Exigences de configuration de l’accès à distance
1. Services d’accès à distance
1.1 Utiliser des services d’accès à distance gérés de manière centralisée qui chiffrent les données en transit, conformément aux documents Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062) et Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111) du Centre canadien pour la cybersécurité afin de protéger la confidentialité et l’intégrité de l’information lorsqu’elle transite par un réseau non fiable, comme Internet ou un autre réseau externe, jusqu’au réseau intégré du gouvernement du Canada (GC).
1.2 Configurer les services d’accès à distance pour qu’ils utilisent les voies à Internet approuvées par le GC. Une voie d’accès à Internet approuvée par le gouvernement applique des mesures de sécurité, notamment des services de protection du système de noms de domaine (DNS), des services de sécurité du réseau fournis par Services partagés Canada (SPC) et des services de cyberdéfense fournis par le Centre canadien pour la cybersécurité.
1.3 Désactiver la fonction de tunnellisation partagée, sauf pour les domaines sur la liste approuvée par le Conseil d’examen de l’architecture intégrée du GC.
1.4 Authentifier tous les utilisateurs des services d’accès à distance à l’aide de méthodes d’authentification multifactorielle résistantes à l’hameçonnage, conformément aux Exigences de configuration relatives à la gestion des comptes et à la Ligne directrice du gouvernement du Canada (GC) sur l’authentification multifactorielle (AMF) : Recommandations techniques relatives aux authentifiants utilisés pour l’AMF dans le domaine opérationnel du GC.
1.5 Mettre en œuvre les configurations de gestion des points d’extrémité approuvés par le GC pour tous les appareils d’accès à distance.
1.6 Effectuer une évaluation de la posture pour les connexions d’accès à distance avant d’autoriser l’accès au réseau intégré du GC en vérifiant la conformité des éléments suivants :
- 1.6.1 le système d’exploitation et les applications installées à jour;
- 1.6.2 la protection anti-maliciels actualisée;
- 1.6.3 la validation d’un appareil appartenant au GC et géré par le GC.
2. Sécurité de l’infrastructure d’accès à distance
2.1 Configurer les systèmes d’accès à distance conformément aux Exigences de configuration relatives à la gestion du système et aux Facteurs relatifs à la sécurité à considérer pour les dispositifs d’accès (ITSM.80.101).
2.2 Renforcer les systèmes et appareils d’accès à distance, y compris les systèmes d’exploitation et les applications, afin de ne fournir que les fonctionnalités essentielles, conformément à l’article du Centre canadien pour la cybersécurité intitulé Les 10 mesures de sécurité des TI : Numéro 4 – Renforcer la sécurité des systèmes d’exploitation (SE) (ITSM.10.090) et les guides de renforcement des fournisseurs.
2.3 Déployer des services d’accès à distance dans les zones de réseau qui assurent la médiation de l’accès entre les systèmes opérationnels du GC et la zone publique, conformément aux documents du Centre canadien pour la cybersécurité intitulés Exigences de base en matière de sécurité pour les zones de sécurité de réseau (Version 2.0) - ITSP.80.022 et Considérations de conception relatives au positionnement des services dans les zones (ITSG-38).
2.4 Restreindre l’accès administratif aux systèmes d’accès à distance à partir de réseaux de gestion internes ou hors bande spécialisés qui utilisent des hôtes renforcés.
2.5 Utiliser une authentification multifactorielle (AMF) forte et résistante à l’hameçonnage pour tous les accès administratifs aux appareils d’accès à distance, conformément aux Exigences de configuration relatives à la gestion des comptes et à la Ligne directrice du gouvernement du Canada (GC) sur l’authentification multifactorielle (AMF) : Recommandations techniques relatives aux authentifiants utilisés pour l’AMF dans le domaine opérationnel du GC.
3. Gestion des systèmes
3.1 Tenir un inventaire des appareils d’accès à distance et gérer le cycle de vie de tous les appareils qui sont en fin de vie utile, en prévoyant un plan pour les retirer ou les remplacer avant la fin de leur vie utile.
3.2 S’abonner aux avis de sécurité du fournisseur de l’appareil d’accès à distance et aux avis fournis par le Centre canadien pour la cybersécurité.
3.3 Appliquer activement des rustines à l’ensemble des applications logicielles, du matériel et des micrologiciels installés sur des biens de TI qui permettent l’accès à distance et soutiennent les services d’infrastructure, conformément à l’orientation du GC intitulée Orientation sur la gestion des rustines.
3.4 Examiner régulièrement les règles de sécurité, les configurations de sécurité et les contrôles d’accès configurés sur les appareils d’accès à distance afin d’en vérifier la pertinence.
4. Surveillance
4.1 Configurer la journalisation pour les systèmes et les appareils d’accès à distance, conformément au Guide sur la consignation d’événements du GC, y compris :
- 4.1.1 l’activité de l’utilisateur, notamment les tentatives d’authentification et d’accès;
- 4.1.2 le trafic réseau anormal, notamment les transferts importants vers des adresses de protocole Internet (IP) inconnues;
- 4.1.3 les connexions administratives réussies, les modifications de configuration et les changements apportés au matériel;
- 4.1.4 l’accès non autorisé ou la modification des configurations du système d’accès à distance.
4.2 Transférer les journaux d’événements protégés contre toute modification ou suppression non autorisée à l’aide des mesures de protection cryptographiques approuvées par le Centre canadien pour la cybersécurité à un dispositif de journalisation central pour traitement, stockage, surveillance et analyse.