Gérer l’accès
(Retour)
Objectif
Établir des politiques et des procédures de contrôle d’accès pour la gestion de tous les comptes.
Modèles de services applicables
IaaS, PaaS, SaaS
Exigences obligatoires
| Activité | Validation |
|---|---|
| <ul><li>Mettre en œuvre un mécanisme permettant de faire respecter les autorisations d’accès pour tous les comptes d’utilisateurs en tenant compte des critères énumérés dans la Directive sur les services et le numérique, à l’annexe G : Norme sur les configurations courantes des services de la TI intégrée, et à la section 3 des Exigences de configuration relatives à la gestion des comptes.</li></ul> | <ul><li>Démontrer que les configurations et les politiques d’accès sont mises en œuvre pour différentes catégories d’utilisateurs (utilisateurs privilégiés et non privilégiés).</li><li>Confirmer que les mécanismes d’autorisation d’accès ont été mis en œuvre pour :<ul> <li>identifier et authentifier de manière unique les utilisateurs des services d’informatique en nuage;</li> <li>confirmer l’attribution du rôle le moins privilégié;</li> <li>confirmer la mise en œuvre de l’accès basé sur les rôles;</li> <li>mettre fin à l’attribution des rôles en cas de changement de poste ou de licenciement;</li> <li>procéder à des examens périodiques de l’attribution des rôles (au moins une fois par an);</li> <li>désactiver les comptes par défaut et inactifs;</li> <li>éviter d’utiliser des comptes génériques des utilisateurs.</li> </ul></li><li>Veiller à ce qu’un examen de l’attribution des rôles des comptes racines et d’administrateurs généraux soit effectué au moins tous les 12 mois.</li></ul> |
| <ul><li>Tirer parti des accès selon les rôles qui sont configurés avec les privilèges les moins élevés. Il peut s’agir de rôles intégrés ou personnalisés qui ont été établis en y incluant seulement le minimum de privilèges requis pour exécuter la fonction du poste.</li></ul> | <ul><li>Démontrer que les rôles intégrés à la plateforme d’informatique en nuage sont configurés en utilisant les privilèges les moins élevés. Des rôles personnalisés peuvent être utilisés, mais leur justification doit être documentée et approuvée.</li></ul> |
| <ul><li>Changer les mots de passe par défaut conformément à l’Orientation sur les mots de passe du GC.</li></ul> | <ul><li>Confirmer que les mots de passe par défaut ont été changés pour tous les comptes intégrés au service d’informatique en nuage.</li></ul> |
| <ul><li>Configurer la politique relative aux mots de passe par défaut conformément à l’Orientation sur les mots de passe du GC.</li></ul> | <ul><li>Démontrer que la politique relative aux mots de passe pour la plateforme d’informatique en nuage a été configurée conformément à l’Orientation sur les mots de passe en utilisant les moyens suivants :<ul><li>exiger des mots de passe d’au moins 12 caractères et sans longueur maximale;</li><li>contrer les tentatives en ligne de deviner ou de forcer des mots de passe en mettant en place des mécanismes comme le ralentissement artificiel, des politiques de verrouillages de comptes, la surveillance et l’authentification multifactorielle;</li><li>se protéger contre les attaques hors ligne en utilisant le hachage, le salage et le hachage à clé.</li></ul></li></ul> |
| <ul><li>Mettre en œuvre des mécanismes de protection contre les attaques par force brute visant à obtenir des mots de passe.</li></ul> | <ul><li>Confirmer la mise en place de mécanismes visant à se protéger contre les attaques par force brute visant à obtenir des mots de passe, comme le ralentissement artificiel, les politiques de verrouillages de comptes, la surveillance et l’authentification fondée sur le risque.</li></ul> |
| <ul><li>Établir une politique et des procédures relatives à l’accès des utilisateurs invités qui réduit au minimum le nombre d’utilisateurs invités et gère le cycle de vie de leurs comptes pour que ceux-ci soient supprimés lorsque l’accès n’est plus nécessaire.</li><li>Remarque : L’utilisateur « invité » est une personne qui n’est pas un employé, un étudiant ou un membre de votre organisation. Cet utilisateur n’a pas créé de compte auprès du locataire du nuage de l’organisation.</li></ul> | <ul><li>Confirmer que seuls les comptes d’utilisateurs invités nécessaires sont activés (conformément aux exigences opérationnelles du service).</li><li>Fournir la liste des utilisateurs qui ne font pas partie de l’organisation et qui jouissent de privilèges élevés.</li><li>Veiller à ce que des vérifications de l’accès des invités soient effectuées périodiquement.</li></ul> |
Autres considérations
| Activité | Validation |
|---|---|
| <ul><li>Documenter un processus de gestion des comptes, des privilèges d’accès et des justificatifs d’accès pour les utilisateurs organisationnels et les utilisateurs qui ne font pas partie de votre organisation (au besoin), en fonction des critères énumérés dans la Directive sur les services et le numérique, à l’annexe G : Norme sur les configurations courantes des services de la TI intégrée, et à la section 3 des Exigences de configuration relatives à la gestion des comptes. Ce processus doit être approuvé par le dirigeant principal de la sécurité (ou son délégué) et par l’agent désigné pour la cybersécurité.</li></ul> | <ul><li>Confirmer que la procédure de contrôle d’accès pour la gestion des comptes administratifs a été documentée pour le service d’informatique en nuage. La procédure de contrôle d’accès doit :<ul><li>prévoir des dispositions pour les comptes d’invités ainsi que les comptes personnalisés;</li><li>faire renvoi à la procédure de gestion des comptes d’urgence.</li></ul></li></ul> |
| <ul><li>Appliquer le principe de l’« accès juste-à-temps » aux comptes d’utilisateurs privilégiés afin de fournir une activation de rôle fondée sur le temps et l’approbation et, ainsi, atténuer les risques d’autorisations d’accès excessives, inutiles ou mal utilisées.</li></ul> | <ul><li>Confirmer la fourniture de l’accès juste à temps pour tous les comptes d’utilisateurs privilégiés afin d’offrir une activation de rôle fondée sur le temps et l’approbation.</li></ul> |
| <ul><li>Appliquer le contrôle d’accès basé sur les attributs pour restreindre l’accès selon une combinaison de facteurs d’authentification, par exemple les appareils délivrés et gérés par le GC, la conformité des appareils, les risques liés à l’ouverture de séance et aux utilisateurs, ainsi que l’emplacement.</li></ul> | <ul><li>Fournir la preuve que des mécanismes de contrôle d’accès basés sur les attributs sont en place pour restreindre l’accès en fonction d’attributs ou de signaux, par exemple des facteurs d’authentification, les appareils délivrés et gérés par le GC, la conformité des appareils, les risques liés à l’ouverture de séance et aux utilisateurs, ainsi que l’emplacement.</li></ul> |
| <ul><li>Utiliser des outils comme les systèmes de gestion des accès privilégiés pour appliquer le contrôle d’accès aux fonctions privilégiées en configurant des rôles dont l’activation nécessite une approbation.</li><li>Choisir un ou plusieurs utilisateurs ou groupes comme approbateurs délégués.</li></ul> | <ul><li>Fournir la preuve que l’activation du rôle de tous les comptes d’utilisateurs privilégiés nécessite une approbation, et que l’élévation des privilèges est temporaire (limitée dans le temps).</li></ul> |
Références
- Directive sur l’utilisation sécurisée des services commerciaux en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.3
- Mesure 3 des 10 meilleures mesures de sécurité de la TI du CCC
- Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031 v3)
- Guide sur l’authentification du nuage pour le gouvernement du Canada (accessible uniquement sur le réseau du gouvernement du Canada)
- Recommandations pour l’authentification à deux facteurs des utilisateurs dans le domaine opérationnel du gouvernement du Canada (accessible uniquement sur le réseau du gouvernement du Canada)
- Directive sur les services et le numérique, annexe G : Norme sur les configurations courantes des services de la TI intégrée
- Exigences de configuration relatives à la gestion des comptes
- Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104), sous-section 4.6
- Orientation sur les mots de passe
Mesures de sécurité connexes du document ITSG-33
AC‑2, AC‑2(1), AC‑2(7) AC‑3, AC‑3(7), AC‑3, AC‑4 AC‑5, AC‑6, AC‑6(5), IA‑2, IA‑2(1), IA‑2(8), IA‑2(11), IA‑4, IA‑5, IA‑5(1), IA‑5(6)
Page details
- Date modified: