Intégrité de l’information et des systèmes

Sur cette page

• SI-01 Politique et procédures d’intégrité de l’information et des systèmes
• SI-02 Correction des défauts
• SI-03 Protection contre les programmes malveillants
• SI-04 Surveillance des systèmes
• SI-05 Alertes, avis et directives de sécurité
• SI-06 Vérification des fonctions de sécurité et de protection de la vie privée
• SI-07 Intégrité des logiciels, des micrologiciels et de l’information
• SI-08 Protection contre les pourriels
• SI-09 Restrictions relatives à la saisie d’information
• SI-10 Validation de la saisie d’information
• SI-11 Traitement des erreurs
• SI-12 Gestion et conservation de l’information
• SI-13 Prévention des pannes prévisibles
• SI-14 Non-persistance
• SI-15 Filtrage des sorties d’information
• SI-16 Protection de la mémoire
• SI-17 Procédures de sécurité intégrée
• SI-18 Opérations liées à la qualité des renseignements personnels
• SI-19 Dépersonnalisation
• SI-20 Contamination
• SI-21 Actualisation de l’information
• SI-22 Diversité de l’information
• SI-23 Fragmentation de l’information
• SI-400 Station de travail administrative dédiée

Les contrôles et les activités dans la famille d’intégrité de l’information et des systèmes (SI pour System and Information Integrity) appuient la protection de l’intégrité des composants du système et des données traitées par le système. Ils permettent à l’organisation d’établir, de signaler et de corriger rapidement les défauts liés aux données et aux systèmes afin d’offrir une protection contre les programmes malveillants. Ils permettent également de surveiller les alertes et les avis de sécurité du système et d’intervenir de manière appropriée.

SI-01 Politique et procédures d’intégrité de l’information et des systèmes

Activité

1. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
   1. une politique d’intégrité de l’information et des systèmes [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
   2. des procédures visant à faciliter la mise en œuvre de la politique d’intégrité de l’information et des systèmes ainsi que des contrôles connexes
2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures d’intégrité de l’information et des systèmes
3. Passer en revue et mettre à jour, par rapport à l’intégrité de l’information et des systèmes :
   1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
   2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures d’intégrité de l’information et des systèmes abordent les contrôles de la famille SI qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures d’intégrité de l’information et des systèmes.

En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système. La politique peut être intégrée à la politique générale de sécurité et de protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures d’intégrité de l’information et des systèmes comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

PM-09, PS-08, SA-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information

SI-02 Correction des défauts

Contrôle

1. Établir, signaler et corriger les défauts du système
2. Tester les mises à jour logicielles et micrologicielles visant la correction des défauts pour en vérifier l’efficacité et les répercussions potentielles sur les systèmes avant leur application
3. Installer les mises à jour de sécurité appropriées des logiciels et des micrologiciels dans une période de [Affectation : période définie par l’organisation] suivant la date de publication des mises à jour
4. Intégrer la correction des défauts au processus de gestion des configurations de l’organisation

Discussion

La nécessité de corriger les défauts du système s’applique à tous les types de logiciels et de micrologiciels. Les organisations identifient les systèmes touchés par les défauts logiciels, y compris les possibles vulnérabilités résultant de ces défauts, et font rapport de cette information au personnel responsable de la sécurité et de la protection de la vie privée de l’information. Les organisations envisagent d’établir un environnement contrôlé d’application de correctifs pour les systèmes essentiels à la mission.

Les mises à jour liées à la sécurité incluent les correctifs, les ensembles de modifications provisoires et les signatures de code malveillant. Les organisations corrigent également le plus rapidement possible les défauts relevés durant les évaluations, la surveillance permanente, les activités liées aux interventions en cas d’incident ou le traitement des erreurs du système. En intégrant la correction des défauts aux processus de gestion des configurations, il est possible d’assurer le suivi et la vérification des mesures correctrices requises.

Le délai défini par l’organisation pour les mises à jour de sécurité logicielles et micrologicielles peut varier en fonction de divers facteurs de risque, notamment, la catégorie de sécurité du système, la criticité de la mise à jour (c’est-à-dire la gravité de la vulnérabilité liée au défaut découvert), la tolérance au risque de l’organisation, la mission prise en charge par le système ou l’environnement de menace.

Certains types de correctifs peuvent nécessiter plus de mises à l’essai que d’autres. Les organisations doivent déterminer le type de mises à l’essai nécessaires pour le type précis de correction des défauts considérés et le type de changements dont la configuration doit être gérée. La mise à l’essai de la correction des défauts permet d’analyser l’efficacité des mesures prises pour corriger des problèmes de sécurité et les effets secondaires possibles sur la fonctionnalité des systèmes et des composants de systèmes, leurs performances et leur exploitation. Au moment de mettre en œuvre des activités d’atténuation, les organisations considèrent l’ordre et l’horaire des mises à jour pour valider leur exécution appropriée dans l’environnement du système et soutenir les besoins du système et du composant en matière de disponibilité (c’est-à-dire la mise en œuvre d’une stratégie de déploiement progressive). Les organisations s’assurent que les mises à jour logicielles et micrologicielles proviennent de sources autorisées avant leur téléchargement. Dans le cadre de ces décisions de mise à l’essai, l’organisation détermine si les mises à jour logicielles ou micrologicielles proviennent de sources autorisées ayant les signatures numériques appropriées.

Contrôles et activités connexes

CA-05, CM-03, CM-04, CM-05, CM-06, CM-08, MA-02, RA-05, SA-08, SA-10, SA-11, SI-03, SI-05, SI-07 et SI-11.

Améliorations

• (01) Correction des défauts : Gestion centrale
  • Annulé : Intégré au contrôle PL-09.
• (02) Correction des défauts : État automatisé de la correction des défauts
  • Déterminer si les mises à jour logicielles et micrologicielles de sécurité pertinentes ont été installées sur les composants de systèmes au moyen de [Affectation : mécanismes automatisés désignés par l’organisation] [Affectation : fréquence définie par l’organisation].
  • Discussion : Les mécanismes automatisés peuvent déterminer l’état des défauts connus des composants de systèmes et en faire le suivi.
  • Contrôles et activités connexes : CA-07, SI-04.
• (03) Correction des défauts : Délais de correction des défauts et repères liés aux mesures correctives
  • 1. Mesurer le temps écoulé entre la détection de l’anomalie et sa correction
    2. Fixer les repères suivants pour la prise de mesures correctives : [Affectation : repères définis par l’organisation]
  • Discussion : Les organisations déterminent combien de temps est nécessaire pour corriger les défauts des systèmes, une fois que ces défauts ont été identifiés, puis fixent des repères (c’est-à-dire des délais de traitement) pour la prise de mesures correctives. Les repères peuvent être établis en fonction des types de défauts et de la gravité des possibles vulnérabilités si le défaut est exploitable.
  • Contrôles et activités connexes : Aucun.
• (04) Correction des défauts : Outils automatisés de gestion des correctifs
  • Avoir recours à des outils automatisés de gestion des correctifs pour faciliter la correction des défauts des composants de systèmes suivants : [Affectation : composants de systèmes désignés par l’organisation].
  • Discussion : Avoir recours à des outils automatisés pour soutenir la gestion des correctifs aide à assurer l’application opportune et exhaustive des correctifs sur les systèmes.
  • Contrôles et activités connexes : Aucun.
• (05) Correction des défauts : Mises à jour logicielles ou micrologicielles automatiques
  • Installer [Affectation : mises à jour logicielles et micrologicielles de sécurité pertinentes définies par l’organisation] automatiquement sur [Affectation : composants de systèmes désignés par l’organisation].
  • Discussion : Étant donné l’importance de maintenir l’intégrité et la disponibilité des systèmes, l’organisation doit tenir compte de la méthodologie employée pour procéder aux mises à jour automatiques. Les organisations trouvent l’équilibre entre le besoin de s’assurer que les mises à jour sont installées le plus tôt possible et le besoin de maintenir la gestion des configurations, tout en veillant à résoudre les possibles répercussions que pourraient avoir des mises à jour automatiques (c’est-à-dire la mise en œuvre d’une stratégie de déploiement progressive).
  • Contrôles et activités connexes : Aucun.
• (06) Correction des défauts : Retrait des versions antérieures des logiciels et des micrologiciels
  • Supprimer les versions antérieures de [Affectation : éléments logiciels et micrologiciels définis par l’organisation] une fois qu’une version mise à jour a été installée.
  • Discussion : Les versions antérieures des logiciels ou des micrologiciels qui ne sont pas supprimées des systèmes après l’installation des mises à jour peuvent être exploitées par des adversaires. Certains produits peuvent supprimer automatiquement les versions antérieures des logiciels et des micrologiciels sur le système.
  • Contrôles et activités connexes : Aucun.
• (07) Correction des défauts : Analyse des causes fondamentales
  • 1. Procéder à l’analyse des causes fondamentales pour relever les causes sous-jacentes des problèmes ou des défaillances
    2. Élaborer les mesures nécessaires pour corriger les causes fondamentales du problème ou de la défaillance
    3. Mettre en œuvre les mesures nécessaires et surveiller leur mise en œuvre pour en assurer l’efficacité
  • Discussion : L’analyse des causes fondamentales comprend une vaste gamme d’approches, d’outils et de techniques visant à identifier systématiquement les causes sous-jacentes des problèmes ou des défaillances dans les systèmes et les composants de systèmes (c’est-à-dire le matériel, les logiciels et les micrologiciels). Les organisations tiennent compte de la gravité de l’incident pour déterminer la méthode d’analyse des causes fondamentales à utiliser et les délais dans lesquels il convient de mettre en œuvre les mesures correctives. L’analyse des causes fondamentales comprend un échéancier, les signes précurseurs qui n’ont pas été relevés, les principales décisions, les écarts, les mesures d’atténuation et la vérification de l’efficacité. Les mesures visant à corriger la source du problème sont déployées et intégrées aux stratégies, aux procédures et aux mises en œuvre des contrôles de l’organisation.
  • Contrôles et activités connexes : AC-01, AT-01, AU-01, AU-02, CA-01, CM-01, CP-01, IA-01, IR-01, IR-04, MA-01, MP-01, PE-01, PL-01, PM-01, PS-01, PT-01, RA-01, SA-01, SA-15, SC-01, SI-01 et SR-01.

Références

• SCT, Orientation sur la gestion des rustines
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• NIST FIPS 140-3 Security Requirements for Cryptographic Modules (en anglais seulement)

SI-03 Protection contre les programmes malveillants

Contrôle

1. Mettre en œuvre des mécanismes de protection contre les programmes malveillants [Sélection (un choix ou plus) : basés sur les signatures; non basés sur les signatures) aux points d’entrée et de sortie du système afin de détecter et d’éliminer le code malveillant
2. Mettre à jour automatiquement les mécanismes de protection contre les programmes malveillants dès que de nouvelles versions sont disponibles, conformément à la stratégie et aux procédures organisationnelles de gestion des configurations
3. Configurer les mécanismes de protection contre les programmes malveillants de façon à
   1. effectuer des analyses périodiques du système [Affectation : fréquence définie par l’organisation] et des analyses en temps réel des fichiers de sources externes aux [Sélection (un choix ou plus) : points d’extrémité; point d’entrée ou sortie du réseau] lors de leur téléchargement, de leur ouverture ou de leur exécution, conformément à la stratégie organisationnelle
   2. [Sélection (un choix ou plus) : bloquer le code malveillant; mettre en quarantaine le code malveillant; effectuer [Affectation : action définie par l’organisation]]; et envoyer une alerte à [Affectation : personnel ou rôles définis par l’organisation] suivant la détection de code malveillant
4. Traiter les faux positifs résultant de la détection et de l’élimination de code malveillant et leurs répercussions potentielles sur la disponibilité des systèmes

Discussion

Les points d’entrée et de sortie du système comprennent les pare-feu, les serveurs d’accès à distance, les stations de travail, les serveurs de messagerie, les serveurs Web, les serveurs mandataires, les ordinateurs blocs-notes et les appareils mobiles. Le code malveillant comprend les virus, les vers, les chevaux de Troie et les logiciels espions. Le code malveillant peut également être codé sous différents formats, contenu dans des fichiers compressés ou cachés, ou encore dissimulé dans des fichiers en utilisant des techniques comme la stéganographie.

Le code malveillant peut être inséré dans les systèmes de différentes façons, notamment par courriel, par Internet et au moyen de dispositifs de stockage portatifs. Les insertions de code malveillant surviennent lors de l’exploitation de vulnérabilités du système. Il existe une variété de technologies et de méthodes pour limiter ou éliminer les effets des attaques de code malveillant.

Les mécanismes de protection contre le code malveillant comprennent des technologies basées ou non sur les signatures. Les mécanismes de détection non fondés sur les signatures comprennent des techniques d’IA utilisant des données heuristiques pour détecter, analyser et décrire les caractéristiques ou les comportements de programmes malveillants, et pour trouver des moyens de contrôler ces programmes en l’absence de signature ou si les signatures existantes ne sont pas efficaces.

Le code malveillant polymorphique (c’est-à-dire le code pour lequel les signatures sont modifiées lors de la réplication) est un des cas où les signatures actives sont inexistantes ou inefficaces. Les technologies basées sur la réputation sont un exemple de mécanismes qui ne sont pas fondés sur les signatures.

En plus des technologies mentionnées précédemment, la gestion omniprésente des configurations, les contrôles complets d’intégrité des logiciels et les logiciels anti-exploitation peuvent être efficaces pour empêcher l’exécution de code non autorisé. Le code malveillant peut être présent dans des logiciels COTS et dans des logiciels conçus sur mesure. Il peut comprendre des bombes logiques, des portes dérobées et d’autres types d’attaques susceptibles d’avoir des répercussions sur les fonctions liées à la mission et aux activités de l’organisation.

Dans les situations où le code malveillant ne peut pas être détecté par les méthodes ou les technologies de détection, l’organisation doit miser sur d’autres types de contrôles, comme des pratiques de codage sécurisé, la gestion et le contrôle des configurations, les processus d’approvisionnement fiable et les pratiques de surveillance, pour s’assurer que le logiciel n’effectue que les fonctions prévues.

Les organisations peuvent décider de prendre différentes mesures en réponse à la détection de code malveillant. Par exemple, les organisations peuvent définir des mesures à prendre lors de la détection d’un code malveillant dans le cadre d’une analyse périodique, de la détection de téléchargements malveillants ou de la détection d’éléments malveillants lors de l’ouverture ou de l’exécution de fichiers.

Contrôles et activités connexes

AC-04, AC-19, CM-03, CM-08, IR-04, MA-03, MA-04, PL-09, RA-05, SC-07, SC-23, SC-26, SC-28, SC-44, SI-02, SI-04, SI-07, SI-08 et SI-15.

Améliorations

• (01) Protection contre les programmes malveillants : Gestion centrale
  • Annulé : Intégré au contrôle PL-09.
• (02) Protection contre les programmes malveillants : Mises à jour automatiques
  • Annulé : Intégré au contrôle SI-03.
• (03) Protection contre les programmes malveillants : Utilisatrices ou utilisateurs non privilégiés
  • Annulé : Intégré au contrôle AC-06(10).
• (04) Protection contre les programmes malveillants : Mises à jour effectuées seulement par des utilisatrices et utilisateurs privilégiés
  • Mettre à jour les mécanismes de protection contre les programmes malveillants uniquement lorsqu’une utilisatrice ou un utilisateur privilégié le demande.
  • Discussion : Les mécanismes de protection contre les programmes malveillants appartiennent généralement à la catégorie des logiciels de sécurité et, à ce titre, sont mis à jour par le personnel de l’organisation qui possède les privilèges d’accès appropriés.
  • Contrôles et activités connexes : CM-05.
• (05) Protection contre les programmes malveillants : Dispositifs de stockage portatifs
  • Annulé : Intégré au contrôle MP-07.
• (06) Protection contre les programmes malveillants : Tests et vérifications
  • 1. Tester les mécanismes de protection contre les programmes malveillants [Affectation : fréquence définie par l’organisation] en introduisant du code bénin connu dans le système
    2. Vérifier que la détection du code et le signalement des incidents qui lui sont associés s’effectuent comme il se doit
  • Discussion : Aucune.
  • Contrôles et activités connexes : CA-02, CA-07 et RA-05.
• (07) Protection contre les programmes malveillants : Détection non axée sur les signatures
  • Annulé : Intégré au contrôle SI-03.
• (08) Protection contre les programmes malveillants : Détection des commandes non autorisées
  • 1. Détecter les commandes non autorisées du système d’exploitation dans l’interface de programmation d’application du noyau de [Affectation : composants matériels des systèmes désignés par l’organisation] : [Affectation : commandes non autorisées du système d’exploitation définies par l’organisation]
    2. [Sélection (un choix ou plus) : Émettre un avertissement; vérifier l’exécution de la commande; empêcher l’exécution de la commande]
  • Discussion : La détection des commandes non autorisées peut être appliquée aux interfaces essentielles autres que les interfaces axées sur le noyau, y compris les interfaces avec machines virtuelles et applications privilégiées. Les commandes non autorisées des systèmes d’exploitation comprennent les commandes pour des fonctions du noyau provenant de processus du système auxquels on n’accorde pas la confiance nécessaire pour initialiser de telles commandes, ainsi que les commandes pour des fonctions du noyau qui semblent suspectes, mêmes si les commandes de ce type pourraient vraisemblablement être initialisées par ces processus.
    L’organisation peut faire en sorte que la détection des commandes malveillantes soit effectuée à partir d’une combinaison de types de commandes, de classes de commandes ou d’occurrences précises de commandes. L’organisation peut également définir les composants matériels à partir de types de composants, de composants, de leur emplacement dans le réseau ou d’une combinaison de ces éléments. L’organisation peut choisir entre différentes mesures en fonction du type, de la classe ou de l’occurrence des commandes malveillantes.
  • Contrôles et activités connexes : AU-02, AU-06 et AU-12.
• (09) Protection contre les programmes malveillants : Authentification des commandes à distance
  • Annulé : Transféré sous le contrôle AC-17(10).
• (10) Protection contre les programmes malveillants : Analyse des programmes malveillants
  • 1. Employer des outils et des techniques pour analyser les caractéristiques et les comportements des programmes malveillants : [Affectation : techniques et outils définis par l’organisation]
    2. Intégrer les résultats des analyses des programmes malveillants au processus d’intervention en cas d’incident et de correction des défauts de l’organisation
  • Discussion : L’application des outils d’analyse des programmes malveillants offre aux organisations une connaissance plus approfondie du savoir-faire de leurs adversaires (c’est-à-dire leurs tactiques, techniques et procédures) et du fonctionnement et des buts de certains programmes malveillants en particulier. Comprendre les caractéristiques des programmes malveillants facilite les interventions effectuées par l’organisation pour contrer les menaces actuelles et à venir. L’organisation peut effectuer des analyses des programmes malveillants en se servant de techniques de rétro-ingénierie ou en surveillant le comportement du code malveillant que l’on exécute.
  • Contrôles et activités connexes : Aucun.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• Protéger votre organisation contre les maliciels (ITSAP.00.057)
• Reconnaître les courriels malveillants (ITSAP.00.100)

SI-04 Surveillance des systèmes

Contrôle

1. Surveiller le système afin de détecter
   1. des attaques et des signes indiquant de possibles attaques conformément aux objectifs de surveillance : [Affectation : objectifs de surveillance définis par l’organisation]
   2. des connexions locales, réseau ou à distance non autorisées
2. Détecter les utilisations non autorisées du système au moyen des techniques et des méthodes suivantes : [Affectation : techniques et méthodes définies par l’organisation]
3. Évoquer les capacités de surveillance interne ou déployer des dispositifs de surveillance
   1. stratégiquement dans le système pour collecter l’information que l’organisation juge essentielle
   2. de manière aléatoire pour faire le suivi des types de transactions qui l’intéressent particulièrement
4. Analyser les anomalies et les événements détectés
5. Ajuster le niveau d’activité de la surveillance du système lorsqu’il y a un changement dans le risque associé aux activités et aux biens organisationnels, aux individus, à d’autres organisations ou au Canada
6. Obtenir un avis juridique concernant les activités de surveillance des systèmes
7. Fournir [Affectation : renseignements liés à la surveillance du système définis par l’organisation] à [Affectation : personnel ou rôles définis par l’organisation] [Sélection (un choix ou plus) : au besoin; [Affectation : fréquence définie par l’organisation]]

Discussion

La surveillance du système est à la fois interne et externe. La surveillance externe comprend l’observation des événements qui surviennent dans les interfaces externes du système. La surveillance interne comprend l’observation des événements qui se produisent à l’intérieur du système. Les organisations surveillent le système en observant les activités liées à la vérification en temps réel ou en observant d’autres aspects du système, comme les tendances d’accès, les caractéristiques d’accès et d’autres opérations. Les objectifs de la surveillance orientent et éclairent la détermination des événements. La capacité de surveillance du système est possible grâce à une variété d’outils et de techniques, notamment les systèmes de détection et de prévention des intrusions, les logiciels de protection contre le code malveillant, les outils d’analyse, les logiciels de surveillance des enregistrements de vérification et les logiciels de surveillance des réseaux.

Selon l’architecture de sécurité, la distribution et la configuration des dispositifs de surveillance peuvent avoir une incidence sur le débit aux principales frontières internes et externes, ainsi qu’à d’autres emplacements du réseau en raison de l’introduction de la latence du débit sur le réseau. S’il est nécessaire de gérer le débit, de tels dispositifs sont stratégiquement placés et déployés dans le cadre d’une infrastructure de sécurité panorganisationnelle établie. Les dispositifs de surveillance sont déployés à des emplacements stratégiques, notamment dans des emplacements du périmètre sélectionnés et près des principaux serveurs et des batteries de serveurs qui prennent en charge les applications essentielles.

Les dispositifs de surveillance sont habituellement employés aux interfaces gérées associées aux contrôles SC-07 et AC-17. L’information collectée est déterminée par les objectifs de surveillance de l’organisation et la capacité des systèmes de prendre en charge de tels objectifs. Des types précis de transactions d’intérêt comprennent, par exemple, le trafic du protocole de transfert hypertexte (HTTP pour Hypertext Transfer Protocol) qui contourne les mandataires HTTP.

La surveillance des systèmes fait partie intégrante des programmes de surveillance continue et d’intervention en cas d’incident de l’organisation et les résultats d’une telle surveillance servent de fondement à ces programmes. Les exigences en matière de surveillance du système, dont la surveillance selon le type de système, peuvent se trouver dans d’autres contrôles (par exemple, les contrôles AC-02G, AC-02(07), AC-02(12)a, AC-17(01), AU-13, AU-13(01), AU-13(02), CM-03F, CM-06D, MA-03A, MA-04A, SC-05(03)b, SC-07A, SC-07(24)b, SC-18B et SC-43B).

Les ajustements apportés aux niveaux de surveillance du système sont basés sur des renseignements relatifs au maintien de l’ordre, du renseignement brut ou d’autres sources d’information. La légalité des activités de surveillance du système repose sur les lois, les décrets, les directives, la réglementation, les politiques, les normes et les lignes directrices applicables.

Contrôles et activités connexes

AC-02, AC-03, AC-04, AC-08, AC-17, AU-02, AU-06, AU-07, AU-09, AU-12, AU-13, AU-14, CA-07, CM-03, CM-06, CM-08, CM-11, IA-10, IR-04, MA-03, MA-04, PL-09, PM-12, RA-05, RA-10, SC-05, SC-07, SC-18, SC-26, SC-31, SC-35, SC-36, SC-37, SC-43, SI-03, SI-06, SI-07, SR-09 et SR-10.

Améliorations

• (01) Surveillance des systèmes : Système de détection d’intrusion dans l’ensemble du système
  • Connecter et configurer les outils individuels de détection d’intrusion en un système de détection panorganisationnel.
  • Discussion : Combiner les outils individuels de détection d’intrusion en un système panorganisationnel unique permet d’offrir une plus grande couverture et des capacités de détection efficaces additionnelles. L’information contenue dans un outil de détection d’intrusion peut être partagée dans l’ensemble de l’organisation, ce qui rend la capacité de détection panorganisationnelle plus robuste et puissante.
  • Contrôles et activités connexes : Aucun.
• (02) Surveillance des systèmes : Outils et mécanismes automatisés aux fins d’analyse en temps réel
  • Utiliser des outils et mécanismes automatisés pour prendre en charge l’analyse des événements en temps quasi réel.
  • Discussion : Les outils et mécanismes automatisés comprennent les outils et mécanismes de surveillance des événements basés sur l’hôte, le réseau, le transport ou le stockage, ou les technologies de GIES offrant des analyses en temps réel des alertes ou des notifications générées par les systèmes organisationnels. Des techniques de surveillance automatisées peuvent faire courir des risques d’atteinte à la vie privée inattendus, puisque les contrôles automatisés peuvent se connecter à des systèmes externes ou indépendants. La mise en correspondance des enregistrements entre ces systèmes peut établir des recoupements et entraîner des conséquences imprévues. Les organisations évaluent et documentent ces risques dans leur EFVP et prennent des décisions conformément à leur plan du programme de protection de la vie privée.
  • Contrôles et activités connexes : PM-23 et PM-25.
• (03) Surveillance des systèmes : Intégration d’outils et de mécanismes automatisés
  • Employer des outils et des mécanismes automatisés afin d’intégrer des outils et mécanismes de détection d’intrusion dans les mécanismes de contrôle d’accès et de flux.
  • Discussion : L’utilisation d’outils et de mécanismes automatisés pour intégrer les outils et mécanismes de détection d’intrusion aux mécanismes de contrôle d’accès et de flux facilite une intervention rapide lors d’attaques en permettant la reconfiguration de ces mécanismes en vue d’isoler et d’éliminer rapidement les attaques.
  • Contrôles et activités connexes : PM-23 et PM-25.
• (04) Surveillance des systèmes : Trafic de communications entrant et sortant
  • 1. Déterminer les critères à utiliser pour détecter les activités ou conditions inhabituelles ou non autorisées relatives au trafic de communications entrant et sortant
    2. Surveiller le trafic de communications entrant et sortant [Affectation : fréquence définie par l’organisation] pour détecter toute [Affectation : activité ou condition inhabituelle ou non autorisée définie par l’organisation]
  • Discussion : Les activités ou conditions inhabituelles ou non autorisées liées au trafic de communications entrant et sortant du système comprennent le trafic interne qui indique la présence de code malveillant ou l’utilisation non autorisée de code ou de justificatifs légitimes dans des systèmes organisationnels, ou la propagation sur des composants de système, le signalement de systèmes externes et l’exportation non autorisée de l’information. Les preuves du code malveillant ou de l’utilisation non autorisée de code ou de justificatifs légitimes permettent de détecter les systèmes ou les composants de systèmes potentiellement compromis.
  • Contrôles et activités connexes : Aucun.
• (05) Surveillance des systèmes : Alertes générées par le système
  • Alerter [Affectation : personnel ou rôles définis par l’organisation] lorsque les indications de compromission réelle ou potentielle suivantes se présentent : [Affectation : indicateurs de compromission définis par l’organisation].
  • Discussion : Les alertes peuvent provenir de sources diverses, comme des enregistrements de vérification ou des mécanismes de protection contre les programmes malveillants, des mécanismes de détection ou de prévention des intrusions, ou des dispositifs de protection des frontières, tels les pare-feu, les passerelles et les routeurs. Les alertes peuvent être envoyées automatiquement ou être transmises par téléphone, par courriel ou par message texte.
    Le personnel organisationnel sur la liste de notification des alertes peut comprendre les administratrices et administrateurs de système, les propriétaires responsables de la mission et des activités, les propriétaires de système, les propriétaires, gardiennes ou gardiens de l’information, les hauts fonctionnaires du ministère responsables de la gouvernance de la sécurité, les hauts fonctionnaires ou cadres supérieures ou supérieurs en matière de protection de la vie privée, ou les responsables de la protection de la vie privée. Contrairement aux alertes générées par le système, les alertes générées par les organisations dans le contrôle SI-04(12) mettent l’accent sur les sources d’information externes au système, comme les rapports des activités suspectes et les rapports sur les menaces internes potentielles.
  • Contrôles et activités connexes : AU-04, AU-05 et PE-06.
• (06) Surveillance des systèmes : Restriction des utilisatrices et utilisateurs non privilégiés
  • Annulé : Intégré au contrôle AC-06(10).
• (07) Surveillance des systèmes : Réponse automatisée à des événements suspects
  • 1. Informer [Affectation : personnel responsable de l’intervention en cas d’incident désigné par l’organisation (par nom ou rôle)] des événements suspects ayant été détectés
    2. Prendre les mesures suivantes lors de la détection : [Affectation : mesures les moins perturbatrices définies par l’organisation visant à mettre fin aux événements suspects]
  • Discussion : Les mesures les moins perturbatrices comprennent l’envoi de demandes d’intervention du personnel.
  • Contrôles et activités connexes : Aucun.
• (08) Surveillance des systèmes : Protection de l’information de surveillance
  • Annulé : Intégré au contrôle SI-04.
• (09) Surveillance des systèmes : Mise à l’essai des outils et des mécanismes de surveillance
  • Mettre à l’essai les outils et les mécanismes de surveillance des intrusions [Affectation : fréquence définie par l’organisation].
  • Discussion : Il est nécessaire de tester les outils et les mécanismes de surveillance des intrusions pour s’assurer qu’ils fonctionnent correctement et qu’ils répondent toujours aux objectifs de l’organisation en matière de surveillance. La fréquence et la profondeur des tests dépendent du type d’outils et de mécanismes dont l’organisation se sert et des méthodes de déploiement des outils et des mécanismes.
  • Contrôles et activités connexes : Aucun.
• (10) Surveillance des systèmes : Visibilité des communications chiffrées
  • Prendre les mesures nécessaires pour rendre [Affectation : trafic de communications chiffrées défini par l’organisation] visible aux [Affectation : mécanismes et outils de surveillance du système désignés par l’organisation].
  • Discussion : Les organisations trouvent un équilibre entre le besoin de chiffrer le trafic de communications et de protéger la confidentialité des données, et celui d’avoir accès au trafic pour en effectuer la surveillance. L’organisation détermine si l’exigence en matière de visibilité s’applique au trafic chiffré interne, au trafic chiffré qui sera envoyé à l’externe ou à un sous-ensemble de types de trafic.
  • Contrôles et activités connexes : Aucun.
• (11) Surveillance des systèmes : Analyse des anomalies du trafic de communications
  • Analyser le trafic de communications sortant des interfaces externes au système et [Affectation : points internes dans le système définis par l’organisation] afin de relever les anomalies.
  • Discussion : Les points internes définis par l’organisation comprennent les sous-réseaux et les sous-systèmes. Les anomalies dans les systèmes organisationnels comprennent les transferts de fichiers volumineux, les connexions permanentes à long terme, les tentatives d’accès à l’information depuis des emplacements inattendus, l’utilisation de protocoles et de ports inhabituels, l’utilisation de protocoles réseau non surveillés (par exemple, l’utilisation du protocole IPv6 lors d’une transition au protocole IPv4) et les tentatives de communication avec des adresses externes présumées malveillantes.
  • Contrôles et activités connexes : Aucun.
• (12) Surveillance des systèmes : Alertes automatisées générées par l’organisation
  • Alerter [Affectation : personnel ou rôles définis par l’organisation] au moyen de [Affectation : mécanismes automatisés définis par l’organisation] lors de répercussions potentielles des activités inhabituelles ou inappropriées suivantes sur la sécurité ou la protection de la vie privée : [Affectation : liste définie par l’organisation des activités inhabituelles ou inappropriées qui déclenchent des alertes].
  • Discussion : Le personnel organisationnel sur la liste de notification des alertes comprend les administratrices et administrateurs de système, les propriétaires responsables de la mission ou des activités, les propriétaires de système, les hauts fonctionnaires du ministère responsables de la sécurité de l’information, les hauts fonctionnaires ou cadres supérieures ou supérieurs en matière de protection de la vie privée, les responsables de la sécurité des systèmes ou les responsables de la protection de la vie privée.
    Par alertes automatisées générées par l’organisation, on entend les alertes de sécurité générées par les organisations et celles diffusées par l’intermédiaire de moyens automatisés. Les sources des alertes générées par l’organisation mettent l’accent sur les autres entités, comme les rapports des activités suspectes et les rapports sur les menaces internes potentielles. Contrairement aux alertes générées par l’organisation, les alertes générées par le système dans le contrôle SI-04(05) mettent l’accent sur les sources d’information qui sont internes aux systèmes, comme les enregistrements de vérification.
  • Contrôles et activités connexes : Aucun.
• (13) Surveillance des systèmes : Analyse des modèles de trafic et d’événements
  • 1. Analyser les modèles de trafic et d’événements pour le système
    2. Développer des profils représentant les modèles de trafic et d’événements communs
    3. Utiliser les profils de trafic et d’événements pour calibrer les dispositifs de surveillance des systèmes
  • Discussion : Relever et comprendre les modèles de trafic de communication et d’événements aide les organisations à fournir de l’information utile aux dispositifs de surveillance des systèmes afin de relever le trafic et les événements suspects ou anormaux lorsqu’ils surviennent. Une telle information peut aider à réduire le nombre de faux positifs et de faux négatifs durant la surveillance des systèmes.
  • Contrôles et activités connexes : Aucun.
• (14) Surveillance des systèmes : Détection d’intrusion sans fil
  • Utiliser un système de détection d’intrusions sans fil (WIDS pour Wireless Intrusion Detection System) pour identifier les dispositifs sans fil indésirables et détecter les tentatives d’attaque et les compromissions ou infractions potentielles liées au système.
  • Discussion : Les signaux sans fil peuvent se propager au-delà des frontières des installations de l’organisation. L’organisation doit rechercher proactivement les connexions sans fil non autorisées, et exécuter des analyses rigoureuses pour détecter les points d’accès sans fil non autorisés. Les analyses sans fil ne se limitent pas nécessairement aux installations qui hébergent les systèmes, mais peuvent être effectuées à l’extérieur pour vérifier que des points d’accès sans fil non autorisés ne sont pas connectés au système organisationnel.
  • Contrôles et activités connexes : AC-18 et IA-03.
• (15) Surveillance des systèmes : Communications entre un réseau sans fil et un réseau filaire
  • Utiliser un système de détection d’intrusion pour surveiller le trafic de communications sans fil lorsqu’il passe d’un réseau sans fil à un réseau filaire.
  • Discussion : Les réseaux sans fil sont fondamentalement moins sécurisés que les réseaux filaires. Par exemple, les réseaux sans fil sont plus susceptibles de faire l’objet d’une écoute clandestine ou d’une analyse du trafic que les réseaux filaires. Dans le cas de communications sans fil à filaires, le réseau sans fil devrait devenir un port d’entrée du réseau câblé. Étant donné qu’il est plus facile d’obtenir un accès non autorisé au réseau depuis des points d’accès sans fil que des points d’accès câblés, il pourrait être nécessaire de procéder à une surveillance accrue du trafic acheminé entre les réseaux sans fil et câblés pour détecter les activités malveillantes. Utiliser des systèmes de détection d’intrusion pour surveiller le trafic des communications sans fil aide à garantir que le trafic ne contienne aucun code malveillant avant de traverser le réseau filaire.
  • Contrôles et activités connexes : AC-18.
• (16) Surveillance des systèmes : Corrélations entre les résultats des activités de surveillance
  • Établir des corrélations entre les outils et les mécanismes de surveillance employés dans l’ensemble du système.
  • Discussion : Établir des corrélations entre les résultats des différents outils et mécanismes de surveillance des systèmes peut fournir une vue d’ensemble plus complète des activités se déroulant dans le système. Établir des corrélations entre les outils et les mécanismes de surveillance qui travaillent habituellement de manière isolée – notamment, les logiciels de protection contre les programmes malveillants, la surveillance des hôtes et la surveillance des réseaux – peut fournir une vue d’ensemble de l’organisation et révéler des modèles d’attaques qui seraient autrement restés inaperçus. Comprendre les capacités et les limites de différents outils et mécanismes de surveillance et savoir comment maximiser l’utilisation des renseignements générés par ces outils et mécanismes peut aider l’organisation à mettre sur pied, exploiter et maintenir des programmes de surveillance efficaces. La corrélation de l’information sur la surveillance est particulièrement importante lorsque les organisations passent des anciennes aux nouvelles technologies (par exemple, la transition des protocoles réseau IPv4 à IPv6).
  • Contrôles et activités connexes : AU-06.
• (17) Surveillance des systèmes : Connaissance intégrée de la situation
  • Mettre en corrélation les résultats de la surveillance des activités physiques, des cyberactivités et des activités de la chaîne d’approvisionnement pour développer une connaissance intégrée de la situation à l’échelle organisationnelle.
  • Discussion : Établir des corrélations entre l’information résultant d’activités de surveillance provenant de sources plus diverses permet d’obtenir une connaissance intégrée de la situation. Une connaissance intégrée de la situation basée sur des activités de surveillance physique, de cybersurveillance et de surveillance de la chaîne d’approvisionnement améliore la capacité de l’organisation de détecter plus rapidement les attaques sophistiquées et d’enquêter sur les méthodes et techniques utilisées par les attaquants.
    Contrairement au contrôle SI-04 (16) qui vise à établir des corrélations entre les différentes informations liées à la cybersurveillance, une connaissance intégrée de la situation met en corrélation des éléments qui n’appartiennent pas uniquement au cyberdomaine. La corrélation entre l’information sur la surveillance et les multiples activités permet de révéler les attaques contre les organisations menées par les auteurs de menace dont les activités s’étendent dans plusieurs vecteurs d’attaque.
  • Contrôles et activités connexes : AU-16, PE-06, SR-02, SR-04 et SR-06.
• (18) Surveillance des systèmes : Analyse du trafic et exfiltrations masquées
  • Analyser le trafic des communications sortant en destination des interfaces externes du système et des points intérieurs suivants pour y détecter des exfiltrations masquées d’information : [Affectation : points intérieurs dans le système définis par l’organisation].
  • Discussion : Les points internes définis par l’organisation comprennent les sous-réseaux et les sous-systèmes. Par masqué, on entend un procédé qui peut être utilisé pour exfiltrer l’information, comme la stéganographie.
  • Contrôles et activités connexes : Aucun.
• (19) Surveillance des systèmes : Risque envers les personnes
  • Mettre en œuvre [Affectation : surveillance supplémentaire définie par l’organisation] des personnes qui ont été identifiées par [Affectation : sources définies par l’organisation], car elles représentent un plus grand risque.
  • Discussion : On peut se fier à diverses sources pour déterminer si une personne pose de plus grands risques qu’une autre, comme les dossiers du personnel, les organismes de renseignement, les organismes d’application de la loi et d’autres sources crédibles. La surveillance des personnes est coordonnée avec les cadres supérieures et supérieurs de la gestion, des services juridiques, de la sécurité, de la protection des renseignements personnels et des ressources humaines, qui procèdent à une telle surveillance. La surveillance est effectuée conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.
  • Contrôles et activités connexes : Aucun.
• (20) Surveillance des systèmes : Utilisatrice ou utilisateur privilégié
  • Mettre en œuvre la surveillance supplémentaire suivante des utilisatrices et utilisateurs privilégiés : [Affectation : surveillance supplémentaire définie par l’organisation].
  • Discussion : Les utilisatrices et utilisateurs privilégiés ont accès à de l’information plus sensible, comme l’information liée à la sécurité, que le reste des utilisatrices et utilisateurs généraux. L’accès à une telle information signifie que les utilisatrices et utilisateurs privilégiés peuvent potentiellement causer des dommages plus grands aux systèmes et aux organisations que les utilisatrices ou utilisateurs non privilégiés. Par conséquent, la mise en œuvre d’une surveillance supplémentaire des utilisatrices et utilisateurs privilégiés permet de s’assurer que les organisations peuvent relever les activités malveillantes le plus rapidement possible et prendre les mesures appropriées.
  • Contrôles et activités connexes : AC-18.
• (21) Surveillance des systèmes : Périodes d’essai
  • Mettre en œuvre la surveillance supplémentaire suivante des personnes pendant [Affectation : période probatoire définie par l’organisation] : [Affectation : surveillance supplémentaire définie par l’organisation].
  • Discussion : Au cours des périodes probatoires, la situation d’emploi des employées et employés n’est pas permanente au sein des organisations. La surveillance accrue des personnes dont la situation d’emploi n’est pas permanente ou qui ne peuvent accéder à l’information qui réside sur le système peut aider à relever les activités potentiellement malveillantes ou les comportements inappropriés.
  • Contrôles et activités connexes : AC-18.
• (22) Surveillance des systèmes : Services réseau non autorisés
  • 1. Détecter les services réseau qui n’ont pas été autorisés ou approuvés par [Affectation : processus d’autorisation et d’approbation définis par l’organisation]
    2. Sélection (un choix ou plus) : Vérifier; Alerter [Affectation : personnel ou rôles définis par l’organisation] lorsqu’une menace est détectée
  • Discussion : Les services réseau non autorisés ou non approuvés comprennent, les services dans les architectures axées sur le service qui manquent de vérification ou de validation organisationnelle et qui pourraient donc être non fiables ou servir d’agent malveillant infiltré dans un service légitime.
  • Contrôles et activités connexes : CM-07.
• (23) Surveillance des systèmes : Dispositifs au niveau de l’hôte
  • Mettre en œuvre les mécanismes de surveillance au niveau de l’hôte suivants sur [Affectation : composants de systèmes désignés par l’organisation] : [Affectation : mécanismes de surveillance au niveau de l’hôte désignés par l’organisation].
  • Discussion : La surveillance au niveau de l’hôte collecte l’information concernant l’hôte (ou le système dans lequel il réside). Les composants de systèmes dans lesquels la surveillance au niveau de l’hôte peut être mise en œuvre comprennent les ordinateurs blocs-notes et les appareils mobiles. L’organisation pourrait envisager d’employer des mécanismes de surveillance au niveau de l’hôte provenant de plusieurs développeuses, développeurs ou fournisseurs de produits.
  • Contrôles et activités connexes : AC-18 et AC-19.
• (24) Surveillance des systèmes : Indicateurs de compromission
  • Découvrir, collecter et distribuer à [Affectation : personnel ou rôles définis par l’organisation] les indicateurs de compromission fournis par [Affectation : sources définies par l’organisation].
  • Discussion : Les indicateurs de compromissions sont des artéfacts judiciaires des intrusions qui ont été relevées dans le système de l’organisation au niveau de l’hôte ou du réseau. Ils fournissent de l’information précieuse sur les systèmes qui ont été compromis. Les indicateurs de compromission peuvent comprendre la création de valeurs de clés de Registre. Les indicateurs de compromission du trafic réseau comprennent des éléments du localisateur de ressources uniformes (URL pour Universal Resource Locator) ou du protocole qui indiquent que les serveurs ont reçu des instructions de commande et de contrôle (C2) d’un programme malveillant. L’adoption et la distribution rapides des indicateurs de compromission peuvent améliorer la sécurité de l’information en réduisant le laps de temps pendant lequel les systèmes et les organisations sont vulnérables aux mêmes exploits ou attaques. Les indicateurs de menace, les tactiques, les techniques, les procédures et les autres indicateurs de compromission peuvent être accessibles dans le cadre de coopérations gouvernementales et non gouvernementales, comme le Forum of Incident Response and Security Teams (FIRST), l’Échange canadien de menaces cybernétiques (ECMC) et le Centre pour la cybersécurité en tant qu’équipe d’intervention en cas d’urgence informatique (CERT-CA).
  • Contrôles et activités connexes : AC-18.
• (25) Surveillance des systèmes : Optimisation de l’analyse du trafic réseau
  • Fournir de la visibilité du trafic réseau aux interfaces des systèmes externes et internes clés afin d’optimiser l’efficacité des dispositifs de surveillance.
  • Discussion : Le trafic chiffré, les architectures de routage asymétriques, les limites relatives aux capacités et à la latence, et la transition des anciennes aux nouvelles technologies (par exemple, la transition des protocoles réseau IPv4 à IPv6) peuvent donner lieu à des zones de vulnérabilité au moment d’analyser le trafic réseau. Limiter la collecte, le déchiffrement, le prétraitement et la distribution du trafic pertinent aux dispositifs de surveillance peut simplifier l’efficacité et l’utilisation des dispositifs et optimiser l’analyse du trafic.
  • Contrôles et activités connexes : AC-18.

Références

• SCT, Politique sur la sécurité du gouvernement
• SCT, Politique sur les services et le numérique
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Directive sur la gestion de la sécurité – Annexe G : Procédures obligatoires relatives aux mesures de sécurité dans la gestion des événements
• SCT, Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC)
• SCT, Guide sur la consignation d’événements

SI-05 Alertes, avis et directives de sécurité

Contrôle

1. Recevoir régulièrement de [Affectation : organisations externes désignées par l’organisation] des alertes, des avis et des directives de sécurité concernant les systèmes
2. Générer les alertes, les avis et les directives de sécurité internes, au besoin
3. Diffuser les alertes, les avis et les directives de sécurité à : [Sélection (un choix ou plus) : [Affectation : personnel ou rôles définis par l’organisation]; [Affectation : éléments au sein de l’organisation définis par l’organisation]; [Affectation : organisations externes désignées par l’organisation]]
4. Mettre en œuvre les directives de sécurité dans les délais prescrits ou informer l’organisation émettrice du degré de non-respect

Discussion

Le Centre pour la cybersécurité produit les alertes et les avis de sécurité visant à assurer une connaissance de la situation dans l’ensemble du GC. Les directives de sécurité sont émises par le SCT ou d’autres organisations désignées ayant la responsabilité et l’autorité d’émettre de telles directives. La conformité aux directives de sécurité est essentielle en raison de la nature critique d’un grand nombre de ces directives et des effets néfastes immédiats possibles sur les opérations et les biens organisationnels, sur les utilisatrices et utilisateurs, sur d’autres organisations et sur l’ensemble du pays dans l’éventualité où les directives ne sont pas mises en œuvre rapidement. Les organisations externes comprennent les partenaires de la chaîne d’approvisionnement, les partenaires externes de la mission ou des activités, les fournisseurs de services externes et les autres organisations homologues ou de soutien.

Contrôles et activités connexes

PM-15, RA-05 et SI-02.

Améliorations

• (01) Alertes, avis et directives de sécurité : Alertes et avis automatisés
  • Utiliser [Affectation : mécanismes automatisés définis par l’organisation] pour diffuser l’information contenue dans les alertes et les avis de sécurité à l’ensemble de l’organisation.
  • Discussion : Le nombre important de changements aux systèmes organisationnels et aux environnements opérationnels font en sorte qu’il est nécessaire de diffuser de l’information concernant la sécurité à une vaste gamme d’entités organisationnelles pour qui la réussite des fonctions liées à la mission et aux activités de l’organisation est de première importance. En fonction de l’information fournie par les alertes et les avis de sécurité, il peut s’avérer nécessaire d’effectuer des changements à chacun des trois niveaux hiérarchiques de la gestion des risques liés à la sécurité de l’information, comme le niveau de gouvernance, le niveau du processus lié à une mission à une activité, ou le niveau du système d’information.
  • Contrôles et activités connexes : Aucun.

Références

SCT, Politique sur la sécurité du gouvernement

SI-06 Vérification des fonctions de sécurité et de protection de la vie privée

Contrôle

1. Vérifier l’exploitation correcte de [Affectation : fonctions de sécurité et de protection de la vie privée définies par l’organisation]
2. Procéder à la vérification des fonctions indiquées dans le contrôle SI-06A [Sélection (un choix ou plus) : [Affectation : états transitionnels du système définis par l’organisation]; à la demande d’une utilisatrice ou un utilisateur qui possède les privilèges appropriés; [Affectation : période définie par l’organisation]]
3. Alerter [Affectation : personnel ou rôles définis par l’organisation] advenant l’échec des tests de vérification de la sécurité et de la protection de la vie privée
4. [Sélection (un choix ou plus) : Arrêter le système; Redémarrer le système; [Affectation : autres mesures définies par l’organisation]] lorsque des anomalies sont relevées

Discussion

Les états transitionnels des systèmes comprennent notamment le démarrage, le redémarrage, l’arrêt et l’interruption. Les notifications du système comprennent les voyants lumineux sur le matériel, les alertes électroniques à l’intention des administratrices et administrateurs de systèmes et les messages affichés sur les consoles locales. Contrairement à la vérification des fonctions de sécurité, la vérification des fonctions de protection de la vie privée veille à s’assurer que les fonctions de protection de la vie privée fonctionnent comme prévu et sont approuvées par la ou le haut fonctionnaire ou cadre supérieur en matière de protection de la vie privée approprié, ou que les attributs de protection de la vie privée sont appliqués ou utilisés comme prévu.

Contrôles et activités connexes

CA-07, CM-04, CM-06 et SI-07.

Améliorations

• (01) Vérification des fonctions de sécurité et de protection de la vie privée : Notification des tests de sécurité infructueux
  • Annulé : Intégré au contrôle SI-06.
• (02) Vérification des fonctions de sécurité et de protection de la vie privée : Soutien automatisé pour les tests distribués
  • Mettre en œuvre des mécanismes automatisés pour soutenir la gestion des tests distribués des fonctions de sécurité et de protection de la vie privée.
  • Discussion : L’utilisation des mécanismes automatisés pour soutenir la gestion des tests de fonctionnalité distribués permet d’assurer l’intégrité, l’opportunité, l’exhaustivité et l’efficacité de ces tests.
  • Contrôles et activités connexes : SI-02.
• (03) Vérification des fonctions de sécurité et de protection de la vie privée : Rapports sur les résultats des vérifications
  • Faire rapport des résultats de la vérification des fonctions de sécurité et de protection de la vie privée à [Affectation : personnel ou rôles définis par l’organisation].
  • Discussion : Parmi les membres du personnel de l’organisation pour qui les résultats de la vérification des fonctions de sécurité et de protection de la vie privée pourraient représenter une question d’intérêt, on compte les agentes et agents de sécurité des systèmes, les hauts fonctionnaires dans la gouvernance de la sécurité du ministère et les hauts fonctionnaires ou cadres supérieures et supérieurs en matière de protection de la vie privée.
  • Contrôles et activités connexes : SI-04, SR-04 et SR-05.

Références

Aucune.

SI-07 Intégrité des logiciels, des micrologiciels et de l’information

Contrôle

1. Employer des outils de vérification pour détecter les changements non autorisés qui sont apportés aux logiciels, aux micrologiciels et à l’information suivants : [Affectation : logiciels, micrologiciels et information désignés par l’organisation]
2. Prendre les mesures suivantes lorsque des changements non autorisés sont détectés dans les logiciels, les micrologiciels et l’information : [Affectation : actions définies par l’organisation]

Discussion

Les changements non autorisés apportés aux logiciels, aux micrologiciels et à l’information peuvent être dus à des erreurs ou à des activités malveillantes. Les logiciels comprennent les systèmes d’exploitation (y compris les composants internes comme les noyaux ou les pilotes), les intergiciels et les applications. Les interfaces de micrologiciel comprennent l’interface micrologicielle extensible unifiée (UEFI pour Unified Extensible Firmware Interface) et le système de base d’entrée/sortie (BIOS pour Basic Input/Output System). L’information comprend les renseignements personnels et les métadonnées qui contiennent les attributs de sécurité et de protection de la vie privée associés à l’information. Les mécanismes de vérification de l’intégrité – y compris les vérifications de la parité, les vérifications cycliques de la redondance, les hachages cryptographiques et les outils connexes – peuvent automatiquement surveiller l’intégrité des systèmes et des applications hébergées.

Contrôles et activités connexes

AC-04, CM-03, CM-07, CM-08, MA-03, MA-04, RA-05, SA-08, SA-09, SA-10, SC-08, SC-12, SC-13, SC-28, SC-37, SI-03, SR-03, SR-04, SR-05, SR-06, SR-09, SR-10 et SR-11.

Améliorations

• (01) Intégrité des logiciels, des micrologiciels et de l’information : Contrôles d’intégrité
  • Effectuer un contrôle de l’intégrité de [Affectation : logiciels, micrologiciels et information définis par l’organisation] [Sélection (un choix ou plus) : au démarrage; à [Affectation : états transitionnels ou événements touchant la sécurité définis par l’organisation]; [Affectation : fréquence définie par l’organisation]].
  • Discussion : Les événements touchant la sécurité comprennent, l’identification de nouvelles menaces envers lesquelles les systèmes sont vulnérables et l’installation de nouveaux logiciels, matériel ou micrologiciels. Les états transitionnels comprennent le démarrage, le redémarrage, l’arrêt et l’interruption.
  • Contrôles et activités connexes : Aucun.
• (02) Intégrité des logiciels, des micrologiciels et de l’information : Automatisation des avis d’atteinte à l’intégrité
  • Utiliser des outils automatisés qui notifient [Affectation : personnel ou rôles définis par l’organisation] lors de la découverte d’écarts durant la vérification de l’intégrité.
  • Discussion : L’utilisation d’outils automatisés pour signaler les atteintes à l’intégrité des systèmes et de l’information et pour avertir le personnel de l’organisation en temps opportun est essentielle pour assurer une intervention efficace contre les risques. Parmi les membres du personnel pour qui les atteintes à l’intégrité de l’information et des systèmes représentent une question d’intérêt, on compte les propriétaires responsables de la mission et des activités, les propriétaires des systèmes, les hauts fonctionnaires dans la gouvernance de la sécurité du ministère, les hauts fonctionnaires ou cadres supérieures et supérieurs en matière de protection de la vie privée appropriés, les administratrices et administrateurs de système, les développeuses et développeurs de logiciels, les intégratrices et intégrateurs de systèmes, les responsables de la sécurité de l’information et les responsables de la protection de la vie privée.
  • Contrôles et activités connexes : Aucun.
• (03) Intégrité des logiciels, des micrologiciels et de l’information : Outils de vérification de l’intégrité gérés centralement
  • Utiliser des outils de vérification de l’intégrité gérés centralement.
  • Discussion : Les outils de vérification de l’intégrité gérés centralement offrent une plus grande conformité dans l’application de tels outils et peuvent faciliter une couverture plus exhaustive des mesures liées à la vérification de l’intégrité.
  • Contrôles et activités connexes : AU-03, SI-02 et SI-08.
• (04) Intégrité des logiciels, des micrologiciels et de l’information : Emballage avec sceau d’inviolabilité
  • Annulé : Intégré au contrôle SA-12.
• (05) Intégrité des logiciels, des micrologiciels et de l’information : Automatisation des interventions en cas d’atteinte à l’intégrité
  • [Sélection (un choix ou plus) : Arrêter le système; Redémarrer le système; Mettre en œuvre [Affectation : contrôles définis par l’organisation]] automatiquement lorsque des atteintes à l’intégrité sont relevées.
  • Discussion : Les organisations peuvent définir les différentes réponses aux vérifications de l’intégrité selon le type d’information, des renseignements précis ou une combinaison des deux. Les types d’information comprennent les micrologiciels, les logiciels et les données d’utilisateur. Les renseignements précis comprennent les micrologiciels de démarrage pour certains types de machines. La mise en œuvre automatique des contrôles dans les systèmes organisationnels comprend l’annulation des changements apportés, l’arrêt du système ou le déclenchement d’une alerte de vérification dès qu’un changement non autorisé s’effectue dans un fichier de sécurité essentiel.
  • Contrôles et activités connexes : Aucun.
• (06) Intégrité des logiciels, des micrologiciels et de l’information : Protection cryptographique
  • Mettre en œuvre des mécanismes de chiffrement pour détecter les modifications non autorisées apportées aux logiciels, aux micrologiciels et à l’information.
  • Discussion : Les mécanismes cryptographiques utilisés pour protéger l’intégrité comprennent les signatures numériques, le calcul et l’application d’un hachage signé faisant appel à la cryptographie asymétrique, la protection de la confidentialité de la clé utilisée pour produire le hachage, et l’utilisation de la clé publique pour vérifier l’information de hachage. Les organisations qui ont recours à des mécanismes de chiffrement devraient également considérer des solutions de gestion de clés cryptographiques.
  • Contrôles et activités connexes : SC-12 et SC-13.
• (07) Intégrité des logiciels, des micrologiciels et de l’information : Intégration de la détection et de l’intervention
  • Intégrer la détection des changements non autorisés apportés à la capacité d’intervention en cas d’incident de l’organisation : [Affectation : changements de sécurité apportés au système définis par l’organisation].
  • Discussion : Intégrer la détection et l’intervention aide à s’assurer que les événements sont suivis, surveillés, corrigés et conservés à des fins historiques. Il est important de conserver des documents historiques pour être en mesure de reconnaître et de discerner les actions adverses pendant une longue période et pour de possibles actions en justice. Les changements qui influent sur la sécurité comprennent les changements non autorisés apportés aux paramètres de configuration ou l’élévation non autorisée des privilèges sur le système.
  • Contrôles et activités connexes : AU-02, AU-06, IR-04, IR-05 et SI-04.
• (08) Firmware and information integrity: Vérification des capacités en cas d’événements importants
  • Après avoir détecté une possible atteinte à l’intégrité, fournir les capacités nécessaires pour vérifier l’événement et mettre en œuvre les mesures suivantes : [Sélection (un choix ou plus) : générer un enregistrement de vérification; alerter les utilisatrices et utilisateurs actuels; alerter [Affectation : personnel ou rôles définis par l’organisation]; [Affectation : autres mesures définies par l’organisation]].
  • Discussion : L’organisation sélectionne des mesures d’intervention du type de logiciel, du logiciel en particulier ou de l’information qui sont possiblement touchés par une atteinte à l’intégrité.
  • Contrôles et activités connexes : AU-02, AU-06 et AU-12.
• (09) Intégrité des logiciels, des micrologiciels et de l’information : Vérification du processus de démarrage
  • Vérifier l’intégrité du processus de démarrage des composants de systèmes suivants : [Affectation : composants de systèmes désignés par l’organisation].
  • Discussion : Il est essentiel d’assurer l’intégrité des processus de démarrage pour veiller à ce que les composants de systèmes soient sécurisés dès leur mise en marche. Les mécanismes de vérification de l’intégrité offrent un niveau d’assurance que seul du code sûr est exécuté pendant les processus de démarrage.
  • Contrôles et activités connexes : SI-06.
• (10) Intégrité des logiciels, des micrologiciels et de l’information : Protection des micrologiciels de démarrage
  • Mettre en œuvre les mécanismes suivants pour protéger l’intégrité du micrologiciel de démarrage dans [Affectation : composants de systèmes désignés par l’organisation] : [Affectation : mécanismes définis par l’organisation].
  • Discussion : Des modifications non autorisées apportées aux micrologiciels de démarrage peuvent être un signe précurseur d’une attaque ciblée sophistiquée. Ces types d’attaques ciblées peuvent donner lieu à un déni de service permanent ou à la présence persistante d’un programme malveillant. Ces situations peuvent survenir si le micrologiciel est corrompu ou si le programme malveillant est intégré dans le micrologiciel. Les composants de systèmes peuvent protéger l’intégrité des micrologiciels de démarrage dans les systèmes organisationnels en vérifiant l’intégrité de l’authenticité de toutes les mises à jour des micrologiciels de démarrage avant d’appliquer les changements au moment du démarrage des systèmes et en empêchant les processus non autorisés de modifier les micrologiciels de démarrage.
  • Contrôles et activités connexes : SI-06.
• (11) Intégrité des logiciels, des micrologiciels et de l’information : Environnements clos aux privilèges restreints
  • Annulé : Transféré sous le contrôle CM-07(06).
• (12) Intégrité des logiciels, des micrologiciels et de l’information : Vérification de l’intégrité
  • Exiger que l’intégrité des logiciels suivants soit vérifiée avant exécution : [Affectation : logiciels désignés par l’organisation].
  • Discussion : L’organisation vérifie l’intégrité des logiciels avant leur exécution afin de réduire les risques d’exécuter du code ou des programmes malveillants qui contiennent des erreurs découlant de modifications non autorisées. Les organisations considèrent la source du logiciel pour s’assurer que ce dernier et ses mises à jour proviennent de sources et/ou de sites autorisés et pour confirmer le caractère pratique des approches adoptées en ce qui a trait à la vérification de l’intégrité des logiciels, notamment la disponibilité de sommes de contrôle fiables de la part des développeuses, des développeurs et des fournisseurs de logiciels.
  • Contrôles et activités connexes : CM-11 et SI-02.
• (13) Intégrité des logiciels, des micrologiciels et de l’information : Exécution de code dans des environnements protégés
  • Annulé : Transféré sous le contrôle CM-07(07).
• (14) Intégrité des logiciels, des micrologiciels et de l’information : Code binaire ou exécutable sur machine
  • Annulé : Transféré sous le contrôle CM-07(08).
• (15) Intégrité des logiciels, des micrologiciels et de l’information : Authentification du code
  • Mettre en œuvre des mécanismes cryptographiques pour authentifier les composants logiciels ou micrologiciels suivants avant leur installation : [Affectation : composants logiciels ou micrologiciels désignés par l’organisation].
  • Discussion : Par authentification cryptographique on entend la vérification des composants de logiciels ou de micrologiciels signés numériquement avec des certificats reconnus et approuvés par l’organisation. La signature du code est une méthode efficace de protection contre le code malveillant. Les organisations qui ont recours à des mécanismes de chiffrement devraient également considérer des solutions de gestion de clés cryptographiques.
  • Contrôles et activités connexes : CM-05, SC-12, SC-13.
• (16) Intégrité des logiciels, des micrologiciels et de l’information : Limite temporelle sur l’exécution des processus sans supervision
  • Faire en sorte que les processus ne puissent pas s’exécuter sans supervision pour plus de [Affectation : période définie par l’organisation].
  • Discussion : L’imposition d’une limite temporelle sur l’exécution des processus sans supervision devrait s’appliquer aux processus pour lesquels le délai normal d’exécution peut être déterminé et aux situations où ces délais d’exécution sont dépassés au sein de l’organisation. La supervision peut être effectuée à l’aide des horloges des systèmes d’exploitation, d’interventions automatisées ou dans le cadre de la surveillance et des interventions manuelles en cas d’anomalies du processus du système.
  • Contrôles et activités connexes : Aucun.
• (17) Intégrité des logiciels, des micrologiciels et de l’information : Autoprotection des applications d’exécution
  • Mettre en œuvre [Affectation : contrôles définis par l’organisation] pour assurer l’autoprotection des applications d’exécution.
  • Discussion : L’autoprotection des applications d’exécution fait appel à l’instrumentation du moteur d’exécution pour détecter et bloquer l’exploitation des vulnérabilités logicielles en tirant avantage de l’information tirée du logiciel en cours d’exécution. La prévention de l’exploitation du moteur d’exécution diffère des mesures de protection traditionnelles basées sur le périmètre dans la mesure où les mécanismes de protection et les pare-feu ne peuvent détecter et bloquer les attaques qu’au moyen de l’information réseau, sans connaître le contexte.
    La technologie d’autoprotection des applications d’exécution peut faire en sorte que les logiciels soient moins susceptibles aux attaques en surveillant ses intrants et en bloquant ceux qui pourraient donner lieu à des attaques. Elle peut également aider à protéger l’environnement d’exécution contre les changements indésirables et le trafiquage. Lorsqu’une menace est détectée, la technologie d’autoprotection des applications d’exécution peut prévenir l’exploitation et prendre d’autres mesures (par exemple, envoyer un message d’avertissement à l’utilisatrice ou utilisateur, mettre fin à la session de l’utilisatrice ou utilisateur, arrêter l’application ou envoyer une alerte au personnel de l’organisation). Les technologies d’autoprotection des applications d’exécution peuvent être déployées en mode surveillance ou en mode protection.
  • Contrôles et activités connexes : SI-16.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• NIST FIPS 140-3 Security Requirements for Cryptographic Modules (en anglais seulement)
• NIST FIPS 180-4: Secure Hash Standard (SHS) (en anglais seulement)
• NIST FIPS 186-5 Digital Signature Standard (DSS) (en anglais seulement)
• NIST FIPS 202 SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions (en anglais seulement)

SI-08 Protection contre les pourriels

Contrôle

1. Utiliser des mécanismes de protection contre les pourriels aux points d’entrée et de sortie du système pour détecter les messages non sollicités et intervenir, le cas échéant
2. Mettre à jour les mécanismes de protection contre les pourriels dès la diffusion de nouvelles versions, conformément à la stratégie et aux procédures de gestion des configurations de l’organisation

Discussion

Les points d’entrée et de sortie du système comprennent les pare-feu, les serveurs d’accès à distance, les serveurs de courrier électronique, les serveurs Web, les serveurs mandataires, les stations de travail, les ordinateurs blocs-notes et les appareils mobiles. Les pourriels peuvent être transmis par différents moyens, y compris dans des courriels, dans les pièces jointes de courriels et par l’intermédiaire des accès Web. Les mécanismes de protection contre les pourriels comprennent les définitions de signature.

Contrôles et activités connexes

PL-09, SC-05, SC-07, SC-38, SI-03 et SI-04.

Améliorations

• (01) Protection contre les pourriels : Gestion centrale
  • Annulé : Intégré au contrôle PL-09.
• (02) Protection contre les pourriels : Mises à jour automatiques
  • Mettre à jour automatiquement les mécanismes de protection contre les pourriels [Affectation : fréquence définie par l’organisation].
  • Discussion : Utiliser des mécanismes automatisés pour mettre à jour les mécanismes de protection contre les pourriels permet de s’assurer que les mises à jour sont effectuées sur une base régulière et de fournir le plus récent contenu et les plus récentes capacités de protection.
  • Contrôles et activités connexes : Aucun.
• (03) Protection contre les pourriels : Capacité de perfectionnement continu
  • Mettre en œuvre des mécanismes de protection contre les pourriels avec une capacité d’apprentissage pour reconnaître le trafic de communications légitime plus efficacement.
  • Discussion : Les mécanismes d’apprentissage comprennent les filtres bayésiens qui mettent à jour les paramètres des algorithmes de manière à séparer plus efficacement le trafic légitime et les pourriels en se basant sur les données saisies par les utilisatrices et utilisateurs.
  • Contrôles et activités connexes : Aucun.

Références

Directive de mise en œuvre : protection du domaine de courrier (ITSP.40.065)

SI-09 Restrictions relatives à la saisie d’information

Annulé : Intégré aux contrôles AC-02, AC-03, AC-05 et AC-06.

SI-10 Validation de la saisie d’information

Contrôle

Vérifier la validité des saisies d’information suivantes : [Affectation : saisies d’information dans le système définies par l’organisation].

Discussion

Des règles de vérification de la validité de la syntaxe et des valeurs sémantiques des saisies du système – jeu de caractères, longueur, plage numérique, valeurs acceptables – sont mises en place pour s’assurer qu’elles respectent les définitions précisées en matière de format et de contenu. Par exemple, si l’organisation indique que seules les valeurs numériques entre 1 et 100 sont acceptées dans le champ d’une application donnée, les valeurs « 387 », « abc » ou « %K% » seront des saisies non valides qui seront refusées par le système.

Les entrées valides varieront probablement d’un champ à l’autre dans l’application logicielle. Les applications suivent habituellement des protocoles bien définis qui utilisent des messages structurés (c’est-à-dire des commandes ou des requêtes) pour établir des communications entre les modules logiciels ou les composants de système. Les messages structurés peuvent contenir des données brutes ou non structurées parsemées de métadonnées ou d’information de contrôle.

Si des applications logicielles utilisent des données saisies par un attaquant pour construire des messages structurés sans encoder de tels messages de manière adéquate, l’attaquant peut alors insérer des commandes malveillantes ou des caractères spéciaux qui pourraient faire en sorte que les données soient interprétées comme de l’information de contrôle ou des métadonnées. Par conséquent, le module ou le composant qui reçoit les saisies corrompues effectuera des opérations erronées ou interprétera les données incorrectement.

Les saisies transmises aux interpréteurs sont filtrées au préalable pour empêcher que leur contenu soit interprété accidentellement comme des commandes. La validation des saisies permet de s’assurer que les saisies sont exactes et correctes et de prévenir des attaques, comme les scripts intersites et toute une gamme d’attaques par injection.

Contrôles et activités connexes

Aucune.

Améliorations

• (01) Validation de la saisie d’information : Fonction de correction manuelle
  • 1. Fournir une fonction de correction manuelle pour la validation de la saisie de l’information suivante : [Affectation : saisies définies par l’organisation dans le contrôle de base (SI-10)]
    2. Restreindre l’utilisation de la fonction de correction manuelle à [Affectation : personnes autorisées désignées par l’organisation]
    3. Vérifier l’utilisation de la fonction de correction manuelle
  • Discussion : Dans certaines situations, comme lors d’événements relevant de plans d’urgence, une fonction de correction manuelle pourrait être nécessaire à la validation en entrée. Les fonctions de correction manuelle ne sont utilisées que dans des cas restreints et pour les types de saisies définis par l’organisation.
  • Contrôles et activités connexes : AC-03, AU-02 et AU-12.
• (02) Validation de la saisie d’information : Examen et résolution des erreurs
  • Examiner et résoudre les erreurs de validation en entrée dans les [Affectation : délais définis par l’organisation].
  • Discussion : La résolution des erreurs de validation de saisies comprend la correction des causes d’erreurs systémiques et la répétition des transactions une fois la saisie corrigée. Les erreurs de validation en entrée sont celles liées aux saisies d’information définies par l’organisation dans le contrôle de base (SI-10).
  • Contrôles et activités connexes : Aucun.
• (03) Validation de la saisie d’information : Comportements prévisibles
  • Vérifier que le système se comporte d’une manière prévisible et informée lorsque des saisies non valides sont reçues.
  • Discussion : Une vulnérabilité que l’on retrouve souvent dans les systèmes des organisations est le comportement imprévisible des systèmes lorsque des saisies non valides sont reçues. S’assurer que la prévisibilité du système permet de garantir que le système se comporte comme prévu lorsque des saisies non valides sont reçues en précisant les interventions que le système doit mettre en œuvre, ce qui facilite la transition du système vers un état connu sans incidences négatives ou imprévues. Les saisies non valides sont celles liées aux saisies d’information définies par l’organisation dans le contrôle de base (SI-10).
  • Contrôles et activités connexes : Aucun.
• (04) Validation de la saisie d’information : Chronométrage des interactions
  • Tenir compte du chronométrage des interactions entre les composants de systèmes lorsque vient le temps de déterminer les interventions appropriées à mettre en œuvre advenant des saisies non valides.
  • Discussion : Le chronométrage des interfaces prend toute son importance lors des interventions requises quand des saisies non valides sont reçues dans les interfaces de protocole et quand un protocole doit mesurer l’incidence de l’intervention sur les autres protocoles de la pile de protocoles.
    Par exemple, les protocoles réseau sans fil de la norme 802.11 n’interagissent pas très bien avec les protocoles de contrôle de transmission (TCP) lorsque des paquets sont supprimés (ce qui pourrait être causé par l’entrée d’un paquet non valide). Les protocoles TCP laissent présumer que les pertes de paquets sont dues à la congestion, tandis que les paquets perdus sur les liens 802.11 le sont habituellement en raison de collisions ou de bruit sur le lien. Si le protocole TCP intervient pour une congestion, il effectue précisément la mauvaise intervention pour régler un événement de collision.
    Les adversaires peuvent être en mesure d’utiliser des comportements de protocoles apparemment acceptables de concert pour obtenir des résultats négatifs grâce à la construction de saisies non valides. Les saisies non valides sont celles liées aux saisies d’information définies par l’organisation dans le contrôle de base (SI-10).
  • Contrôles et activités connexes : Aucun.
• (05) Validation de la saisie d’information : Restriction des saisies provenant de sources de confiance et de formats approuvés
  • Restreindre l’utilisation des saisies d’information à [Affectation : sources de confiance définies par l’organisation] et à [Affectation : formats définis par l’organisation].
  • Discussion : Restreindre l’utilisation des saisies aux sources de confiance et aux formats approuvés permet d’appliquer le concept des logiciels autorisés aux saisies d’information. Préciser les sources de confiance pour la saisie d’information et les formats acceptables de ces saisies réduit les risques d’activités malveillantes. Les saisies d’information sont celles définies par l’organisation dans le contrôle de base (SI-10).
  • Contrôles et activités connexes : AC-03 et AC-06.
• (06) Validation de la saisie d’information : Prévention de l’injection
  • Prévenir les injections de données non fiables.
  • Discussion : Il est possible de prévenir les injections de données non fiables en ayant recours à une interface paramétrable ou à l’échappement des données de sortie (codage de sortie). Les interfaces paramétrables séparent les données du code de manière à ce que les injections de données malveillantes ou inattendues ne puissent pas changer la sémantique des commandes envoyées. L’échappement des données de sortie utilise des caractères précis pour indiquer à l’analyseur de l’interpréteur si les données sont fiables ou non. La prévention des injections de données non fiables vise les saisies d’information définies par l’organisation dans le contrôle de base (SI-10).
  • Contrôles et activités connexes : AC-03 et AC-06.

Références

Aucune.

SI-11 Traitement des erreurs

Contrôle

1. Générer des messages d’erreur qui fournissent l’information nécessaire à l’application de mesures correctives sans toutefois révéler des données qui pourraient être exploitées
2. Révéler les messages d’erreur seulement à [Affectation : personnel ou rôles définis par l’organisation]

Discussion

L’organisation élabore la structure et le contenu des messages d’erreur. La mesure dans laquelle les systèmes peuvent gérer les conditions d’erreur repose sur la stratégie et les exigences de l’organisation. L’information exploitable comprend les détails relatifs aux traces de pile et à la mise en œuvre, les tentatives infructueuses de connexion où le mot de passe est saisi dans le champ du nom d’utilisateur par erreur, les renseignements liés à la mission et aux activités que l’on peut déduire de l’information consignée (ou qui s’y trouvent explicitement), ainsi que les renseignements personnels comme les numéros de compte, les numéros d’assurance sociale ou les numéros de carte de crédit. Les messages d’erreur peuvent servir de voie clandestine pour la transmission d’informations.

Contrôles et activités connexes

AU-02, AU-03, SC-31, SI-02 et SI-15.

Améliorations

Aucune.

Références

Aucune.

SI-12 Gestion et conservation de l’information

Contrôle

Gérer et conserver l’information au sein du système et les sorties d’information du système conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes, aux lignes directrices et aux exigences opérationnelles applicables.

Discussion

Les exigences en matière de gestion et de conservation de l’information s’appliquent à l’ensemble du cycle de vie de l’information et, dans certains cas, vont au-delà du retrait de l’élimination du système. L’information à conserver peut également comprendre des stratégies, des procédures, des plans, des rapports, des sorties de données découlant de la mise en œuvre de contrôles et d’autres types d’information administrative.

Bibliothèque et Archives Canada fournit la politique et les directives fédérales concernant la conservation des documents et le calendrier de conservation. Le pouvoir d’éliminer est accordé en vertu d’un instrument de disposition signé par Bibliothèques et Archives Canada. Les calendriers de conservation sont établis dans le cadre d’une collaboration entre les responsables du programme et les agentes et agents de la gestion de l’information et de manière à conserver les renseignements personnels pour le minimum de temps requis.

Si les organisations ont un bureau de gestion de la documentation, il convient d’inclure le personnel de la gestion de la documentation dans ce processus. Les enregistrements produits à partir des sorties des contrôles mis en œuvre susceptibles d’être sujets à la gestion et à la conservation comprennent, sans s’y limiter : tous les contrôles XX-01, AC-06(09), AT-04, AU-12, CA-02, CA-03, CA-05, CA-06, CA-07, CA-08, CA-09, CM-02, CM-03, CM-04, CM-06, CM-08, CM-09, CM-12, CM-13, CP-02, IR-06, IR-08, MA-02, MA-04, PE-02, PE-08, PE-16, PE-17, PL-02, PL-04, PL-07, PL-08, PM-05, PM-08, PM-09, PM-18, PM-21, PM-27, PM-28, PM-30, PM-31, PS-02, PS-06, PS-07, PT-02, PT-03, PT-07, RA-02, RA-03, RA-05, RA-08, SA-04, SA-05, SA-08, SA-10, SI-04, SR-02, SR-04 et SR-08.

Contrôles et activités connexes

AC-16, AU-05, AU-11, CA-02, CA-03, CA-05, CA-06, CA-07, CA-09, CM-05, CM-09, CP-02, IR-08, MP-02, MP-03, MP-04, MP-06, PL-02, PL-04, PM-04, PM-08, PM-09, PS-02, PS-06, PT-02, PT-03, RA-02, RA-03, SA-05, SA-08 et SR-02.

Améliorations

• (01) Gestion et conservation de l’information : Limitation des éléments liés aux renseignements personnels
  • Limiter le traitement des renseignements personnels dans le cycle de vie de l’information aux éléments de renseignements personnels suivants : [Affectation : éléments des renseignements personnels définis par l’organisation].
  • Discussion : Limiter la conservation des renseignements personnels tout au long du cycle de vie de l’information lorsque cette information n’est pas nécessaire à des fins opérationnelles aide à réduire le niveau de risque d’atteinte à la vie privée engendré par un système. Le cycle de vie de l’information comprend la création, la collecte, l’utilisation, le traitement, le stockage, la tenue à jour, la diffusion, la divulgation et l’élimination de l’information. Les évaluations des risques, de même que les lois, la réglementation et les politiques applicables, peuvent fournir des données utiles pour déterminer les éléments des renseignements personnels susceptibles de poser un risque.
  • Discussion au sein du GC : Le Règlement sur la protection des renseignements personnels stipule que les renseignements personnels utilisés pour prendre des décisions de nature administrative doivent être conservés pendant deux ans suivant la dernière mesure administrative effectuée afin de permettre aux individus de demander l’accès à leurs renseignements personnels. Si les renseignements personnels sont agrégés et qu’il est déterminé que l’individu ne peut être identifié de nouveau au moyen des données agrégées, cette information peut être conservée aussi longtemps que nécessaire.
  • Contrôles et activités connexes : PM-25.
• (02) Gestion et conservation de l’information : Réduction des renseignements personnels utilisés aux fins de tests, de formation et de recherche
  • Utiliser les techniques suivantes pour limiter l’utilisation de renseignements personnels aux fins de recherche, de test ou de formation : [Affectation : techniques définies par l’organisation].
  • Discussion : Les organisations peuvent minimiser le risque qui pèse sur la vie privée des individus en faisant appel à des techniques comme la dépersonnalisation ou les données synthétiques. Limiter l’utilisation des renseignements personnels tout au long du cycle de vie de l’information lorsque cette information n’est pas nécessaire aux fins de recherche, de test ou de formation aide à réduire le niveau de risque d’atteinte à la vie privée engendré par un système. Les évaluations des risques, de même que les lois, la réglementation et les politiques applicables, peuvent fournir des données utiles pour déterminer les techniques à utiliser et quand les utiliser.
  • Discussion au sein du GC : Si des renseignements personnels doivent être utilisés aux fins de recherche, de test ou de formation, un avis préalable devrait être fourni aux individus quant à cette utilisation et le FRP connexe (le cas échéant) devrait tenir compte d’une telle utilisation. Si l’utilisation des renseignements personnels à ces fins n’est pas considérée comme étant conforme à l’objectif de la collecte, il pourrait être nécessaire d’obtenir un consentement pour utiliser les renseignements personnels.
  • Contrôles et activités connexes : PM-22, PM-25 et SI-19.
• (03) Gestion et conservation de l’information : Élimination de l’information
  • Utiliser les techniques suivantes pour éliminer, détruire ou supprimer l’information à la fin de la période de conservation : [Affectation : techniques définies par l’organisation].
  • Discussion : Les organisations peuvent minimiser les risques liés à la sécurité et à la protection de la vie privée en éliminant l’information qui n’est plus nécessaire. L’élimination ou la destruction de l’information s’applique aux enregistrements originaux, ainsi qu’aux copies et aux archives, y compris les journaux système, qui peuvent contenir des renseignements personnels.
  • Contrôles et activités connexes : Aucun.

Références

• Nettoyage des supports de TI (ITSP.40.006)
• GRC, Guide de destruction sécurisée (GSMGC-001)
• SCT, Directive sur la gestion de la sécurité – Annexe E : Procédures obligatoires relatives aux mesures de sécurité de la gestion de l’information
• SCT, Directive sur la gestion de la sécurité – Annexe J : Norme sur la catégorisation de sécurité
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• Règlement sur la protection des renseignements personnels (DORS/83-508)

SI-13 Prévention des pannes prévisibles

Contrôle

1. Déterminer la durée moyenne de fonctionnement avant défaillance (MTTF pour Mean Time to Failure) des composants de systèmes suivants dans des environnements d’exploitation donnés : [Affectation : composants de systèmes désignés par l’organisation]
2. Fournir des composants de système de remplacement et un mécanisme d’échange des rôles actifs et passifs des composants conformément aux critères suivants : [Affectation : critères de remplacement de la MTTF définis par l’organisation]

Discussion

Bien que la MTTF soit essentiellement un problème de fiabilité, la prévention des pannes prévisibles vise à atténuer les défaillances potentielles des composants de systèmes qui fournissent des capacités de sécurité. Les taux de défaillance sont propres aux installations et ne tiennent pas compte des moyennes définies par l’industrie. L’organisation définit les critères de substitution des composants de systèmes en se basant sur la MTTF et en considérant les dommages que causerait une éventuelle défaillance des composants. Le transfert des responsabilités entre les composants actifs et passifs ne compromet en rien la sûreté, l’état de préparation opérationnelle ou les capacités de sécurité. La préservation des variables d’état des systèmes est également essentielle pour assurer le bon déroulement du processus de transfert. Le composant passif est accessible en permanence, sauf pendant une procédure de reprise après défaillance ou pour des motifs de maintenance.

Contrôles et activités connexes

CP-02, CP-10, CP-13, MA-02, MA-06, SA-08 et SC-06.

Améliorations

• (01) Prévention des pannes prévisibles : Transfert des responsabilités d’un composant
  • Mettre les composants de systèmes hors service en transférant ses responsabilités à un composant de remplacement à l’intérieur de [Affectation : fraction ou pourcentage définis par l’organisation] de la durée moyenne de fonctionnement avant défaillance.
  • Discussion : Il est important de transférer les responsabilités d’un composant de système principal à un autre composant de remplacement avant la défaillance du composant principal pour réduire le risque de dégradation ou de détérioration des fonctions liées à la mission ou aux activités de l’organisation. Procéder à de tels transferts selon un pourcentage de la MTTF permet aux organisations de faire preuve de proactivité en fonction de leur tolérance au risque. Cela dit, le remplacement prématuré des composants de systèmes peut donner lieu à de plus grands coûts d’exploitation des systèmes.
  • Contrôles et activités connexes : Aucun.
• (02) Prévention des pannes prévisibles : Limite temporelle sur l’exécution des processus sans supervision
  • Annulé : Intégré au contrôle SI-07(16).
• (03) Prévention des pannes prévisibles : Transfert manuel entre les composants
  • Procéder manuellement aux transferts entre les composants de systèmes actifs et passifs lorsque l’utilisation d’un composant actif atteint [Affectation : pourcentage défini par l’organisation] de la MTTF.
  • Discussion : Par exemple, si la MTTF d’un composant de système est de 100 jours et que le pourcentage de la MTTF qui a été défini par l’organisation est de 90 %, le transfert manuel se sera effectué après 90 jours.
  • Contrôles et activités connexes : Aucun.
• (04) Prévention des pannes prévisibles : Installation des composants passifs et notification
  • Lors de la détection d’une défaillance d’un composant de système :
    1. s’assurer que les composants passifs sont bien installés de manière transparente dans les [Affectation : délais définis par l’organisation]
    2. [Sélection (un choix ou plus) : activer [Affectation : alarme définie par l’organisation]; mettre automatiquement le système hors tension; [Affectation : action définie par l’organisation]]
  • Discussion : Le transfert automatique ou manuel de composants du mode passif au mode actif peut survenir lorsque la défaillance d’un composant est détectée.
  • Contrôles et activités connexes : Aucun.
• (05) Prévention des pannes prévisibles : Capacité de basculement
  • Fournir [Affectation : capacité de basculement définie par l’organisation] en [Sélection (un choix) : temps réel; temps quasi réel].
  • Discussion : Par basculement, on entend le passage automatique à un système de remplacement lors de la défaillance du système principal. La capacité de basculement comprend la mise en miroir des opérations du système dans un site de traitement auxiliaire ou la mise en miroir périodique des données à intervalles réguliers durant une période définie par la durée de reprise de l’organisation.
  • Contrôles et activités connexes : CP-06, CP-07 et CP-09.

Références

Aucune.

SI-14 Non-persistance

Contrôle

Mettre en œuvre des [Affectation : composants du système et services désignés par l’organisation] non persistants initialisés dans un état connu et interrompus [Sélection (un choix ou plus) : à la fin de la période d’utilisation; périodiquement [Affectation : fréquence déterminée par l’organisation]].

Discussion

La mise en œuvre de composants et de services non persistants atténue les risques liés aux MPA en réduisant considérablement la capacité de ciblage des adversaires (par exemple, les créneaux et la surface d’attaque) qui préparent et lancent des attaques. En appliquant le concept de non-persistance à des composants sélectionnés du système, l’organisation dispose de ressources informatiques fiables dont l’état est connu, et ce, pendant une période précise qui ne laisse pas le temps aux adversaires d’exploiter les vulnérabilités de ses systèmes ou de ses environnements d’exploitation.

Puisque les MPA sont des menaces sophistiquées de pointe en ce qui a trait à leurs capacités, à leurs intentions et à l’établissement de cibles, les organisations présument qu’à long terme, certaines attaques seront fructueuses. Les composants et services non persistants du système sont activés au besoin à l’aide d’informations protégées et sont interrompus périodiquement ou à la fin de la session. La non-persistance accroît la somme de travail des adversaires qui tentent de compromettre ou de pénétrer les systèmes organisationnels.

Des composants non persistants du système peuvent être mis en œuvre en restaurant des composants de systèmes, en effectuant un redéploiement périodique de l’image ou en utilisant différentes techniques courantes de virtualisation. Les services non persistants peuvent être mis en œuvre au moyen de techniques de virtualisation en tant que machines virtuelles ou comme nouvelles instances de processus dans des machines physiques (persistantes et non persistantes).

L’avantage des restaurations périodiques des composantes de systèmes et des services est qu’elles n’exigent pas que les organisations déterminent d’abord si les composants ou les services ont été compromis (ce qui peut parfois être difficile à déterminer). Les composants et services sont changés à une fréquence suffisante pour prévenir le déploiement d’attaques tout en maintenant la stabilité du système. La restauration de composants et services essentiels peut être effectuée périodiquement afin d’empêcher les adversaires d’exploiter les vulnérabilités optimales du système.

Contrôles et activités connexes

SC-30, SC-34 et SI-21.

Améliorations

• (01) Non-persistance : Restauration à partir de sources de confiance
  • Obtenir les données et les logiciels utilisés au cours de la restauration des composants de systèmes et des services à partir des sources de confiance suivantes : [Affectation : sources de confiance définies par l’organisation].
  • Discussion : Les sources de confiance comprennent les supports non réinscriptibles provenant d’installations sélectionnées de stockage hors ligne.
  • Contrôles et activités connexes : Aucun.
• (02) Non-persistance : Information non persistante
  • 1. [Sélection (un choix) : Restaurer [Affectation : information définie par l’organisation] [Affectation : fréquence définie par l’organisation]; Générer [Affectation : information définie par l’organisation] sur demande]
    2. Supprimer l’information qui n’est plus nécessaire
  • Discussion : Conserver l’information plus longtemps que nécessaire en fait une cible potentielle pour les adversaires dotés de moyens sophistiqués qui cherchent à cibler les biens de grande importance afin de compromettre les systèmes en exfiltrant l’information ou en procédant à des divulgations ou à des modifications non autorisées. Pour l’information relative au système, une conservation de documents inutile fournit aux adversaires dotés de moyens sophistiqués l’information dont ils ont besoin pour faciliter la reconnaissance et se déplacer latéralement dans le système.
  • Contrôles et activités connexes : Aucun.
• (03) Non-persistance : Connectivité non persistante
  • Établir des connexions au système sur demande et mettre fin aux connexions [Sélection (un choix) : une fois la demande terminée; après une période de non-utilisation].
  • Discussion : Les connexions persistantes aux systèmes peuvent fournir aux adversaires dotés de moyens sophistiqués les chemins d’accès qui leur permettront de se déplacer latéralement dans les systèmes et, possiblement, se rapprocher des biens de grande importance. Limiter l’accessibilité à de telles connexions freine la capacité des adversaires à se déplacer librement entre les systèmes de l’organisation.
  • Contrôles et activités connexes : SC-10.

Références

Aucune.

SI-15 Filtrage des sorties d’information

Contrôle

Valider les sorties d’information des applications et/ou des programmes informatiques suivants pour s’assurer que l’information est conforme au contenu auquel l’on s’attend : [Affectation : applications et/ou programmes informatiques désignés par l’organisation].

Discussion

Certains types d’attaques, comme les injections SQL (Structured Query Language) produisent des sorties d’information inattendues ou en contradiction avec les résultats auxquels l’on s’attend en temps normal de la part des applications ou des programmes informatiques. Le filtrage des sorties d’information met l’accent sur la détection de contenu étranger ou superflu pour l’empêcher de s’afficher, puis alerte les outils de surveillance que des comportements anormaux ont été découverts.

Contrôles et activités connexes

SI-03, SI-04 et SI-11.

Améliorations

Aucune.

Références

Aucune.

SI-16 Protection de la mémoire

Contrôle

Mettre en place les contrôles suivants pour protéger la mémoire du système contre l’exécution de code non autorisé : [Affectation : contrôles définis par l’organisation].

Discussion

Certains adversaires lancent des attaques dans l’intention d’exécuter du code dans des régions de mémoire non exécutables ou dans des régions de mémoire interdites. Les contrôles employés pour protéger la mémoire comprennent la prévention de l’exécution de données et le mécanisme de distribution aléatoire de l’espace d’adressage (ASLR pour Address Space Layout Randomization). Les contrôles de sécurité contre l’exécution de données peuvent être renforcés par du matériel ou des logiciels auxquels sont ajoutés des éléments matériels qui renforcent le mécanisme.

Contrôles et activités connexes

AC-25, SC-03 et SI-07.

Améliorations

Aucune.

Références

Aucune.

SI-17 Procédures de sécurité intégrée

Contrôle

Mettre en place les procédures de sécurité intégrée indiquées lorsque les défaillances suivantes se produisent : [Affectation : liste des conditions de défaillance et des procédures de sécurité intégrée connexes établie par l’organisation].

Discussion

Les conditions de défaillance comprennent la perte de communication entre des composants essentiels de systèmes ou entre des composants de systèmes et les installations opérationnelles. Les procédures de sécurité intégrée comprennent les alertes à l’intention du personnel et la diffusion de consignes claires sur les prochaines étapes à suivre. Les prochaines étapes pourraient consister à ne rien faire, à rétablir les paramètres de système, à arrêter les processus, à redémarrer le système ou à communiquer avec le personnel désigné de l’organisation.

Contrôles et activités connexes

CP-12, CP-13, SC-24 et SI-13.

Améliorations

Aucune.

Références

Aucune.

SI-18 Opérations liées à la qualité des renseignements personnels

Contrôle

1. Assurer l’exactitude, la pertinence, la rapidité et l’exhaustivité des renseignements personnels utilisés à des fins administratives tout au long du cycle de vie de l’information [Affectation : fréquence définie par l’organisation]
2. Corriger ou supprimer les renseignements personnels inexacts ou obsolètes

Discussion

Les opérations liées à la qualité des renseignements personnels comprennent les étapes prises par l’organisation pour confirmer l’exactitude et la pertinence des renseignements personnels tout au long du cycle de vie de l’information. Le cycle de vie de l’information comprend la création, la collecte, l’utilisation, le traitement, le stockage, la tenue à jour, la diffusion, la divulgation et l’élimination des renseignements personnels. Les opérations liées à la qualité des renseignements personnels comprennent la modification et la validation des adresses dans le cadre de leur collecte ou de leur saisie dans les systèmes au moyen d’API utilisées pour la vérification automatisée des adresses.

Vérifier la qualité des renseignements personnels consiste à faire le suivi des mises à jour ou des changements apportés aux données au fil du temps dans le but de permettre à l’organisation de savoir quels renseignements personnels ont été modifiés et de quelle manière advenant le cas où des renseignements erronés seraient découverts. Les mesures prises pour protéger la qualité des renseignements personnels sont basées sur la nature et le contexte des renseignements personnels, la façon dont ils sont utilisés et obtenus, ainsi que le potentiel des méthodes de dépersonnalisation employées.

Discussion au sein du GC

Si elles utilisent ou prévoient utiliser les renseignements personnels à des fins administratives, les organisations doivent en assurer l’exactitude. Les mesures prises pour valider l’exactitude des renseignements utilisés pour prendre des décisions quant aux droits, aux avantages ou aux privilèges des personnes relevant de programmes fédéraux peuvent être plus exhaustives que celles employées pour valider les renseignements personnels utilisés à des fins moins sensibles.

Les personnes ont le droit de demander que les renseignements inexacts soient corrigés dans les dossiers du gouvernement si elles croient qu’il y a eu une erreur ou une omission. Les organisations doivent informer les personnes de la correction ou de la mention. Les organisations exercent un pouvoir discrétionnaire au moment de déterminer s’il convient de corriger ou de supprimer l’information personnelle selon l’ampleur des demandes, les changements à apporter, l’incidence des changements, ainsi que les lois, la réglementation et les politiques. Le personnel de l’organisation consulte la ou le haut fonctionnaire ou cadre supérieur et la conseillère ou le conseiller juridique en matière de protection de la vie privée concernant les instances appropriées de correction ou de suppression.

Contrôles et activités connexes

PM-22, PM-24, PT-02 et SI-04.

Améliorations

• (01) Opérations liées à la qualité des renseignements personnels : Soutien à l’automatisation
  • Corriger ou supprimer les renseignements personnels inexacts ou obsolètes, ceux dont l’incidence a été mal déterminée ou ceux qui ont été mal dépersonnalisés au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
  • Discussion : Le recours à des mécanismes automatisés pour améliorer la qualité des données peut créer des risques d’atteinte à la vie privée par inadvertance. Les outils automatisés peuvent se connecter à des systèmes externes ou indépendants et la mise en correspondance des enregistrements entre ces systèmes peut établir des recoupements et entraîner des conséquences imprévues. Les organisations évaluent et documentent ces risques dans leur EFVP et prennent des décisions conformément à leurs plans du programme de protection de la vie privée.
    Comme les données sont obtenues et utilisées tout au long du cycle de vie de l’information, il est important de confirmer l’exactitude et la pertinence des renseignements personnels. Les mécanismes automatisés peuvent renforcer les procédures et processus actuels en matière de qualité des données et permettre à une organisation de mieux relever et gérer les renseignements personnels dans des systèmes à grande échelle.
    Par exemple, des outils automatisés peuvent grandement faciliter les efforts déployés pour normaliser constamment les données ou relever les données malformées. Les outils automatisés peuvent également servir à améliorer la vérification des données et à détecter les erreurs susceptibles de modifier incorrectement les renseignements personnels ou d’associer par erreur ces renseignements personnels à la mauvaise personne. Les capacités automatisées renforcent les processus et les procédures à grande échelle et permettent d’assurer une détection ou une correction plus granulaires des erreurs liées à la qualité des données.
  • Contrôles et activités connexes : PM-18 et RA-08.
• (02) Opérations liées à la qualité des renseignements personnels : Étiquetage des données
  • Employer les étiquettes de données pour automatiser la correction ou la suppression des renseignements personnels tout au long du cycle de vie de l’information dans les systèmes organisationnels.
  • Discussion : Les renseignements personnels faisant l’objet d’un étiquetage comprennent les étiquettes qui font mention des autorisations de traitement, l’autorité en matière de collecte, la dépersonnalisation, le niveau d’incidence, la phase du cycle de vie de l’information, ainsi que les dates de conservation ou de la dernière mise à jour. Employer des étiquettes de données pour les renseignements personnels peut soutenir l’utilisation des outils d’automatisation visant à corriger ou à supprimer les renseignements personnels.
  • Contrôles et activités connexes : AC-03, AC-16 et SC-16.
• (03) Opérations liées à la qualité des renseignements personnels : Collecte
  • Collecter les renseignements personnels directement des individus, dans la mesure du possible.
  • Discussion : Les individus ou leurs représentantes et représentants désignés peuvent être des sources de renseignements personnels erronés. Les organisations considèrent des facteurs contextuels qui peuvent faire en sorte que des individus fournissent des renseignements personnels erronés. Des étapes supplémentaires peuvent être nécessaires pour valider les renseignements personnels, selon la façon dont ils sont utilisés et comment ils ont été obtenus. Les mesures prises pour valider l’exactitude des renseignements utilisés pour prendre des décisions quant aux droits, aux avantages ou aux privilèges des personnes relevant de programmes fédéraux peuvent être plus exhaustives que celles employées pour valider les renseignements personnels utilisés à des fins moins sensibles.
  • Discussion au sein du GC : Lorsque cela s’avère possible, les organisations doivent recueillir les renseignements personnels qu’elles envisagent d’utiliser à des fins administratives auprès de l’individu à qui ces renseignements se rapportent, sauf dans les cas où l’autorisation de l’individu n’a pas été obtenue ou que les renseignements peuvent être divulgués par une autre source crédible, pour autant que cette divulgation génère des renseignements exacts et que l’utilisation pour laquelle les renseignements sont recueillis ne va pas à l’encontre du but recherché ou ne lui porte pas préjudice.
  • Contrôles et activités connexes : Aucun.
• (04) Opérations liées à la qualité des renseignements personnels : Demandes individuelles
  • Corriger ou supprimer les renseignements personnels lorsque des individus ou leurs représentantes ou représentants en font la demande.
  • Discussion : Les renseignements personnels exacts qui sont maintenus par les organisations peuvent causer des problèmes aux individus, particulièrement en ce qui a trait aux fonctions liées aux activités pour lesquelles des renseignements inexacts pourraient mener à la prise de décisions inappropriées ou à un refus d’avantages et de services pour les individus. Même si l’information est exacte, certaines circonstances peuvent faire en sorte que les renseignements erronés causent des problèmes pour les individus qui surpassent les avantages que l’organisation qui maintient l’information en question pourrait tirer. Les organisations exercent un pouvoir discrétionnaire au moment de déterminer s’il convient de corriger ou de supprimer l’information personnelle selon l’ampleur des demandes, les changements à apporter, l’incidence des changements, ainsi que les lois, la réglementation et les politiques. Le personnel de l’organisation consulte la ou le haut fonctionnaire ou cadre supérieur et la conseillère ou le conseiller juridique en matière de protection de la vie privée concernant les instances appropriées de correction ou de suppression.
  • Contrôles et activités connexes : Aucun.
• (05) Opérations liées à la qualité des renseignements personnels : Avis de correction ou de suppression
  • Notifier [Affectation : destinataires des renseignements personnels désignés par l’organisation] et les individus que les renseignements personnels ont été corrigés ou supprimés.
  • Discussion : Une fois que les renseignements personnels sont corrigés ou supprimés, les organisations prennent les mesures nécessaires pour veiller à ce que les destinataires de ces renseignements, ainsi que les individus avec qui les renseignements sont associés ou leurs représentantes et représentants désignés, soient mis au courant de la correction ou de la suppression des renseignements.
  • Contrôles et activités connexes : Aucun.

Références

• Loi sur la protection des renseignements personnels
• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• SCT, Directive sur les demandes de renseignements personnels et de correction des renseignements personnels

SI-19 Dépersonnalisation

Contrôle

1. Supprimer les éléments de renseignements personnels suivants des jeux de données : [Affectation : éléments de renseignements personnels définis par l’organisation]
2. Évaluer l’efficacité de la dépersonnalisation [Affectation : fréquence définie par l’organisation]

27. Tenir compte des préjudices découlant de l’atteinte à la vie privée si les renseignements pouvant être accessibles au public permettent de réidentifier les individus

Discussion

À l’occasion, des programmes peuvent utiliser des renseignements personnels, alors qu’ils sont en mesure d’atteindre leur objectif sans recourir aux identificateurs personnels. S’il est possible d’atteindre l’objectif sans identificateurs directs, l’information devrait être dépersonnalisée. Par dépersonnalisation, on entend le processus visant à supprimer l’association entre un jeu de données d’identification et le sujet des données. Ce processus a pour objectif d’éviter que les renseignements personnels d’un individu soient apparents lors d’une utilisation ou d’une divulgation.

Plusieurs jeux de données contiennent des renseignements personnels qui peuvent être utilisés pour reconnaître ou trouver l’identité d’un individu, comme son nom, son numéro d’assurance sociale, sa date et son lieu de naissance, le nom de jeune fille de sa mère ou ses données biométriques. Les jeux de données peuvent également contenir de l’information qui est liée ou qui peut être liée à un individu, comme les renseignements médicaux ou financiers et l’information sur les études ou l’emploi.

L’élimination (la suppression) des renseignements personnels est une méthode de dépersonnalisation qu’il convient d’envisager lorsqu’une telle information n’est pas (ou plus) nécessaire pour répondre aux exigences prévues pour les données ou devrait être supprimée des jeux de données par des personnes formées pour accomplir une telle tâche. Par exemple, si le jeu de données n’est utilisé que pour générer des statistiques agrégées, les identificateurs qui ne sont pas nécessaires à la production de ces statistiques sont supprimés. Supprimer les identificateurs renforce la protection de la vie privée, puisque l’information supprimée ne peut pas être divulguée par inadvertance ou utilisée de façon inappropriée.

Il convient de considérer les possibles préjudices découlant de l’atteinte à la vie privée si certains renseignements peuvent permettre de réidentifier l’individu, même sans identificateurs directs. Les organisations peuvent être sujettes à des définitions ou à des méthodes de dépersonnalisation particulières en vertu des lois, de la réglementation ou des politiques applicables.

La réidentification est un risque résiduel des données dépersonnalisées. Les attaques par réidentification peuvent varier et comprendre la combinaison de nouveaux jeux de données ou d’autres améliorations apportées à l’analyse de données. Demeurer au courant des attaques potentielles et évaluer l’efficacité de la dépersonnalisation au fil du temps permet de soutenir la gestion de ce risque résiduel. Il est recommandé de planifier des évaluations régulières, continues et périodiques du risque de réidentification en passant en revue les stratégies de diffusion et en modifiant les termes des accords d’échange de renseignements, le cas échéant, à mesure que les circonstances changent.

Contrôles et activités connexes

MP-06, PM-22, PM-23, PM-24, RA-02 et SI-12.

Améliorations

• (01) Dépersonnalisation : Collection
  • Dépersonnaliser les jeux de données au moment de la collecte en ne collectant pas les renseignements personnels.
  • Discussion : Si un jeu de données provient d’un autre programme ou d’une autre entité, il est nécessaire de limiter l’information recherchée aux renseignements personnels seulement. Par exemple, si une organisation n’a pas l’intention d’utiliser le numéro d’assurance sociale d’une candidate ou d’un candidat, elle ne devrait pas collecter cette information. Les organisations devraient documenter la collecte, l’utilisation ou la divulgation des jeux de données dans une entente ou un accord sur l’échange d’information.
  • Contrôles et activités connexes : Aucun.
• (02) Dépersonnalisation : Archivage
  • Interdire l’archivage des éléments de renseignements personnels si ces éléments dans le jeu de données ne sont pas nécessaires une fois le jeu de données archivé.
  • Discussion : Les jeux de données peuvent être archivés pour plusieurs raisons. À moins qu’une exigence fasse en sorte qu’il soit nécessaire de conserver les renseignements personnels, les jeux de données devraient être dépersonnalisés avant leur archivage. Si la suppression des renseignements personnels est envisagée, il convient de mettre en place une norme de disposition des documents et de s’assurer que la suppression des renseignements personnels respecte les normes de conservation de documents de l’organisation.
  • Contrôles et activités connexes : Aucun.
• (03) Dépersonnalisation : Diffusion
  • Supprimer les éléments de renseignements personnels d’un jeu de données avant sa diffusion si ces éléments n’ont pas à faire partie de la diffusion des données.
  • Discussion : Avant de diffuser un jeu de données, une ou un responsable des données considère les usages prévus du jeu de données et détermine s’il est nécessaire de diffuser les renseignements personnels. Si les renseignements personnels ne sont pas nécessaires, ils peuvent être supprimés au moyen de techniques de dépersonnalisation.
  • Discussion au sein du GC : Avant de diffuser un jeu de données, une ou un responsable des données en considère les usages prévus, détermine si le programme d’origine est autorisé à procéder à une telle diffusion et si le programme destinataire est autorisé à collecter ces données, puis documente l’usage de chaque élément des données des renseignements personnels en tenant compte du but précis du programme destinataire. Si les renseignements personnels ne sont pas nécessaires, ils ne devraient pas être divulgués.
  • Contrôles et activités connexes : Aucun.
• (04) Dépersonnalisation : Suppression, masquage, chiffrement, hachage ou remplacement des identificateurs directs
  • Supprimer, masquer, chiffrer, hacher ou remplacer les identificateurs directs dans un jeu de données.
  • Discussion : Plusieurs processus peuvent être utilisés pour supprimer les identificateurs directs dans un jeu de données. Les colonnes du jeu de données qui contiennent un identificateur direct peuvent être supprimées. Lors du masquage, l’identificateur direct est transformé en caractère répétitif, comme XXXXXX ou 999999. Les identificateurs peuvent être chiffrés ou hachés de manière à ce que les enregistrements liés demeurent liés.
    Dans le cas du chiffrement ou du hachage, on emploie des algorithmes qui exigent l’utilisation d’une clé, notamment la norme de chiffrement avancée (AES pour Advanced Encryption Standard) ou un code d’authentification de message haché. Les mises en œuvre peuvent utiliser la même clé pour tous les identificateurs ou une clé différente pour chaque identificateur. L’utilisation d’une clé différente pour chaque identificateur offre un niveau plus élevé de sécurité et de protection de la vie privée. Les identificateurs peuvent également être remplacés par un mot clé, comme transformer « Jean Untel » en « patient » ou le remplacer par une valeur de remplacement comme « Laura Secord ».
  • Contrôles et activités connexes : SC-12 et SC-13.
• (05) Dépersonnalisation : Contrôle de la divulgation de statistiques
  • Manipuler les données numériques, les tableaux croisés et les résultats statistiques de manière à ce qu’on ne puisse pas identifier un individu ou une organisation dans les résultats de l’analyse.
  • Discussion : Plusieurs types d’analyses statistiques peuvent donner lieu à la divulgation de renseignements concernant des individus, même si seul un résumé est fourni. Par exemple, si un établissement d’enseignement qui publie un tableau mensuel avec le nombre d’étudiantes et étudiants inscrits appartenant à une minorité indique qu’il y avait 10 de ces étudiants sur 19 en janvier, puis 20 de ces étudiants sur 29 en mars, on pourra en déduire que l’étudiante ou étudiant qui s’est inscrit en février était issu d’une minorité. Il faut veiller à passer en revue toutes les données statistiques divulguées pour assurer la protection des renseignements personnels des individus.
  • Contrôles et activités connexes : Aucun.
• (06) Dépersonnalisation : Confidentialité différentielle
  • Prévenir la divulgation de renseignements personnels en ajoutant du bruit non déterministe aux résultats des opérations mathématiques avant de faire rapport des résultats.
  • Discussion : La définition mathématique de la confidentialité différentielle indique que le résultat de l’analyse du jeu de données devrait être approximativement le même avant et après l’ajout ou la suppression d’un seul enregistrement de données (que l’on présume être les données d’un seul individu).
    Dans sa forme la plus fondamentale, la confidentialité différentielle s’applique uniquement aux systèmes d’interrogation en ligne. Elle peut toutefois être utilisée pour produire des classificateurs statistiques d’apprentissage automatique et des données synthétiques. La confidentialité différentielle est assurée au détriment de l’exactitude des résultats, forçant les organisations à quantifier le compromis entre la confidentialité et l’exactitude, la pertinence et l’utilité globales des jeux de données dépersonnalisés. Le bruit non déterministe peut comprendre l’ajout de petites valeurs randomisées aux résultats des opérations mathématiques dans l’analyse des jeux de données.
  • Contrôles et activités connexes : SC-12 et SC-13.
• (07) Dépersonnalisation : Algorithmes et logiciels validés
  • Procéder à la dépersonnalisation au moyen d’algorithmes validés et de logiciels homologués pour assurer la mise en œuvre des algorithmes.
  • Discussion : Les algorithmes qui semblent supprimer les renseignements personnels dans un jeu de données peuvent en fait laisser de l’information permettant d’identifier un individu ou des données réidentifiables. Les logiciels qui prétendent mettre en œuvre un algorithme validé peuvent contenir des bogues ou déployer un algorithme différent. Les logiciels peuvent dépersonnaliser un type de données, comme les nombres entiers, mais ne pas dépersonnaliser d’autres types, comme les nombres à virgule flottante. Pour ces raisons, la dépersonnalisation est effectuée au moyen d’algorithmes et de logiciels ayant été validés.
  • Contrôles et activités connexes : Aucun.
• (08) Dépersonnalisation : Intrus motivé
  • Effectuer un test d’intrus motivé dans le jeu de données dépersonnalisé pour déterminer si ce dernier contient toujours des données identifiables ou si les données dépersonnalisées peuvent être réidentifiées.
  • Discussion : Par test d’intrus motivé, on entend un test dans le cadre duquel une personne ou un groupe analyse une communication de données et des ressources particulières et tente de réidentifier un ou plusieurs individus dans le jeu de données dépersonnalisé. Ces tests permettent de révéler l’ampleur des connaissances internes, des ressources de calcul, des ressources financières et des compétences que les intrus doivent posséder pour réaliser les tests. Un test d’intrus motivé peut déterminer si la dépersonnalisation est insuffisante. Il peut également être un outil de diagnostic utile pour estimer si la dépersonnalisation est susceptible d’être suffisante. Par contre, le test ne peut en lui-même prouver que la dépersonnalisation est suffisante.
  • Contrôles et activités connexes : Aucun.

Références

• Loi sur la protection des renseignements personnels
• Règlement sur la protection des renseignements personnels (DORS/83-508)
• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• SCT, Avis de mise en œuvre de la protection des renseignements personnels 2023-01 :Dépersonnalisation
• NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance (en anglais seulement)

SI-20 Contamination

Contrôle

Intégrer les données ou les capacités dans les systèmes ou les composants de systèmes suivants pour déterminer si les données organisationnelles ont été exfiltrées ou ont été supprimées de façon inappropriée de : [Affectation : systèmes ou composants de systèmes désignés par l’organisation].

Discussion

Plusieurs cyberattaques ciblent l’information organisationnelle ou l’information que l’organisation conserve au nom d’autres entités (par exemple, les renseignements personnels), puis exfiltrent ces données. Par ailleurs, des attaques internes et des procédures effectuées par erreur par les utilisatrices ou utilisateurs peuvent supprimer l’information sur le système, ce qui va à l’encontre des stratégies organisationnelles. Les approches en matière de contamination peuvent être passives ou actives. Une approche passive à la contamination peut consister à ajouter de faux noms de courriel et de fausses adresses dans une base de données interne. Si l’organisation reçoit un courriel à l’une des fausses adresses, elle sait que la base de données a été compromise. De plus, comme l’organisation sait que le courriel a été envoyé par une entité non autorisée, elle sait que tous les paquets de données compris dans le courriel contiennent probablement du code malveillant et que l’entité non autorisée peut possiblement avoir obtenu une copie de la base de données.

Une autre approche à la contamination peut comprendre l’intégration de fausses données ou de données stéganographiques dans les fichiers pour permettre aux données d’être repérées dans le cadre d’analyses de source ouverte. Pour finir, une approche active à la contamination peut comprendre l’intégration d’un logiciel dans les données, qui est capable d’envoyer des signaux « à la maison » pour alerter l’organisation de sa « capture » (et possiblement son emplacement), et de fournir le chemin par lequel il a été exfiltré ou supprimé.

Contrôles et activités connexes

AU-13.

Améliorations

Aucune.

Références

• SCT, Politique sur la protection de la vie privée

SI-21 Actualisation de l’information

Contrôle

Actualiser [Affectation : information définie par l’organisation] [Affectation : fréquences définies par l’organisation] ou générer l’information sur demande et la supprimer lorsqu’elle n’est plus nécessaire.

Discussion

Conserver l’information plus longtemps que nécessaire accroît la valeur de cette dernière et en fait une cible de choix pour les adversaires. Conserver l’information pour le délai minimal nécessaire pour soutenir les fonctions liées à la mission ou aux activités de l’organisation réduit la possibilité que des adversaires arrivent à compromettre, à capturer et à exfiltrer l’information.

Contrôles et activités connexes

SI-14.

Améliorations

Aucune.

Références

• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée

SI-22 Diversité de l’information

Contrôle

1. Relever les autres sources d’information pour [Affectation : fonctions et services essentiels définis par l’organisation] : [Affectation : autres sources d’information définies par l’organisation]
2. Utiliser une autre source d’information pour l’exécution des fonctions et des services essentiels sur [Affectation : systèmes ou composants de systèmes désignés par l’organisation] lorsque la source principale d’information est corrompue ou non disponible

Discussion

Les mesures prises par un service ou une fonction d’un système découlent souvent de l’information reçue. La corruption, la fabrication, la modification ou la suppression de cette information pourrait avoir une incidence sur la capacité de la fonction du service à exécuter adéquatement les actions prévues. Le fait d’avoir plusieurs sources d’intrants fait en sorte que le service ou la fonction peut continuer de s’exécuter advenant la corruption ou l’indisponibilité d’une source. Il est possible que les autres sources d’information puissent être moins précises ou exactes que la source principale. Avoir des sources d’information non optimales peut tout de même fournir un niveau de qualité suffisant pour permettre à la fonction ou au service essentiel d’être exécuté, même en cas de dégradation ou de détérioration.

Contrôles et activités connexes

Aucune.

Améliorations

Aucune.

Références

Aucune.

SI-23 Fragmentation de l’information

Contrôle

Selon [Affectation : circonstances définies par l’organisation]

1. fragmenter l’information suivante : [Affectation : information définie par l’organisation]
2. distribuer l’information fragmentée dans l’ensemble des systèmes ou des composants de systèmes suivants : [Affectation : systèmes ou composants de systèmes désignés par l’organisation]

Discussion

Un objectif de la menace persistante avancée est d’exfiltrer l’information précieuse. Une fois exfiltrée, cette information ne peut généralement pas être récupérée par l’organisation. Par conséquent, cette dernière peut envisager de diviser l’information en des éléments disparates et de les distribuer dans plusieurs systèmes ou composants de systèmes et dans de nombreux emplacements. De telles mesures augmenteront les efforts que les adversaires devront déployer pour capturer et exfiltrer l’information voulue et permettront, ce faisant, d’accroître la probabilité de la détection. La fragmentation de l’information a une incidence sur la capacité de l’organisation à accéder à l’information de manière opportune. L’ampleur de la fragmentation est dictée par l’incidence ou le niveau de classification (et la valeur) de l’information, par le renseignement reçu au sujet des menaces et par le recours à la contamination des données (c’est-à-dire si l’information dérivée de la contamination des données concernant l’exfiltration de certaines données pourrait donner lieu à la fragmentation de l’information restante).

Contrôles et activités connexes

Aucune.

Améliorations

Aucune.

Références

Aucune.

SI-400 Station de travail administrative dédiée

Contrôle

Exiger que les opérations administratives ou de superutilisatrices ou superutilisateurs soient réalisées à partir d’une station de travail physique dédiée à ces tâches précises et isolée des autres fonctions et réseaux. La station ne devrait pas, entre autres, avoir accès à Internet.

Discussion

Une station de travail administrative dédiée (STAD) est typiquement constituée d’un terminal d’utilisateur et d’une très petite sélection de logiciels conçus pour interfacer avec le système cible. Aux fins du présent contrôle, une station de travail est un système à partir duquel les tâches d’administration sont réalisées, par opposition au système cible.

La STAD doit être renforcée pour le rôle afin de réduire la probabilité qu’un point d’extrémité de superutilisateur ou d’administrateur soit compromis par un auteur de menace (ce qui entraînerait logiquement la compromission du système cible). Les outils bureautiques typiques ne sont pas nécessaires sur la STAD. Toutes les applications et tous les services non essentiels doivent être supprimés. Les STAD n’ont pas de jonction de domaine, ne peuvent pas télécharger de correctifs à partir d’Internet et ne peuvent pas mettre à jour la documentation dans les applications en réseau.

Les serveurs bastion ne sont pas une substitution à l’exigence imposant le recours à des STAD. Les connexions par l’entremise d’un serveur bastion doivent être effectuées à partir d’une STAD. Les serveurs bastions permettent de centraliser la journalisation des activités administratives, de simplifier l’isolation réseau des serveurs critiques et de fournir un point de transfert commun pour les administratrices et administrateurs avec séparation des tâches (par exemple, où les correctifs d’un logiciel sont préparés par une administratrice ou un administrateur afin d’être installés par une ou un autre).

Si un RPV est utilisé pour fournir la connectivité réseau, celui-ci doit automatiquement exclure tous les autres accès réseau à l’exception du RPV. La STAD doit être en mesure d’accéder à d’autres réseaux que celui-ci qu’elle administre. L’interface de gestion du système cible doit se limiter à la gestion du réseau et ne pas être accessible aux réseaux plus vastes, comme les réseaux locaux des stations de travail de l’organisation ou Internet. Si plusieurs réseaux cibles sont administrés par la même STAD logique, tous les réseaux doivent avoir le même profil de sécurité (par exemple, une seule STAD ne peut pas administrer un réseau SECRET et un réseau PROTÉGÉ B).

Les logiciels de terminaux virtuels qui émulent un terminal simple devraient également résider sur une STAD.

Contrôles et activités connexes

AC-04(22), AC-17(400), CM-07, MA-04, SA-08, SC-02, SC-07, SC-08 et SC-32.

Améliorations

• (01) Station de travail administrative dédiée : Station de travail administrative dédiée avec client léger
  • Mettre en œuvre une STAD virtualisée à l’intérieur d’une STAD client léger physique isolée du réseau.
  • Discussion : Les administratives et administrateurs qui doivent gérer de nombreuses infrastructures peuvent choisir d’utiliser une STAD client léger physique qui peut exécuter plusieurs STAD virtualisées pour les différents réseaux.
    Le client léger peut être employé dans une infrastructure de postes de travail virtuels (VDI pour Virtual Desktop Infrastructure), où la STAD physique est l’hôte de l’hyperviseur d’une STAD virtuelle, ou dans un client léger à démarrage réseau où le système d’exploitation du client léger est chargé depuis le réseau à administrer.
    Le client léger physique ne doit pas disposer d’un accès indépendant au réseau.
  • Contrôles et activités connexes : SA-08 et SC-25.
• (02) Station de travail administrative dédiée : RPV sur réseau privé d’opérateur
  • Connecter une STAD à un réseau cible au moyen d’un réseau privé d’opérateur (par exemple, un service LAN privé virtuel [VPLS pour Virtual Private LAN] ou une commutation multiprotocole par étiquette [MPLS pour Multiprotocol Label Switching]) avec chiffrement de RPV.
  • Discussion : Lorsqu’un réseau est administré à partir d’un lieu distant, les passerelles RPV reliées à Internet et les points d’extrémités du RPV sont vulnérables aux attaques menées par des auteurs de menace ayant recours à un réseau public. Passer à un réseau privé d’opérateur éliminera les vulnérabilités liées à l’Internet public et permettra de réduire le nombre d’auteurs de menace compétents. Cela dit, le réseau peut tout de même être vulnérable aux attaques visant la confidentialité ou l’intégrité qui sont menées depuis l’intérieur du réseau de l’opérateur. Par conséquent, un RPV est toujours requis dans le réseau de l’opérateur.
  • Contrôles et activités connexes : SC-08.
• (03) Station de travail administrative dédiée : Réseau local
  • Connecter une STAD à un réseau cible au moyen d’un réseau local seulement.
  • Discussion : Pour réduire davantage la probabilité d’une attaque sur le réseau, une STAD doit être connectée au système cible au moyen d’un réseau local seulement. Le système cible peut alors refuser l’accès administratif sauf pour le segment local.
  • Contrôles et activités connexes : SA-08.
• (04) Station de travail administrative dédiée : Accès par console seulement
  • Connecter une STAD au système cible par l’intermédiaire des ports de la console seulement.
  • Discussion : Pour éliminer la probabilité d’une attaque visant le réseau, une STAD doit être connectée au système cible directement par l’intermédiaire des ports série locaux. Le système peut alors refuser l’accès administratif à tous les réseaux.
  • Contrôles et activités connexes : SA-08.
• (05) Station de travail administrative dédiée : Station de travail physique dédiée
  • Utiliser une station de travail physique unique comme STAD.
  • Discussion : Pour réduire la possibilité d’attaque avec déplacement latéral entre les réseaux administrés, il convient d’utiliser une station de travail physique pour chaque réseau cible et d’éviter tout partage des ressources de la STAD.
  • Contrôles et activités connexes : SA-08.
• (06) Station de travail administrative dédiée : Accès administratif hétérogène
  • Utiliser un système d’exploitation différent pour la STAD et le système cible.
  • Discussion : La STAD et le système cible peuvent être touchés par la même vulnérabilité, offrant du même coup un moyen d’attaque unique pour les deux. Si la STAD et les systèmes cibles exécutent des systèmes d’exploitation différents, il faudra déployer des efforts plus grands pour les compromettre tous les deux.
  • Contrôles et activités connexes : SC-29.

Références

Aucune.