Gérer l’accès aux systèmes et aux données

Objectif

Protéger les comptes qui sont utilisés pour accéder aux systèmes et aux données afin de limiter la possibilité de propagation des logiciels malveillants.

Renseignements sur le projet – Description

Appliquer le principe du moins grand privilège et fournir aux personnes un accès fondé sur le rôle qui leur est essentiel pour qu’elles puissent exécuter des tâches autorisées.
Utiliser des mots de passe robustes, ou de préférence des phrases passes, pour tenter d’empêcher les acteurs de la menace de réussir dans les attaques de force brute, conformément à l’Orientation sur les mots de passe du GC.
Utiliser l’authentification multifacteur pour empêcher la prise de contrôle de compte.
Veiller à ce que l’accès soit régulièrement examiné et modifié en conséquence, lorsque les personnes n’ont plus besoin ou ne devraient plus avoir accès, pour limiter la capacité de propagation des logiciels malveillants.
Veiller à ce que les administrateurs système évitent d’utiliser leurs comptes pour le courrier électronique et pour la navigation sur le Web (afin d’éviter que les logiciels malveillants puissent fonctionner avec leur niveau élevé de privilège système), afin de réduire le risque qu’un rançongiciel infecte les comptes d’administrateur et l’accès système associés à ces comptes.
Isoler les comptes d’administrateur système de l’Internet ouvert en créant un compte dédié pour les activités liées à l’Internet ouvert et mettre en œuvre le principe du moindre privilège pour ces comptes.

Référence

SCT

Directive sur les services et le numérique, annexe G - Exigences de configuration relatives à la gestion des comptes (1, 3, 4, 10 and 12)
DGS annexe B (B.2.3.2, B.2.3.2.2, B.2.3.2.4 et B.2.3.6), et
Orientation sur les mots de passe du GC

CCCS

Contrôles de sécurité connexes (ITSG-33)

AC‑2, AC‑2(1), AC‑3, AC‑5, AC‑6, AC‑6(5), AC‑6(10), AC‑7, AC‑9, AC‑19, AC‑20(3), IA‑2, IA‑2(1), IA‑2(2), IA‑2(11), IA‑4, IA‑5, IA‑5(1), IA‑5(6), IA‑5(7), IA‑5(13), IA‑6, IA‑8