Protection de l’information contrôlée dans les organisations et les systèmes ne relevant pas du gouvernement du Canada (ITSP.10.171)

1. Définir les types de comptes système autorisés et interdits.
2. Créer, activer, modifier, désactiver et retirer les comptes système conformément aux politiques, procédures, conditions préalables et critères de l’organisation.
3. Préciser :
   1. les utilisatrices et utilisateurs autorisés du système;
   2. les membres des groupes et des rôles;
   3. les autorisations d’accès (c’est-à-dire les privilèges) pour chaque compte.
4. Autoriser l’accès au système en fonction de ce qui suit :
   1. une autorisation d’accès valide;
   2. l’utilisation prévue du système.
5. Surveiller l’utilisation des comptes système.
6. Désactiver les comptes système dans les circonstances suivantes :
   1. les comptes sont expirés;
   2. les comptes sont inactifs depuis [Affectation : durée définie par l’organisation];
   3. les comptes ne sont plus associés à une utilisatrice ou un utilisateur, ou à une personne;
   4. les comptes contreviennent à une politique organisationnelle;
   5. des risques importants liés à des personnes sont découverts.
7. Aviser les gestionnaires de compte et le personnel ou les rôles désignés dans :
   1. [Affectation : période définie par l’organisation] lorsque les comptes ne sont plus requis;
   2. [Affectation : période définie par l’organisation] lorsque les utilisatrices et utilisateurs quittent leur emploi ou sont transférés;
   3. [Affectation : période définie par l’organisation] lorsque l’utilisation du système ou le besoin de connaître d’une personne change.
8. Exiger que les utilisatrices et utilisateurs se déconnectent du système après [Affectation : période définie par l’organisation] d’inactivité ou lors de [Affectation : circonstances définies par l’organisation].

Discussion

La présente exigence s’applique à la gestion des comptes pour les systèmes et les applications. La définition et l’application des autorisations d’accès, autres que celles déterminées par le type de compte (par exemple, les accès privilégiés ou non privilégiés) sont énoncées dans l’exigence Application de l'accès 03.01.02. Les types de comptes incluent les comptes individuels, les comptes de groupe, les comptes temporaires, les comptes système, les comptes d’invité, les comptes anonymes, les comptes d’urgence, les comptes de développeur et les comptes de service. Les utilisatrices et utilisateurs nécessitant des privilèges administratifs pour les comptes système font l’objet d’un examen plus approfondi de la part des responsables appropriés de l’organisation chargés d’approuver ces comptes et les accès privilégiés. Les types de comptes que les organisations peuvent interdire en raison d’un risque de sécurité accru incluent les comptes de groupe, d’urgence, d’invité, anonymes et temporaires.

Les organisations peuvent choisir de définir les privilèges d’accès ou d’autres attributs en fonction du compte, du type de compte ou d’une combinaison des deux. Les autres attributs requis pour autoriser l’accès incluent les restrictions en fonction du moment de la journée, du jour de la semaine et du point d’origine. Lors de la définition des autres attributs de compte, les organisations doivent considérer les exigences système (par exemple, les mises à niveau du système et la maintenance planifiée) et les exigences ayant trait à la mission et aux activités (par exemple, les différences de fuseau horaire et l’accès à distance pour faciliter les déplacements).

Les utilisatrices et utilisateurs qui présentent un risque important pour la sécurité et/ou l’atteinte à la vie privée comprennent les personnes pour lesquelles des preuves fiables indiquent l’intention d’utiliser un accès autorisé au système afin de causer des dommages ou de permettre à des adversaires de causer des dommages par leur entremise. Une collaboration étroite entre les gestionnaires des ressources humaines, les responsables de la mission ou des activités, les administrateurs de système et le personnel juridique est essentielle à la désactivation des comptes système des personnes présentant un risque élevé. Les délais pour aviser le personnel ou les rôles désignés de l’organisation peuvent varier.

La fermeture de session en cas d’inactivité peut être basée sur des comportements ou sur des stratégies, et nécessite que les utilisatrices et utilisateurs effectuent une opération physique afin de fermer leur session s’ils prévoient d’être inactifs sur le système pendant une période dépassant la période définie. L’application automatique de la fermeture de session en cas d’inactivité est abordée dans l’exigence Verrouillage d'appareil 03.01.10.

Références

Sources pour les contrôles : AC-02, AC-02(03), AC-02(05), AC-02(13)
Publications connexes :

• Centre pour la cybersécurité − Gestion et contrôle des privilèges administratifs (ITSAP.10.094)
• Centre pour la cybersécurité − Comment protéger votre organisation contre les menaces internes (ITSAP.10.003)

Appliquer les autorisations approuvées pour l’accès logique à l’information contrôlée et aux ressources système conformément aux politiques de contrôle d’accès applicables.

Discussion

Les politiques de contrôle d’accès contrôlent l’accès entre des entités ou sujets actifs (c’est-à-dire les utilisatrices et utilisateurs ou les processus système agissant au nom des utilisatrices et utilisateurs) et des entités ou objets passifs (c’est-à-dire les dispositifs, les fichiers, les documents et les domaines) dans les systèmes organisationnels. Les types d’accès au système incluent l’accès distant et l’accès aux systèmes qui communiquent à l’aide de réseaux externes, comme Internet. Les mécanismes d’application de l’accès peuvent également être utilisés au niveau des applications et des services afin de fournir une meilleure protection de l’information contrôlée. Ces mécanismes permettent de reconnaître que les systèmes peuvent héberger de nombreuses applications et de nombreux services afin d’appuyer la mission et les activités. Les politiques de contrôle d’accès sont définies dans l’exigence Politiques et procédures 03.15.01.

Références

Sources pour les contrôles : AC-03
Publications connexes : Centre pour la cybersécurité − Gestion et contrôle des privilèges administratifs (ITSAP.10.094)

Le contrôle de flux d’information détermine où l’information contrôlée peut transiter au sein d’un système et entre des systèmes (par opposition aux personnes autorisées à accéder à l’information), quels que soient les accès subséquents à cette information. Les restrictions de contrôle de flux comprennent notamment : empêcher les transmissions d’information contrôlée en clair sur Internet, bloquer le trafic entrant qui prétend provenir de l’intérieur de l’organisation, restreindre les demandes d’accès à Internet qui ne proviennent pas du serveur mandataire Web interne et limiter le transfert d’information contrôlée entre les organisations en fonction des structures de données et du contenu.

Les organisations utilisent souvent des politiques de contrôle de flux d’information et des mécanismes d’application pour contrôler le flux d’information contrôlée entre des sources et des destinations désignées (par exemple, des réseaux, des personnes et des dispositifs) dans des systèmes et entre des systèmes interconnectés. Le contrôle de flux est basé sur les caractéristiques de l’information ou sur le chemin d’accès de l’information. Le contrôle de flux s’applique aux dispositifs de protection de périmètre (par exemple, tunnels chiffrés, routeurs, passerelles et pare feu) qui ont recours à des ensembles de règles ou qui établissent des paramètres de configuration pour restreindre les services d’un système, pour fournir des capacités de filtrage des paquets selon les données d’en-tête ou pour fournir des capacités de filtrage des messages en fonction du contenu du message (par exemple, mise en œuvre des recherches par mots-clés ou utilisation des caractéristiques du document). Les organisations doivent également considérer la fiabilité des mécanismes de filtrage et d’inspection (c’est-à-dire les composants matériels, micrologiciels et logiciels) qui sont essentiels à l’application du contrôle de flux d’information.

Le transfert d’information contrôlée entre des organisations peut nécessiter une entente indiquant comment le flux d’information sera appliqué (voir l’exigence Échange d'information 03.12.05). Le transfert d’information contrôlée entre des systèmes associés à des domaines de sécurité différents et à des stratégies de sécurité différentes comporte un risque de contravention à une ou à plusieurs stratégies de sécurité des domaines. Dans de telles situations, les dépositaires de l’information doivent fournir des directives aux points désignés d’application des stratégies entre les systèmes interconnectés. Les organisations doivent examiner la possibilité d’imposer des solutions architecturales particulières lorsqu’elles appliquent des stratégies de sécurité précises. Ces solutions peuvent comprendre l’interdiction de transférer de l’information contrôlée entre des systèmes interconnectés (c’est-à-dire autoriser seulement l’accès à l’information), l’utilisation de mécanismes matériels pour appliquer un flux d’information unidirectionnel et la mise en œuvre de mécanismes remaniés de confiance pour réassigner les attributs et étiquettes de sécurité.

Références

Sources pour les contrôles : AC-04
Publications connexes :

• Centre pour la cybersécurité − Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022)
• Centre pour la cybersécurité − Nettoyage des supports de TI (ITSP.40.006)

1. Établir les tâches des personnes devant être séparées.
2. Définir les autorisations d’accès au système afin d’appuyer la séparation des tâches.

Discussion

La séparation des tâches Séparation des tâchesPrincipe de sécurité selon lequel il convient de répartir les responsabilités de nature sensible ou essentielle entre plusieurs entités (comme le personnel ou les processus) plutôt que les attribuer à une seule, afin de prévenir les infractions à la sécurité. permet d’éliminer l’abus possible des privilèges autorisés et réduit le risque d’activités malveillantes sans collusion. Les mécanismes de séparation des tâches comprennent notamment : la division des fonctions liées à la mission et des fonctions de soutien entre les personnes ou rôles, l’exécution de fonctions de soutien liées au système par différentes personnes ou différents rôles (par exemple, l’assurance de la qualité, la gestion de la configuration, la gestion du système, les évaluations, la programmation et la sécurité réseau) et l’assurance que le personnel qui administre les fonctions de contrôle d’accès n’administre pas également les fonctions de vérification. Puisque les violations de séparation des tâches peuvent s’étendre sur plusieurs systèmes et domaines d’application, les organisations doivent prendre en considération l’ensemble de leurs systèmes et de leurs composants de système lors de l’élaboration des stratégies sur la séparation des tâches. Cette exigence est appliquée par l’exigence Application de l'accès 03.01.02.

Références

Sources pour les contrôles : AC-05
Publications connexes :

• NIST SP 800-162 Guide to Attribute Based Access Control (ABAC) Definition and Considerations (en anglais seulement)
• NIST SP 800-178 A Comparison of Attribute Based Access Control (ABAC) Standards for Data Service Applications: Extensible Access Control Markup Language (XACML) and Next Generation Access Control (NGAC) (en anglais seulement)

1. Permettre uniquement les accès autorisés au système pour les utilisatrices et utilisateurs (ou les processus exécutés en leur nom) qui sont nécessaires pour accomplir les tâches organisationnelles assignées.
2. Autoriser l’accès aux [Affectation : fonctions de sécurité définies par l’organisation] et à [Affectation : information liée à la sécurité définie par l’organisation].
3. Examiner les privilèges attribués aux rôles ou aux classes d’utilisateur tous les [Affectation : fréquence définie par l’organisation] afin de valider la nécessité de détenir ces privilèges.
4. Réattribuer ou retirer les privilèges, au besoin.

Discussion

Les organisations doivent avoir recours au principe de droit d’accès minimal Droit d’accès minimal Principe selon lequel il convient de n'accorder aux utilisateurs que les autorisations d'accès dont ils ont besoin pour accomplir les tâches qui leur ont été dûment attribuées. Ce principe permet de limiter les dommages pouvant résulter d'une utilisation non autorisée – abusive ou accidentelle – d'un système d'information. pour des tâches précises et les accès autorisés pour les utilisatrices et utilisateurs et les processus système. Le principe de droit d’accès minimal s’applique au développement, à la mise en œuvre et à l’exploitation du système. Les organisations doivent envisager de créer des processus, des rôles et des comptes système supplémentaires afin de répondre à ce principe. Les fonctions de sécurité comprennent notamment l’établissement de comptes système, l’attribution de privilèges, l’installation de logiciels, la configuration des autorisations d’accès, la configuration des paramètres pour les événements qui seront vérifiés, l’établissement des paramètres de balayage des vulnérabilités, l’établissement des paramètres de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. d’intrusion et la gestion de l’information de vérification. L’information liée à la sécurité comprend notamment l’information sur les menaces et les vulnérabilités, les règles de filtrage pour les routeurs et les pare-feu, les paramètres de configuration pour les services de sécurité, l’architecture de sécurité, l’information de gestion des clés Gestion des clésProcédures et mécanismes de génération, de distribution, de remplacement, de stockage, d'archivage et de destruction des clés cryptographiques. cryptographiques, les listes de contrôle d’accès et l’information de vérification.

Références

Sources pour les contrôles : AC-06, AC-06(01), AC-06(07), AU-09(04)
Publications connexes : Aucune

1. Restreindre les comptes privilégiés sur le système à [Affectation : personnel ou rôles définis par l’organisation].
2. Exiger que les utilisatrices et utilisateurs (ou les rôles) associés à des comptes privilégiés utilisent des comptes non privilégiés lorsqu’ils accèdent à des fonctions ou à de l’information qui ne sont pas liées à la sécurité.
3. Exiger que les opérations d’administration ou de superutilisateur soient réalisées à partir d’un poste de travail physique dédié à ces tâches précises et isolées des autres fonctions et réseaux. En particulier, la station ne devrait pas avoir accès à Internet.

Discussion

Les comptes privilégiés désignent les comptes associés à des privilèges élevés pour accéder à des ressources (y compris les fonctions de sécurité ou l’information liée à la sécurité) qui sont autrement restreintes pour les comptes non privilégiés. Les comptes privilégiés sont normalement décrits comme des comptes d’administrateur de système ou des comptes de surpeutilisateur. Par exemple, un compte privilégié est souvent requis pour réaliser des fonctions privilégiées, comme l’exécution de commandes pouvant modifier le comportement du système. La restriction des comptes privilégiés au personnel ou aux rôles désignés permet d’empêcher que des utilisatrices et utilisateurs non privilégiés accèdent à des fonctions de sécurité ou à de l’information liée à la sécurité. L’exigence d’utiliser des comptes non privilégiés pour accéder à des fonctions ou à de l’information qui ne sont pas liées à la sécurité limite l’exposition lors de l’utilisation de comptes privilégiés.

Un poste de travail administratif dédié est typiquement constitué d’un terminal d’utilisateur et d’une très petite sélection de logiciels conçus pour interfacer avec le système cible. Aux fins du présent contrôle, un poste de travail est considéré comme étant le système à partir duquel les tâches d’administration sont réalisées, par opposition au système cible.

Références

Sources pour les contrôles : AC-06(02), AC-06(05), SI-400
Publications connexes : Aucune

1. Empêcher les utilisatrices et utilisateurs non privilégiés d’exécuter des fonctions privilégiées.
2. Journaliser l’exécution de fonctions privilégiées.

Discussion

Les fonctions privilégiées comprennent notamment l’établissement de comptes système, les contrôles d’intégrité du système, l’application de correctifs et les activités de gestion des clés cryptographiques. Les utilisatrices et utilisateurs non privilégiés ne détiennent pas les autorisations nécessaires pour exécuter les fonctions privilégiées. Le contournement des mécanismes de détection et de prévention d’intrusion et les mécanismes de protection contre les programmes malveillants sont des exemples de fonctions privilégiées qui ne doivent pas être exécutées par des utilisatrices et utilisateurs non privilégiés. Cette exigence représente une condition devant être respectée en vertu de la définition des privilèges autorisés de l’exigence Gestion des comptes 03.01.01 et de l’application des privilèges de l’exigence Application de l'accès 03.01.02.

Une mauvaise utilisation des fonctions privilégiées, qu’elle soit intentionnelle ou non, par des utilisatrices et utilisateurs autorisés ou par des entités externes non autorisées ayant compromis des comptes système est une préoccupation constante et sérieuse qui peut avoir des répercussions négatives importantes sur les organisations. La journalisation de l’utilisation des fonctions privilégiées est une méthode permettant de détecter les mauvaises utilisations et d’atténuer les risques liés aux menaces persistantes avancées et aux menaces internes.

Références

Sources pour les contrôles : AC-06(09), AC-06(10)
Publications connexes : Aucune

1. Limiter le nombre de tentatives d’ouverture de session invalides à [Affectation : nombre défini par l’organisation] en moins de [Affectation : période définie par l’organisation].
2. [Sélection (un ou plusieurs) : Verrouiller le compte ou le nœud pendant [Affectation : période définie par l’organisation]; verrouiller le compte ou le nœud jusqu’à ce qu’une administratrice ou un administrateur le libère; retarder la prochaine invite d’ouverture de session; aviser l’administratrice ou administrateur de système; effectuer une autre opération] automatiquement lorsque le nombre maximal de tentatives infructueuses est dépassé.

Discussion

En raison des possibilités de déni de service, le verrouillage automatique du système est, dans la plupart des cas, temporaire et un rétablissement automatique survient normalement après une période prédéterminée établie par l’organisation (c’est-à-dire au moyen d’un algorithme de temporisation). Les organisations peuvent avoir recours à différents algorithmes de temporisation pour différents composants du système en fonction des capacités des composants respectifs. Les réponses aux tentatives d’ouverture de session système infructueuses peuvent être mises en œuvre au niveau du système ou de l’application.

Les opérations définies par l’organisation qui peuvent être effectuées comprennent notamment l’affichage d’un message invitant l’utilisatrice ou utilisateur à répondre à une question secrète en plus d’entrer son nom d’utilisateur et son mot de passe, l’utilisation d’un mode de confinement avec des capacités limitées pour les utilisatrices et utilisateurs (plutôt qu’un verrouillage complet), permettre aux utilisatrices et utilisateurs de se connecter uniquement à partir de certaines adresses de protocole Internet (IP pour Internet Protocol) précises, l’utilisation d’un test captcha pour éviter les attaques automatisées ou l’application de profils d’utilisateur qui font intervenir d’autres paramètres, comme l’emplacement, le moment de la journée, l’adresse IP, l’appareil ou l’adresse de contrôle d’accès au support (MAC pour Media Access Control).

Références

Sources pour les contrôles : AC-07
Publications connexes :

• Centre pour la cybersécurité − Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)
• NIST SP 800-124 Guidelines for Managing the Security of Mobile Devices in the Enterprise (en anglais seulement)

Afficher un message d’avis d’utilisation du système qui comprend des énoncés sur la protection de la vie privée et sur la sécurité qui sont conformes aux règles liées à l’information contrôlée applicables, avant d’accorder l’accès au système.

Discussion

Les avis concernant l’utilisation du système peuvent être mis en œuvre au moyen de messages d’avertissement ou de bannières. Ces messages sont affichés avant que les personnes se connectent au système. Les avis d’utilisation système sont utilisés lors de l’accès au moyen d’interfaces d’ouverture de session avec utilisatrices et utilisateurs humains et ne sont pas requis lorsque de telles interfaces n’existent pas. Les organisations doivent déterminer si un avis d’utilisation secondaire est nécessaire pour accéder à des applications ou à d’autres ressources système après la connexion initiale au réseau. Des affiches ou d’autres documents imprimés peuvent également être utilisés au lieu d’un message système automatisé. Cette exigence est associée à l’exigence Règles de conduite 03.15.03.

Références

Sources pour les contrôles : AC-08
Publications connexes : Aucune

1. Empêcher l’accès au système [Sélection (un ou plusieurs) : en procédant à un verrouillage d’appareil après [Affectation : période définie par l’organisation] d’inactivité; en exigeant que l’utilisatrice ou utilisateur procède à un verrouillage d’appareil avant de laisser le système sans surveillance].
2. Préserver le verrouillage d’appareil jusqu’à ce que l’utilisatrice ou utilisateur rétablisse l’accès au moyen des procédures d’identification et d’authentification établies.
3. Masquer, au moyen d’un verrouillage d’appareil, l’information auparavant visible à l’écran en utilisant une image visible.

Discussion

Les verrouillages d’appareil sont des mesures temporaires servant à empêcher l’accès au système lorsque les utilisatrices et utilisateurs ne se trouvent pas à proximité du système et qu’ils préfèrent ne pas se déconnecter en raison de la nature temporaire de leur absence. Le verrouillage peut être mis en œuvre au niveau du système d’exploitation ou de l’application. Le verrouillage d’appareil est initié par l’utilisatrice ou utilisateur. Il peut s’agir d’une opération basée sur des comportements ou des stratégies et nécessite que l’utilisatrice ou utilisateur effectue une opération physique pour verrouiller son appareil. Les verrouillages d’appareil ne remplacent pas la fermeture de session sur le système (par exemple, l’organisation peut exiger que les utilisatrices et utilisateurs ferment leur session à la fin de leur journée de travail). Les images visibles peuvent inclure des images statiques ou dynamiques, comme celles générées par les économiseurs d’écran, des photographies, des couleurs solides, une horloge, un indicateur de la charge de la pile ou un écran vide, ce qui assure que l’information contrôlée n’est pas affichée.

Références

Sources pour les contrôles : AC-11, AC-11(01)
Publications connexes : Aucune

Mettre automatiquement fin à une session utilisateur après [Affectation : conditions ou événements déclenchant une déconnexion définis par l’organisation].

Discussion

Cette exigence concerne la fin d’une session logique initiée par l’utilisateur, par opposition à la fin d’une connexion réseau qui est associée à une session de communication (c’est-à-dire une déconnexion réseau) présentée dans l’exigence Déconnexion réseau 03.13.09. Une session logique est lancée chaque fois qu’une utilisatrice ou un utilisateur (ou un processus exécuté en son nom) accède à un système. Il est possible de mettre fin aux sessions logiques (ce qui met fin à l’accès de l’utilisatrice ou utilisateur) sans mettre fin aux sessions réseau. La fin d’une session arrête tous les processus système associés à une session logique d’utilisateur, à l’exception des processus qui ont été créés par l’utilisatrice ou utilisateur (c’est-à-dire la ou le responsable de la session) et qui sont destinés à se poursuivre lorsque la session est terminée. Les conditions ou les événements déclenchant la fin automatique d’une session peuvent inclure les périodes d’inactivité de l’utilisateur définies par l’organisation, des restrictions liées au moment de la journée pour l’utilisation du système et des réponses ciblées à certains types d’incidents.

Références

Sources pour les contrôles : AC-12
Publications connexes : Aucune

1. Établir les restrictions d’utilisation ainsi que les exigences en matière de configuration et de connexion pour chaque type d’accès distant au système pouvant être autorisé.
2. Autoriser chaque type d’accès distant au système avant d’établir une telle connexion.
3. Acheminer l’accès distant au système au moyen de points de contrôle d’accès autorisés et gérés.
4. Autoriser l’exécution distante des commandes privilégiées et les accès distants à l’information liée à la sécurité.

Discussion

Un accès à distance (ou accès distant) est l’accès des utilisatrices et utilisateurs (ou des processus exécutés en leur nom) aux systèmes au moyen de réseaux externes, comme Internet. Les méthodes de surveillance et de contrôle d’accès à distance permettent aux organisations de détecter les attaques et d’assurer la conformité aux stratégies d’accès à distance. L’acheminement de l’accès distant au moyen de points de contrôle d’accès gérés améliore le contrôle explicite de telles connexions et réduit la probabilité d’accès non autorisé au système, ce qui réduit également la probabilité de divulgation non autorisée d’information contrôlée.

L’accès distant à un système représente une vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. potentielle importante pouvant être exploitée par des adversaires. La restriction des commandes et des accès privilégiés à l’information liée à la sécurité au moyen d’un accès à distance réduit l’exposition des organisations et leur vulnérabilité aux menaces provenant des adversaires. Une commande privilégiée est une commande lancée par un humain et exécutée sur un système impliquant le contrôle, la surveillance ou l’administration du système, y compris les fonctions de sécurité ou l’information liée à la sécurité. L’information liée à la sécurité constitue de l’information susceptible d’influer sur l’exécution des fonctions de sécurité ou la prestation des services de sécurité, de telle façon qu’elle nuirait à l’application des stratégies de sécurité du système ou à l’isolation du code et des données. Les commandes privilégiées permettent aux personnes d’exécuter des fonctions sensibles, essentielles à la sécurité ou liées à la sécurité du système.

Références

Sources pour les contrôles : AC-17, AC-17(03), AC-17(04)
Publications connexes :

• NIST SP 800-46 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security (en anglais seulement)
• NIST SP 800-77 Guide to IPsec VPNs (en anglais seulement)
• NIST SP 800-113 Guide to SSL VPNs (en anglais seulement)
• NIST SP 800-114 User’s Guide to Telework and Bring Your Own Device (BYOD) Security (en anglais seulement)
• NIST SP 800-121 Guide to Bluetooth Security (en anglais seulement)

1. Établir les restrictions d’utilisation ainsi que les exigences en matière de configuration et de connexion pour chaque type d’accès sans fil au système.
2. Autoriser chaque type d’accès sans fil au système avant d’établir une telle connexion.
3. Désactiver les capacités de réseau sans fil non destinées à être utilisées avant la remise et le déploiement du système.
4. Protéger l’accès sans fil au système au moyen de mécanismes d’authentification et de chiffrement.

Discussion

Les capacités de réseau sans fil représentent une vulnérabilité potentielle importante pouvant être exploitée par des adversaires. L’établissement de restrictions d’utilisation ainsi que les exigences en matière de configuration et de connexion pour l’accès sans fil au système offrent des critères permettant d’appuyer les décisions d’autorisation d’accès. Ces restrictions et exigences réduisent la possibilité des accès système non autorisés par des technologies sans fil. Les réseaux sans fil utilisent des protocoles d’authentification AuthentificationProcessus ou mesure permettant de vérifier l’identité d’un utilisateur. afin de fournir une protection au moyen de justificatifs d’identité et d’une authentification mutuelle. Les organisations authentifient les personnes et les dispositifs afin de protéger les accès sans fil au système. Une attention particulière doit être accordée à la variété des appareils dotés d’un accès sans fil au système, y compris les appareils mobiles de petite taille (par exemple, les téléphones intelligents, les tablettes et les montres intelligentes). Les capacités de réseau sans fil intégrées aux composants système représentent une vulnérabilité potentielle importante pouvant être exploitée par des adversaires. Un mécanisme rigoureux d’authentification des utilisatrices et utilisateurs et des appareils, un chiffrement ChiffrementProcédure par laquelle une information est convertie d’une forme à une autre afin d’en dissimuler le contenu et d'en interdire l’accès aux entités non autorisées. robuste et la désactivation des capacités sans fil non nécessaires à la mission ou aux activités peuvent réduire sensiblement les menaces que font peser les adversaires exploitant des technologies sans fil.

Références

Sources pour les contrôles : AC-18, AC-18(01), AC-18(03)
Publications connexes :

• Centre pour la cybersécurité − Exigences de sécurité liées aux réseaux locaux sans fil (ITSG-41)
• Centre pour la cybersécurité − Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062)
• NIST SP 800-94 Guide to Intrusion Detection and Prevention Systems (IDPS) (en anglais seulement)
• NIST SP 800-124 Guidelines for Managing the Security of Mobile Devices in the Enterprise (en anglais seulement)

1. Établir des restrictions d’utilisation ainsi que les exigences en matière de configuration et de connexion pour les appareils mobiles.
2. Autoriser les connexions d’appareil mobile au système.
3. Mettre en œuvre un chiffrement complet des appareils ou un chiffrement des contenants afin de protéger la confidentialité de l’information contrôlée sur les appareils mobiles.

Discussion

Un appareil mobile est un dispositif informatique de petite taille qui peut facilement être transporté par une personne. Il est conçu pour fonctionner sans connexion physique, il dispose d’un stockage de données local, fixe ou amovible. Il comprend également une source d’alimentation autonome. Les fonctionnalités des appareils mobiles peuvent également comprendre des capacités de communication vocale, des capteurs embarqués permettant aux appareils de recueillir des données et/ou des fonctions intégrées de synchronisation de données locale avec des emplacements distants. Les téléphones intelligents, les montres intelligentes et les tablettes sont des exemples d’appareils mobiles. Les appareils mobiles sont typiquement associés à une seule personne. Les capacités de traitement, de stockage et de transmission des appareils mobiles peuvent être comparables à un sous-ensemble d’ordinateurs blocs-notes ou d’ordinateurs de bureau, selon la nature et l’utilisation prévue de l’appareil. La protection et le contrôle des appareils mobiles sont basés sur les comportements et les politiques et nécessitent que les utilisatrices et utilisateurs effectuent des opérations physiques afin de protéger et de contrôler leurs appareils lorsqu’ils se trouvent à l’extérieur des zones contrôlées. Les zones contrôlées sont des espaces dans lesquels les organisations fournissent des contrôles physiques ou procéduraux afin de respecter les exigences établies pour la protection de l’information contrôlée.

En raison de la grande variété d’appareils mobiles, y compris leur vaste gamme de caractéristiques et de capacités, les restrictions organisationnelles peuvent varier en fonction des classes ou des types d’appareils. Les restrictions d’utilisation ainsi que les exigences en matière de configuration et de connexion imposées aux appareils mobiles comprennent notamment la gestion de la configuration, l’identification et l’authentification des appareils, la mise en œuvre obligatoire de logiciels de protection, le balayage des appareils afin de détecter les programmes malveillants, la mise à jour des logiciels antivirus, la recherche des mises à jour et des correctifs critiques, la vérification de l’intégrité du système d’exploitation de base et possiblement d’autres logiciels, et la désactivation du matériel qui n’est pas nécessaire. Sur les appareils mobiles, des contenants sécurisés offrent une isolation logicielle des données destinée à segmenter les applications et données organisationnelles, et les applications et données personnelles. Des contenants peuvent présenter différentes interfaces utilisateur, l’une des plus courantes étant une application mobile agissant à titre de portail vers une suite d’applications de productivité des activités, comme le courriel, les contacts et le calendrier. Les organisations peuvent utiliser un chiffrement complet des appareils ou un chiffrement des contenants afin de protéger la confidentialité de l’information contrôlée sur les appareils mobiles.

Références

Sources pour les contrôles : AC-19, AC-19(05)
Publications connexes :

• NIST SP 800-46 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security (en anglais seulement)
• NIST SP 800-124 Guidelines for Managing the Security of Mobile Devices in the Enterprise (en anglais seulement)
• NIST SP 800-114 User’s Guide to Telework and Bring Your Own Device (BYOD) Security (en anglais seulement)

1. Empêcher l’utilisation de systèmes externes, sauf si ceux-ci sont explicitement autorisés.
2. Établir les modalités, les conditions et les exigences de sécurité suivantes, que les systèmes externes doivent satisfaire avant de permettre aux personnes autorisées de les utiliser ou d’y accéder : [Affectation : exigences de sécurité définies par l’organisation].
3. Permettre aux personnes autorisées d’utiliser un système externe afin d’accéder au système de l’organisation ou afin de traiter, de stocker ou de transmettre de l’information contrôlée seulement après les opérations suivantes :
   1. vérifier la satisfaction des exigences de sécurité du système externe, telles qu’elles sont énoncées dans les plans de sécurité et de protection de la vie privée pour le système de l’organisation;
   2. conserver les ententes approuvées de connexion au système ou de traitement avec les entités organisationnelles qui hébergent les systèmes externes.
4. Restreindre l’utilisation de dispositifs de stockage portatifs contrôlés par l’organisation aux personnes autorisées pour les systèmes externes.

Discussion

Les systèmes externes sont des systèmes qui sont utilisés par l’organisation, mais qui ne font pas partie de celle ci. Ces systèmes comprennent notamment les systèmes, les composants système ou les dispositifs personnels; les dispositifs de traitement et de communication appartenant à une entreprise privée dans des installations commerciales ou publiques; les systèmes détenus ou contrôlés par des organisations non fédérales; et les systèmes gérés par des entrepreneurs. Les organisations ont l’option d’interdire l’utilisation de tous les types de systèmes externes ou de certains types de systèmes externes (par exemple, interdire l’utilisation de systèmes externes qui n’appartiennent pas à l’organisation). Les conditions générales doivent être conformes aux relations de confiance établies avec les entités qui possèdent, utilisent ou maintiennent les systèmes externes, et doivent comprendre une description des responsabilités partagées.

Les personnes autorisées comprennent notamment le personnel de l’organisation, les entrepreneures et entrepreneurs ou toute autre personne autorisée à accéder au système organisationnel et à qui l’organisation est en droit d’imposer des règles de conduite précises concernant l’accès au système. Les restrictions que les organisations peuvent imposer aux personnes autorisées peuvent dépendre des relations de confiance entre l’organisation et les entités externes. Les organisations doivent avoir l’assurance que les systèmes externes satisfont aux exigences de sécurité afin qu’ils ne compromettent pas ou n’endommagent pas le système de l’organisation, ou encore qu’ils ne nuisent pas au système. Cette exigence est associée à l’exigence Services de systèmes externes 03.16.03.

Références

Sources pour les contrôles : AC-20, AC-20(01), AC-20(02)
Publications connexes : Aucune

1. Former les personnes autorisées afin de s’assurer que l’information à accès public ne contient pas d’information contrôlée.
2. Vérifier périodiquement le contenu des systèmes à accès public afin de s’assurer qu’il ne contient pas d’information contrôlée et retirer toute information contrôlée, le cas échéant.

Discussion

Conformément aux lois, aux décrets, aux directives, aux politiques, aux réglementations, aux normes et aux lignes directrices applicables, le grand public n’est pas autorisé à accéder à de l’information non publique, y compris l’information contrôlée.

Références

Sources pour les contrôles : AC-22
Publications connexes : Aucune

1. Fournir de la formation sur la sécurité et la protection de la vie privée aux utilisatrices et utilisateurs système :
   1. dans le cadre d’une formation de base pour les nouvelles utilisatrices et nouveaux utilisateurs, et tous les [Affectation : fréquence définie par l’organisation] par la suite;
   2. lors de changements apportés au système ou à la suite de [Affectation : événements définis par l’organisation];
   3. pour reconnaître et signaler les indicateurs de menace interne, de piratage psychologique et de l’exploration de données dans les médias sociaux.
2. Mettre à jour le contenu de formation en matière de sécurité et de protection de la vie privée tous les [Affectation : fréquence définie par l’organisation] et à la suite de [Affectation : événements définis par l’organisation].

Discussion

Les organisations doivent fournir de la formation de base et avancée en matière de sécurité et de protection de la vie privée aux utilisatrices et utilisateurs du système (y compris les gestionnaires, la haute direction, les administratrices et administrateurs de système et les entrepreneures et entrepreneurs) ainsi que des mesures pour tester les connaissances des utilisatrices et utilisateurs. Les organisations doivent établir le contenu de la formation en fonction de leurs exigences organisationnelles particulières, des systèmes auxquels le personnel a accès et des environnements de travail (par exemple, le télétravail). Le contenu devrait comprendre une présentation des besoins de sécurité et les mesures que doivent prendre les utilisatrices et utilisateurs afin de maintenir la sécurité et d’intervenir en cas d’incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. . Le contenu devrait également inclure les mesures nécessaires en matière de sécurité opérationnelle et de traitement de l’information contrôlée.

Les techniques de sensibilisation à la sécurité et à la protection de la vie privée comprennent des affiches, des objets affichant des rappels de sécurité, des messages au moment de la connexion, des avis envoyés par courriel ou de la part des responsables de l’organisation et des événements de sensibilisation au moyen de balados, de vidéos ou de webinaires. La formation sur la sécurité et la protection de la vie privée doit être menée à une fréquence conforme aux lois, aux directives, aux réglementations et aux politiques applicables. La mise à jour périodique du contenu de formation permet de s’assurer que le contenu reste pertinent. Les événements qui peuvent précipiter une mise à jour du contenu de la formation comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des chargements apportés aux lois, aux décrets, aux directives, aux réglementations, aux politiques, aux normes et aux lignes directrices applicables.

Les indicateurs potentiels et les possibles signes précurseurs de menace interne peuvent comprendre des comportements comme les suivants : des comportements excessifs, de l’insatisfaction de longue durée liée au travail, des tentatives d’accès à de l’information qui n’est pas nécessaire pour la réalisation du travail, un accès inexpliqué à des ressources financières, de l’intimidation ou du harcèlement sexuel envers des collègues, de la violence en milieu de travail et d’autres manquements graves aux politiques, aux procédures, aux règles, aux directives ou aux pratiques de l’organisation. Les organisations peuvent adapter le sujet de la sensibilisation aux menaces internes en fonction du rôle (par exemple, la formation des gestionnaires peut se concentrer sur les changements particuliers dans les comportements des membres de l’équipe, alors que la formation des employées et employés peut porter sur des observations plus générales).

Le piratage psychologique Piratage psychologiquePratique qui a pour but d'extorquer des informations confidentielles en manipulant les utilisateurs. Un pirate psychologique utilise souvent le téléphone ou l'Internet pour tromper les individus et parvenir à obtenir leurs renseignements personnels. L'hameçonnage est une forme de piratage psychologique. vise à tromper une personne pour l’inciter à révéler de l’information ou à faire une opération pouvant servir à s’introduire dans un système, à le compromettre ou à nuire à un système. Le piratage psychologique comprend l’hameçonnage HameçonnageProcédé par lequel une tierce partie tente de solliciter de l’information confidentielle appartenant à un individu, à un groupe ou à une organisation en les mystifiant ou en imitant une marque commerciale connue dans le but de réaliser des gains financiers. En l’occurrence, les malfaiteurs incitent les utilisateurs à partager leurs renseignements personnels (numéros de carte de crédit, informations bancaires ou autres renseignements) afin de s’en servir pour commettre des actes frauduleux. , le faux-semblant, l’usurpation d’identité, l’appâtage, l’arnaque de la contrepartie, le détournement de chaînes de courriels, l’exploitation des médias sociaux et le talonnage. L’exploration de données dans les médias sociaux vise à recueillir de l’information à propos de l’organisation qui pourrait servir à appuyer des attaques à venir. La formation en matière de sécurité et de protection de la vie privée porte notamment sur la façon dont les membres du personnel et de la direction peuvent communiquer leurs préoccupations concernant des indicateurs potentiels de menace interne et des instances réelles et potentielles de piratage psychologique et d’exploration de données, au moyen des voies de communication appropriées de l’organisation, conformément aux politiques et aux procédures établies.

Références

Sources pour les contrôles : AT-02, AT-02(02), AT-02(03)
Publications connexes :

• Centre pour la cybersécurité − Offrir aux employés une formation sur mesure en cybersécurité (ITSAP.10.093)
• NIST SP 800-160-2 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach (en anglais seulement)

1. Fournir de la formation sur la sécurité et la protection de la vie privée au personnel de l’organisation selon le rôle :
   1. avant d’autoriser l’accès au système ou à de l’information contrôlée, avant la réalisation des tâches attribuées et tous les [Affectation : fréquence définie par l’organisation] par la suite;
   2. lors de changements apportés au système ou à la suite de [Affectation : événements définis par l’organisation].
2. Mettre à jour le contenu de la formation offerte selon le rôle tous les [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation].

Discussion

Les organisations doivent déterminer le contenu et la fréquence des formations relatives à la sécurité et à la protection de la vie privée en fonction des tâches, des rôles et des responsabilités des personnes ainsi que des exigences en matière de sécurité et de protection de la vie privée des systèmes auxquels le personnel autorisé peut accéder. De plus, les organisations doivent fournir une formation technique sur la sécurité adaptée à chacun des rôles suivants : développeuses et développeurs de système, architectes d’entreprise, architectes de la sécurité, agentes et agents de protection de la vie privée, développeuses et développeurs de logiciels, intégratrices et intégrateurs de systèmes, responsables de l’acquisition et de l’approvisionnement, administratrices et administrateurs de système et de réseau, personnel responsable des activités de gestion de la configuration et de vérification, personnel réalisant des vérifications et des validations indépendantes, évaluatrices et évaluateurs de la sécurité et personnel doté d’un accès logiciel de niveau système.

Une formation complète axée sur les rôles permet de tenir compte des rôles et responsabilités gestionnels, opérationnels et techniques et présente des contrôles physiques, techniques et s’appliquant au personnel. Une telle formation peut porter sur les politiques, les procédures, les outils et les artéfacts qui sont adaptés aux rôles de sécurité et de protection de la vie privée. Dans le cadre de leur programme de sécurité de l’information, les organisations doivent également fournir la formation nécessaire afin que les personnes puissent s’acquitter de leurs responsabilités en matière de sécurité des opérations et de la chaîne d’approvisionnement.

Références

Sources pour les contrôles : AT-03
Publications connexes :

• NIST SP 800-161 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (en anglais seulement)
• NIST SP 800-181 Workforce Framework for Cybersecurity (NICE Framework) (en anglais seulement)

1. Préciser les types d’événements suivants sélectionnés pour la journalisation dans le système : [Affectations : types d’événements définis par l’organisation].
2. Vérifier et mettre à jour les types d’événements sélectionnés pour la journalisation tous les [Affectation : fréquence définie par l’organisation].

Discussion

Un événement est une occurrence observable dans un système, y compris toute activité système illicite ou non autorisée. Les organisations doivent établir les types d’événements pour lesquels la fonctionnalité de journalisation est requise, notamment les événements qui sont liés à la sécurité des systèmes, à la protection de la vie privée et aux environnements dans lesquels ces systèmes sont exploités, afin de répondre à des besoins précis et continus en matière de vérification. Les types d’événements peuvent comprendre les changements de mot de passe, l’exécution de fonctions privilégiées, les tentatives non réussies de connexion ou d’accès associées aux systèmes, l’utilisation de privilèges d’administrateur ou l’utilisation de justificatifs d’identité de tierce partie. Lors de l’établissement des types d’événements à journaliser, les organisations doivent considérer les activités de surveillance et de vérification du système qui sont appropriées pour chaque exigence de sécurité. Pour définir les types d’événements, les organisations doivent considérer la journalisation nécessaire pour couvrir les événements connexes, comme les étapes dans les processus distribués basés sur une transaction (par exemple, les processus qui sont distribués parmi plusieurs organisations) ou encore les opérations qui surviennent dans les architectures orientées services ou basées sur le nuage.

Les exigences de surveillance et de vérification peuvent être équilibrées avec d’autres besoins du système. Par exemple, les organisations peuvent déterminer que les systèmes doivent avoir la capacité de journaliser tous les accès aux fichiers, qu’ils soient réussis ou non, mais d’activer cette capacité seulement dans des circonstances particulières pour ne pas nuire au rendement du système. Les types d’événements qui sont journalisés par les organisations peuvent changer au fil du temps. La vérification et la mise à jour des types d’événements journalisés sont nécessaires afin de s’assurer qu’ils demeurent pertinents.

Références

Sources pour les contrôles : AU-02
Publications connexes :

• Centre pour la cybersécurité − Journalisation et surveillance de la sécurité de réseau (ITSAP.80.085)
• NIST SP 800-92 Guide to Computer Security Log Management (en anglais seulement)

1. Inclure le contenu suivant dans les enregistrements de vérification :
   1. type d’événement qui s’est produit;
   2. moment auquel l’événement s’est produit;
   3. endroit où l’événement s’est produit;
   4. source de l’événement;
   5. résultat de l’événement;
   6. identité des personnes, des sujets, des objets ou des entités associés à l’événement.
2. Fournir des renseignements supplémentaires pour les enregistrements de vérification, au besoin.

Discussion

Le contenu des enregistrements de vérification pouvant être nécessaire pour appuyer la fonction de vérification comprend l’horodatage, l’adresse source et l’adresse de destination, les identificateurs d’utilisateur et de processus, la description des événements, le nom des fichiers et les règles de contrôle d’accès ou de contrôle de flux invoquées. Les résultats d’événements peuvent comprendre des indicateurs de réussite ou d’échec de l’événement et des résultats propres à l’événement (par exemple, l’état de sécurité du système après l’événement). Les renseignements détaillés que les organisations peuvent considérer dans les enregistrements de vérification peuvent comprendre un enregistrement plein texte des commandes privilégiées ou les identités individuelles des utilisatrices et utilisateurs appartenant à un compte de groupe.

Références

Sources pour les contrôles : AU-03, AU-03(01)
Publications connexes : Aucune

1. Générer les enregistrements de vérification pour les types d’événements sélectionnés et le contenu des enregistrements de vérification indiqué dans les exigences Journalisation d'événements 03.03.01 et Contenu des enregistrements de vérification 03.03.02.
2. Conserver les enregistrements de vérification pendant la période correspondant à la stratégie de conservation des dossiers.

Discussion

Les enregistrements de vérification peuvent être créés à différents niveaux d’abstraction, y compris au niveau des paquets lorsque l’information traverse le réseau. La sélection du bon niveau d’abstraction est un aspect essentiel des capacités de journalisation des données de vérification et peut aider à déterminer les causes profondes des problèmes. La capacité d’ajouter l’information générée dans les enregistrements de vérification dépend des fonctionnalités du système permettant de configurer le contenu des enregistrements de vérification. Les organisations peuvent considérer ajouter de l’information supplémentaire dans les enregistrements de vérification, y compris les règles de contrôle d’accès et de contrôle de flux invoquées et les identités individuelles des utilisatrices et utilisateurs appartenant à un compte de groupe. Les organisations peuvent également envisager de limiter l’information supplémentaire à ajouter aux enregistrements de vérification en incluant seulement celle qui est nécessaire aux exigences de vérification. Si les enregistrements générés pour le processus de vérification contiennent des renseignements personnels qui ne sont pas requis pour le processus de vérification, les renseignements personnels doivent être retirés ou caviardés avant la conservation.

Si les enregistrements de vérification se fondent sur des renseignements personnels et si ces renseignements sont utilisés pour prendre une décision administrative, la période de conservation minimale standard de deux ans suivant la date à laquelle les renseignements personnels ont été utilisés le plus récemment à des fins administratives, à moins que l’élimination soit explicitement autorisée par la personne concernée.

Références

Sources pour les contrôles : AU-11, AU-12
Publications connexes : NIST SP 800-92 Guide to Computer Security Log Management (en anglais seulement)

1. Alerter le personnel ou les rôles désignés de l’organisation dans une période de [Affectation : période définie par l’organisation] en cas de défaillance d’un processus de journalisation des données de vérification.
2. Prendre les mesures supplémentaires suivantes : [Affectation : mesures supplémentaires définies par l’organisation].

Discussion

Les défaillances du processus de journalisation des données de vérification incluent les erreurs logicielles et matérielles, la défaillance des mécanismes de saisie des journaux de vérification et l’atteinte ou le dépassement de la capacité de stockage du journal de vérification. Les mesures d’intervention comprennent notamment l’écrasement des journaux de vérification plus anciens, la fermeture du système et l’arrêt de la génération des enregistrements de vérification. Les organisations peuvent choisir de définir des mesures supplémentaires associées aux défaillances du processus de journalisation des données de vérification en fonction du type, de l’emplacement et de la gravité de la défaillance, ou encore une combinaison de ces facteurs. Lorsque la défaillance du processus de journalisation est associée au stockage, l’intervention doit s’appliquer au dépôt de stockage des journaux de vérification (c’est-à-dire le composant système particulier où les journaux de vérification sont stockés), au système sur lequel les journaux de vérification se trouvent, à la capacité de stockage totale de l’organisation pour les journaux de vérification (c’est-à-dire tous les dépôts de stockage de journaux de vérification) ou à ces trois éléments. Les organisations peuvent décider de ne pas prendre de mesures supplémentaires après avoir avisé les rôles ou le personnel désignés.

Références

Sources pour les contrôles : AU-05
Publications connexes : Aucune

1. Examiner et analyser les enregistrements de vérification du système tous les [Affectation : fréquence définie par l’organisation] afin de repérer les indications et les répercussions potentielles d’activités inappropriées ou inhabituelles.
2. Signaler les résultats au personnel ou aux rôles désignés de l’organisation.
3. Analyser et mettre en correspondance les enregistrements de vérification provenant de différents dépôts afin d’établir une connaissance de la situation à l’échelle de l’organisation.

Discussion

Les activités d’examen, d’analyse et de production de rapports liées aux enregistrements de vérification portent sur la journalisation des données relatives à la sécurité et à la protection de la vie privée effectuée par les organisations et peuvent inclure la journalisation de données découlant de la surveillance de l’utilisation des comptes, des accès distants, des connexions sans fil, des paramètres de configuration, de l’utilisation d’outils de maintenance (locaux ou non locaux), de l’inventaire des composants système, des connexions d’appareils mobiles, de l’installation ou du retrait d’équipement, des accès physiques, de la température et de l’humidité, des communications au niveau des interfaces du système et de l’utilisation de code mobile. Les résultats peuvent être communiqués aux entités organisationnelles, comme l’équipe d’intervention en cas d’incident, le service de dépannage et le bureau de la sécurité ou de la protection de la vie privée. Si les organisations ne sont pas autorisées à examiner et à analyser les enregistrements de vérification ou si elles sont incapables de mener de telles activités, les activités d’examen et d’analyse peuvent être menées par les organisations disposant d’une telle autorité. La portée, la fréquence et/ou la précision de l’examen, de l’analyse et de la production de rapports liés aux enregistrements de vérification peuvent être ajustées afin de répondre aux besoins organisationnels, en fonction de l’information nouvelle reçue. La mise en correspondance des processus d’examen, d’analyse et de production de rapports liés aux enregistrements de vérification permet de s’assurer que ces processus, collectivement, brossent un tableau plus complet des événements.

Références

Sources pour les contrôles : AU-06, AU-06(03)
Publications connexes :

• NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response (en anglais seulement)
• NIST SP 800-101 Guidelines on Mobile Device Forensics (en anglais seulement)

1. Mettre en œuvre des capacités de réduction des enregistrements de vérification et de génération de rapports pour répondre aux exigences en matière d’examen, d’analyse et de production de rapports ainsi qu’aux enquêtes sur les incidents.
2. Conserver le contenu original et la chronologie des enregistrements de vérification.

Discussion

Les enregistrements de vérification sont générés dans l’exigence Génération d'enregistrements de vérification 03.03.03. La réduction des enregistrements de vérification et la génération de rapports surviennent après la génération des enregistrements de vérification. La réduction des enregistrements de vérification est un processus qui transforme les données de vérification recueillies et les condense afin d’en accroître la valeur pour les analystes. Les capacités de réduction des enregistrements de vérification et de génération de rapports ne proviennent pas toujours du même système ou des mêmes entités organisationnelles qui mènent les activités de vérification. Les capacités de réduction des enregistrements de vérification peuvent inclure, par exemple, des techniques d’exploration de données modernes comportant des filtres de données évolués afin de détecter les comportements anormaux dans les enregistrements de vérification. Les capacités de génération de rapports fournies par le système peuvent aider à générer des rapports personnalisables. Le classement chronologique des enregistrements de vérification peut être un problème important si la granularité de l’horodatage des enregistrements est insuffisante.

Références

Sources pour les contrôles : AU-07
Publications connexes : Aucune

1. Utiliser les horloges internes du système pour horodater les enregistrements de vérification.
2. Consigner l’horodatage des enregistrements de vérification correspondant à [Affectation : granularité de mesure du temps définie par l’organisation] et utilisant le temps universel coordonné (UTC), un décalage fixe par rapport à l’UTC correspondant à l’heure locale, ou encore en incluant le décalage local dans les données d’horodatage.

Discussion

L’horodatage généré par le système comprend la date et l’heure. L’heure est souvent exprimée selon l’UTC ou selon l’heure locale qui est un décalage par rapport à l’UTC. La granularité des mesures temporelle fait référence au degré de synchronisation entre les horloges du système et des horloges de référence (par exemple, la synchronisation des horloges avec une précision d’un centième ou d’un millième de seconde). Les organisations peuvent définir des granularités temporelles différentes pour les divers composants du système. Le service d’heure peut être essentiel à d’autres capacités de sécurité (par exemple, le contrôle d’accès ainsi que l’identification et l’authentification), selon la nature des mécanismes utilisés pour appuyer ces capacités.

Références

Sources pour les contrôles : AU-08
Publications connexes : Aucune

1. Protéger l’information de vérification et les outils de journalisation des données de vérification contre les accès non autorisés, les modifications et les suppressions.
2. Autoriser l’accès pour la gestion de la fonctionnalité de journalisation des données de vérification uniquement à un sous-ensemble d’utilisatrices et utilisateurs ou de rôles privilégiés.

Discussion

• L’information de vérification comprend les renseignements nécessaires pour mener à bien la vérification des activités du système, notamment les enregistrements de vérification, les paramètres de journalisation des données de vérification, les rapports de vérification et les renseignements personnels. Les outils de journalisation des données de vérification sont des programmes et des dispositifs servant à mener les activités de vérification et de consignation. La protection de l’information de vérification se concentre sur la protection physique et empêche des personnes non autorisées d’accéder à des outils de journalisation des données de vérification et de les exécuter. La protection physique de l’information de vérification est abordée par les exigences de protection physique et des supports.
• Les personnes ou les rôles dotés d’un accès privilégié à un système et qui sont également l’objet d’une vérification par ce système peuvent affecter la fiabilité de l’information de vérification en bloquant les activités de vérification ou en modifiant les enregistrements de vérification. Le fait d’exiger un accès privilégié mieux défini en ce qui concerne les privilèges associés aux vérifications et les autres privilèges limite le nombre d’utilisatrices et utilisateurs ou de rôles qui détiennent les privilèges associés aux vérifications.

Références

Sources pour les contrôles : AU-09, AU-09(04)
Publications connexes : Aucune

1. Élaborer et tenir à jour, dans le cadre du contrôle des configurations, une configuration de référence du système.
2. Examiner et mettre à jour la configuration de référence du système tous les [Affectation : fréquence définie par l’organisation] et lorsque des composants système sont installés ou modifiés.

Discussion

Les configurations de référence pour les systèmes et les composants des systèmes incluent les éléments associés à la connectivité, à l’utilisation et aux communications. Les configurations de référence sont des spécifications des systèmes ou des éléments de configuration connexes documentés dont on a convenu et qui font l’objet d’un examen officiel. Les configurations de référence servent de fondement pour les éditions, les versions ou les changements à venir du système et comprennent des renseignements à propos des composants du système, des procédures opérationnelles, de la topologie de réseau et de la disposition des composants au sein de l’architecture du système. La tenue à jour des configurations de référence nécessite de créer de nouvelles bases de référence à mesure que le système évolue au fil du temps. Les configurations de référence des systèmes tiennent compte de l’architecture d’entreprise actuelle. Si le système facilite la collecte ou l’utilisation de renseignements personnels, les configurations de référence devraient inclure un énoncé sur la protection de la vie privée fourni aux utilisatrices et utilisateurs.

Références

Sources pour les contrôles : CM-02
Publications connexes :

• NIST SP 800-124 Guidelines for Managing the Security of Mobile Devices in the Enterprise (en anglais seulement)
• NIST SP 800-128 Guide for Security-Focused Configuration Management of Information Systems (en anglais seulement)

1. Établir, documenter et mettre en œuvre les paramètres de configuration suivants pour le système afin de refléter le mode le plus restrictif selon les exigences opérationnelles : [Affectation : paramètres de configuration définis par l’organisation].
2. Déterminer, documenter et approuver toute déviation des paramètres de configuration établis.

Discussion

Les paramètres de configuration représentent l’ensemble des paramètres pouvant être modifiés dans les composants matériels, logiciels ou micrologiciels du système et qui affectent la posture de sécurité ou de protection de la vie privée ou encore le fonctionnement du système. Les paramètres de configuration liés à la sécurité peuvent être définis pour les systèmes (par exemple, les serveurs et postes de travail), les dispositifs d’entrée-sortie (par exemple, les numériseurs, photocopieurs et imprimantes), les composants réseau (par exemple, les pare-feu, routeurs, passerelles, commutateurs voix-données, points d’accès sans fil, appareils réseau et capteurs), les systèmes d’exploitation, les logiciels médiateurs et les applications.

Les paramètres de sécurité ont une incidence sur l’état de sécurité du système et incluent les paramètres nécessaires pour répondre à d’autres exigences de sécurité. Les paramètres de sécurité comprennent notamment les paramètres de registre, les paramètres d’autorisation pour les comptes, les fichiers et les répertoires (c’est-à-dire les privilèges) et les paramètres pour les fonctions, les ports, les protocoles et les connexions distantes. Les paramètres de protection de la vie privée sont les paramètres qui ont une incidence sur la posture de protection de la vie privée des systèmes, y compris ceux nécessaires pour répondre à d’autres contrôles de protection de la vie privée. Les paramètres de protection de la vie privée incluent les exigences de contrôle d’accès, de renseignements personnels, de précision des données, les capacités de manipulation des données, les préférences de traitement des données et les permissions de traitement et de rétention de l’information. Les organisations doivent établir des paramètres de configuration à l’échelle de l’organisation et par la suite des paramètres de configuration particuliers pour le système. Les paramètres établis deviennent une partie intégrante de la configuration de référence du système.

Les configurations sécurisées communes (que l’on appelle également les listes de vérification concernant la configuration de sécurité, les guides de confinement et de renforcement, les guides de référence pour la sécurité et les guides techniques de mise en œuvre de la sécurité [STIG pour Security Technical Implementation Guide]) fournissent des points de repère reconnus, normalisés et établis qui stipulent les paramètres de configuration sécurisée associés à des plateformes ou à des produits de technologies de l’information (TI) particuliers ainsi que des instructions pour la configuration de ces composants système afin de répondre aux exigences opérationnelles. Diverses organisations peuvent développer des configurations sécurisées communes, y compris les développeurs de produits TI, les fabricants, les fournisseurs, les consortiums, le milieu universitaire, l’industrie, les ministères et organismes fédéraux ainsi que d’autres organisations des secteurs public et privé.

Références

Sources pour les contrôles : CM-06
Publications connexes :

• Centre pour la cybersécurité − Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022)
• NIST SP 800-70 National Checklist Program for IT Products: Guidelines for Checklist Users and Developers (en anglais seulement)
• NIST SP 800-126 The Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.3 (en anglais seulement)
• NIST SP 800-128 Guide for Security-Focused Configuration Management of Information Systems (en anglais seulement)

1. Définir les types de changements apportés au système qui sont contrôlés par la configuration.
2. Examiner les changements proposés au système qui sont contrôlés par la configuration et les approuver ou les refuser en tenant compte explicitement des répercussions sur la sécurité.
3. Mettre en œuvre et documenter les changements approuvés au système qui sont contrôlés par la configuration.
4. Surveiller et examiner les activités associées aux changements contrôlés par la configuration visant le système.

Discussion

Le contrôle des changements de configuration fait référence aux activités de suivi, d’examen, d’approbation, de refus et de journalisation des changements au système. Ce contrôle comprend la proposition, la justification, la mise en œuvre, la mise à l’essai, l’examen et l’application systématiques de changements au système, y compris les mises à niveau et les modifications du système. Le contrôle des changements de configuration inclut les changements aux configurations de référence pour les composants système (par exemple, les systèmes d’exploitation, applications, pare-feu, routeurs et appareils mobiles) et aux éléments de configuration du système, les changements aux paramètres de configuration, les changements non planifiés et non autorisés, et les changements visant à corriger des vulnérabilités. Cette exigence est associée à l’exigence Analyses des répercussions 03.04.04.

Références

Sources pour les contrôles : CM-03
Publications connexes :

• NIST SP 800-124 Guidelines for Managing the Security of Mobile Devices in the Enterprise (en anglais seulement)
• NIST SP 800-128 Guide for Security-Focused Configuration Management of Information Systems (en anglais seulement)

1. Analyser les répercussions sur la sécurité et sur la vie privée des changements apportés au système, avant la mise en œuvre.
2. Vérifier que les exigences de sécurité du système continueront d’être satisfaites après la mise en œuvre des changements.

Discussion

Le personnel de l’organisation ayant des responsabilités en matière de sécurité et de protection de la vie privée doit mener des analyses des répercussions qui comprennent les éléments suivants : examiner les plans, les politiques et les procédures de sécurité et de protection de la vie privée afin de comprendre les exigences de sécurité et de protection de la vie privée; examiner la documentation de conception et les procédures opérationnelles du système afin de comprendre les répercussions que peuvent entraîner les changements apportés au système sur l’état de sécurité et de protection de la vie privée du système; examiner les répercussions que peuvent entraîner les changements de partenaires de la chaîne d’approvisionnement sur les parties prenantes; déterminer la manière dont les changements potentiels apportés au système peuvent créer de nouveaux risques pour la vie privée des personnes et établir la capacité à atténuer ces risques. Les analyses des répercussions incluent également les évaluations des risques afin de comprendre les répercussions des changements et de déterminer si des exigences de sécurité ou de protection de la vie privée supplémentaires sont nécessaires. Les changements apportés au système peuvent avoir une incidence sur les mesures de protection et les contre-mesures qui ont été mises en œuvre précédemment. Cette exigence est associée à l’exigence Contrôle des changements de configuration 03.04.03. Les changements au système ne sont pas tous contrôlés par la configuration.

Références

Sources pour les contrôles : CM-04, CM-04(02)
Publications connexes : NIST SP 800-128 Guide for Security-Focused Configuration Management of Information Systems (en anglais seulement)

Définir, documenter, approuver et appliquer les restrictions d’accès physiques et logiques associées aux changements apportés au système.

Discussion

Les changements apportés aux composants matériels, logiciels ou micrologiciels du système ou aux procédures opérationnelles associées au système peuvent avoir des répercussions importantes sur la sécurité du système ou la vie privée des personnes. Les organisations doivent donc accorder l’accès au système seulement aux personnes qualifiées et autorisées et seulement pour effectuer les changements. Les restrictions d’accès incluent les contrôles d’accès physiques et logiques, les bibliothèques de logiciels, l’automatisation de flux de travaux, les médiathèques, les couches abstraites (c’est-à-dire les changements mis en œuvre dans les interfaces externes plutôt que directement dans le système) et les fenêtres de changement (c’est-à-dire les changements sont appliqués seulement à des moments précis).

Références

Sources pour les contrôles : CM-05
Publications connexes :

• NIST FIPS 140-3 Security Requirements for Cryptographic Modules (en anglais seulement)
• NIST FIPS 186-5 Digital Signature Standard (DSS) (en anglais seulement)
• NIST SP 800-128 Guide for Security-Focused Configuration Management of Information Systems (en anglais seulement)

1. Configurer le système afin qu’il fournisse uniquement les capacités essentielles à la mission.
2. Interdire ou restreindre l’utilisation des fonctions, des ports, des protocoles, des connexions et des services suivants : [Affectation : fonctions, ports, protocoles, connexions et services définis par l’organisation].
3. Examiner le système tous les [Affectation : fréquence définie par l’organisation] afin d’établir les fonctions, les ports, les protocoles, les connexions et les services non nécessaires.
4. Désactiver ou retirer les fonctions, les ports, les protocoles, les connexions et les services qui ne sont pas nécessaires ou non sécurisés.

Discussion

Les systèmes peuvent fournir une grande variété de fonctions et de services. Il se peut que certaines fonctions et certains services fournis régulièrement par défaut ne soient pas nécessaires pour appuyer la mission, les fonctions ou les opérations essentielles de l’organisation. Il peut être pratique de fournir plusieurs services à partir de composants individuels du système. Toutefois, cette façon de faire augmente les risques comparativement au fait de limiter les services fournis à partir d’un seul composant. Dans la mesure du possible, les organisations doivent limiter la fonctionnalité à une seule fonction par composant.

Les organisations doivent examiner les fonctions et les services fournis par le système ou les composants système afin de déterminer ceux qui peuvent être éliminés. Les organisations doivent également désactiver les protocoles et les ports physiques et logiques inutilisés ou qui ne sont pas nécessaires afin d’empêcher les connexions non autorisées des appareils, les transferts d’information et la tunnellisation. Les organisations peuvent utiliser des outils de balayage réseau, des solutions de détection et de prévention d’intrusion et des solutions de protection des points d’extrémité (par exemple, des pare-feu et des systèmes de détection d’intrusion sur l’hôte) afin de détecter et de prévenir l’utilisation de fonctions, de ports, de protocoles, de connexions système et de services non autorisés. Bluetooth, FTP (File Transfer Protocol) et l’interconnexion de réseaux d’égal à égal sont des exemples de protocoles que les organisations doivent envisager d’éliminer, de restreindre ou de désactiver.

Références

Sources pour les contrôles : CM-07, CM-07(01)
Publications connexes :

• Centre pour la cybersécurité − Liste d’applications autorisées (ITSAP.10.095)
• Centre pour la cybersécurité − Les 10 mesures de sécurité des TI : No 10, Mettre en place une liste d’applications autorisées (ITSM.10.095)
• NIST SP 800-160-1 Engineering Trustworthy Secure Systems (en anglais seulement)
• Centre pour la cybersécurité − Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037)

1. Déterminer les programmes logiciels autorisés à être exécutés sur le système.
2. Mettre en œuvre une stratégie de refus par défaut, autorisation par exception pour l’exécution des programmes logiciels sur le système.
3. Examiner et mettre à jour la liste des programmes logiciels autorisés tous les [Affectation : fréquence définie par l’organisation].

Discussion

S’ils détiennent les privilèges nécessaires, les utilisatrices et utilisateurs peuvent installer des logiciels sur les systèmes organisationnels. Afin de garder le contrôle sur les logiciels installés, les organisations doivent déterminer les opérations permises et interdites concernant l’installation de logiciels. Les installations de logiciels autorisées comprennent les mises à jour et l’application de correctifs de sécurité aux logiciels existants, ainsi que le téléchargement de nouvelles applications à partir des magasins d’application approuvés par l’organisation. Les stratégies sélectionnées pour régir les logiciels installés par les utilisatrices et utilisateurs peuvent être développées par l’organisation ou fournies par une entité externe. Les méthodes d’application des stratégies peuvent inclure des méthodes procédurales et des méthodes automatisées.

Les programmes logiciels autorisés peuvent être limités à des versions ou à des sources particulières. Afin de favoriser un processus complet de gestion des logiciels autorisés et de renforcer la protection contre les attaques qui contournent les logiciels autorisés au niveau de l’application, les programmes logiciels peuvent être décomposés en différents niveaux de détail et surveillés. Ces niveaux incluent les applications, les interfaces de programmation d’applications, les modules d’application, les scripts, les processus système, les services système, les fonctions noyau, les registres, les pilotes et les bibliothèques de liens dynamiques.

Références

Sources pour les contrôles : CM-07(05)
Publications connexes :

• Centre pour la cybersécurité − Liste d’applications autorisées (ITSAP.10.095)
• Centre pour la cybersécurité − Les 10 mesures de sécurité des TI : No 10, Mettre en place une liste d’applications autorisées (ITSM.10.095)
• NIST SP 800-160-1 Engineering Trustworthy Secure Systems (en anglais seulement)

1. Élaborer et documenter un inventaire des composants du système.
2. Examiner et mettre à jour l’inventaire des composants du système tous les [Affectation : fréquence définie par l’organisation].
3. Mettre à jour l’inventaire des composants du système dans le cadre des activités d’installation, de retrait et de mise à jour du système.

Discussion

Les composants du système sont des actifs discrets et identifiables (c’est-à-dire le matériel, les logiciels et les micrologiciels) qui composent un système. Les organisations peuvent mettre en œuvre des inventaires de composants système centralisés qui comprennent des composants de tous les systèmes. Dans de telles situations, les organisations doivent s’assurer que les inventaires comportent de l’information propre au système requise pour la comptabilisation des composants. L’information nécessaire pour une comptabilisation efficace des composants du système comprend le nom du système, les propriétaires des logiciels, les numéros de version des logiciels, les spécifications de l’inventaire du matériel, l’information sur les licences de logiciels, les composants réseau, les noms des machines et les adresses réseau pour tous les protocoles mis en œuvre (par exemple, IPv4 et IPv6). Les spécifications de l’inventaire doivent comprendre le type de composant, l’emplacement physique, la date de réception, le fabricant, le coût, le modèle, le numéro de série et des données sur le fournisseur.

Références

Sources pour les contrôles : CM-08, CM-08(01)
Publications connexes :

• NIST SP 800-124 Guidelines for Managing the Security of Mobile Devices in the Enterprise (en anglais seulement)
• NIST SP 800-128 Guide for Security-Focused Configuration Management of Information Systems (en anglais seulement)

1. Établir et documenter l’emplacement de l’information contrôlée et des composants système où l’information est traitée et stockée.
2. Documenter les changements d’emplacement sur le système ou les composants du système où l’information contrôlée est traitée et stockée.

Discussion

L’emplacement de l’information répond au besoin de bien comprendre les composants du système où l’information contrôlée est traitée et stockée ainsi que les utilisatrices et utilisateurs qui ont accès à l’information contrôlée, afin de pouvoir fournir les mécanismes de protection qui conviennent, y compris les contrôles de flux d’information, les contrôles d’accès et la gestion de l’information.

Références

Sources pour les contrôles : CM-12
Publications connexes : Aucune

1. Remettre des systèmes ou des composants système dotés des configurations suivantes aux personnes qui voyagent dans des lieux à risque élevé : [Affectation : configurations système définies par l’organisation].
2. Appliquer les exigences de sécurité suivantes aux systèmes ou aux composants système lorsque les personnes reviennent de voyage : [Affectation : exigences de sécurité définies par l’organisation].

Discussion

Lorsque l’on sait qu’un système ou qu’un composant système se trouvera dans une zone à risque élevé, des exigences de sécurité supplémentaires peuvent être nécessaires afin de contrer les menaces accrues. Les organisations peuvent mettre en œuvre des mesures de protection sur les systèmes ou les composants système qui sont utilisés par des personnes qui partent en voyage et qui en reviennent. Les mesures comprennent déterminer les lieux préoccupants, définir les configurations requises pour les composants, s’assurer que les composants sont configurés adéquatement avant le voyage et réaliser prendre d’autres mesures au retour du voyage. Par exemple, les systèmes qui se trouveront dans des zones à risque élevé peuvent être configurés avec des disques durs préalablement nettoyés, un nombre limité d’applications ou encore des paramètres de configuration plus stricts. Les mesures appliquées aux appareils mobiles au retour du voyage comprennent un examen de l’appareil afin de détecter des signes physiques de tentatives de modification, le nettoyage NettoyageProcessus par lequel les données sont retirées d’un support de manière définitive. Le support d’enregistrement peut être réutilisé conformément aux politiques de sécurité des TI, mais il est impossible de récupérer les données qui s’y trouvaient ou d’y accéder. de la mémoire ou la recréation de l’image de la mémoire de l’appareil.

Références

Sources pour les contrôles : CM-02(07)
Publications connexes :

• NIST SP 800-124 Guidelines for Managing the Security of Mobile Devices in the Enterprise (en anglais seulement)
• NIST SP 800-128 Guide for Security-Focused Configuration Management of Information Systems (en anglais seulement)

1. Identifier de manière unique et authentifier les utilisatrices et utilisateurs du système et associer un identificateur unique aux processus agissant en leur nom.
2. Réauthentifier les utilisatrices et utilisateurs lors de [Affectation : circonstances ou situations nécessitant une réauthentification définies par l’organisation].

Discussion

Les utilisatrices et utilisateurs de système incluent les personnes (ou les processus système agissant en leur nom) qui sont autorisées à accéder à un système. Normalement, les identificateurs de personne correspondent aux noms d’utilisateur associés aux comptes système qui leur ont été attribués. Puisque les processus système sont exécutés au nom de groupes et de rôles, les organisations peuvent exiger l’identification individuelle de chacune des personnes comprises dans un compte de groupe aux fins de responsabilisation individuelle pour les activités réalisées sur le système. L’identification unique et l’authentification des utilisatrices et utilisateurs s’appliquent à tous les accès système. Les organisations peuvent avoir recours à des mots de passe, à des authentifiants physiques, à la biométrie ou à une combinaison de ces éléments pour l’authentification de l’identité des utilisatrices et utilisateurs. Les organisations peuvent procéder à une réauthentification des personnes dans certaines situations, y compris lors d’un changement lié aux rôles, aux authentifiants ou aux justificatifs d’identité, lors de l’exécution de fonctions privilégiées, après une période déterminée ou périodiquement.

Références

Sources pour les contrôles : IA-02, IA-11
Publications connexes : Centre pour la cybersécurité − Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)

Identifier de manière unique et authentifier les [Affectation : dispositifs ou types de dispositifs définis par l’organisation] avant d’établir une connexion au système.

Discussion

Les dispositifs qui exigent une identification et une authentification dispositif à dispositif unique sont définis en fonction du type, du dispositif ou d’une combinaison des deux. Les types de dispositifs définis par l’organisation incluent les dispositifs qui n’appartiennent pas à l’organisation. Les systèmes utilisent de l’information connue partagée (par exemple, des adresses Media Access Control [MAC] ou Transmission Control Protocol/Internet Protocol [TCP/IP]) pour l’identification des dispositifs ou encore des solutions d’authentification organisationnelles (par exemple, les protocoles Institute of Electrical and Electronics Engineers [IEEE] 802.1x et Extensible Authentication Protocol [EAP], un serveur RADIUS avec l’authentification EAP-Transport Layer Security [TLS] ou Kerberos) pour identifier et authentifier les dispositifs sur les réseaux locaux et étendus. Une infrastructure à clé publique (ICP) et une vérification de la révocation des certificats pour les certificats échangés peuvent également être intégrées dans le cadre de l’authentification des dispositifs.

Références

Sources pour les contrôles : IA-03
Publications connexes : Centre pour la cybersécurité − Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)

Mettre en œuvre des mécanismes robustes d’authentification multifacteur (AMF) pour l’accès aux comptes privilégiés et non privilégiés.

Discussion

Cette exigence s’applique aux comptes d’utilisateur. L’authentification multifacteur nécessite l’utilisation de deux facteurs différents ou plus pour l’authentification. Les facteurs d’authentification sont définis comme suit : une information connue (par exemple, un numéro d’identification personnel [NIP]), une possession (par exemple, un authentifiant physique comme une clé cryptographique Clé cryptographiqueValeur numérique employée dans des processus cryptographiques, notamment le chiffrement et le déchiffrement, la génération des signatures ou encore la vérification des signatures. privée) ou un attribut personnel (par exemple, une authentification biométrique). Les solutions d’authentification multifacteur qui présentent des authentifiants physiques comprennent les authentifiants matériels qui fournissent des sorties à durée limitée ou de type défi-réponse ainsi que des cartes à puce. En plus d’authentifier les utilisatrices et utilisateurs au niveau du système, les organisations peuvent également avoir recours à des mécanismes d’authentification au niveau de l’application pour accroître la sécurité de l’information.

Références

Sources pour les contrôles : IA-02(01), IA-02(02)
Publications connexes : Centre pour la cybersécurité − Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)

Mettre en œuvre des mécanismes d’authentification résistant à la réinsertion pour l’accès aux comptes privilégiés et non privilégiés.

Discussion

Les processus d’authentification résistent aux attaques par réinsertion lorsqu’il n’est pas pratique de réaliser une authentification réussie en enregistrant ou en réinsérant un message d’authentification antérieur. Les techniques résistant à la réinsertion incluent les protocoles qui utilisent des nonces ou des défis, comme des authentifiants à usage unique synchrones ou défi-réponse.

Références

Sources pour les contrôles : IA-02(08)
Publications connexes : Centre pour la cybersécurité − Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)

1. Recevoir une autorisation du personnel ou des rôles de l’organisation pour attribuer un identifiant à une personne, à un groupe, à un rôle, à un service ou à un dispositif.
2. Sélectionner et attribuer un identifiant qui identifie une personne, un groupe, un rôle, un service ou un dispositif.
3. Prévenir la réutilisation d’identifiant pendant [Affectation : période définie par l’organisation].
4. Gérer les identifiants personnels en identifiant de façon unique chaque personne à titre de [Affectation : caractéristique définie par l’organisation identifiant le statut de la personne].

Discussion

Les identifiants sont fournis aux utilisateurs, aux processus agissant en leur nom et aux dispositifs. Le fait d’empêcher la réutilisation d’identifiant empêche d’attribuer à une autre entité des identifiants utilisés précédemment par une personne, un groupe, un rôle, un service ou un dispositif.

Les caractéristiques qui identifient le statut d’une personne comprennent les utilisatrices et utilisateurs entrepreneurs, de nationalité étrangère et non organisationnels. L’identification du statut d’une personne au moyen de ces caractéristiques offre des renseignements à propos des personnes avec lesquelles le personnel de l’organisation communique. Par exemple, il peut être utile pour une employée ou un employé de savoir que l’une des personnes dans la liste des destinataires d’un courriel est une entrepreneure ou un entrepreneur.

Références

Sources pour les contrôles : IA-04, IA-04(04)
Publications connexes : Centre pour la cybersécurité − Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)

1. Créer une liste des mots de passe couramment utilisés, attendus ou compromis et la mettre à jour tous les [Affectation : fréquence définie par l’organisation] et lorsque l’on soupçonne que les mots de passe de l’organisation ont été compromis.
2. Vérifier que les mots de passe ne figurent pas sur la liste des mots de passe couramment utilisés, attendus ou compromis lorsque les utilisatrices et utilisateurs créent ou modifient leurs mots de passe.
3. Transmettre les mots de passe uniquement par des canaux protégés par chiffrement.
4. Stocker les mots de passe sous forme chiffrée.
5. Sélectionner un nouveau mot de passe lors de la première utilisation à la suite d’une récupération de compte.
6. Appliquer aux mots de passe les règles de composition et de complexité suivantes : [Affectation : règles de composition et de complexité définies par l’organisation].

Discussion

L’authentification fondée sur un mot de passe s’applique aux mots de passe utilisés pour l’authentification à un seul facteur ou multifacteur. Les longs mots de passe ou les phrases de passe sont préférables, par rapport à des mots de passe courts. L’application de règles de composition offre certains avantages pour la sécurité, mais réduit l’utilisabilité. Les organisations peuvent choisir d’établir et d’appliquer certaines règles pour la génération de mots de passe (notamment concernant le nombre minimal de caractères) dans certaines circonstances. Par exemple, un mot de passe oublié peut mener à une récupération de compte. Des mots de passe protégés par chiffrement comprennent le hachage cryptographique unidirectionnel salé des mots de passe. La liste des mots de passe couramment utilisés, compromis ou attendus comprend les mots de passe provenant des corpus de violations précédentes, les mots du dictionnaire et les caractères répétitifs ou séquentiels. Cette liste comprend des mots s’appliquant au contexte, comme le nom du service, le nom de l’utilisateur et des dérivations de ces éléments. L’obligation de remplacer un mot de passe temporaire par un mot de passe permanent immédiatement après la connexion au système permet de s’assurer que les mécanismes d’authentification sont suffisamment robustes et mis en œuvre à la première occasion, ce qui permet de réduire les possibilités de compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. d’authentifiants. Il peut être possible d’utiliser de longs mots de passe ou des phrases de passe dans le but d’augmenter la complexité des mots de passe.

Références

Sources pour les contrôles : IA-05(01)
Publications connexes : Centre pour la cybersécurité − Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)

Masquer la rétroaction d’information d’authentification durant le processus d’authentification.

Discussion

La rétroaction d’authentification n’offre pas d’information qui pourrait permettre à des personnes non autorisées de compromettre les mécanismes d’authentification. Par exemple, dans le cas des ordinateurs de bureau ou blocs-notes dotés d’un écran relativement grand, la menace peut être importante en raison de l’espionnage par-dessus l’épaule. Par contre, dans le cas des appareils mobiles à petit écran, cette menace peut être moins importante et contrebalancée par la possibilité accrue d’erreurs d’entrée due aux claviers de petite taille. Les moyens pour masquer la rétroaction d’authentification doivent être sélectionnés en conséquence. Le masquage de la rétroaction comprend l’affichage d’astérisques au moment où l’utilisatrice ou utilisateur entre son mot de passe sur l’appareil ou l’affichage d’une rétroaction seulement pendant une courte période avant l’application d’un masquage complet.

Références

Sources pour les contrôles : IA-06
Publications connexes : Aucune

1. Vérifier l’identité de la personne, du groupe, du rôle, du service ou du dispositif recevant l’authentifiant dans le cadre de la distribution initiale d’authentifiant.
2. Établir le contenu de l’authentifiant initial pour les authentifiants émis par l’organisation.
3. Établir et mettre en œuvre des procédures administratives pour la distribution initiale des authentifiants en cas de perte, de compromission, de corruption et de révocation.
4. Changer les authentifiants par défaut lors de la première utilisation.
5. Changer ou actualiser les authentifiants tous les [Affectation : fréquence définie par l’organisation] ou lorsque les événements suivants se produisent : [Affectation : événements définis par l’organisation].
6. Protéger le contenu des authentifiants contre les divulgations ou les modifications non autorisées.

Discussion

Les authentifiants comprennent les mots de passe, les dispositifs de chiffrement, la biométrie, les certificats, les dispositifs avec mot de passe à usage unique et les cartes d’identité. Le contenu de l’authentifiant initial correspond au contenu réel de l’authentifiant (par exemple, le mot de passe initial). Comparativement, les exigences pour le contenu de l’authentifiant contiennent des caractéristiques particulières. La gestion des authentifiants est prise en charge par des paramètres et des restrictions définis par l’organisation pour différentes caractéristiques d’authentifiant (par exemple, la complexité du mot de passe et les règles de composition, la fenêtre de validation des jetons synchrones à utilisation unique et le nombre de refus permis durant l’étape de vérification de l’authentification biométrique).

L’exigence de protéger les authentifiants individuels peut être mise en œuvre au moyen de l’exigence Règles de conduite 03.15.03, dans les cas où les personnes possèdent les authentifiants, et des exigences Gestion des comptes 03.01.01, Application de l'accès 03.01.02, Droit d'accès minimal 03.01.05 et Confidentialité lors de la transmission et du stockage 03.13.08 pour les authentifiants stockés dans les systèmes de l’organisation, comme les mots de passe stockés en format haché ou chiffré, ou les fichiers qui contiennent des mots de passe hachés ou chiffrés accessibles à l’aide de privilèges d’administrateur. Il est possible de mettre en œuvre des mesures pour protéger les authentifiants, y compris garder en possession les authentifiants, ne pas partager les authentifiants avec d’autres personnes et signaler immédiat la perte, le vol ou la compromission d’authentifiants.

Les développeuses et développeurs peuvent livrer des composants système avec les justificatifs d’authentification pour l’installation et la configuration initiales. Les justificatifs d’authentification par défaut sont souvent bien connus, faciles à découvrir et présentent un risque important. La gestion des authentifiants comprend l’émission et la révocation des authentifiants pour un accès temporaire, qui ne sera plus nécessaire par la suite. L’utilisation de longs mots de passe ou de phrases de passe peut remplacer le besoin d’avoir à changer périodiquement les authentifiants.

Références

Sources pour les contrôles : IA-05
Publications connexes : Centre pour la cybersécurité − Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)

Mettre en œuvre des capacités de traitement des incidents alignées sur le plan d’intervention en cas d’incident et y inclure les activités de préparation, de détection, d’analyse, de confinement, d’éradication et de reprise.

Discussion

L’information liée aux incidents peut provenir de différentes sources, y compris la surveillance des vérifications, des réseaux et des accès physiques, les rapports d’utilisateur et d’administrateur, et les événements signalés de la chaîne d’approvisionnement. L’efficacité des capacités de traitement des incidents dépendent de la coordination entre différentes entités organisationnelles, y compris les propriétaires des activités et de la mission, les propriétaires des systèmes, les ressources humaines, les équipes de sécurité physique et du personnel, les services juridiques, le personnel des opérations et les responsables de l’approvisionnement.

Un incident touchant les renseignements personnels est considéré comme une atteinte à la vie privée. Une atteinte à la vie privée mène à une perte de contrôle, à une compromission, à une divulgation non autorisée, à une utilisation non autorisée, à une collecte illégale, à une conservation ou à une élimination inadéquate, ou à une occurrence similaire où une utilisatrice ou un utilisateur autorisé ou non autorisé accède ou accède potentiellement à une telle information à une fin qui n’est pas autorisée.

Références

Sources pour les contrôles : IR-04
Publications connexes :

• Centre pour la cybersécurité − Élaborer un plan d’intervention en cas d’incident (ITSAP.40.003)
• NIST SP 800-61 Computer Security Incident Handling Guide (en anglais seulement)
• NIST SP 800-161 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (en anglais seulement)

1. Faire le suivi et documenter les incidents de sécurité du système.
2. Signaler les incidents soupçonnés à l’équipe d’intervention en cas d’incident de l’organisation dans une période de [Affectation : période définie par l’organisation].
3. Donner de l’information sur l’incident à [Affectation : autorités définies par l’organisation].
4. Fournir une ressource de soutien pour l’intervention en cas d’incident qui offre des conseils et de l’assistance aux utilisatrices et utilisateurs du système pour le traitement et le signalement des incidents.

Discussion

La documentation des incidents comprend la tenue de dossiers au sujet de chaque incident, l’état de l’incident et toute autre information pertinente aux fins d’investigation informatique, ainsi que l’évaluation des détails, des tendances et du traitement des incidents. L’information relative à un incident peut provenir de diverses sources, y compris la surveillance réseau, les rapports d’incident, les équipes d’intervention en cas d’incident, les plaintes d’utilisatrices et utilisateurs, les partenaires de la chaîne d’approvisionnement, la surveillance des vérifications, la surveillance des accès physiques et les rapports d’utilisateur et d’administrateur. L’exigence Traitement des incidents 03.06.01 fournit de l’information sur les types d’incidents qui sont appropriés pour la surveillance. Les types d’incidents signalés, le contenu et la rapidité des signalements, ainsi que les autorités de signalement doivent refléter les lois, les décrets, les directives, les réglementations, les politiques, les normes et les lignes directrices applicables. Les renseignements sur l’incident informent les évaluations des risques, l’efficacité des évaluations de la sécurité et de la protection de la vie privée, les exigences de sécurité pour l’acquisition et les critères de sélection pour les produits technologiques. Les ressources de soutien fournies par les organisations pour l’intervention en cas d’incident comprennent les services de dépannage, les groupes d’assistance, les systèmes automatisés de demandes de service pour l’ouverture et le suivi des demandes d’intervention en cas d’incident, et l’accès aux services d’investigation informatique ou aux services de recours des consommatrices et consommateurs, au besoin.

Références

Sources pour les contrôles : IR-05, IR-06, IR-07
Publications connexes :

• NIST SP 800-61 Computer Security Incident Handling Guide (en anglais seulement)
• NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response (en anglais seulement)
• Centre pour la cybersécurité − Élaborer un plan d’intervention en cas d’incident (ITSAP.40.003)

Tester l’efficacité des capacités d’intervention en cas d’incident tous les [Affectation : fréquence définie par l’organisation].

Discussion

Les organisations doivent tester les capacités d’intervention en cas d’incident afin de déterminer leur efficacité et d’identifier les faiblesses ou les lacunes potentielles. Les tests d’intervention en cas d’incident incluent l’utilisation de listes de vérification, les exercices de revue générale, les exercices de table et les simulations. Les tests d’intervention en cas d’incident peuvent comprendre la détermination des effets de l’intervention en cas d’incident sur les opérations de l’organisation, les actifs organisationnels et les personnes. Des données qualitatives et quantitatives peuvent aider à déterminer l’efficacité des processus d’intervention en cas d’incident.

Références

Sources pour les contrôles : IR-03
Publications connexes : NIST SP 800-84 Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities (en anglais seulement)

1. Fournir une formation pour intervenir en cas d’incident aux utilisatrices et utilisateurs du système en fonction des rôles et des responsabilités attribués :
   1. dans une période de [Affectation : période définie par l’organisation] après avoir été affecté à un rôle ou à des responsabilités d’intervention en cas d’incident ou après avoir obtenu l’accès au système;
   2. lorsque des changements apportés au système l’exigent;
   3. tous les [Affectation : fréquence définie par l’organisation] par la suite.
2. Examiner et mettre à jour le contenu de la formation d’intervention en cas d’incident tous les [Affectation : fréquence définie par l’organisation] et à la suite de [Affectation : événements définis par l’organisation].

Discussion

La formation d’intervention en cas d’incident est associée à des responsabilités et à des rôles affectés au personnel de l’organisation afin d’assurer un contenu et un niveau de détails appropriés. Par exemple, les utilisatrices et utilisateurs peuvent avoir seulement besoin de connaître avec qui communiquer ou comment reconnaître un incident; les administratrices et administrateurs de système peuvent nécessiter de la formation supplémentaire sur le traitement des incidents; et les intervenantes et intervenants en cas d’incident pourraient recevoir de la formation sur les techniques d’investigation informatique, de collecte de données, de signalement, de reprise et de restauration des systèmes. La formation d’intervention en cas d’incident comprend la formation offerte aux utilisatrices et utilisateurs pour reconnaître et signaler les activités suspectes provenant de sources externes ou internes. La formation d’intervention en cas d’incident pour les utilisatrices et utilisateurs peut être fournie dans le cadre de l’exigence Formation selon le rôle 03.02.02. Les événements qui peuvent nécessiter une mise à jour du contenu de la formation d’intervention en cas d’incident comprennent la mise à l’essai du plan d’intervention en cas d’incident, l’intervention à la suite d’un incident réel, les résultats d’une évaluation ou d’une vérification, ou les changements apportés aux lois, aux décrets, aux politiques, aux directives, aux réglementations, aux normes ou aux lignes directrices applicables.

Références

Sources pour les contrôles : IR-02
Publications connexes :

• NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response (en anglais seulement)
• NIST SP 800-137 Information Security Continuous Monitoring (ISCM) (en anglais seulement)

1. Élaborer un plan d’intervention en cas d’incident qui :
   1. fournit à l’organisation une feuille de route pour la mise en œuvre de ses capacités d’intervention en cas d’incident;
   2. décrit la structure et l’organisation des capacités d’intervention en cas d’incident;
   3. fournit une approche de haut niveau indiquant comment les capacités d’intervention en cas d’incident s’intègrent à l’organisation en général;
   4. définit les incidents devant être signalés;
   5. décrit les modalités d’échange d’information en cas d’incident;
   6. désigne les responsabilités pour les entités, le personnel et les rôles organisationnels.
2. Distribuer des copies des plans d’intervention en cas d’incident au personnel responsable de l’intervention en cas d’incident désigné (identifié par nom ou rôle) et aux équipes organisationnelles.
3. Mettre à jour le plan d’intervention en cas d’incident afin de tenir compte des changements apportés aux systèmes et des changements organisationnels, ou encore des problèmes rencontrés durant la mise en œuvre, l’exécution ou la mise à l’essai du plan d’intervention.
4. Protéger le plan d’intervention en cas d’incident des divulgations non autorisées.

Discussion

Il est important que les organisations élaborent et mettent en œuvre une approche d’intervention coordonnée en cas d’incident. La mission et les activités organisationnelles déterminent la structure des capacités d’intervention en cas d’incident. Dans le cadre des capacités d’intervention en cas d’incident, les organisations doivent considérer la coordination et l’échange d’information avec des organisations externes, y compris des fournisseurs de services et d’autres organisations participant à la chaîne d’approvisionnement.

Références

Sources pour les contrôles : IR-08
Publications connexes :

• Centre pour la cybersécurité − Élaborer un plan d’intervention en cas d’incident (ITSAP.40.003)
• Sécurité publique Canada − Élaboration d’un plan d’intervention en cas d’incident de la technologie opérationnelle et de la technologie de l’information
• Justice Canada − Règlement sur les atteintes aux mesures de sécurité (DORS/2018-64)

1. Approuver, contrôler et surveiller l’utilisation des outils de maintenance des systèmes.
2. Vérifier les supports où sont stockés les programmes de diagnostic et de test afin de détecter la présence de code malveillant, avant d’utiliser les supports dans les systèmes.
3. Prévenir le retrait d’équipement de maintenance de système qui pourrait contenir de l’information contrôlée et vérifier qu’il ne contient pas d’information contrôlée, en procédant à des opérations de nettoyage ou de destruction de l’équipement ou encore en conservant l’équipement dans l’installation.

Discussion

L’approbation, le contrôle, la surveillance et l’examen des outils de maintenance permettent de traiter les problèmes de sécurité en lien avec les outils servant aux activités de diagnostic et de réparation sur le système. Les outils de maintenance peuvent comprendre l’équipement de test et de diagnostic matériel ou logiciel, ainsi que les renifleurs de paquets. Les outils peuvent être préinstallés, transportés par le personnel de maintenance sur des supports, basés sur le nuage ou téléchargés à partir de sites Web. Les programmes de diagnostic et de test peuvent contenir du code malveillant et le livrer au système, intentionnellement ou non. Les supports peuvent être inspectés notamment en vérifiant le hachage cryptographique ou les signatures numériques des programmes de diagnostic et de test, ainsi que des supports.

Si les organisations, lors de l’inspection d’un support qui contient des programmes de diagnostic et de test, déterminent que le support contient également du code malveillant, l’incident doit être traité conformément aux politiques et aux procédures de traitement des incidents. Un examen périodique des outils de maintenance peut mener au retrait de l’approbation d’outils désuets, non pris en charge, non pertinents ou inutilisés. Les outils de maintenance ne concernent pas les composants matériels et logiciels qui appuient la maintenance et sont considérés comme faisant partie du système.

Références

Sources pour les contrôles : MA-03, MA-03(01), MA-03(02), MA-03(03)
Publications connexes : Centre pour la cybersécurité − Nettoyage des supports de TI (ITSP.40.006)

1. Approuver et surveiller les activités de maintenance et de diagnostic non locales.
2. Mettre en œuvre des mécanismes d’authentification multifacteur et résistant à la réinsertion lors de l’établissement des sessions de maintenance et de diagnostic non locales.
3. Mettre fin aux sessions et aux connexions réseau lorsque la maintenance non locale est terminée.

Discussion

Les activités de maintenance et de diagnostic non locales sont menées par des personnes qui communiquent à partir de réseaux externes ou internes. Les activités de maintenance et de diagnostic locales sont menées par des personnes qui se trouvent physiquement à l’emplacement du système et qui ne communiquent pas au moyen d’une connexion réseau. Les techniques d’authentification servant à établir des sessions de maintenance et de diagnostic non locales sont traitées dans l’exigence Identification, authentification et réauthentification des utilisatrices et utilisateurs 03.05.01.

Références

Sources pour les contrôles : MA-04
Publications connexes :

• Centre pour la cybersécurité − Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031)
• Centre pour la cybersécurité − Nettoyage des supports de TI (ITSP.40.006)
• Centre pour la cybersécurité − Gestion de l’identité, des justificatifs d’identité et de l’accès (GIJIA) (ITSAP.30.018)

1. Établir un processus pour l’autorisation du personnel de maintenance.
2. Maintenir une liste des organisations ou du personnel autorisés pour la maintenance.
3. Vérifier que le personnel non accompagné réalisant des activités de maintenance sur le système dispose des autorisations d’accès nécessaires.
4. Désigner des membres du personnel de l’organisation qui possèdent les autorisations d’accès et les compétences techniques nécessaires pour superviser les activités de maintenance effectuées par le personnel qui ne possède pas les autorisations d’accès appropriées.

Discussion

Le personnel de maintenance fait référence aux personnes qui réalisent les activités de maintenance matérielle ou logicielle sur le système, et l’exigence Autorisations d'accès physique 03.10.01 traite de l’accès physique des personnes devant réaliser des activités de maintenance qui les placent dans le périmètre de protection physique du système. La compétence technique de supervision des personnes est liée à la maintenance réalisée sur le système, tandis que la possession des autorisations d’accès appropriées est liée à la maintenance sur ou près du système. Les personnes qui n’ont pas été identifiées précédemment comme faisant partie du personnel de maintenance autorisé (par exemple, les fabricants, les consultantes et consultants, les intégratrices et intégrateurs de systèmes et les fournisseurs) pourraient avoir besoin d’un accès privilégié au système, par exemple dans les cas où la maintenance doit être réalisée avec peu ou sans préavis. Les organisations peuvent choisir d’émettre des justificatifs d’identité temporaires à ces personnes, en fonction de leurs évaluations des risques. Ces justificatifs peuvent être octroyés pour un accès unique ou pour une période très limitée.

Références

Sources pour les contrôles : MA-05
Publications connexes : Aucune

Contrôler physiquement les supports du système contenant de l’information contrôlée et les ranger de façon sécurisée.

Discussion

Les supports du système comprennent les supports numériques et non numériques. Les supports numériques comprennent les disquettes, les disques à mémoire flash, les bandes magnétiques, les disques durs ou à entraînement magnétique externes ou amovibles, les disques compacts et les disques numériques polyvalents (DVD pour Digital Versatile Disc). Les supports non numériques incluent le papier et les microfilms. Le contrôle physique des supports stockés comprend la conduite d’inventaires, l’établissement de procédures afin de permettre aux personnes d’emprunter et de retourner des supports dans la bibliothèque et préserver la responsabilisation des supports stockés. Le stockage sécurisé comprend les tiroirs, les armoires et les bureaux verrouillés ainsi que les bibliothèques de supports contrôlées. Les zones contrôlées fournissent des contrôles physiques et procéduraux afin de répondre aux exigences établies pour la protection de l’information et des systèmes. Les techniques de nettoyage (par exemple, l’effacement, la destruction et la purge cryptographiques) préviennent la divulgation d’information contrôlée à des personnes non autorisées. Le processus de nettoyage retire l’information contrôlée des supports de façon à ce que l’information ne puisse pas être récupérée ou reconstruite.

Références

Sources pour les contrôles : MP-04
Publications connexes :

• NIST SP 800-111 Guide to Storage Encryption Technologies for End User Devices (en anglais seulement)
• Centre pour la cybersécurité − Nettoyage des supports de TI (ITSP.40.006)

Restreindre l’accès à l’information contrôlée qui se trouve sur les supports du système au personnel ou aux rôles autorisés.

Discussion

Les supports du système comprennent les supports numériques et non numériques. L’accès à l’information contrôlée sur un support du système peut être restreint en contrôlant physiquement le support. Le contrôle physique des supports du système comprend la conduite d’inventaires, l’établissement de procédures afin de permettre aux personnes d’emprunter et de retourner des supports dans la bibliothèque et préserver la responsabilisation des supports stockés. Dans le cas des supports numériques, l’accès à l’information contrôlée peut être restreint en ayant recours à des moyens de chiffrement. Le chiffrement de données stockées ou au repos est traité dans l’exigence Confidentialité lors de la transmission et du stockage 03.13.08.

Références

Sources pour les contrôles : MP-02
Publications connexes : NIST SP 800-111 Guide to Storage Encryption Technologies for End User Devices (en anglais seulement)

Nettoyer les supports du système qui contiennent de l’information contrôlée avant leur élimination ou leur transfert hors du contrôle de l’organisation ou aux fins de réutilisation.

Discussion

Le nettoyage des supports s’applique aux supports numériques et non numériques sujets à une élimination ou à une réutilisation, qu’ils soient considérés comme amovibles ou non. Il peut s’agir, par exemple, de supports numériques qui se trouvent dans les numériseurs, les photocopieurs, les imprimantes, les ordinateurs blocs-notes, les postes de travail, les appareils mobiles, les composants réseau et les supports non numériques. Le processus de nettoyage retire l’information contrôlée des supports de façon à ce que l’information ne puisse pas être récupérée ou reconstruite. Les techniques de nettoyage (par exemple, l’effacement, la destruction et la purge cryptographiques) préviennent la divulgation d’information contrôlée à des personnes non autorisées lorsque les supports sont réutilisés ou transférés aux fins d’élimination. Le Centre pour la cybersécurité et la GRC soutiennent les normes pour le contrôle des processus de nettoyage des supports contenant de l’information contrôlée et peuvent exiger la destruction des supports lorsque d’autres méthodes ne peuvent pas être appliquées aux supports.

Références

Sources pour les contrôles : MP-06
Publications connexes :

• Centre pour la cybersécurité − Nettoyage des supports de TI (ITSP.40.006)
• GRC − G1-001 Guide d’équipement de sécurité (limité au GC)

Marquer les supports du système contenant de l’information contrôlée afin d’indiquer les limites de distribution, les mises en garde concernant le traitement et les marquages applicables de l’information contrôlée.

Discussion

Les supports du système comprennent les supports numériques et non numériques. Le marquage désigne l’utilisation ou l’application d’attributs de sécurité lisibles par les humains. L’étiquetage désigne l’utilisation d’attributs de sécurité liés aux structures de données internes du système. Les supports numériques comprennent les disquettes, les bandes magnétiques, les disques durs ou à entraînement magnétique externes ou amovibles, les disques à mémoire flash, les disques compacts et les disques numériques polyvalents (DVD). Les supports non numériques incluent le papier et les microfilms. L’information contrôlée comprend l’information PROTÉGÉ A, PROTÉGÉ B et à propos de marchandises contrôlées qui n’est pas classifiée. L’information protégée est définie par le SCT dans la Directive sur la gestion de la sécurité − Annexe J : Norme sur la catégorisation de sécurité ainsi que les exigences de marquage, de protection et de diffusion pour ce type d’information.

Références

Sources pour les contrôles : MP-03
Publications connexes : Aucune

1. Protéger et contrôler les supports du système contenant de l’information contrôlée durant le transport à l’extérieur des zones contrôlées.
2. Demeurer responsable des supports du système contenant de l’information contrôlée durant le transport à l’extérieur des zones contrôlées.
3. Documenter les activités associées au transport des supports du système contenant de l’information contrôlée.

Discussion

Les supports du système comprennent les supports numériques et non numériques. Les supports numériques incluent les disquettes, les disques à mémoire flash, les bandes magnétiques, les disques durs ou à entraînement magnétique externes ou amovibles, les disques compacts et les DVD. Les supports non numériques incluent le papier et les microfilms. Les zones contrôlées sont des espaces dans lesquels les organisations appliquent des mesures physiques ou procédurales afin de respecter les exigences établies pour la protection de l’information contrôlée et des systèmes. La protection des supports durant le transport peut comprendre la cryptographie CryptographieÉtude des techniques permettant de chiffrer l’information pour la rendre inintelligible ou de rendre lisible une information chiffrée. et/ou des contenants verrouillés. Les activités associées au transport des supports comprennent la remise des supports aux fins de transport, la vérification que les supports suivent les processus de transport adéquats et le transport en tant que tel. Le personnel autorisé responsable du transport et de la messagerie peut inclure des personnes de l’extérieur de l’organisation. Préserver la responsabilisation des supports durant le transport comprend la restriction des activités de transport au personnel autorisé et le suivi ou l’obtention des enregistrements officiels des activités de transport, à mesure que les supports se déplacent dans le système de transport, afin de prévenir et de détecter les pertes, les destructions ou les modifications. Cette exigence est associée aux exigences Confidentialité lors de la transmission et du stockage 03.13.08 et Protection cryptographique 03.13.11.

Références

Sources pour les contrôles : MP-05, SC-28
Publications connexes : NIST SP 800-111 Guide to Storage Encryption Technologies for End User Devices (en anglais seulement)

1. Limiter ou interdire l’utilisation de [Affectation : types de supports définis par l’organisation].
2. Interdire l’utilisation de supports amovibles sans la présence d’un propriétaire identifiable.

Discussion

Contrairement à l’exigence Rangement des supports 03.08.01, qui restreint l’accès des utilisatrices et utilisateurs aux supports, cette exigence limite ou interdit l’utilisation de certains types de supports, comme les disques durs externes, les disques à mémoire flash ou les écrans intelligents. Les organisations peuvent utiliser des mesures techniques et non techniques (par exemple, des politiques, des procédures et des règles de conduite) afin de contrôler l’utilisation des supports du système. Par exemple, les organisations peuvent contrôler l’utilisation des dispositifs de stockage portatifs en installant des cages sur les postes de travail afin d’empêcher l’accès aux ports externes ou encore désactiver ou retirer la possibilité d’insertion, de lecture ou d’écriture de dispositifs.

Les organisations peuvent limiter l’utilisation des dispositifs de stockage portatifs à ceux approuvés, y compris les dispositifs fournis par l’organisation, les dispositifs fournis par d’autres organisations approuvées et les dispositifs qui n’appartiennent pas aux personnes. Les organisations peuvent aussi contrôler l’utilisation des dispositifs de stockage portatifs en fonction du type de dispositif, en empêchant l’utilisation de dispositifs portatifs inscriptibles, et mettre en œuvre cette restriction en désactivant ou en retirant la capacité d’écriture sur ces dispositifs. Les limites ayant trait à l’utilisation des supports de systèmes contrôlés par l’organisation dans les systèmes externes incluent les restrictions sur la façon dont les supports peuvent être utilisés et les conditions associées. En attribuant des propriétaires identifiables (par exemple, des personnes, des organisations ou des projets) aux supports système amovibles, les organisations réduisent les risques liés à l’utilisation de ces technologies puisqu’ils savent à qui attribuer la responsabilité en cas de vulnérabilité connue des supports (par exemple, l’insertion de code malveillant).

Références

Sources pour les contrôles : MP-07
Publications connexes : NIST SP 800-111 Guide to Storage Encryption Technologies for End User Devices (en anglais seulement)

1. Protéger la confidentialité de l’information sauvegardée.
2. Mettre en œuvre des mécanismes cryptographiques afin d’empêcher la divulgation non autorisée d’information contrôlée aux emplacements de stockage des sauvegardes.

Discussion

La sélection de mécanismes cryptographiques est fondée sur le besoin de protéger la confidentialité de l’information sauvegardée. Les dispositifs avec module de sécurité matériel (HSM pour Hardware Security Module) protègent et gèrent les clés cryptographiques et offrent des fonctions de traitement cryptographique. Les opérations cryptographiques (par exemple, le chiffrement, le déchiffrement, et la génération et la vérification de signature) sont typiquement hébergées sur le dispositif HSM, et plusieurs mises en œuvre offrent des mécanismes d’accélération par matériel pour les opérations cryptographiques. Cette exigence est associée à l’exigence Protection cryptographique 03.13.11.

Références

Sources pour les contrôles : CP-09, CP-09(08)
Publications connexes :

• NIST SP 800-34 Contingency Planning Guide for Federal Information Systems (en anglais seulement)
• NIST SP 800-130 A Framework for Designing Cryptographic Key Management Systems (en anglais seulement)

1. Procéder au filtrage de sécurité des personnes avant de leur accorder l’accès au système.
2. Procéder à nouveau au filtrage de sécurité des personnes conformément à [Affectation : conditions nécessitant un nouveau filtrage de sécurité définies par l’organisation].

Discussion

Les activités de filtrage de sécurité du personnel comprennent l’évaluation de la conduite, de l’intégrité, du jugement, de la loyauté, de la fiabilité et de la stabilité d’une personne (c’est-à-dire, l’établissement de la fiabilité) avant d’accorder l’accès au système ou d’élever le niveau d’accès au système. Les activités de filtrage et de refiltrage de sécurité doivent refléter les lois, les décrets, les directives, les politiques, les réglementations et les critères fédéraux établis pour le niveau d’accès requis en fonction du poste concerné.

Références

Sources pour les contrôles : PS-03
Publications connexes :

• NIST SP 800-181 Workforce Framework for Cybersecurity (NICE Framework) (en anglais seulement)
• SPAC − Manuel de la sécurité des contrats

1. Après la cessation d’emploi d’une personne :
   1. désactiver l’accès au système dans une période de [Affectation : période définie par l’organisation];
   2. mettre fin ou révoquer les authentifiants et les justificatifs d’identité associés à la personne;
   3. récupérer les propriétés système associées à la sécurité.
2. Après la mutation d’une personne à un autre poste au sein de l’organisation :
   1. examiner et confirmer le besoin opérationnel continu pour les autorisations d’accès logiques et physiques au système et aux installations;
   2. modifier les autorisations d’accès afin de tenir compte des changements opérationnels nécessaires.

Discussion

Les propriétés système associées à la sécurité incluent les jetons d’authentification matériels, les manuels techniques d’administration de système, les clés, les cartes d’identité et les laissez-passer d’immeuble. Les entrevues de départ permettent de s’assurer que les personnes comprennent les contraintes de sécurité auxquelles elles doivent se soumettre à titre d’anciennes et anciens membres du personnel et leur responsabilité à l’égard des biens de l’organisation. Les sujets abordés lors des entrevues de départ incluent les rappels concernant les éventuelles limitations professionnelles dont ils pourraient faire l’objet et les ententes de non-divulgation. Il se peut qu’il soit impossible de procéder aux entrevues de départ pour certaines employées et certains employés, y compris dans les cas de non-disponibilité des superviseures et superviseurs, de maladie ou d’abandon de poste.

Une exécution rapide des mesures de cessation d’emploi est essentielle dans les cas de congédiement pour motif valable. Les organisations peuvent considérer la désactivation des comptes d’une personne qui a été congédiée avant d’en aviser la personne. Cette exigence s’applique dans les cas de réaffectation ou de mutation de personne, lorsque la mesure est permanente ou si la durée est suffisamment longue pour nécessiter une protection. Les mesures de protection qui peuvent être requises en cas de mutation ou de réaffectation à un autre poste au sein de l’organisation incluent le retour des anciennes cartes d’identité, clés et laissez-passer d’immeuble et l’émission de nouvelles cartes d’identité, clés et laissez-passer d’immeuble; le changement des autorisations d’accès au système (c’est-à-dire les privilèges); la fermeture des comptes système et l’établissement de nouveaux comptes; et le déblocage de l’accès aux documents officiels auxquels la personne avait accès à l’emplacement de travail précédent et des comptes système précédents.

Références

Sources pour les contrôles : PS-04, PS-05
Publications connexes : Aucune

1. Développer, approuver et tenir une liste des personnes disposant d’un accès autorisé à l’emplacement physique où se trouvent les systèmes.
2. Émettre des justificatifs d’identité pour autoriser l’accès physique.
3. Examiner la liste d’accès physique tous les [Affectation : fréquence définie par l’organisation].
4. Retirer les personnes de la liste d’accès aux installations lorsqu’un tel accès n’est plus nécessaire.

Discussion

Une installation peut comprendre un ou plusieurs emplacements physiques hébergeant des systèmes ou des composants système servant à traiter, à stocker ou à transmettre de l’information contrôlée. Les autorisations d’accès physique s’appliquent au personnel et aux visiteurs. Les personnes avec des justificatifs d’identité d’autorisation d’accès physique permanents ne sont pas considérées comme des visiteurs. Les justificatifs d’autorisation comprennent les laissez-passer, les cartes d’identité et les cartes à puce. Les organisations doivent déterminer la force des justificatifs d’identité d’autorisation en fonction des lois, des décrets, des directives, des réglementations, des politiques, des normes et des lignes directrices applicables. Il se peut que les autorisations d’accès physique ne soient pas nécessaires pour accéder à certaines zones dans les installations qui sont désignées comme zones d’accès public.

Références

Sources pour les contrôles : PE-02
Publications connexes : Aucune

1. Surveiller l’accès physique aux installations où se trouvent les systèmes afin de détecter et d’intervenir en cas d’incident de sécurité physique.
2. Examiner les journaux d’accès physique tous les [Affectation : fréquence définie par l’organisation] et à la suite de [Affectation : événements ou indications potentielles d’événement définis par l’organisation].

Discussion

Une installation peut comprendre un ou plusieurs emplacements physiques hébergeant des systèmes ou des composants système servant à traiter, à stocker ou à transmettre de l’information contrôlée. La surveillance de l’accès physique s’applique aux zones à accès public dans les installations de l’organisation. Elle peut être effectuée par des gardes de sécurité, de l’équipement de vidéosurveillance (c’est-à-dire les caméras) et des capteurs. L’examen des journaux d’accès physique peut aider à repérer les activités suspectes, les événements anormaux ou les menaces. Les examens peuvent être appuyés par les contrôles de journalisation des données de vérification si les journaux d’accès font partie d’un système automatisé. Les capacités d’intervention en cas d’incident incluent les enquêtes associées aux incidents de sécurité physique et les interventions connexes. Les incidents incluent les violations de sécurité et les activités d’accès physique suspectes, comme les accès hors des heures normales de travail, les accès répétés aux zones auxquelles on n’accède pas normalement, les accès d’une durée anormalement longue et les accès ne respectant pas l’ordre établi.

Références

Sources pour les contrôles : PE-06
Publications connexes : Aucune

1. Déterminer les autres lieux où le personnel peut travailler.
2. Utiliser les exigences de sécurité suivantes pour les autres lieux de travail : [Affectation : exigences de sécurité définies par l’organisation].

Discussion

Les autres lieux de travail incluent les résidences privées des membres du personnel ou d’autres installations désignées par l’organisation. Les autres lieux de travail peuvent être des emplacements de travail facilement accessibles pour les opérations d’urgence. Les organisations peuvent définir des exigences de sécurité différentes pour d’autres lieux de travail ou types de lieux particuliers, en fonction des activités liées au travail menées sur ces lieux. Évaluer l’efficacité des exigences et fournir un moyen de communication des incidents aux autres lieux de travail permettront d’appuyer les activités de planification d’urgence des organisations.

Références

Sources pour les contrôles : PE-17
Publications connexes :

• Centre pour la cybersécurité − Sécurité des appareils des utilisateurs finaux pour les modèles de déploiement Prenez vos appareils personnels (PAP) (ITSM.70.003)
• NIST SP 800-46 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security (en anglais seulement)
• NIST SP 800-114 User’s Guide to Telework and Bring Your Own Device (BYOD) Security (en anglais seulement)

1. Appliquer les autorisations d’accès physique aux points d’entrée et de sortie des installations où se trouvent les systèmes au moyen de ce qui suit :
   1. vérification des autorisations d’accès physique avant d’accorder l’accès aux installations;
   2. contrôle des points d’entrée et de sortie au moyen de systèmes de contrôle d’accès physique, de dispositifs ou de gardes.
2. Tenir des journaux de vérification d’accès physique pour les points d’entrée et de sortie.
3. Accompagner les visiteurs et contrôler les activités des visiteurs.
4. Fournir des clés sécurisées, des cadenas ou d’autres dispositifs d’accès physique.
5. Contrôler l’accès physique des dispositifs de sortie afin d’empêcher les personnes non autorisées d’obtenir l’accès à l’information contrôlée.

Discussion

Cette exigence traite des emplacements physiques hébergeant des systèmes ou des composants système qui assurent le traitement, le stockage ou la transmission d’information contrôlée. Les organisations doivent déterminer le type de garde nécessaire, y compris le personnel de sécurité professionnel ou le personnel administratif. Les dispositifs de contrôle d’accès physique comprennent les clés, les verrous, les cadenas, les lecteurs biométriques et les lecteurs de cartes. Les systèmes de contrôle d’accès physique doivent être conformes aux lois, aux décrets, aux directives, aux politiques, aux réglementations, aux normes et aux lignes directrices applicables. Les organisations peuvent employer les types de journaux de vérification de leur choix. Les journaux de vérification peuvent être procéduraux, automatisés ou une combinaison des deux. Les points d’accès physique peuvent inclure les points d’accès extérieurs, les points d’accès intérieurs aux systèmes qui exigent des contrôles d’accès supplémentaires ou les deux. Les contrôles d’accès physique s’appliquent au personnel et aux visiteurs. Les personnes avec des autorisations d’accès physique permanentes ne sont pas considérées comme des visiteurs.

Les contrôles de l’accès physique aux dispositifs de sortie incluent le rangement des dispositifs de sortie dans des pièces verrouillées ou d’autres zones sécurisées dotées d’un contrôle d’accès avec clavier numérique ou lecteur de cartes et auxquelles seules les personnes autorisées peuvent accéder, le rangement des dispositifs de sortie dans des emplacements pouvant être surveillés par le personnel, l’installation de filtres d’écran et l’utilisation de casques d’écoute. Les écrans, les imprimantes, les numériseurs, les télécopieurs, les dispositifs audio et les photocopieurs sont des exemples de dispositifs de sortie.

Références

Sources pour les contrôles : PE-03, PE-05
Publications connexes : Aucune

Contrôler l’accès physique aux lignes de distribution et de transmission des systèmes dans les installations de l’organisation.

Discussion

Les mesures de protection appliquées aux lignes de distribution et de transmission des systèmes permettent de prévenir les dommages accidentels, les pannes et les modifications physiques. De telles mesures peuvent également être nécessaires afin d’éviter l’écoute clandestine ou la modification des transmissions non chiffrées. Les mesures de protection servant à contrôler l’accès physique aux lignes de distribution et de transmission des systèmes incluent la déconnexion ou le verrouillage des connecteurs non utilisés, le verrouillage des armoires de câblage, la protection du câblage par des conduits ou des chemins de câbles et l’écoute électronique des capteurs.

Références

Sources pour les contrôles : PE-04
Publications connexes : Aucune

1. Évaluer le risque (y compris les risques associés à la chaîne d’approvisionnement) de divulgation non autorisée résultant de la gestion, du traitement, du stockage ou de la transmission d’information contrôlée.
2. Mettre à jour les évaluations des risques tous les [Affectation : fréquence définie par l’organisation].

Discussion

L’établissement du périmètre du système est une condition préalable pour évaluer les risques de divulgation non autorisée d’information contrôlée. Les évaluations des risques doivent prendre en compte les menaces, les vulnérabilités, les probabilités et les impacts sur les activités et les actifs organisationnels, en fonction de l’exploitation et de l’utilisation du système, et de la divulgation non autorisée d’information contrôlée. Les évaluations des risques doivent également considérer les risques provenant des parties externes (par exemple, les entrepreneurs exploitant les systèmes au nom de l’organisation, les fournisseurs de services, les personnes accédant aux systèmes et les sous-traitants). Elles peuvent être menées au niveau de l’organisation, des processus liés à la mission ou aux activités, ou des systèmes, ainsi qu’à n’importe quelle phase du cycle de développement des systèmes. Les évaluations des risques incluent les risques reliés à la chaîne d’approvisionnement et associés aux fournisseurs ou aux entrepreneurs ainsi que le système, le composant système ou le service système fourni par les fournisseurs et les entrepreneurs.

Références

Sources pour les contrôles : RA-03, RA-03(01), SR-06
Publications connexes :

• CST-GRC − Méthodologie harmonisée d’évaluation des menaces et des risques (EMR-1)
• Centre pour la cybersécurité − La cybersécurité et la chaîne d’approvisionnement : évaluation des risques (ITSAP.10.070)
• Centre pour la cybersécurité − Sécurité de la chaîne d’approvisionnement pour les petites et moyennes organisations (ITSAP.00.070)
• NIST SP 800-30 Guide for Conducting Risk Assessments (en anglais seulement)
• NIST SP 800-161 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (en anglais seulement)

1. Surveiller et balayer les vulnérabilités du système tous les [Affectation : fréquence définie par l’organisation] et lorsque de nouvelles vulnérabilités affectant le système sont identifiées.
2. Corriger les vulnérabilités du système dans une période de [Affectation : délais d’exécution définis par l’organisation].
3. Mettre à jour la liste des vulnérabilités du système à balayer tous les [Affectation : fréquence définie par l’organisation] et lorsque de nouvelles vulnérabilités sont identifiées et signalées.

Discussion

Les organisations doivent déterminer l’analyse des vulnérabilités requise pour les composants du système et s’assurer que les sources potentielles de vulnérabilités (par exemple, les imprimantes, les numériseurs et les photocopieurs en réseau) ne sont pas ignorées. Les analyses de vulnérabilités des logiciels sur mesure peuvent nécessiter des mesures supplémentaires, comme des analyses statistiques, dynamiques ou binaires. Les organisations peuvent utiliser ces mesures dans les examens de code source et les outils (par exemple, les outils d’analyse statique, les analyseurs d’application Web et des analyseurs binaires). Le balayage des vulnérabilités comprend le balayage des niveaux de correctifs; le balayage des fonctions, des ports, des protocoles et des services qui ne doivent pas être accessibles aux utilisatrices et utilisateurs ou aux dispositifs; et le balayage des mécanismes de contrôle de flux mal configurés ou défectueux.

Afin de faciliter l’interopérabilité, les organisations doivent considérer l’utilisation d’outils de balayage qui expriment les vulnérabilités selon la convention d’appellation des vulnérabilités et expositions courantes (CVE pour Common Vulnerabilities and Exposures). Les sources d’information sur les vulnérabilités incluent la liste des lacunes courantes (CWE pour Common Weakness Enumeration), la base de données nationale sur les vulnérabilités (NVD pour National Vulnerability Database) et le système de notation des vulnérabilités courantes (CVSS pour Common Vulnerability Scoring System).

Références

Sources pour les contrôles : RA-05, RA-05(02)
Publications connexes :

• NIST SP 800-40 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology (en anglais seulement)
• NIST SP 800-53A Assessing Security and Privacy Controls in Information Systems and Organizations (en anglais seulement)
• NIST SP 800-70 National Checklist Program for IT Products: Guidelines for Checklist Users and Developers (en anglais seulement)
• NIST SP 800-115 Technical Guide to Information Security Testing and Assessment (en anglais seulement)
• NIST SP 800-126 The Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.3 (en anglais seulement)
• Centre pour la cybersécurité − Les 10 mesures de sécurité des TI : No. 2, Appliquer les correctifs aux systèmes d’exploitation et aux applications (ITSM.10.096)

Prendre des mesures à l’égard des résultats des évaluations, des activités de surveillance et des vérifications de la sécurité.

Discussion

Cette exigence traite le besoin de déterminer une réaction appropriée aux risques avant de générer une entrée dans le plan d’action et des jalons (PAJ). Il peut être possible d’atténuer les risques immédiatement de sorte que l’entrée dans le PAJ ne soit pas nécessaire. Toutefois, une entrée dans le PAJ doit être générée si la réponse aux risques consiste à atténuer les risques identifiés, mais s’il n’est pas possible de procéder à une atténuation immédiate.

Références

Sources pour les contrôles : RA-07
Publications connexes :

• Centre pour la cybersécurité − Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)
• Centre pour la cybersécurité − Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037)
• NIST SP 800-160-1 Engineering Trustworthy Secure Systems (en anglais seulement)

Évaluer les exigences de sécurité et de protection de la vie privée pour le système et son environnement d’exploitation tous les [Affectation : fréquence définie par l’organisation] afin de déterminer si les exigences sont satisfaites.

Discussion

En évaluant les exigences de sécurité et de protection de la vie privée, les organisations doivent déterminer si les mesures de protection et les contre-mesures nécessaires sont correctement mises en œuvre, si elles fonctionnent comme prévu et si elles produisent le résultat escompté. Les évaluations de sécurité identifient les faiblesses et les lacunes du système et fournissent les renseignements essentiels nécessaires pour prendre des décisions en fonction des risques. Les rapports d’évaluation de sécurité et de protection de la vie privée documentent les résultats de l’évaluation à un niveau de détails jugé suffisant par l’organisation pour assurer l’exactitude et l’exhaustivité des rapports. Les résultats des évaluations de sécurité sont présentés aux personnes ou aux rôles appropriés pour les types d’évaluations menées.

Références

Sources pour les contrôles : CA-02
Publications connexes :

• Centre pour la cybersécurité − Catalogue des activités d’assurance et des contrôles de sécurité et de protection de la vie privée (ITSP.10.033)
• Centre pour la cybersécurité − Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)
• Centre pour la cybersécurité − Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037)
• CST-GRC − Méthodologie harmonisée d’évaluation des menaces et des risques (EMR-1)
• NIST SP 800-115 Technical Guide to Information Security Testing and Assessment (en anglais seulement)
• NIST SP 800-53A Assessing Security and Privacy Controls in Information Systems and Organizations (en anglais seulement)

1. Élaborer un plan d’action et des jalons (PAJ) pour le système dans le but de :
   1. documenter les mesures correctives prévues pour corriger les faiblesses ou les lacunes établies lors des évaluations de sécurité;
   2. réduire ou éliminer les vulnérabilités connues du système.
2. Mettre à jour les PAJ existants en fonction des résultats provenant des activités suivantes :
   1. les évaluations de sécurité;
   2. les vérifications ou examens;
   3. la surveillance continue.

Discussion

Les PAJ sont des documents importants des programmes organisationnels de sécurité et de protection de la vie privée. Les organisations ont recours à des PAJ pour décrire comment les exigences de sécurité non satisfaites seront respectées et comment les mesures d’atténuation prévues seront mises en œuvre. Les organisations peuvent documenter les plans de sécurité des systèmes et les PAJ en utilisant des documents séparés ou combinés, peu importe le format.

Références

Sources pour les contrôles : CA-05
Publications connexes : Centre pour la cybersécurité − Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)

Élaborer et mettre en œuvre une stratégie de surveillance continue des systèmes qui comprend des activités continues d’évaluation de la sécurité et de surveillance.

Discussion

La surveillance continue du système facilite une sensibilisation permanente de la sécurité du système et de la posture liée à la protection de la vie privée afin d’appuyer les décisions relatives à la gestion des risques. Les termes continu et permanent signifient que les organisations évaluent et surveillent leurs systèmes à une fréquence suffisante pour appuyer les décisions en fonction des risques. Différents types d’exigence de sécurité et de protection de la vie privée peuvent exiger des fréquences de surveillance différentes.

Références

Sources pour les contrôles : CA-07
Publications connexes :

• Centre pour la cybersécurité − Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)
• NIST SP 800-115 Technical Guide to Information Security Testing and Assessment (en anglais seulement)
• NIST SP 800-137 Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations (en anglais seulement)
• NIST SP 800-53A Assessing Security and Privacy Controls in Information Systems and Organizations (en anglais seulement)

1. Approuver et gérer l’échange d’information contrôlée entre le système et d’autres systèmes au moyen de [Sélection (un ou plusieurs) : ententes sur la sécurité des interconnexions; ententes sur la sécurité de l’échange d’information; ententes ou protocoles d’entente; ententes sur l’échange d’information; accords sur les niveaux de service; ententes avec les utilisatrices et utilisateurs; accords de non-divulgation].
2. Documenter, dans le cadre des ententes d’échange, les caractéristiques d’interface, les exigences de sécurité et de protection de la vie privée ainsi que les responsabilités liées à chacun des systèmes.
3. Examiner et mettre à jour les ententes d’échange tous les [Affectation : fréquence définie par l’organisation].

Discussion

L’échange d’information s’applique aux échanges d’information entre deux ou plusieurs systèmes de l’organisation ou à l’extérieur de l’organisation. Les organisations doivent considérer les risques associés aux menaces nouvelles ou grandissantes qui peuvent être introduites lorsque les systèmes échangent de l’information avec d’autres systèmes qui peuvent avoir des exigences ou des stratégies de sécurité différentes. Les types d’ententes doivent être sélectionnés en fonction de facteurs comme la relation entre les organisations qui échangent de l’information (par exemple, d’un organisme gouvernemental à un autre, d’un organisme gouvernemental à une entreprise, d’une entreprise à une autre, d’un organisme gouvernemental ou d’une entreprise à un fournisseur de services, d’un organisme gouvernemental ou d’une entreprise à personne) et le niveau d’accès au système organisationnel par les utilisatrices et utilisateurs de l’autre système. Les types d’ententes peuvent inclure des ententes sur la sécurité de l’échange d’information, des ententes sur la sécurité des interconnexions, des ententes ou protocoles d’entente, des ententes sur l’échange d’information, des accords sur les niveaux de service ou d’autres types d’ententes.

Les organisations peuvent intégrer l’information des ententes dans des contrats officiels, en particulier pour les échanges d’information entre des ministères et organismes fédéraux et des organisations non fédérales (par exemple, des prestataires de services, des entrepreneures et entrepreneurs, des développeuses et développeurs de systèmes et des intégratrices et intégrateurs de systèmes). Les renseignements qui se trouvent dans les ententes d’échange incluent les caractéristiques d’interface InterfaceFrontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels. , les exigences de sécurité et de protection de la vie privée, les contrôles et les responsabilités pour chaque système.

Références

Sources pour les contrôles : CA-03
Publications connexes :

• Centre pour la cybersécurité − Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022)
• Centre pour la cybersécurité − Considérations de conception relatives au positionnement des services dans les zones (ITSG-38)
• NIST SP 800-47 Managing the Security of Information Exchanges (en anglais seulement)

1. Surveiller et contrôler les communications des interfaces externes gérées vers le système et des principales interfaces internes gérées au sein du système.
2. Mettre en œuvre des sous-réseaux pour les composants système à accès public qui sont séparés physiquement ou logiquement des réseaux internes.
3. Assurer la connexion des systèmes externes seulement au moyen d’interfaces gérées constituées de dispositifs de protection de périmètre organisés conformément à l’architecture de sécurité de l’organisation.

Discussion

Les interfaces gérées incluent les passerelles, les routeurs, les pare-feu, les analyseurs réseau de code malveillant, les systèmes de virtualisation et les tunnels chiffrés mis en œuvre au sein d’une architecture de sécurité. Les sous-réseaux qui sont séparés physiquement ou logiquement des réseaux internes sont appelés communément des zones démilitarisées (ZD) ou DMZ DMZVoir Zone démilitarisée. (pour Demilitarized Zones). La restriction ou l’interdiction d’interfaces au sein des systèmes organisationnels comprend la restriction du trafic Web externe vers les serveurs Web désignés dans des interfaces gérées et l’interdiction de la mystification d’adresses (internes et externes) pour les protocoles franchissant le périmètre.

Références

Sources pour les contrôles : SC-07
Publications connexes :

• Centre pour la cybersécurité − Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022)
• Centre pour la cybersécurité − Considérations de conception relatives au positionnement des services dans les zones (ITSG-38)
• Centre pour la cybersécurité − Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062)
• NIST SP 800-189 Resilient Interdomain Traffic Exchange: BGP Security and DDoS Mitigation (en anglais seulement)
• NIST SP 800-41 Guidelines on Firewalls and Firewall Policy (en anglais seulement)
• NIST SP 800-160-1 Engineering Trustworthy Secure Systems (en anglais seulement)
• NIST SP 800-125B Secure Virtual Network Configuration for Virtual Machine (VM) Protection (en anglais seulement)
• NIST SP 800-207 Zero Trust Architecture (en anglais seulement)

Empêcher les transferts d’information non autorisés ou non prévus au moyen de ressources système partagées.

Discussion

Empêcher les transferts d’information non autorisés ou non prévus au moyen de ressources système partagées permet d’éviter que l’information produite par les opérations d’utilisatrices et utilisateurs ou de rôles antérieurs (ou les opérations de processus agissant au nom d’utilisatrices et utilisateurs ou de rôles antérieurs) soit disponible pour les utilisatrices et utilisateurs ou les rôles actuels (ou les processus actuels agissant au nom des utilisatrices et utilisateurs ou des rôles actuels) qui obtiennent l’accès aux ressources système partagées après que les ressources ont été retournées au système. L’information dans les ressources système partagées s’applique également aux représentations chiffrées de l’information. Dans d’autres contextes, le contrôle de l’information dans les ressources système partagées est couramment appelé la réutilisation d’objets et la protection d’information résiduelle. L’information dans les ressources système partagées ne s’applique pas à la persistance d’information, qui fait référence à la représentation résiduelle des données qui ont été nominalement supprimées, ni aux canaux cachés (y compris les canaux de stockage et de temps) où les ressources système partagées sont manipulées de façon à enfreindre les restrictions relatives aux flux d’information, ni aux composants des systèmes qui sont associés à un seul utilisateur ou rôle.

Références

Sources pour les contrôles : SC-04
Publications connexes : Aucune

Refuser par défaut le trafic de communications réseau et permettre le trafic de communications réseau au moyen d’exceptions.

Discussion

Cette exigence s’applique au trafic de communications réseau entrant et sortant dans le périmètre du système et aux points désignés au sein du système. Une stratégie de trafic de communications réseau de type « refus par défaut et autorisation par exception » permet de s’assurer que seules les connexions essentielles et approuvées sont permises.

Références

Sources pour les contrôles : SC-07(05)
Publications connexes :

• NIST SP 800-41 Guidelines on Firewalls and Firewall Policy (en anglais seulement)
• NIST SP 800-77 Guide to IPsec VPNs (en anglais seulement)
• NIST SP 800-189 Resilient Interdomain Traffic Exchange: BGP Security and DDoS Mitigation (en anglais seulement)

Mettre en œuvre des mécanismes cryptographiques afin d’empêcher la divulgation non autorisée d’information contrôlée lors de la transmission et du stockage.

Discussion

Cette exigence s’applique aux réseaux internes et externes ainsi qu’à tous les composants du système qui peuvent transmettre de l’information contrôlée, y compris les serveurs, les ordinateurs blocs-notes, les ordinateurs de bureau, les appareils mobiles, les imprimantes, les photocopieurs, les numériseurs, les télécopieurs et les radios. Les voies de communication non protégées sont vulnérables à l’interception et à la modification. Le chiffrement protège l’information contrôlée des divulgations non autorisées lors de la transmission et du stockage. Les mécanismes cryptographiques qui protègent la confidentialité de l’information contrôlée durant la transmission incluent les protocoles TLS et IPsec. L’information en stockage (c’est-à-dire l’information au repos) désigne l’état de l’information contrôlée lorsqu’elle n’est pas traitée ou en transit et qu’elle réside sur des dispositifs de stockage internes ou externes, sur des dispositifs de réseau de stockage et dans des bases de données. La protection de l’information contrôlée en stockage ne concerne pas le type de dispositif de stockage ni la fréquence d’accès au dispositif, mais plutôt l’état de l’information. Cette exigence est associée à l’exigence Protection cryptographique 03.13.11.

Références

Sources pour les contrôles : SC-08, SC-08(01), SC-28, SC-28(01)
Publications connexes :

• Centre pour la cybersécurité − Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111)
• Centre pour la cybersécurité − Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062)
• NIST FIPS 140-3 Security Requirements for Cryptographic Modules (en anglais seulement)
• NIST FIPS 197 Advanced Encryption Standard (en anglais seulement)
• NIST SP 800-46 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security (en anglais seulement)
• NIST SP 800-52 Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (en anglais seulement)
• NIST SP 800-56A Recommendation for Pair-Wise Key-Establishment Schemes Using Discrete Logarithm Cryptography (en anglais seulement)
• NIST SP 800-56B Recommendation for Pair-Wise Key-Establishment Schemes Using Integer Factorization Cryptography (en anglais seulement)
• NIST SP 800-56C Recommendation for Key-Derivation Methods in Key-Establishment Schemes (en anglais seulement)
• NIST SP 800-57-1 Recommendation for Key Management: Part 1 – General (en anglais seulement)
• NIST SP 800-57-2 Recommendation for Key Management: Part 2 – Best Practices for Key Management Organizations (en anglais seulement)
• NIST SP 800-57-3 Recommendation for Key Management, Part 3: Application-Specific Key Management Guidance (en anglais seulement)
• NIST SP 800-77 Guide to IPsec VPNs (en anglais seulement)
• NIST SP 800-111 Guide to Storage Encryption Technologies for End User Devices (en anglais seulement)
• NIST SP 800-113 Guide to SSL VPNs (en anglais seulement)
• NIST SP 800-114 User’s Guide to Telework and Bring Your Own Device (BYOD) Security (en anglais seulement)
• Centre pour la cybersécurité − Sécurité des appareils des utilisateurs finaux pour les modèles de déploiement Prenez vos appareils personnels (PAP) (ITSM.70.003)
• NIST SP 800-121 Guide to Bluetooth Security (en anglais seulement)
• NIST SP 800-124 Guidelines for Managing the Security of Mobile Devices in the Enterprise (en anglais seulement)
• NIST SP 800-177 Trustworthy Email (en anglais seulement)

Mettre fin aux connexions réseau associées aux sessions de communication à la fin de la session ou après [Affectation : période définie par l’organisation] d’inactivité.

Discussion

Cette exigence s’applique aux réseaux internes et externes. L’interruption des connexions réseau associées aux sessions de communication comprend la désaffectation des adresses TCP/IP ou des paires de ports au niveau du système d’exploitation ou la désaffectation des attributions réseau au niveau de l’application si plusieurs sessions d’application utilisent une seule connexion réseau. Les périodes d’inactivité peuvent être établies par les organisations et comprennent des périodes par type d’accès réseau ou pour des accès réseau particuliers.

Références

Sources pour les contrôles : SC-10
Publications connexes : Aucune

Établir et gérer les clés cryptographiques dans le système conformément aux exigences de gestion de clés suivantes : [Affectation : exigences définies par l’organisation liées à la génération, à la distribution, au stockage, à l’accès et à la destruction des clés].

Discussion

L’établissement et la gestion des clés cryptographiques peuvent être effectués au moyen de procédures manuelles ou de mécanismes automatisés appuyés par des procédures manuelles. Les organisations doivent répondre aux exigences d’établissement et de gestion de clés conformément aux lois, aux décrets, aux politiques, aux directives, aux réglementations et aux normes applicables qui précisent les options, les niveaux et les paramètres appropriés. Cette exigence est associée à l’exigence Protection cryptographique 03.13.11.

Références

Sources pour les contrôles : SC-12
Publications connexes :

• Centre pour la cybersécurité − Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062)
• NIST FIPS 140-3 Security Requirements for Cryptographic Modules (en anglais seulement)
• NIST SP 800-56A Recommendation for Pair-Wise Key-Establishment Schemes Using Discrete Logarithm Cryptography (en anglais seulement)
• NIST SP 800-56B Recommendation for Pair-Wise Key-Establishment Schemes Using Integer Factorization Cryptography (en anglais seulement)
• NIST SP 800-56C Recommendation for Key-Derivation Methods in Key-Establishment Schemes (en anglais seulement)
• NIST SP 800-57-1 Recommendation for Key Management: Part 1 – General (en anglais seulement)
• NIST SP 800-57-2 Recommendation for Key Management: Part 2 – Best Practices for Key Management Organizations (en anglais seulement)
• NIST SP 800-57-3 Recommendation for Key Management, Part 3: Application-Specific Key Management Guidance (en anglais seulement)

Mettre en œuvre les types de cryptographie suivants pour protéger la confidentialité de l’information contrôlée : [Affectation : types de cryptographie définis par l’organisation].

Discussion

La cryptographie est mise en œuvre conformément aux lois, aux décrets, aux directives, aux réglementations, aux politiques, aux normes et aux lignes directrices applicables. Une cryptographie validée selon la norme FIPS (pour Federal Information Processing Standard) est recommandée pour la protection d’information contrôlée.

Références

Sources pour les contrôles : SC-13
Publications connexes : NIST FIPS 140-3 Security Requirements for Cryptographic Modules

1. Empêcher l’activation à distance d’applications et d’appareils informatiques collaboratifs, sauf pour les exceptions suivantes : [Affectation : exceptions définies par l’organisation pour lesquelles l’activation à distance doit être permise].
2. Indiquer de manière explicite l’utilisation permise pour les utilisatrices et utilisateurs physiquement à proximité des appareils.

Discussion

Les appareils informatiques collaboratifs incluent les tableaux blancs, les microphones et les caméras. Les ordinateurs blocs-notes, les téléphones intelligents, les écrans et les tablettes intégrant des caméras et des microphones sont considérés comme faisant partie des appareils informatiques collaboratifs lors de l’utilisation d’un logiciel de conférence. L’indication explicite d’utilisation comprend l’envoi d’un avis aux utilisatrices et utilisateurs (par exemple, un menu contextuel indiquant qu’un enregistrement est en cours ou que le microphone est activé) lorsque des appareils informatiques collaboratifs sont activés. Les systèmes de vidéoconférence dédiés, qui exigent normalement qu’une participante ou un participant appelle les autres personnes ou se connectent pour activer la vidéoconférence, sont exclus. Les solutions permettant d’empêcher l’utilisation d’appareils comprennent les bouchons pour caméras Web et les boutons pour désactiver les microphones.

Références

Sources pour les contrôles : SC-15
Publications connexes : Aucune

1. Définir le code mobile et les technologies de code mobile acceptables.
2. Autoriser, surveiller et contrôler l’utilisation de code mobile.

Discussion

Le code mobile comprend des programmes informatiques ou des parties de programme obtenus de systèmes distants, transmis sur un réseau et exécutés sur un système local sans installation explicite ou exécution par la ou le destinataire. Les décisions concernant l’utilisation de code mobile reposent sur le degré de possibilité qu’une utilisation malveillante du code cause des dommages au système. Les technologies de code mobile incluent les applets Java, JavaScript, HTML5, VBScript et WebGL. Les restrictions d’utilisation et les lignes directrices sur la mise en œuvre s’appliquent à la sélection et à l’utilisation de code mobile installé sur les serveurs ainsi que le code mobile téléchargé et exécuté sur les postes de travail et les appareils individuels, y compris les ordinateurs blocs-notes, les téléphones intelligents et les dispositifs intelligents. Les politiques et procédures liées au code mobile concernent les mesures prises afin d’empêcher le développement, l’acquisition et l’utilisation de code mobile non acceptable au sein du système, y compris exiger la signature numérique Signature numériqueMécanisme cryptographique employé pour vérifier l'authenticité et l'intégrité d'un article (p. ex. un document, un logiciel). du code mobile par une source de confiance.

Références

Sources pour les contrôles : SC-18
Publications connexes : NIST SP 800-28 Guidelines on Active Content and Mobile Code (en anglais seulement)

Protéger l’authenticité des sessions de communication.

Discussion

La protection de l’authenticité des sessions porte sur la protection des communications au niveau de la session plutôt qu’au niveau des paquets. Cette protection permet d’instaurer un niveau de confiance adéquat aux deux extrémités des sessions de communication quant à l’identité des autres parties et à la validité de l’information transmise. La protection de l’authenticité comprend la protection contre les attaques par interception, le détournement de session et l’insertion d’information erronée dans les sessions.

Références

Sources pour les contrôles : SC-23
Publications connexes :

• Centre pour la cybersécurité − Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062)
• NIST SP 800-52 Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations (en anglais seulement)
• NIST SP 800-77 Guide to IPsec VPNs (en anglais seulement)
• NIST SP 800-95 Guide to Secure Web Services (en anglais seulement)
• NIST SP 800-113 Guide to SSL VPNs (en anglais seulement)

03.13.16 Non affecté

Retiré par le NIST

1. Établir, signaler et corriger les défauts du système.
2. Installer les mises à jour de sécurité appropriées des logiciels et des micrologiciels dans une période de [Affectation : période définie par l’organisation] suivant la date de publication des mises à jour.

Discussion

Les organisations doivent établir les systèmes qui sont touchés par les défauts logiciels et micrologiciels, y compris les vulnérabilités qui découlent de ces défauts, et signaler cette information au personnel responsable de la sécurité de l’information et de la protection de la vie privée. Les mises à jour liées à la sécurité incluent les correctifs, les ensembles de modifications provisoires, les correctifs d’urgence et les signatures de logiciel antivirus Logiciel antivirusLogiciel qui protège contre les virus, les chevaux de Troie, les vers et les logiciels espions. Le logiciel anti-virus procède à l'analyse des fichiers afin d'identifier des programmes qui sont ou pourraient être malveillants. L'analyse permet d'identifier : les virus connus, les virus auparavant inconnus et les fichiers suspects. . Les organisations doivent corriger les défauts découverts au cours des évaluations de sécurité, de la surveillance continue, des activités d’intervention en cas d’incident et du traitement des erreurs du système. Les organisations peuvent tirer parti des ressources offertes (par exemple, les bases de données CWE ou CVE) pour corriger les défauts des systèmes. Les périodes définies par l’organisation pour la mise à jour de sécurité des logiciels et des micrologiciels peuvent varier en fonction de divers facteurs, notamment la criticité de la mise à jour (c’est-à-dire la gravité de la vulnérabilité associée à la faille découverte). Certains types de correctifs peuvent nécessiter plus de mises à l’essai que d’autres.

Références

Sources pour les contrôles : SI-02
Publications connexes :

• Centre pour la cybersécurité − Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)
• NIST SP 800-40 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology (en anglais seulement)
• NIST SP 800-128 Guide for Security-Focused Configuration Management of Information Systems (en anglais seulement)

1. Mettre en œuvre des mécanismes de protection contre les programmes malveillants aux points d’entrée et de sortie du système afin de détecter et d’éradiquer le code malveillant.
2. Mettre à jour les mécanismes de protection contre les programmes malveillants dès que de nouvelles versions sont disponibles, conformément aux stratégies et procédures de gestion des configurations.
3. Configurer les mécanismes de protection contre les programmes malveillants de façon à :
   1. effectuer un balayage du système tous les [Affectation : fréquence définie par l’organisation] et des balayages en temps réel des fichiers de sources externes aux points d’extrémité ou aux points d’entrée et de sortie du système lorsque des fichiers sont téléchargés, ouverts ou exécutés;
   2. bloquer ou mettre en quarantaine le code malveillant ou entreprendre d’autres mesures d’atténuation afin d’intervenir lors de la détection de code malveillant.

Discussion

Les insertions de code malveillant surviennent lors de l’exploitation de vulnérabilités du système. Le code malveillant peut être inséré dans le système de différentes façons, y compris par courriel, par Internet et par des dispositifs de stockage portatifs. Le code malveillant comprend les virus VirusProgramme informatique qui se propage en se copiant par lui-même. Les virus informatiques se propagent d’un ordinateur à l’autre, souvent à l’insu de l’utilisateur, et causent des dommages de toutes sortes. Ils peuvent faire afficher des messages irritants, voler des données ou même permettre à d’autres utilisateurs de prendre le contrôle de l’ordinateur infecté. , les vers, les chevaux de Troie et les logiciels espions. Le code malveillant peut être encodé sous différents formats, contenu dans des fichiers compressés ou cachés, ou encore dissimulé dans des fichiers en utilisant des techniques comme la stéganographie. Le code malveillant peut être présent dans des logiciels commerciaux sur étagère et dans des logiciels conçus sur mesure et peut comprendre des bombes logiques, des portes dérobées et d’autres types d’attaques qui peuvent affecter la mission et les activités de l’organisation. Des analyses périodiques du système et des balayages en temps réel des fichiers provenant de sources externes lorsqu’ils sont téléchargés, ouverts ou exécutés peuvent faciliter la détection de code malveillant. Les mécanismes de protection contre les programmes malveillants peuvent également surveiller les systèmes afin de détecter les comportements anormaux ou inattendus et prendre les mesures appropriées.

Ces mécanismes comprennent des technologies axées ou non sur les signatures. Les mécanismes de détection qui ne sont pas axés sur les signatures intègrent des techniques d’intelligence artificielle Intelligence artificielleSous-domaine de l'informatique ayant trait au développement de programmes informatiques aptes à résoudre des problèmes, à apprendre, à comprendre des langages, à interpréter des scènes visuelles, bref, à se comporter de façon à reproduire les facultés cognitives de l'intelligence humaine. (IA) qui utilisent des heuristiques afin de détecter, d’analyser et de décrire les caractéristiques ou les comportements des programmes malveillants. Ils fournissent également des contrôles contre de tels programmes malveillants pour lesquels il n’existe pas encore de signature ou de telles signatures s’avèrent inefficaces. Les cas où les signatures sont inexistantes ou inefficaces incluent les programmes malveillants polymorphiques (c’est-à-dire le code pour lequel les signatures sont modifiées lors de la réplication). Les mécanismes qui ne sont pas axés sur les signatures incluent les technologies basées sur la réputation. Une gestion omniprésente des configurations, des logiciels anti-exploitation et des contrôles d’intégrité logicielle peuvent également être efficaces pour empêcher l’exécution de code non autorisé.

S’il n’est pas possible de détecter le code malveillant à l’aide de méthodes ou de technologies de détection, les organisations peuvent miser sur des pratiques de codage sécurisées, le contrôle et la gestion des configurations, des processus d’approvisionnement de confiance et des pratiques de suivi pour veiller à ce que les logiciels n’exécutent que les fonctions prévues. Les organisations peuvent déterminer que d’autres mesures s’imposent en réponse à une détection de code malveillant. Par exemple, les organisations peuvent définir des mesures à prendre en réponse à une détection de code malveillant au cours d’analyses, de téléchargements malveillants ou d’activités malveillantes associés à une tentative d’ouverture ou d’exécution de fichier.

Références

Sources pour les contrôles : SI-03
Publications connexes :

• Centre pour la cybersécurité − Protéger votre organisation contre les maliciels (ITSAP.00.057)
• Centre pour la cybersécurité − Reconnaître les courriels malveillants (ITSAP.00.100)
• NIST SP 800-83 Guide to Malware Incident Prevention and Handling for Desktops and Laptops (en anglais seulement)
• NIST SP 800-125B Secure Virtual Network Configuration for Virtual Machine (VM) Protection (en anglais seulement)
• NIST SP 800-177 Trustworthy Email (en anglais seulement)

1. Recevoir régulièrement d’organisations externes des alertes, des avis et des directives de sécurité concernant les systèmes.
2. Générer et diffuser les alertes, les avis et les directives de sécurité internes concernant les systèmes, au besoin.

Discussion

Il existe de nombreuses sources publiques pour les alertes et les avis de sécurité des systèmes. Par exemple, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) génère des alertes et des bulletins de sécurité pour assurer une connaissance de la situation au sein des organismes du GC et des organisations ne relevant pas du GC. Les fournisseurs de logiciels, les services d’abonnement et les centres ISAC (pour Information Sharing and Analysis Centres) de l’industrie peuvent également fournir des alertes et des avis de sécurité. La conformité aux directives de sécurité est essentielle en raison de la nature critique d’un grand nombre de ces directives et des effets néfastes immédiats possibles sur les opérations et les actifs organisationnels, sur les utilisatrices et utilisateurs, sur d’autres organisations et sur l’ensemble du pays dans l’éventualité où les directives ne sont pas mises en œuvre rapidement.

Références

Sources pour les contrôles : SI-05
Publications connexes : NIST SP 800-161 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (en anglais seulement)

1. Surveiller le système afin de détecter :
   1. les attaques et les indicateurs d’attaques potentielles;
   2. les connexions non autorisées.
2. Détecter les utilisations non autorisées du système.
3. Surveiller le trafic de communications entrantes et sortantes afin de détecter les activités ou les conditions atypiques ou non autorisées.

Discussion

La surveillance du système comprend à la fois la surveillance interne et la surveillance externe. La surveillance interne comprend l’observation des événements qui surviennent dans le système. La surveillance externe comprend l’observation des événements qui se produisent à la frontière du système. Les organisations peuvent surveiller le système en observant les activités liées aux enregistrements de vérification en temps réel ou en observant d’autres aspects du système, comme les tendances d’accès, les caractéristiques d’accès et d’autres opérations. Les objectifs de la surveillance peuvent orienter la détermination des événements.

Les capacités de surveillance du système sont réalisées au moyen d’une variété d’outils et de techniques (par exemple, les logiciels de surveillance des enregistrements de vérification, les systèmes de détection d’intrusion, les systèmes de prévention d’intrusion, les logiciels de protection contre le code malveillant, les outils de balayage et les logiciels de surveillance de réseau). Les dispositifs de surveillance sont déployés à des endroits stratégiques, notamment dans des emplacements du périmètre sélectionnés et près des grappes de serveurs qui prennent en charge des applications essentielles, et sont employés à titre d’interfaces système gérées. La granularité de la surveillance de l’information collectée est basée sur les objectifs de surveillance de l’organisation et la capacité du système à prendre en charge de tels objectifs.

Les connexions aux systèmes peuvent être de type réseau, distant ou local. Une connexion réseau est une connexion effectuée avec un appareil qui communique au moyen d’un réseau (par exemple, un réseau local, Internet). Une connexion distante est une connexion effectuée avec un appareil qui communique au moyen d’un réseau externe (par exemple, Internet). Les connexions réseau, distantes et locales peuvent être filaires ou sans fil.

Les activités ou conditions inusitées ou non autorisées associées au trafic de communications entrantes et sortantes comprennent le trafic interne qui indique la présence de code malveillant sur le système ou qui se propage entre les composants du système, l’exportation d’information non autorisée ou la signalisation vers des systèmes externes. Les preuves de code malveillant servent à déterminer la compromission potentielle du système. Les exigences en matière de surveillance du système, y compris la surveillance selon le type de système, peuvent se trouver dans d’autres exigences.

Références

Sources pour les contrôles : SI-04, SI-04(04)
Publications connexes :

• NIST SP 800-61 Computer Security Incident Handling Guide (en anglais seulement)
• NIST SP 800-83 Guide to Malware Incident Prevention and Handling for Desktops and Laptops (en anglais seulement)
• NIST SP 800-92 Guide to Computer Security Log Management (en anglais seulement)
• NIST SP 800-94 Guide to Intrusion Detection and Prevention Systems (IDPS) (en anglais seulement)
• NIST SP 800-137 Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations (en anglais seulement)
• NIST SP 800-177 Trustworthy Email (en anglais seulement)

Gérer et conserver l’information contrôlée au sein du système et les sorties d’information contrôlée du système conformément aux lois, aux décrets, aux directives, aux réglementations, aux politiques, aux normes, aux lignes directrices et aux exigences opérationnelles applicables.

Discussion

Les ministères et organismes fédéraux doivent tenir compte des exigences de conservation des données des organisations non fédérales. La conservation d’information contrôlée sur des systèmes non fédéraux à la fin de contrats ou d’ententes augmente la surface d’attaque de ces systèmes et les risques de compromission de l’information. Bibliothèque et Archives Canada fournit la politique et les directives fédérales concernant la conservation des documents et le calendrier de conservation.

Références

Sources pour les contrôles : SI-12
Publications connexes : Aucune

1. Exiger que les opérations d’administration ou de superutilisateur soient réalisées à partir d’un poste de travail physique dédié à ces tâches précises et isolées des autres fonctions et réseaux. En particulier, la station ne devrait pas avoir accès à Internet.
2. S’assurer que la connexion distante d’un poste de travail administratif dédié à un réseau cible utilise un réseau privé d’opérateur (par exemple, un service LAN privé virtuel [VPLS] ou une commutation multiprotocole par étiquette [MPLS]) avec chiffrement de RPV.
3. Utiliser un client léger ou un poste de travail physique dédié et renforcé univalent à titre de poste de travail administratif dédié, qui n’est pas partagé entre les domaines de sécurité.

Discussion

Un poste de travail administratif dédié est typiquement constitué d’un terminal d’utilisateur et d’une très petite sélection de logiciels conçus pour interfacer avec le système cible. Aux fins du présent contrôle, un poste de travail est un système à partir duquel les tâches d’administration sont réalisées, par opposition au système cible. Le poste de travail administratif dédié doit être renforcé pour le rôle afin de réduire la probabilité qu’un point d’extrémité de superutilisateur ou d’administrateur soit compromis par un auteur de menace (ce qui entraînerait logiquement la compromission du système cible). Les outils bureautiques typiques ne sont pas nécessaires sur le poste de travail administratif dédié. Toutes les applications et tous les services non essentiels doivent être supprimés. Les postes de travail administratifs dédiés n’ont pas de jonction de domaine, ne peuvent pas télécharger de correctif à partir d’Internet et ne peuvent pas mettre à jour la documentation dans les applications en réseau.

Le retrait de l’accès Internet public des postes de travail administratifs réduit considérablement les risques de compromission. Les passerelles RPV RPVVoir Réseau privé virtuel. exposées à Internet ne sont pas privilégiées pour les activités d’administration à distance. Les opérateurs privés offrent une meilleure protection, mais nécessitent tout de même un chiffrement de RPV au sein de réseau. Le poste de travail administratif dédié ne doit pas devenir un moyen de déplacement latéral entre les domaines de sécurité.

Références

Sources pour les contrôles : SI-400, SI-400(02), SI-400(05)
Publications connexes : Aucune

1. Élaborer, documenter et diffuser au personnel ou aux rôles de l’organisation les politiques et les procédures nécessaires afin de satisfaire les exigences de sécurité pour la protection de l’information contrôlée.
2. Examiner et mettre à jour les politiques et les procédures tous les [Affectation : fréquence définie par l’organisation].

Discussion

Cette exigence traite des politiques et des procédures pour la protection de l’information contrôlée. Les politiques et les procédures contribuent à l’assurance de la sécurité et doivent s’appliquer à chaque famille d’exigences de sécurité de l’information contrôlée. Les politiques peuvent être incluses dans le cadre de la stratégie de sécurité de l’organisation ou être représentées par des politiques séparées pour chacune des familles d’exigence. Les procédures décrivent comment les politiques sont mises en œuvre et peuvent s’appliquer aux personnes ou aux rôles étant l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité du système ou dans un ou plusieurs documents séparés.

Références

Sources pour les contrôles : AC-01, AT-01, AU-01, CA-01, CM-01, IA-01, IR-01, MA-01, MP-01, PE-01, PL-01, PS-01, RA-01, SA-01, SC-01, SI-01, SR-01
Publications connexes :

• Centre pour la cybersécurité − Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)
• NIST SP 800-12 An Introduction to Information Security (en anglais seulement)
• NIST SP 800-100 Information Security Handbook (en anglais seulement)

1. Élaborer un plan de sécurité et de protection de la vie privée pour le système qui :
   1. définit les composants constitutifs du système;
   2. identifie les types d’informations traitées, stockées et transmises par le système;
   3. décrit les menaces particulières pour le système qui sont préoccupantes pour l’organisation;
   4. décrit l’environnement opérationnel du système ainsi que les dépendances ou les connexions à d’autres systèmes ou à d’autres composants du système;
   5. fournit un aperçu des exigences de sécurité du système;
   6. décrit les mesures de protection en place ou prévues pour répondre aux exigences de sécurité;
   7. identifie les personnes qui assument des rôles et des responsabilités liés au système;
   8. contient d’autres renseignements pertinents nécessaires à la protection de l’information contrôlée.
2. Examiner et mettre à jour le plan de sécurité du système tous les [Affectation : fréquence définie par l’organisation].
3. Protéger le plan de sécurité du système contre les divulgations non autorisées.

Discussion

Les plans de sécurité et de protection de la vie privée pour le système offrent les caractéristiques clés du système concernant le traitement, le stockage et la transmission de l’information contrôlée, ainsi que la manière dont le système et l’information sont protégés. Les plans de sécurité et de protection de la vie privée pour le système doivent contenir suffisamment d’information pour faciliter une conception et une mise en œuvre qui sont conformes, sans équivoque, à leurs objectifs et pour faciliter la détermination des risques si le plan est mis en œuvre comme prévu. Les plans de sécurité et de protection de la vie privée pour le système peuvent être en ensemble de documents, y compris des documents qui existent déjà. Les plans de sécurité du système efficaces font référence à des politiques à des procédures et à des documents supplémentaires (par exemple, spécifications de conception) contenant de l’information détaillée. Ces références permettent de réduire les exigences en matière de documentation associées aux programmes de sécurité et de conserver l’information relative à la sécurité dans d’autres secteurs opérationnels ou de gestion établis en lien avec l’architecture d’entreprise, le cycle de développement des systèmes, l’ingénierie des systèmes et l’acquisition.

Références

Sources pour les contrôles : PL-02
Publications connexes :

• Centre pour la cybersécurité − Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)
• NIST SP 800-18 Guide for Developing Security Plans for Federal Information Systems (en anglais seulement)

1. Établir des règles qui décrivent les responsabilités et le comportement attendu pour l’utilisation du système et la protection de l’information contrôlée.
2. Fournir des règles aux personnes devant accéder au système.
3. Obtenir des personnes devant accéder au système une attestation documentée selon laquelle elles ont lu et compris le document et acceptent de respecter les règles de conduite avant d’obtenir l’accès autorisé à l’information contrôlée et au système.
4. Examiner et mettre à jour les règles de conduite tous les [Affectation : fréquence définie par l’organisation].

Discussion

Les règles de conduite représentent un type d’entente d’accès pour les utilisatrices et utilisateurs du système. Les organisations doivent prévoir des règles de conduite pour le traitement de l’information contrôlée en fonction des rôles et des responsabilités des utilisatrices et utilisateurs, et faire la distinction entre les règles s’appliquant aux utilisatrices et utilisateurs privilégiés et les règles s’appliquant aux utilisatrices et utilisateurs généraux.

Références

Sources pour les contrôles : PL-04
Publications connexes :

• Centre pour la cybersécurité − Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)
• NIST SP 800-18 Guide for Developing Security Plans for Federal Information Systems (en anglais seulement)

Appliquer les principes d’ingénierie de la sécurité des systèmes suivants pour le développement ou la modification des systèmes et des composants système : [Affectation : principes d’ingénierie de la sécurité des systèmes définis par l’organisation].

Discussion

Les organisations doivent appliquer des principes d’ingénierie de la sécurité des systèmes aux nouveaux systèmes en développement. Dans le cas des systèmes existants, les organisations doivent appliquer des principes d’ingénierie de la sécurité des systèmes aux modifications des systèmes autant que possible, en tenant compte de l’état actuel des composants matériels, logiciels et micrologiciels. L’application de principes d’ingénierie de la sécurité des systèmes favorise le développement de systèmes dignes de confiance, sécurisés et résilients, et réduit la susceptibilité des organisations aux interruptions, aux risques et aux menaces. Des exemples de ces principes comprennent le développement de mesures de protection en couche; l’établissement de stratégies, d’architectures et de contrôles de sécurité comme base de la conception des systèmes; l’intégration d’exigences de sécurité au cycle de développement des systèmes; la délimitation des frontières de sécurité physiques et logiques; l’assurance que les développeuses et développeurs sont formés pour concevoir des logiciels sécurisés et dignes de confiance; la modélisation des menaces afin d’établir les cas d’utilisation, les agents de menace, les vecteurs et les schémas d’attaque, les schémas de conception et les contrôles compensatoires nécessaires pour atténuer les risques. Les organisations qui appliquent des principes d’ingénierie de la sécurité peuvent faciliter le développement de systèmes, de composants système et de services système sécurisés et dignes de confiance, réduire les risques à des niveaux acceptables et prendre des décisions informées en matière de gestion des risques.

Références

Sources pour les contrôles : SA-08
Publications connexes :

• Centre pour la cybersécurité − Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes (ITSP.10.037)
• NIST SP 800-160-1 Engineering Trustworthy Secure Systems (en anglais seulement)
• NIST SP 800-160-2 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach (en anglais seulement)

1. Remplacer les composants des systèmes lorsque les développeurs, les fournisseurs ou les fabricants ne prennent plus en charge ces composants.
2. Fournir des options pour l’atténuation des risques ou d’autres sources pour bénéficier d’un soutien continu des composants non pris en charge si les composants ne peuvent pas être remplacés.

Discussion

La prise en charge (ou le soutien) des composants système comprend les correctifs logiciels, les mises à jour de micrologiciels, les remplacements de pièces et les contrats de maintenance. Les exemples de composants non pris en charge comprennent les circonstances où les fournisseurs ne produisent plus de correctifs logiciels critiques ou de mises à jour pour les produits, ce qui peut mener à des possibilités pour les adversaires d’exploiter les faiblesses ou les lacunes des composants installés. Les exceptions au remplacement des composants système non pris en charge comprennent les systèmes qui fournissent des capacités essentielles à la mission ou aux activités lorsque des technologies plus récentes ne sont pas disponibles ou lorsque les systèmes sont tellement isolés que l’installation de composants de remplacement n’est pas une option.

Les autres sources de soutien permettent de répondre au besoin de fournir un soutien continu pour les composants système qui ne sont plus pris en charge par les fabricants d’origine, les développeurs ou les fournisseurs lorsque ces composants sont essentiels à la mission et aux activités de l’organisation. Au besoin, les organisations peuvent établir un soutien interne en développant des correctifs sur mesure pour les composants logiciels critiques ou avoir recours à des services de fournisseurs externes qui pourront fournir, au moyen de relations contractuelles, du soutien continu pour les composants qui ne sont plus pris en charge. Ces relations contractuelles peuvent comprendre des fournisseurs de logiciels libres à valeur ajoutée. Le risque accru d’utilisation de composants système non pris en charge peut être atténué en empêchant la connexion de ces composants aux réseaux publics ou non contrôlés ou en mettant en œuvre d’autres formes d’isolation.

Références

Sources pour les contrôles : SA-22
Publications connexes : Aucune

1. Exiger que les fournisseurs de services de systèmes externes utilisés pour le traitement, le stockage ou la transmission d’information contrôlée respectent les exigences de sécurité suivantes : [Affectation : exigences de sécurité définies par l’organisation].
2. Définir et documenter les rôles et les responsabilités d’utilisateur concernant les services de système externe, y compris les responsabilités partagées avec les fournisseurs de services externes.
3. Mettre en œuvre des processus, des méthodes et des techniques pour surveiller la conformité aux exigences de sécurité des fournisseurs de services externes sur une base continue.

Discussion

Les services de système externe sont fournis par des fournisseurs de services externes. Les organisations peuvent établir des relations avec des fournisseurs de services externes de nombreuses façons, y compris au moyen de partenariats, de contrats, d’ententes entre les organisations, d’ententes liées aux secteurs d’activités, d’accords de licence, de coentreprises et d’échanges de chaîne d’approvisionnement. L’organisation devant protéger l’information contrôlée demeure responsable de la gestion des risques liés à l’utilisation de services de système externe. Les accords sur les niveaux de service définissent les attentes de rendement, décrivent les résultats mesurables et déterminent les mesures de correction, les mesures d’atténuation et les exigences en matière d’intervention pour les cas de non-conformité. L’information provenant de fournisseurs de services externes concernant les fonctions, les ports, les protocoles et les services particuliers utilisés pour la prestation de tels services peut être utile pour comprendre les compromis associés à la restriction de certaines fonctions et de certains services ou au blocage de certains ports et protocoles. Cette exigence est associée à l’exigence Utilisation de systèmes externes 03.01.20.

Références

Sources pour les contrôles : SA-09
Publications connexes :

• NIST SP 800-160-1 Engineering Trustworthy Secure Systems (en anglais seulement)
• NIST SP 800-161 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (en anglais seulement)

1. Élaborer un plan pour gérer les risques liés à la chaîne d’approvisionnement associés à la recherche, au développement, à la conception, à la fabrication, à l’acquisition, à la livraison, à l’intégration, à l’exploitation, à la maintenance et à l’élimination des systèmes, des composants système ou des services système.
2. Examiner et mettre à jour le plan de gestion des risques liés à la chaîne d’approvisionnement tous les [Affectation : fréquence définie par l’organisation].
3. Protéger le plan de gestion des risques liés à la chaîne d’approvisionnement des divulgations non autorisées.

Discussion

La dépendance aux produits, aux systèmes et aux services de fournisseurs externes ainsi que la nature des relations avec ces fournisseurs présentent un niveau accru de risque pour une organisation. Les menaces pouvant augmenter les risques de sécurité ou d’atteinte à la vie privée incluent la production non autorisée, la falsification, la modification, les mauvaises pratiques de développement et de fabrication dans la chaîne d’approvisionnement, le vol ainsi que l’insertion de logiciel, de micrologiciel ou de matériel malveillant. Les risques liés à la chaîne d’approvisionnement peuvent être endémiques ou systémiques au sein d’un système, d’un composant ou d’un service. La gestion des risques liés à la chaîne d’approvisionnement est une tâche complexe à plusieurs facettes nécessitant des efforts coordonnés au sein d’une organisation afin d’établir des relations de confiance et de communiquer avec les parties prenantes internes et externes.

Les activités de gestion des risques liés à la chaîne d’approvisionnement (GRCA) comprennent l’identification et l’évaluation des risques, la détermination des mesures appropriées de réponse aux risques, l’élaboration de plans de GRCA visant à documenter les mesures de réponse et la surveillance du rendement par rapport aux plans. Les plans de GRCA au niveau du système dépendent de la mise en œuvre particulière du système et fournissent une mise en œuvre, des exigences, des contraintes et des implications au sujet des politiques. Ce plan peut être indépendant ou intégré aux plans de sécurité et de protection de la vie privée pour le système. Les plans de GRCA portent sur la gestion, la mise en œuvre et la surveillance des contrôles de GRCA ainsi que le développement ou le maintien des systèmes pendant le cycle de développement des systèmes afin de soutenir la mission et les activités. Puisque les chaînes d’approvisionnement peuvent varier considérablement au sein d’une même organisation et d’une organisation à l’autre, les plans de GRCA sont adaptés aux programmes individuels ainsi qu’aux contextes organisationnels et opérationnels.

Références

Sources pour les contrôles : SR-02
Publications connexes :

• CST-GRC − Méthodologie harmonisée d’évaluation des menaces et des risques (EMR-1)
• Centre pour la cybersécurité − Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036)
• Centre pour la cybersécurité − Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels (ITSM.10.071)
• Centre pour la cybersécurité − La cybersécurité et la chaîne d’approvisionnement : évaluation des risques (ITSAP.10.070)
• Centre pour la cybersécurité − Sécurité de la chaîne d’approvisionnement pour les petites et moyennes organisations (ITSAP.00.070)
• NIST SP 800-160-1 Engineering Trustworthy Secure Systems (en anglais seulement)
• NIST SP 800-181 Workforce Framework for Cybersecurity (NICE Framework) (en anglais seulement)

Élaborer et mettre en œuvre des stratégies d’acquisition, des outils de contrats et des méthodes d’approvisionnement afin de déterminer, de contrer et d’atténuer les risques associés à la chaîne d’approvisionnement.

Discussion

Les processus d’acquisition fournissent un véhicule important pour la protection de la chaîne d’approvisionnement. Il existe de nombreux outils et de nombreuses techniques, y compris le masquage de l’utilisation finale d’un système ou d’un composant système, l’achat à l’aveugle, l’exigence d’un emballage protégé contre les modifications ou l’utilisation d’une distribution de confiance ou contrôlée. Les résultats d’une évaluation des risques liés à la chaîne d’approvisionnement peuvent informer le choix des stratégies, des outils et des méthodes qui conventionnent le mieux à la situation. Les outils et les techniques peuvent fournir une protection contre la production non autorisée, le vol, la modification, la contrefaçon, l’insertion de code malveillant ou de porte dérobée Porte dérobéeMoyen non recensé qui permet, discrètement ou anonymement, d'accéder à distance à un ordinateur après avoir contourné les mécanismes d'authentification et s'être donné accès au texte en clair. et les mauvaises pratiques de développement tout au long du cycle de vie du système.

Les organisations peuvent également penser à offrir des mesures incitatives pour les fournisseurs afin de mettre en œuvre des contrôles et de favoriser la transparence des processus et des pratiques de sécurité. Elles peuvent également fournir un libellé de contrat qui traite de l’interdiction d’utiliser des composants contaminés ou contrefaits et restreindre les achats des fournisseurs qui ne sont pas dignes de confiance. Les organisations doivent considérer fournir des programmes de formation et de sensibilisation pour le personnel concernant les risques liés à la chaîne d’approvisionnement, les stratégies d’atténuation disponibles et les circonstances appropriées pour utiliser les programmes. Les méthodes pour examiner et protéger les plans de développement, la documentation et les preuves doivent être appropriées selon les exigences de sécurité de l’organisation. Les contrats peuvent également indiquer les exigences concernant la protection des documents.

Références

Sources pour les contrôles : SR-05
Publications connexes :

• CST-GRC − Méthodologie harmonisée d’évaluation des menaces et des risques (EMR-1)
• NIST SP 800-161 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (en anglais seulement)

1. Établir un processus pour identifier et corriger les faiblesses ou les lacunes établies dans les éléments et les processus de la chaîne d’approvisionnement.
2. Appliquer les exigences de sécurité suivantes pour offrir une protection contre les risques liés à la chaîne d’approvisionnement pour les systèmes, les composants système ou les services système ainsi que pour limiter les conséquences ou les dommages potentiels associés aux événements de la chaîne d’approvisionnement : [Affectation : exigences de sécurité définies par l’organisation].

Discussion

Les éléments de la chaîne d’approvisionnement incluent les organisations, les entités ou les outils qui servent à la recherche, au développement, à la conception, à la fabrication, à l’acquisition, à la livraison, à l’intégration, aux opérations, à la maintenance et à l’élimination des systèmes et des composants système. Les processus de la chaîne d’approvisionnement incluent les processus de développement du matériel, des logiciels, des micrologiciels et des systèmes; les procédures d’expédition et de traitement; les programmes de sécurité physique; les programmes de sécurité du personnel; les outils, les techniques et les mesures de gestion des configurations pour le maintien de la provenance; ou les autres programmes, processus ou procédures associés au développement, à l’acquisition, à la maintenance et à l’élimination des systèmes et des composants système. Les éléments et les processus de la chaîne d’approvisionnement peuvent être fournis par les organisations, les intégratrices et intégrateurs de systèmes ou les fournisseurs externes. Les faiblesses ou les lacunes des éléments ou des processus de la chaîne d’approvisionnement représentent des vulnérabilités potentielles qui peuvent être exploitées par des adversaires afin de nuire à l’organisation et à sa capacité de réaliser sa mission ou ses activités.

Références

Sources pour les contrôles : SR-03
Publications connexes :

• CST-GRC - Méthodologie harmonisée d’évaluation des menaces et des risques (EMR-1)
• NIST SP 800-161 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (en anglais seulement)