Vérification et responsabilisation

Sur cette page

• AU-01 Politique et procédures de vérification et de responsabilisation
• AU-02 Journalisation d’événements
• AU-03 Contenu des enregistrements de vérification
• AU-04 Capacité de stockage des journaux de vérification
• AU-05 Intervention en cas d’échec du processus de journalisation des données de vérification
• AU-06 Examen, analyse et production de rapports liés aux enregistrements de vérification
• AU-07 Réduction des enregistrements de vérification et génération de rapports
• AU-08 Horodatage du contrôle
• AU-09 Protection de l’information de vérification
• AU-10 Non-répudiation
• AU-11 Conservation des enregistrements de vérification
• AU-12 Génération d’enregistrements de vérification
• AU-13 Surveillance de la divulgation d’information
• AU-14 Vérification des sessions
• AU-15 Capacité de journalisation des données de vérification secondaire
• AU-16 Journalisation des données de vérification transorganisationnelle

Les contrôles et les activités dans la famille de vérification et responsabilisation (AU pour Audit and Accountability) permettent de recueillir, d’analyser et de stocker les enregistrements de vérification associés aux opérations des utilisatrices et utilisateurs réalisées sur le système.

AU-01 Politique et procédures de vérification et de responsabilisation

Activité

1. Développer, consigner et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
   1. une politique de vérification et de responsabilisation [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
   2. des procédures pour faciliter la mise en œuvre de la politique de vérification et de responsabilisation ainsi que des contrôles connexes
2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures de vérification et de responsabilisation
3. Passer en revue et mettre à jour, par rapport à la vérification et la responsabilisation,
   1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
   2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures de vérification et de responsabilisation abordent les contrôles de la famille AU qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures de vérification et de responsabilisation. En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin de politiques et de procédures propres à la mission ou au système. La politique peut être intégrée à la politique générale de sécurité et de protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de vérification et de responsabilisation comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle. Les utilisatrices et utilisateurs dont les activités consistent à surveiller les journaux de vérification devraient être mis au courant de l’activité.

Contrôles et activités connexes

AC-08, PM-09, PS-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

• SCT, Politique sur la sécurité du gouvernement
• Politique sur l’audit interne du SCT
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• Directive en matière de sécurité des TI sur le contrôle du matériel COMSEC au sein du gouvernement du Canada (ITSD 03A) (sur demande au Centre pour la cybersécurité)
• Directive en matière de sécurité des TI sur le contrôle du matériel COMSEC au sein des entreprises du secteur privé canadien (ITSD-06A) (sur demande au Centre pour la cybersécurité)
• CST et GRC, Méthodologie harmonisée d’évaluation des menaces et des risques (EMR-1)

AU-02 Journalisation d’événements

Contrôle

1. Déterminer les types d’événements que le système est en mesure de journaliser pour soutenir la fonction de vérification [Affectation : types d’événements définis par l’organisation que le système est en mesure de journaliser]
2. Coordonner la fonction de journalisation avec d’autres entités organisationnelles qui nécessitent de l’information en matière de vérification afin d’orienter et d’éclairer la sélection des critères pour les événements à journaliser
3. Préciser les types d’événements suivants pour la journalisation dans le système [Affectation : types d’événements définis par l’organisation (sous-ensemble de types d’événements défini dans le contrôle AU-02A) et fréquence de journalisation (ou la situation qui la justifie) de chaque type d’événement]
4. Expliquer pourquoi les types d’événements sélectionnés pour la journalisation sont jugés adéquats pour soutenir les enquêtes après coup des incidents
5. Vérifier et mettre à jour les types d’événements sélectionnés pour la journalisation tous les [Affectation : fréquence définie par l’organisation]

Discussion

On entend par événement tout fait observable dans un système. Les types d’événements pour lesquels une journalisation est requise sont liés à la sécurité des systèmes et à la protection de la vie privée. La journalisation d’événements appuie également des besoins particuliers en matière de surveillance et de vérification. Les types d’événements comprennent les changements de mots de passe, les ouvertures de session infructueuses, les accès infructueux aux systèmes, les changements apportés aux attributs de sécurité et de protection de la vie privée, l’accès ou la consultation de renseignements personnels, l’utilisation de privilèges d’administrateur, l’utilisation de justificatifs d’identité numériques, les changements liés aux actions de données, les paramètres de requêtes ou l’utilisation de justificatifs d’identité externes. En définissant l’ensemble des types d’événements pour lesquels une journalisation est requise, les organisations étudient la mise en place d’une vérification adaptée à chacun des contrôles. Par souci d’exhaustivité, la journalisation d’événements inclut tous les protocoles qui sont utilisés et pris en charge par le système.

Dans le but d’établir un équilibre entre les besoins en matière de surveillance et de vérification et les autres besoins du système, la journalisation d’événements exige que soit déterminé le sous-ensemble des types d’événements qui seront journalisés à un moment précis. Par exemple, les organisations peuvent déterminer que les systèmes doivent pouvoir journaliser tous les accès aux fichiers, réussis ou non, mais ne pas activer cette capacité – sauf dans certaines circonstances – en raison de la charge potentielle qu’elle représente envers les performances du système.

Les types d’événements que les organisations veulent journaliser peuvent changer. L’examen et la mise à jour de l’ensemble des événements journalisés sont nécessaires pour s’assurer que les événements sont toujours pertinents et continuent de soutenir les besoins de l’organisation. Les organisations devraient réfléchir à la façon dont les types d’événements de journalisation peuvent révéler de l’information au sujet des personnes, ce qui donnerait lieu à des risques d’atteinte à la vie privée, et comment atténuer de tels risques. Par exemple, il est possible que des renseignements personnels soient divulgués dans la piste de vérification, en particulier si l’événement de journalisation est basé sur des modèles ou le moment d’utilisation.

D’autres contrôles et améliorations de contrôle peuvent faire référence aux besoins en matière de journalisation d’événements, dont le besoin de journaliser des types d’événements particuliers. Cela comprend les contrôles AC-02(04), AC-03(10), AC-06(09), AC-17(01), CM-03F, CM-05(01), IA-03(03)b, MA-04(01), MP-04(02), PE-03, PM-21, PT-07, RA-08, SC-07(09), SC-07(15), SI-03(08), SI-04(22), SI-07(08) et SI-10(01). Les organisations tiennent compte des types d’événements exigés en vertu des lois, des décrets, des directives, des politiques, de la réglementation, des normes et des lignes directrices applicables. Les dossiers de vérification peuvent être créés à différents niveaux, y compris au niveau des paquets lorsque l’information traverse le réseau. La sélection du niveau approprié de journalisation des événements est un élément important de la capacité de surveillance et de vérification dans la mesure où elle peut aider à relever les causes profondes d’un problème. Pour définir les types d’événements, les organisations doivent considérer la journalisation nécessaire pour couvrir les types d’événements connexes, comme les étapes dans les processus distribués basés sur une transaction et les actions qui surviennent dans les architectures orientées services.

Contrôles et activités connexes

AC-02, AC-03, AC-06, AC-07, AC-08, AC-16, AC-17, AU-03, AU-04, AU-05, AU-06, AU-07, AU-11, AU-12, CM-03, CM-05, CM-06, CM-13, IA-03, MA-04, MP-04, PE-03, PM-21, PT-02, PT-07, RA-08, SA-08, SA-15, SC-07, SC-18, SI-02, SI-03, SI-04, SI-07, SI-10 et SI-11.

Améliorations

• (01) Journalisation des événements : Compilation d’enregistrements de vérification provenant de sources multiples
  • Annulé : Intégré au contrôle AU-12.
• (02) Journalisation des événements : Sélection d’événements de vérification par composant
  • Annulé : Intégré au contrôle AU-12.
• (03) Journalisation des événements : Examens et mises à jour
  • Annulé : Intégré au contrôle AU-02.
• (04) Journalisation des événements : Fonctions privilégiées
  • Annulé : Intégré au contrôle AC-06(09).

Références

• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS)
• SCT, Directive sur les services et le numérique – Annexe C : Procédures obligatoires pour les avis liés à la protection des renseignements personnels et à la surveillance liées à l’utilisation des dispositifs et des réseaux
• SCT, Politique sur la protection de la vie privée
• SCT, Directive sur les pratiques relatives à la protection de la vie privée

AU-03 Contenu des enregistrements de vérification

Contrôle

S’assurer que les enregistrements de vérification contiennent l’information nécessaire pour établir

1. le type d’événement qui s’est produit
2. le moment auquel l’événement s’est produit
3. l’endroit où l’événement s’est produit
4. la source de l’événement
5. le résultat de l’événement
6. l’identité des personnes, des sujets, des objets ou des entités associés à l’événement

Discussion

Le contenu des dossiers de vérification qui peut être nécessaire pour soutenir la fonction de vérification comprend les descriptions d’événements (élément A), les estampilles temporelles (élément B), les adresses source et de destination (élément C), les identifiants d’utilisateur ou de processus (éléments D et F), les indicateurs de réussite ou d’échec (élément E) et les noms de fichiers touchés (éléments A, C, E et F).

Les résultats des événements peuvent comprendre des indicateurs de réussite ou d’échec et des résultats propres à l’événement, comme la posture de sécurité et de protection de la vie privée du système après l’événement. Les organisations réfléchissent à la façon dont les enregistrements de vérification peuvent révéler de l’information au sujet des personnes, ce qui donnerait lieu à des risques d’atteinte à la vie privée; et elles cherchent à savoir comment atténuer de tels risques. Par exemple, il est possible que des renseignements personnels soient divulgués dans la piste de vérification, en particulier si les enregistrements de vérification sont basés sur des modèles ou le moment d’utilisation.

Discussion au sein du GC

Les ministères et organismes du GC s’assurent que le contenu des enregistrements de vérification est conforme aux fichiers de renseignements personnels (FRP) relevant de la catégorie Incidents de sécurité et atteintes à la vie privée.

Contrôles et activités connexes

AU-02, AU-08, AU-12, AU-14, MA-04, PL-09, SA-08, SA-15, SI-07 et SI-11.

Améliorations

• (01) Contenu des enregistrements de vérification : Information de vérification supplémentaire
  • Générer des enregistrements de vérification comportant l’information supplémentaire suivante : [Affectation : information supplémentaire définie par l’organisation].
  • Discussion : La capacité d’ajouter l’information générée dans les enregistrements de vérification dépend des fonctionnalités du système permettant de configurer le contenu des enregistrements de vérification. Les organisations peuvent considérer ajouter de l’information supplémentaire dans les enregistrements de vérification, y compris les règles de contrôle d’accès et de contrôle de flux invoquées et les identités individuelles des utilisatrices et utilisateurs appartenant à un compte de groupe.
    Les organisations peuvent également envisager de limiter l’information supplémentaire à ajouter aux enregistrements de vérification en incluant seulement celle qui est nécessaire aux exigences de vérification. Ainsi, l’utilisation des pistes de vérification et des journaux de vérification serait simplifiée, car on ne tiendrait pas compte de l’information qui pourrait être trompeuse, rendre difficile la localisation de l’information pertinente ou accroître les risques liés à la vie privée.
  • Contrôles et activités connexes : Aucun.
• (02) Contenu des enregistrements de vérification : Gestion centralisée du contenu des enregistrements de vérification
  • Annulé : Intégré au contrôle PL-09.
• (03) Contenu des enregistrements de vérification : Limitation des éléments liés aux renseignements personnels
  • Limiter les renseignements personnels contenus dans les enregistrements de vérification aux éléments suivants identifiés dans l’évaluation des facteurs relatifs à la vie privée : [Affectation : éléments définis par l’organisation].
  • Discussion : Limiter les renseignements personnels contenus dans les enregistrements de vérification lorsque cette information n’est pas nécessaire à des fins opérationnelles aide à réduire le niveau de risque d’atteinte à la vie privée engendré par un système.
  • Contrôles et activités connexes : RA-03.

Références

• SCT, Directive sur les services et le numérique – Annexe C : Procédures obligatoires pour les avis liés à la protection des renseignements personnels et à la surveillance liées à l’utilisation des dispositifs et des réseaux
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• SCT, Politique sur l’accès à l’information
• SCT, Directive sur les demandes d’accès à l’information
• SCT, Directive sur les demandes de renseignements personnels et de correction des renseignements personnels
• SCT, Guide sur la consignation d’événements – Annexe A : Événements recommandés aux fins de consignation

AU-04 Capacité de stockage des journaux de vérification

Contrôle

Attribuer une capacité de stockage de journaux de vérification en fonction des [Affectation : exigences de conservation des journaux de vérification].

Discussion

Les organisations tiennent compte des types de journalisation de vérification à effectuer et des exigences de traitement pour attribuer la capacité de stockage des journaux de vérification. En attribuant une capacité de stockage des journaux suffisante, on réduit les risques de dépassement de cette capacité, qui engendrait possiblement l’interruption ou la réduction de cette capacité de stockage de vérification.

Contrôles et activités connexes

AU-02, AU-05, AU-06, AU-07, AU-09, AU-11, AU-12, AU-14 et SI-04.

Améliorations

• (01) Capacité de stockage des journaux de vérification : Transfert vers une capacité de stockage secondaire
  • Transférer les journaux de vérification [Affectation : fréquence définie par l’organisation] à un système, composant du système ou un support différent du système ou du composant du système faisant l’objet de la journalisation.
  • Discussion : Le transfert de journaux de vérification, aussi appelé déchargement, est un processus courant attribuable aux systèmes ayant des capacités de stockage de journaux de vérification limitées; et ce processus soutient la disponibilité des journaux de vérification. Le stockage des journaux de vérification n’est alors qu’une solution temporaire jusqu’à ce que le système puisse communiquer avec le système secondaire ou de substitution mis en place pour stocker les journaux de vérification. Transférer les journaux de vérification au stockage secondaire est similaire au contrôle AU-09(02) dans le sens où les journaux de vérification sont transférés à une différente entité. Toutefois, la sélection du contrôle AU-09(02) vise à protéger la confidentialité et l’intégrité des enregistrements de vérification. Les organisations peuvent opter pour l’amélioration du contrôle afin de profiter des avantages d’une capacité accrue de stockage des journaux de vérification et assurer la confidentialité, l’intégrité et la disponibilité des journaux et des enregistrements de vérification.
  • Contrôles et activités connexes : Aucun.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information

AU-05 Intervention en cas d’échec du processus de journalisation des données de vérification

Contrôle

1. Alerter [Affectation : personnel ou rôles désignés de l’organisation] dans [Affectation : délais définis par l’organisation] en cas d’échec d’un processus de journalisation des données de vérification
2. Prendre les mesures supplémentaires suivantes : [Affectation : mesures supplémentaires définies par l’organisation]

Discussion

Les échecs du processus de journalisation des données de vérification incluent les erreurs logicielles et matérielles, l’échec des mécanismes de saisie des journaux de vérification et l’atteinte ou le dépassement de la capacité de stockage du journal de vérification. Les mesures définies par l’organisation comprennent l’écrasement des journaux de vérification plus anciens, la fermeture du système et l’arrêt de la génération des enregistrements de vérification. Les organisations peuvent choisir de définir des mesures supplémentaires associées aux échecs du processus de journalisation des données de vérification en fonction du type d’échec, de l’emplacement de l’échec, de la gravité de l’échec, ou encore une combinaison de ces facteurs.

Lorsque l’échec du processus de journalisation est associé au stockage, l’intervention doit s’appliquer au référentiel de stockage des journaux de vérification (c’est-à-dire le composant d’un système particulier où les journaux de vérification sont stockés), au système sur lequel les journaux de vérification se trouvent, à la capacité de stockage totale de l’organisation pour les journaux de vérification (c’est-à-dire tous les référentiels de stockage de journaux de vérification) ou à ces trois éléments. Les organisations peuvent décider de ne pas prendre de mesures supplémentaires après avoir avisé les rôles ou le personnel désignés.

Contrôles et activités connexes

AU-02, AU-04, AU-07, AU-09, AU-11, AU-12, AU-14, SI-04 et SI-12.

Améliorations

• (01) Intervention en cas d’échec du processus de journalisation des données de vérification : Avertissement de capacité de stockage
  • Avertir [Affectation : personnel, rôles et/ou emplacements définis par l’organisation] dans un délai de [Affectation : délai défini par l’organisation] lorsque le volume de stockage des journaux de vérification attribué aux enregistrements de journaux vérification atteint [Affectation : pourcentage défini par l’organisation] de sa capacité maximale.
  • Discussion : Les organisations peuvent se voir attribuer plusieurs référentiels de stockage de journaux de vérification se trouvant dans de multiples composants de système; chacun des référentiels a une capacité de volume de stockage différente.
  • Contrôles et activités connexes : Aucun.
• (02) Intervention en cas d’échec du processus de journalisation des données de vérification : Alertes en temps réel
  • Fournir une alerte [Affectation : personnel, rôles et/ou emplacements définis par l’organisation] en [Affectation : délais en temps réel définis par l’organisation] lorsque les événements d’échec de vérification suivants se produisent : [Affectation : événements d’échec de journalisation des données de vérification définis par l’organisation qui nécessitent une alerte en temps réel].
  • Discussion : Les alertes génèrent des messages d’urgence pour les organisations. La vitesse à laquelle ces messages sont générés à la suite des alertes en temps réel dépend de la technologie de l’information utilisée (le temps qui s’écoule entre la détection de l’événement et de l’alerte est inférieur à quelques secondes).
  • Contrôles et activités connexes : Aucun.
• (03) Intervention en cas d’échec du processus de journalisation des données de vérification : Seuils de volume de trafic configurables
  • Appliquer des seuils de volume de trafic configurables aux communications réseau, qui représentent les limites de la capacité de vérification et [Sélection (un choix) : rejette; retarde] tout trafic réseau supérieur à ces seuils.
  • Discussion : Les organisations peuvent rejeter ou retarder le traitement du trafic des communications réseau si l’on juge que l’information de journalisation des données de vérification concernant ce trafic dépasse la capacité de stockage de la fonction de journalisation des données de vérification. Le choix de rejeter ou de retarder le trafic dépend des seuils de volume de trafic établis par l’organisation, qui peuvent être adaptés en fonction des changements apportés à la capacité de stockage des journaux de vérification.
  • Contrôles et activités connexes : Aucun.
• (04) Intervention en cas d’échec du processus de journalisation des données de vérification : Interruption en cas d’échec
  • Évoquer une [Sélection (un choix) : interruption complète du système; interruption partielle du système; détérioration des opérations en limitant les fonctions associées à la mission ou aux activités] en cas de [Affectation : échecs de la journalisation des données de vérification définis par l’organisation], sauf s’il existe une capacité de journalisation des données de vérification de substitution.
  • Discussion : Les organisations déterminent les types d’échecs de journalisation des données de vérification qui peuvent engendrer automatiquement l’interruption ou la détérioration des opérations du système. Étant donné l’importance de veiller à la continuité de leur mission et de leurs activités, les organisations peuvent déterminer que la nature de l’échec de journalisation des données de vérification n’est pas assez grave pour justifier l’interruption complète du système qui permet de mener les fonctions principales liées à la mission et aux activités de l’organisation. Le cas échéant, l’interruption partielle du système ou la dégradation des opérations réduisant les capacités peuvent constituer des solutions viables.
  • Contrôles et activités connexes : AU-15.
• (05) Intervention en cas d’échec du processus de journalisation des données de vérification : Capacité de journalisation des données de vérification secondaire
  • Prévoir une capacité de journalisation des données de vérification secondaire en vue de parer à l’impossibilité d’avoir recours à la capacité de journalisation des données de vérification principale, et de mettre en œuvre [Affectation : autres fonctions de journalisation des données de vérification définies par l’organisation].
  • Discussion : Une capacité de journalisation des données de vérification secondaire n’est, par définition, qu’une solution de protection à court terme à laquelle l’organisation fait appel jusqu’au rétablissement de la capacité de journalisation des données de vérification principale. À ce titre, l’organisation peut décider de n’offrir qu’un sous-ensemble de la fonction de journalisation des données de vérification principale touchée par cette inexécution.
  • Contrôles et activités connexes : AU-09.

Références

Aucune.

AU-06 Examen, analyse et production de rapports liés aux enregistrements de vérification

Contrôle

1. Examiner et analyser les enregistrements de vérification du système tous les [Affectation : fréquence définie par l’organisation] pour déceler toute indication de [Affectation : activités inappropriées ou inhabituelles définies par l’organisation] et les répercussions potentielles d’activités inappropriées ou inhabituelles
2. Faire rapport des résultats à [Affectation : personnel ou rôles définis par l’organisation]
3. Ajuster le niveau d’examen, d’analyse et de rapports d’enregistrements de vérification dans le système lorsqu’un changement fondé sur des renseignements relatifs au maintien de l’ordre, du renseignement brut ou d’autres sources crédibles d’information est apporté au risque

Discussion

L’examen, l’analyse et les rapports des dossiers vérification portent sur la journalisation en matière de sécurité et de protection de la vie privée de l’information qu’effectuent les organisations, ce qui comprend la journalisation qui découle de la surveillance de l’utilisation d’un compte, de l’accès à distance, de la connectivité sans fil, de la connexion d’appareils mobiles, de paramètres de configuration, de l’inventaire des composants de système, de l’utilisation d’outils de maintenance et de télémaintenance, de l’accès physique, de la température et de l’humidité, de la livraison et du retrait d’équipement, de communications aux frontières du système et de l’utilisation de code mobile et de voix sur protocole Internet (VoIP pour Voice over Internet Protocol).

Les résultats peuvent être communiqués aux entités organisationnelles, comme l’équipe d’intervention en cas d’incident, le service de dépannage et le bureau de la sécurité ou de la protection de la vie privée. Dans la mesure du possible, les renseignements personnels devraient être supprimés des journaux de vérification s’ils ne sont pas nécessaires aux processus de production de rapports. Si les organisations ne sont pas autorisées à examiner et à analyser les enregistrements de vérification ou si elles sont incapables de mener de telles activités, les activités d’examen et d’analyse peuvent être menées par les organisations disposant d’une telle autorité. Il est possible d’ajuster la fréquence, la portée ou la profondeur de l’examen, de l’analyse ou des rapports de vérification des dossiers pour répondre aux besoins organisationnels lorsqu’une nouvelle information est reçue.

Contrôles et activités connexes

AC-02, AC-03, AC-05, AC-06, AC-07, AC-17, AU-07, AU-16, CA-02, CA-07, CM-02, CM-05, CM-06, CM-10, CM-11, IA-02, IA-03, IA-05, IA-08, IR-05, MA-04, MP-04, PE-03, PE-06, RA-05, SA-08, SC-07, SI-03, SI-04 et-07.

Améliorations

• (01) Examen, analyse et production de rapports liés aux enregistrements de vérification : Intégration de processus automatisés
  • Intégrer des processus d’examen, d’analyse et de production de rapports liés aux enregistrements de vérification au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
  • Discussion : Les processus organisationnels qui tirent avantage d’examen, d’analyse et de production de rapports intégrés liés aux enregistrements de vérification incluent l’intervention en cas d’incident, la surveillance continue, la planification d’urgence, l’enquête et l’intervention en cas d’activités suspectes, et les vérifications du Bureau du vérificateur général du Canada.
  • Contrôles et activités connexes : PM-07.
• (02) Examen, analyse et production de rapports liés aux enregistrements de vérification : Alertes de sécurité automatisées
  • Annulé : Intégré au contrôle SI-04.
• (03) Examen, analyse et production de rapports liés aux enregistrements de vérification : Correspondance des référentiels pour les enregistrements de vérification
  • Analyser et mettre en correspondance les enregistrements de vérification provenant de différents référentiels afin d’établir une connaissance de la situation à l’échelle de l’organisation.
  • Discussion : La connaissance globale de la situation de l’organisation comprend la connaissance des trois niveaux de gestion des risques (niveau de l’organisation, niveau de la mission et processus opérationnel ainsi que le niveau du système d’information) et aide avoir une connaissance interorganisationnelle.
  • Contrôles et activités connexes : AU-12 et IR-04.
• (04) Examen, analyse et production de rapports liés aux enregistrements de vérification : Analyses et examens centralisés
  • Fournir et mettre en œuvre la capacité de centraliser les examens et les analyses des enregistrements de vérification provenant de plusieurs composants du système.
  • Discussion : On compte parmi les mécanismes automatisés liés aux examens et aux analyses centralisés les produits de gestion des informations et des événements de sécurité (GIES).
  • Contrôles et activités connexes : AU-02 et AU-12.
• (05) Examen, analyse et production de rapports liés aux enregistrements de vérification : Analyse intégrée des enregistrements de vérification
  • Intégrer l’analyse des enregistrements de vérification et l’analyse de [Sélection (un choix ou plus) : l’information liée au balayage des vulnérabilités; les données de rendement; l’information sur la surveillance du système d’information; [Affectation : données ou information recueillies par d’autres sources définies par l’organisation]] pour accroître sa capacité de détecter les activités inappropriées ou inhabituelles.
  • Discussion : L’analyse intégrée des enregistrements de vérification n’est pas nécessaire pour le balayage des vulnérabilités, la génération de données de rendement et la surveillance du système. L’analyse intégrée nécessite plutôt que l’analyse d’information générée par balayage, surveillance ou autres activités de collecte de données soit intégrée à l’analyse de l’information d’enregistrement de vérification. Les outils de GIES peuvent faciliter le regroupement et la consolidation des enregistrements de vérification produits par les nombreux composants du système, de même que leur analyse et leur mise en corrélation.
    L’utilisation de scripts normalisés d’analyse des enregistrements de vérification développés par les organisations (complétés par des scripts localisés, au besoin) offre une approche plus rentable de l’analyse de l’information liée aux enregistrements de vérification recueillie. La corrélation entre l’information contenue dans les enregistrements de vérification et celle produite par le balayage des vulnérabilités est importante, car elle permet d’établir la justesse des balayages de vulnérabilités du système et d’établir des liens entre les événements de détection d’attaques et les résultats des balayages.
    Les liens avec les données de rendement peuvent permettre de détecter des attaques par déni de service ou d’autres types d’attaques qui entraînent l’utilisation non autorisée de ressources. Les associations avec l’information sur la surveillance du système peuvent contribuer à détecter des attaques et à établir un lien accru entre l’information de vérification et les situations opérationnelles.
  • Contrôles et activités connexes : AU-12 et IR-04.
• (06) Examen, analyse et production de rapports liés aux enregistrements de vérification : Corrélation avec la surveillance physique
  • Mettre en corrélation l’information des enregistrements de vérification avec celle obtenue lors de la surveillance de l’accès physique pour accroître la capacité d’identification des activités suspectes, inappropriées, inhabituelles ou malveillantes.
  • Discussion : En mettant en corrélation l’information des enregistrements de vérification liée à la surveillance physique et les enregistrements de vérification des systèmes, les organisations peuvent détecter des comportements suspects ou des signes associés à ce type de comportement. Par exemple, la corrélation entre l’identité d’un individu qui permet l’accès logique à certains systèmes et l’information liée à la sécurité physique supplémentaire qui révèle la présence de l’individu sur place lorsque l’accès logique a eu lieu peut s’avérer utile dans le cadre d’enquêtes.
  • Contrôles et activités connexes : Aucun.
• (07) Examen, analyse et production de rapports liés aux enregistrements de vérification : Opérations autorisées
  • Préciser les opérations qui sont autorisées concernant chaque [Sélection (un choix ou plus) : processus de système; rôle; utilisateur] associé à l’examen, à l’analyse et aux rapports de l’information de vérification.
  • Discussion : Les organisations précisent les opérations autorisées concernant les processus, les rôles et les utilisateurs du système en ce qui a trait à l’examen, à l’analyse et aux rapports des enregistrements de vérification en recourant à des activités de gestion des comptes du système. Il s’agit d’une façon d’appliquer le principe des droits d’accès minimaux. Le système veille au respect des opérations autorisées, dont la lecture, l’écriture, l’exécution, l’annexion et la suppression.
  • Contrôles et activités connexes : Aucun.
• (08) Examen, analyse et production de rapports liés aux enregistrements de vérification : Analyse plein texte des commandes privilégiées
  • Mener une analyse plein texte des commandes privilégiées enregistrées dans un composant de système ou un sous-système physiquement distinct du système ou dans un autre système conçu pour mener cette analyse.
  • Discussion : Une analyse plein texte de commandes privilégiées exige l’utilisation d’un environnement distinct pour analyser l’information enregistrée de vérification concernant les utilisateurs qui détiennent des droits d’accès privilégiés afin de ne pas compromettre l’information dans le système dans lequel les utilisatrices et utilisateurs ont des privilèges élevés, dont la capacité d’exécuter des commandes privilégiées. On entend par analyse plein texte l’analyse qui prend en compte le texte intégral associé aux commandes privilégiées (c’est-à-dire, les commandes et les paramètres) contrairement aux analyses qui ne tiennent compte que du nom de la commande. L’analyse plein texte comprend le recours au filtrage et à l’heuristique.
  • Contrôles et activités connexes : AU-03, AU-09, AU-11 et AU-12.
• (09) Examen, analyse et production de rapports liés aux enregistrements de vérification : Corrélation avec l’information provenant de sources non techniques
  • Mettre en corrélation l’information provenant de sources non techniques et l’information d’enregistrement de vérification afin d’acquérir une connaissance globale de sa situation.
  • Discussion : On compte parmi les sources non techniques les enregistrements qui répertorient les manquements aux politiques organisationnelles liés au harcèlement sexuel et à l’utilisation inappropriée de biens d’information. Grâce à ce type d’information, les efforts d’analyse sont ciblés et permettent de détecter les possibles activités malveillantes provenant de l’interne. Les organisations limitent l’accès disponible de sources non techniques en raison de sa nature délicate. Un accès limité permet de minimiser les risques de divulgation par inadvertance de renseignements personnels à des personnes qui ne répondent pas au besoin de connaître. On établit généralement des liens entre l’information provenant de sources non techniques et l’information d’enregistrement de vérification uniquement lorsque l’on soupçonne l’implication d’un individu dans un incident. Les organisations sollicitent des conseils juridiques avant de prendre des mesures.
  • Discussion au sein du GC : Des liens entre l’information provenant de sources non techniques et l’information d’enregistrement de vérification peuvent être considérés comme une correspondance de données, comme il est défini dans la Politique sur la protection de la vie privée du SCT.
  • Contrôles et activités connexes : PM-12.
• (10) Examen, analyse et production de rapports liés aux enregistrements de vérification : Ajustement du niveau d’examen
  • Annulé : Intégré au contrôle AU-06.

Références

• SCT, Politique sur la sécurité du gouvernement
• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Politique sur la protection de la vie privée

AU-07 Réduction des enregistrements de vérification et génération de rapports

Contrôle

Fournir et mettre en œuvre une capacité de réduction des enregistrements de vérification et de génération de rapports qui

1. prend en charge les exigences en matière d’examen, d’analyse et de production de rapports liés aux enregistrements de vérification sur demande et les enquêtes après coup sur les incidents
2. ne change pas le contenu original ni le classement chronologique des enregistrements de vérification

Discussion

La réduction des enregistrements de vérification est un processus qui transforme l’information des journaux de vérification recueillie et les condense afin d’en accroître la valeur pour les analystes. Les capacités de réduction des enregistrements de vérification et de génération de rapports ne proviennent pas toujours du même système ou des mêmes entités organisationnelles qui mènent les activités de journalisation des données de vérification. Les capacités de réduction des enregistrements de vérification peuvent inclure des techniques d’exploration de données modernes comportant des filtres de données évolués afin de détecter les comportements anormaux dans les enregistrements de vérification. Les capacités de génération de rapports fournies par le système peuvent générer des rapports personnalisables. Le classement chronologique des dossiers de vérification peut représenter un enjeu si la granularité de l’estampille temporelle de l’enregistrement est insuffisante.

Contrôles et activités connexes

AC-02, AU-02, AU-03, AU-04, AU-05, AU-06, AU-12, AU-16, CM-05, IA-05, IR-04, PM-12 et SI-04.

Améliorations

• (01) Réduction des enregistrements de vérification et génération de rapports : Traitement automatique
  • Permettre et mettre en œuvre le tri et la recherche des enregistrements de vérification liés à des événements d’intérêt selon le contenu suivant : [Affectation : champs d’enregistrements de vérification définis par l’organisation].
  • Discussion : Il est possible de déterminer les événements d’intérêt selon le contenu des enregistrements de vérification, notamment les ressources système impliquées, les objets d’information auxquels on a accédé, l’identité des individus, les types d’événements, les emplacements, les heures et les dates des événements ou les adresses IP concernées. Les organisations peuvent définir les critères d’événements de vérification selon le degré de granularité requis, comme les emplacements choisis par l’emplacement du réseau général ou par un composant du système précis. Si des renseignements personnels sont saisis dans un rapport de journaux de vérification et que ceux-ci ne sont pas nécessaires à la résolution de l’incident, ces renseignements personnels devraient être supprimés du rapport ou masqués de manière appropriée avant que l’enregistrement de vérification soit mis en circulation.
  • Contrôles et activités connexes : Aucun.
• (02) Réduction des enregistrements de vérification et génération de rapports | Triage et recherche automatisés
  • Annulé : Intégré au contrôle AU-07(01).

Références

Aucune.

AU-08 Horodatage du contrôle

Contrôle

1. Utiliser les horloges internes du système pour horodater les enregistrements de vérification
2. Consigner l’horodatage des enregistrements de vérification correspondant à [Affectation : granularité de mesure du temps définie par l’organisation] et utilisant le temps universel coordonné (UTC), un décalage fixe par rapport à l’UTC correspondant à l’heure locale, ou encore en incluant le décalage local dans les données d’horodatage

Discussion

L’horodatage généré par le système comprend la date et l’heure. L’heure est souvent exprimée selon l’UTC ou selon l’heure locale qui est un décalage par rapport à l’UTC. La granularité des mesures temporelle fait référence au degré de synchronisation entre les horloges du système et des horloges de référence (par exemple, la synchronisation des horloges avec une précision à des centaines ou à des dizaines de millisecondes). Les organisations peuvent définir des granularités de temps différentes pour les divers composants de système. Le service lié au temps peut s’avérer essentiel dans le cas d’autres capacités de sécurité comme le contrôle d’accès ainsi que l’identification et l’authentification, selon la nature des mécanismes employés pour soutenir ces capacités.

Contrôles et activités connexes

AU-03, AU-12, AU-14 et SC-45.

Améliorations

• (01) Horodatage : Synchronisé avec source de temps qui fait autorité
  • Annulé : Transféré sous le contrôle SC-45(01).
• (02) Horodatage : Deuxième source de temps qui fait autorité
  • Annulé : Transféré sous le contrôle SC-45(02).

Références

Aucune.

AU-09 Protection de l’information de vérification

Contrôle

1. Protéger l’information de vérification et les outils de journalisation des données de vérification contre les accès non autorisés, les modifications et les suppressions
2. Alerter [Affectation : personnel ou rôles définis par l’organisation] advenant la détection d’une modification ou d’une suppression non autorisée de l’information de vérification, ou d’un accès non autorisé à celle-ci

Discussion

L’information de vérification comprend tous les renseignements nécessaires pour mener à bien la vérification des activités du système, notamment les dossiers de vérification, les paramètres de journalisation des données de vérification, les rapports de vérification et les renseignements personnels. Les outils de journalisation des données de vérification sont des programmes et des dispositifs servant à mener les activités de vérification et de journalisation du système. La protection de l’information de vérification se concentre sur la protection physique et empêche des personnes non autorisées d’accéder à des outils de journalisation des données de vérification et de les exécuter. Les contrôles de protection des supports ainsi que les contrôles de protection physiques et environnementaux protègent physiquement l’information de vérification.

Contrôles et activités connexes

AC-03, AC-06, AU-06, AU-11, AU-14, AU-15, MP-02, MP-04, PE-02, PE-03, PE-06, SA-08, SC-08 et SI-04.

Améliorations

• (01) Protection de l’information de vérification : Supports matériels non réinscriptibles
  • Consigner les enregistrements de vérification sur des supports matériels non réinscriptibles.
  • Discussion : La consignation des enregistrements de vérification sur des supports matériels non réinscriptibles s’applique aux pistes de vérification de première génération (c’est-à-dire les enregistrements de vérification qui constituent l’information qu’il faut utiliser à des fins de détection, d’analyse et d’élaboration de rapports) ainsi qu’aux pistes de vérification sauvegardées. La consignation des enregistrements de vérification sur des supports matériels non réinscriptibles ne s’applique pas aux enregistrements de vérification de première génération avant leur consignation dans une piste de vérification. Les supports matériels non réinscriptibles comprennent les lecteurs de disques compacts inscriptibles (CD-R pour Compact Disc-Recordable), de disques Blu-Ray (BD-R) et de disques numériques universels enregistrables (DVD-R pour Digital Versatile Disc-Recordable). À l’inverse, le recours à des supports de protection d’écriture commutables, comme des cartouches de bande magnétique ou des bus série universel (USB pour Universal Serial Bus), des disques compacts réinscriptibles (CD-RW pour Compact Disc Re-Writeable) et des supports DVD-RW (Digital Versatile Disc-Read Write) entraîne l’utilisation de supports de protection d’écriture, pas l’utilisation de supports non réinscriptibles.
  • Contrôles et activités connexes : AU-04 et AU-05.
• (02) Protection de l’information de vérification : Stockage sur des systèmes ou des composants physiques séparés
  • Stocker les enregistrements de vérification [Affectation : fréquence définie par l’organisation] dans un référentiel faisant partie d’un système ou d’un composant de système qui est physiquement différent du système ou du composant faisant l’objet de la vérification.
  • Discussion : Stocker des enregistrements de vérification dans un référentiel distinct du système vérifié ou du composant de système permet de faire en sorte qu’une compromission du système faisant l’objet de la vérification ne se solde pas également par une compromission des enregistrements de vérification. Stocker des enregistrements de vérification sur des systèmes physiques ou des composants différents permet également d’assurer la confidentialité et l’intégrité des enregistrements de vérification et facilite la gestion de ces enregistrements dans le cadre d’une activité à l’échelle de l’organisation. Le stockage des enregistrements de vérification sur des systèmes ou des composants différents s’applique à la génération initiale ainsi qu’au stockage de secours ou à long terme des enregistrements de vérification.
  • Contrôles et activités connexes : AU-04 et AU-05.
• (03) Protection de l’information de vérification : Protection cryptographique
  • Utiliser des mécanismes cryptographiques pour protéger l’intégrité de l’information de vérification et des outils de vérification.
  • Discussion : Les mécanismes cryptographiques de protection de l’intégrité de l’information de vérification comprennent des fonctions de hachage signées faisant appel à la cryptographie asymétrique. Cela permet de diffuser la clé publique pour vérifier l’information de hachage tout en préservant la confidentialité de la clé secrète ayant servi à générer l’algorithme de hachage.
  • Contrôles et activités connexes : AU-10, SC-12 et SC-13.
• (04) Protection de l’information de vérification : Accès par un sous-ensemble d’utilisateurs privilégiés
  • Autoriser l’accès pour la gestion de la fonctionnalité de journalisation des données de vérification uniquement à [Affectation : sous-ensemble d’utilisatrices et utilisateurs ou de rôles privilégiés définis par l’organisation].
  • Discussion : Les personnes ou les rôles dotés d’un accès privilégié à un système et qui sont également l’objet d’une vérification par ce système peuvent affecter la fiabilité de l’information de vérification en bloquant les activités de vérification ou en modifiant les enregistrements de vérification. Le fait d’exiger un accès privilégié mieux défini en ce qui concerne les privilèges associés aux vérifications et les autres privilèges limite le nombre d’utilisatrices et utilisateurs ou de rôles qui détiennent les privilèges associés aux vérifications.
  • Contrôles et activités connexes : AC-05.
• (05) Protection de l’information de vérification : Double autorisation
  • Appliquer le principe de double autorisation pour [Sélection (un choix ou plus) : déplacement; suppression] de [Affectation : information de vérification définie par l’organisation].
  • Discussion : Les organisations peuvent choisir différentes options pour les divers types d’information de vérification. Les mécanismes de double autorisation, également appelée contrôle par deux personnes, exigent l’approbation de deux personnes autorisées pour exécuter les fonctions de vérification. Pour réduire le risque de collusion, les organisations considèrent la rotation des tâches à double autorisation avec d’autres particuliers. Les organisations n’ont pas besoin de mécanismes de double autorisation lorsqu’il faut agir immédiatement pour assurer la sécurité publique et environnementale.
  • Contrôles et activités connexes : AC-03.
• (06) Protection de l’information de vérification : Accès en lecture seule
  • Autoriser l’accès en lecture seule pour l’information de vérification à [Affectation : sous-ensemble d’utilisatrices et utilisateurs ou de rôles privilégiés définis par l’organisation].
  • Discussion : En restreignant les droits d’accès aux utilisatrices et utilisateurs privilégiés pour qu’ils n’aient qu’un accès « lecture seule », on limite les possibles dommages qui pourraient être causés par ces utilisatrices et utilisateurs ou rôles, comme supprimer les enregistrements de vérification pour dissimuler des activités malveillantes.
  • Contrôles et activités connexes : Aucun.
• (07) Protection de l’information de vérification : Stockage sur composant avec un système d’exploitation différent
  • Stocker de l’information de vérification sur un composant exécutant un système d’exploitation différent du système ou du composant faisant l’objet de la vérification.
  • Discussion : Stocker de l’information de vérification sur un composant de système exécutant un système d’exploitation différent réduit le risque qu’une vulnérabilité propre au système puisse entraîner une compromission des enregistrements de vérification.
  • Contrôles et activités connexes : AU-04, AU-05, AU-11 et SC-29.

Références

• Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111),
• NIST FIPS 140-3 Security Requirements for Cryptographic Modules (en anglais seulement)
• NIST FIPS 180-4 Secure Hash Standard (SHS) (en anglais seulement)
• NIST FIPS 202 SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions (en anglais seulement)
• Vérification de la sécurité des réseaux (ITSAP.80.086)

AU-10 Non-répudiation

Contrôle

Fournir une preuve irréfutable qu’une personne (ou un processus exécuté en son nom) a effectué [Affectation : opérations de non-répudiation définies par l’organisation].

Discussion

La création d’information, l’envoi et la réception de messages et l’approbation d’information sont des exemples d’opérations de non-répudiation effectuées par des personnes. La non-répudiation protège contre toute déclaration d’une auteure ou un auteur qui nie être le créateur de certains documents, d’une émettrice ou un émetteur qui nie avoir transmis un message, d’une ou un destinataire qui nie avoir reçu un message et d’une ou un signataire qui nie avoir signé un document. Les services de non-répudiation peuvent servir à déterminer si l’information provient d’une personne en particulier, si une personne a pris des mesures particulières (par exemple, envoi d’un courriel, signature d’un contrat, approbation d’une demande d’approvisionnement) ou si elle reçoit certains renseignements. Les organisations obtiennent des services de non-répudiation grâce à plusieurs techniques ou mécanismes, notamment les signatures numériques, reçus numériques de message.

Contrôles et activités connexes

AU-09, PM-12, SA-08, SC-08, SC-12, SC-13, SC-16, SC-17 et SC-23.

Améliorations

• (01) Non-répudiation : Association avec les identités
  • 1. Associer l’identité de l’auteure ou auteur d’une information avec l’information de [Affectation : robustesse du lien définie par l’organisation]
    2. Permettre aux personnes autorisées de déterminer l’identité de l’auteure ou auteur de l’information
  • Discussion : Associer les identités à l’information permet de satisfaire aux exigences de vérification selon lesquelles le personnel de l’organisation doit pouvoir identifier l’auteure ou auteur d’une information particulière dans l’éventualité d’un transfert d’information. Les organisations déterminent et approuvent la robustesse du lien entre l’auteure ou auteur de l’information et l’information en fonction de la catégorie de sécurité de l’information et des facteurs de risque pertinents.
  • Contrôles et activités connexes : AC-04 et AC-16.
• (02) Non-répudiation : Validité du lien avec l’identité de l’auteure ou auteur de l’information
  • 1. Valider le lien entre l’identité de l’auteure ou auteur de l’information et l’information [Affectation : fréquence définie par l’organisation]
    2. Effectuer [Affectation : opérations définies par l’organisation] en cas d’erreur de validation
  • Discussion : Valider le lien entre l’identité de l’auteure ou auteur de l’information et l’information permet de prévenir toute modification de l’information entre sa production et son examen. La validation des liens peut être effectuée, par exemple, au moyen des totaux de contrôle cryptographiques. Les organisations déterminent si les validations découlent des demandes d’utilisatrices et utilisateurs ou si elles sont générées automatiquement.
  • Contrôles et activités connexes : AC-03, AC-04 et AC-16.
• (03) Non-répudiation : Chaîne de possession
  • Conserver, dans la chaîne de possession établie, l’identité et les justificatifs d’identité de l’examinatrice ou examinateur ou de l’émettrice ou émetteur pour l’information examinée ou diffusée.
  • Discussion : La chaîne de possession est un processus qui permet de faire le suivi des transferts de l’information lors de sa collecte, de sa protection et de son cycle de vie en consignant le nom de chaque personne l’ayant traité, la date et l’heure de la collecte et du transfert de la preuve ainsi que l’objectif de son transfert.
    Si l’examen est effectué par une personne ou si la fonction d’examen est automatisée, mais distincte de la fonction de diffusion ou de transfert, le système associe à l’information et à l’étiquette de l’information l’identité de l’examinatrice ou examinateur de l’information à diffuser. Dans le cas d’un examen effectué par une personne, conserver les justificatifs d’identité des examinatrices et examinateurs ou des émettrices et émetteurs permet à l’organisation d’identifier la personne qui a examiné et diffusé l’information. Dans le cas d’un examen automatisé, cela permet d’assurer que seules des fonctions d’examen approuvées ont été utilisées.
  • Contrôles et activités connexes : AC-04 et AC-16.
• (04) Non-répudiation : Validité du lien avec l’identité de l’examinatrice ou examinateur de l’information
  • 1. Valider le lien entre l’identité de l’examinatrice ou examinateur et l’information au point de transfert ou de diffusion, avant que l’information ne soit transférée ou diffusée [Affectation : d’un domaine de sécurité à un autre définis par l’organisation]
    2. Effectuer [Affectation : opérations définies par l’organisation] en cas d’erreur de validation
  • Discussion : Valider le lien entre l’identité de l’examinatrice ou examinateur de l’information et l’information aux points de transfert ou de diffusion permet de prévenir toute modification non autorisée de l’information entre son examen et son transfert ou sa diffusion. La validation des liens peut être effectuée au moyen de totaux de contrôle cryptographiques. Les organisations déterminent si les validations découlent des demandes d’utilisatrices et utilisateurs ou si elles sont générées automatiquement.
  • Contrôles et activités connexes : AC-04 et AC-16.
• (05) Non-répudiation : Signatures numériques
  • Annulé : Intégré au contrôle SI-07.

Références

• Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)
• Directive de mise en œuvre : protection du domaine de courrier (ITSP.40.065)
• SCT, Directive sur la gestion de l’identité – Annexe A :Norme sur l’assurance de l’identité et des justificatifs
• SCT, Orientation du gouvernement du Canada sur l’utilisation des signatures électroniques
• NIST FIPS 140-3, Security Requirements for Cryptographic Modules (en anglais seulement)
• NIST FIPS 180-4, Secure Hash Standard (SHS) (en anglais seulement)
• NIST FIPS 186-5, Digital Signature Standard (DSS) (en anglais seulement)
• NIST FIPS 202 SHA-3, Standard:Permutation-Based Hash and Extendable-Output Functions (en anglais seulement)

AU-11 Conservation des enregistrements de vérification

Contrôle

Conserver les enregistrements de vérification pendant [Affectation : délais définis par l’organisation et conformément à la stratégie de conservation des dossiers] pour appuyer les enquêtes après coup sur les incidents et satisfaire aux exigences réglementaires et organisationnelles de conservation de l’information.

Discussion

Les organisations conservent les enregistrements de vérification jusqu’à ce qu’il soit établi qu’ils ne sont plus requis aux fins administratives, juridiques, de vérification, opérationnelles ou autres. Les organisations créent des catégories pour les enregistrements de vérification en fonction de ces types de mesures de même que des processus d’intervention pour chacun des types de mesure.

Discussion au sein du GC

Cela comprend la période de conservation et la disponibilité des dossiers de vérification relatifs aux demandes d’information du GC en vertu de la Loi sur l’accès à l’information, aux demandes de renseignements personnels en vertu de la LPRP, à des assignations à témoigner et à des mesures d’application de la loi. Si les dossiers de vérification comprennent des renseignements personnels ayant été utilisés pour prendre des décisions dans le cadre d’une enquête, ils doivent être conservés conformément aux Règlements sur la protection des renseignements personnels. Si les dossiers de vérification contiennent des renseignements personnels qui ne sont pas requis pour le processus de vérification, les renseignements personnels doivent être retirés ou caviardés avant leur conservation. Si les dossiers de vérification se fondent sur des renseignements personnels et si ces renseignements sont utilisés pour prendre une décision administrative, la période de conservation minimale standard de deux ans suivant la date à laquelle les renseignements personnels ont été utilisés le plus récemment à des fins administratives, à moins que l’élimination soit explicitement autorisée par la personne concernée. Les normes relatives à la conservation de renseignements personnels associés à ce processus devraient être mentionnées dans le FRP ordinaire Vérification interne. Bibliothèque et Archives Canada établit la politique fédérale sur la conservation de documents.

Contrôles et activités connexes

AU-02, AU-04, AU-05, AU-06, AU-09, AU-14, MP-06, RA-05 et SI-12.

Améliorations

• (01) Conservation des enregistrements de vérification : Capacité de récupération à long terme
  • Recourir à [Affectation : mesures définies par l’organisation] pour s’assurer que les enregistrements de vérification à long terme que génère le système sont récupérables.
  • Discussion : Les organisations doivent consulter les enregistrements de vérification nécessitant un stockage à long terme (en fonction des années). On compte parmi les mesures pour faciliter la récupération des enregistrements de vérification : la conversion des enregistrements dans de nouveaux formats, la conservation de l’équipement pouvant lire les enregistrements ainsi que la conservation de documents nécessaires pour aider le personnel à comprendre comment interpréter les enregistrements.
  • Contrôles et activités connexes : Aucun.

Références

• SCT, Politique sur les services et le numérique
• SCT, Directive sur les services et le numérique
• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• SCT, Politique sur l’accès à l’information
• SCT, Directive sur les demandes d’accès à l’information
• SCT, Directive sur les demandes de renseignements personnels et de correction des renseignements personnels

AU-12 Génération d’enregistrements de vérification

Contrôle

1. Fournir une capacité de génération d’enregistrements de vérification pour les types d’événements que le système est en mesure de vérifier conformément au contrôle AU-02A sur [Affectation : composants du système définis par l’organisation]
2. Permettre à [Affectation : personnel ou rôles définis par l’organisation] de sélectionner les types d’événements qui doivent être journalisés par des composants de système particuliers
3. Générer des enregistrements de vérification pour les types d’événements définis au contrôle AU-02C dont le contenu des enregistrements de vérification est défini au contrôle AU-03

Discussion

Les enregistrements de vérification peuvent provenir de nombreux différents composants de système. Les types d’événements indiqués au contrôle AU-02D portent sur les journaux de vérification qui doivent être générés et contiennent un sous-ensemble de tous les types d’événements pour lesquels le système peut générer des enregistrements de vérification. Si les enregistrements générés pour le processus de vérification contiennent des renseignements personnels qui ne sont pas requis pour le processus de vérification, les renseignements personnels doivent être retirés ou caviardés.

Contrôles et activités connexes

AC-06, AC-17, AU-02, AU-03, AU-04, AU-05, AU-06, AU-07, AU-14, CM-05, MA-04, MP-04, PM-12, SA-08, SC-18, SI-03, SI-04, SI-07 et SI-10.

Améliorations

• (01) Génération d’enregistrements de vérification : Piste de vérification à l’échelle du système et corrélée dans le temps
  • Compiler les enregistrements de vérification provenant de [Affectation : composants du système définis par l’organisation] en une piste de vérification (logique ou physique) globale qui est corrélée dans le temps, en-dedans de [Affectation : niveau de tolérance défini par l’organisation pour les relations entre les estampilles temporelles des enregistrements individuels de la piste de vérification].
  • Discussion : Les pistes de vérification sont corrélées dans le temps lorsque les estampilles temporelles des enregistrements de vérification individuels peuvent être associées de manière fiable aux estampilles temporelles d’autres enregistrements pour permettre un classement chronologique des enregistrements à l’intérieur des limites de tolérance définies par l’organisation.
  • Contrôles et activités connexes : AU-08 et SC-45.
• (02) Génération d’enregistrements de vérification : Formats normalisés
  • Produire une piste de vérification (logique ou physique) globale composée d’enregistrements de vérification dans un format normalisé.
  • Discussion : Les enregistrements de vérification qui suivent un format commun facilitent l’interopérabilité et l’échange de l’information entre des dispositifs et des systèmes. Favoriser l’interopérabilité et l’échange d’information permet la production d’information sur les événements plus faciles à analyser et à mettre en corrélation. Dans le cas des mécanismes de journalisation qui ne sont pas conformes aux formats normalisés, les systèmes peuvent convertir chacun des enregistrements de vérification en un format normalisé au moment de compiler les pistes de vérification globales.
  • Contrôles et activités connexes : Aucun.
• (03) Génération d’enregistrements de vérification : Modifications par des personnes autorisées
  • Permettre et mettre en œuvre à [Affectation : liste des personnes ou des rôles définie par l’organisation] de modifier la journalisation à effectuer sur [Affectation : composants de système définis par l’organisation] en fonction de [Affectation : critères d’événement sélectionnables définis par l’organisation] dans un délai de [Affectation : délai défini par l’organisation].
  • Discussion : Autoriser des personnes autorisées à apporter des modifications à la journalisation du système permet aux organisations d’accroître ou de limiter la journalisation au besoin pour répondre aux exigences organisationnelles. Il est possible d’accroître (de manière temporaire ou permanente) les activités de journalisation qui sont limitées pour préserver les ressources du système afin de répondre à certaines situations de menace. Les activités de journalisation peuvent aussi au contraire être limitées à un ensemble précis de types d’événements afin de faciliter la réduction des vérifications ainsi que l’analyse et les rapports de vérification. Les organisations peuvent déterminer la durée pendant laquelle les opérations de journalisation sont modifiées (par exemple, en temps quasi réel, en quelques minutes ou en quelques heures).
  • Contrôles et activités connexes : AC-03.
• (04) Génération d’enregistrements de vérification : Vérifications des paramètres d’interrogation des renseignements personnels
  • Fournir et mettre en œuvre la capacité de vérifier les paramètres des événements d’interrogation d’utilisatrices et utilisateurs pour des jeux de données comportant des renseignements personnels.
  • Discussion : Les paramètres d’interrogation sont des critères explicites qu’une personne ou un système automatisé soumet à un système pour récupérer des données. La vérification des paramètres d’interrogation de jeux de données qui comportent des renseignements personnels permet à une organisation d’effectuer un meilleur suivi et de mieux comprendre l’accès, l’usage ou le partage de renseignements personnels par le personnel autorisé.
  • Discussion au sein du GC : L’utilisation de renseignements personnels aux fins de vérifications est autorisée sans le consentement de la personne en vertu de l’alinéa 8(2)(h) de la LPRP.
  • Contrôles et activités connexes : Aucun.

Références

• SCT, Directive sur les pratiques relatives à la protection de la vie privée
• SCT, Politique sur la protection de la vie privée
• Loi sur la protection des renseignements personnels
• Règlement sur la protection des renseignements personnels (DORS/83-508)
• SCT, Directive sur les services et le numérique – Annexe L : Norme pour la gestion des métadonnées

AU-13 Surveillance de la divulgation d’information

Contrôle

1. Surveiller [Affectation : sites d’information ou sites d’information de source ouverte définis par l’organisation] [Affectation : fréquence définie par l’organisation] pour veiller à ce qu’il n’y ait aucune divulgation non autorisée d’information liée à l’organisation
2. Si une divulgation d’information est découverte
   1. Informer [Affectation : personnel ou rôles définis par l’organisation]
   2. Prendre les mesures supplémentaires suivantes : [Affectation : mesures supplémentaires définies par l’organisation]

Discussion

La divulgation non autorisée d’information est une forme de fuite de données.

Discussion au sein du GC

Les ministères et organismes fédéraux peuvent procéder à un examen proactif de l’information de source ouverte pour relever l’information classifiée liée à la sécurité nationale. Ce processus peut révéler ou nécessiter la collecte de renseignements personnels et exiger une autorité légitime. Dans la mesure du possible, les identifiants personnels devraient être caviardés, supprimés ou masqués, et ne pas se trouver dans les fonds documentaires de l’organisation. L’information peut être obtenue sur des sites Internet comme les sites de réseaux sociaux, ainsi que les plateformes et référentiels de partage de code.

Contrôles et activités connexes

AC-22, PE-03, PM-12, RA-05, SC-07 et SI-20.

Améliorations

• (01) Surveillance de la divulgation d’information : Utilisation d’outils automatisés
  • Surveiller des sites d’information de source ouverte ou des sites d’information au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
  • Discussion : Des scripts automatisés visant à surveiller les nouveaux messages affichés sur des sites Web ainsi que des services commerciaux qui envoient des avis et des alertes aux organisations représentent des exemples de mécanismes automatisés.
  • Discussion au sein du GC : Les organisations fédérales doivent s’assurer que ces organisations commerciales sont conformes aux lois compétentes sur le respect de la vie privée relatives à la collecte de renseignements personnels.
  • Contrôles et activités connexes : Aucun.
• (02) Surveillance de la divulgation d’information : Examen des sites surveillés
  • Examiner la liste des sites d’information de source ouverte faisant l’objet d’une surveillance [Affectation : fréquence définie par l’organisation].
  • Discussion : Passer en revue sur une base régulière la liste à jour de sites d’information de source ouverte faisant l’objet d’une surveillance aide à s’assurer que les sites sélectionnés restent pertinents. Cet examen permet également d’ajouter de nouveaux sites d’information de source ouverte qui pourraient fournir une preuve de divulgation non autorisée d’information liée à l’organisation. La liste de sites surveillés peut être guidée et informée par du renseignement sur les menaces d’autres sources crédibles d’information.
  • Contrôles et activités connexes : Aucun.
• (03) Surveillance de la divulgation d’information : Duplication non autorisée d’information
  • Employer des techniques, des processus et des outils de découverte pour déterminer si des entités externes reproduisent l’information de l’organisation de façon non autorisée.
  • Discussion : L’utilisation ou la duplication non autorisée de l’information de l’organisation par des entités externes peut avoir des effets néfastes sur les opérations et les biens de l’organisation, en causant notamment une atteinte à la réputation. Une telle activité peut comprendre la duplication d’un site Web organisationnel par une ou un adversaire ou un auteur de menace cherchant à usurper l’identité de l’organisation d’hébergement Web. Les outils, techniques et processus de découverte utilisés pour déterminer si des entités externes reproduisent l’information de l’organisation de façon non autorisée comprennent le balayage des sites Web externes, la surveillance des médias sociaux et la formation du personnel pour repérer l’utilisation non autorisée de l’information de l’organisation.
  • Contrôles et activités connexes : Aucun.

Références

• SCT, Avis de mise en œuvre de la protection des renseignements personnels 2023-03 : Orientation relative à la collecte, à l’utilisation, à la conservation et à la divulgation de renseignements personnels accessibles au public en ligne

AU-14 Vérification des sessions

Contrôle

1. Permettre et mettre en œuvre la capacité pour les [Affectation : utilisatrices et utilisateurs ou rôles définis par l’organisation] de [Sélection (un choix ou plus) : enregistrer; afficher; écouter; journaliser] le contenu d’une session d’utilisatrice ou utilisateur pour des [Affectation : circonstances définies par l’organisation]
2. Les activités de vérification des sessions sont mises au point, intégrées et utilisées après consultation avec des conseillères et conseillers juridiques, conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables

Discussion

Les vérifications de session peuvent comprendre la surveillance des frappes et des sites Web consultés de même que l’enregistrement de l’information ou des transferts de dossiers. La capacité de vérification des sessions est mise en œuvre avec la journalisation d’événements et peut impliquer l’application d’une technologie spécialisée de saisie des sessions. Les organisations réfléchissent à la façon dont la vérification peut révéler de l’information au sujet des personnes, ce qui donnerait lieu à des risques d’atteinte à la vie privée, et comment atténuer de tels risques. Étant donné que la vérification des sessions peut avoir une incidence sur le rendement du système et du réseau, les organisations activent la capacité en fonction de situations bien définies (par exemple, l’organisation se méfie d’une personne en particulier). Les organisations consultent une conseillère ou un conseiller juridique et des responsables de la protection de la vie privée pour s’assurer que les obligations juridiques, de protection des renseignements personnels, ou les droits reconnus par la Charte, y compris l’utilisation de renseignements personnels, sont traités de manière adéquate.

Discussion au sein du GC

La collecte de renseignements personnels associés à des vérifications de sessions exige une autorité légitime, conformément à la LPRP.

Contrôles et activités connexes

AC-03, AC-08, AU-02, AU-03, AU-04, AU-05, AU-08, AU-09, AU-11 et AU-12.

Améliorations

• (01) Vérification des sessions : Démarrage du système
  • Lancer la vérification des sessions automatiquement au démarrage du système.
  • Discussion : Le lancement automatique des vérifications de sessions au démarrage aide à s’assurer que l’information saisie sur des personnes données est complète et ne fait pas l’objet d’une compromission par le biais de trafiquage émanant d’auteurs de menace.
  • Contrôles et activités connexes : Aucun.
• (02) Vérification des sessions : Contenu de la saisie et de l’enregistrement
  • Annulé : Intégré au contrôle AU-14.
• (03) Vérification des sessions : Visualisation et écoute à distance
  • Fournir et mettre en œuvre la capacité qui permet aux utilisatrices et utilisateurs autorisés de visualiser ou d’écouter à distance et en temps réel tout le contenu d’une session utilisateur établie.
  • Discussion : Aucune.
  • Contrôles et activités connexes : AC-17.

Références

• SCT, Directive sur les services et le numérique – Annexe C : Procédures obligatoires pour les avis liés à la protection des renseignements personnels et à la surveillance liées à l’utilisation des dispositifs et des réseaux
• Loi sur la protection des renseignements personnels

AU-15 Capacité de journalisation des données de vérification secondaire

Annulé : Transféré sous le contrôle AU-05(05).

AU-16 Journalisation des données de vérification transorganisationnelle

Contrôle

Utiliser [Affectation : méthodes définies par l’organisation] pour coordonner [Affectation : information de contrôle définie par l’organisation] avec d’autres organisations lorsque l’information de contrôle est transmise au-delà des frontières organisationnelles.

Discussion

La capacité de journalisation des données de vérification nécessite une approche transorganisationnelle coordonnée dans la mesure où l’organisation utilise les systèmes ou les services d’organisations externes. Par exemple, le maintien de l’identité des utilisatrices et utilisateurs qui font appel à des services offerts au-delà des frontières de l’organisation peut s’avérer difficile et toute tentative en ce sens risque de donner lieu à des ramifications importantes sur le plan des performances et du respect de la vie privée. C’est pourquoi la journalisation des données de vérification transorganisationnelle ne capture souvent que l’identité des utilisatrices et utilisateurs à l’origine des demandes d’accès au système initial, tandis que les systèmes subséquents enregistrent si ces demandes proviennent de personnes autorisées. Les organisations devraient envisager d’inclure des processus pour la coordination des exigences liées à l’information de vérification et la protection de l’information de vérification dans les ententes d’échange d’information.

Discussion au sein du GC

Les utilisatrices et utilisateurs dont les activités consistent à surveiller les journaux de vérification devraient être mis au courant de l’activité. Par ailleurs, il convient d’accorder une attention particulière à la documentation de l’échange d’information transorganisationnelle dans une entente ou un accord d’échange de renseignements.

Contrôles et activités connexes

AC-08, AC-21(400), AC-21(401), AU-03, AU-06, AU-07, CA-03 et PT-07.

Améliorations

• (01) Journalisation des données de vérification transorganisationnelle : Préservation de l’identité
  • Préserver l’identité des personnes dans des pistes de vérification transorganisationnelles.
  • Discussion : La préservation de l’identité s’applique dans les cas où il est nécessaire de faire le suivi des actions menées par une utilisatrice ou un utilisateur en particulier au-delà des frontières de l’organisation.
  • Contrôles et activités connexes : IA-02, IA-04, IA-05 et IA-08.
• (02) Journalisation des données de vérification transorganisationnelle : Échange d’information de vérification
  • Fournir de l’information de vérification trans-organisationnelle aux [Affectation : organisations définies par l’organisation] en vertu des [Affectation : accords liés à l’échange transorganisationnel définis par l’organisation].
  • Discussion : L’échange d’information de vérification transorganisationnel peut s’avérer essentiel à l’analyse de la vérification effectuée en raison de l’étalement de l’information de vérification. Par exemple, les enregistrements de vérification appartenant à l’une des organisations peuvent ne pas fournir suffisamment d’information pour déterminer si les utilisatrices et utilisateurs d’autres organisations ont employé des ressources informationnelles de façon appropriée ou inappropriée. Dans certains cas, seule l’organisation où travaillent les employées et employés possèdent les connaissances nécessaires pour établir de tels faits, d’où l’importance d’échanger l’information de vérification entre organisations.
  • Contrôles et activités connexes : IR-04 et SI-04.
• (03) Journalisation des données de vérification transorganisationnelle : Dissociabilité
  • Mettre en œuvre des [Affectation : mesures définies par l’organisation] pour dissocier des individus de l’information de vérification transmise au-delà des frontières organisationnelles.
  • Discussion : Préserver les identités dans les pistes de vérification pourrait donner lieu à des ramifications sur le plan du respect de la vie privée, en permettant d’effectuer le suivi et le profilage de personnes, mais cela peut ne pas être nécessaire d’un point de vue opérationnel. Ces risques pourraient être développés davantage en transmettant de l’information au-delà des frontières organisationnelles. L’application de techniques cryptographiques renforçant la protection de la vie privée peut dissocier des individus de l’information de vérification et réduire les risques d’atteinte à la vie privée tout en préservant la responsabilisation.
  • Contrôles et activités connexes : Aucun.

Références

Aucune.