Sélection de la langue

Government of Canada / Gouvernement du Canada

Gestion des configurations

Précédent

Sur cette page

 

Les contrôles et les activités de la famille de gestion des configurations (CM pour Configuration Management) appuient la gestion et le contrôle de tous les composants du système, comme le matériel, les logiciels et les éléments de configuration.

CM-01 Stratégie et procédures de gestion des configurations

Activité

  1. Développer, consigner et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
    1. une politique de gestion des configurations [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
    2. des procédures pour faciliter la mise en œuvre des politiques de gestion des configurations et des contrôles de gestion des configurations connexes
  2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures liées à la gestion des configurations
  3. Passer en revue et mettre à jour, par rapport à la gestion des configurations,
    1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
    2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures de gestion des configurations abordent les contrôles de la famille CM qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures de gestion des configurations. En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système.

La politique peut être intégrée à la politique générale de sécurité et de protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations. Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de gestion des configurations comprennent, sans s’y limiter, les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, à la jurisprudence, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

PM-09, PS-08, SA-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

Haut de la page 
 

CM-02 Configuration de référence

Contrôle

  1. Élaborer, consigner et tenir à jour, dans le cadre du contrôle des configurations, une configuration de référence du système
  2. Passer en revue et mettre à jour la configuration de référence du système :
    1. [Affectation : fréquence définie par l’organisation]
    2. le cas échéant, selon [Affectation : circonstances définies par l’organisation]
    3. lorsque des composants du système sont installés ou modifiés

Discussion

Les configurations de référence pour les systèmes et les composants de systèmes incluent les éléments associés à la connectivité, à l’utilisation et aux communications. Les configurations de référence sont des spécifications des systèmes et des éléments de configuration connexes documentés dont on a convenu et qui font officiellement l’objet d’examens. Les versions, les publications ou les changements à venir concernant les systèmes reposent sur les configurations de référence. Elles comprennent des mises en œuvre des contrôles de sécurité et de protection de la vie privée, des procédures opérationnelles, de l’information sur les composants de système, la topologie de réseau et la disposition logique des composants au sein de l’architecture du système. La tenue à jour de ces configurations requiert la création de nouvelles bases de référence à mesure que les systèmes organisationnels évoluent. Les configurations de référence des systèmes sont conformes à l’architecture d’entreprise. Si le système facilite la collecte ou l’utilisation de renseignements personnels, les configurations de référence devraient inclure un énoncé de confidentialité fourni aux utilisatrices et utilisateurs.

Contrôles et activités connexes

AC-08, AC-19, AU-06, CA-09, CM-01, CM-03, CM-05, CM-06, CM-08, CM-09, CP-09, CP-10, CP-12, MA-02, PL-08, PM-05, SA-08, SA-10, SA-15 et SC-18.

Améliorations

  • (01) Configuration de référence : Examens et mises à jour
    • Annulé : Intégré au contrôle CM-02.
  • (02) Configuration de référence : Automatisation du soutien aux fins d’exactitude et d’actualité
    • Assurer l’actualité, le caractère exhaustif, l’exactitude et la disponibilité de la configuration de références pour le système en se servant de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Les outils de gestion des configurations, les outils d’inventaire de logiciels, de matériel et de micrologiciels, et les outils de gestion de réseau sont des mécanismes automatisés qui permettent de maintenir l’uniformité des configurations de référence des systèmes. Des outils d’automatisation peuvent être utilisés au niveau organisationnel, au niveau du processus lié à la mission et aux activités; au niveau du système sur les postes de travail, les serveurs, les ordinateurs blocs-notes, les composants réseau ou les appareils mobiles. Ils peuvent servir à faire le suivi des numéros de version des applications et des types de logiciel installés sur les systèmes d’exploitation de même que des niveaux des correctifs actuels. Les organisations qui choisissent de combiner l’inventaire de composants de système et des activités de configuration de référence peuvent répondre à l’automatisation du soutien aux fins d’exactitude et d’actualité en mettant en place le contrôle CM-08(02).
    • Contrôles et activités connexes : CM-07, IA-03 et RA-05.
  • (03) Configuration de référence : Conservation des configurations antérieures
    • Conserver [Affectation : nombre défini par l’organisation] versions de configurations de référence antérieures du système pour permettre le retour à la version précédente.
    • Discussion : La conservation de versions de configurations de référence antérieures du système pour permettre le retour à la version précédente implique de garder le matériel, les logiciels, les micrologiciels, et les fichiers et données de configuration ainsi que les documents connexes.
    • Contrôles et activités connexes : Aucun.
  • (04) Configuration de référence : Logiciels non autorisés
    • Annulé : Intégré au contrôle CM-07(04).
  • (05) Configuration de référence : Logiciels autorisés
    • Annulé : Intégré au contrôle CM-07(05).
  • (06) Configuration de référence : Environnements de test et de développement
    • Conserver pour les environnements de développement et de tests des systèmes une configuration de référence gérée séparément de la configuration de référence opérationnelle.
    • Discussion : L’établissement de configurations de référence distinctes pour les environnements opérationnels, de développement et de tests protège les systèmes contre les événements imprévus liés aux activités de développement et de tests. Les configurations de référence distinctes permettent aux organisations d’adopter la gestion de configuration qui convient le plus à chaque type de configuration. Par exemple, la gestion des configurations pour les environnements opérationnels est axée sur le besoin de stabilité, tandis que la gestion des configurations pour les environnements de développement et de tests requiert une flexibilité accrue.
      Les configurations utilisées dans un environnement de tests et dans un environnement opérationnel doivent se ressembler dans la mesure du possible afin que les résultats des tests soient représentatifs des changements que l’on propose d’apporter aux systèmes d’exploitation. Les configurations de référence distinctes n’ont pas nécessairement besoin d’environnements physiques séparés.
    • Contrôles et activités connexes : CM-04, SC-03 et SC-07.
  • (07) Configuration de référence : Configuration des systèmes et des composants pour des zones à risque élevé
      1. Remettre [Affectation : systèmes, composants de système désignés par l’organisation] dotés de [Affectation : configurations définies par l’organisation] aux personnes qui se rendent dans des endroits que l’organisation juge très risqués
      2. Appliquer les contrôles suivants aux systèmes ou aux composants de systèmes lorsque les personnes reviennent de voyage : [Affectation : contrôles définis par l’organisation]
    • Discussion : Lorsque l’on sait que des systèmes ou des composants de systèmes se retrouveront dans des secteurs à risque élevé extérieurs à l’organisation, il est possible de mettre en place des contrôles supplémentaires pour contrer la menace accrue associée à ces endroits. Par exemple, les organisations peuvent prendre des mesures pour les ordinateurs blocs-notes qu’utilisent les personnes qui partent en voyage et qui en reviennent. Les mesures comprennent de déterminer les lieux préoccupants, de définir les configurations requises pour les composants, de s’assurer que les composants sont configurés adéquatement avant le voyage et d’appliquer des contrôles aux composants au retour du voyage. Les ordinateurs blocs-notes spécialement configurés comprennent les ordinateurs dont le disque dur a été nettoyé, qui sont dotés d’un nombre limité d’applications et de paramètres de configuration plus stricts. Les contrôles appliqués aux appareils mobiles au retour du voyage comprennent un examen de l’appareil mobile afin de détecter des signes physiques de tentatives de modification, le nettoyage de la mémoire ou la recréation de l’image des lecteurs de disque. La protection de l’information contenue dans les appareils mobiles est traitée dans la famille Protection des supports (MP pour Media Protection).
    • Contrôles et activités connexes : MP-04 et MP-05.

Références

Haut de la page 
 

CM-03 Contrôle des changements de configuration

Contrôle

  1. Déterminer et consigner les types de changements apportés au système qui sont contrôlés par la configuration
  2. Examiner les changements proposés au système qui sont contrôlés par la configuration et les approuver ou les refuser en tenant compte explicitement des répercussions sur la sécurité et la protection de la vie privée
  3. Consigner les décisions liées aux changements de configuration du système
  4. Mettre en œuvre les changements approuvés au système qui sont contrôlés par la configuration
  5. Conserver les dossiers sur les changements contrôlés par la configuration du système pendant [Affectation : délais définis par l’organisation]
  6. Surveiller et examiner les activités associées aux changements contrôlés par la configuration visant le système
  7. Coordonner et surveiller les activités de contrôle des changements de configuration effectuées par [Affectation : élément de contrôle des changements de configuration défini par l’organisation] qui se réunit [Sélection (un choix ou plus) : [Affectation : fréquence définie par l’organisation]; lorsque [Affectation : conditions de changement de configuration définies par l’organisation]]

Discussion

Le contrôle des changements apportés à la configuration des systèmes organisationnels comprend la proposition systématique, la justification, la mise en œuvre, les tests, l’examen et l’application de changements aux systèmes, y compris leurs mises à niveau et leurs modifications. Le contrôle des changements apportés à la configuration comprend les changements liés aux configurations de référence, les éléments de configuration des systèmes, les procédures opérationnelles, les paramètres de configuration pour les composants du système, les vulnérabilités atténuées et les changements non prévus ou non autorisés. Les processus liés à la gestion des changements apportés à la configuration des systèmes comprennent les conseils de gestion des configurations ou les comités consultatifs sur les changements qui examinent et approuvent les changements proposés. Pour les nouveaux systèmes ou les mises à jour majeures, les organisations considèrent d’inclure des représentantes et représentants des organisations de développement aux conseils de gestion des configurations ou aux comités consultatifs sur les changements. La vérification des changements comprend les activités qui ont eu lieu avant ou qui auront lieu après que les changements soient apportés aux systèmes et que les activités de vérification nécessaires appliquent ces changements. Prière de consulter le contrôle SA-10.

Discussion au sein du GC

Pour les changements ayant une incidence sur les risques d’atteinte à la vie privée, la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée met à jour les EFVP et les FRP.

Contrôles et activités connexes

CA-07, CM-02, CM-04, CM-05, CM-06, CM-09, CM-11, IA-03, MA-02, PE-16, PT-06, RA-08, SA-08, SA-10, SC-28, SC-34, SC-37, SI-02, SI-03, SI-04, SI-07, SI-10 et SR-11.

Améliorations

  • (01) Contrôle des changements de configuration : Automatisation concernant la documentation, les avis et les interdictions de changements
    • Utiliser des [Affectation : mécanismes automatisés définis par l’organisation] pour
      1. consigner les changements proposés au système
      2. aviser [Affectation : autorités d’approbation définies par l’organisation] des changements proposés au système et des demandes de changement approuvées
      3. souligner les changements proposés au système qui n’ont pas été approuvés ou qui ont été jugés défavorables avant [Affectation : délais définis par l’organisation]
      4. interdire tout changement au système jusqu’à l’obtention des approbations requises
      5. documenter tous les changements proposés au système
      6. aviser [Affectation : liste des employées et employés définie par l’organisation] des changements au système approuvés
    • Discussion : Aucune.
    • Contrôles et activités connexes : Aucun.
  • (02) Contrôle des changements de configuration : Tests, validation et documentation des changements
    • Tester, valider et consigner les changements au système avant de les mettre en œuvre dans le système.
    • Discussion : Les changements aux systèmes englobent les modifications aux composants matériels, logiciels ou micrologiciels ainsi qu’aux paramètres de configuration définis dans le contrôle CM-06. Les organisations veillent à ce que les tests n’interfèrent pas avec les opérations du système. Les personnes ou les groupes chargés des tests comprennent les stratégies et les procédures de sécurité et de protection de la vie privée, les stratégies et les procédures de sécurité et de protection de la vie privée liées au système et les risques propres à la santé, à la sécurité et à l’environnement qui sont associés à certaines installations ou à certains processus. Il peut arriver que l’on doive mettre hors ligne des systèmes d’exploitation, ou les reproduire autant que possible, avant de pouvoir effectuer des tests. Si les systèmes doivent être mis hors ligne, il faut que ce soit durant une période d’interruption prévue, dans la mesure du possible. S’il est impossible de mener des tests sur les systèmes d’exploitation, les organisations doivent utiliser des contrôles de compensation.
    • Contrôles et activités connexes : Aucun.
  • (03) Contrôle des changements de configuration : Mise en œuvre automatisée des changements
    • Apporter des changements au système de référence actuel et les déployer ensuite dans tout le système au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Des outils automatisés peuvent accroître l’exactitude, la cohérence et la disponibilité de l’information de référence sur la configuration. L’automatisation peut aussi fournir des capacités en matière d’agrégation et de corrélation de données, des mécanismes d’alerte et des tableaux de bord pour soutenir la prise de décisions fondée sur le risque au sein de l’organisation.
    • Contrôles et activités connexes : Aucun.
  • (04) Contrôle des changements de configuration : Représentantes et représentants de la sécurité et de la protection de la vie privée
    • Exiger [Affectation : qu’une représentante ou un représentant de la sécurité et de la protection de la vie privée défini par l’organisation] soit membre de [Affectation : élément de contrôle des changements de configuration défini par l’organisation].
    • Discussion : Les représentantes et représentants en matière de sécurité et de protection de la vie privée de l’information comprennent les responsables de la sécurité des systèmes, les cadres supérieures et supérieurs de la gouvernance en matière de sécurité du ministère, les gardiennes et gardiens de la sécurité ou les hautes et hauts fonctionnaires ou cadres supérieures et supérieurs en matière de protection de la vie privée. Il est important d’avoir parmi le personnel des représentantes et représentants qui sont dotés d’une expertise en sécurité de l’information, car les changements aux configurations des systèmes peuvent avoir des répercussions imprévues, dont certaines pouvant avoir trait à la sécurité ou à la protection de la vie privée. La détection rapide de ces changements permet d’éviter des conséquences négatives inattendues qui pourraient avoir des conséquences sur l’état de sécurité et de protection de la vie privée des systèmes. L’élément de contrôle des changements de configuration dont il est question dans le second paramètre défini par l’organisation reflète ceux définis par l’organisation dans le contrôle CM-03G.
    • Contrôles et activités connexes : Aucun.
  • (05) Contrôle des changements de configuration : Mesures de sécurité automatisées
    • Mettre automatiquement en place les mesures de sécurité suivantes lorsque des configurations de référence sont modifiées sans autorisation : [Affectation : mesures de sécurité définies par l’organisation].
    • Discussion : Les mesures de sécurité automatisées comprennent l’interruption du traitement du système et de certaines fonctions du système ou la publication d’avis ou d’alertes à l’intention du personnel de l’organisation lorsqu’un élément de configuration est modifié sans autorisation.
    • Contrôles et activités connexes : Aucun.
  • (06) Contrôle des changements de configuration : Gestion de la cryptographie
    • S’assurer que les mécanismes cryptographiques utilisés pour fournir les contrôles suivants soient intégrés à la gestion des configurations : [Affectation : contrôles définis par l’organisation].
    • Discussion : Les contrôles mentionnés dans l’amélioration du contrôle font référence aux contrôles de sécurité et de protection de la vie privée tirés du catalogue des contrôles. Peu importe les mécanismes cryptographiques employés, des processus et des procédures sont en place pour gérer ceux-ci. Par exemple, si des composants de systèmes utilisent des certificats aux fins d’identification et d’authentification, il faut mettre en place un processus pour prendre des mesures concernant l’expiration de ces certificats.
    • Contrôles et activités connexes : SC-12.
  • (07) Contrôle des changements de configuration : Examen des changements apportés au système
    • Passer en revue les changements apportés au système [Affectation : fréquence définie par l’organisation] et [Affectation : circonstances définies par l’organisation] pour déterminer si des changements non autorisés ont été apportés.
    • Discussion : Des indications qui justifient l’examen des changements au système et les circonstances précises qui justifient ce besoin peuvent découler d’activités menées par des organisations durant le processus de changement de configuration ou le processus de surveillance continue. Pour les systèmes qui facilitent la collecte ou l’utilisation de renseignements personnels, des changements importants apportés au système quant au processus opérationnel ou à la logique applicative peuvent donner lieu à l’exigence relative à une EFVP.
    • Contrôles et activités connexes : AU-06, AU-07 et CM-03.
  • (08) Contrôle des changements de configuration : Empêcher ou limiter les changements de configuration
    • Empêcher ou limiter les changements à la configuration du système dans les situations suivantes : [Affectation : circonstances définies par l’organisation].
    • Discussion : Les changements apportés à la configuration du système peuvent nuire aux fonctions de sécurité et de protection de la vie privée des systèmes essentiels. Les restrictions liées aux changements peuvent être appliquées au moyen de mécanismes automatisés.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

CM-04 Analyses des répercussions

Contrôle

Analyser les changements visant le système pour déterminer les répercussions possibles sur la sécurité et la protection de la vie privée avant leur mise en œuvre.

Discussion

Le personnel de l’organisation qui assume des responsabilités liées à la sécurité et à la protection de la vie privée procède aux analyses des répercussions. Ces personnes possèdent les compétences et l’expertise technique nécessaires pour analyser les changements apportés aux systèmes et leurs ramifications sur le plan de la sécurité et de la protection de la vie privée. Les analyses des répercussions comprennent les éléments suivants : examiner les plans, les stratégies et les procédures de sécurité et de protection de la vie privée afin de comprendre les exigences en matière de contrôle; examiner la documentation de conception et les procédures opérationnelles du système afin de comprendre la mise en œuvre des contrôles et les répercussions qu’ils pourraient avoir sur les changements apportés au système; examiner les répercussions que peuvent entraîner les changements de partenaires de la chaîne d’approvisionnement sur les parties prenantes; et déterminer la manière dont les changements potentiels apportés au système peuvent créer de nouveaux risques pour la vie privée des personnes. Les analyses des répercussions peuvent également comprendre les évaluations des risques visant à bien saisir l’incidence des changements et à déterminer si des contrôles de sécurité supplémentaires sont requis. La réalisation d’une EFVP permet de vérifier la conformité des mesures de protection de la vie privée en faisant appel aux principes de traitement équitable de l’information afin de déterminer en quoi les changements potentiels apportés au système peuvent créer de nouveaux risques pour la vie privée des personnes et la capacité des contrôles mis en œuvre d’atténuer ces risques.

Discussion au sein du GC

Si le système facilite une prise de décision automatisée, il pourrait également être nécessaire de réaliser une évaluation de l’incidence algorithmique et de communiquer les résultats finaux avant qu’un système décisionnel automatisé ne soit produit.

Contrôles et activités connexes

CA-07, CM-03, CM-08, CM-09, MA-02, RA-03, RA-05, RA-08, SA-05, SA-08, SA-10 et SI-02.

Améliorations

  • (01) Analyses des répercussions : Environnements de test distincts
    • Analyser les changements apportés au système dans un environnement de test distinct avant de les appliquer dans un environnement opérationnel afin de déceler toute lacune, faiblesse, incompatibilité ou intention malveillante susceptible d’influer sur la sécurité et la protection de la vie privée.
    • Discussion : Un environnement de test distinct doit être physiquement et logiquement séparé et distinct de l’environnement opérationnel. La séparation suffit à faire en sorte que les activités menées dans l’environnement de test n’influent aucunement sur les activités effectuées dans l’environnement opérationnel, et l’information se trouvant dans l’environnement opérationnel n’est pas transmise à l’environnement de test par inadvertance. Il est possible de distinguer les environnements de façon physique ou logique. Lorsque les environnements de tests séparés physiquement ne sont pas appliqués, les organisations déterminent la force du mécanisme qui est requise lorsqu’elles appliquent la séparation de façon logique.
    • Contrôles et activités connexes : SA-11 et SC-07.
  • (02) Analyses des répercussions : Vérification des contrôles
    • Après les changements apportés au système, s’assurer que les contrôles ont été mis en œuvre correctement, qu’ils fonctionnent comme prévu et qu’ils produisent les résultats escomptés tout en respectant les exigences relatives à la sécurité et à la protection de la vie privée du système.
    • Discussion : Dans ce contexte, on entend par mise en œuvre l’installation du code modifié dans le système opérationnel pouvant avoir une incidence sur les contrôles de sécurité et de protection de la vie privée.
    • Contrôles et activités connexes : SA-11, SC-03 et SI-06.

Références

Haut de la page 
 

CM-05 Restrictions d’accès associées changements

Contrôle

Définir, documenter, approuver et appliquer les restrictions d’accès physiques et logiques associées aux changements apportés au système.

Discussion

Les changements apportés aux composants matériels, logiciels ou micrologiciels des systèmes ou aux procédures opérationnelles associées au système peuvent avoir des répercussions importantes sur la sécurité du système ou la vie privée des personnes. Les organisations doivent donc accorder l’accès aux systèmes seulement aux personnes qualifiées et autorisées et seulement pour effectuer les changements. Les restrictions d’accès incluent les contrôles d’accès physiques et logiques (voir AC-03 et PE-03), les bibliothèques de logiciels, l’automatisation de flux de travaux, les médiathèques, les couches abstraites (c’est-à-dire les changements mis en œuvre dans les interfaces externes plutôt que directement dans les systèmes) et les fenêtres de changement (c’est-à-dire les changements sont appliqués seulement à des moments précis).

Contrôles et activités connexes

AC-03, AC-05, AC-06, CM-09, PE-03, SC-28, SC-34, SC-37, SI-02 et SI-10.

Améliorations

  • (01) Restriction d’accès associées aux changements : Enregistrements de vérification et d’application des restrictions d’accès automatisées
      1. Appliquer des [Affectation : mécanismes automatisés définis par l’organisation].
      2. Générer automatiquement des enregistrements de vérification des mesures appliquées.
    • Discussion : Les organisations assurent la journalisation des accès au système associés à l’application des changements de configuration pour s’assurer que le contrôle de ces changements est en place et pour appuyer les interventions après coup dans l’éventualité où les organisations détecteraient un changement non autorisé au système.
    • Contrôles et activités connexes : AU-02, AU-06, AU-07, AU-12, CM-06, CM-11 et SI-12.
  • (02) Restriction d’accès associés aux changements : Examen des changements apportés au système
    • Annulé : Intégré au contrôle CM-03(07).
  • (03) Restriction d’accès associés aux changements : Composants signés
    • Annulé : Transféré sous le contrôle CM-14.
  • (04) Restriction d’accès associés aux changements : Double autorisation
    • Appliquer le principe d’autorisation double avant d’apporter des changements à [Affectation : information système et composants du système définis par l’organisation].
    • Discussion : Les organisations ont recours au principe d’autorisation double pour veiller à ce qu’aucun changement ne soit apporté à certains composants de système et aux données système à moins que deux personnes qualifiées mettent en œuvre les changements voulus. Ces deux personnes doivent posséder les compétences et l’expertise pour déterminer si les changements proposés représentent des applications adéquates des changements approuvés. Les personnes sont également imputables des changements. La double autorisation est également appelée le contrôle par deux personnes. Pour réduire le risque de collusion, les organisations considèrent la rotation des tâches à double autorisation avec d’autres particuliers. L’information au niveau du système comprend les procédures opérationnelles.
    • Contrôles et activités connexes : AC-02, AC-05 et CM-03.
  • (05) Restriction d’accès associés aux changements : Limite des privilèges pour la production et l’opération
      1. Limiter les privilèges relatifs à la modification des composantes du système ainsi que de l’information relative au système dans un environnement opérationnel ou de production
      2. Examiner et réévaluer les privilèges [Affectation : fréquence définie par l’organisation]
    • Discussion : Dans bon nombre d’organisations, les systèmes appuient plusieurs fonctions essentielles liées à la mission et aux activités de l’organisation. Il faut limiter les privilèges liés aux changements à apporter aux composants de système des systèmes d’exploitation, car le fait d’apporter des changements à un composant de système peut avoir de graves conséquences sur les processus liés à la mission et aux activités que prend en charge le système. Parfois, les développeuses et développeurs ne connaissent pas les liens qui existent entre les systèmes et les processus liés à la mission et aux activités de l’organisation. L’information liée au système comprend les procédures opérationnelles.
    • Contrôles et activités connexes : AC-02.
  • (06) Restriction d’accès associés aux changements : Privilèges de bibliothèque limités
    • Limiter les privilèges permettant de changer les logiciels résidants de la bibliothèque de logiciels.
    • Discussion : Les bibliothèques de logiciels comportent des programmes privilégiés.
    • Contrôles et activités connexes : AC-02.
  • (07) Restriction d’accès associés aux changements : Automatisation de la mise en œuvre de mécanismes de sécurité
    • Annulé : Intégré au contrôle SI-07.

Références

Haut de la page 
 

CM-06 Paramètres de configuration

Contrôle:

  1. Établir et documenter les paramètres de configuration des composants employés dans le système qui cadrent avec le mode le plus rigoureux sur le plan des exigences opérationnelles à l’aide de [Affectation : configurations sécurisées communes définies par l’organisation]
  2. Mettre en œuvre les paramètres de configuration
  3. Déterminer, documenter et approuver tout écart en ce qui a trait aux paramètres de configuration établis pour [Affectation : composants de système définis par l’organisation] en tenant compte de [Affectation : exigences opérationnelles définies par l’organisation]
  4. Surveiller et contrôler les changements apportés aux paramètres de configuration conformément à ses stratégies et procédures

Discussion

Les paramètres de configuration représentent les paramètres pouvant être modifiés dans les composants matériels, logiciels ou micrologiciels du système et qui affectent la posture de sécurité ou de protection de la vie privée ou encore le fonctionnement du système. Les produits de technologie de l’information pour lesquels il est possible de définir les paramètres de configuration comptent les ordinateurs centraux, les serveurs, les postes de travail, les systèmes d’exploitation, les appareils mobiles, les périphériques d’entrée et de sortie, les protocoles et les applications. Les paramètres qui ont une incidence sur la posture de sécurité des systèmes comprennent les paramètres de registre, les paramètres d’autorisation pour les comptes, les fichiers et les répertoires et les paramètres pour les fonctions, les ports, les services et les connexions distantes. Les paramètres de protection de la vie privée sont les paramètres qui ont une incidence sur la posture de protection de la vie privée des systèmes, y compris les paramètres nécessaires pour répondre à d’autres contrôles de protection de la vie privée. Les paramètres de protection de la vie privée incluent les exigences liées au contrôle d’accès, aux renseignements personnels, à la précision des données, aux capacités de manipulation des données, aux préférences de traitement des données et aux permissions de traitement et de rétention de l’information. Les organisations doivent établir des paramètres de configuration à l’échelle de l’organisation et par la suite des paramètres de configuration particuliers pour les systèmes. Les paramètres établis deviennent des éléments de la base de référence de la configuration pour le système.

Les configurations sécurisées communes (que l’on appelle également les listes de vérification concernant la configuration de sécurité, les guides de confinement et de renforcement, et les guides de référence pour la sécurité) fournissent des points de repère reconnus, normalisés et établis qui stipulent les paramètres de configuration sécurisée associés à des plateformes ou à des produits de technologies de l’information ainsi que des instructions pour la configuration de ces produits afin de répondre aux exigences opérationnelles. Diverses organisations peuvent développer des configurations sécurisées communes, y compris les développeuses et développeurs de produits TI, les fabricants, les fournisseurs, les organismes fédéraux, les consortiums, le milieu universitaire, l’industrie ainsi que d’autres organisations des secteurs public et privé.

La mise en œuvre de configurations sécurisées communes peut être demandée au niveau organisationnel, au niveau du processus lié à la mission et aux activités; au niveau du système, ou à un niveau supérieur, y compris par un organisme de réglementation. Les configurations sécurisées communes comprennent les exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022), les Common Criteria Evaluated Configuration Guides (en anglais), et les Security Technical Implementation Guides (STIG) du Department of Defense (DoD) des États-Unis, qui touchent la mise en œuvre du contrôle CM-06 ainsi que d’autres contrôles comme AC-19 et CM-07. Le protocole SCAP (pour Security Content Automation Protocol) et les normes qu’il définit offrent une méthode efficace et unique d’identification, de suivi et de contrôle des paramètres de configuration.

Contrôles et activités connexes

AC-03, AC-19, AU-02, AU-06, CA-09, CM-02, CM-03, CM-05, CM-07, CM-11, CP-07, CP-09, CP-10, IA-03, IA-05, PL-08, PL-09, RA-05, SA-04, SA-05, SA-08, SA-09, SC-18, SC-28, SC-43, SI-02, SI-04 et SI-06.

Améliorations

  • (01) Paramètres de configuration : Gestion, application et vérification automatisées
    • Gérer, appliquer et vérifier les paramètres de configuration pour [Affectation : composants de systèmes définis par l’organisation] au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Des outils automatisés (par exemple, outils de renforcement, outils de configuration de base) peuvent accroître l’exactitude, la cohérence et la disponibilité de l’information des paramètres de configuration. L’automatisation peut aussi fournir des capacités en matière de regroupement de données et de corrélation de données, des mécanismes d’alerte et des tableaux de bord pour soutenir la prise de décisions fondée sur le risque au sein de l’organisation.
    • Contrôles et activités connexes : CA-07.
  • (02) Paramètres de configuration : Intervention lorsque des changements non autorisés sont apportés
    • Prendre les mesures suivantes pour intervenir lorsque des changements non autorisés sont apportés aux [Affectation : paramètres de configuration définis par l’organisation] : [Affectation : actions définies par l’organisation].
    • Discussion : Les interventions en cas de changement non autorisé des paramètres de configuration comprennent le signalement au personnel désigné par l’organisation, la restauration des paramètres de configuration établis ou, dans des cas extrêmes, l’interruption du traitement du système en cause.
    • Contrôles et activités connexes : IR-04, IR-06 et SI-07.
  • (03) Paramètres de configuration : Détection de changement non autorisé
    • Annulé : Intégré au contrôle SI-07.
  • (04) Paramètres de configuration : Démonstration de conformité
    • Annulé : Intégré au contrôle CM-04.

Références

Haut de la page 
 

CM-07 Fonctionnalité minimale

Contrôle:

  1. Configurer le système pour fournir uniquement des [Affectation : capacités essentielles à la mission définies par l’organisation]
  2. Interdire ou restreindre l’utilisation des fonctions, des ports, des protocoles, des logiciels et des services suivants : [Affectation : fonctions, ports, protocoles, logiciels ou services du système interdits ou restreints définis par l’organisation]

Discussion

Les systèmes peuvent offrir une grande variété de fonctions et de services. Il se peut que certaines des fonctions et certains des services fournis régulièrement par défaut ne soient pas nécessaires pour appuyer la mission, les fonctions ou les opérations essentielles de l’organisation. Il est en outre parfois utile d’offrir plusieurs services à partir d’un composant de système unique. Or, cette façon de faire représente un risque accru comparativement au fait de limiter les services fournis par ce seul composant.

Dans la mesure du possible, les organisations doivent limiter la fonctionnalité des composants à une seule fonction par composant. Les organisations doivent envisager de désactiver les protocoles et les ports physiques et logiques inutilisés ou qui ne sont pas nécessaires afin d’empêcher les connexions non autorisées des composants, les transferts d’information et la tunnellisation. Elles ont recours à des outils d’analyse de réseau, à des systèmes de détection et de prévention d’intrusions et à des technologies de protection de point terminal (pare-feu, systèmes de détection d’intrusions intégré, etc.) pour identifier les fonctions, les protocoles, les ports et les services interdits et en empêcher l’utilisation.

Une fonctionnalité minimale peut aussi être atteinte dans le cadre de la conception et de l’élaboration fondamentales du système (voir les contrôles SA-08, SC-02 et SC-03). Pour ce qui est du concept de la fonctionnalité minimale, il faut s’efforcer de limiter le volume de renseignements personnels à ce que le système exige pour ainsi réduire les répercussions advenant une violation.

Contrôles et activités connexes

AC-03, AC-04, CM-02, CM-05, CM-06, CM-11, RA-05, SA-04, SA-05, SA-08, SA-09, SA-15, SC-02, SC-03, SC-07, SC-37, SI-04 et SI-400.

Améliorations

  • (01) Fonctionnalité minimale : Examen périodique
      1. Examiner le système tous les [Affectation : fréquence définie par l’organisation] afin d’établir les fonctions, les ports, les protocoles, les logiciels et les services non nécessaires
      2. Désactiver ou retirer [Affectation : fonctions, ports, protocoles et services du système jugés inutiles ou non sécurisés définis par l’organisation]
    • Discussion : Les organisations doivent examiner les fonctions, les ports, les protocoles et les services fournis par le système ou les composants de systèmes afin de déterminer ceux qui peuvent être éliminés. Ces examens sont particulièrement importants lors de la période de transition pour passer des anciennes technologies aux nouvelles technologies (par exemple, le passage des protocoles IPv4 à IPv6). Ces transitions de technologiques peuvent nécessiter de mettre en œuvre de manière simultanée les anciennes et les nouvelles technologies pendant la période de transition et de retourner à des fonctions, à des ports, à des protocoles et à des services essentiels minimums dans les meilleurs délais. Les organisations peuvent déterminer la sécurité relative de la fonction, du port, du protocole ou du service ou baser sa décision en matière de sécurité sur l’évaluation d’autres entités. Les services Bluetooth, FTP et pair à pair sont des exemples de protocoles non sécurisés.
    • Contrôles et activités connexes : AC-18.
  • (02) Fonctionnalité minimale : Prévention de l’exécution des programmes
    • Empêcher l’exécution des programmes conformément à [Sélection (un choix ou plus) : [Affectation : stratégies, règles de conduite et ententes d’accès sur l’utilisation de programmes informatiques et restrictions connexes définies par l’organisation]; règles d’autorisation des modalités d’utilisation d’un programme informatique].
    • Discussion : La prévention de l’exécution des programmes définit les stratégies, les règles de conduite ou les ententes d’accès de l’organisation qui limitent l’utilisation des logiciels et les conditions générales d’utilisation imposées par le développeur ou le fabricant, y compris l’octroi de licences de logiciel et les droits d’auteur. Les restrictions impliquent d’empêcher l’auto-exécution de fonctionnalités, de restreindre les rôles autorisés pour l’approbation de l’exécution des programmes, d’autoriser ou d’interdire des programmes informatiques précis, ou de restreindre le nombre d’instances de programmes exécutés simultanément.
    • Contrôles et activités connexes : CM-08, PL-04, PL-09, PM-05 et PS-06.
  • (03) Fonctionnalité minimale : Conformité aux exigences d’enregistrement
    • Assurer la conformité avec [Affectation : exigences d’enregistrement définies par l’organisation pour des fonctions, des ports, des protocoles et des services].
    • Discussion : Les organisations utilisent le processus d’enregistrement pour gérer, faire le suivi et surveiller les systèmes et les fonctions, les ports, les protocoles et les services mis en œuvre.
    • Contrôles et activités connexes : Aucun.
  • (04) Fonctionnalité minimale : Logiciel non autorisé – Interdire par exception
      1. Identifier les [Affectation : programmes informatiques ne pouvant pas être exécutés sur le système définis par l’organisation]
      2. Recourir à une stratégie tout permettre, interdire par exception pour empêcher l’exécution des programmes informatiques non autorisés sur le système
      3. Passer en revue et mettre à jour la liste des programmes informatiques autorisés tous les [Affectation : fréquence définie par l’organisation]
    • Discussion : Les programmes informatiques non autorisés peuvent être limités à des versions ou à des sources particulières. Le concept visant à interdire l’exécution de logiciels non autorisés pourrait également s’appliquer à des actions propres aux utilisatrices et utilisateurs, à des ports et protocoles de système, à des adresses IP ou à des plages d’adresses IP, à des sites Web et à des adresses MAC.
    • Contrôles et activités connexes : CM-06, CM-08, CM-10, PL-09 et PM-05.
  • (05) Fonctionnalité minimale : Logiciels autorisés − Autorisation par exception
      1. Identifier les [Affectation : programmes informatiques pouvant être exécutés sur le système définis par l’organisation]
      2. Recourir à une stratégie tout interdire, autoriser par exception pour permettre l’exécution des programmes informatiques autorisés sur le système
      3. Passer en revue et mettre à jour la liste des programmes informatiques autorisés tous les [Affectation : fréquence définie par l’organisation]
    • Discussion : Les programmes informatiques autorisés peuvent être limités à des versions ou à des sources particulières. Afin de favoriser un processus complet de gestion des logiciels autorisés et de renforcer la protection contre les attaques qui contournent les logiciels autorisés au niveau de l’application, les programmes informatiques peuvent être décomposés en différents niveaux de détail et surveillés. Ces niveaux incluent les applications, les interfaces de programmation d’applications (API pour Application Programming Interface), les modules d’application, les scripts, les processus système, les services système, les fonctions noyau, les registres, les pilotes et les bibliothèques de liens dynamiques. Le concept visant à autoriser l’exécution de logiciels autorisés pourrait également s’appliquer à des actions propres aux utilisatrices et utilisateurs, à des ports et protocoles de système, à des adresses IP ou à des plages d’adresses IP, à des sites Web et à des adresses MAC. Les organisations doivent envisager de vérifier l’intégrité des programmes informatiques autorisés à l’aide de signatures numériques, de totaux de contrôle cryptographique ou de fonctions de hachage. La vérification des logiciels peut s’effectuer avant l’exécution du système ou au démarrage du système. L’identification d’adresses URL autorisées pour des sites Web est abordée dans les contrôles CA-03(05) et SC-07.
    • Contrôles et activités connexes : CM-02, CM-06, CM-08, CM-10, PL-09, PM-05, SA-10, SC-34 et SI-07.
  • (06) Fonctionnalité minimale : Environnements clos aux privilèges restreints
    • Exiger que les logiciels installés par l’utilisatrice ou utilisateur désignés soient exécutés dans un environnement physique clos ou un environnement clos de machine virtuelle dont les privilèges sont restreints : [Affectation : logiciels installés par les utilisatrices ou utilisateurs désignés par l’organisation].
    • Discussion : Les organisations déterminent quels sont les logiciels dont la provenance est une source de préoccupations ou qui pourraient contenir du code malveillant. Pour ce type de logiciel, l’installation par l’utilisatrice ou utilisateur a lieu dans un environnement opérationnel clos pour limiter ou contenir les dommages des programmes malveillants qui pourraient être exécutés.
    • Contrôles et activités connexes : CM-11 et SC-44.
  • (07) Fonctionnalité minimale : Exécution de code dans des environnements protégés
    • Permettre l’exécution de code binaire ou exécutable sur machine uniquement dans un environnement physique clos ou dans un environnement clos de machine virtuelle avec l’approbation explicite de [Affectation : personnel ou rôles définis par l’organisation] lorsqu’un tel code
      1. provient de sources qui n’offrent pas de garantie ou qui offrent une garantie limitée
      2. dans les cas où ils n’offrent pas le code source
    • Discussion : L’exécution de code dans des environnements protégés s’applique à toutes les sources de code binaire ou exécutable sur machine, notamment, les logiciels et micrologiciels commerciaux et les logiciels de source ouverte.
    • Contrôles et activités connexes : CM-10 et SC-44.
  • (08) Fonctionnalité minimale : Code binaire ou exécutable sur machine
      1. Interdire l’utilisation de code binaire ou exécutable sur machine provenant de sources qui n’offrent pas de garantie ou qui offrent une garantie limitée dans les cas où il n’y a pas de code source
      2. Permettre des exceptions uniquement dans situations urgentes liées à la mission ou aux besoins opérationnels et avec le consentement écrit exprès de l’autorité responsable
    • Discussion : Le code binaire ou exécutable sur machine s’applique à toutes les sources de code binaire ou exécutable sur machine, notamment, les logiciels et micrologiciels commerciaux et les logiciels de source ouverte. Les produits logiciels sans code source ou provenant de fournisseurs qui n’offrent pas de garantie ou qui offrent une garantie limitée, sont évalués sur le plan de leurs répercussions potentielles sur la sécurité. Les évaluations tiennent compte du fait que ces produits logiciels sont difficiles à examiner, à réparer ou à développer. De plus, il pourrait n’y avoir aucune ou aucun propriétaire en mesure d’effectuer ces réparations au nom de l’organisation. Si des logiciels de source ouverte sont utilisés, les évaluations tiennent compte du fait qu’il n’y a pas de garantie, que les logiciels de source ouverte pourraient contenir des portes dérobées ou des maliciels, et qu’il pourrait ne pas y avoir de soutien offert.
    • Contrôles et activités connexes : SA-05 et SA-22.
  • (09) Fonctionnalité minimale : Empêcher l’utilisation de composants matériels non autorisés
      1. Identifier [Affectation : composants matériels autorisés définis par l’organisation pour l’utilisation du système]
      2. Empêcher l’utilisation ou la connexion de composants matériels non autorisés
      3. Passer en revue et mettre à jour la liste des composants matériels autorisés tous les [Affectation : fréquence définie par l’organisation]
    • Discussion : Les composants matériels fournissent la base pour les systèmes de l’organisation et la plateforme permettant l’exécution des programmes informatiques. Gérer l’inventaire des composants matériels et contrôler les composants matériels qui sont autorisés à être installés ou connectés aux systèmes de l’organisation est essentiel pour assurer une sécurité adéquate.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

CM-08 Inventaire des composants de système

Contrôle

  1. Élaborer et documenter un inventaire des composants de systèmes qui
    1. illustre exactement le système
    2. comprend tous les composants dans le système
    3. ne comprend aucune comptabilisation en double des composants ou des composants attribués à un autre système
    4. est au niveau de granularité jugé nécessaire aux fins de suivi et de production de rapports
    5. comprend l’information suivante pour assurer la comptabilisation des composants de systèmes : [Affectation : information définie par l’organisation et jugée nécessaire à la comptabilisation efficace des composants de système]
  2. Passer en revue et mettre à jour l’inventaire des composants du système tous les [Affectation : fréquence définie par l’organisation]

Discussion

Les composants des systèmes sont des biens de TI discrets et identifiables qui comprennent le matériel, les logiciels et les micrologiciels. Les organisations peuvent choisir de mettre en place des inventaires de composants des systèmes centralisés qui contiennent les composants de tous les systèmes organisationnels. Dans de telles situations, les organisations doivent s’assurer que les inventaires comportent de l’information propre au système requise pour la comptabilisation des composants. L’information nécessaire pour une comptabilisation efficace des composants du système comprend le nom du système, les propriétaires des logiciels, les numéros de version des logiciels, les spécifications de l’inventaire du matériel, l’information sur les licences de logiciels, les composants réseau, les noms des machines et les adresses réseau pour tous les protocoles mis en œuvre (par exemple, IPv4 et IPv6). Les spécifications de l’inventaire comprennent la date de réception, le coût, le modèle, le numéro de série, le fabricant, les données sur le fournisseur, le type de composant et l’emplacement physique.

Prévenir la comptabilisation en double des composants d’un système permet de remédier au manque de comptabilisation qui se produit lorsque la propriété des composants et l’association au système ne sont pas connues, plus particulièrement dans des vastes ou complexes systèmes connectés. Une prévention efficace de la comptabilisation en double des composants d’un système nécessite le recours à un identifiant unique pour chaque composant. Pour l’inventaire des logiciels, les logiciels gérés de manière centralisée et dont l’accès se fait par d’autres systèmes sont traités comme un composant du système sur lequel il est installé et géré. Les logiciels installés sur plusieurs systèmes organisationnels et gérés au niveau du système sont traités pour chaque système individuel et ils peuvent apparaître plus d’une fois dans un inventaire centralisé de composants, ce qui nécessite une association au système pour chaque instance logicielle dans l’inventaire centralisé pour éviter une comptabilisation en double des composants. Analyser des systèmes qui mettent en œuvre plusieurs protocoles réseau (par exemple, IPv4 et IPv6) peut faire en sorte que des composants en double peuvent être répertoriés dans différents espaces d’adresses. La mise en œuvre du contrôle CM-08(07) peut aider à éliminer la comptabilisation en double de composants.

Contrôles et activités connexes

CM-02, CM-07, CM-09, CM-10, CM-11, CM-13, CP-02, CP-09, MA-02, MA-06, PE-20, PL-09, PM-05, SA-04, SA-05, SI-02 et SR-04.

Améliorations

  • (01) Inventaire des composants de système : Mises à jour durant l’installation et le retrait
    • Faire de la mise à jour de l’inventaire des composantes du système une étape de l’installation ou du retrait de composantes ainsi que de la mise à jour du système.
    • Discussion : Les organisations peuvent accroître l’exactitude, le caractère exhaustif, la cohérence des inventaires de composants des systèmes si les inventaires sont mis à jour dans le cadre de l’installation ou du retrait de composantes ainsi que de la mise à jour du système. Si les inventaires ne sont pas mis à jour à des périodes clés, il est fort probable que l’information ne sera pas correctement saisie et consignée. Les mises à jour de systèmes touchent les composants matériels, logiciels et micrologiciels.
    • Contrôles et activités connexes : PM-16.
  • (02) Inventaire des composants de système : Automatisation de la maintenance
    • Assurer l’actualité, le caractère exhaustif, l’exactitude et la disponibilité de l’inventaire des composants du système au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Dans la mesure du possible, les organisations tiennent à jour les inventaires des systèmes. Par exemple, il peut s’avérer difficile de surveiller les machines virtuelles, car elles sont invisibles dans le réseau lorsqu’elles ne sont pas utilisées. Dans ces situations, les organisations tiennent le plus possible l’inventaire raisonnablement à jour, complet et exact. L’automatisation de la maintenance peut être réalisée en mettant en place le contrôle CM-02(02) pour les organisations qui choisissent de combiner l’inventaire de composants de système et des activités de configuration de référence.
    • Contrôles et activités connexes : Aucun.
  • (03) Inventaire des composants de système : Détection automatisée de composants non autorisés
      1. Détecter la présence de composants matériels, logiciels et micrologiciels non autorisés dans le système au moyen de [Affectation : mécanismes automatisés définis par l’organisation] [Affectation : fréquence définie par l’organisation]
      2. Prendre les mesures suivantes lorsque des composants non autorisés sont détectés : [Sélection (un choix ou plus) : désactiver l’accès réseau de ces composants; isoler les composants; aviser [Affectation : personnel ou rôles définis par l’organisation]]
    • Discussion : La détection automatisée de composants non autorisés est appliquée en plus de surveiller les connexions à distance et les appareils mobiles non autorisés. La surveillance des composants de systèmes non autorisés peut être effectuée de façon continue ou lors d’analyses périodiques des systèmes menées à cette fin. Les mécanismes automatisés peuvent également être utilisés de façon à empêcher la connexion de composants non autorisés (voir le contrôle CM-07(09)). Des mécanismes automatisés peuvent être mis en place dans les systèmes ou dans des composants de système distincts. Lors de l’acquisition et de la mise en œuvre de mécanismes automatisés, les organisations doivent déterminer si de tels mécanismes dépendent de la capacité des composants du système à prendre en charge un agent ou du programme demandeur à détecter étant donné que certains composants n’ont pas d’agents ou ne peuvent pas en prendre en charge (par exemple, des dispositifs de l’Internet des objets ou des capteurs). On peut isoler les composants de système non autorisés en les plaçant dans des domaines ou des sous-réseaux séparés ou en les mettant en quarantaine. On appelle souvent ce type d’isolation le principe du bac à sable.
    • Contrôles et activités connexes : AC-19, CA-07, RA-05, SC-03, SC-39, SC-44, SI-03, SI-04 et SI-07.
  • (04) Inventaire des composants de système : Information sur la responsabilisation
    • L’organisation inclut dans l’information liée à l’inventaire de composants de système d’information une façon d’identifier par [Sélection (un choix ou plus) : nom; poste; rôle] les personnes responsables de l’administration de ces composants.
    • Discussion : L’identification des personnes responsables de l’administration des composants de système permet de faire en sorte que les composants concernés sont bien administrés et que les organisations peuvent communiquer avec les personnes désignées si des mesures doivent être prises (par exemple, on détermine qu’un composant est source de manquement, ce composant doit être rappelé ou remplacé, ou encore relocalisé).
    • Contrôles et activités connexes : AC-03.
  • (05) Inventaire des composants de système : Aucune comptabilisation en double des composants
    • Annulé : Intégré au contrôle CM-08.
  • (06) Inventaire des composants de système : Configurations évaluées et écarts approuvés
    • Inclure dans l’inventaire des composants du système les configurations de composants évaluées et les écarts approuvés en ce qui a trait aux configurations déjà déployées.
    • Discussion : Les configurations évaluées et écarts approuvés sont axés sur les paramètres de configuration qu’ont établis les organisations concernant les composants de système, sur les composants précis qui ont été évalués afin de vérifier leur conformité aux paramètres de configuration requis et sur tous les écarts approuvés des paramètres de configuration établis.
    • Contrôles et activités connexes : Aucun.
  • (07) Inventaire des composants de système : Référentiel centralisé
    • Fournir un référentiel centralisé contenant l’inventaire des composants de système.
    • Discussion : Les organisations peuvent mettre en œuvre des inventaires de composants de systèmes centralisés qui comprennent des composants de tous les systèmes. Les référentiels centralisés des inventaires de composants de système permettent d’améliorer l’efficience de la comptabilisation des biens matériels, logiciels et micrologiciels. Grâce à ces référentiels, les organisations peuvent rapidement trouver l’emplacement des composants de système ayant fait l’objet d’une compromission ou d’une intrusion ou pour lesquels il faut prendre des mesures d’atténuation, de même que déterminer les personnes qui sont responsables de ces composants. Les organisations s’assurent que ces inventaires centralisés comportent l’information propre au système qui est nécessaire à la comptabilisation des composants.
    • Contrôles et activités connexes : Aucun.
  • (08) Inventaire des composants de système : Localisation automatisée
    • Appuyer le suivi des composants de système par géolocalisation des composants de système au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : L’utilisation de mécanismes automatisés pour géolocaliser les composants de système permet d’améliorer la précision des inventaires de composants. Grâce à cette capacité, les organisations peuvent rapidement trouver l’emplacement des composants de système ayant fait l’objet d’une compromission ou d’une intrusion ou pour lesquels il faut prendre des mesures d’atténuation, de même que déterminer les personnes qui sont responsables de ces composants. L’utilisation de mécanismes de suivi devrait être coordonnée avec les hauts fonctionnaires ou cadres supérieures et supérieurs étant donné qu’il pourrait y avoir des implications pouvant toucher la vie privée des personnes.
    • Contrôles et activités connexes : Aucun.
  • (09) Inventaire des composants du système : Attribution de composants à des systèmes
      1. Attribuer des composants à des a un système
      2. Recevoir un avis de cette affectation de la part de [Affectation : personnel ou rôles définis par l’organisation].
    • Discussion : Les composants du système qui ne sont pas attribués à un système peuvent être non gérés, manquer de protection et devenir une vulnérabilité pour l’organisation.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

CM-09 Plan de gestion des configurations

Contrôle

Élaborer, documenter et mettre en œuvre un plan de gestion des configurations pour le système qui

  1. traite les rôles, les responsabilités ainsi que les processus et procédures de gestion des configurations
  2. établit un processus pour déterminer les éléments de configuration tout au long du cycle de développement des systèmes et pour gérer la configuration des éléments de configuration
  3. définit les éléments de configuration pour le système et intègre les éléments de configuration à la gestion des configurations
  4. est examiné et approuvé par [Affectation : personnel ou rôles définis par l’organisation]
  5. protège le plan de gestion des configurations contre toute divulgation ou modification non autorisée

Discussion

Les activités de gestion des configurations se produisent tout au long du cycle de développement des systèmes. Ainsi, il y a des activités de développement de la gestion des configurations (par exemple, le contrôle de code et les bibliothèques de logiciels) et des activités opérationnelles de gestion des configurations (par exemple, le contrôle de composants installés et la façon de configurer les composants). Les plans de gestion des configurations répondent aux exigences des politiques de gestion des configurations tout en étant adaptés aux systèmes individuels. Les plans de gestion des configurations définissent les processus et les procédures d’utilisation de la gestion des configurations pour appuyer les activités du cycle de développement du système.

Les plans de gestion des configurations sont élaborés durant la phase de développement ou d’acquisition du cycle de développement du système. Les plans décrivent comment apporter un changement à l’aide des processus de gestion des changements, mettre à jour les mesures de configuration et les configurations de référence, tenir des inventaires des composants de système, contrôler les environnements de développement, de tests et d’opérations et, enfin, diffuser et mettre à jour les documents clés.

Les organisations peuvent utiliser des modèles pour veiller à l’élaboration et à la mise en œuvre uniformes et rapides des plans de gestion des configurations. Les modèles peuvent être un plan de gestion des configurations pour l’organisation; les sous-ensembles du plan peuvent être appliqués à un système, en fonction du système visé.

Les processus d’approbation de la gestion des configurations comprennent la nomination d’intervenantes et intervenants clés chargés d’examiner et d’approuver les changements proposés aux systèmes et du personnel chargé d’analyser les incidences sur la sécurité et le respect de la vie privée avant d’apporter les changements aux systèmes. Les éléments de configuration sont des composants des systèmes comme le matériel, les logiciels, les micrologiciels et la documentation dont la configuration doit être gérée. Durant les cycles de vie de développement des systèmes, de nouveaux éléments de configuration peuvent être signalés et certains éléments de configuration peuvent ne plus être nécessaires dans le cadre du contrôle des configurations.

Contrôles et activités connexes

CM-02, CM-03, CM-04, CM-05, CM-08, PL-02, RA-08, SA-10 et SI-12.

Améliorations

  • (01) Plan de gestion des configurations : Attribution des responsabilités
    • Confier la responsabilité du développement du processus de gestion des configurations à des employées et employés de l’organisation qui ne participent pas directement au développement du système.
    • Discussion : En l’absence d’équipe de gestion des configurations spécialisée au sein des organisations, les développeurs de systèmes peuvent se voir assigner l’élaboration des processus de gestion de la configuration et devoir faire appel à des employées et employés qui ne participent pas directement au développement ou à l’intégration de systèmes. Cette séparation des tâches permet de veiller à ce que les organisations établissent et maintiennent un degré suffisant d’indépendance entre les processus de développement et d’intégration du système et les processus de gestion des configurations afin de faciliter le contrôle de la qualité et d’améliorer l’efficacité de la surveillance.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

CM-10 Restrictions relatives à l’utilisation des logiciels

Contrôle

  1. Utiliser les logiciels et la documentation connexe conformément aux ententes contractuelles et aux lois sur le droit d’auteur
  2. Faire le suivi de l’utilisation des logiciels et de la documentation connexe qui sont protégés par des licences limitant la copie et la diffusion du produit
  3. Contrôler et documenter l’utilisation de la technologie de partage de fichiers pair à pair pour s’assurer qu’elle n’est pas utilisée à des fins non autorisées de distribution, d’affichage, d’exécution ou de reproduction d’œuvres protégées par le droit d’auteur

Discussion

Le suivi des licences d’utilisation de logiciel peut s’effectuer de façon manuelle ou automatique, selon les besoins de l’organisation. Des exemples d’ententes contractuelles comprennent des contrats de licence de logiciels et des accords de non-divulgation.

Contrôles et activités connexes

AC-17, AU-06, CM-07, CM-08, PM-30 et SC-07.

Améliorations

  • (01) Restrictions relatives à l’utilisation des logiciels : Logiciels ouverts
    • Établir les restrictions suivantes sur l’utilisation de logiciel à source ouverte : [Affectation : restrictions définies par l’organisation].
    • Discussion : On entend, par logiciels de source ouverte, les logiciels offerts sous forme de code source. Certains droits d’utilisation de logiciels normalement réservés aux détenteurs de droits d’auteur sont habituellement accordés conformément à des contrats de licence et autorisent des personnes à étudier, modifier ou améliorer le logiciel. Au chapitre de la sécurité, l’avantage principal des logiciels de source ouverte est le fait qu’ils offrent aux organisations la possibilité d’étudier le code source. Dans certains cas, il y a une communauté en ligne associée aux logiciels qui inspecte, teste, met à jour et signale en permanence les problèmes détectés dans les logiciels. Toutefois, corriger des vulnérabilités dans des logiciels de source ouverte peut s’avérer problématique. Il peut y avoir divers enjeux liés aux licences de logiciels de source ouverte, comme les contraintes associées à l’utilisation dérivée de ces logiciels.
    • Discussion au sein du GC : La collecte de renseignements personnels facilitée par des logiciels de source ouverte est régie par les mêmes restrictions établies par la LPRP pour la collecte, l’utilisation et la divulgation possibles des renseignements.
    • Contrôles et activités connexes : SI-07.

Références

Haut de la page 
 

CM-11 Logiciels installés par les utilisatrices et utilisateurs

Contrôle

  1. Établir [Affectation : stratégies définies par l’organisation] qui régissent l’installation de logiciels par des utilisatrices et utilisateurs
  2. Appliquer des stratégies d’installation de logiciels au moyen des méthodes suivantes : [Affectation : stratégies définies par l’organisation]
  3. Surveiller le respect des stratégies [Affectation : fréquence définie par l’organisation]

Discussion

S’ils détiennent les privilèges nécessaires, les utilisatrices et utilisateurs peuvent installer des logiciels sur les systèmes organisationnels. Afin de garder le contrôle sur les logiciels installés, les organisations doivent déterminer les opérations permises et interdites concernant l’installation de logiciels. Les installations de logiciels autorisées comprennent les mises à jour et l’application de correctifs de sécurité aux logiciels existants, ainsi que le téléchargement de nouvelles applications à partir des magasins d’application approuvés par l’organisation. Les installations non autorisées comprennent les logiciels dont la provenance est inconnue ou suspecte, ou les logiciels qui sont potentiellement malveillants d’après les organisations. Les stratégies sélectionnées pour régir les logiciels installés par les utilisatrices et utilisateurs peuvent être développées par l’organisation ou fournies par une entité externe. Les méthodes d’application des stratégies peuvent inclure des méthodes procédurales et des méthodes automatisées.

Contrôles et activités connexes

AC-03, AU-06, CM-02, CM-03, CM-05, CM-06, CM-07, CM-08, PL-04, SI-04 et SI-07.

Améliorations

  • (01) Logiciels installés par les utilisatrices et utilisateurs : Alertes pour les installations non autorisées
    • Annulé : Intégré au contrôle CM-08(03).
  • (02) Logiciels installés par les utilisatrices et utilisateurs : Installation de logiciels avec statut privilégié
    • Autoriser l’installation de logiciel par les utilisatrices et utilisateurs qui ont un accès privilégié explicite.
    • Discussion : Il est possible d’obtenir un statut privilégié en assumant par exemple des fonctions d’administrateur système.
    • Contrôles et activités connexes : AC-05 et AC-06.
  • (03) Logiciels installés par les utilisatrices et utilisateurs : Application et surveillance automatisées
    • Appliquer et surveiller la conformité aux stratégies d’installation de logiciels au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Les organisations appliquent et surveillent la conformité aux stratégies d’installation de logiciels au moyen de mécanismes automatisés, ce qui permet une détection et une intervention plus rapides en cas d’installation de logiciels non autorisés; une telle situation peut indiquer la présence d’une attaque hostile interne ou externe.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

CM-12 Localisation de l’information

Contrôle

  1. Établir et consigner la localisation de [Affectation : information désignée par l’organisation] et des composants de systèmes particuliers où l’information est traitée et stockée
  2. Établir et consigner les utilisatrices et utilisateurs qui ont accès au système et à ses composants où l’information est traitée et stockée
  3. Consigner les changements de la localisation (par exemple, le système ou les composants du système) où l’information est traitée et stockée

Discussion

La localisation de l’information répond au besoin de bien comprendre où l’information est traitée et stockée, et reflète les exigences en matière de résidence de données. La localisation de l’information implique de déterminer où résident des types spécifiques d’information ainsi que l’information dans les composants des systèmes et comprend également comment l’information est traitée de manière à bien comprendre le flux d’information et à fournir une protection et une gestion adéquates de cette information et de ces composants des systèmes. La localisation de l’information et des composants des systèmes entre aussi en compte dans l’architecture et la conception du système (voir SA-04, SA-08, SA-17). Il pourrait y avoir des implications relatives à la localisation de l’information pour les systèmes qui traitent les renseignements personnels.

Discussion au sein du GC

La catégorie de sécurité de l’information est aussi un facteur à l’établissement des contrôles nécessaires à la protection de l’information et des composants des systèmes où réside l’information (voir la Norme sur la catégorisation de sécurité du SCT).

Contrôles et activités connexes

AC-02, AC-03, AC-04, AC-06, AC-23, CM-08, PM-05, RA-02, SA-04, SA-08, SA-17, SA-400, SC-04, SC-16, SC-28, SI-04 et SI-07.

Améliorations

  • (01) Localisation de l’information : Outils automatisés associés à la localisation de l’information
    • Utiliser des outils automatisés pour identifier [Affectation : information définie par l’organisation selon le type d’information] sur des [Affectation : composants de système définis par l’organisation] pour assurer que des contrôles sont mis en place pour protéger l’information de l’organisation et la vie privée des personnes.
    • Discussion : L’utilisation d’outils automatisés aide à accroître l’efficacité et l’efficience de la capacité liée à la localisation de l’information mise en œuvre dans le système. L’automatisation aide également les organisations à gérer les données produites pendant les activités de localisation de l’information et à échanger l’information dans l’ensemble de l’organisation. Les résultats obtenus par les outils de localisation de l’information automatisés peuvent être utilisés afin d’orienter et d’éclairer sur les décisions en matière d’architecture et de conception des systèmes.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

CM-13 Mappage des actions de données

Contrôle

Élaboration et documentation d’un plan des actions de données du système.

Discussion

Les actions de données sont des opérations système, et certaines des actions de données impliquent des renseignements personnels. La gestion de tels renseignements englobe le cycle de vie complet de l’information, ce qui comprend la collecte, la création, la transformation, l’utilisation, la divulgation, la conservation et l’élimination.

Un plan d’action de données du système comprend les actions de données discrètes qui déterminent les éléments des renseignements personnels utilisés pour les actions de données, les composants des systèmes impliqués dans les actions de données, les gardiennes et gardiens de l’information, et les propriétaires ou les exploitants des composants des systèmes. Comprendre quels renseignements personnels sont traités (par exemple, la sensibilité des renseignements personnels), comment les renseignements personnels sont traités (par exemple, si l’action de données est visible pour la personne ou est traitée dans une autre partie du système) et par qui, permet de fournir des facteurs contextuels qui sont importants à l’évaluation du niveau de risque d’atteinte à la vie privée associé au système.

Les plans de données peuvent être utilisés de différentes façons, et le degré de détails peut varier en fonction des besoins liés à la mission et aux activités de l’organisation. Le plan de données peut représenter une superposition de tout artéfact de conception du système qu’utilise une organisation. L’élaboration de ce plan peut nécessiter une coordination entre les programmes de sécurité et de protection de la vie privée concernant les actions de données couvertes et les composants qui sont déterminés comme faisant partie du système. Les utilisatrices et utilisateurs dont les activités sont mises en correspondance devraient être mis au courant de l’activité.

Contrôles et activités connexes

AC-03, AC-08, CM-04, CM-12, PM-05, PM-27, PT-02, PT-03, RA-03 et RA-08.

Améliorations

Aucune.

Références

Haut de la page 
 

CM-14 Composants signés

Contrôle

Empêcher l’installation de [Affectation : éléments logiciels et micrologiciels définis par l’organisation] sans vérification de leur signature électronique par l’intermédiaire d’un certificat reconnu ou approuvé par l’organisation.

Discussion

Les mises à niveau des versions de logiciels et de micrologiciels, les correctifs, les ensembles de modifications provisoires, les pilotes de périphérique et les mises à niveau de systèmes d’entrée-sortie de base sont des de composants logiciels et micrologiciels impossibles à installer s’ils n’ont pas été signés numériquement à l’aide de certificats reconnus et approuvés. Les organisations peuvent classer les composants logiciels et micrologiciels applicables par type ou élément particulier ou encore selon une combinaison des deux. Les signatures numériques et la vérification de ces signatures par l’organisation sont des méthodes d’authentification.

Contrôles et activités connexes

CM-07, SC-12, SC-13 et SI-07.

Améliorations

Aucune.

Références

Aucune.

 
Précédent
Date de modification :