées
    • Journaliser l’exécution de fonctions privilégiées.
    • Discussion : Une mauvaise utilisation des fonctions privilégiées, qu’elle soit intentionnelle ou non, par des utilisatrices et utilisateurs autorisés ou par des entités externes non autorisées ayant compromis des comptes système est une préoccupation constante et sérieuse qui peut avoir des répercussions négatives importantes sur les organisations. La journalisation et l’analyse des fonctions privilégiées sont une façon de détecter l’utilisation inappropriée et d’aider à atténuer les risques liés aux menaces internes et aux menaces persistantes avancées (MPA).
    • Contrôles et activités connexes : AU-02, AU-03 et AU-12.
  • (10) Droit d’accès minimal : Interdiction aux utilisatrices et utilisateurs non privilégiés d’exécuter des fonctions privilégiées
    • Empêcher les utilisatrices et utilisateurs non privilégiés d’exécuter des fonctions privilégiées.
    • Discussion : Les fonctions privilégiées comprennent la désactivation, le contournement ou la modification des contrôles de sécurité et de protection de la vie privée mis en œuvre, l’établissement des comptes de système, les contrôles d’intégrité du système et l’administration des activités de gestion des clés cryptographiques. Les utilisatrices et utilisateurs non privilégiés ne détiennent pas les autorisations appropriées.
      Des exemples de fonctions privilégiées qui ne doivent pas être exécutées par des utilisatrices et utilisateurs non privilégiés comprennent les mécanismes de détection et de prévention d’intrusions et les mécanismes de protection contre les programmes malveillants. L’application du contrôle AC-03 empêche les utilisatrices et utilisateurs non privilégiés d’exécuter des fonctions privilégiées.
    • Contrôles et activités connexes : Aucun.

Références

Aucune.

Haut de la page 
 

AC-07 Tentatives d’ouverture de session infructueuses

Contrôle

  1. Appliquer une limite de [Affectation : nombre défini par l’organisation] tentatives d’ouverture de session non valides consécutives par l’utilisatrice ou utilisateur sur une période de [Affectation : délais définis par l’organisation]
  2. [Sélection (un choix ou plus) : Verrouiller le compte ou le nœud pendant [Affectation : délais définis par l’organisation]; verrouiller le compte ou le nœud jusqu’à ce qu’une administratrice ou un administrateur le libère; retarder la prochaine invite d’ouverture de session selon [Affectation : algorithme de temporisation défini par l’organisation]; aviser l’administratrice ou administrateur de système; effectuer une autre [Affectation : opération définie par l’organisation] automatiquement lorsque le nombre maximal de tentatives infructueuses est dépassé

Discussion

La nécessité d’une limite de tentatives d’ouverture de session infructueuses et les mesures à prendre lorsque le nombre maximal est atteint s’appliquent peu importe si la connexion a été établie localement ou par l’intermédiaire d’un réseau. En raison des risques de déni de service, les verrouillages automatiques effectués par les systèmes sont habituellement temporaires et annulés automatiquement après un délai prédéterminé établi par l’organisation.

Dans le cas où elle a choisi un algorithme de temporisation, l’organisation peut utiliser différents algorithmes pour différents composants du système, selon les capacités de ces composants. Les réponses aux tentatives d’ouverture de session infructueuses peuvent être mises en œuvre tant au niveau du système d’exploitation qu’au niveau des applications.

Les opérations définies par l’organisation qui peuvent être effectuées lorsque le nombre autorisé de tentatives d’ouverture de session infructueuses est atteint comprennent notamment l’affichage d’un message invitant l’utilisatrice ou utilisateur à répondre à une question secrète en plus d’entrer son nom d’utilisateur et son mot de passe, l’utilisation d’un mode de confinement avec des capacités limitées pour les utilisatrices et utilisateurs (plutôt qu’un verrouillage complet), permettre aux utilisatrices et utilisateurs de se connecter uniquement à partir de certaines adresses de protocole Internet (IP pour Internet Protocol) précises, l’utilisation d’un test captcha pour éviter les attaques automatisées ou l’application de profils d’utilisateur qui font intervenir d’autres paramètres, comme l’emplacement, le moment de la journée, l’adresse IP, l’appareil ou l’adresse de contrôle d’accès au support (MAC pour Media Access Control).

Si le verrouillage automatique du système ou l’exécution d’un algorithme de temporisation n’est pas mis en œuvre pour soutenir l’objectif en matière de disponibilité, l’organisation considère une combinaison de mesures alternatives pour aider à prévenir les attaques par force brute. En plus de ce qui précède, l’organisation peut inviter les utilisatrices ou utilisateurs à répondre à une question secrète avant que le nombre maximal de tentatives d’ouverture de session infructueuses soit atteint. Il n’est généralement pas permis de déverrouiller automatiquement un compte après une période donnée. Des exceptions peuvent toutefois être nécessaires selon la mission ou les besoins opérationnels.

Contrôles et activités connexes

AC-02, AC-09, AU-02, AU-06 et IA-05.

Améliorations

  • (01) Tentatives d’ouverture de session infructueuses : Verrouillage automatique du compte
    • Annulé : Intégré au contrôle AC-07.
  • (02) Tentatives d’ouverture de session infructueuses : Purge ou nettoyage d’appareils mobiles
    • Le système purge ou nettoie l’information des [Affectation : appareils mobiles définis par l’organisation] en fonction des [Affectation : techniques ou exigences en matière de purge ou de nettoyage définies par l’organisation] après [Affectation : nombre défini par l’organisation] tentatives infructueuses d’ouverture de session consécutives sur les appareils.
    • Discussion : Un appareil mobile est un dispositif informatique de petite taille qui peut être transporté par une personne. Il est conçu pour fonctionner sans connexion physique et il dispose d’un stockage de données local, fixe ou amovible. Il comprend également une source d’alimentation autonome.
      La purge ou le nettoyage de l’appareil s’applique uniquement aux appareils mobiles pour lesquels un nombre défini par l’organisation de tentatives d’ouverture de session infructueuse a été établi. L’ouverture de session concerne l’appareil mobile lui-même et non les comptes qui y ont été établis, le cas échéant. Les ouvertures de session réussies dans les comptes des appareils mobiles remettent à zéro le compteur de tentatives d’ouvertures de session infructueuses. Il se peut que la purge ou le nettoyage ne soit pas nécessaire si l’information sur le dispositif est protégée à l’aide de mécanismes de chiffrement suffisamment robustes.
    • Contrôles et activités connexes : AC-19, MP-05 et MP-06.
  • (03) Tentatives d’ouverture de session infructueuses : Limitation des tentatives par biométrie
    • Limiter le nombre de tentatives d’ouvertures de session infructueuses par biométrie à [Affectation : nombre défini par l’organisation].
    • Discussion : La biométrie revêt un caractère probabiliste. La capacité d’authentifier de façon adéquate dépend de nombreux facteurs, notamment de la mise en correspondance du rendement et de la présentation des mécanismes de détection des attaques. Les organisations sélectionnent le nombre approprié de tentatives pour les utilisatrices et utilisateurs en fonction de facteurs qu’elles définissent.
    • Contrôles et activités connexes : IA-03.
  • (04) Tentatives d’ouverture de session infructueuses : Utilisation d’un autre facteur d’authentification
      1. Permettre l’utilisation de [Affectation : facteurs d’authentification définis par l’organisation] qui sont différents des facteurs d’authentification principaux après que le nombre de tentatives d’ouverture de session non valides consécutives définies par l’organisation ait été dépassé
      2. Appliquer une limite de [Affectation : nombre défini par l’organisation] tentatives d’ouverture de session non valides consécutives au moyen d’autres facteurs par l’utilisatrice ou utilisateur sur une période de [Affectation : délais définis par l’organisation]
    • Discussion : Le recours à d’autres facteurs d’authentification soutient l’objectif de disponibilité et permet à une utilisatrice ou à un utilisateur qui a été verrouillé par erreur de se servir de facteurs d’authentification supplémentaires pour contourner le verrouillage.
    • Contrôles et activités connexes : IA-03.

Références:

Haut de la page 
 

AC-08 Avis d’utilisation système

Contrôle

  1. Afficher aux utilisatrices et utilisateurs [Affectation : message ou bannière d’avis d’utilisation du système défini par l’organisation], qui comprend des énoncés de protection de la vie privée et de sécurité conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables, et stipule ce qui suit
    1. les utilisatrices et utilisateurs qui accèdent à un système du GC
    2. l’utilisation du système peut être surveillée, enregistrée et faire l’objet d’une vérification
    3. l’utilisation non autorisée du système est interdite et passible à des amendes administratives et à des sanctions pénales
    4. les fichiers de renseignements personnels pertinents, le cas échéant
    5. l’autorité légale pour la collecte de renseignements personnels
    6. conséquences juridiques et administratives de tout refus de fournir des renseignements personnels
    7. le droit de protection des renseignements personnels et le droit d’y accéder et de faire des demandes de correction
    8. la manière dont les renseignements seront utilisés
    9. le droit de déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada (CPVP) concernant le traitement par les institutions des renseignements personnels des gens
  2. Afficher le message ou la bannière d’avis jusqu’à ce que l’utilisatrice ou utilisateur accepte les modalités d’utilisation et opter d’ouvrir une session ou d’accéder au système
  3. Dans le cas de systèmes accessibles au public
    1. afficher l’information sur l’utilisation du système selon les [Affectation : modalités définies par l’organisation] avant d’accorder l’accès
    2. afficher, au besoin, des mises en garde concernant la surveillance, l’enregistrement et la vérification conformes aux dispositions sur la protection des renseignements personnels pour de tels systèmes qui interdisent généralement ces activités
    3. comprendre une description des utilisations autorisées du système

Discussion

Les avis concernant l’utilisation du système peuvent être mis en œuvre au moyen de messages ou de bannières d’avertissement qui s’affichent avant qu’une utilisatrice ou un utilisateur ouvre une session sur le système. Ils sont utilisés uniquement pour l’accès au moyen des interfaces d’ouverture de session avec utilisatrices et utilisateurs humains. Ils ne sont pas requis lorsque de telles interfaces humaines n’existent pas. En tenant compte de l’évaluation des risques, les organisations doivent déterminer si un avis d’utilisation de système secondaire est nécessaire pour accéder à des applications ou à d’autres ressources système après la connexion initiale au réseau. Les organisations considèrent l’affichage des messages ou des bannières d’avis d’utilisation système en plusieurs langues selon les besoins organisationnels et la démographie des utilisatrices et utilisateurs du système.

Ce contrôle autorise légalement l’ajout de contrôles de sécurité additionnels permettant notamment la surveillance, la vérification, la gestion des identifiants, l’application de l’entente d’utilisation acceptable, la détection de comportements anormaux ainsi que la détection de contamination et de tatouage numérique.

Discussion au sein du GC

Les organisations consultent le Bureau de la protection des renseignements personnels pour avoir des éclaircissements concernant le traitement de messages relatifs au respect de la vie privée et elles consultent le SCT ou un organisme équivalent à des fins de révision juridique et d’approbation du contenu des bannières d’avertissement. Les avis d’utilisation système peuvent être des énoncés de confidentialité destinés aux utilisatrices et utilisateurs de système.

Contrôles et activités connexes

AC-04, AC-14, AC-25, AU-01, AU-16, CA-01, CA-07, CM-13, IA-04, PL-04, PT-02, PT-03, PT-04, PT-05, PT-06, RA-08, SI-04, SI-12, SI-18, SI-19, SI-20, SI-21, SR-03 et SR-05.

Améliorations

Aucune.

Références:

Haut de la page 
 

AC-09 Avis d’ouverture de session précédente

Contrôle

Indiquer à l’utilisatrice ou utilisateur qui vient d’ouvrir une session sur le système la date et l’heure de sa dernière ouverture de session.

Discussion

L’avis d’ouverture de session précédente est envoyé lorsqu’on accède au système par l’intermédiaire d’interfaces utilisateur humaines et depuis d’autres types d’architectures. L’information relative à la dernière ouverture de session fructueuse permet à une utilisatrice ou un utilisateur de déterminer si la date et l’heure fournies ne correspondent pas à son dernier accès.

Contrôles et activités connexes

AC-07 et PL-04.

Améliorations

  • (01) Avis d’ouverture de session précédente : Ouvertures de session infructueuses
    • Indiquer à l’utilisatrice ou utilisateur qui vient d’ouvrir une session le nombre de tentatives d’ouverture de session infructueuses depuis sa dernière tentative réussie.
    • Discussion : L’information sur le nombre de tentatives d’ouverture de session infructueuses depuis sa dernière tentative réussie permet à l’utilisatrice ou utilisateur de savoir si le nombre de tentatives d’ouverture de session infructueuses est conforme au nombre réel de tentatives d’ouverture de session.
    • Contrôles et activités connexes : Aucun.
  • (02) Avis d’ouverture de session précédente : Tentatives fructueuses et infructueuses d’ouverture de session
    • Indiquer à l’utilisatrice ou utilisateur qui vient d’ouvrir une session le nombre de [Sélection (un choix) : tentatives d’ouverture de session fructueuses; tentatives d’ouverture de session infructueuses; tentatives d’ouverture de session fructueuses et infructueuses] pendant [Affectation : délais définis par l’organisation].
    • Discussion : L’information sur le nombre de tentatives d’ouverture de session fructueuses et infructueuses dans un délai donné permet à l’utilisatrice ou utilisateur de savoir si le nombre et le type de tentatives d’ouverture de session sont conformes au nombre réel de tentatives d’ouverture de session.
    • Contrôles et activités connexes : Aucun.
  • (03) Avis d’ouverture de session précédente : Avis de changements au compte
    • Aviser l’utilisatrice ou utilisateur qui vient d’ouvrir une session des changements apportés aux [Affectation : caractéristiques ou paramètres liés à la sécurité appliqués au compte de l’utilisatrice ou utilisateur définis par l’organisation] pendant [Affectation : délai défini par l’organisation].
    • Discussion : L’information relative aux changements apportés aux caractéristiques liées à la sécurité appliquées au compte dans un délai donné permet à l’utilisatrice ou utilisateur de savoir si ces changements ont été faits sans son consentement.
    • Contrôles et activités connexes : Aucun.
  • (04) Avis d’ouverture de session précédente : Information supplémentaire sur l’ouverture de session
    • Aviser l’utilisatrice ou utilisateur qui vient d’ouvrir une session de l’information supplémentaire suivante : [Affectation : information supplémentaire définie par l’organisation].
    • Discussion : Les organisations peuvent préciser de l’information supplémentaire qui sera fournie aux utilisatrices et utilisateurs lors de l’ouverture de session, comme l’emplacement de la dernière ouverture de session. L’emplacement de l’utilisatrice ou utilisateur est défini comme l’information que les systèmes peuvent établir (par exemple, les adresses IP à partir desquelles les ouvertures de session réseau ont eu lieu, les avis d’ouvertures de session locales ou les identifiants de dispositif).
    • Contrôles et activités connexes : Aucun.

Références

Aucune.

Haut de la page 
 

AC-10 Contrôle de sessions simultanées

Contrôle

Limiter le nombre de sessions simultanées pour chaque [Affectation : type de compte et/ou compte défini par l’organisation] à [Affectation : nombre défini par l’organisation].

Discussion

Les organisations peuvent définir le nombre maximal de sessions simultanées pour les comptes du système globalement, par type de compte, par compte ou selon une combinaison. Par exemple, les organisations peuvent limiter le nombre de sessions simultanées pour les administratrices et administrateurs système ou les autres utilisatrices et utilisateurs travaillant dans des domaines particulièrement sensibles ou avec des applications essentielles à la mission. Le contrôle de sessions simultanées concerne les sessions simultanées pour les comptes du système. Il ne vise pas, toutefois, les sessions utilisateur simultanées uniques établies par l’intermédiaire de plusieurs comptes du système.

Contrôles et activités connexes

SC-23.

Améliorations

Aucune.

Références

Aucune.

Haut de la page 
 

AC-11 Verrouillage d’appareil

Contrôle

  1. Empêcher d’autres accès au système [Sélection (un choix ou plus) : en procédant à un verrouillage d’appareil après [Affectation : délai défini par l’organisation] d’inactivité; en exigeant que l’utilisatrice ou utilisateur procède à un verrouillage d’appareil avant de laisser le système sans surveillance]
  2. Préserver le verrouillage d’appareil jusqu’à ce que l’utilisatrice ou utilisateur rétablisse l’accès au moyen des procédures d’identification et d’authentification établies

Discussion

Les verrouillages d’appareil sont des mesures temporaires servant à empêcher l’accès logique aux systèmes organisationnels lorsque les utilisatrices et utilisateurs arrêtent de travailler et ne se trouvent plus à proximité de ces systèmes et qu’ils préfèrent ne pas se déconnecter en raison de la nature temporaire de leur absence. Le verrouillage peut être mis en œuvre au niveau du système d’exploitation ou de l’application.

Un verrouillage de proximité peut être utilisé pour activer le verrouillage de l’appareil (par exemple, par le biais d’un appareil ou d’une clé électronique compatible Bluetooth). Le verrouillage d’appareil est initié par l’utilisatrice ou utilisateur. Il peut s’agir d’une opération basée sur des comportements ou des stratégies et, ainsi, il nécessite que l’utilisatrice ou utilisateur effectue une opération physique pour verrouiller son appareil. Les verrouillages d’appareil ne remplacent pas la fermeture de session sur le système, comme lorsque l’organisation exige que les utilisatrices et utilisateurs ferment leur session à la fin de leur journée de travail.

Contrôles et activités connexes

AC-02, AC-07, IA-11 et PL-04.

Améliorations

  • (01) Verrouillage d’appareil : Masquage de l’affichage au moyen d’une image
    • Masquer, au moyen d’un verrouillage d’appareil, l’information auparavant visible à l’écran en utilisant une image visible.
    • Discussion : Le masquage de l’affichage au moyen d’une image peut inclure des images statiques ou dynamiques, comme celles générées par les économiseurs d’écran, des photographies, des couleurs solides, une horloge, un indicateur de la charge de la pile ou un écran vide, ce qui assure que l’information contrôlée n’est pas affichée.
    • Contrôles et activités connexes : Aucun.

Références

Aucune.

Haut de la page 
 

AC-12 Fin de session

Contrôle: Mettre automatiquement fin à une session utilisateur après [Affectation : conditions ou événements déclenchant une déconnexion définis par l’organisation].

Discussion

La fin de session porte sur l’interruption des sessions logiques ouvertes par les utilisatrices et utilisateurs, par opposition au contrôle SC-10 qui porte sur l’interruption des connexions réseau associées à des sessions de communication (c’est-à-dire déconnexion du réseau). Une session logique (pour l’accès local, réseau et distant) est lancée quand une utilisatrice ou un utilisateur (ou un processus exécuté en son nom) accède à un système organisationnel. De telles sessions de l’utilisatrice ou utilisateur peuvent être interrompues sans mettre fin aux sessions réseau.

L’interruption de la session met fin à tous les processus liés à la session logique de l’utilisatrice ou utilisateur, à l’exception des processus créés précisément par ce dernier (c’est-à-dire la ou le propriétaire de la session) pour continuer après l’interruption de la session. Les conditions ou les événements déclenchant l’interruption automatique de la session comprennent la durée d’inactivité de l’utilisatrice ou utilisateur définie par l’organisation, des réponses ciblées à certains types d’incidents et la restriction de l’utilisation du système selon l’heure de la journée.

Contrôles et activités connexes

MA-04, SC-10 et SC-23.

Améliorations

  • (01) Fin de session : Fermetures de session exécutées par les utilisatrices et utilisateurs
    • Fournir une capacité de fermeture de session pour les sessions de communication lancées par les utilisatrices et utilisateurs lorsque l’authentification est utilisée pour accéder aux [Affectation : ressources d’information désignées par l’organisation].
    • Discussion : Les ressources d’information auxquelles les utilisateurs accèdent par authentification comprennent les postes de travail locaux, les bases de données ainsi que les services Web ou sites Web protégés par mot de passe.
    • Contrôles et activités connexes : Aucun.
  • (02) Fin de session : Message d’interruption
    • Afficher un message explicite de fermeture de session pour indiquer aux utilisatrices et utilisateurs l’interruption des sessions de communication authentifiées.
    • Discussion : Les messages de fermeture de session pour l’accès au Web peuvent être affichés après l’interruption des sessions authentifiées. Cependant, pour certains types de sessions comme les sessions FTP, les systèmes envoient habituellement des messages de fermeture de session à titre de dernier message avant de mettre fin à la session.
    • Contrôles et activités connexes : Aucun.
  • (03) Fin de session : Message d’avertissement de délai d’expiration
    • Afficher un message explicite aux utilisatrices et utilisateurs pour indiquer que la session prendra fin [Affectation : d’ici la fin de session définie par l’organisation].
    • Discussion : Pour accroître l’utilisabilité, aviser les utilisatrices et utilisateurs que la fin de session est en attente et inviter ceux-ci à poursuivre la session. Le délai de fin de session en attente est basé sur les paramètres définis dans le contrôle de base AC-12.
    • Contrôles et activités connexes : Aucun.

Références

Aucune.

 

AC-13 Surveillance et examen – Contrôle d’accès

Annulé : Intégré aux contrôles AC-02 et AU-06.

Haut de la page 
 

AC-14 Opérations permises sans identification ni authentification

Contrôle

  1. Identifier les [Affectation : opérations de l’utilisatrice ou utilisateur définies par l’organisation] que l’utilisatrice ou utilisateur peut exécuter dans le système sans devoir s’identifier ni s’authentifier, conformément aux fonctions opérationnelles et à la mission de l’organisation
  2. Consigner et expliquer dans le plan de sécurité du système la logique sous-jacente qui permet à l’utilisatrice ou utilisateur d’effectuer des opérations qui ne nécessitent ni identification ni authentification

Discussion

Les actions propres aux utilisatrices et utilisateurs peuvent être autorisées sans identification ni authentification si l’organisation détermine que l’identification et l’authentification ne sont pas requises pour de telles actions. Les organisations peuvent autoriser un nombre limité d’actions sans identification ni authentification, notamment lorsque des personnes accèdent à des sites Web publics ou à d’autres systèmes fédéraux accessibles au public, lorsque des personnes utilisent des téléphones mobiles pour recevoir des appels ou à la réception de télécopies.

Les organisations identifient les actions nécessitant normalement une identification ou une authentification, mais permettent une dérogation à ces mécanismes dans certaines circonstances. Ces dérogations peuvent s’effectuer, par exemple, au moyen d’un commutateur physique, lisible par logiciel, qui permet de contourner la procédure d’ouverture de session et qui est protégé contre toute utilisation accidentelle ou non surveillée.

Autoriser les actions sans identification ni authentification ne s’applique pas aux situations où l’identification et l’authentification ont déjà été effectuées et ne sont pas répétées. Il s’applique plutôt aux situations où les mécanismes d’identification et d’authentification n’ont pas encore eu lieu. Les organisations peuvent décider que les actions de l’utilisatrice ou utilisateur doivent être effectuées dans les systèmes organisationnels uniquement à l’aide de mécanismes d’identification et d’authentification. Par conséquent, la valeur pour les opérations d’attribution peut être « aucun ».

Contrôles et activités connexes

AC-08, IA-02 et PL-02.

Améliorations

  • (01) Opérations permises sans identification ni authentification : Usages indispensables
    • Annulé : Intégré au contrôle AC-14.

Références

Aucune.

 

AC-15 Marquage automatique

Annulé : Intégré au contrôle MP-03.

Haut de la page 
 

AC-16 Attributs de sécurité et de protection de la vie privée

Contrôle

  1. Fournir les moyens permettant d’associer les [Affectation : types d’attribut de sécurité et de protection de la vie privée définis par l’organisation] avec les [Affectation : valeurs des attributs de sécurité définies par l’organisation] pour l’information pendant qu’elle est stockée, traitée et/ou transmise
  2. S’assurer que toutes les associations d’attribut de sécurité sont effectuées et conservées avec l’information
  3. Établir les attributs de sécurité et de protection de la vie privée autorisés suivants à partir des attributs définis dans le contrôle AC-16A pour [Affectation : systèmes définis par l’organisation] : [Affectation : Attributs de sécurité et de protection de la vie privée définies par l’organisation]
  4. Déterminer les valeurs ou les plages autorisées des attributs suivants pour chacun des attributs définis : [Affectation : valeurs des attributs ou des plages définies par l’organisation pour les attributs définis]
  5. Vérifier les changements apportés aux attributs
  6. Examiner les [Affectation : attributs de sécurité et de protection de la vie privée définis par l’organisation] aux fins d’applicabilité [Affectation : fréquence définie par l’organisation]

Discussion

L’information est représentée à l’interne dans les systèmes au moyen d’abstractions également appelées structures de données. Les structures de données internes peuvent représenter différents types d’entités actives et passives. Les entités actives, également appelées « sujets », sont habituellement associées à des personnes, à des dispositifs ou à des processus exécutés au nom des personnes. Les entités passives, également appelées « objets », sont habituellement associées à des structures de données comme des dossiers, des tampons, des fichiers, des canaux interprocessus et des ports de communications. Les attributs de sécurité (une forme de métadonnées) sont des abstractions des propriétés ou des caractéristiques d’entités actives et passives qui concernent la protection de l’information. Les attributs de protection de la vie privée, qui peuvent être utilisés de façon indépendante ou avec des attributs de sécurité, représentent les propriétés ou caractéristiques de base des entités actives ou passives en ce qui concerne la gestion des renseignements personnels. Les attributs peuvent être explicitement ou implicitement associés à l’information contenue dans le système de l’organisation ou ses composants.

Ces attributs peuvent être associés à des entités actives (c’est-à-dire des sujets) qui ont le potentiel d’envoyer ou de recevoir de l’information, de faire circuler l’information entre des objets ou de changer l’état du système. Ils peuvent également être associés à des entités passives (c’est-à-dire des objets) qui contiennent ou reçoivent de l’information. L’association d’attributs à des sujets et objets s’appelle une liaison et fait habituellement partie de l’établissement de la valeur de l’attribut et de son type.

Lorsqu’ils sont liés aux données ou à l’information, les attributs permettent de renforcer les stratégies de sécurité et de protection de la vie privée pour le contrôle de l’accès et du flux d’information, ce qui comprend les limites de conservation des données, les utilisations autorisées des renseignements personnels et l’identification des renseignements personnels dans les objets de données. Un tel renforcement s’effectue dans le cadre des processus organisationnels ou des fonctions ou mécanismes du système. Les techniques de liaison que les systèmes mettent en œuvre nuisent à la force de la liaison entre les attributs et l’information. La force de la liaison et l’assurance associée aux techniques de liaison jouent des rôles importants dans la confiance qu’accordent les organisations au processus d’application du contrôle de flux d’information. Les techniques de liaison ont une incidence sur le nombre et le degré d’examens supplémentaires que devront exécuter les organisations. Le contenu ou les valeurs attribuées aux attributs peuvent avoir une incidence directe sur la capacité des personnes à accéder à l’information de l’organisation.

Les organisations peuvent définir les types d’attributs requis pour que les systèmes appuient les fonctions liées à sa mission ou à ses activités. Plusieurs valeurs peuvent être assignées à un attribut de sécurité. En précisant les valeurs et les intervalles d’attribut permis, l’organisation s’assure que les valeurs d’attributs sont pertinentes et importantes. L’étiquetage désigne l’association d’attributs avec les sujets et objets représentés par des structures de données internes dans les systèmes. Il permet de faciliter l’application des stratégies de sécurité et de protection de la vie privée de l’information basées sur les systèmes. Les étiquettes comprennent la classification de l’information selon les exigences juridiques et de conformité (par exemple, TRÈS SECRET, SECRET, CONFIDENTIEL, PROTÉGÉ), le niveau d’incidence de l’information, l’information de bien de grande importance, les autorisations d’accès, la nationalité, la protection du cycle de vie des données (c’est-à-dire chiffrement et expiration des données), les autorisations de traitement des renseignements personnels, y compris le consentement au traitement des renseignements personnels, et l’affiliation des entrepreneures et entrepreneurs.

Le marquage est un terme associé à l’étiquetage. Il désigne l’association d’attributs à des objets dans une forme lisible par un humain et qui sont affichés sur les supports d’un système. Le marquage permet d’assurer une application manuelle ou basée sur les procédures ou les processus des stratégies de sécurité et de protection de la vie privée de l’information. Les étiquettes de sécurité et de protection de la vie privée peuvent avoir la même valeur que le marquage des supports (par exemple, TRÈS SECRET, SECRET, CONFIDENTIEL). Prière de consulter le contrôle MP-03 (Marquage des supports).

Contrôles et activités connexes

AC-03, AC-04, AC-06, AC-21, AC-25, AU-02, AU-10, MP-03, PE-22, PT-02, PT-03, PT-04, SC-11, SC-16, SI-12, SI-18 et SA-400.

Améliorations

  • (01) Attributs de sécurité et de protection de la vie privée : Association dynamique d’attribut
    • Associer de manière dynamique les attributs de sécurité et de protection de la vie privée aux [Affectation : sujets et objets définis par l’organisation] conformément aux stratégies de sécurité et de protection de la vie privée suivantes au moment où l’information est créée et combinée : [Affectation : stratégies de sécurité et de protection de la vie privée définies par l’organisation].
    • Discussion : L’organisation peut faire appel à l’association dynamique d’attributs lorsque les caractéristiques de sécurité de l’information changent au fil du temps. Les attributs peuvent changer en raison de problèmes relatifs au regroupement de l’information (c’est-à-dire les caractéristiques de sécurité des éléments individuels de données sont différentes des éléments combinés), ainsi qu’en raison de changements liés aux autorisations d’accès individuels (c’est-à-dire les droits d’accès), à la catégorie de sécurité de l’information, ou de changements liés à la sécurité ou aux stratégies de sécurité ou de protection de la vie privée. Les attributs peuvent également changer selon la situation.
    • Contrôles et activités connexes : Aucun.
  • (02) Attributs de sécurité et de protection de la vie privée : Changements aux valeurs d’attribut par des personnes autorisées
    • Fournir à des personnes autorisées (ou à des processus exécutés au nom des personnes) la capacité de définir ou de changer la valeur des attributs de sécurité et de protection de la vie privée connexes.
    • Discussion : Le contenu ou les valeurs attribuées aux attributs peuvent avoir une incidence directe sur la capacité des personnes à accéder à l’information de l’organisation. Par conséquent, il est important que les systèmes soient capables de fournir uniquement aux personnes autorisées la capacité de créer ou de modifier des attributs.
    • Contrôles et activités connexes : Aucun.
  • (03) Attributs de sécurité et de protection de la vie privée : Maintenance des associations d’attributs par système
    • Maintenir l’intégrité des [Affectation : attributs de sécurité et de protection de la vie privée définis par l’organisation] et l’association de ceux-ci aux [Affectation : sujets et objets définis par l’organisation].
    • Discussion : Le maintien de l’intégrité des attributs de sécurité et de protection de la vie privée et de leur association à des sujets et à des objets avec un degré d’assurance suffisant aide à garantir que les associations d’attribut peuvent servir de base aux opérations automatisées liées aux stratégies. L’intégrité d’éléments précis, comme des fichiers de configuration de sécurité, peut être maintenue au moyen d’un mécanisme de surveillance de l’intégrité qui détecte des anomalies et des changements qui dévient de bases de référence valides. Les opérations automatisées liées aux stratégies incluent les expirations de date de conservation, les décisions liées au contrôle d’accès, au contrôle de flux d’information et à la divulgation d’information.
    • Contrôles et activités connexes : Aucun.
  • (04) Attributs de sécurité et de protection de la vie privée : Association d’attributs par personnes autorisées
    • Fournir les moyens d’associer des [Affectation : Attributs de sécurité et de protection de la vie privée définies par l’organisation] aux [Affectation : sujets et objets définis par l’organisation] effectuée par des personnes autorisées (ou par des processus exécutés en leur nom).
    • Discussion : En général, les systèmes fournissent les moyens aux utilisatrices et utilisateurs privilégiés d’accorder des attributs de sécurité et de protection de la vie privée aux sujets (par exemple, utilisatrices ou utilisateurs) et aux objets (par exemple, répertoires, fichiers et ports) définis par le système. Certains systèmes offrent aux utilisatrices et utilisateurs généraux une capacité supplémentaire permettant d’accorder des attributs de sécurité et de protection de la vie privée à des objets additionnels (par exemple, fichiers, courriels).
      L’association d’attributs par des personnes autorisées est décrite dans la documentation sur la conception. Le soutien fourni par les systèmes peut comprendre d’inviter les utilisatrices et utilisateurs à sélectionner des attributs de sécurité et de protection de la vie privée à associer à des objets d’information, d’employer des mécanismes automatisés pour catégoriser l’information avec les attributs en fonction des politiques définies ou de veiller à ce que la combinaison d’attributs de sécurité ou de protection de la vie privée sélectionnée soit valide. Les organisations considèrent la création, la suppression ou la modification d’attributs lorsqu’elles définissent les événements vérifiables.
    • Contrôles et activités connexes : Aucun.
  • (05) Attributs de sécurité et de protection de la vie privée : Affichage d’attributs des objets transmis à des dispositifs de sortie
    • Afficher sous forme lisible les attributs de sécurité et de protection de la vie privée de chaque objet que le système transmet à des dispositifs de sortie afin d’identifier les [Affectation : instructions spéciales de diffusion, de traitement ou de distribution définies par l’organisation] conformément aux [Affectation : conventions d’appellation standard, en langage lisible, définies par l’organisation].
    • Discussion : Les sorties du système comprennent les pages d’imprimante, les saisies d’écran ou des éléments équivalents. Les dispositifs de sortie du système comprennent les imprimantes, les ordinateurs blocs-notes, les affichages vidéo, les téléphones intelligents et les tablettes. Afin d’atténuer les risques d’exposition non autorisée d’information (par exemple, espionnage par-dessus l’épaule), les sorties affichent des valeurs complètes d’attributs lorsque l’abonnée ou abonné les décèle.
    • Contrôles et activités connexes : Aucun.
  • (06) Attributs de sécurité et de protection de la vie privée : Maintien des associations d’attributs
    • Permettre au personnel d’associer les [Affectation : attributs de sécurité et de protection de la vie privée définis par l’organisation] aux [Affectation : sujets et objets définis par l’organisation] et de maintenir cette association, conformément aux [Affectation : stratégies de sécurité et de sécurité définies par l’organisation].
    • Discussion : Maintenir les associations d’attributs exige que l’utilisatrice ou utilisateur (par opposition au système) maintienne les associations d’attributs de sécurité et de protection de la vie privée aux sujets et objets.
    • Contrôles et activités connexes : Aucun.
  • (07) Attributs de sécurité et de protection de la vie privée : Interprétation uniforme des attributs
    • Fournir une interprétation uniforme des attributs de sécurité et de protection de la vie privée transmis entre les composants du système distribués.
    • Discussion : Pour appliquer des stratégies de sécurité et de sécurité dans de multiples composants de système au sein de systèmes distribués, les organisations fournissent une interprétation uniforme des attributs de sécurité qui sont utilisés dans les décisions d’application de flux et de l’accès. Les organisations peuvent établir des ententes et des processus pour aider à s’assurer que tous les composants de systèmes distribués mettent en œuvre des attributs avec des interprétations uniformes dans les opérations automatisées d’application de flux et de l’accès.
    • Contrôles et activités connexes : Aucun.
  • (08) Attributs de sécurité et de protection de la vie privée : Techniques et technologies d’association
    • Mettre en œuvre des [Affectation : techniques et technologies définies par l’organisation] en associant des attributs de sécurité et de protection de la vie privée à l’information.
    • Discussion : L’association d’attributs de sécurité et de protection de la vie privée à de l’information dans les systèmes est très importante en ce qui a trait à l’exécution des opérations automatisées d’application de flux et d’accès. L’association de tels attributs à l’information (par exemple, liaison) peut être accomplie au moyen de technologies ou de techniques offrant différents niveaux d’assurance. Par exemple, les systèmes peuvent établir des liaisons cryptographiques entre des attributs et de l’information au moyen de signatures numériques et des clés cryptographiques connexes protégées par des dispositifs matériels (également appelés base matérielle sécurisée).
    • Contrôles et activités connexes : SC-12 et SC-13.
  • (09) Attributs de sécurité et de protection de la vie privée : Réaffectation d’attribut – Mécanismes remaniés
    • Changer les attributs de sécurité et de protection de la vie privée associés à l’information uniquement par des mécanismes remaniés validés au moyen de [Affectation : techniques ou procédures définies par l’organisation].
    • Discussion : Un mécanisme remanié est un processus de confiance autorisé à reclassifier et réétiqueter des données conformément à une exception définie sur le plan de la stratégie. Les organisations emploient des mécanismes remaniés validés afin de fournir les niveaux d’assurance requis pour les activités de réattribution d’attribut. La validation est facilitée si les mécanismes remaniés sont monofonctions et ont des fonctions limitées. Étant donné que les changements d’attributs de sécurité et de protection de la vie privée peuvent avoir une incidence directe sur les opérations d’application des stratégies de sécurité, l’utilisation de mécanismes remaniés fiables est nécessaire afin de s’assurer que ces mécanismes fonctionnent correctement et uniformément.
    • Contrôles et activités connexes : Aucun.
  • (10) Attributs de sécurité et de protection de la vie privée : Configuration d’attribut par des personnes autorisées
    • Fournir aux personnes autorisées la capacité de définir ou de changer le type et la valeur des attributs de sécurité et de protection de la vie privée disponibles pouvant être associés à des sujets et à des objets.
    • Discussion : Le contenu ou les valeurs attribuées aux attributs de sécurité et de protection de la vie privée peuvent avoir une incidence directe sur la capacité des personnes d’accéder à l’information de l’organisation. Par conséquent, il est important que les systèmes soient capables de fournir uniquement aux personnes autorisées la capacité de créer ou de modifier le type et la valeur des attributs pouvant être associés à des sujets et à des objets.
    • Contrôles et activités connexes : Aucun.

Références:

Haut de la page 
 

AC-17 Accès à distance

Contrôle

  1. Définir et consigner les restrictions d’utilisation, les exigences en matière de configuration et de connexion, ainsi que les directives de mise en œuvre de chaque type d’accès à distance autorisé
  2. Autoriser chaque type d’accès à distance au système avant d’autoriser de telles connexions

Discussion

Par accès à distance (ou accès distant), on entend l’accès des utilisatrices et utilisateurs (ou des processus exécutés en leur nom) aux systèmes organisationnels au moyen de réseaux externes, comme Internet. Les types d’accès à distance comprennent l’accès par ligne commutée, à large bande et sans fil. Les organisations utilisent des réseaux privés virtuels (RPV) chiffrés pour augmenter la confidentialité et l’intégrité des connexions à distance. L’utilisation de RPV chiffrés permet à l’organisation de s’assurer qu’elle peut traiter efficacement ce type de connexion comme des réseaux internes si les mécanismes de chiffrement utilisés sont mis en œuvre conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.

Cela dit, les connexions RPV traversent des réseaux externes et les RPV chiffrés n’augmentent pas la disponibilité des connexions distantes. Les RPV dotés de tunnels chiffrés peuvent également avoir une incidence sur la capacité de l’organisation à surveiller adéquatement le trafic de communication réseau à des fins de détection de programmes malveillants. Les contrôles d’accès à distance s’appliquent aux systèmes autres que les serveurs Web publics ou les systèmes conçus pour l’accès public. Chaque type d’accès à distance exige une autorisation avant de permettre l’accès distant, sans préciser les formats de cette autorisation. Bien que les organisations puissent avoir recours à des ententes sur la sécurité des échanges d’information et des connexions aux systèmes pour gérer l’accès à distance aux autres systèmes, ces ententes relèvent du contrôle CA-03. Le contrôle AC-03 porte sur l’application des restrictions d’accès à distance.

Discussion au sein du GC

L’organisation s’assure que les membres du personnel qui travaillent à l’extérieur de ses locaux protègent l’information conformément aux exigences minimales précisées dans l’annexe C de la Directive sur la gestion de la sécurité du SCT : Procédures obligatoires relatives aux mesures de sécurité matérielle.

Contrôles et activités connexes

AC-02, AC-03, AC-04, AC-18, AC-19, AC-20, CA-03, CM-10, IA-02, IA-03, IA-08, MA-04, PE-17, PE-400, PL-02, PL-04, SC-10, SC-12, SC-13 et SI-04.

Améliorations

  • (01) Accès à distance : Surveillance et contrôle
    • Utiliser des mécanismes automatisés pour faciliter la surveillance et le contrôle des méthodes d’accès à distance.
    • Discussion : La surveillance et le contrôle des méthodes d’accès à distance permettent aux organisations de détecter les attaques et de s’assurer du respect constant des stratégies d’accès à distance grâce à la vérification des activités de connexion des utilisatrices et utilisateurs distants sur une variété de composants du système, y compris des serveurs, des ordinateurs blocs-notes, des postes de travail, des téléphones intelligents et des tablettes. La journalisation des données de vérification pour l’accès à distance est appliquée par le contrôle AU-02. Les événements vérifiables sont définis dans le contrôle AU-02A.
    • Contrôles et activités connexes : AU-02, AU-06, AU-12 et AU-14.
  • (02) Accès à distance : Protection de la confidentialité et de l’intégrité au moyen du chiffrement
    • Mettre en œuvre des mécanismes cryptographiques pour protéger la confidentialité et l’intégrité des sessions d’accès à distance.
    • Discussion : Les RPV peuvent servir à protéger la confidentialité et l’intégrité des sessions d’accès à distance. Le protocole TLS est un exemple de protocole cryptographique qui assure la sécurité des communications de bout à bout sur des réseaux et il est utilisé pour les communications Internet et les transactions en ligne.
    • Contrôles et activités connexes : SC-08, SC-12 et SC-13.
  • (03) Accès à distance : Points de contrôle d’accès gérés
    • Acheminer l’accès distant au moyen de points de contrôle d’accès réseau autorisés et gérés.
    • Discussion : Les organisations tiennent compte d’une solution de points de contrôle d’accès gérés pour les connexions réseau externes puisque la limitation du nombre de points de contrôle d’accès pour les accès à distance réduit la superficie d’attaque des organisations.
    • Discussion au sein du GC : Les ministères et organismes du GC tiennent compte de l’infrastructure d’accès à distance sécurisé que procure Services partagés Canada (SPC) pour les connexions réseau externes.
    • Contrôles et activités connexes : SC-07.
  • (04) Accès à distance : Commandes et accès privilégiés
      1. Autorise l’exécution de commandes privilégiées et de l’accès à l’information liée à la sécurité au moyen de l’accès à distance seulement dans un format qui fournit des preuves justificatives de confiance, et ce, pour les besoins suivants : [Affectation : besoins définis par l’organisation]
      2. Consigner la justification pour cet accès dans le plan de sécurité du système
    • Discussion : L’accès distant à des systèmes représente une vulnérabilité potentielle importante pouvant être exploitée par des adversaires. Ainsi, la restriction des commandes et des accès privilégiés à l’information liée à la sécurité au moyen d’un accès à distance réduit l’exposition des organisations et la vulnérabilité aux menaces provenant des adversaires.
    • Contrôles et activités connexes : AC-06, SC-12 et SC-13.
  • (05) Accès à distance : Surveillance pour connexions non autorisées
    • Annulé : Intégré au contrôle SI-04.
  • (06) Accès à distance : Protection de l’information sur les mécanismes
    • Protéger l’information sur les mécanismes d’accès à distance contre toute utilisation et divulgation non autorisée.
    • Discussion : L’accès à distance à l’information organisationnelle par des entités non organisationnelles peut accroître les risques d’utilisation et de divulgation non autorisées sur les mécanismes d’accès à distance. L’organisation considère d’inclure des exigences en matière d’accès à distance dans les ententes d’échange d’information avec d’autres organisations, le cas échéant. Ces exigences peuvent aussi être intégrées aux règles de comportement (voir le contrôle PL-04) et aux ententes d’accès (voir le contrôle PS-06).
    • Contrôles et activités connexes : AT-02, AT-03 et PS-06.
  • (07) Accès à distance : Protection supplémentaire pour l’accès aux fonctions de sécurité
    • Annulé : Intégré au contrôle AC-03(10).
  • (08) Accès à distance : Désactiver les protocoles réseau non sécurisés
    • Annulé : Intégré au contrôle CM-07.
  • (09) Accès à distance : Déconnecter ou désactiver l’accès
    • Fournir la capacité de déconnecter ou de désactiver l’accès à distance au système dans un délai de [Affectation : délai défini par l’organisation].
    • Discussion : La vitesse de la déconnexion ou de la désactivation du système dépend de la criticité des fonctions liées à la mission ou aux activités, ainsi que de la nécessité d’éliminer l’accès distant immédiat ou futur aux systèmes.
    • Contrôles et activités connexes : Aucun.
  • (10) Accès à distance : Authentification des commandes à distance
    • Mettre en place les [Affectation : mécanismes définis par l’organisation] pour authentifier [Affectation : commandes à distance définies par l’organisation].
    • Discussion : L’authentification de commandes à distance assure une protection contre les commandes non autorisées et la réexécution des commandes autorisées. La capacité d’authentification est importante pour les systèmes à distance dont la perte, le mauvais fonctionnement, la mauvaise conduite ou l’exploitation pourraient avoir des conséquences immédiates ou sérieuses, par exemple, blessures, mort, dommages à la propriété, perte de biens de grande valeur, échec de missions ou de fonctions opérationnelles, ou compromission d’information classifiée ou protégée. Les mécanismes d’authentification des commandes à distance font en sorte que le système accepte et exécute les commandes dans l’ordre prévu. De plus, le système ne traite que les commandes autorisées et rejette les commandes non autorisées. Des mécanismes cryptographiques peuvent être employés, par exemple, pour authentifier les commandes à distance.
    • Contrôles et activités connexes : SC-12, SC-13 et SC-23.
  • (400) Accès à distance : Accès à distance à des comptes privilégiés
    • L’accès à distance à des comptes privilégiés s’effectue à partir de consoles de gestion spécialisées utilisées exclusivement à cette fin.
    • Discussion : L’accès à distance à des comptes privilégiés s’effectue à partir de consoles de gestion spécialisées régies entièrement par les stratégies de sécurité du système et utilisées exclusivement à cette fin (par exemple, l’accès à Internet n’est pas autorisé). Dans le contexte de ce contrôle, accès à distance signifie tout ce qui n’est pas local par rapport à l’hôte.
    • Contrôles et activités connexes : SI-400.

Références:

Haut de la page 
 

AC-18 Accès sans fil

Contrôle

  1. Établir les restrictions d’utilisation, les exigences en matière de configuration et de connexion, ainsi que les directives de mise en œuvre pour chaque type d’accès sans fil
  2. Autoriser chaque type d’accès sans fil au système avant d’autoriser de telles connexions

Discussion

Les technologies sans fil comprennent les hyperfréquences, la radiocommunication à commutation de paquets (bande d’ondes décimétriques ou bande d’ondes métriques), 802.11x et Bluetooth. Les réseaux sans fil utilisent des protocoles d’authentification afin de fournir une protection au moyen d’un authentifiant et d’une authentification mutuelle.

Contrôles et activités connexes

AC-02, AC-03, AC-17, AC-19, CA-09, CM-07, IA-02, IA-03, IA-08, PL-04, SC-40, SC-43 et SI-04.

Améliorations

  • (01) Accès sans fil : Authentification et chiffrement
    • Protéger l’accès sans fil au système au moyen de l’authentification des [Sélection (un choix ou plus) : utilisatrices et utilisateurs; dispositifs] et du chiffrement.
    • Discussion : Les capacités de réseau sans fil représentent une vulnérabilité potentielle importante pouvant être exploitée par des adversaires. Afin de protéger les systèmes avec des points d’accès sans fil, un mécanisme rigoureux d’authentification des utilisatrices et utilisateurs et des appareils, avec un chiffrement robuste peuvent réduire sensiblement les menaces que font peser les adversaires exploitant des technologies sans fil.
    • Contrôles et activités connexes : SC-08, SC-12 et SC-13.
  • (02) Accès sans fil : Surveillance des connexions non autorisées
    • Annulé : Intégré au contrôle SI-04.
  • (03) Accès sans fil : Désactivation du réseautage sans fil
    • Désactiver, lorsqu’on ne prévoit pas les utiliser, les capacités de réseautage sans fil intégrées aux composants du système avant leur remise et leur déploiement.
    • Discussion : Les capacités de réseau sans fil intégrées aux composants de systèmes représentent une vulnérabilité potentielle importante pouvant être exploitée par des adversaires. La désactivation des capacités sans fil non nécessaires à la mission ou aux activités peut réduire sensiblement les menaces que font peser les adversaires exploitant des technologies sans fil.
    • Contrôles et activités connexes : Aucun.
  • (04) Accès sans fil : Restriction des configurations par les utilisatrices et utilisateurs
    • Identifier les utilisatrices et utilisateurs et les autoriser explicitement à configurer eux-mêmes les capacités de réseautage sans fil.
    • Discussion : Les autorisations organisationnelles permettant aux utilisateurs sélectionnés de configurer les capacités de réseautage sans fil sont appliquées en partie par les mécanismes d’application de l’accès employés dans les systèmes organisationnels.
    • Contrôles et activités connexes : SC-07 et SC-15.
  • (05) Accès sans fil : Antennes et puissance de transmission
    • Sélectionner des antennes radio et calibrer la puissance de transmission afin de réduire la probabilité que les signaux puissent être reçus en dehors des frontières que contrôle l’organisation.
    • Discussion : Les mesures pouvant être prises pour limiter l’utilisation non autorisée de communications sans fil en dehors des frontières contrôlées par l’organisation comprennent la réduction de la puissance des transmissions sans fil pour qu’elles risquent moins d’émettre un signal qui pourrait être utilisé à l’extérieur du périmètre physique de l’organisation, l’utilisation de mesures telles que la sécurité des émissions pour contrôler les émissions sans fil, et l’utilisation d’antennes directionnelles ou de mise en forme de faisceaux qui réduisent la probabilité que des personnes non prévues réussissent à intercepter les signaux. Avant de prendre de telles mesures d’atténuation, l’organisation peut mener des enquêtes sans fil périodiques pour comprendre le profil de radiofréquence des systèmes organisationnels ainsi que d’autres systèmes qui pourraient être en fonction dans le secteur.
    • Contrôles et activités connexes : PE-19.

Références:

Haut de la page 
 

AC-19 Contrôle d’accès pour les appareils mobiles

Contrôle

  1. Établir les exigences en matière de configuration et de connexion, ainsi que les directives de mise en œuvre des appareils mobiles contrôlés par l’organisation à inclure lorsque ces appareils se trouvent à l’extérieur des zones contrôlées
  2. Autoriser les connexions d’appareils mobiles aux systèmes organisationnels

Discussion

Un appareil mobile est un dispositif informatique de petite taille qui peut facilement être transporté par une personne. Il est conçu pour fonctionner sans connexion physique et il dispose d’un stockage de données local, fixe ou amovible. Il comprend également une source d’alimentation autonome. Les fonctionnalités des appareils mobiles peuvent également comprendre des capacités de communication vocale, des capteurs embarqués permettant aux appareils de recueillir des données et/ou des fonctions intégrées de synchronisation de données locales avec des emplacements distants. Les téléphones intelligents et les tablettes sont des exemples d’appareils mobiles.

Les appareils mobiles sont typiquement associés à une seule personne et certains renseignements sont définis comme étant personnels. Par exemple, les appareils mobiles peuvent localiser l’accès en activant l’identification de la géolocalisation de l’utilisatrice ou utilisateur. De plus, comme certains appareils mobiles fournis à des fins professionnelles activent les profils personnels, les ministères gouvernementaux devraient mettre en place des stratégies et des procédures pour documenter la garde et le contrôle des transactions personnelles effectuées dans le profil personnel à partir de tels appareils.

Les capacités de traitement, de stockage et de transmission de l’appareil mobile sont comparables à un sous-ensemble de postes de travail, selon la nature et l’utilisation prévue de l’appareil. La protection et le contrôle des appareils mobiles sont basés sur les comportements et les stratégies, et nécessitent que les utilisatrices et utilisateurs effectuent des opérations physiques afin de protéger et de contrôler leurs appareils lorsqu’ils se trouvent à l’extérieur des zones contrôlées. Les zones contrôlées sont des espaces dans lesquels les organisations appliquent des contrôles physiques ou procéduraux afin de respecter les exigences établies pour la protection de l’information et des systèmes.

En raison de la grande variété d’appareils mobiles, y compris leur vaste gamme de caractéristiques et de capacités, les restrictions organisationnelles peuvent varier en fonction des classes ou des types d’appareils. Les restrictions d’utilisation et les conseils de mises en œuvre propres aux appareils mobiles comprennent notamment la gestion des configurations, l’identification et l’authentification des appareils, la mise en œuvre obligatoire de logiciels de protection, l’analyse des appareils afin de détecter les programmes malveillants, la mise à jour des logiciels antivirus, la recherche des mises à jour et des correctifs critiques, la vérification de l’intégrité du système d’exploitation de base et possiblement d’autres logiciels résidents, et la désactivation du matériel qui n’est pas nécessaire.

Les restrictions concernant l’utilisation et l’autorisation d’accès peuvent varier selon les systèmes organisationnels. Par exemple, l’organisation peut autoriser la connexion des appareils mobiles à ses réseaux et imposer un ensemble de restrictions concernant l’utilisation, tandis qu’une ou un propriétaire de système peut refuser la connexion d’appareils mobiles à des applications en particulier ou imposer des restrictions additionnelles avant d’autoriser la connexion d’appareils mobiles à un système. Pour protéger adéquatement les appareils mobiles, il faut faire plus que se conformer aux exigences précisées dans le contrôle AC-19. Plusieurs mesures de protection des appareils mobiles sont comprises dans d’autres contrôles. Le contrôle AC-20 porte sur les appareils mobiles qui ne sont pas contrôlés par les organisations. Le contrôle AC-08 dresse la liste des exigences relatives aux avis à envoyer par rapport à la collecte des renseignements personnels associés à l’utilisation de téléphones cellulaires professionnels fournis par le gouvernement.

Contrôles et activités connexes

AC-03, AC-04, AC-07, AC-08, AC-11, AC-17, AC-18, AC-20, CA-09, CM-02, CM-06, IA-02, IA-03, MP-02, MP-04, MP-05, MP-07, PL-04, SC-07, SC-34, SC-43, SI-03 et SI-04.

Améliorations

  • (01) Contrôle d’accès pour les appareils mobiles : Utilisation de dispositifs de stockage portatifs et accessibles en écriture
    • Annulé : Intégré au contrôle MP-07.
  • (02) Contrôle d’accès pour les appareils mobiles : Utilisation de dispositifs de stockage portatifs appartenant à des particuliers
    • Annulé : Intégré au contrôle MP-07.
  • (03) Contrôle d’accès pour les appareils mobiles : Utilisation de dispositifs de stockage portatifs sans propriétaire identifiable
    • Annulé : Intégré au contrôle MP-07.
  • (04) Contrôle d’accès pour les appareils mobiles : Restrictions liées à l’information classifiée
      1. Interdire l’utilisation d’appareils mobiles non classifiés dans les installations qui hébergent des systèmes qui traitent, stockent ou transmettent de l’information classifiée, sauf si l’autorité responsable le permet
      2. Appliquer par le biais de l’autorité responsable les restrictions ci-après aux personnes autorisées à utiliser des appareils mobiles non classifiés dans les installations hébergeant des systèmes qui traitent, stockent ou transmettent de l’information classifiée
        1. il est interdit de connecter des appareils mobiles non classifiés à des systèmes classifiés
        2. la connexion d’appareils mobiles non classifiés à des systèmes non classifiés requiert l’approbation de l’autorité responsable
        3. il est interdit d’utiliser des modems internes ou externes, ou des interfaces sans fil, avec les appareils mobiles non classifiés
        4. les appareils mobiles non classifiés et l’information qui y est stockée peuvent faire l’objet d’examens ou d’inspections aléatoires par [Affectation : agentes et agents de sécurité définis par l’organisation]; si l’inspection confirme la présence d’information classifiée, la stratégie de traitement des incidents est appliquée
      3. Limiter la connexion d’appareils mobiles classifiés à des systèmes classifiés conformément aux [Affectation : stratégies de sécurité définies par l’organisation]
    • Discussion : Aucune.
    • Contrôles et activités connexes : CM-08 et IR-04.
  • (05) Contrôle d’accès pour les appareils mobiles : Chiffrement complet des appareils ou chiffrement des contenants
    • Employer le [Sélection (un choix ou plus) : chiffrement complet des appareils; chiffrement des contenants] pour protéger la confidentialité et l’intégrité de l’information sur les [Affectation : appareils mobiles définis par l’organisation].
    • Discussion : Le chiffrement des contenants fournit une approche à granularité fine au chiffrement des données et de l’information sur les appareils mobiles, y compris le chiffrement des structures de données sélectionnées, telles que les fichiers, les dossiers et les champs.
    • Contrôles et activités connexes : SC-12, SC-13 et SC-28.
  • (400) Contrôle d’accès pour les appareils mobiles : Appareils sans fil
    • Annulé : Transféré sous le contrôle SC-42(400).

Références:

Haut de la page 
 

AC-20 Utilisation de systèmes externes

Contrôle

  1. [Sélection (un choix ou plus) : Établir les [Affectation : conditions générales d’utilisation définies par l’organisation]; identifier les [Affectation : contrôles définis par l’organisation dont la mise en place est présumée sur les systèmes externes]], conformément aux relations d’approbation établies avec les autres organisations qui possèdent, exploitent et/ou maintiennent les systèmes externes, de manière à ce que les personnes autorisées puissent faire ce qui suit
    1. accéder au système à partir des systèmes externes
    2. traiter, stocker ou transmettre de l’information contrôlée par l’organisation au moyen de systèmes externes
  2. Interdire l’utilisation de [Affectation : types de systèmes externes définis par l’organisation]

Discussion

Par systèmes externes, on entend les systèmes qui sont utilisés par des systèmes organisationnels, sans en faire partie, et sur lesquels l’organisation n’exerce aucun contrôle direct sur le plan de la mise en œuvre des contrôles requis ou de l’évaluation de l’efficacité des contrôles. Les systèmes externes comprennent les systèmes, les composants ou les appareils appartenant à des particuliers; les dispositifs de calcul et de communication appartenant à des intérêts privés dans des installations commerciales ou publiques; les systèmes appartenant à des organismes non fédéraux ou sous le contrôle de tels organismes; les systèmes gérés par des entrepreneures et entrepreneurs; et les systèmes d’information fédéraux qui ne sont ni la propriété des organisations, ni exploités ou contrôlés sous leur supervision directe et leur autorité. Les systèmes externes comprennent également les systèmes qui sont la propriété d’autres éléments de la même organisation (ou exploités par ces derniers) et les systèmes au sein de l’organisation dont les limites d’autorisation sont différentes. Les organisations ont l’option d’interdire l’utilisation de tous les types de systèmes externes ou de certains types de systèmes externes (par exemple, interdire l’utilisation de systèmes externes qui n’appartiennent pas à l’organisation ou interdire l’utilisation de systèmes appartenant à des particuliers).

Dans le cas de certains systèmes externes (c’est-à-dire ceux exploités par d’autres organisations), les relations d’approbation établies entre ces organisations et l’organisation concernée peuvent être telles qu’aucune condition générale d’utilisation explicite n’est requise. Les systèmes dans ces organisations ne peuvent pas être considérés comme des systèmes externes. Ces situations se produisent, par exemple, lorsque des ententes d’échange d’information (implicites ou explicites) existaient déjà et avaient été établies entre les organisations ou composants, ou lorsque de telles ententes sont stipulées dans les lois, les décrets, les directives, la réglementation, les politiques ou les normes applicables.

Les personnes autorisées comprennent notamment le personnel de l’organisation, les entrepreneures et entrepreneurs ou toute autre personne autorisée à accéder aux systèmes organisationnels et à qui les organisations sont en droit d’imposer des règles de conduite précises quant à l’accès au système. Les restrictions que les organisations imposent aux personnes autorisées n’ont pas besoin d’être uniformes puisqu’elles peuvent varier selon les relations de confiance entre les organisations. Par conséquent, les organisations peuvent choisir d’imposer aux entrepreneures et entrepreneurs des restrictions de sécurité différentes de celles imposées à un gouvernement fédéral, provincial ou municipal.

Les systèmes externes utilisés pour accéder aux interfaces publiques qui mènent aux systèmes de l’organisation ne sont pas visés par le contrôle AC-20. Les organisations établissent les conditions générales d’utilisation des systèmes externes conformément à leurs stratégies et procédures de sécurité. Au minimum, les conditions générales d’utilisation portent sur les types d’applications accessibles sur les systèmes organisationnels à partir des systèmes externes, et la catégorie de sécurité la plus élevée de l’information qui peut être traitée, stockée ou transmise dans des systèmes externes. Si les organisations ne peuvent pas établir des conditions générales d’utilisation avec les propriétaires des systèmes externes, elles peuvent imposer des restrictions au personnel utilisant ces systèmes externes.

Contrôles et activités connexes

AC-02, AC-03, AC-17, AC-19, CA-03, PL-02, PL-04, SA-09 et SC-07.

Améliorations

  • (01) Utilisation de systèmes externes : Limites relatives à l’utilisation autorisée
    • Permettre aux personnes autorisées d’utiliser un système externe afin d’accéder au système ou afin de traiter, de stocker ou de transmettre de l’information contrôlée par l’organisation seulement après les opérations suivantes
      1. vérifier que les contrôles ont été mis en œuvre dans le système externe tel qu’il est stipulé dans les stratégies de sécurité et de protection de la vie privée et les plans de sécurité et de protection de la vie privée
      2. conserver les ententes approuvées de connexion au système ou de traitement avec l’entité organisationnelle qui héberge le système externe
    • Discussion : Limiter l’usage autorisé permet de reconnaître que dans certaines circonstances, des utilisatrices et utilisateurs de systèmes externes ont besoin d’accéder aux systèmes organisationnels. Les organisations doivent avoir l’assurance que les systèmes externes comportent les contrôles nécessaires afin qu’ils ne compromettent pas ou n’endommagent pas les systèmes de l’organisation, ou encore qu’ils ne nuisent pas à ceux-ci. La vérification visant à s’assurer que les contrôles requis ont été mis en œuvre peut être réalisée par des évaluations externes et indépendantes, des attestations ou d’autres moyens, selon le degré de certitude dont ont besoin les organisations.
    • Contrôles et activités connexes : CA-02.
  • (02) Utilisation de systèmes externes : Dispositifs de stockage portatifs − Utilisation restreinte
    • Restreindre l’utilisation de dispositifs de stockage portatifs contrôlés par l’organisation aux personnes autorisées pour les systèmes externes conformément aux [Affectation : restrictions définies par l’organisation].
    • Discussion : Les limites ayant trait à l’utilisation des dispositifs de stockage portatifs contrôlés par l’organisation dans les systèmes externes incluent les restrictions sur la façon dont les dispositifs peuvent être utilisés et les conditions qui s’y rattachent.
    • Contrôles et activités connexes : MP-07 et SC-41.
  • (03) Utilisation de systèmes externes : Systèmes ne faisant pas partie de l’organisation – Utilisation restreinte
    • Limiter l’utilisation de systèmes ne faisant pas partie de l’organisation ou de composants de systèmes afin de traiter, de stocker ou de transmettre de l’information de l’organisation au moyen de [Affectation : restrictions définies par l’organisation].
    • Discussion : Les composants de systèmes ou les systèmes ne faisant pas partie de l’organisation comprennent les systèmes ou les composants de systèmes appartenant à d’autres organisations ainsi que des dispositifs personnels. L’utilisation de tels systèmes ou composants comporte des risques. Dans certains cas, le risque est suffisamment élevé pour en interdire l’utilisation (voir le code AC-20B). Dans d’autres cas, l’utilisation de tels systèmes ou composants de systèmes peut être autorisée, mais avec certaines limitations.
      Les restrictions comprennent l’exigence de mettre en œuvre des contrôles approuvés avant d’autoriser de telles connexions de composants et de systèmes ne faisant pas partie de l’organisation; la limitation de l’accès à certains types d’information, de services ou d’applications; l’utilisation de techniques de virtualisation pour limiter le traitement et le stockage d’activités sur des serveurs ou des composants de systèmes fournis par l’organisation; l’acceptation des modalités d’utilisation. Les organisations consultent le Commissariat à la protection de la vie privée du Canada (CPVP) au sujet des enjeux juridiques associés à l’utilisation d’appareils personnels, y compris les exigences relatives à l’analyse judiciaire dans le cadre d’enquêtes à la suite d’un incident.
    • Contrôles et activités connexes : Aucun.
  • (04) Utilisation de systèmes externes : Dispositifs de stockage accessibles par réseau − Utilisation interdite
    • Interdire l’utilisation de [Affectation : dispositifs de stockage accessibles par réseau, définis par l’organisation] dans des systèmes externes.
    • Discussion : Les dispositifs de stockage accessibles par réseau dans des systèmes externes comprennent les dispositifs de stockage en ligne dans des systèmes infonuagiques publics, hybrides ou communautaires.
    • Contrôles et activités connexes : Aucun.
  • (05) Utilisation de systèmes externes : Dispositifs de stockage portatifs − Utilisation interdite
    • Interdire l’utilisation de dispositifs de stockage portatifs contrôlés par l’organisation aux personnes autorisées pour les systèmes externes.
    • Discussion : Les limites ayant trait à l’utilisation des dispositifs de stockage portatifs contrôlés par l’organisation dans les systèmes externes incluent l’interdiction absolue d’utiliser ces dispositifs. L’interdiction d’une telle utilisation s’applique au moyen de méthodes techniques ou non techniques (c’est-à-dire des méthodes basées sur les procédures).
    • Contrôles et activités connexes : MP-07, PL-04, PS-06 et SC-41.

Références:

Haut de la page 
 

AC-21 Échange d’information

Contrôle

  1. Permettre aux utilisatrices et utilisateurs autorisés de déterminer si les autorisations d’accès accordées aux partenaires d’échange respectent les restrictions d’accès à l’information et d’utilisation en tenant compte de [Affectation : circonstances d’échange d’information définies par l’organisation où l’utilisateur doit faire preuve de discrétion]
  2. Employer des [Affectation : mécanismes automatisés ou des processus manuels définis par l’organisation] pour aider les utilisatrices et utilisateurs à prendre des décisions concernant l’échange d’information et la collaboration

Discussion

L’échange d’information s’applique à l’information susceptible de faire l’objet de restrictions en fonction d’un mode quelconque de détermination officielle ou administrative. Des exemples d’une telle information incluent l’information relative à un contrat, l’information protégée, l’information classifiée relative à des programmes ou à des compartiments à accès spéciaux, l’information privilégiée, l’information exclusive et l’information personnelle. Les évaluations des risques liés à la sécurité et à la protection de la vie privée ainsi que les lois, les règlements et les politiques applicables peuvent fournir des éléments utiles pour prendre des décisions.

Selon les circonstances, les partenaires d’échange peuvent être définis comme des personnes, des groupes ou des organisations. L’information peut être définie par contenu, type, catégorie de sécurité, ou programme ou compartiment à accès spécial. Les restrictions d’accès peuvent nécessiter des ententes de non-divulgation, et des droits d’accès devraient être définis chez l’organisation destinataire en fonction de l’utilisation autorisée de l’information et conformément au principe démontré du besoin de savoir. L’information échangée devrait se limiter à la quantité minimale d’information nécessaire à l’organisation destinataire. Les techniques de flux d’information et les attributs de sécurité peuvent être utilisés pour offrir une assistance automatisée aux utilisatrices et utilisateurs pour aider les utilisatrices et utilisateurs à prendre des décisions concernant l’échange d’information et la collaboration.

Contrôles et activités connexes

AC-03, AC-04, AC-08, AC-16, PT-02, PT-07, RA-03 et SC-15.

Améliorations

  • (01) Échange d’information : Application des décisions automatisées
    • Utiliser des [Affectation : mécanismes automatisés définis par l’organisation] pour appliquer des décisions sur l’échange d’information par une utilisatrice ou un utilisateur autorisé en fonction des autorisations d’accès des partenaires d’échange et des restrictions d’accès à l’information à échanger.
    • Discussion : Les mécanismes automatisés sont utilisés pour appliquer les décisions relatives à l’échange d’information.
    • Contrôles et activités connexes : Aucun.
  • (02) Échange d’information : Recherche et récupération d’information
    • Le système d’information met en œuvre des services de recherche et de récupération de l’information qui appliquent des [Affectation : restrictions liées à l’échange d’information définies par l’organisation].
    • Discussion : Les services de recherche et de récupération d’information déterminent les ressources des systèmes d’information qui sont pertinentes pour l’information requise.
    • Contrôles et activités connexes : Aucun.
  • (400) Échange d’information : Accord d’échange de renseignements
    • Veiller, à la suite des accords écrits, à prendre les mesures de protection appropriées de l’information sensible échangée avec des entités du secteur public externes et des organisations.
    • Discussion : Un accord décrit les conditions générales d’utilisation en vertu desquelles les renseignements personnels sont divulgués entre les parties et il peut, ou non, être juridiquement contraignant. S’assurer que l’accord documente les dispositions législatives, les utilisations autorisées et les normes relatives à la conservation de l’organisation destinataire.
    • Contrôles et activités connexes : PT-08.
  • (401) Échange d’information : Entente d’échange de renseignements
    • Veiller, à la suite des ententes écrites, à prendre les mesures de protection appropriées de l’information sensible échangée entre et au sein des institutions fédérales.
    • Discussion : Aucune.
    • Discussion au sein du GC : Une entente décrit les conditions générales d’utilisation en vertu desquelles les renseignements personnels sont divulgués entre les parties et n’est pas juridiquement contraignante. S’assurer que l’entente documente les dispositions législatives, les utilisations autorisées et les normes relatives à la conservation de l’organisation destinataire.
    • Contrôles et activités connexes : PT-08.

Références:

Haut de la page 
 

AC-22 Contenu accessible au public

Contrôle

  1. Désigner les personnes qui sont autorisées à rendre l’information accessible au public
  2. Former les personnes autorisées afin de s’assurer que l’information accessible au public ne contient pas d’information non publique
  3. Examiner le contenu d’information proposé avant de l’afficher sur le système accessible au public pour s’assurer qu’il ne contient aucune information non publique
  4. Examiner le contenu du système accessible au public tous les [Affectation : fréquence définie par l’organisation] pour vérifier s’il contient de l’information non publique et pour la supprimer, le cas échéant

Discussion

Conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables, le grand public n’est pas autorisé à accéder à de l’information non publique, y compris aux renseignements personnels, à l’information protégée en vertu de la LPRP et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et à l’information exclusive. Le contenu accessible au public concerne les systèmes contrôlés par l’organisation et accessibles au public, généralement sans l’application de mesures d’identification ou d’authentification. L’affichage d’information sur les systèmes non organisationnels (par exemple, sites Web publics non organisationnels, forums et médias sociaux) n’est pas couvert par une stratégie organisationnelle. Alors que les organisations peuvent compter sur des personnes qui sont responsables du développement et de la mise en œuvre de stratégies sur l’information pouvant être rendue publique, le contenu accessible au public concerne la gestion des personnes qui rendent l’information accessible au public.

Contrôles et activités connexes

AC-03, AT-02, AT-03 et AU-13.

Améliorations

Aucune.

Références

Aucune.

Haut de la page 
 

AC-23 Protection contre l’exploration de données

Contrôle

Employer des [Affectation : techniques de détection et de prévention de l’exploration de données définies par l’organisation] pour les [Affectation : objets de stockage de données définis par l’organisation] pour détecter l’exploration de données et protéger les systèmes contre celle-ci.

Discussion

L’exploration de données est un processus analytique qui tente de trouver des corrélations ou des tendances dans de grands ensembles de données aux fins de découverte de données ou de connaissances, et à l’occasion qui fait correspondre l’information concernant une personne entre les jeux de données (correspondance de données). Les objets de stockage de données comprennent les enregistrements de base de données et les champs de base de données. L’information sensible peut être extraite des opérations d’exploration de données. Lorsque l’information consiste en des renseignements personnels, elle peut conduire à des révélations inattendues sur les personnes et engendrer des risques d’atteinte à la vie privée. Avant toute activité d’exploration de données, ces risques doivent être identifiés, gérés et, le cas échéant, atténués. Avant de mener les activités d’exploration de données, les organisations déterminent si de telles activités sont autorisées par la loi.

Les techniques de détection et de prévention d’exploration de données incluent de limiter le nombre et la fréquence des requêtes de base de données afin d’augmenter le facteur de travail requis pour déterminer le contenu de telles bases de données, de limiter les types de réponses fournis aux requêtes de base de données, d’appliquer des techniques de protection de la vie privée différentielle ou de chiffrement homomorphique, et d’aviser le personnel lorsque des requêtes de base de données ou des accès irréguliers ont lieu. Aviser le personnel approprié lorsque des requêtes de base de données ou des accès irréguliers ont lieu est essentiel, car ils sont susceptibles de constituer une atteinte à la vie privée ou une violation de la sécurité. La protection contre l’exploration de données met l’accent sur la protection de l’information de l’organisation lorsque l’information est conservée dans des magasins de données. À l’inverse, le contrôle AU-13 porte sur la surveillance de diffusions inappropriées de l’information organisationnelle qui pourrait avoir été explorée ou obtenue de magasins de données et qui est maintenant offerte comme de l’information de sources ouvertes.

Discussion au sein du GC

La création de renseignements personnels est régie par les mêmes restrictions désignées dans la LPRP liées à la cueillette de renseignements personnels. Les organisations peuvent être assujetties aux lois, aux décrets, aux directives, aux règlements ou aux politiques applicables qui portent sur les exigences liées à l’exploration de données. Le personnel de l’organisation consulte la ou le haut fonctionnaire ou la cadre supérieure ou le cadre supérieur et la conseillère ou le conseiller juridique en matière de protection de la vie privée concernant de telles exigences.

Contrôles et activités connexes

PM-12 et PT-02.

Améliorations

Aucune.

Références

Aucune.

Haut de la page 
 

AC-24 Décisions de contrôle d’accès

Contrôle

[Sélection (un choix ou plus) : Établir les procédures; mettre en œuvre des mécanismes pour s’assurer que les [Affectation : décisions de contrôle d’accès définies par l’organisation] sont appliquées à chacune des demandes d’accès avant l’application de l’accès.

Discussion

Les décisions de contrôle d’accès (également appelées décisions d’autorisation) ont lieu lorsque l’information d’autorisation est appliquée à des accès précis. Par contre, l’application de l’accès se produit lorsque les systèmes appliquent les décisions de contrôle d’accès. Bien qu’il arrive couramment qu’une même entité mette en œuvre les décisions de contrôle d’accès et l’application de l’accès, il n’est pas nécessaire ni toujours optimal qu’une seule entité soit responsable de ces deux mises en œuvre. Pour certains systèmes distribués et certaines architectures, des entités différentes peuvent prendre les décisions de contrôle d’accès et appliquer l’accès.

Contrôles et activités connexes

AC-02 et AC-03.

Améliorations

  • (01) Décisions de contrôle d’accès : Transmission de l’information sur l’autorisation d’accès
    • Transmettre [Affectation : information d’autorisation d’accès définie par l’organisation] au moyen de [Affectation : contrôles définis par l’organisation] aux [Affectation : systèmes désignés par l’organisation] qui appliquent les décisions de contrôle d’accès.
    • Discussion : Les processus d’autorisation et les décisions de contrôle d’accès peuvent avoir lieu dans des parties distinctes des systèmes. Dans ce cas, l’information sur l’autorisation est transmise de façon sécurisée (par exemple, au moyen de mécanismes cryptographiques) afin que les décisions de contrôle d’accès puissent être appliquées aux emplacements appropriés. Afin d’appuyer les décisions de contrôle d’accès, il pourrait s’avérer nécessaire de transmettre les attributs de sécurité et de protection de la vie privée connexes avec l’information sur l’autorisation d’accès. En effet, dans les systèmes distribués, diverses décisions de contrôle d’accès doivent être prises en série par différentes entités qui ont toutes besoin de certains attributs de sécurité pour prendre les décisions. La protection de l’information sur l’autorisation d’accès permet d’empêcher que cette information soit modifiée, mystifiée ou compromise au cours de la transmission.
    • Contrôles et activités connexes : AU-10.
  • (02) Décisions de contrôle d’accès : Aucune identité d’utilisatrices, utilisateurs ou processus
    • Le système applique les décisions de contrôle d’accès en fonction des [Affectation : attributs de sécurité ou de protection de la vie privée définis par l’organisation] qui ne contiennent pas l’identité d’utilisatrices ou utilisateurs ni le processus exécuté en leur nom.
    • Discussion : Dans certaines situations, il est important que les décisions de contrôle d’accès soient prises sans information concernant l’identité des utilisatrices et utilisateurs présentant les demandes. La protection de la vie privée des personnes est alors de la plus haute importance. Dans d’autres situations, l’information d’identification des utilisatrices et utilisateurs n’est pas nécessaire pour les décisions de contrôle d’accès et, surtout dans le cas des systèmes distribués, la transmission de cette information avec le degré d’assurance requis pourrait être très coûteuse ou difficile à accomplir. Le MAC, le RBAC, le contrôle d’accès basé sur les attributs (ABAC) ainsi que les stratégies de contrôle basé sur les étiquettes, par exemple, pourraient ne pas inclure l’identité de l’utilisatrice ou utilisateur comme attribut.
    • Contrôles et activités connexes : Aucun.

Références

Aucune.

Haut de la page 
 

AC-25 Moniteur de référence

Contrôle

Mettre en œuvre un moniteur de référence pour les [Affectation : stratégies de contrôle d’accès définies par l’organisation] qui est résistant aux intrusions, systématiquement appelé et suffisamment simple pour faire l’objet d’une analyse et de tests dont l’exhaustivité peut être assurée.

Discussion

Un moniteur de référence est un ensemble d’exigences de conception sur un mécanisme de validation de référence qui, en tant qu’élément clé d’un système d’exploitation, applique une stratégie de contrôle d’accès à tous les sujets et objets. Un mécanisme de validation de référence est systématiquement appelé, résistant aux intrusions et suffisamment petit pour faire l’objet d’une analyse et de tests dont l’exhaustivité peut être assurée (c’est-à-dire vérifiable). L’information est représentée à l’interne dans les systèmes au moyen d’abstractions également appelées structures de données. Les structures de données internes peuvent représenter différents types d’entités actives et passives. Les entités actives, également appelées « sujets », sont associées à des personnes, à des dispositifs ou à des processus exécutés au nom des personnes. Les entités passives, également appelées « objets », sont associées à des structures de données comme des dossiers, des tampons, des ports de communications, des tableaux, des fichiers et des canaux interprocessus.

Les moniteurs de référence appliquent les stratégies de contrôle d’accès limitant l’accès aux objets en fonction de l’identité des sujets ou des groupes auxquels les sujets appartiennent. Le système applique la stratégie de contrôle d’accès en fonction des règles établies par la stratégie. La propriété de résistance aux intrusions du moniteur de référence empêche les adversaires de compromettre le fonctionnement du mécanisme de validation de référence. La propriété systématiquement appelée empêche les adversaires de contourner le mécanisme et d’enfreindre la politique de sécurité. La propriété de petite taille aide à assurer l’exhaustivité de l’analyse et des tests des mécanismes pour détecter les faiblesses ou les lacunes (c’est-à-dire les lacunes latentes) qui empêcheraient l’application de la stratégie de sécurité.

Contrôles et activités connexes

AC-03, AC-08, AC-16, SA-08, SA-17, SC-03, SC-11, SC-39 et SI-13.

Améliorations

Aucune.

Références

Aucune.

 
Précédent
Date de modification :