Protection des systèmes et des communications

Sur cette page

• SC-01 Politique et procédures de protection des systèmes et des communications
• SC-02 Séparation des fonctionnalités d’utilisateur et du système
• SC-03 Isolation des fonctions de sécurité
• SC-04 Information dans les ressources système partagées
• SC-05 Protection contre les dénis de service
• SC-06 Disponibilité des ressources
• SC-07 Protection des frontières
• SC-08 Confidentialité et intégrité des transmissions
• SC-09 Confidentialité des transmissions
• SC-10 Déconnexion du réseau
• SC-11 Chemin de confiance
• SC-12 Établissement et gestion des clés cryptographiques
• SC-13 Protection cryptographique
• SC-14 Protection de l’accès public
• SC-15 Applications et dispositifs d’informatique collaborative
• SC-16 Transmission des attributs de sécurité et de protection de la vie privée
• SC-17 Certificats d’infrastructure à clé publique
• SC-18 Code mobile
• SC-19 Voix sur IP
• SC-20 Service sécurisé de résolution de nom ou d’adresse (source faisant autorité)
• SC-21 Service sécurisé de résolution de nom ou d’adresse (résolveur récursif ou cache)
• SC-22 Architecture et prestation de services de résolution de nom ou d’adresse
• SC-23 Authenticité des sessions
• SC-24 Défaillance dans un état connu
• SC-25 Nœuds légers
• SC-26 Leurres
• SC-27 Applications indépendantes des plateformes
• SC-28 Protection de l’information au repos
• SC-29 Hétérogénéité
• SC-30 Dissimulation et détournement
• SC-31 Analyse des voies clandestines
• SC-32 Partitionnement des systèmes
• SC-33 Intégrité de la préparation des transmissions
• SC-34 Programmes exécutables non modifiables
• SC-35 Identification des programmes malveillants externes
• SC-36 Traitement et stockage répartis
• SC-37 Voies d’acheminement hors bande
• SC-38 Sécurité des opérations
• SC-39 Isolation des processus
• SC-40 Protection des liaisons sans fil
• SC-41 Accès des ports et des périphériques d’entrée et de sortie
• SC-42 Capacité des capteurs et données
• SC-43 Restrictions relatives à l’utilisation
• SC-44 Chambres de détonation
• SC-45 Synchronisation temporelle des systèmes
• SC-46 Application des stratégies interdomaines
• SC-47 Chemins de communications secondaires
• SC-48 Relocalisation des capteurs
• SC-49 Application de la séparation et des stratégies matérielles
• SC-50 Séparation imposée par logiciel et application de la stratégie
• SC-51 Protection matérielle
• SC-400 Authentification de la source de l’entité
• SC-401 Systèmes de télécommunications non classifiés dans les installations sécurisées

Les contrôles et les activités dans la famille de protection des systèmes et des communications (SC pour System and Communications) appuient les activités de surveillance, de contrôle et de protection des systèmes ainsi que les communications internes et externes des systèmes.

SC-01 Politique et procédures de protection des systèmes et des communications

Activité

1. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
   1. une politique de protection des systèmes et des communications [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
   2. des procédures pour faciliter la mise en œuvre de la politique de protection des systèmes et des communications ainsi que des contrôles connexes
2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures de protection des systèmes et des communications
3. Passer en revue et mettre à jour, par rapport à la protection des systèmes et des communications actuels,
   1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
   2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures de protection des systèmes et des communications abordent les contrôles de la famille SC qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures de protection des systèmes et des communications.

En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin de politiques et de procédures propres à la mission ou au système. La politique peut être intégrée à la politique générale de sécurité et de protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de protection des systèmes et des communications comprennent les conclusions d’une évaluation ou d’une vérification, des incidents touchant à la sécurité ou des violations, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

PM-09, PS-08, SA-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information

SC-02 Séparation des fonctionnalités d’utilisateur et du système

Contrôle

Séparer la fonctionnalité d’utilisateur, dont les services d’interface utilisateur, de la fonctionnalité de gestion du système.

Discussion

La fonctionnalité de gestion des systèmes comprend les fonctions nécessaires pour administrer les bases de données, les composantes réseau, les stations de travail ou le serveur. Ces fonctions exigent généralement un accès utilisateur privilégié. Les fonctions d’utilisateur sont distinctes des fonctions de gestion des systèmes tant physiquement que logiquement.

Les organisations peuvent séparer les fonctions de gestion des systèmes des fonctions d’utilisateur en faisant appel à des ordinateurs différents ou à différentes instances de systèmes d’exploitation, d’unités centrales de traitement ou d’adresses réseau, en employant des techniques de virtualisation ou au moyen d’une combinaison de ces méthodes ou d’autres méthodes.

Les interfaces administratives Web, qui utilisent des méthodes d’authentification distinctes pour les utilisatrices et utilisateurs de toute autre ressource du système sont un exemple de séparation des fonctions de gestion des systèmes des fonctions d’utilisateur. La séparation des fonctions d’utilisateur de celles du système peut prévoir l’isolation des interfaces administratives pour certains domaines et l’ajout de contrôles d’accès. On peut réaliser la séparation des fonctionnalités d’utilisateur de celles du système en appliquant les principes de conception technique de la sécurité des systèmes mentionnés au contrôle SA-08, ainsi qu’aux contrôles SA-08(01), SA-08(03), SA-08(04), SA-08(10), SA-08(12), SA-08(13), SA-08(14) et SA-08(18).

Contrôles et activités connexes

AC-06, SA-04, SA-08, SC-03, SC-07, SC-22, SC-32, SC-39 et SI-400.

Améliorations

• (01) Séparation des fonctionnalités d’utilisateur et du système : Interfaces pour les utilisatrices et utilisateurs non privilégiés
  • Éviter de présenter la fonctionnalité de gestion des systèmes sur les interfaces destinées aux utilisatrices et utilisateurs non privilégiés.
  • Discussion : Éviter de présenter la fonctionnalité de gestion des systèmes sur les interfaces destinées aux utilisatrices et utilisateurs non privilégiés permet de s’assurer que les options d’administration de systèmes, dont les privilèges d’administrateur, ne sont pas accessibles aux utilisatrices et utilisateurs réguliers. La restriction de l’accès des utilisatrices et utilisateurs interdit le recours aux options grisées communément utilisées pour empêcher l’accès à une telle information. Une solution potentielle consiste à ne pas afficher les options d’administration jusqu’à ce que les utilisatrices et utilisateurs ouvrent une session avec des privilèges d’administrateur.
  • Contrôles et activités connexes : AC-03.
• (02) Séparation des fonctionnalités d’utilisateur et du système : Dissociabilité
  • Stocker l’information d’état séparément des applications et des logiciels.
  • Discussion : Advenant la compromission d’un système, le fait de stocker les applications et les logiciels séparément de l’information d’état relative aux interactions des utilisatrices et utilisateurs avec une application permettra de mieux protéger la vie privée des individus.
  • Contrôles et activités connexes : Aucun.

Références

Aucune.

SC-03 Isolation des fonctions de sécurité

Contrôle

Isoler les fonctions de sécurité des autres fonctions.

Discussion

Le système isole les fonctions de sécurité des autres fonctions au moyen d’un périmètre d’isolation mis en œuvre à l’aide de partitions et de domaines. Le périmètre d’isolation contrôle l’accès aux composants matériels, logiciels et micrologiciels qui accomplissent les fonctions de sécurité, tout en en assurant leur intégrité.

Les systèmes mettent en œuvre la séparation du code de diverses façons, notamment par des noyaux de sécurité qui ont recours à des anneaux de processeurs ou à des modes de processeurs. En ce qui concerne le code hors noyau, l’isolation de la fonction de sécurité est souvent réalisée par des mesures de protection du système de fichiers qui protègent le code sur disque et tiennent compte de la protection des espaces d’adressage, ce qui permet de préserver l’exécution du code.

Les systèmes peuvent restreindre l’accès aux fonctions de sécurité en ayant recours à des mécanismes de contrôle des accès et à la mise en œuvre de capacités fondées sur le principe du droit d’accès minimal. Même s’il est largement préférable que l’espace réservé à la fonction de sécurité (isolation) ne contienne que l’intégralité du code ayant trait à la sécurité, il arrive exceptionnellement qu’il soit nécessaire d’ajouter d’autres fonctions.

L’isolation des fonctions de sécurité des autres fonctions peut être réalisée en appliquant les principes de conception technique de la sécurité des systèmes mentionnés au contrôle SA-08, ainsi qu’aux contrôles SA-08(01), SA-08(03), SA-08(04), SA-08(10), SA-08(12), SA-08(13), SA-08(14) et SA-08(18).

Contrôles et activités connexes

AC-03, AC-06, AC-25, CM-02, CM-04, SA-04, SA-05, SA-08, SA-15, SA-17, SC-02, SC-07, SC-32, SC-39 et SI-16.

Améliorations

• (01) Isolation des fonctions de sécurité : Séparation du matériel
  • Avoir recours à des mécanismes de séparation du matériel pour mettre en œuvre l’isolation des fonctions de sécurité.
  • Discussion : Les mécanismes de séparation du matériel comprennent les architectures matérielles en anneau, qui sont mises en œuvre pour les microprocesseurs, ainsi que la segmentation physique des adresses, qui est employée pour assurer le soutien des objets de stockage logiquement différents qui possèdent leurs propres attributs (par exemple, lisible, modifiable).
  • Contrôles et activités connexes : Aucun.
• (02) Isolation des fonctions de sécurité : Accès et fonctions de contrôle des flux
  • Isoler les fonctions de sécurité appliquant le contrôle de l’accès et du flux d’information des autres fonctions de sécurité et des fonctions non liées à la sécurité.
  • Discussion : L’isolation des fonctions de sécurité est le résultat de la mise en œuvre. Il est toujours possible d’analyser et de surveiller les fonctions. Les fonctions de sécurité qui sont potentiellement isolées des fonctions d’application du contrôle des accès et des flux comprennent les vérifications, la détection des intrusions et les fonctions de protection contre le code malveillant.
  • Contrôles et activités connexes : Aucun.
• (03) Isolation des fonctions de sécurité : Réduction des fonctionnalités n’ayant pas trait à la sécurité
  • Réduire à son minimum le nombre des fonctions non liées à la sécurité appelées à intégrer le périmètre isolé qui comprend les fonctions de sécurité.
  • Discussion : Dans les cas où il s’avère impossible de procéder à une isolation stricte des fonctions de sécurité et des autres fonctions, il importera d’adopter des mesures visant à réduire, au sein du périmètre d’isolation de la fonction de sécurité, le nombre des fonctions n’ayant pas trait à la sécurité. En raison de leur proximité, les fonctions non liées à la sécurité qui sont comprises dans le périmètre d’isolation sont considérées comme pertinentes à la sécurité, puisque les erreurs ou le code malveillant dans le logiciel peuvent avoir des répercussions directes sur les fonctions de sécurité des systèmes. Sur le plan fondamental de la conception, il est donc important que les parties de systèmes qui assurent la protection de l’information soient aussi modestes que possible, tant sur le plan du volume que de la complexité. La réduction du nombre de fonctions non liées à la sécurité au sein des composants servant à la sécurité dans les systèmes permet aux ingénieures, aux ingénieurs et aux responsables de la mise en œuvre de se concentrer exclusivement sur les fonctions qui sont essentielles à l’exécution des capacités de sécurité requises (typiquement les mesures de contrôle des accès). En réduisant le nombre des fonctions non liées à la sécurité dans le périmètre d’isolation, on observe une réduction importante du volume de code devant être jugé fiable sur le plan de l’application des stratégies de sécurité, ce qui accroît l’intelligibilité.
  • Contrôles et activités connexes : Aucun.
• (04) Isolation des fonctions de sécurité : Jumelage et cohésion des modules
  • Appliquer les fonctions de sécurité sous forme de modules essentiellement indépendants qui maximisent la cohésion interne des modules et réduisent les jumelages entre modules.
  • Discussion : Réduire les interactions entre les modules aide à limiter les fonctions de sécurité et à en gérer la complexité. Les concepts de jumelage et de cohésion sont importants sur le plan de la modularité de la conception logicielle. Le jumelage renvoie aux dépendances qu’un module peut avoir avec d’autres modules. La cohésion, quant à elle, fait référence à la relation entre les fonctions d’un module. Les pratiques exemplaires en matière de génie logiciel et d’ingénierie en sécurité des systèmes misent sur la structuration en couches, la minimisation et la décomposition modulaire pour diminuer et gérer la complexité. Il est ainsi possible de produire des modules logiciels hautement cohésifs et à couplage lâche.
  • Contrôles et activités connexes : Aucun.
• (05) Isolation des fonctions de sécurité : Structures en couches
  • Appliquer les fonctions de sécurité dans une structure en couches qui permet de réduire les interactions entre les couches de la conception et d’éviter que les couches inférieures soient assujetties au bon fonctionnement des couches supérieures ou de leurs fonctions.
  • Discussion : L’adoption de structures en couches nécessitant peu d’interaction entre les fonctions de sécurité et les couches libres [non looping] (par exemple, les fonctions des couches inférieures ne dépendent pas des fonctions des couches supérieures) accentue l’isolation des fonctions de sécurité et facilite la gestion de la complexité.
  • Contrôles et activités connexes : Aucun.

Références

• Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022)
• Établissement des zones de sécurité dans un réseau – Considérations de conception relatives au positionnement des services dans les zones (ITSG-38)

SC-04 Information dans les ressources système partagées

Contrôle

Empêcher les transferts d’information non autorisés ou non prévus au moyen de ressources système partagées.

Discussion

Empêcher les transferts d’information non autorisés ou non prévus au moyen de ressources système partagées permet d’éviter que l’information découlant des actions effectuées par des utilisatrices et utilisateurs ou des rôles antérieurs (ou les opérations de processus agissant en leur nom) soit accessible aux utilisatrices et utilisateurs ou aux rôles actuels (ou les processus actuels agissant en leur nom) qui accèdent aux ressources système partagées après que les ressources ont été retournées au système.

L’information dans les ressources système partagées s’applique également aux représentations chiffrées de l’information. Dans d’autres contextes, le contrôle de l’information dans les ressources système partagées est appelé la réutilisation d’objets et la protection d’information résiduelle. L’information dans les ressources système partagées ne s’applique pas à la persistance d’information, qui fait référence à la représentation résiduelle des données qui ont été nominalement supprimées, ni aux voies clandestines (y compris celles de réglage et de stockage) où les ressources système partagées sont manipulées de façon à enfreindre les restrictions relatives aux flux d’information, ni aux composants des systèmes qui sont associés à une seule utilisatrice, à un seul utilisateur ou à un seul rôle.

Contrôles et activités connexes

AC-03, AC-04 et SA-08.

Améliorations

• (01) Information dans les ressources système partagées : Niveaux de sécurité
  • Annulé : Intégré au contrôle SC-04.
• (02) Information dans les ressources système partagées : Traitement multiniveau ou des périodes
  • Prévenir le transfert non autorisé d’information par l’intermédiaire de ressources partagées conformément à [Affectation : procédures définies par l’organisation] lorsque le traitement exécuté par le système alterne explicitement entre divers niveaux de classification de l’information ou différentes catégories de sécurité.
  • Discussion : Les changements apportés aux niveaux de traitement peuvent survenir au cours du traitement multiniveau ou des périodes avec l’information aux différents niveaux de classification ou aux différentes catégories de sécurité. Ils peuvent également avoir lieu durant la réutilisation en série des composants matériels à différents niveaux de classification. Les procédures définies par l’organisme peuvent inclure des processus de nettoyage approuvés et destinés à l’information stockée électroniquement.
  • Contrôles et activités connexes : Aucun.

Références

Aucune.

SC-05 Protection contre les dénis de service

Contrôle

1. [Sélection (un choix) : Protéger contre; Limiter] les effets des types d’attaques par déni de service suivants : [Affectation : types d’attaque par déni de service définis par l’organisation]
2. Employer les contrôles suivants pour atteindre l’objectif de déni de service : [Affectation : contrôles définis par l’organisation par types d’attaque par déni de service]

Discussion

Les événements liés à des dénis de service peuvent survenir en raison de plusieurs causes internes et externes, comme une attaque menée par un adversaire ou le manque de planification pour soutenir les besoins organisationnels en matière de capacité et de bande passante. De telles attaques peuvent survenir par l’intermédiaire d’une vaste gamme de protocoles réseau (par exemple, IPv4, IPv6). Il existe une variété de technologies pour limiter ou éliminer l’origine et les effets des événements liés à des dénis de service. Par exemple, les mécanismes de protection des frontières peuvent filtrer certains types de paquets pour empêcher les composants d’un système faisant partie de l’un des réseaux internes d’être directement visés par des attaques par déni de service ou d’en être la source. Combinée à la redondance des services, l’utilisation d’une capacité réseau et d’une bande passante accrues peut également réduire la sensibilité à certaines attaques par déni de service.

Contrôles et activités connexes

CP-02, IR-04, SC-06, SC-07 et SC-40.

Améliorations

• (01) Protection contre les dénis de service : Restreindre la capacité de mener des attaques sur d’autres systèmes
  • Restreindre la capacité des individus à lancer les attaques par déni de service suivantes sur d’autres systèmes : [Affectation : attaques par déni de service définies par l’organisation].
  • Discussion : Restreindre la capacité des individus à lancer des attaques par déni de service exige que les mécanismes communément utilisés pour de telles attaques ne soient pas disponibles. Les individus concernés comprennent les initiées et initiés internes ou les adversaires externes qui ont compromis le système ou s’y sont introduits afin de l’utiliser pour lancer une attaque par déni de service.
    Les organisations peuvent restreindre la capacité des individus à se connecter et à transmettre de l’information aléatoire par un support de transport (par exemple, des réseaux câblés ou sans fil, des paquets de données mystifiés). Les organisations peuvent également restreindre la capacité des individus à utiliser les ressources du système de façon excessive. La protection contre la capacité de certains individus à lancer des attaques par déni de service peut être mise en œuvre sur certains systèmes ou sur des dispositifs de périmètres de façon à prévenir les atteintes aux systèmes pouvant constituer une cible.
  • Contrôles et activités connexes : Aucun.
• (02) Protection contre les dénis de service : Capacité, bande passante et redondance
  • Gérer l’excédent de capacité et de largeur de bande, ou toute autre redondance, afin de limiter les effets d’attaques par déni de service avec inondation d’information.
  • Discussion : La gestion de la capacité garantit que cette dernière est suffisante pour contrer les attaques par inondation. La gestion de la capacité comprend l’établissement de priorités relatives à certaines utilisations, les quotas, le partitionnement et l’équilibrage de charge.
  • Contrôles et activités connexes : Aucun.
• (03) Protection contre les dénis de service : Détection et surveillance
  • 1. Utiliser les outils de surveillance suivants pour détecter les indicateurs d’attaques par déni de service visant le système ou lancées à partir de celui-ci : [Affectation : outils de surveillance définis par l’organisation]
    2. Surveiller les ressources système suivantes pour déterminer si elles sont suffisantes pour prévenir les attaques par déni de service fructueuses : [Affectation : ressources du système définies par l’organisation]
  • Discussion : Les organisations examinent l’utilisation et l’importance des ressources de systèmes, lorsqu’elles gèrent les risques liés à des attaques par déni de service pouvant résulter d’attaques malveillantes. Les attaques par déni de service peuvent provenir de sources internes ou externes. Les ressources sensibles aux attaques par déni de service sont les fonctions de stockage sur disque matériel, la mémoire et les cycles des UCT.
    Au nombre des techniques qui permettent de prévenir les attaques par déni de service visant les fonctions et la capacité de stockage, on retrouve l’imposition d’une limite pour les disques, une configuration des systèmes qui permet d’alerter automatiquement les administratrices et administrateurs lorsque la limite d’une capacité de stockage est atteinte, l’utilisation de technologies de compression de fichiers dans le but de maximiser l’espace de stockage, et l’imposition de partitions distinctes pour les données système et les données d’utilisateur.
  • Contrôles et activités connexes : CA-07 et SI-04.

Références

• Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022)
• Protéger son organisation contre les attaques par déni de service (ITSAP.80.100)

SC-06 Disponibilité des ressources

Contrôle

Garantir la disponibilité des ressources en attribuant [Affectation : ressources définies par l’organisation] en fonction de [Sélection (un choix ou plus) : priorité; quota; [Affectation : contrôles définis par l’organisation]].

Discussion

La protection des priorités permet d’éviter que des processus retardent ou empêchent l’exécution de processus de priorité supérieure par le système. Les quotas empêchent que des utilisatrices, des utilisateurs ou des processus disposent de plus de ressources que prévu.

Contrôles et activités connexes

SC-05.

Améliorations

Aucune.

Références

• Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022)
• Protéger son organisation contre les attaques par déni de service (ITSAP.80.100)

SC-07 Protection des frontières

Contrôle

1. Surveiller et contrôler les communications des interfaces externes gérées vers le système et celles des principales interfaces internes gérées au sein du système
2. Mettre en œuvre des sous-réseaux pour les composants de systèmes à accès public qui sont séparés [Sélection (un choix) : physiquement; logiquement] des réseaux internes de l’organisation
3. Se connecter aux réseaux ou aux systèmes externes uniquement par des interfaces gérées qui sont dotées de mécanismes de protection des frontières répartis conformément à l’architecture de sécurité et de protection de la vie privée de l’organisation

Discussion

Les interfaces gérées incluent les passerelles, les routeurs, les pare-feu, les mécanismes de protection, les analyseurs réseau de code malveillant, les systèmes de virtualisation et les tunnels chiffrés mis en œuvre au sein d’une architecture de sécurité. Les sous-réseaux qui sont séparés physiquement ou logiquement des réseaux internes sont appelés communément des zones démilitarisées (ZD) ou, en anglais, DMZ (Demilitarized Zones).

La restriction ou l’interdiction relative aux interfaces des systèmes organisationnels peut inclure le fait de diriger le trafic Web externe vers les serveurs Web désignés en utilisant des interfaces gérées, le fait d’interdire tout trafic externe qui semble usurper une adresse interne ou le fait d’interdire tout trafic interne qui semble usurper une adresse externe. Le document SP 800-189 du NIST donne plus d’information sur les techniques de validation des adresses sources pour prévenir l’entrée et la sortie du trafic utilisant les adresses usurpées.

Les services de télécommunications commerciaux sont fournis par des composants réseau et des systèmes de gestion consolidés utilisés conjointement par les clientes et clients. Ces services peuvent également inclure des lignes d’accès et d’autres éléments de service fournis par des tiers. Ils peuvent représenter des sources de risque supplémentaire, malgré les dispositions du contrat en matière de sécurité. La protection de la frontière peut être mise en œuvre comme contrôle commun sur l’ensemble ou une partie d’un réseau organisationnel de manière à ce que la frontière à protéger soit plus grande que la frontière du système (c’est-à-dire une limite d’autorisation).

Contrôles et activités connexes

AC-04, AC-17, AC-18, AC-19, AC-20, AU-13, CA-03, CM-02, CM-04, CM-07, CM-10, CP-08, CP-10, IR-04, MA-04, PE-03, PL-08, PM-12, SA-08, SA-17, SA-400, SC-05, SC-26, SC-32, SC-35, SC-43 et SI-400.

Améliorations

• (01) Protection des frontières : Sous-réseaux séparés physiquement
  • Annulé : Intégré au contrôle SC-07.
• (02) Protection des frontières : Accès public
  • Annulé : Intégré au contrôle SC-07.
• (03) Protection des frontières : Points d’accès
  • Limiter le nombre de connexions réseau externes au système.
  • Discussion : La limitation du nombre de connexions réseau externes permet d’exercer une surveillance du trafic de communications entrant et sortant. Il est important de limiter le nombre de connexions réseau externes au système lorsque les organisations passent des anciennes aux nouvelles technologies (par exemple, la transition des protocoles réseau IPv4 à IPv6). De telles transitions peuvent exiger la mise en œuvre simultanée des anciennes et nouvelles technologies pendant cette période, ce qui augmente le nombre de points d’accès au système.
  • Discussion au sein du GC : La Directive sur les services et le numérique – Annexe F : Norme sur la restriction de l’utilisation des services de la TI intégrée du SCT est un exemple de ligne directrice fédérale exigeant l’imposition de limites au nombre de connexions externes au réseau. Elle exige que les services locaux d’accès à Internet soient obtenus auprès de SPC.
  • Contrôles et activités connexes : Aucun.
• (04) Protection des frontières : Services de télécommunications externes
  • 1. Appliquer une interface gérée à chaque service de télécommunications externe
    2. Établir une stratégie de flux de trafic pour chaque interface gérée
    3. Protéger la confidentialité et l’intégrité de l’information transmise par l’intermédiaire des interfaces
    4. Documenter chaque exception à la stratégie de flux de trafic en précisant le besoin de la mission ou de l’activité donnant lieu à l’exception et la durée de ce besoin
    5. Examiner les exceptions à la stratégie relative aux flux de trafic [Affectation : fréquence définie par l’organisation] et retrancher les exceptions qui ne sont plus justifiées par un besoin lié à la mission ou aux activités
    6. Prévenir l’échange non autorisé du trafic du plan de contrôle avec des réseaux externes
    7. Publier de l’information pour permettre aux réseaux distants de détecter le trafic du plan de contrôle non autorisé depuis les réseaux internes
    8. Filtrer le trafic du plan de contrôle en provenance des réseaux externes
  • Discussion : Les services de télécommunications externes peuvent fournir des services de communications de voix et/ou de données. Les exemples de trafic du plan de contrôle comprennent le routage par protocole BGP (Border Gateway Protocol), le système d’adressage par domaines (DNS pour Domain Name System) et les protocoles de gestion. Prière de consulter le document NIST SP 800-189 pour de l’information supplémentaire sur l’utilisation de l’infrastructure à clé publique de ressources (ICPR) pour protéger les itinéraires BGP et détecter les annonces BGP non autorisées.
  • Contrôles et activités connexes : AC-03, SC-08, SC-20, SC-21, SC-22.
• (05) Protection des frontières : Refus par défaut – Autorisation par exception
  • Refuser par défaut le trafic de communications réseau et permettre le trafic de communications réseau au moyen d’exceptions [Sélection (un choix ou plus) : à proximité des interfaces gérées; pour [Affectation : systèmes définis par l’organisation]].
  • Discussion : Le refus par défaut et la permission par exception s’appliquent au trafic de communication réseau entrant et sortant. Une stratégie relative au trafic de communication réseau qui interdit tout trafic et ne permet le passage qu’à titre exceptionnel garantit que seules les connexions aux systèmes essentielles et approuvées sont permises. Le refus par défaut – autorisation par exception s’applique également à un système qui est connecté à un système externe.
  • Contrôles et activités connexes : Aucun.
• (06) Protection des frontières : Réponse aux échecs reconnus
  • Annulé : Intégré au contrôle SC-07(18).
• (07) Protection des frontières : Tunnellisation partagée pour les appareils distants
  • Prévenir la tunnellisation partagée pour les dispositifs distants qui se connectent à des systèmes organisationnels à moins que le tunnel partagé soit fourni de façon sécurisée au moyen de [Affectation : mesures de protection définies par l’organisation].
  • Discussion : La tunnellisation partagée est un processus qui consiste à permettre à une utilisatrice, un utilisateur ou un dispositif distant d’établir une connexion non distante à un système et de communiquer simultanément par l’entremise d’une autre connexion à une ressource située dans un réseau interne. Cette méthode d’accès réseau permet à une utilisatrice ou un utilisateur d’accéder à des dispositifs distants et, simultanément, d’accéder à des réseaux non contrôlés.
    La tunnellisation partagée peut s’avérer désirable par les utilisatrices et utilisateurs distants qui veulent communiquer avec les ressources du système local, notamment les imprimantes et les serveurs de fichiers. La tunnellisation partagée pourrait toutefois donner libre cours aux connexions externes non autorisées, rendant ainsi le système plus vulnérable aux attaques et aux exfiltrations d’information organisationnelle. On peut prévenir la tunnellisation partagée en désactivant les paramètres de configuration qui permettent une telle capacité dans des dispositifs distants et en empêchant ces paramètres de configuration d’être configurés par les utilisatrices et utilisateurs. La prévention peut également être réalisée par la détection de la tunnellisation partagée (ou des paramètres de configuration qui permettent la tunnellisation partagée) dans le dispositif distant, ainsi que par l’interdiction des connexions lorsque le dispositif distant utilise la tunnellisation partagée.
    Un RPV peut être utilisé pour fournir un tunnel partagé de manière sécurisée. Un RPV fourni de manière sécurisée comprend le verrouillage de la connectivité à des environnements exclusifs, gérés et nommés ou à un ensemble particulier d’adresses préapprouvées, sans l’intervention d’une utilisatrice ou un utilisateur.
  • Discussion au sein du GC : Conformément à ce qui est énoncé dans le document Directive sur les services et le numérique – Annexe G: Norme sur les configurations courantes des services de la TI intégrée – Exigences sur la gestion de la configuration du point terminal du SCT, la tunnellisation partagée est désactivée sauf pour les domaines qui figurent dans la liste approuvée par le Conseil d’examen de l’architecture intégrée du GC. Tout autre trafic réseau à partir ou en provenance d’Internet doit être acheminé par l’entremise de voies approuvées par le GC vers Internet plutôt qu’une connexion directe à Internet.
  • Contrôles et activités connexes : Aucun.
• (08) Protection des frontières : Acheminement du trafic vers des serveurs mandataires authentifiés
  • Acheminer [Affectation : trafic de communications internes défini par l’organisation] vers [Affectation : réseaux externes désignés par l’organisation] par l’intermédiaire de serveurs mandataires authentifiés à proximité des interfaces gérées.
  • Discussion : Les réseaux externes sont des réseaux qui échappent au contrôle de l’organisation. Un serveur mandataire est un serveur (par exemple, un système ou une application) qui sert d’intermédiaire auprès des clients qui veulent accéder aux ressources d’un système depuis des serveurs à l’extérieur de l’organisation ou d’autres serveurs organisationnels. Les ressources système qui peuvent être demandées comprennent les fichiers, les connexions, les pages Web ou les services.
    Par une connexion au serveur mandataire, les clients soumettent des requêtes qui sont évaluées de façon à gérer la complexité et à fournir une protection additionnelle en limitant les connexions directes. Les dispositifs de filtrage de contenus Web constituent les serveurs mandataires les plus couramment utilisés pour fournir un accès Internet.
    Les serveurs mandataires peuvent prendre en charge la journalisation des sessions TCP (Transmission Control Protocol) et le blocage d’adresses URL, d’adresses IP et de noms de domaine en particulier. Les serveurs mandataires Web peuvent également être configurés à partir de listes de sites Web autorisés et non autorisés définies par l’organisation. Il convient de mentionner que les serveurs mandataires peuvent restreindre l’utilisation des RPV et ouvrir la porte à de potentielles attaques de type adversaire au milieu (selon la mise en œuvre).
  • Contrôles et activités connexes : AC-03.
• (09) Protection des frontières : Restriction du trafic de communications malveillant sortant
  • 1. Détecter et bloquer le trafic de communications sortant susceptible de constituer une menace pour les systèmes externes
    2. Vérifier l’identité des utilisatrices et utilisateurs internes associés aux communications bloquées
  • Discussion : La détection du trafic de communications sortant provenant d’activités internes et susceptible de poser une menace pour les systèmes externes est désignée sous le nom de détection d’extrusion. La détection d’extrusion est effectuée dans le système des interfaces gérées. Elle comprend une analyse du trafic de communications entrant et sortant qui vise à trouver des indications de menaces internes ciblant la sécurité des systèmes externes.
    Les menaces internes visant les systèmes externes comprennent le trafic annonciateur d’attaques par déni de service, du trafic utilisant des adresses sources usurpées et du trafic contenant du code malveillant. Les organisations devraient définir les critères pour déterminer, mettre à jour et gérer les menaces relevées par rapport à la détection d’extrusion.
  • Contrôles et activités connexes : AU-02, AU-06, SC-05, SC-38, SC-44, SI-03 et SI-04.
• (10) Protection des frontières : Prévention de l’exfiltration
  • 1. Prévenir l’exfiltration de l’information
    2. Procéder à des tests d’exfiltration [Affectation : fréquence définie par l’organisation]
  • Discussion : La prévention de l’exfiltration s’applique à l’exfiltration d’information intentionnelle et accidentelle. Les techniques utilisées pour prévenir l’exfiltration d’information des systèmes peuvent être mises en œuvre aux points d’extrémité internes, aux frontières externes et à travers les interfaces gérées. Elles comprennent également l’adhésion aux formats de protocoles, la surveillance du balisage malveillant en provenance des systèmes, la déconnexion des interfaces réseau externes, sauf lorsqu’elles sont explicitement requises, l’analyse des profils de trafic visant à détecter tout écart par rapport au volume et aux types de trafic attendus au sein des organisations, les procédures de rappel vers les centres de commande et de contrôle, la réalisation de tests d’intrusion, la surveillance de la stéganographie, le désassemblage et le réassemblage d’en-têtes de paquet, et l’utilisation d’outils de prévention de la perte et de la fuite de données.
    Parmi les dispositifs servant à imposer le respect rigoureux des formats de protocole, on retrouve les pare-feu d’inspection approfondie des paquets et les passerelles d’interface XML (Extensible Markup Language). Les dispositifs vérifient le respect des spécifications et des formats de protocoles au niveau de la couche application et permettent de relever les vulnérabilités indétectables au moyen de dispositifs fonctionnant au niveau des couches réseau ou transport.
    La prévention de l’exfiltration est similaire à la prévention de la perte ou de la fuite de données et est étroitement liée aux solutions interdomaines et aux mécanismes de protection de systèmes qui appliquent les exigences relatives aux flux d’information.
  • Contrôles et activités connexes : AC-02, CA-08 et SI-03.
• (11) Protection des frontières : Restrictions du trafic de communications entrant
  • Faire en sorte que seules les communications entrantes provenant de [Affectation : sources autorisées désignées par l’organisation] puissent être acheminées vers [Affectation : destinations autorisées désignées par l’organisation].
  • Discussion : Des techniques générales de validation des adresses sources sont employées pour restreindre l’utilisation d’adresses sources illégitimes et non attribuées, ainsi que celle d’adresses sources qui ne devraient être utilisées que dans le système. La restriction du trafic de communications entrant fournit des indices que les paires d’adresses (source et destination) représentent des communications autorisées ou permises. Ces indices peuvent être fondés sur divers facteurs, notamment la présence de paires d’adresses dans les listes de communications autorisées ou permises, l’absence de paires d’adresses dans les listes de paires non autorisées ou interdites, ou le respect de règles plus générales de paires (sources et destination) autorisées ou permises.
    L’authentification robuste d’adresses réseau est impossible sans le recours à des protocoles de sécurité explicites, ce qui fait en sorte que les adresses peuvent souvent être usurpées. De plus, il est possible d’utiliser des méthodes de restriction du trafic entrant basé sur les identités, comme les listes de contrôle d’accès aux routeurs et les règles de pare-feu.
  • Contrôles et activités connexes : AC-03.
• (12) Protection des frontières : Protection au niveau de l’hôte
  • Mettre en œuvre [Affectation : mécanismes de protection de la frontière au niveau de l’hôte définis par l’organisation] à [Affectation : composants des systèmes désignés par l’organisation].
  • Discussion : Les mécanismes de protection des frontières intégrés à l’hôte peuvent être des ordinateurs pare-feu. Les composants de systèmes qui appliquent des mécanismes de protection des frontières intégrés à l’hôte peuvent être des serveurs, des stations de travail, des ordinateurs blocs-notes et des appareils mobiles.
  • Contrôles et activités connexes : Aucun.
• (13) Protection des frontières : Isolation des outils de sécurité, des mécanismes et des composants de soutien
  • Isoler les [Affectation : principaux outils, mécanismes et composants de soutien de la sécurité de l’information désignés par l’organisation] des autres composants internes du système au moyen de sous-réseaux physiques distincts dotés d’interfaces gérées tournées vers les autres parties du système.
  • Discussion : La distinction physique des sous-réseaux dotés d’interfaces gérées est utile lorsqu’il s’agit d’isoler les défenses d’un réseau informatique des réseaux de traitement opérationnel essentiel, dans le but d’empêcher les parties adverses de découvrir les techniques d’analyse et d’investigation informatique employées par les organisations.
  • Contrôles et activités connexes : SC-02 et SC-03.
• (14) Protection des frontières : Protection contre les connexions physiques non autorisées
  • Assurer une protection contre les connexions physiques non autorisées à [Affectation : interfaces gérées désignées par l’organisation].
  • Discussion : Les systèmes qui fonctionnent selon diverses catégories de sécurité ou divers niveaux de classification pourraient partager des contrôles physiques et environnementaux communs, puisqu’ils peuvent se trouver dans les mêmes locaux d’une installation. En pratique, ces systèmes distincts peuvent également partager les mêmes salles d’équipement, armoires de câblage et trajets de distribution des câbles. La protection contre les connexions physiques non autorisées peut être assurée par l’utilisation de chemins de câbles, de boîtiers de raccordement et de tableaux de connexions physiquement distincts et clairement identifiés à chaque extrémité des interfaces gérées qui limitent l’accès au moyen de contrôles d’accès physique.
  • Contrôles et activités connexes : PE-04 et PE-19.
• (15) Protection des frontières : Accès privilégiés aux réseaux
  • Acheminer tous les accès réseau privilégiés par l’intermédiaire d’une interface gérée spécialisée aux fins de contrôle des accès et de vérification.
  • Discussion : L’accès privilégié offre une plus grande accessibilité aux fonctions du système, dont les fonctions de sécurité. Les adversaires tentent d’obtenir un accès privilégié aux systèmes au moyen d’un accès distant pour causer des répercussions négatives sur la mission ou les activités, comme exfiltrer l’information ou mettre hors fonction une capacité de système essentielle. Acheminer toutes les requêtes d’accès réseau privilégiés par l’intermédiaire d’une interface gérée spécialisée permet de limiter davantage l’accès privilégié à de plus amples contrôles d’accès et de vérification.
  • Contrôles et activités connexes : AC-02, AC-03, AU-02 et SI-04.
• (16) Protection des frontières : Prévention de la découverte de composants de systèmes
  • Prévenir la découverte des composants de systèmes particuliers qui représentent une interface gérée.
  • Discussion : Prévenir la découverte des composants de systèmes représentant une interface gérée aide à éviter que les adresses réseau de ces composants soient découvertes au moyen de techniques et d’outils couramment utilisés pour trouver les dispositifs sur les réseaux. Les adresses réseau ne sont pas disponibles aux fins de découverte et doivent être connues au préalable pour qu’on puisse y accéder. Pour prévenir la découverte des composants et des dispositifs, on peut ne pas diffuser les adresses réseau, avoir recours à la traduction d’adresses de réseau ou ne pas saisir les adresses dans les systèmes d’adressage par domaines. Une autre technique de prévention consiste à changer les adresses réseau périodiquement.
  • Contrôles et activités connexes : Aucun.
• (17) Protection des frontières : Application automatisée des formats de protocoles
  • Appliquer la stricte adhésion aux formats de protocoles.
  • Discussion : Les composants de systèmes qui servent à appliquer les formats de protocole comprennent les pare-feu d’inspection approfondie des paquets et les passerelles XML. Les composants vérifient le respect de la spécification et du format de protocole au niveau de la couche application et permettent d’identifier les vulnérabilités indétectables au moyen de dispositifs fonctionnant au niveau des couches réseau ou transport.
  • Contrôles et activités connexes : SC-04.
• (18) Protection des frontières : Fonctionnement à sécurité intégrée
  • Éviter que les systèmes passent en mode non sécurisé dans l’éventualité de la défaillance opérationnelle d’un dispositif de protection des frontières.
  • Discussion : Le fonctionnement à sécurité intégrée est une condition réalisée au moyen de mécanismes visant à s’assurer qu’advenant la défaillance opérationnelle de dispositifs de protection des frontières sur des interfaces gérées, les systèmes ne passent pas à des états non sécurisés lorsque les propriétés de sécurité prévues n’ont plus aucun effet. Les interfaces gérées comprennent les routeurs, les pare-feu et les passerelles d’application qui résident sur des sous-réseaux protégés (communément appelés des ZD). Les défaillances de dispositifs de protection des frontières ne doivent pas permettre à l’information qui est extérieure aux dispositifs d’entrer dans ce dernier ni permettre la diffusion non autorisée d’information.
  • Contrôles et activités connexes : CP-02, CP-12 et SC-24.
• (19) Protection des frontières : Blocage des communications provenant d’hôtes non configurés par l’organisme
  • Bloquer le trafic de communications entrant et sortant entre [Affectation : clients en communication désignés par l’organisation] qui est configuré indépendamment par les utilisatrices, les utilisateurs et les fournisseurs de services externes.
  • Discussion : Les clients de communications qui ont été configurés indépendamment par les utilisatrices ou utilisateurs finaux et les fournisseurs de services externes comprennent les clients de messagerie instantanée, ainsi que les logiciels et les applications de vidéoconférence. Le blocage de trafic ne s’applique pas aux clients des communications qui sont configurés par des organisations dans le but d’exécuter des fonctions autorisées.
  • Contrôles et activités connexes : Aucun.
• (20) Protection des frontières : Isolation dynamique et séparation
  • Fournir la capacité d’isoler dynamiquement [Affectation : composants de systèmes désignés par l’organisation] des autres composants de systèmes.
  • Discussion : La capacité d’isoler dynamiquement certains composants de systèmes internes s’avère utile lorsqu’il est nécessaire de partitionner ou de séparer certains composants de systèmes d’origine douteuse des composants jugés fiables. L’isolation des composants réduit la surface d’attaque des systèmes organisationnels. L’isolation de certains composants de systèmes représente également un moyen de limiter les dommages causés par les attaques fructueuses.
  • Contrôles et activités connexes : Aucun.
• (21) Protection des frontières : Isolation des composants de systèmes
  • Avoir recours à des mécanismes de protection de la frontière dans le but de séparer [Affectation : composants du système désignés par l’organisation] assurant le soutien aux [Affectation : fonctions liées à la mission et aux activités définies par l’organisation].
  • Discussion : Les organisations peuvent isoler des composants de systèmes qui exécutent diverses fonctions liées à la mission ou aux activités. Ce type d’isolation limite les flux d’information non autorisés parmi les composants de systèmes et fournit l’occasion de mettre en œuvre des niveaux de sécurité accrus pour certains composants de systèmes.
    La séparation des composants de systèmes par des mécanismes de protection frontalière permet d’accroître la protection de chacun des composants de systèmes et d’intensifier le contrôle des flux d’information entre ces mêmes composants. Isoler les composants de systèmes offre une protection accrue qui limite les dommages que les cyberattaques et les erreurs malveillantes pourraient causer.
    Le degré de séparation varie selon les mécanismes choisis. Les mécanismes de protection des frontières comprennent les routeurs, les passerelles et les pare-feu qui séparent les composants de systèmes en réseaux et sous-réseaux distincts; les dispositifs interdomaines qui séparent les sous-réseaux; les techniques de virtualisation; le chiffrement des flux d’information entre les composants de systèmes au moyen de clés de chiffrement distinctes et l’isolation physique et électrique complète du réseau ou du système concerné par rapport à tous les autres réseaux.
  • Contrôles et activités connexes : CA-09.
• (22) Protection des frontières : Sous-réseaux distincts pour la connexion à des domaines de sécurité différents
  • Appliquer des adresses réseau distinctes pour établir une connexion à des systèmes se trouvant dans des domaines de sécurité différents.
  • Discussion : La décomposition des systèmes en sous-réseau aide à fournir le niveau de protection requis pour les connexions réseau à des domaines de sécurité différents qui contiennent de l’information comportant des catégories de sécurité différentes ou des niveaux de sécurité différents.
  • Contrôles et activités connexes : Aucun.
• (23) Protection des frontières : Désactivation de la rétroaction à l’expéditrice ou expéditeur après l’échec de validation d’un protocole
  • Désactiver la fonction de rétroaction à l’expéditrice ou expéditeur advenant l’échec de la validation d’un format de protocole.
  • Discussion : La désactivation de la rétroaction à l’expéditrice ou expéditeur en cas d’échec de la validation du format d’un protocole empêche les adversaires d’obtenir de l’information qui, en d’autres circonstances, serait non disponible.
  • Contrôles et activités connexes : Aucun.
• (24) Protection des frontières : Renseignements personnels
  • Pour les systèmes qui traitent des renseignements personnels
    1. appliquer les règles de traitement suivantes aux éléments de données des renseignements personnels : [Affectation : règles de traitement définies par l’organisation]
    2. surveiller le traitement autorisé dans les interfaces externes du système et à ses principales frontières internes
    3. documenter chaque exception à la règle de traitement
    4. examiner et supprimer les exceptions qui ne sont plus prises en charge
  • Discussion : Gérer le traitement des renseignements personnels est un aspect important de la protection de la vie privée des individus. L’application des exceptions aux règles de traitement, leur surveillance et leur documentation permet de s’assurer que les renseignements personnels sont traités conformément aux exigences établies en matière de respect de la vie privée.
  • Discussion au sein du GC : Les utilisations et les divulgations d’information sans le consentement de l’individu sont répertoriées au paragraphe 8(2) de la LPRP.
  • Contrôles et activités connexes : PT-02 et SI-15.
• (25) Protection des frontières : Connexions à des systèmes de sécurité nationaux non classifiés
  • Interdire toute connexion directe de [Affectation : système de sécurité national non classifié désigné par l’organisation] à un réseau externe sans utiliser [Affectation : dispositif de protection des frontières désigné par l’organisation].
  • Discussion : Aucune.
  • Discussion au sein du GC : Une connexion directe est une connexion physique ou virtuelle dédiée entre deux systèmes ou plus. Le contrôle de réseaux externes (comme Internet) échappe habituellement aux organisations. Les communications (flux d’information) entre les systèmes de sécurité nationaux non classifiés et les réseaux externes passent par des dispositifs de protection des frontières (comme des pare-feu, des passerelles et des routeurs).
  • Contrôles et activités connexes : Aucun.
• (26) Protection des frontières : Connexions à des systèmes de sécurité nationaux classifiés
  • Interdire toute connexion directe de [Affectation : système de sécurité national classifié désigné par l’organisation] à un réseau externe sans utiliser [Affectation : dispositif de protection des frontières désigné par l’organisation].
  • Discussion : Aucune.
  • Discussion au sein du GC : Une connexion directe est une connexion physique ou virtuelle dédiée entre deux systèmes ou plus. Le contrôle de réseaux externes (comme Internet) échappe habituellement aux organisations. Les communications (flux d’information) entre les systèmes de sécurité nationaux classifiés et les réseaux externes passent par des dispositifs de protection des frontières (comme des pare-feu, des passerelles et des routeurs). De plus, les dispositifs approuvés (habituellement des systèmes interdomaines ou des systèmes d’interface gérés) appliquent des règles de flux d’information entre les systèmes et les réseaux externes.
  • Contrôles et activités connexes : Aucun.
• (27) Protection des frontières : Connexions à des systèmes de sécurité non nationaux non classifiés
  • Interdire toute connexion directe de [Affectation : système de sécurité non national non classifié désigné par l’organisation] à un réseau externe sans utiliser [Affectation : dispositif de protection des frontières désigné par l’organisation].
  • Discussion : Aucune.
  • Discussion au sein du GC : Une connexion directe est une connexion physique ou virtuelle dédiée entre deux systèmes ou plus. Le contrôle de réseaux externes (comme Internet) échappe habituellement aux organisations. Les communications (flux d’information) entre les systèmes de sécurité non nationaux non classifiés et les réseaux externes passent par des dispositifs de protection des frontières (comme des pare-feu, des passerelles et des routeurs).
  • Contrôles et activités connexes : Aucun.
• (28) Protection des frontières : Connexions aux réseaux publics
  • Interdire toute connexion directe de [Affectation : système désigné par l’organisation] à un réseau public.
  • Discussion : Une connexion directe est une connexion physique ou virtuelle dédiée entre deux systèmes ou plus. Par réseau public, on entend tout réseau auquel peut accéder le public, comme Internet et les réseaux extranet d’accès public d’une organisation.
  • Contrôles et activités connexes : Aucun.
• (29) Protection des frontières : Séparation des sous-réseaux pour l’isolation des fonctions
  • Mettre en œuvre [Sélection (un choix) : physiquement; logiquement] des sous-réseaux distincts pour isoler les fonctions et les composants de systèmes critiques suivants : [Affectation : composants et fonctions de systèmes essentiels définis par l’organisation].
  • Discussion : Il pourrait être nécessaire de séparer les composants et les fonctions des composants de systèmes critiques des autres composants et fonctions des composants de systèmes non critiques au moyen de sous-réseaux distincts pour faire en sorte qu’ils soient moins susceptibles de faire l’objet d’une violation ou d’une compromission catastrophique ou débilitante donnant lieu à la défaillance des systèmes. Par exemple, séparer physiquement la fonction de commande et de contrôle du système de divertissements en vol en séparant les sous-réseaux d’un avion commercial permet d’offrir un niveau accru d’assurance dans la fiabilité et la robustesse des fonctions de système critiques.
  • Contrôles et activités connexes : Aucun.

Références

• Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022)
• Établissement des zones de sécurité dans un réseau – Considérations de conception relatives au positionnement des services dans les zones (ITSG-38)
• Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062)
• NIST SP 800-189, Resilient Interdomain Traffic Exchange: BGP Security and DDoS Mitigation (en anglais seulement)
• SCT, Directive sur les services et le numérique – Annexe F : Norme sur la restriction de l’utilisation des services de la TI intégrée
• SCT, Directive sur les services et le numérique – Annexe G : Norme sur les configurations courantes des services de la TI intégrée

SC-08 Confidentialité et intégrité des transmissions

Contrôle

Protéger [Sélection (un choix ou plus) : la confidentialité; l’intégrité] de l’information transmise.

Discussion

La protection de la confidentialité et de l’intégrité de l’information transmise s’applique aux réseaux internes et externes ainsi qu’à tous les composants du système qui peuvent transmettre de l’information, y compris les serveurs, les ordinateurs blocs-notes, les ordinateurs de bureau, les appareils mobiles, les imprimantes, les photocopieurs, les numériseurs, les télécopieurs et les radios. Les chemins de communication non protégés sont vulnérables à l’interception et à la modification.

On peut assurer la protection de la confidentialité et de l’intégrité de l’information en faisant appel à des moyens physiques ou logiques. La protection physique peut être réalisée au moyen de systèmes de distribution protégés. Un système de distribution protégé est un système de télécommunications à fibre optique qui comprend des points terminaux et les contrôles électromagnétiques, acoustiques, électriques et physiques adéquats pour permettre une transmission non chiffrée de l’information classifiée. Le recours à des techniques de chiffrement permet d’assurer une protection logique.

Les organisations qui misent sur des fournisseurs commerciaux offrant des fonctions de transmission qui sont des services accessoires plutôt que des services nominaux peuvent avoir de la difficulté à obtenir les assurances nécessaires pour la mise en œuvre des contrôles exigés pour garantir la confidentialité et l’intégrité des transmissions. Dans de telles situations, les organisations établissent les types de services de confidentialité ou d’intégrité qui sont disponibles dans les ensembles de services de télécommunications commerciaux standard. S’il est impossible d’obtenir les contrôles nécessaires et l’assurance qu’ils sont appliqués de manière efficace par la voie contractuelle appropriée, les organisations peuvent mettre en place des contrôles compensatoires appropriés.

Contrôles et activités connexes

AC-17, AC-18, AU-10, IA-03, IA-08, IA-09, MA-04, PE-04, SA-04, SA-08, SA-400, SC-07, SC-16, SC-20, SC-23, SC-28 et SI-400.

Améliorations

• (01) Confidentialité et intégrité des transmissions : Protection cryptographique
  • Mettre en œuvre des mécanismes de chiffrement pour [Sélection (un choix ou plus) : prévenir la divulgation non autorisée d’information; détecter les modifications apportées à l’information] durant la transmission.
  • Discussion : Le chiffrement protège l’information contre toute divulgation ou modification non autorisée durant la transmission. Les mécanismes cryptographiques qui protègent la confidentialité et l’intégrité de l’information durant la transmission incluent les protocoles TLS et Internet Protocol Security (IPsec). Les mécanismes de chiffrement utilisés pour protéger l’intégrité de l’information comprennent les fonctions de hachage cryptographique qui ont des applications semblables en ce qui a trait aux signatures numériques, les sommes de contrôle et les codes d’authentification des messages.
  • Contrôles et activités connexes : SC-12 et SC-13.
• (02) Confidentialité et intégrité des transmissions : Traitement pré-transmission et post-transmission
  • Maintenir [Sélection (un choix ou plus) : la confidentialité; l’intégrité] de l’information au cours de la préparation à la transmission et pendant la réception.
  • Discussion : L’information est divulguée ou modifiée de façon accidentelle ou malveillante en cours de transmission ou au moment de sa réception, notamment pendant l’agrégation, aux points de transformation de protocole et pendant le groupage et le dégroupage. Ces divulgations ou modifications non autorisées compromettent la confidentialité ou l’intégrité de l’information.
  • Contrôles et activités connexes : Aucun.
• (03) Confidentialité et intégrité des transmissions : Protection cryptographique pour les éléments complémentaires des messages
  • Appliquer des mécanismes visant à protéger les éléments complémentaires des messages, sauf si l’information est protégée par [Affectation : autres mesures de protection physique définies par l’organisation].
  • Discussion : La protection cryptographique des éléments complémentaires des messages porte sur la protection contre la divulgation non autorisée de l’information. Les éléments complémentaires des messages comprennent l’en-tête des messages et l’information relative au routage. La protection cryptographique prévient l’exploitation des éléments complémentaires et s’applique aux réseaux internes et externes ou encore aux liens pouvant être visibles à celles et ceux qui ne sont pas des utilisatrices et utilisateurs autorisés. L’information relative aux en têtes et au routage est parfois transmise en texte clair (c’est-à-dire non chiffrée) en raison du fait que l’information n’est pas identifiée comme étant pertinente par les organisations ou parce que le chiffrement de l’information pourrait réduire les performances du réseau ou accroître les coûts. Les autres contrôles physiques comprennent, par exemple, les systèmes de diffusion protégée.
  • Contrôles et activités connexes : SC-12 et SC-13.
• (04) Confidentialité et intégrité des transmissions : Dissimulation et distribution aléatoire des communications
  • Appliquer des mécanismes cryptographiques visant à protéger ou à distribuer aléatoirement les schémas de communication, sauf si l’information est protégée par [Affectation : autres contrôles physiques définis par l’organisation].
  • Discussion : La dissimulation ou la distribution aléatoire des schémas de communication vise à offrir une protection contre la divulgation non autorisée de l’information. Les schémas de communication comprennent la fréquence, les périodes, la prévisibilité et la quantité. La modification des schémas de communication peut révéler de l’information ayant une valeur de renseignement, particulièrement lorsque celle-ci est combinée à d’autres informations disponibles sur les fonctions liées à la mission et aux activités de l’organisation. Dissimuler et distribuer aléatoirement les communications prévient le dévoilement indirect de renseignements fondé sur les schémas de communications et s’applique aux réseaux internes et externes ou encore aux liens pouvant être visibles à celles et ceux qui ne sont pas des utilisatrices et utilisateurs autorisés. Le chiffrement des liens et la transmission selon des schémas continus, fixes ou aléatoires permettent d’éviter que des renseignements soient déduits à partir des schémas de communication du système. Les autres contrôles physiques comprennent, par exemple, les systèmes de diffusion protégée.
  • Contrôles et activités connexes : SC-12 et SC-13.
• (05) Confidentialité et intégrité des transmissions : Système de distribution protégé
  • Mettre en œuvre [Affectation : système de distribution protégé désigné par l’organisation] pour [Sélection (un choix ou plus) : prévenir la divulgation non autorisée d’information; détecter les modifications apportées à l’information] durant la transmission.
  • Discussion : L’objectif d’un système de distribution protégé est de prévenir l’accès physique aux lignes de communication qui transportent l’information de sécurité nationale, de détecter un tel accès et de faire en sorte qu’il soit difficile.
  • Contrôles et activités connexes : Aucun.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062)
• Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111)

SC-09 Confidentialité des transmissions

Annulé : Intégré au contrôle SC-08.

SC-10 Déconnexion du réseau

Contrôle

Mettre fin à la connexion réseau associée à la session de communication à la fin de la session ou après [Affectation : période définie par l’organisation] d’inactivité.

Discussion

La déconnexion réseau s’applique aux réseaux internes et externes. L’interruption des connexions réseau associées aux sessions de communication comprend la désaffectation des adresses TCP/IP ou des paires de ports au niveau du système d’exploitation ou la désaffectation des attributions réseau au niveau de l’application si plusieurs sessions d’application utilisent une seule connexion réseau au niveau du système d’exploitation. Les périodes d’inactivité peuvent être établies par les organisations et comprennent des périodes par type d’accès réseau ou pour des accès réseau particuliers.

Contrôles et activités connexes

AC-17 et SC-23.

Améliorations

Aucune.

Références

Aucune.

SC-11 Chemin de confiance

Contrôle

1. Fournir un chemin de communication de confiance isolé [Sélection (un choix) : physiquement; logiquement] pour établir les communications entre les utilisatrices et utilisateurs et les composants fiables du système
2. Permettre aux utilisatrices et utilisateurs d’invoquer le chemin de communication de confiance pour les communications entre l’utilisatrice ou utilisateur et les fonctions de sécurité suivantes du système qui incluent, au minimum, l’authentification et la réauthentification : [Affectation : fonctions de sécurité définies par l’organisation]

Discussion

Les chemins de confiance sont des mécanismes par l’intermédiaire desquels les utilisatrices et utilisateurs peuvent communiquer (au moyen de dispositifs de saisie, comme des pavés numériques ou des lecteurs de cartes à puce dotés d’un clavier de NIP intégré) directement avec les fonctions de sécurité des systèmes tout en ayant l’assurance requise pour soutenir les stratégies de sécurité. Les mécanismes des chemins de confiance ne peuvent être activés que par les utilisatrices et utilisateurs ou par les fonctions de sécurité des systèmes organisationnels. Les réponses de l’utilisatrice ou utilisateur qui sont acheminées par les chemins de confiance sont protégées contre les divulgations et les modifications non autorisées provoquées par des applications non fiables.

Les organisations emploient des chemins de confiance pour les connexions d’assurance élevée entre les fonctions de sécurité des systèmes et les utilisatrices et utilisateurs, notamment pendant les connexions au système. Les mises en œuvre initiales des chemins de confiance employaient un signal hors bande pour amorcer le chemin, comme utiliser la touche [Break], qui ne transmet aucun caractère susceptible d’être usurpé. Dans les mises en œuvre plus récentes, une combinaison de touches impossibles à détourner a été utilisée (par exemple, les touches [Ctrl] + [Alt] + [Del]). De telles combinaisons de clés, par contre, sont propres aux plateformes et ne peuvent pas assurer la mise en œuvre d’un chemin de confiance dans tous les cas. L’application des chemins de communication de confiance est généralement fournie dans le cadre d’une mise en œuvre qui répond au concept de contrôleur de référence.

Contrôles et activités connexes

AC-16, AC-25, SC-12 et SC-23.

Améliorations

• (01) Chemin de confiance : Chemin de communication irréfutable
  • 1. Fournir un chemin de communication de confiance qui est irréfutablement distinct des autres chemins de communication
    2. Amorcer le chemin de communication de confiance pour les communications entre les [Affectation : fonctions de sécurité définies par l’organisation] du système et l’utilisatrice ou utilisateur
  • Discussion : Un chemin de communication irréfutable permet au système d’instaurer un chemin de confiance, lequel exige que l’utilisatrice ou utilisateur reconnaisse de façon non équivoque la source de la communication comme étant un composant fiable du système. Par exemple, le chemin de confiance peut apparaître dans une zone de l’écran qui est inaccessible aux autres applications ou être basé sur la présence d’un identifiant qui ne peut être usurpé.
  • Contrôles et activités connexes : Aucun.

Références

Aucune.

SC-12 Établissement et gestion des clés cryptographiques

Contrôle

Établir et gérer les clés cryptographiques lorsque la cryptographie est utilisée dans le système conformément aux exigences de gestion de clés suivantes : [Affectation : exigences définies par l’organisation liées à la génération, à la distribution, au stockage, à l’accès et à la destruction des clés].

Discussion

L’établissement et la gestion des clés cryptographiques peuvent être effectués au moyen de procédures manuelles ou de mécanismes automatisés soutenus par des procédures manuelles. Les organisations définissent les exigences liées à la gestion des clés conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables, et elles précisent les options, les paramètres et les niveaux appropriés. Les organisations gèrent les magasins de confiance en veillant à ce que seuls les ancrages de confiance préalablement approuvés se trouvent dans de tels magasins. Cela inclut les certificats disposant d’une visibilité à l’extérieur des systèmes organisationnels et les certificats ayant trait aux systèmes opérationnels internes. Le PVMC conjoint du NIST et du CST fournit de l’information additionnelle sur les modules et les algorithmes cryptographiques validés qui peuvent être utilisés pour gérer et établir les clés cryptographiques.

Discussion au sein du GC

Il est recommandé d’utiliser des modules cryptographiques commerciaux validés selon le PVMC du NIST et du CST pour tous les systèmes de sécurité nationale.

Contrôles et activités connexes

AC-17, AU-09, AU-10, CM-03, IA-03, IA-07, IA-13, SA-04, SA-08, SA-09, SC-08, SC-11, SC-12, SC-13, SC-17, SC-20, SC-37, SC-40, SI-03 et SI-07.

Améliorations

• (01) Établissement et gestion des clés cryptographiques : Disponibilité
  • Maintenir la disponibilité de l’information dans l’éventualité où les utilisatrices et utilisateurs perdent leurs clés cryptographiques.
  • Discussion : Le séquestre des clés de chiffrement constitue une pratique courante visant à assurer une certaine disponibilité en cas de perte de clés. L’oubli d’une phrase de passe est un exemple de perte de clé cryptographique.
  • Contrôles et activités connexes : Aucun.
• (02) Établissement et gestion des clés cryptographiques : Clés symétriques
  • Produire, contrôler et distribuer les clés cryptographiques symétriques en faisant appel à une technologie et à des processus de gestion des clés [Sélection (un choix) : validés par le PVMC; approuvés par le Centre pour la cybersécurité; avec matériel de chiffrement préplacé].
  • Discussion : La publication ITSP.40.111 du Centre pour la cybersécurité propose des recommandations sur les mécanismes d’établissement de clés cryptographiques et les fonctions de dérivation de clés pouvant servir à produire des clés symétriques partagées entre deux parties. Ces mécanismes doivent être utilisés dans un protocole de sécurité réseau, comme ceux mentionnés dans l’ITSP.40.062 du Centre pour la cybersécurité avec de plus amples conseils sur la configuration.
  • Discussion au sein du GC : Pour les systèmes de sécurité nationale, il est impératif d’utiliser une technologie et des processus de gestion des clés approuvés par le Centre pour la cybersécurité.
  • Contrôles et activités connexes : Aucun.
• (03) Établissement et gestion des clés cryptographiques : Clés asymétriques
  • Produire, contrôler et distribuer les clés cryptographiques asymétriques en faisant appel à [Sélection (un choix) : des processus de gestion des clés approuvés par le Centre pour la cybersécurité; du matériel de chiffrement préplacé; des certificats d’ICAP à assurance moyenne approuvés ou émis par le Centre pour la cybersécurité; des certificats d’ICP et des jetons de sécurité matériels qui protègent la clé privée de l’utilisatrice ou utilisateur; des certificats émis conformément aux exigences définies par l’organisation].
  • Discussion : L’ITSP.40.111 fournit des recommandations pour les spécifications approuvées de la cryptographie asymétrique et recommande que les mises en œuvre, y compris la génération de clés, soient effectuées dans des modules cryptographiques validés selon le PVMC. L’ITSP.40.062 offre des conseils sur la gestion des clés asymétriques dans une ICP.
  • Discussion au sein du GC : Pour les systèmes de sécurité nationale, il est impératif d’utiliser une technologie et des processus de gestion des clés approuvés par le Centre pour la cybersécurité.
  • Contrôles et activités connexes : Aucun.
• (04) Établissement et gestion des clés cryptographiques : Certificats d’ICP
  • Annulé : Intégré au contrôle SC-12(03).
• (05) Établissement et gestion des clés cryptographiques : Certificats d’ICP et jetons matériels
  • Annulé : Intégré au contrôle SC-12(03).
• (06) Établissement et gestion des clés cryptographiques : Contrôle physique des clés
  • Assurer le contrôle physique des clés cryptographiques lorsque l’information stockée est chiffrée par des fournisseurs de services externes.
  • Discussion : Pour les organisations qui ont recours à des fournisseurs de services externes (par exemple, des fournisseurs de services infonuagiques ou de centre de données), le contrôle physique des clés cryptographiques offre une assurance additionnelle que l’information stockée par de tels fournisseurs externes n’est pas sujette à une divulgation ou à une modification non autorisée.
  • Contrôles et activités connexes : Aucun.

Références

• Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111)
• Guide sur le chiffrement des services infonuagiques (ITSP.50.106)
• Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062)
• Programme de validation des modules cryptographiques (PVMC)
• Directive en matière de sécurité des TI sur le contrôle du matériel COMSEC au sein du gouvernement du Canada (ITSD-03A) (sur demande au Centre pour la cybersécurité)
• Directive en matière de sécurité des TI sur la commande de clés cryptographiques (ITSD-09) (sur demande au Centre pour la cybersécurité)

SC-13 Protection cryptographique

Contrôle

1. Déterminer les [Affectation : utilisations cryptographiques définies par l’organisation]
2. Mettre en place les types de cryptographies nécessaires à chaque utilisation cryptographique indiquée : [Affectation : types de cryptographies définis par l’organisation pour chaque utilisation cryptographique indiquée]

Discussion

La cryptographie peut être employée pour soutenir une variété de solutions de sécurité, notamment la protection d’information classifiée et d’information protégée, la livraison et la mise en œuvre de signatures numériques, et l’obligation de séparer l’information, lorsque des personnes autorisées disposent des habilitations requises pour l’information en question sans avoir les approbations formelles d’accès nécessaires.

La cryptographie peut également servir à soutenir la génération aléatoire de nombres et la génération de hachage. Parmi les normes généralement appliquées en matière de cryptographie, on retrouve la cryptographie homologuée FIPS et la cryptographie approuvée par le Centre pour la cybersécurité. Par exemple, les organisations qui doivent protéger l’information classifiée peuvent indiquer l’utilisation d’une cryptographie approuvée par le Centre pour la cybersécurité. Les organisations qui doivent fournir et mettre en œuvre des signatures numériques peuvent indiquer l’utilisation d’une cryptographie homologuée FIPS. La cryptographie est mise en œuvre conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables.

Contrôles et activités connexes

AC-02, AC-03, AC-07, AC-17, AC-18, AC-19, AU-09, AU-10, CM-11, CP-09, IA-03, IA-05, IA-07, IA-13, MA-04, MP-02, MP-04, MP-05, SA-04, SA-08, SA-09, SA-400, SC-08, SC-12, SC-20, SC-23, SC-28, SC-40, SI-03 et SI-07.

Améliorations

• (01) Protection cryptographique : Cryptographie homologuée FIPS
  • Annulé : Intégré au contrôle SC-13.
• (02) Protection cryptographique : Cryptographie approuvée par la National Security Agency (NSA)
  • Annulé : Intégré au contrôle SC-13.
• (03) Protection cryptographique : Personnes ne disposant pas des approbations formelles d’accès
  • Annulé : Intégré au contrôle SC-13.
• (04) Protection cryptographique : Signatures numériques
  • Annulé : Intégré au contrôle SC-13.
• (400) Protection cryptographique : Données en transit PROTÉGÉ A
  • Annulé : Intégré au contrôle SC-13.
• (401) Protection cryptographique : Données en transit PROTÉGÉ B
  • Annulé : Intégré au contrôle SC-13.
• (402) Protection cryptographique : Données en transit PROTÉGÉ C
  • Annulé : Intégré au contrôle SC-13.
• (403) Protection cryptographique : Données au repos protégées
  • Annulé : Intégré au contrôle SC-13.
• (404) Protection cryptographique : Systèmes de sécurité nationale
  • Annulé : Intégré au contrôle SC-13.

Références

• Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111)
• Directive en matière de sécurité des TI sur l’application de la sécurité des communications à l’aide de solutions approuvées par le CST (ITSD-01A) (sur demande au Centre pour la cybersécurité)
• NIST FIPS 140-3 Security Requirements for Cryptographic Modules (en anglais seulement)

SC-14 Protection de l’accès public

Annulé : Intégré au contrôle AC-02, AC-03, AC-05, AC-06, SI-03, SI-04, SI-05, SI-07 et SI-10.

SC-15 Applications et dispositifs d’informatique collaborative

Contrôle

1. Empêcher l’activation à distance des applications et des dispositifs d’informatique collaborative, sauf pour les exceptions suivantes : [Affectation : exceptions définies par l’organisation pour lesquelles l’activation à distance doit être permise]
2. Indiquer de manière explicite l’utilisation permise pour les utilisatrices et utilisateurs qui se trouvent physiquement à proximité des dispositifs

Discussion

Les applications et les dispositifs d’informatique collaborative comprennent les dispositifs et applications de rencontres en ligne, les tableaux blancs en réseau, les caméras et les microphones. L’indication explicite de l’utilisation comprend un signal transmis à l’utilisatrice ou utilisateur lorsque l’application ou le dispositif d’informatique coopérative est activé.

Contrôles et activités connexes

AC-21 et SC-42.

Améliorations

• (01) Applications et dispositifs d’informatique collaborative : Déconnexion physique ou logique
  • Permettre la déconnexion [Sélection (un choix ou plus) : physique; logique] des dispositifs d’informatique coopérative de manière à assurer la convivialité.
  • Discussion : L’échec de la déconnexion d’un dispositif d’informatique collaborative peut ultérieurement occasionner des compromissions d’information organisationnelle. L’application de méthodes simples de déconnexions par rapport à de tels dispositifs après une séance d’informatique collaborative permet d’assurer que les participantes et participants exécutent la déconnexion sans avoir à suivre des procédures longues et complexes. La déconnexion des dispositifs d’informatique collaborative peut être manuelle ou automatique.
  • Contrôles et activités connexes : Aucun.
• (02) Applications et dispositifs d’informatique collaborative : Blocage du trafic de communications entrant et sortant
  • Annulé : Intégré au contrôle SC-07.
• (03) Applications et dispositifs d’informatique collaborative : Désactivation et retrait dans les zones de travail sécurisées
  • Désactiver ou retirer les applications et dispositifs d’informatique collaborative sur [Affectation : systèmes ou composants de systèmes désignés par l’organisation] dans [Affectation : zones de travail sécurisées désignées par l’organisation].
  • Discussion : La non-désactivation ou le non-retrait d’applications ou de dispositifs d’informatique collaborative des systèmes ou des composants de systèmes peut donner lieu à des compromissions d’information, notamment l’écoute illicite de conversations. Un local isolé pour l’information sensible cloisonnée (LIISC) est un exemple de zone de travail sécurisée.
  • Contrôles et activités connexes : Aucun.
• (04) Applications et dispositifs d’informatique collaborative : Indication explicite des participantes et participants
  • Fournir une indication explicite des participantes et participants actuels de [Affectation : réunions et téléconférences désignées par l’organisation].
  • Discussion : L’indication explicite des participantes et participants actuels permet d’empêcher les personnes non autorisées de participer à des séances d’informatique collaborative à l’insu des autres participants.
  • Contrôles et activités connexes : Aucun.

Références

Aucune.

SC-16 Transmission des attributs de sécurité et de protection de la vie privée

Contrôle

Associer [Affectation : attributs de sécurité et de protection de la vie privée définis par l’organisation] à l’information échangée entre les systèmes et les composants du système.

Discussion

Les attributs de sécurité et de protection de la vie privée peuvent être explicitement ou implicitement associés à l’information contenue dans le système ou les composants de systèmes de l’organisation. Les attributs sont des abstractions qui représentent les propriétés ou caractéristiques de base d’une entité pour ce qui a trait à la protection de l’information ou à la gestion des renseignements personnels. Les attributs sont normalement associés aux structures de données internes, notamment aux dossiers, à la mémoire tampon et aux fichiers dans le système.

Les attributs de sécurité et de protection de la vie privée sont utilisés pour mettre en œuvre les stratégies de contrôle de l’accès et du flux d’information pour refléter la diffusion, la gestion ou la distribution spéciales des instructions, ce qui comprend l’utilisation ou la divulgation autorisée de renseignements personnels, et pour soutenir les autres aspects des stratégies de contrôle de l’accès et du flux d’information. Les attributs de protection de la vie privée peuvent être utilisés séparément ou avec les attributs de sécurité.

Contrôles et activités connexes

AC-03, AC-04 et AC-16.

Améliorations

• (01) Transmission des attributs de sécurité et de protection de la vie privée : Vérification de l’intégrité
  • Vérifier l’intégrité des attributs de sécurité et de protection de la vie privée transmis.
  • Discussion : Une partie du processus de vérification de l’intégrité de l’information transmise consiste à s’assurer que les attributs de sécurité et de protection de la vie privée qui sont associés à une telle information n’ont pas été modifiés d’une manière non autorisée. La modification non autorisée des attributs de sécurité et de protection de la vie privée peut donner lieu à une perte d’intégrité de l’information transmise.
  • Contrôles et activités connexes : AU-10 et SC-08.
• (02) Transmission des attributs de sécurité et de protection de la vie privée : Mécanismes anti-usurpation
  • Mettre en place des mécanismes anti-usurpation pour empêcher les adversaires de falsifier les attributs de sécurité qui indiquent l’application réussie du processus de sécurité.
  • Discussion : Certains vecteurs d’attaque visent à modifier les attributs de sécurité d’un système d’information de manière à y déployer, de façon intentionnelle et malveillante, un niveau insuffisant de sécurité. La modification des attributs pousse les organisations à croire qu’un plus grand nombre de fonctions de sécurité sont en place et en service que ce qui a vraiment été mis en place.
  • Contrôles et activités connexes : SI-03, SI-04 et SI-07.
• (03) Transmission des attributs de sécurité et de protection de la vie privée : Liaison cryptographique
  • Mettre en œuvre [Affectation : mécanismes ou techniques définis par l’organisation] pour lier les attributs de sécurité et de protection de la vie privée à l’information transmise.
  • Discussion : Les mécanismes et les techniques cryptographiques peuvent fournir une liaison robuste des attributs de sécurité et de protection de la vie privée à l’information transmise pour aider à assurer l’intégrité d’une telle information.
  • Contrôles et activités connexes : AC-16, SC-12 et SC-13.

Références

Aucune.

SC-17 Certificats d’infrastructure à clé publique

Contrôle

1. Émettre des certificats à clé publique en vertu de [Affectation : stratégie de certification définie par l’organisation] ou les obtenir auprès d’un fournisseur de services autorisé
2. Inclure uniquement les ancrages de confiance approuvés dans les magasins de confiance ou les magasins de certificats gérés par l’organisation

Discussion

Les certificats d’ICP sont des certificats disposant d’une visibilité à l’extérieur des systèmes organisationnels et des certificats ayant trait aux systèmes opérationnels internes, comme les services de synchronisation horaire propres aux diverses applications. Dans les systèmes cryptographiques dotés d’une structure hiérarchique, un ancrage de confiance est une source faisant autorité (c’est-à-dire une autorité de certification) pour laquelle la confiance est présumée et non dérivée. Le certificat racine d’un système d’ICP est un exemple d’ancrage de confiance. Un magasin de confiance ou de certificats permet de maintenir une liste des certificats racines autorisés.

Contrôles et activités connexes

AU-10, IA-05, SC-12.

Améliorations

Aucune.

Références

• SCT, Exigences de configuration de l’infrastructure à clé publique
• SCT, Infrastructure à clé publique X.509 – Politique de certification des entités qui sont des personnes (réservé au GC) (PDF)

SC-18 Code mobile

Contrôle

1. Définir le code mobile et les technologies de code mobile acceptables et inacceptables
2. Autoriser, surveiller et contrôler l’utilisation de code mobile sur le système

Discussion

Le code mobile comprend tout programme, application ou contenu qui peut être transmis par l’intermédiaire d’un réseau (par exemple, intégré dans un courriel, un document ou un site Web) et exécuté sur un système distant. Les décisions concernant le recours à du code mobile dans les systèmes organisationnels reposent sur la possibilité qu’une utilisation malveillante du code cause des dommages aux systèmes. Les technologies de code mobile incluent les applets Java, JavaScript, HTML5, WebGL et VBScript. Les restrictions d’utilisation et les lignes directrices sur la mise en œuvre s’appliquent à la sélection et à l’utilisation de code mobile installé sur les serveurs ainsi que de code mobile téléchargé et exécuté sur des postes de travail et des appareils individuels, dont des ordinateurs blocs-notes et des téléphones intelligents. La stratégie et les procédures liées au code mobile concernent les mesures prises afin d’empêcher le développement, l’acquisition et l’introduction de code mobile non acceptable au sein des systèmes organisationnels, ce qui comprend exiger la signature numérique du code mobile par une source de confiance.

Contrôles et activités connexes

AU-02, AU-12, CM-02, CM-06 et SI-03.

Améliorations

• (01) Code mobile : Établissement du code inadéquat et application de mesures correctives
  • Identifier [Affectation : code mobile inadéquat défini par l’organisation] et prendre [Affectation : mesures correctives définies par l’organisation].
  • Discussion : Les mesures correctives à prendre lorsque du code mobile inadéquat est détecté comprennent le blocage, la mise en quarantaine ou la notification des administratrices et administrateurs. Le blocage sert notamment à empêcher la transmission de fichiers de traitement de texte contenant des macros, dès lors que ces dernières ont été jugées comme étant du code mobile inadéquat.
  • Contrôles et activités connexes : Aucun.
• (02) Code mobile : Acquisition, développement et utilisation
  • Veiller à ce que l’acquisition, le développement ou l’utilisation du code mobile à déployer dans les systèmes répondent aux [Affectation : exigences relatives au code mobile définies par l’organisation].
  • Discussion : Aucune.
  • Contrôles et activités connexes : Aucun.
• (03) Code mobile : Prévention du téléchargement et de l’exécution
  • Prévenir le téléchargement et l’exécution de [Affectation : code mobile inadéquat défini par l’organisation].
  • Discussion : Aucune.
  • Contrôles et activités connexes : Aucun.
• (04) Code mobile : Prévention de l’exécution automatique
  • Empêcher l’exécution automatique de code mobile dans [Affectation : applications logicielles désignées par l’organisation] et exiger que [Affectation : mesures définies par l’organisation] soient prises avant d’exécuter le code.
  • Discussion : Demander aux utilisatrices et utilisateurs de confirmer l’ouverture de pièces jointes dans les courriels ou la consultation de liens sur le Web est une des actions exigées avant l’exécution de code mobile. Prévenir l’exécution automatique de code mobile comprend la désactivation des fonctions d’exécution automatique des composants de systèmes qui ont recours à une technologie de supports amovibles.
  • Contrôles et activités connexes : Aucun.
• (05) Code mobile : Autoriser l’exécution dans les environnements clos seulement
  • Permettre l’exécution de code mobile autorisé uniquement dans les environnements clos de machines virtuelles.
  • Discussion : Permettre l’exécution de code mobile uniquement dans les environnements clos de machines virtuelles aide à prévenir l’introduction de code malveillant dans d’autres systèmes et composants de systèmes.
  • Contrôles et activités connexes : SC-44, SI-07.

Références

Aucune.

SC-19 Voix sur IP

Contrôle

1. L’organisation définit les restrictions d’utilisation et donne des conseils sur la mise en œuvre des technologies de voix sur protocole Internet (VoIP pour Voice over Internet Protocol) en tenant compte de la possibilité qu’une utilisation malveillante de ces technologies cause des dommages au système d’information.
2. L’organisation autorise, surveille et contrôle l’utilisation de la voix sur IP dans le système d’information.

Discussion

Aucune.

Discussion au sein du GC

Ce contrôle est utilisé dans des zones de sécurité physique qui contiennent un système de sécurité nationale (SSN) au niveau SECRET ou TRÈS SECRET.

Améliorations

• (400) Voix sur IP : Conversion de protocole
  • Il est interdit d’utiliser un service de VoIP non classifié dans des installations classifiées, sauf si ce service est converti en service téléphonique traditionnel (POTS pour Plain Old Telephone Service) avant de sortir des limites de l’installation.
  • Discussion : Aucune.
  • Discussion au sein du GC : La voix sur IP dans des installations classifiées devrait se conformer à la norme 5000 du Committee on National Security Systems Instruction (CNSSI) des États-Unis. Certaines et certains responsables de l’autorisation pourraient exiger la conformité à la norme CNSSI 5000.
  • Contrôles et activités connexes : Aucun.
• (401) Voix sur IP : Aucun accès au réseau public
  • Dans les installations classifiées, il est interdit d’utiliser un service de VoIP non classifié dans un réseau local ayant accès à un réseau de données public.
  • Discussion : Aucune.
  • Discussion au sein du GC : La voix sur IP dans les installations classifiées doit être conforme à la norme CNSSI 5000. Certaines et certains responsables de l’autorisation pourraient exiger la conformité à la norme CNSSI 5000.
  • Contrôles et activités connexes : Aucun.

Références

Pour accéder à ces ressources, veuillez rechercher le titre ou le numéro de la publication dans la bibliothèque du CNSS (en anglais seulement) :
CNSSI 5000 Voice Over Internet Protocol (VoIP) Telephony

SC-20 Service sécurisé de résolution de nom ou d’adresse (source faisant autorité)

Contrôle

1. Fournir des éléments additionnels d’information sur l’authentification de l’origine des données et sur la vérification de leur intégrité, en plus des données de résolution de nom faisant autorité, que le système retourne en réponse aux requêtes externes de résolution de nom ou d’adresse
2. Offrir des moyens d’indiquer l’état de sécurité des zones enfants et (si l’enfant prend en charge des services sécurisés de résolution) de vérifier l’existence d’une chaîne de confiance entre les domaines parents et enfants lorsque le système est utilisé dans un espace de nom hiérarchique distribué

Discussion

Fournir de l’information tirée d’une source faisant autorité permet aux clients externes, comme les clients à distance provenant d’Internet, d’obtenir des assurances d’authentification de l’origine ou de vérification de l’intégrité pour l’information de résolution de nom d’hôte ou de service en adresse réseau obtenue par l’intermédiaire du service. Les systèmes qui fournissent les services de résolution de nom et d’adresse comprennent les serveurs DNS.

Parmi les artéfacts additionnels, on retrouve les extensions de sécurité DNS (DNSSEC pour Domain Name System Security Extension), les signatures numériques et les clés cryptographiques. Les données faisant autorité comprennent les enregistrements des ressources liées au service DNS. L’utilisation d’enregistrements de ressource de signataire par délégation du service DNS est l’un des moyens permettant d’indiquer l’état de sécurité des zones enfants. Les systèmes qui utilisent des technologies autres que le service DNS pour mettre en correspondance les noms d’hôte ou de service et les adresses réseau offrent d’autres moyens d’assurer l’authenticité et l’intégrité des données des réponses.

Contrôles et activités connexes

AU-10, SC-08, SC-12, SC-13, SC-21 et SC-22.

Améliorations

• (01) Service sécurisé de résolution de nom ou d’adresse (source faisant autorité) : Zones enfants
  • Annulé : Intégré au contrôle SC-20.
• (02) Service sécurisé de résolution de nom ou d’adresse (source faisant autorité) : Intégrité et origine des données
  • Fournir les artéfacts de protection de l’intégrité et de l’origine des données pour les requêtes internes de résolution de nom ou d’adresse.
  • Discussion : Aucune.
  • Contrôles et activités connexes : Aucun.

Références

• Système d’adressage par domaine de protection (ITSAP.40.019)
• NIST FIPS 140-3 Security Requirements for Cryptographic Modules (en anglais seulement)
• NIST FIPS 186-5 Digital Signature Standard (DSS) (en anglais seulement)

SC-21 Service sécurisé de résolution de nom ou d’adresse (résolveur récursif ou cache)

Contrôle

Soumettre une requête, puis authentifier l’origine et vérifier l’intégrité des données des réponses de la résolution de nom et d’adresse que le système reçoit de sources faisant autorité.

Discussion

Chaque client des services de résolution de nom ou d’adresse effectue cette vérification de façon autonome ou par des voies authentifiées menant à des fournisseurs de validation dignes de confiance. Les systèmes qui fournissent des services de résolution de nom et d’adresse pour les clients locaux incluent les serveurs DNS récursifs de résolution ou de mise en cache. Les résolveurs de clients de DNS exécutent une validation des signatures DNSSEC ou les clients utilisent des voies authentifiées vers des résolveurs récursifs qui se chargent de telles validations. Les systèmes qui utilisent des technologies autres que le DNS pour mettre en correspondance les noms d’hôte et de service et les adresses réseau offrent d’autres moyens d’assurer l’authenticité et l’intégrité des données des réponses.

Contrôles et activités connexes

SC-20 et SC-22.

Améliorations

• (01) Service sécurisé de résolution de nom ou d’adresse (résolveur récursif ou cache) : Intégrité et origine des données
  • Annulé : Intégré au contrôle SC-21.

Références

Système d’adressage par domaine de protection (ITSAP.40.019)

SC-22 Architecture et prestation de services de résolution de nom ou d’adresse

Contrôle

S’assurer que les systèmes qui offrent collectivement des services de résolution de nom et d’adresse pour une organisation sont tolérants aux pannes et appliquent une séparation des rôles internes et externes.

Discussion

Les systèmes qui fournissent les services de résolution de nom et d’adresse comprennent les serveurs DNS. Pour éliminer les points de défaillance uniques et améliorer la redondance, les organisations emploient au moins deux serveurs DNS faisant autorité dont l’un est configuré comme serveur principal et l’autre, comme serveur secondaire. De plus, les organisations déploient généralement les serveurs dans deux sous-réseaux faisant respectivement partie de réseaux situés dans des régions géographiques distinctes (par exemple, situés dans des installations physiques différentes).

Pour ce qui est de la séparation des rôles, les serveurs DNS associés à des rôles internes exécutent uniquement le processus de résolution de nom et d’adresse pour les requêtes provenant de l’intérieur des organisations (c’est-à-dire provenant de clients internes). Les serveurs DNS associés à des rôles externes traitent uniquement les requêtes de résolution des clients à l’extérieur des organisations (c’est-à-dire en provenance de réseaux externes, y compris d’Internet). Les organisations désignent les clients qui peuvent accéder aux serveurs DNS faisant autorité dans certains rôles particuliers (par exemple, par plage d’adresses ou au moyen de listes explicites).

Contrôles et activités connexes

SC-02, SC-20, SC-21 et SC-24.

Améliorations

Aucune.

Références

Système d’adressage par domaine de protection (ITSAP.40.019)

SC-23 Authenticité des sessions

Contrôle

Protéger l’authenticité des sessions de communication.

Discussion

La protection de l’authenticité des sessions vise à protéger les communications au niveau de la session plutôt qu’au niveau des paquets. Cette protection permet d’instaurer un niveau de confiance adéquat aux deux extrémités des sessions de communication quant à l’identité des autres parties et à la validité de l’information transmise. La protection de l’authenticité vise à protéger contre les attaques par interception, le détournement de session et l’insertion d’information erronée dans les sessions.

Contrôles et activités connexes

AU-10, SC-08, SC-10 et SC-11.

Améliorations

• (01) Authenticité des sessions : Annulation de la validation des identificateurs de session lors de la fermeture de session
  • Invalider les identificateurs de session lorsque l’utilisatrice ou utilisateur ferme sa session ou lorsque la session est terminée autrement.
  • Discussion : L’invalidation des identificateurs de session lors de la fermeture de session réduit la capacité des adversaires à saisir et à poursuivre l’emploi d’identificateurs de session antérieurement valides.
  • Contrôles et activités connexes : Aucun.
• (02) Authenticité des sessions : Fermetures de session exécutées par les utilisatrices et utilisateurs et affichage de messages
  • Annulé : Intégré au contrôle AC-12(01).
• (03) Authenticité des sessions : Identificateurs de session uniques générés par le système
  • Générer un identificateur de session unique pour chaque session avec [Affectation : exigences relatives à la randomisation définies par l’organisation] et reconnaître uniquement les identificateurs générés par le système.
  • Discussion : Générer des identificateurs de session uniques réduit la capacité des adversaires à réutiliser les identificateurs de session antérieurement valides. L’utilisation du concept aléatoire pour la génération d’identificateurs de session uniques permet de protéger le système contre les attaques par force brute visant à déterminer les futurs identificateurs de session.
  • Contrôles et activités connexes : AC-10, SC-12 et SC-13.
• (04) Authenticité des sessions : Identificateurs de session uniques avec randomisation
  • Annulé : Intégré au contrôle SC-23(03).
• (05) Authenticité des sessions : Autorités de certification homologuées
  • Permettre uniquement l’utilisation de [Affectation : autorités de certification désignées par l’organisation] à des fins de vérification de l’établissement de sessions protégées.
  • Discussion : Le fait de s’en remettre aux autorités de certification pour l’établissement de sessions sécurisées entraîne l’utilisation de certificats TLS. Après vérification auprès des autorités respectives, ces certificats facilitent l’établissement de sessions protégées entre les clients Web et les serveurs Web.
  • Contrôles et activités connexes : SC-12 et SC-13.

Références

• Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062)
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information

SC-24 Défaillance dans un état connu

Contrôle

Échec de [Affectation : état connu du système défini par l’organisation] pour les défaillances suivantes des composants indiqués tout en préservant [Affectation : information relative à l’état du système définie par l’organisation] en défaillance : [Affectation : liste des types de défaillances du système définis par l’organisation sur les composants de systèmes désignés par l’organisation].

Discussion

La défaillance du système dans un état connu met en relief les questions de sécurité conformément à la mission ou aux besoins opérationnels des organisations. La défaillance dans un état connu prévient les pertes sur le plan de la confidentialité, de l’intégrité ou de la disponibilité dans les cas de défaillance des systèmes organisationnels ou de composants de systèmes. Elle permet également d’empêcher les systèmes de tomber en panne dans un état susceptible de causer des préjudices aux individus ou la destruction des biens. La protection de l’information relative à l’état du système facilite le redémarrage du système et le retour au mode opérationnel tout en perturbant le moins possible les processus liés à la mission ou aux activités.

Contrôles et activités connexes

CP-02, CP-04, CP-10, CP-12, SA-08, SC-07, SC-22 et SI-13.

Améliorations

Aucune.

Références

Aucune.

SC-25 Nœuds légers

Contrôle

Employer un minimum de fonctionnalités et de stockage d’information sur les composants de systèmes suivants : [Affectation : composants de systèmes désignés par l’organisation].

Discussion

Le déploiement de composants de systèmes ayant une fonctionnalité minimale réduit la nécessité de sécuriser chaque point d’extrémité et peut atténuer les risques d’exposition de l’information, des systèmes et des services à des attaques. Une fonctionnalité réduite ou minimale comprend les nœuds sans disque et les technologies de client léger.

Contrôles et activités connexes

SC-30, SC-44 et SI-400.

Améliorations

Aucune.

Références

Aucune.

SC-26 Leurres

Contrôle

Inclure des composants dans les systèmes organisationnels conçus spécifiquement pour servir de cibles aux attaques malveillantes dans le but de les détecter, de les repousser et de les analyser.

Discussion

Les leurres (par exemple, les pièges à pirates, les réseaux leurres ou les faux réseaux) sont mis en place pour attirer les adversaires et détourner les attaques des systèmes d’exploitation qui soutiennent les fonctions liées à la mission et aux activités de l’organisation. L’utilisation de leurres exige le recours à certaines mesures d’isolation pour s’assurer que le code malveillant détourné n’a aucune incidence sur les systèmes organisationnels. Tout dépendant de l’usage particulier du leurre, une discussion préalable avec l’équipe des services juridiques du ministère pourrait être requise.

Contrôles et activités connexes

RA-05, SC-07, SC-30, SC-35, SC-44, SI-03 et SI-04.

Améliorations

• (01) Leurres : Détection de code malveillant
  • Annulé : Intégré au contrôle SC-35.

Références

Aucune.

SC-27 Applications indépendantes des plateformes

Contrôle

Inclure dans les systèmes organisationnels les applications qui sont indépendantes des plateformes suivantes : [Affectation : applications définies par l’organisation qui sont indépendantes des plateformes].

Discussion

Les plateformes sont des combinaisons du matériel, des micrologiciels et de composants logiciels utilisés pour exécuter les logiciels d’application. Les plateformes comprennent les systèmes d’exploitation, les architectures d’ordinateur sous-jacentes, ou les deux. Les applications indépendantes des plateformes peuvent s’exécuter sur diverses plateformes. De telles applications favorisent la portabilité et la reconstitution sur des plateformes différentes, augmentant ainsi la disponibilité des fonctions essentielles au sein des organisations, lorsque des attaques sont lancées contre des systèmes s’exécutant sur des systèmes d’exploitation particuliers.

Contrôles et activités connexes

SC-29.

Améliorations

Aucune.

Références

Aucune.

SC-28 Protection de l’information au repos

Contrôle

Protéger [Sélection (un choix ou plus) : la confidentialité; l’intégrité] de l’information au repos suivante : [Affectation : information au repos définie par l’organisation].

Discussion

Par information au repos, on entend l’état de l’information lorsqu’elle n’est pas en cours de traitement, en transit ou stockée dans des composants du système. De tels composants comprennent les disques durs internes ou externes, les dispositifs réseau de stockage ou les bases de données. La protection de l’information au repos ne met toutefois pas l’accent sur le type de dispositif de stockage ou la fréquence d’accès, mais plutôt sur l’état de l’information.

L’information au repos porte sur la confidentialité et l’intégrité de l’information, et concerne l’information relative aux utilisatrices et utilisateurs ainsi que celle relative aux systèmes. L’information relative aux systèmes nécessitant une protection comprend les configurations ou les ensembles de règles pour les pare-feu, les systèmes de détection et de prévention des intrusions, les routeurs de filtrage et le contenu d’authentification. Les organisations pourraient employer divers mécanismes pour assurer la protection de la confidentialité et de l’intégrité, y compris des mécanismes cryptographiques et l’analyse des échanges de fichiers.

La protection de l’intégrité peut être assurée, par exemple, par la mise en œuvre de technologies WORM (Write Once Read Many). S’il est impossible d’assurer une protection adéquate de l’information au repos d’une manière quelconque, les organisations peuvent utiliser d’autres contrôles, comme l’analyse fréquente pour relever le code malveillant au repos et le stockage hors site sécurisé plutôt que le stockage en ligne.

Contrôles et activités connexes

AC-03, AC-04, AC-06, AC-19, CA-07, CM-03, CM-05, CM-06, CP-09, MP-04, MP-05, PE-03, SA-400, SC-08, SC-12, SC-13, SC-34, SI-03, SI-07 et SI-16.

Améliorations

• (01) Protection de l’information au repos : Protection cryptographique
  • Mettre en place des mécanismes cryptographiques visant à prévenir la divulgation et la modification non autorisées de l’information au repos suivante sur [Affectation : composants de systèmes ou supports désignés par l’organisation] : [Affectation : information définie par l’organisation].
  • Discussion : La sélection des mécanismes cryptographiques se fonde sur le besoin de protéger la confidentialité et l’intégrité de l’information organisationnelle. La robustesse d’un mécanisme correspond à la catégorie de sécurité et à la classification de l’information. Les organisations ont la souplesse nécessaire pour chiffrer l’information sur des composants de systèmes ou des supports, ou pour chiffrer les structures de données, y compris des fichiers, des dossiers ou des champs.
  • Contrôles et activités connexes : AC-19, SC-12 et SC-13.
• (02) Protection de l’information au repos : Stockage hors ligne
  • Supprimer l’information suivante des dispositifs de stockage en ligne et la stocker hors ligne dans des lieux sécurisés : [Affectation : information définie par l’organisation].
  • Discussion : Le retrait de l’information organisationnelle des dispositifs de stockage en ligne élimine la possibilité que des individus parviennent à accéder sans autorisation à de l’information par l’intermédiaire d’un réseau. Par conséquent, les organisations peuvent choisir de déplacer leur information vers des dispositifs de stockage hors ligne au lieu de la protéger pendant qu’elle est enregistrée dans du stockage en ligne.
  • Contrôles et activités connexes : Aucun.
• (03) Protection de l’information au repos : Clés cryptographiques
  • Protéger le stockage des clés cryptographiques [Sélection (un choix) : [Affectation : mesures de protection définies par l’organisation]; magasin de clés avec protection matérielle].
  • Discussion : Un module de plateforme sécurisée (TPM pour Trusted Platform Module) est un exemple de magasin de données avec protection matérielle pouvant être utilisé pour protéger les clés cryptographiques.
  • Contrôles et activités connexes : SC-12 et SC-13.

Références

Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111)

SC-29 Hétérogénéité

Contrôle

Employer un ensemble diversifié de technologies de l’information pour les composants de systèmes pendant la mise en œuvre du système : [Affectation : composants de systèmes désignés par l’organisation].

Discussion

Accroître la diversité des technologies de l’information utilisées dans les systèmes organisationnels réduit les répercussions de l’exploitation potentielle d’une technologie en particulier. Une telle diversité offre une protection contre les défaillances de modes communs, dont les défaillances découlant d’attaques contre la chaîne d’approvisionnement. La diversité sur le plan des technologies de l’information réduit considérablement la probabilité que les moyens employés par les adversaires pour compromettre un composant de système soient efficaces contre d’autres composants de systèmes, exigeant du coup plus d’efforts de la part des adversaires pour mener à bien les attaques prévues. Un accroissement de la diversité peut ajouter en complexité et en charge de gestion, ce qui pourrait ultimement mener à des erreurs ou à des configurations non autorisées.

Contrôles et activités connexes

AU-09, PL-08, SC-27, SC-30, SI-400 et SR-03.

Améliorations

• (01) Hétérogénéité : Techniques de virtualisation
  • Utiliser des techniques de virtualisation pour faciliter le déploiement de divers systèmes d’exploitation et de diverses applications faisant l’objet de changements [Affectation : fréquence définie par l’organisation].
  • Discussion : Les changements fréquents apportés aux systèmes d’exploitation et aux applications peuvent poser des défis importants sur le plan de la gestion des configurations, mais ils ont l’avantage de compliquer la tâche des adversaires qui mènent des attaques. Les changements d’applications ou de systèmes d’exploitation virtuels, par opposition aux changements de véritables applications ou systèmes d’exploitation, engendrent des changements virtuels qui endiguent l’efficacité des attaques tout en réduisant les efforts de gestion des configurations. Les techniques de virtualisation peuvent aider à isoler les logiciels non fiables ou de provenance douteuse dans des environnements d’exécution clos.
  • Contrôles et activités connexes : Aucun.

Références

Aucune.

SC-30 Dissimulation et détournement

Contrôle

Employer les techniques de dissimulation et de détournement suivantes pour [Affectation : systèmes désignés par l’organisation] à [Affectation : périodes définies par l’organisation] : [Affectation : techniques de dissimulation et de détournement définies par l’organisation].

Discussion

Les techniques de dissimulation et de détournement permettent de réduire considérablement la capacité de ciblage des adversaires (comme les créneaux et la surface d’attaque) qui préparent et lancent des cyberattaques. Par exemple, les techniques de virtualisation permettent aux organisations de dissimuler les systèmes et, éventuellement, de réduire la probabilité de réussite des attaques tout en évitant les coûts importants associés à la mise en place de plateformes multiples.

L’usage accru des techniques de dissimulation et de détournement – notamment le facteur aléatoire, le facteur d’incertitude et la virtualisation – peut suffisamment confondre et désorienter les adversaires et, ultérieurement, accroître le risque de découverte ou d’exposition de leur savoir-faire. Les techniques de dissimulation et de détournement peuvent accroître le temps dont les organisations disposent pour effectuer les fonctions liées à la mission et aux activités de l’organisation. La mise en œuvre des techniques de dissimulation et de détournement sur un système peut ajouter en complexité et en charge de gestion.

Contrôles et activités connexes

AC-06, SC-25, SC-26, SC-29, SC-44 et SI-14.

Améliorations

• (01) Dissimulation et détournement : Techniques de virtualisation
  • Annulé : Intégré au contrôle SC-29(01).
• (02) Dissimulation et détournement : Facteur aléatoire
  • Employer [Affectation : techniques définies par l’organisation] pour introduire le facteur aléatoire dans la gestion des activités et des biens organisationnels.
  • Discussion : Le facteur aléatoire introduit un niveau accru d’incertitude dans l’esprit des adversaires relativement aux mesures que les organisations prennent pour protéger leurs systèmes contre les attaques. En effet, de telles mesures peuvent freiner la capacité des adversaires à cibler correctement les ressources informationnelles des organisations qui assurent le soutien de fonctions essentielles liées à leurs missions et à leurs activités.
    L’incertitude peut également faire hésiter les adversaires avant de lancer ou de poursuivre des cyberattaques. Les techniques de détournement qui recourent au facteur aléatoire comprennent la prise de mesures de routine à divers moments de la journée, l’emploi de diverses technologies de l’information, le recours à différents fournisseurs et la rotation des rôles et des responsabilités au sein du personnel organisationnel.
  • Contrôles et activités connexes : Aucun.
• (03) Dissimulation et détournement : Changement des lieux de traitement et de stockage
  • Changer l’emplacement du [Affectation : traitement et/ou stockage défini par l’organisation] [Sélection (un choix) : [Affectation : fréquence définie par l’organisation]; à intervalles irréguliers]].
  • Discussion : Les adversaires ciblent les fonctions liées à la mission et aux activités de l’organisation, ainsi que les systèmes qui soutiennent ces fonctions, tout en essayant de minimiser l’exposition de leurs activités et de leur savoir-faire. Les systèmes organisationnels qui sont par nature statiques, homogènes et prévisibles sont plus vulnérables aux attaques qui nécessitent peu d’efforts et de coûts de la part des adversaires pour être fructueuses.
    La modification des lieux de traitement et de stockage (également appelée défense par déplacement des cibles) prend en compte les menaces persistantes avancées qui font appel à diverses techniques, comme la virtualisation, le traitement distribué et la réplication. Cette approche permet aux organisations de relocaliser les composants de systèmes (c’est-à-dire le traitement ou le stockage) qui prennent en charge les fonctions essentielles liées aux missions et aux activités.
    Les changements de sites de traitement et de stockage sèment l’incertitude chez les adversaires pour ce qui est des cibles à préconiser lors d’éventuelles attaques. Cette incertitude accroît la somme de travail que les adversaires doivent investir et rend la compromission et la violation des systèmes organisationnels plus difficiles et chronophages. Elle accroît également les chances que ces mêmes adversaires dévoilent accidentellement certains aspects du savoir-faire qu’ils utilisent pour tenter de repérer les ressources organisationnelles essentielles.
  • Contrôles et activités connexes : Aucun.
• (04) Dissimulation et détournement : Information trompeuse
  • Employer de l’information en apparence réelle, mais en définitive trompeuse, dans [Affectation : composants de systèmes désignés par l’organisation] au sujet de leur posture et de leurs mesures de sécurité.
  • Discussion : Utiliser de l’information trompeuse vise à confondre les adversaires potentiels par rapport à la nature et à la portée des contrôles déployés par l’organisation. Les adversaires risquent ainsi d’employer des techniques d’attaque inadéquates et, par conséquent, inefficaces. Une technique dont les organisations disposent pour tromper les adversaires consiste à placer de l’information trompeuse au sujet de certains contrôles dans les systèmes externes connus pour être ciblés par les adversaires. Une autre technique consiste à recourir aux faux réseaux qui imitent certains aspects des vrais systèmes organisationnels, mais qui utilisent, par exemple, des configurations logicielles périmées.
  • Contrôles et activités connexes : Aucun.
• (05) Dissimulation et détournement : Dissimulation des composants de systèmes
  • Employer les techniques suivantes pour cacher ou dissimuler [Affectation : composants de systèmes désignés par l’organisation] : [Affectation : techniques définies par l’organisation].
  • Discussion : Par les mesures visant à cacher, à déguiser ou à dissimuler les composants de systèmes essentiels, les organisations se donnent les moyens de réduire la probabilité que les adversaires ciblent les biens organisationnels ou parviennent à les compromettre. Parmi les moyens de dissimulation des composants de systèmes, les organisations pourront recourir à la configuration de routeurs ou à l’utilisation du chiffrement ou de techniques de virtualisation.
  • Contrôles et activités connexes : Aucun.

Références

Aucune.

SC-31 Analyse des voies clandestines

Contrôle

1. Procéder à une analyse des voies clandestines dans le but d’identifier les éléments du système qui pourraient éventuellement constituer des voies clandestines de [Sélection (un choix ou plus) : stockage; synchronisation temporelle]
2. Évaluer la bande passante maximale de ces voies

Discussion

Les développeuses et développeurs sont les mieux placés pour déterminer les parties des systèmes qui sont susceptibles d’être converties en voies clandestines. L’analyse des voies clandestines est une activité importante, lorsqu’il y a possibilité que des flux d’information non autorisés traversent des domaines de sécurité, comme dans le cas des systèmes qui contiennent de l’information à exportation contrôlée et qui sont connectés à des réseaux externes (c’est-à-dire les réseaux qui ne sont pas contrôlés par les organisations). L’analyse des voies clandestines est également utile pour les systèmes sécurisés multiniveaux, les systèmes à sécurité multiniveau et les systèmes interdomaines.

Contrôles et activités connexes

AC-03, AC-04, SA-08 et SI-11.

Améliorations

• (01) Analyse des voies clandestines : Test d’exploitabilité des voies clandestines
  • Tester un sous-ensemble de voies clandestines identifiées afin de savoir quelles voies s’avèrent exploitables.
  • Discussion : Aucune.
  • Contrôles et activités connexes : Aucun.
• (02) Analyse des voies clandestines : Bande passante maximale
  • Réduire la bande passante maximale pour certaines voies clandestines de [Sélection (un choix ou plus) : stockage; synchronisation temporelle] à [Affectation : valeurs définies par l’organisation].
  • Discussion : Il est généralement impossible d’éliminer entièrement les voies clandestines, en particulier celles de réglage, sans avoir une incidence importante sur les performances.
  • Contrôles et activités connexes : Aucun.
• (03) Analyse des voies clandestines : Mesure de la bande passante dans les environnements opérationnels
  • Mesurer la bande passante [Affectation : sous-ensemble de voies clandestines particulières défini par l’organisation] dans l’environnement opérationnel du système.
  • Discussion : La mesure de la bande passante des voies clandestines dans des environnements opérationnels particuliers aide les organisations à établir les quantités d’information qui peuvent fuir clandestinement avant que la fuite ait une incidence sur les fonctions liées à la mission et aux activités de l’organisation. La bande passante des voies clandestines peut varier considérablement lorsqu’elle est mesurée selon des réglages qui sont indépendants des environnements opérationnels particuliers, ce qui comprend les laboratoires ou les environnements de développement de systèmes.
  • Contrôles et activités connexes : Aucun.

Références

Aucune.

SC-32 Partitionnement des systèmes

Contrôle

Partitionner le système en [Affectation : composants de systèmes désignés par l’organisation] résidant dans des domaines ou des environnements [Sélection (un choix) : physiques; logiques] basés sur [Affectation : circonstances propices à la séparation physique ou logique des composants définies par l’organisation].

Discussion

Le partitionnement du système fait partie de la stratégie de protection en profondeur. Les organisations déterminent le degré de séparation physique des composants de système. Les options de séparation physique comprennent des composants physiquement distincts dans des bâtis séparés d’une même pièce, des composants critiques dans des pièces distinctes et la séparation géographique de composants critiques. La catégorisation de sécurité peut également guider la sélection des composants qui se prêtent le mieux au partitionnement de domaine. Les interfaces gérées limitent ou interdisent l’accès réseau et les flux d’information entre les composants partitionnés du système.

Contrôles et activités connexes

AC-04, AC-06, SA-08, SC-02, SC-03, SC-07, SC-36 et SI-400.

Améliorations

• (01) Partitionnement des systèmes : Séparation des domaines physiques pour les fonctions privilégiées
  • Partitionner les fonctions privilégiées dans des domaines physiques distincts.
  • Discussion : Les fonctions privilégiées qui s’effectuent dans un seul domaine physique peuvent représenter un point de défaillance unique si ce domaine en venait à être compromis ou à faire l’objet d’un déni de service.
  • Contrôles et activités connexes : Aucun.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe J : Norme sur la catégorisation de sécurité
• Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104)

SC-33 Intégrité de la préparation des transmissions

Annulé : Intégré au contrôle SC-08.

SC-34 Programmes exécutables non modifiables

Contrôle

Pour les [Affectation : composants de systèmes désignés par l’organisation], charger et exécuter

1. l’environnement d’exploitation à partir de supports matériels non inscriptibles
2. les applications suivantes à partir de supports matériels non inscriptibles : [Affectation : applications désignées par l’organisation]

Discussion

L’environnement d’exploitation d’un système contient le code qui héberge les applications, comme les systèmes d’exploitation, les outils de gestion ou les moniteurs de machines virtuelles (c’est-à-dire les hyperviseurs). Il peut également renvoyer à certaines applications s’exécutant directement sur des plateformes matérielles. Les supports matériels non inscriptibles et les supports matériels non réinscriptibles comprennent les lecteurs de disques compacts inscriptibles (CD-R pour Compact Disc-Recordable), de disques numériques universels enregistrables (DVD-R pour Digital Versatile Disk-Recordable) et de disques Blu-Ray (BD-R), ainsi que la mémoire morte programmable (PROM pour Programmable Read-Only Memory) à utilisation unique. L’utilisation du stockage non modifiable garantit l’intégrité de l’aspect logiciel à partir du point de création de l’image en lecture seule. L’utilisation de mémoire morte reprogrammable peut être acceptée comme support non inscriptible dans la mesure où l’intégrité peut être adéquatement protégée depuis le point de l’inscription initiale jusqu’à l’insertion de la mémoire dans le système; et qu’il y a des mécanismes fiables de protection du matériel contre la reprogrammation de la mémoire tant que celle-ci est installée dans les systèmes organisationnels.

Contrôles et activités connexes

AC-03, SI-07 et SI-14.

Améliorations

• (01) Programmes exécutables non modifiables : Dispositif de stockage non inscriptible
  • Utiliser [Affectation : composants de systèmes désignés par l’organisation] avec des dispositifs de stockage qui demeurent non inscriptibles à chaque redémarrage du composant ou lors des mises sous tension et hors tension.
  • Discussion : Interdire le recours à des dispositifs de stockage inscriptibles élimine la possibilité d’insertion de code malveillant par une mémoire inscriptible persistante dans le composant de système désigné. La restriction s’applique aux mémoires de stockage fixes et amovibles, celles-ci étant utilisées directement ou selon les restrictions imposées par les contrôles d’accès des appareils mobiles.
  • Contrôles et activités connexes : AC-19 et MP-07.
• (02) Programmes exécutables non modifiables : Protection de l’intégrité et des supports non inscriptibles
  • Protéger l’intégrité de l’information avant son enregistrement dans les supports non inscriptibles et contrôler ces supports après l’enregistrement de l’information.
  • Discussion : Les mécanismes de protection préviennent la substitution de supports dans les systèmes d’information ou empêchent la reprogrammation de supports non inscriptibles programmables avant leur installation dans les systèmes. Les mécanismes de protection comprennent, par exemple, une combinaison de prévention, de détection et de mesures d’intervention.
  • Contrôles et activités connexes : AC-05, CM-03, CM-05, CM-09, MP-02, MP-04, MP-05, SA-12, SC-28 et SI-03.
• (03) Programmes exécutables non modifiables : Protection matérielle
  • Annulé : Transféré sous le contrôle SC-51.

Références

Aucune.

SC-35 Identification des programmes malveillants externes

Contrôle

Inclure les composants de systèmes qui tentent proactivement d’identifier les programmes malveillants en provenance du réseau ou les sites Web malveillants.

Discussion

L’identification des programmes malveillants externes diffère des leurres mentionnés dans le contrôle SC-26 dans la mesure où les composants analysent activement les réseaux, y compris Internet, à la recherche de code malveillant contenu sur les sites Web externes. Comme pour les leurres, le recours à des techniques d’identification des programmes malveillants externes exige la prise de mesures d’isolation pour s’assurer que tout code malveillant découvert lors de la recherche et exécuté par la suite n’a aucune incidence sur les systèmes organisationnels. La virtualisation est une technique courante qui permet de réaliser une telle isolation.

Contrôles et activités connexes

SC-07, SC-26, SC-44, SI-03 et SI-04.

Améliorations

Aucune.

Références

Aucune.

SC-36 Traitement et stockage répartis

Contrôle

Répartir les composants de traitement et de stockage suivants dans plusieurs [Sélection (un choix) : lieux physiques; domaines logiques] : [Affectation : composants de traitement et de stockage désignés par l’organisation].

Discussion

La répartition du traitement et du stockage dans plusieurs lieux physiques offre un certain degré de redondance ou de chevauchement pour les organisations. Par conséquent, la redondance et le chevauchement accroissent la somme de travail des adversaires qui cherchent à produire un effet négatif sur les activités, les biens ou le personnel de l’organisation. Le recours au traitement et au stockage répartis ne se fonde pas sur un lien central de traitement ou de stockage. Il permet plutôt un traitement et un stockage parallèles.

Contrôles et activités connexes

CP-06, CP-07, PL-08 et SC-32.

Améliorations

• (01) Traitement et stockage répartis : Techniques de scrutation
  • 1. Avoir recours à des techniques de scrutation pour relever les anomalies, les erreurs et les compromissions dans les composants de traitement et stockage suivants : [Affectation : composants de traitement et de stockage répartis désignés par l’organisation]
    2. Prendre les mesures suivantes lorsque des anomalies, des erreurs ou des compromissions sont identifiées : [Affectation : actions définies par l’organisation]
  • Discussion : Le traitement et le stockage répartis peuvent servir à réduire la possibilité que des adversaires arrivent à compromettre la confidentialité, l’intégrité ou la disponibilité de l’information et des systèmes organisationnels. Cependant, les composants de traitement et de stockage répartis ne peuvent empêcher que des adversaires compromettent un ou plusieurs des composants. La scrutation permet de comparer les résultats de traitement au contenu de stockage des divers composants répartis. La scrutation permet d’identifier les anomalies, les erreurs ou les compromissions dans les composants de traitement et de stockage répartis.
  • Contrôles et activités connexes : SI-04.
• (02) Traitement et stockage répartis : Synchronisation
  • Synchroniser les systèmes ou les composants de systèmes suivants : [Affectation : systèmes ou composants de systèmes dupliqués désignés par l’organisation].
  • Discussion : Les contrôles SC-36 et CP-09(06) exigent la duplication des systèmes ou des composants de systèmes dans des lieux répartis. La synchronisation de données et de services dupliqués et redondants aide à assurer que l’information contenue dans les lieux répartis peut être utilisée dans le cadre des fonctions liées à la mission ou aux activités de l’organisation, le cas échéant.
  • Contrôles et activités connexes : CP-09.

Références

Aucune.

SC-37 Voies d’acheminement hors bande

Contrôle

Employer les voies d’acheminement hors bande suivantes pour la distribution physique ou la transmission électronique de [Affectation : information, composants de systèmes ou dispositifs désignés par l’organisation] à [Affectation : personnel ou systèmes désignés par l’organisation] : [Affectation : voies d’acheminement hors bande définies par l’organisation].

Discussion

Les voies d’acheminement hors bande comprennent les accès non réseau aux systèmes, les chemins réseaux qui sont physiquement séparés des chemins réseaux utilisés pour le trafic opérationnel ou les chemins non électroniques, comme Postes Canada. L’utilisation de voies d’acheminement hors bande contraste avec l’utilisation de voies intrabandes (c’est-à-dire les mêmes voies) qui servent au transport du trafic opérationnel courant. Les voies d’acheminement hors bande ne sont pas sujettes aux mêmes vulnérabilités ou expositions que les voies intrabandes. Par conséquent, les atteintes à la confidentialité, à l’intégrité ou à la disponibilité des voies intrabandes n’entraîneront pas la compromission des voies d’acheminement hors bande ni n’auront d’incidence négative sur celles-ci.

Les organisations peuvent employer les voies d’acheminement hors bande pour la distribution ou la transmission de nombreux éléments organisationnels, notamment les identifiants et authentifiants; l’information sur la gestion des clés cryptographiques; les sauvegardes de systèmes et de données; les changements apportés à la gestion des configurations du matériel, des micrologiciels ou des logiciels; les mises à jour de sécurité; l’information sur la maintenance; et les mises à jour concernant la protection contre les programmes malveillants. Par exemple, les clés cryptographiques des fichiers chiffrés sont distribuées au moyen d’une voie différente que celle employée pour le fichier.

Contrôles et activités connexes

AC-02, CM-03, CM-05, CM-07, IA-02, IA-04, IA-05, MA-04, SC-12, SI-03, SI-04 et SI-07.

Améliorations

• (01) Voies d’acheminement hors bande : Assurance de la distribution et de la transmission
  • Employer [Affectation : contrôles définis par l’organisation] pour garantir que seuls [Affectation : personnel ou systèmes désignés par l’organisation] reçoivent l’information, les composants de systèmes ou les dispositifs suivants : [Affectation : systèmes, composants de systèmes ou dispositifs désignés par l’organisation].
  • Discussion : Parmi les techniques qui permettent aux organisations de veiller à ce que seuls certains systèmes ou certaines personnes reçoivent de l’information, des composants de systèmes ou des dispositifs particuliers, on retrouve l’envoi d’authentifiants par l’entremise d’un service de messagerie approuvé tout en exigeant que la ou le destinataire produise une pièce d’identité avec photo délivrée par le gouvernement en guise de condition à la réception.
  • Contrôles et activités connexes : Aucun.

Références

GRC, Transport, transmission et entreposage de matériel protégé ou classifié (GSMGC-007) (réservé au GC)

SC-38 Sécurité des opérations

Contrôle

Employer les contrôles de sécurité des opérations suivants pour protéger l’information organisationnelle tout au long du cycle de vie de développement des systèmes : [Affectation : contrôles de sécurité des opérations définis par l’organisation].

Discussion

La sécurité des opérations (OPSEC pour Operations Security) est un processus systématique par lequel il est possible d’empêcher d’éventuels adversaires d’accéder à l’information concernant les capacités et les intentions des organisations, et ce, par l’identification, le contrôle et la protection d’information généralement non classifiée portant spécifiquement sur la planification et l’exécution des activités organisationnelles de nature sensible.

Le processus OPSEC en question comporte cinq étapes : identification de l’information essentielle, analyse des menaces, analyse des vulnérabilités, évaluation des risques et application des mesures de prévention appropriées. Les contrôles OPSEC s’appliquent aux systèmes organisationnels et aux environnements dans lesquels les systèmes sont utilisés. Les contrôles OPSEC protègent la confidentialité de l’information et visent, notamment, à limiter l’échange d’information avec les fournisseurs, les fournisseurs potentiels et d’autres intervenantes et intervenants non organisationnels.

Parmi les exemples de fonctions essentielles à la mission ou aux activités de l’organisation, on retrouve les identités des utilisatrices et utilisateurs, l’utilisation de certains éléments, les fournisseurs, les processus relatifs à la chaîne d’approvisionnement, les exigences concernant les fonctions et la sécurité, les spécifications de conception des systèmes, les protocoles de tests et d’évaluation, ainsi que les détails concernant la mise en œuvre de contrôles de sécurité.

Contrôles et activités connexes

CA-02, CA-07, PL-01, PM-09, PM-12, RA-02, RA-03, RA-05, SC-07, SR-03 et SR-07.

Améliorations

Aucune.

Références

Aucune.

SC-39 Isolation des processus

Contrôle

Maintenir un domaine d’exécution distinct pour chaque processus exécuté sur le système.

Discussion

Les systèmes peuvent conserver des domaines d’exécution distincts pour chacun des processus d’exécution en attribuant un espace d’adressage à chacun de ces processus. Chaque processus de système dispose de son espace d’adressage de sorte que la communication entre les processus s’effectue de manière contrôlée par l’intermédiaire des fonctions de sécurité, ce qui empêche également qu’un processus en vienne à modifier le code d’exécution d’un autre processus.

La conservation de domaines distincts pour l’exécution des processus est rendue possible grâce, notamment, à l’application d’espaces d’adressage distincts. Les technologies d’isolation des processus, comme la mise en bac à sable ou la virtualisation, séparent logiquement les logiciels et micrologiciels des autres logiciels, micrologiciels et données. L’isolation des processus permet de limiter l’accès des logiciels potentiellement non fiables aux autres ressources du système. La capacité de maintenir des domaines d’exécution distincts est offerte dans les systèmes d’exploitation commerciaux qui font appel aux technologies à processeurs multiétats.

Contrôles et activités connexes

AC-03, AC-04, AC-06, AC-25, SA-08, SC-02, SC-03 et SI-16.

Améliorations

• (01) Isolation des processus : Séparation du matériel
  • Mettre en place des mécanismes de séparation du matériel pour faciliter l’isolation des processus.
  • Discussion : La séparation matérielle des processus de systèmes est généralement moins sujette à la compromission que la séparation logicielle, ce qui donne l’assurance que la séparation sera efficace. Les mécanismes de séparation du matériel comprennent la gestion matérielle de la mémoire.
  • Contrôles et activités connexes : Aucun.
• (02) Isolation des processus : Domaine d’exécution distinct pour chaque fil d’exécution
  • Conserver un domaine d’exécution distinct pour chacun des fils d’exécution dans [Affectation : traitement multifil défini par l’organisation].
  • Discussion : Aucune.
  • Contrôles et activités connexes : Aucun.

Références

Aucune.

SC-40 Protection des liaisons sans fil

Contrôle

Protéger les [Affectation : liaisons sans fil définies par l’organisation] externes et internes contre les attaques suivantes qui visent les paramètres de signaux : [Affectation : types de paramètres de signaux définis par l’organisation ou références aux sources de telles attaques].

Discussion

La protection des liaisons sans fil s’applique aux liaisons de communication internes et externes qui pourraient être visibles pour les personnes qui ne sont pas des utilisatrices et utilisateurs autorisés des systèmes. Les adversaires peuvent exploiter les paramètres de signaux des liaisons sans fil lorsque ceux-ci ne sont pas adéquatement protégés. Il existe de nombreuses façons d’exploiter les paramètres de signaux de liaisons sans fil dans le but de soutirer du renseignement, d’interrompre des services ou d’usurper l’identité d’utilisatrices et utilisateurs des systèmes. La protection des liaisons sans fil atténue l’incidence des attaques qui ciblent principalement les systèmes sans fil. Il pourrait être impossible d’appliquer les mesures de protection des liaisons sans fil de manière à satisfaire aux exigences de l’organisation en matière de sécurité, lorsque les organisations comptent sur des fournisseurs de services commerciaux pour des services de transmission considérés comme étant auxiliaires plutôt que des services dédiés.

Contrôles et activités connexes

AC-18 et SC-05.

Améliorations

• (01) (01) Protection des liaisons sans fil : Interférence électromagnétique
  • Mettre en œuvre des mécanismes cryptographiques visant à appliquer [Affectation : niveau de protection défini par l’organisation] dans le but de contrer les effets de l’interférence électromagnétique internationale.
  • Discussion : La mise en œuvre de mécanismes cryptographiques visant à atténuer l’interférence électromagnétique permet de protéger les systèmes contre le brouillage intentionnel qui pourrait entraver ou gêner les communications, de sorte que les formes d’onde à spectre étalé qui servent à la protection antibrouillage du sans-fil soient impossibles à prévoir pour les personnes autorisées. La mise en œuvre de mécanismes cryptographiques pourrait incidemment contribuer à l’atténuation du brouillage accidentel causé par les émetteurs légitimes qui partagent le même spectre. Les exigences liées à la mission, les menaces prévues, les concepts d’opérations, de même que les lois, les décrets, les directives, la réglementation, les politiques et les normes, déterminent les niveaux de disponibilité des liaisons sans fil, la cryptographie requise et les performances.
  • Contrôles et activités connexes : PE-21, SC-12 et SC-13.
• (02) Protection des liaisons sans fil : Atténuation du potentiel de détection
  • Appliquer des mécanismes cryptographiques visant à réduire le potentiel de détection des liaisons sans fil [Affectation : niveau de réduction défini par l’organisation].
  • Discussion : La mise en œuvre de mécanismes cryptographiques visant à réduire le potentiel de détection permet de masquer les communications et de protéger les émetteurs sans fil contre la géolocalisation. Elle veille également à ce que les formes d’ondes à spectre étalé, qui sont utilisées pour garantir une faible probabilité de détection, soient impossibles à prévoir pour les personnes non autorisées. Les exigences liées à la mission, les menaces prévues, les concepts d’opérations, de même que les lois, les décrets, les directives, la réglementation, les politiques et les normes applicables, déterminent les niveaux de disponibilité auxquels les liaisons sans fil seront indétectables.
  • Contrôles et activités connexes : SC-12 et SC-13.
• (03) Protection des liaisons sans fil : Déception des communications par imitation ou par manipulation
  • Mettre en œuvre des mécanismes cryptographiques visant à identifier et à rejeter les transmissions sans fil qui constituent des tentatives délibérées de communications trompeuses par imitation ou par manipulation, qui sont fondées sur des paramètres de signaux.
  • Discussion : La mise en œuvre de mécanismes cryptographiques visant à identifier et à rejeter les communications trompeuses par imitation ou par manipulation permet de garantir que les paramètres de signaux de transmissions sans fil sont impossibles à prévoir pour les personnes non autorisées. L’imprévisibilité réduit les risques d’occurrence des communications trompeuses par imitation ou par manipulation fondées sur les seuls paramètres de signaux.
  • Contrôles et activités connexes : SC-12, SC-13 et SI-04.
• (04) Protection des liaisons sans fil : Identification des paramètres de signaux
  • Mettre en œuvre des mécanismes cryptographiques visant à prévenir l’identification des [Affectation : émetteurs sans fil désignés par l’organisation] par l’utilisation des paramètres de signaux d’un émetteur.
  • Discussion : La mise en œuvre de mécanismes cryptographiques visant à prévenir l’identification des émetteurs sans fil permet d’assurer une protection contre l’identification de l’unicité des émetteurs sans fil à des fins d’exploitation du renseignement ainsi que de veiller à ce que les modifications « anti-signature » apportées aux paramètres de signaux soient impossibles à prévoir pour les personnes non autorisées. Elle offre aussi l’anonymat, le cas échéant. Les techniques de signature d’émetteurs radioélectriques permettent d’identifier les paramètres propres à un signal d’émetteur dans le but d’établir la signature de ces émetteurs à des fins de surveillance et d’identification des missions ou des utilisatrices et utilisateurs.
  • Contrôles et activités connexes : SC-12 et SC-13.

Références

Aucune.

SC-41 Accès des ports et des périphériques d’entrée et de sortie

Contrôle

Procéder à une désactivation ou à un retrait [Sélection (un choix) : physique; logique] de [Affectation : ports de connexion ou périphériques d’entrée et de sortie désignés par l’organisation] sur les systèmes ou les composants de systèmes suivants : [Affectation : systèmes ou composants de systèmes désignés par l’organisation].

Discussion

Désactiver ou retirer les ports de connexion et les périphériques d’entrée et de sortie (E/S) aide à prévenir l’exfiltration des renseignements contenus dans les systèmes et à empêcher l’introduction de code malveillant depuis ces ports ou périphériques. La désactivation ou le retrait physique des ports ou des périphériques est une mesure plus robuste que les approches logiques. Les exemples de ports de connexion comprennent les ports USB (Universal Serial Bus), Thunderbolt et FireWire (IEEE 1394). Les exemples de périphériques d’E/S comprennent les lecteurs de disques optiques, les clés USB, les écrans et les souris.

Contrôles et activités connexes

AC-20 et MP-07.

Améliorations

Aucune.

Références

Aucune.

SC-42 Capacité des capteurs et données

Contrôle

1. Interdire [Sélection (un choix ou plus) : l’utilisation de dispositifs dotés de [Affectation : capacités de captation environnementale définies par l’organisation] dans [Affectation : installations, secteurs ou systèmes désignés par l’organisation]; l’activation à distance des capacités de captation environnementale sur les systèmes ou les composants de systèmes organisationnels, sauf pour les exceptions suivantes : [Affectation : exceptions définies par l’organisation pour lesquelles l’activation à distance de capteurs est permise]]
2. Indiquer explicitement l’utilisation de capteurs pour [Affectation : groupes d’utilisatrices et utilisateurs désignés par l’organisation]

Discussion

La capacité de captation et les données connexes s’appliquent aux types de systèmes ou de composants de systèmes qui appartiennent à la catégorie des appareils mobiles, comme les téléphones cellulaires, les téléphones intelligents et les tablettes. Les appareils mobiles sont souvent dotés des capteurs capables de collecter et d’enregistrer des données relatives à l’environnement où les systèmes sont utilisés. Des capteurs sont souvent intégrés aux appareils mobiles, comme des microphones, des appareils photo, des récepteurs du système mondial de localisation (GPS pour Global Positioning System) et des accéléromètres.

Même si les capteurs des appareils mobiles fournissent d’importantes fonctionnalités, ils peuvent être exploités par les adversaires pour obtenir de précieuses informations sur les personnes et sur les organisations s’ils sont activés furtivement. Par exemple, l’activation à distance de la fonction de GPS d’un appareil mobile pourrait permettre à un adversaire de surveiller les mouvements d’une personne. Les organisations pourraient interdire à quiconque d’apporter des téléphones cellulaires ou des appareils photo numériques dans l’enceinte de certaines installations ou dans certains secteurs contrôlés qui font partie d’installations servant au stockage d’information classifiée ou qui sont le lieu de conversation de données de nature sensible.

Contrôles et activités connexes

SC-15.

Améliorations

• (01) Capacité des capteurs et données : Signalement auprès du personnel ou des rôles autorisés
  • Veiller à ce que le système soit configuré de telle sorte que l’information ou les données collectées par [Affectation : capteurs désignés par l’organisation] ne soit signalées qu’au personnel ou aux rôles autorisés à cette fin.
  • Discussion : Dans les situations où les capteurs sont activés par des personnes autorisées, il demeure malgré tout possible que l’information ou les données collectées par les capteurs soient acheminées à des entités non autorisées. Les organisations devraient s’assurer de mettre en place les contrôles nécessaires pour protéger les données des capteurs.
  • Contrôles et activités connexes : Aucun.
• (02) Capacité des capteurs et données : Utilisation autorisée
  • Employer les mesures suivantes pour que l’information ou les données collectées par [Affectation : capteurs désignés par l’organisation] ne soient utilisées qu’aux fins autorisées : [Affectation : mesures définies par l’organisation].
  • Discussion : Les organisations devraient s’assurer de posséder l’autorité légitime pour toute utilisation ou divulgation des données des capteurs. L’information collectée par les capteurs pour une fin particulière pourrait être utilisée à des fins non autorisées. Par exemple, les capteurs GPS qui servent normalement à assurer le soutien à l’orientation du trafic pourraient être exploités par des adversaires qui cherchent à surveiller les déplacements d’individus. Parmi les mesures visant à atténuer de telles activités, on retrouve la formation permettant d’assurer que les personnes autorisées n’abusent pas de leurs pouvoirs et, dans les cas où les données des capteurs sont maintenues par des entités externes, que des restrictions contractuelles concernant l’utilisation de telles données sont en place.
  • Contrôles et activités connexes : PT-02.
• (03) Capacité des capteurs et données : Dispositifs interdits d’utilisation
  • Annulé : Intégré au contrôle SC-42.
• (04) Capacité des capteurs et données : Avis de collecte
  • Appliquer les mesures suivantes pour informer plus facilement les individus que leurs renseignements personnels ont été collectés par [Affectation : capteurs désignés par l’organisation] : [Affectation : mesures définies par l’organisation].
  • Discussion : Il convient d’obtenir des conseils juridiques avant de procéder à la collecte de données de capteur sur des dispositifs fournis par l’employeur. Lorsque les personnes sont mises au courant que les capteurs organisationnels collectent des données, elles peuvent assurer une gestion plus efficace de leur vie privée. Les mesures peuvent comprendre des avis écrits traditionnels ou des configurations de capteur qui informent directement ou indirectement les utilisatrices et utilisateurs par l’entremise d’autres dispositifs que le capteur collecte de l’information. Il est important de considérer la clarté de l’avis.
  • Discussion au sein du GC : Le recours à une technologie basée sur des capteurs a des répercussions sur le plan du respect de la vie privée et de la Charte. Il pourrait donc être nécessaire de demander aux conseillères et conseillers juridiques de l’organisation d’évaluer davantage la situation. Il est important d’aviser les utilisatrices et utilisateurs des technologies fournies par l’employeur de la violation potentielle de leurs renseignements personnels et de faire en sorte qu’ils reconnaissent ces risques avant d’utiliser le dispositif.
  • Contrôles et activités connexes : PT-01, PT-04 et PT-05.
• (05) Capacité des capteurs et données : Minimisation de la collecte
  • Employer des [Affectation : capteurs désignés par l’organisation] qui sont configurés pour minimiser la collecte de renseignements non nécessaires sur les individus.
  • Discussion : Bien que les stratégies qui limitent l’utilisation autorisée puissent s’appliquer aux renseignements après leur collecte, le fait de réduire la collecte de renseignements non nécessaires permet d’atténuer les risques liés au respect de la vie privée et de la Charte, ainsi que le risque d’échec des contrôles découlant de ces stratégies.
  • Discussion au sein du GC : De plus, en ce qui concerne l’utilisation de technologies qui peuvent être considérées comme étant susceptibles de porter atteinte à la vie privée, le CPVP demande de tenir compte de l’incidence de la Charte, conformément à la décision R. c. Oakes de la Cour suprême. Gardant à l’esprit le concept de perquisitions et de saisies déraisonnables, les organisations devraient évaluer la collecte des renseignements susceptible de porter atteinte aux droits garantis par la Charte par rapport aux principes énoncés dans la décision Oakes susmentionnée.
  • Contrôles et activités connexes : SA-08 et SI-12.
• (400) Capacité des capteurs et données : Désactivation des zones de sécurité et de haute sécurité
  • S’assurer que l’organisation désactive tous les capteurs sur tous les dispositifs si ces derniers ne sont pas autorisés à traiter de l’information au plus haut niveau de classification dans la zone de sécurité ou de haute sécurité dans laquelle ils se trouvent.
  • Discussion : Aucune.
  • Discussion au sein du GC : Les organisations doivent s’assurer que les capteurs de dispositifs sont désactivés. Par exemple, les appareils photo et les microphones sur les postes de travail approuvés PROTÉGÉ B doivent être désactivés physiquement lorsqu’ils ne sont pas utilisés. Si ces derniers sont utilisés, ils doivent être placés de manière à prévenir la compromission d’information PROTÉGÉ C ou classifiée qui est abordée ou présentée dans les zones de sécurité ou à haute sécurité.
  • Contrôles et activités connexes : Aucun.

Références

• Répercussions sur la sécurité de l’exposition de systèmes TI classifiés à des dispositifs mobiles et à des signaux sans fil (ITSB-104)
• Utiliser son dispositif mobile en toute sécurité (ITSAP.00.001)
• Considérations de sécurité pour les modèles de déploiement de dispositifs mobiles (ITSAP.70.002)

SC-43 Restrictions relatives à l’utilisation

Contrôle

1. Établir des restrictions concernant l’utilisation et les directives en matière de mise en œuvre pour les composants de système suivants : [Affectation : composants de systèmes désignés par l’organisation]
2. Autoriser, surveiller et contrôler l’utilisation de tels composants sur le système

Discussion

Les restrictions concernant l’utilisation s’appliquent à tous les composants de système, y compris, mais sans s’y limiter, le code mobile, les appareils mobiles, l’accès sans fil et les périphériques câblés et sans fil (par exemple, photocopieurs, imprimantes, numériseurs, dispositifs optiques et autres technologies similaires). Les restrictions concernant l’utilisation et les directives en matière de mise en œuvre sont basées sur le potentiel des composants du système à causer des dommages au système et aident à s’assurer que seul le système autorisé est utilisé.

Contrôles et activités connexes

AC-18, AC-19, CM-06, SC-07 et SC-18.

Améliorations

Aucune.

Références

SCT, Directive sur les services et le numérique – Annexe F : Norme sur la restriction de l’utilisation des services de la TI intégrée

SC-44 Chambres de détonation

Contrôle

Employer une chambre de détonation dans [Affectation : système, composant de système ou lieu désigné par l’organisation].

Discussion

Les chambres de détonation, aussi appelées « environnements d’exécution dynamiques », permettent aux organisations d’ouvrir des fichiers joints à des courriels, d’exécuter des applications douteuses ou suspectes, ou d’exécuter des requêtes URL dans un environnement sûr et isolé ou dans des bacs à sable virtuels. Les environnements d’exécution protégés et isolés offrent les moyens d’établir si les fichiers joints ou les applications en question contiennent du code malveillant.

Bien que les chambres de détonation soient liées au concept des faux réseaux, elles ne sont pas destinées à maintenir un environnement à long terme dans lequel des adversaires peuvent mener leurs activités tout en étant surveillés. Les chambres de détonation visent plutôt à identifier rapidement le code malveillant et à réduire la probabilité que le code en question se propage aux environnements opérationnels voire à empêcher radicalement de telles propagations.

Contrôles et activités connexes

SC-07, SC-18, SC-25, SC-26, SC-30, SC-35, SC-39, SI-03 et SI-07.

Améliorations

Aucune.

Références

Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l’information (ITSM.10.089)

SC-45 Synchronisation temporelle des systèmes

Contrôle

Synchroniser les horloges des systèmes et des composants de systèmes.

Discussion

La synchronisation temporelle des horloges du système est essentielle à l’exécution appropriée de plusieurs services du système, comme les processus d’identification et d’authentification dont le contrôle de l’accès exige des certificats et des restrictions selon l’heure de la journée. Un déni de service ou l’impossibilité de refuser des certificats expirés peut survenir si les horloges ne sont pas correctement synchronisées entre les systèmes et les composants de systèmes.

L’heure est souvent exprimée selon le temps universel coordonné (UTC pour Universal Time Coordinated) ou selon l’heure locale qui est un décalage par rapport à l’UTC. La granularité des mesures temporelles fait référence au degré de synchronisation entre les horloges du système et des horloges de référence, comme la synchronisation des horloges avec une précision à des centaines ou à des dizaines de millisecondes. Les organisations peuvent définir des granularités temporelles différentes pour les divers composants du système. Le service lié au temps peut s’avérer essentiel dans le cas d’autres capacités de sécurité comme le contrôle d’accès ainsi que l’identification et l’authentification, selon la nature des mécanismes employés pour soutenir ces capacités.

Contrôles et activités connexes

AC-03, AU-08, IA-02 et IA-08.

Améliorations

• (01) Synchronisation temporelle des systèmes : Synchronisation avec une source de temps faisant autorité
  • 1. Comparer les horloges système internes [Affectation : fréquence définie par l’organisation] en utilisant [Affectation : source de temps faisant autorité définie par l’organisation]
    2. Synchroniser les horloges systèmes internes avec la source de temps faisant autorité si la différence temporelle est supérieure à [Affectation : période définie par l’organisation]
  • Discussion : La synchronisation des horloges système internes avec la source de temps faisant autorité permet de synchroniser les estampilles temporelles des systèmes ayant de multiples horloges système de même que celles des systèmes connectés à un réseau.
  • Contrôles et activités connexes : Aucun.
• (02) Synchronisation temporelle des systèmes : Deuxième source de temps faisant autorité
  • 1. Déterminer une deuxième source de temps faisant autorité dans une région géographique différente de la première source de temps faisant autorité.
    2. Synchroniser les horloges système internes avec la deuxième source de temps faisant autorité si la première n’est pas disponible.
  • Discussion : Il pourrait être nécessaire d’utiliser de l’information de géolocalisation pour déterminer que la deuxième source de temps faisant autorité se trouve dans une région géographique différente.
  • Contrôles et activités connexes : Aucun.

Références

IETF RFC 5905 Network Time Protocol Version 4: Protocol and Algorithms Specification (en anglais seulement)

SC-46 Application des stratégies interdomaines

Contrôle

Mettre en œuvre un mécanisme d’application des stratégies [Sélection (un choix) : physiquement; logiquement] entre les interfaces physiques et/ou réseau pour la connexion des domaines de sécurité.

Discussion

Pour les mécanismes logiques d’application des stratégies, les organisations devraient éviter de créer un chemin logique entre les interfaces pour s’assurer qu’on ne puisse pas contourner le mécanisme d’application des stratégies. Pour les mécanismes physiques d’application des stratégies, il pourrait être nécessaire d’assurer la robustesse de l’isolation physique fournie par la mise en œuvre physique de l’application des stratégies pour prévenir la présence de voies clandestines logiques pénétrant dans le domaine de sécurité.

Discussion au sein du GC

Seule la SID approuvée par le Centre pour la cybersécurité devrait être utilisée pour l’information PROTÉGÉ C et classifiée. Pour obtenir plus de renseignements, prière d’envoyer un courriel à cyber@cyber.gc.ca.

Contrôles et activités connexes

AC-04 et SC-07.

Améliorations

• (400) Application des stratégies interdomaines : Transfert manuel de données
  • Limiter l’utilisation du transfert manuel de données.
  • Discussion : Une SID de transfert permet de transférer automatiquement l’information de façon sécurisée entre différents domaines de sécurité. L’utilisation du transfert manuel de données devrait se limiter à des exigences particulières. Le fait de contourner les procédures de transfert appropriées et de transférer l’information au moyen d’un support amovible est généralement considéré comme étant un comportement inapproprié de la part de l’utilisatrice ou utilisateur.
    S’il est nécessaire de transférer l’information au moyen d’un support amovible pour satisfaire à un besoin opérationnel, les procédures effectuées doivent se conformer à ce qui est énoncé dans le document ITSB-112 du Centre pour la cybersécurité. Une utilisatrice ou un utilisateur autorisé peut procéder à un transfert manuel de données au moyen d’un support amovible, comme une clé USB. Le cas échéant, une SID hors ligne peut être utilisée pour analyser et nettoyer le support. Un tel transfert peut être utilisé, par exemple, lorsqu’il est nécessaire de transférer le correctif d’un logiciel ou la mise à jour d’un antivirus d’un support amovible à un domaine de sécurité isolé.
  • Contrôles et activités connexes : Aucun.

Références

• Guide d’initiation à la sécurité interdomaines (ITSB-120)
• Questions de sécurité relatives à l’utilisation de supports amovibles pour les renseignements Protégé C et classifiés (ITSB-112)

SC-47 Chemins de communications secondaires

Contrôle

Mettre en place des [Affectation : chemins de communication secondaires définis par l’organisation] pour la fonction organisationnelle de commande et de contrôle et l’exploitation des systèmes.

Discussion

Qu’il soit antagoniste ou non, un incident peut perturber les chemins de communications établis qui sont utilisés pour l’exploitation des systèmes et la fonction organisationnelle de commande et de contrôle. Les chemins de communication secondaires réduisent le risque que l’ensemble des chemins de communications soient touchés par le même incident. Par ailleurs, l’incapacité des responsables de l’organisation d’obtenir de l’information opportune sur les interruptions ou de fournir de l’orientation aux éléments opérationnels en temps opportun après un incident touchant un chemin de communication peut avoir une incidence sur la capacité de l’organisation à intervenir rapidement lors de tels incidents. Mettre en place des chemins de communication secondaires aux fins de commande et de contrôle, y compris désigner d’autres décideuses et décideurs si la personne principale n’est pas disponible et déterminer la portée et les limitations de leurs actions, peut grandement aider l’organisation à poursuivre ses activités et à prendre les mesures appropriées lors d’un incident.

Contrôles et activités connexes

CP-02 et CP-08.

Améliorations

Aucune.

Références

SCT, Directive sur la gestion de la sécurité – Annexe D : Procédures obligatoires relatives aux mesures de sécurité en matière de gestion de la continuité des activités

SC-48 Relocalisation des capteurs

Contrôle

Relocaliser [Affectation : capteurs et capacités de surveillance désignés par l’organisation] à [Affectation : emplacements désignés par l’organisation] dans les circonstances et les situations suivantes : [Affectation : conditions ou circonstances définies par l’organisation].

Discussion

Les adversaires peuvent emprunter divers chemins et utiliser différentes approches lorsqu’ils se déplacent latéralement dans l’organisation (y compris ses systèmes) afin d’atteindre leur cible ou de tenter d’exfiltrer l’information organisationnelle. Les organisations disposent souvent d’un ensemble limité de capacités de surveillance et de détection et elles peuvent porter leur attention aux chemins d’infiltration ou d’exfiltration critiques ou probables.

En employant les chemins de communication qui ne sont généralement pas surveillés par une organisation, un adversaire peut augmenter ses chances d’atteindre les objectifs qu’il s’est fixés. En relocalisant ses capteurs et ses capacités de surveillance dans de nouveaux emplacements, une organisation peut empêcher un adversaire d’atteindre ses objectifs. Les capteurs ou les capacités de surveillance peuvent être relocalisés selon le renseignement sur les menaces obtenu par l’organisation ou être relocalisés de façon aléatoire pour confondre d’adversaire et rendre son déplacement latéral dans le système ou l’organisation d’autant plus difficile.

Contrôles et activités connexes

AU-02, SC-07 et SI-04.

Améliorations

• (01) Relocalisation des capteurs : Relocalisation dynamique des capteurs ou des capacités de surveillance
  • Relocaliser dynamiquement [Affectation : capteurs et capacités de surveillance désignés par l’organisation] à [Affectation : emplacements désignés par l’organisation] dans les circonstances et les situations suivantes : [Affectation : conditions ou circonstances définies par l’organisation].
  • Discussion : Aucune.
  • Contrôles et activités connexes : Aucun.

Références

NIST SP 800-160 Vol. 2 Rev. 1 Developing Cyber Resilient Systems: A Systems Security Engineering Approach (en anglais seulement)

SC-49 Application de la séparation et des stratégies matérielles

Contrôle

Mettre en œuvre des mécanismes pour l’application de la séparation et des stratégies matérielles entre [Affectation : domaines de sécurité définis par l’organisation].

Discussion

Les propriétaires de systèmes pourraient exiger des mécanismes plus forts et robustes pour assurer l’application de la séparation des domaines et des stratégies pour certains types de menaces et d’environnements d’exploitation. L’application de la séparation et des stratégies matérielles offre des mécanismes plus robustes que l’application de la sécurité et des stratégies logicielles.

Contrôles et activités connexes

AC-04, SA-08 et SC-50.

Améliorations

Aucune.

Références

Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037)

SC-50 Séparation imposée par logiciel et application de la stratégie

Contrôle

Mettre en œuvre des mécanismes pour la séparation imposée par logiciel et l’application de la stratégie entre [Affectation : domaines de sécurité définis par l’organisation].

Discussion

Les propriétaires de systèmes pourraient exiger des mécanismes plus forts pour assurer l’application de la séparation des domaines et des stratégies pour certains types de menaces et d’environnements d’exploitation.

Contrôles et activités connexes

AC-03, AC-04, SA-08, SC-02, SC-03 et SC-49.

Améliorations

Aucune.

Références

Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037)

SC-51 Protection matérielle

Contrôle

1. Appliquer la protection d’écriture matérielle pour [Affectation : composants micrologiciels de systèmes désignés par l’organisation].
2. Mettre en œuvre des procédures particulières pour [Affectation : personnes autorisées désignées par l’organisation] à désactiver manuellement la protection d’écriture matérielle contre les modifications des micrologiciels et à réactiver la protection d’écriture avant de revenir au mode opérationnel.

Discussion

Aucune.

Contrôles et activités connexes

Aucune.

Améliorations

Aucune.

Références

Aucune.

SC-400 Authentification de la source de l’entité

Contrôle

Le système d’information permet à la ou au destinataire d’un message de vérifier l’identificateur présumé de la source dans un message.

Discussion

L’authentification de la source empêche toute entité non autorisée d’envoyer un message en usurpant l’identité d’une autre entité. Ce contrôle s’applique aux communications non liées à une session et peut être appliqué aux protocoles de n’importe quelle couche, des paquets IP au courrier électronique. Par message, on entend toute communication entre deux entités.

Contrôles et activités connexes

IA-01, IA-02, IA-03, IA-04, IA-05, SC-08 et SC-13.

Améliorations

• (01) Authentification de la source de l’entité : Authentification de l’identifiant présumé
  • L’authentification de l’identifiant présumé du message repose sur la cryptographie.
  • Discussion : Aucune.
  • Contrôles et activités connexes : Aucun.
• (02) Authentification de la source de l’entité : Signature numérique
  • L’organisation utilise la cryptographie validée selon le Programme de validation des modules cryptographiques (PVMC) pour la génération et la vérification des signatures numériques.
  • Discussion : Aucune.
  • Contrôles et activités connexes : SC-13.
• (03) Authentification de la source de l’entité : Mise en œuvre de l’authentification
  • L’organisation utilise la cryptographie et les protocoles approuvés par le Centre pour la cybersécurité pour effectuer l’authentification.
  • Discussion : Aucune.
  • Contrôles et activités connexes : SC-13.

Références

• Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111)
• NIST FIPS 140-3 Security Requirements for Cryptographic Modules (en anglais seulement)
• Programme de validation des modules cryptographiques (PVMC)

SC-401 Systèmes de télécommunications non classifiés dans les installations sécurisées

Contrôle

1. Les systèmes de télécommunications non classifiés dans les installations sécurisées ne doivent ni laisser passer ni transmettre de discussions audio sensibles lorsqu’ils sont au repos et non utilisés. De plus, ils doivent être configurés de manière à en empêcher le contrôle ou l’activation externes. Les concepts de protection audio de type « combiné raccroché » mentionnés dans les publications 5002 et 5006 du CNSSI doivent être intégrés aux systèmes de télécommunications des installations sécurisées
2. Les systèmes et services téléphoniques non classifiés doivent être configurés de manière à empêcher les exploits techniques ou l’intrusion. De plus, ils doivent intégrer des contrôles d’accès physique et logiciels pour empêcher la divulgation ou la manipulation de la programmation système et des données stockées
3. L’organisation doit veiller à appliquer aux systèmes de télécommunications non classifiés les exigences particulières suivantes
   1. assurer la protection audio de type « combiné raccroché » par l’utilisation d’équipement CNSSI 5006, de dispositifs de déconnexion approuvés CNSSI , ou d’une configuration système CNSSI 5002 équivalente
   2. assurer l’isolation par l’utilisation d’un système téléphonique informatisé doté d’un contrôle de configuration logicielle et matérielle, et d’un contrôle des rapports de vérification (enregistrement détaillé des données d’appel, rapports sur les données d’appel, etc.). La programmation système n’offre pas la capacité de placer ou de maintenir le combiné en position non raccrochée. La configuration du système doit faire en sorte d’identifier et d’atténuer toutes les vulnérabilités associées à l’état du combiné (raccroché ou non)
   3. veiller à ce que l’équipement utilisé pour administrer les systèmes téléphoniques soit installé dans une zone dont l’accès est réservé au personnel autorisé. Lorsque les terminaux d’administration locaux (d’un système téléphonique informatisé) ne sont pas ou ne peuvent pas être hébergés dans la zone contrôlée, ni protégés contre les manipulations non autorisées, alors l’utilisation d’un équipement téléphonique approuvé CNSSI 5006 doit être exigée, quelle que soit la configuration du système téléphonique informatisé
   4. veiller à ne pas utiliser la maintenance à distance à l’extérieur des installations sécurisées
   5. veiller à ne pas utiliser de téléphones à haut-parleur ni de systèmes d’audioconférences avec les systèmes de télécommunications non classifiés dans les installations sécurisées. Le CST peut approuver les exceptions à cette exigence dans le cas où l’isolation audio est suffisante entre ces systèmes et les autres pièces de discussion classifiée dans l’installation sécurisée et lorsque des procédures sont en place pour empêcher la transmission par inadvertance d’information classifiée
   6. veiller à ce que les fonctions utilisées pour la messagerie vocale ou les systèmes unifiés de messagerie soient configurées de manière à empêcher l’accès non autorisé aux ports de diagnostic distants ou à la tonalité d’invitation à numéroter interne
   7. veiller à ce que les répondeurs téléphoniques (TAD) et les télécopieurs ne comportent pas de fonctions qui présentent des vulnérabilités sur le plan de la sécurité, comme la surveillance des locaux à distance, la programmation à distance ou autres fonctions similaires qui peuvent permettre un accès à distance aux sons de la pièce. Le CST doit donner son approbation avant l’installation ou l’utilisation de tels dispositifs
4. Tous les systèmes de télécommunications non classifiés et leurs infrastructures doivent être isolés physiquement et électriquement de tout système d’information ou de télécommunications classifié, conformément aux exigences du CNSS ou de toute autre norme de séparation appliquée au système d’information classifié en place
5. Il faut respecter les exigences de sécurité et les lignes directrices en matière d’installation formulées dans la publication CNSSI 5000 pour les systèmes de VoIP installés dans toute zone de sécurité physique où est traitée de l’information classifiée

Discussion

Aucune.

Discussion au sein du GC

Par installation sécurisée, on entend toute zone de sécurité physique où l’on traite de l’information classifiée. Une installation sécurisée peut désigner une installation renfermant des informations sensibles cloisonnées (SCIF pour Secure Compartmented Information Facility) au niveau TRÈS SECRET, ou toute autre installation sécurisée à un niveau inférieur (par exemple, SECRET, CONFIDENTIEL).

Contrôles et activités connexes

Aucune.

Améliorations

Aucune.

Références

Pour accéder à ces ressources, veuillez rechercher le titre ou le numéro de la publication dans la bibliothèque du CNSS (en anglais seulement) :

• CNSSI 5000 Voice Over Internet Protocol (VoIP) Telephony
• CNSSI 5002 Telephony isolation used for unified communications implementations within physically protected spaces
• CNSSI 5006 National Instruction for Approved Telephone Equipment