Sécurité de la technologie de l'information
Rapport final
Direction générale de la vérification et de l'évaluation de l'entreprise
Octobre 2009
Table des matières
Sommaire
Contexte : La Division de la vérification interne a effectué un examen quinquennal de la sécurité de la technologie de l’information (TI) et une vérification de suivi en 2004. Elle a constaté que les gestionnaires et les employés comprenaient l’importance de la sécurité de la TI et que la plupart connaissaient les politiques en matière de sécurité de la TI. La direction faisait des progrès dans la mise en œuvre des plans d’action afin de donner suite aux constatations de la vérification, mais un effort soutenu était toujours nécessaire, surtout en ce qui concerne les politiques et la sensibilisation relatives à la sécurité, la surveillance et l’établissement de rapports concernant l’observation des politiques sur la sécurité, les postes de travail autonomes ayant un accès Internet et la gestion de l’identité et de l’accès.
Objectif : L’objectif de la vérification était d’évaluer les progrès réalisés en ce qui concerne la mise en œuvre et l’efficacité des plans d’action découlant de la vérification de la sécurité de la TI effectuée en 2004 afin de veiller à ce que les risques liés à la sécurité soient gérés de manière appropriée et que l’observation des politiques en matière de sécurité soit améliorée.
Conclusion : La vérification a permis de constater que des progrès ont été réalisés depuis 2004 afin de veiller à ce que les risques liés à la sécurité soient gérés de manière appropriée et que l’observation des politiques en matière de sécurité soit améliorée.
La gestion de l’identité a été améliorée de même que la gestion et la surveillance de l’accès des utilisateurs aux réseaux et aux systèmes de l’Agence. L’attribution des rôles et des responsabilités a été établie et mise en œuvre pour la surveillance des journaux des serveurs et des ordinateurs personnels. La surveillance automatisée des ordinateurs et des appareils portatifs connectés au réseau est effectuée par la Direction générale de l’informatique (DGI). La Direction générale des finances et de l’administration (DGFA) a apporté des améliorations aux politiques en matière de sécurité et à la formation sur la sensibilisation à la sécurité afin de traiter de manière adéquate des sujets tels que : les logiciels non approuvés, les économiseurs d’écran, la protection antivirus, le chiffrement de données et la sécurité du transport des ordinateurs portatifs et des autres appareils portatifs.
D’autres améliorations sont recommandées dans les secteurs suivants :
- La répartition des tâches;
- les droits d’accès minimum de système à l’Administration centrale;
- la gestion horizontale des problèmes d’accès;
- la surveillance et l’établissement de rapports concernant l’observation.
La DGFA et la DGI approuvent les recommandations formulées, et les plans d’action sont inclus dans le présent rapport.
Introduction
En tant que responsable des renseignements fiscaux et des renseignements sur les prestations des entreprises et des particuliers canadiens, l’Agence du revenu du Canada (ARC) doit garantir la sécurité des biens liés à l’information et à la technologie de l’information, et veiller à ce que le personne respecte les politiques et les procédures destinées à protéger lesdits biens.
La sécurité est une responsabilité partagée à l’ARC :
- Le directeur général, Direction de la sécurité, de la gestion du risque et des affaires internes (DSGRAI), Direction générale des finances et de l’administration (DGFA), agit à titre d’agent de sécurité de l’Agence et est responsable de l’ensemble de la gestion du programme de sécurité;
- la Division de la sécurité de l’information (DSI), DSGRAI, est la responsable fonctionnelle du programme de sécurité de l’information ainsi que la responsable des politiques en matière de sécurité de l’information et de leur application;
- la Direction générale de l’informatique (DGI), en particulier la Division de la sécurité et de la continuité de la TI, est responsable d’assurer le leadership et la surveillance de la sécurité technique.
Les systèmes d’information sur les entreprises de l’ARC et l’infrastructure technique sont en constante évolution. Les processus de contrôle de la sécurité de la TI doivent constamment être adaptés pour suivre l’évolution de la technologie afin que les risques liés à la sécurité soient gérés de manière appropriée et que les politiques en matière de sécurité de l’ARC soient respectées.
Veuillez consulter à l’annexe A la liste des sigles et acronymes qui sont utilisés dans le présent rapport.
Portée de la vérification
L’objectif de la vérification était d’évaluer les progrès réalisés en ce qui concerne la mise en œuvre et l’efficacité des plans d’action découlant de la vérification de la sécurité de la TI effectuée en 2004 afin de veiller à ce que les risques liés à la sécurité soient gérés de manière appropriée et que l’observation des politiques en matière de sécurité soit améliorée.
La vérification a porté sur les quatre secteurs d’intérêt suivants : la gestion de l’identité et de l’accès; la surveillance et l’établissement de rapports concernant l’observation; les postes de travail autonomes ayant un accès Internet; les politiques sur la sécurité et la formation sur la sensibilisation à la sécurité.
La portée comprenait une analyse de la gestion de l’identité (ID utilisateur) et de la gestion de l’accès qui a été réalisée sur cinq plates-formes, c.-à-d. l’ordinateur central, le Grand livre des recettes, les Systèmes administratifs d’entreprise (SAE), l’Environnement informatique réparti et l’infrastructure informatique d’affaires électroniques.
La phase d’examen de la vérification a été réalisée entre octobre 2007 et décembre 2008.
La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne et aux normes de vérification et de contrôle de la TI de l’Association des professionnels de la vérification et du contrôle des systèmes d'information.
Constatations, recommandations et plans d’action principaux
1. Gestion de l’identité et de l’accès
La gestion de l’identité et de l’accès (GIA) est un élément essentiel de la sécurité de la TI. Pour une entité aussi grande et complexe que l’ARC, avec sa technologie qui change constamment, la réussite de la GIA repose sur une gouvernance à l’échelle de l’Agence ainsi que sur les efforts et la diligence soutenus du responsable de chaque plate-forme, système, base de données et processus. Les processus et les contrôles du cycle de vie de la GIA nécessitent d’être constamment améliorés et suivis par toutes les personnes et tous les groupes afin de réduire les risques d’avoir des problèmes d’accès et d’identité qui pourraient compromettre la protection et l’utilisation de l’information.
En décembre 2004, un groupe de neuf projets a été formé sous le nom de Programme des profils d’accès aux systèmes afin de renforcer la GIA. Des neuf projets, le projet Rationalisation des ID utilisateurs (RIDU) a été mis sur pied afin de coordonner le nettoyage des comptes personnels d’identificateur d’utilisateur (ID utilisateur). Le Catalogue de définitions d’accès aux systèmes (CDAS) et le Guide d’accès fondé sur les rôles (GAFR) sont les principaux projets qui ont pour but d’améliorer la résolution des problèmes liés à l’accès.
1.1 Gestion de l’identité
Des tests effectués sur les comptes d’utilisateur pour vérifier le respect des politiques en matière de sécurité a permis de confirmer que la gestion de l’identité a été améliorée.
Le projet de RIDU a eu des répercussions positives sur la réduction du nombre de comptes d’utilisateurs actifs qui n’ont pas été créés dans le format standard. Le projet de RIDU a réussi à éliminer presque tous les comptes personnels non standards des SAE et de convertir les ID utilisateurs non standards dans le format standard, sauf dans les cas où des raisons d’affaires valables ont été autorisées et approuvées.
Chaque compte devait être associé à un Code d’identification de dossier personnel (CIDP), mais des comptes associés à de multiples CIDP ou à des CIDP invalides ont été trouvés. Les comptes avec des CIDP invalides compliquent la tâche de déterminer à qui appartiennent les comptes. Selon la politique, les comptes doivent être suspendus après 60 jours d’inactivité. Toutefois, il existe encore des comptes qui ne sont pas suspendus rapidement, et la suspension de comptes sur l’ordinateur central est annulée par différents secteurs au moyen d’outils automatisés. L’observation des politiques et procédures en matière de sécurité visant à gérer les comptes d’utilisateur réduit le risque de problèmes d’identité qui pourraient compromettre la protection et l’utilisation de l’information. Cependant, selon la DGFA et la DGI, il existe des exceptions valables à cette norme.
La responsabilité de surveiller l’observation de tous les comptes d’utilisateur non standards se trouve décentralisée au niveau opérationnel. Une vue consolidée et une surveillance centrale de tous les comptes d’utilisateur non standards au niveau fonctionnel permettraient d’améliorer la gestion et la surveillance.
Recommandations
La DGFA, en collaboration avec la DGI, devrait établir une surveillance centrale de l’observation et créer un registre afin de surveiller et de gérer tous les comptes d’utilisateur non standards sur toutes les plates-formes.
La DGFA, en collaboration avec la DGI, devrait établir une norme qui définirait ce qui doit être entré dans le champ obligatoire du CIDP des comptes non standards.
DGFA – La Direction de la sécurité, de la gestion du risque et des affaires internes (DSGRAI) devrait veiller à ce que les comptes de toutes les plates-formes, qui ne sont toujours pas suspendus après 60 jours d’inactivité, soient examinés et rectifiés. Une liste complète des comptes qui ne doivent pas être suspendus devrait être dressée et mise à jour régulièrement.
DGFA – La DSGRAI devrait veiller à ce que l’annulation automatisée des suspensions soit examinée et traitée, s’il y a lieu.
Plan d’action
La DGFA, en collaboration avec la DGI, étudiera la faisabilité de créer un registre central pour tous les comptes d’utilisateur non standards. Ce registre contiendrait tous les codes d’utilisateur ainsi que toute autre donnée pertinente. Selon des discussions préliminaires informelles, il se peut qu’il existe un modèle réalisable en cours d’élaboration pour le programme de Gestion des risques des utilisateurs privilégiés qui répondrait à l’exigence ou qui pourrait être adapté pour répondre à l’exigence. La DGFA effectuera une étude et un rapport préliminaires de faisabilité, et la section de l’observation et de la surveillance, de la DSI, DGFA, s’occupera de la surveillance de l’observation. Date limite : le 31 décembre 2009.
La DGFA mettra à jour la politique. La DGI créera et communiquera une norme qui contiendra des renseignements visant à remplir les champs obligatoires. Date limite : le 31 décembre 2009.
La DGI évaluera de façon plus précise les comptes de l’ordinateur central qui n’ont pas été suspendus après 60 jours d’inactivité en utilisant des données recueillies par l’outil CA Cleanup qui a récemment été déployé pour la plate-forme de l’ordinateur central. Date limite : le 31 décembre 2009.
La DGI fera un examen et fournira un registre des comptes qui demeurent actifs après la date de suspension mentionnée dans la politique. La DGI sera responsable du registre, et la DSGRAI de la DGFA l’examinera et s’occupera de la surveillance de l’observation. La DSGRAI de la DGFA demandera aux propriétaires d’entreprise la raison pour laquelle leur compte doit demeurer actif. Date limite : le 31 mars 2010.
La DGFA, en collaboration avec la DGI, mènera une enquête sur la suspension des comptes pour les plates-formes dont il est question dans le présent rapport, améliorera le processus requis pour identifier les comptes qui ont été dispensés d’une suspension et harmonisera les exceptions. Date limite : le 31 mars 2010.
1.2 Gestion de l’accès des utilisateurs
Des progrès ont été effectués afin d’améliorer la gestion et la surveillance de l’accès des utilisateurs aux réseaux et aux systèmes de l’Agence. Depuis décembre 2004, des catalogues de profils ont été créés et distribués aux gestionnaires afin de les aider à déterminer les privilèges d’accès aux systèmes qui seront accordés aux employés selon leurs fonctions et leurs responsabilités. Le CDAS fournit aux gestionnaires une description, en langage clair, des accès, des opérations et des restrictions dans les profils des applications. Le GAFR associe les droits d’accès minimum de système aux rôles fonctionnels des secteurs d’activité. La banque de données durable pour le GAFR et le CDAS a été mise en œuvre en février 2009. Au moment de cette vérification, le contenu du GAFR concernant les régions avait été défini, et la création du contenu du GAFR concernant l’Administration centrale était en cours. Le plan de mise en œuvre du GAFR et du CDAS était en développement.
En avril 2008, la responsabilité de la GIA est passée de la DGI à la DGFA afin de mieux l’harmoniser avec l’autorité fonctionnelle et opérationnelle. En janvier 2009, un outil développé en région, l’Examen de l’accès des employés aux systèmes (EAES), a été adapté aux fins d’utilisation à l’échelle nationale. L’EAES est une application Web qui fournit aux gestionnaires un rapport en ligne consolidé sur les privilèges d’accès aux systèmes de leurs employés. Les régions utilisent également d’autres outils développés localement afin d’améliorer l’accès aux systèmes. Les exemples incluent l’application intitulée Demandes de profil en direct dans la région de l’Atlantique, le Système de gestion des effectifs dans la région du Québec et l’outil de gestion de l’accès à la sécurité dans la région de l’Ontario. En mai 2009, les options ont fait l’objet d’une analyse et l’élaboration d’un plan de projet détaillé de la GIA a été approuvée.
La myriade de privilèges d’accès sur les différentes plates-formes et les différents systèmes et réseaux de l’Agence souligne l’importance de comprendre et de respecter les principes de la répartition des tâches (RdT). La RdT est un contrôle essentiel qui permet d’éviter que certaines personnes aient accès à des renseignements sans autorisation. D’autres progrès doivent être réalisés.
Même si les catalogues de profils abordent certains aspects de la RdT en ce qui concerne les privilèges d’accès pour une application en particulier, rien ne démontrait les efforts consentis à gérer de façon horizontale le risque d’éventuels problèmes liés à la RdT. De plus, les aspects liés à la RdT n’ont pas été pris en compte lors de l’amélioration de la gestion de l’accès.
Aucun Bureau de première responsabilité n’est responsable de la gestion des problèmes d’accès sur toutes les plates-formes de l’Agence. Sans ce contrôle, il peut y avoir chevauchement des efforts et un risque que les causes profondes des problèmes horizontaux d’accès ne soient pas traitées.
Recommandations
DGFA – La DSGRAI devrait veiller à ce que les secteurs d’activité de l’ARC précisent et rectifient la situation de répartition des tâches.
La DGFA et la DGI devraient mettre sur pied un bureau central afin de gérer les problèmes horizontaux d’accès.
Plan d’action
La mise sur pied de plans pour renforcer les contrôles sur la gestion de l’accès par l’entremise de l’EAES, du GAFR et du CDAS contribuera également à effectuer une RdT adéquate. Toutefois, aucun de ces outils ne touchent précisément la RdT. La DSGRAI a mis sur pied un plan de haut niveau qui décrit une approche abordant la question de la RdT dans les secteurs d’activité. La prochaine étape consistera à faire de cette approche un projet ainsi qu’à approuver et à assigner les ressources au groupe approprié au sein de la DSGRAI. Date limite : le 31 mars 2010.
La DGFA procède actuellement à la mise sur pied d’un comité de direction (CD) qui abordera de nombreux problèmes d’identification et d’accès à l’ARC. Cette recommandation sera intégrée au mandat qui sera proposé pour le CD. Une fois que la direction aura approuvé le concept et la création du CD, un comité de travail qui relèvera du CD verra le jour afin de gérer les questions horizontales d’accès. Date limite : automne 2009.
2. Surveillance et établissement de rapports concernant l’observation
Des politiques visant à surveiller et à établir des rapports concernant l’observation dans différents secteurs de la sécurité de la TI sont en place. Toutefois, il n’y avait pas d’évidence qu’une méthodologie était en place pour couvrir tous les aspects de l’examen et de l’inspection de la sécurité de la TI et pour fournir une orientation aux bureaux locaux. Une méthodologie détaillée permettrait de couvrir en entier et uniformément tous les examens et toutes les inspections de la sécurité de la TI. De plus, l’exigence de faire rapport sur l’observation des politiques sur la sécurité de l’Agence n’était pas respectée.
Les rôles et responsabilités pour surveiller les journaux des serveurs et des ordinateurs personnels ont été mieux définis et attribués dans la politique. Toutefois, la DGI ne semblait pas avoir de normes ou de lignes directrices de sécurité pour surveiller les journaux des serveurs et des ordinateurs personnels. Le manque de surveillance proactive des journaux des serveurs et des ordinateurs personnels pourrait empêcher la détection précoce d’une activité non approuvée.
Des outils, des processus, des rôles et des responsabilités ont été mis en œuvre afin de surveiller le contenu et l’utilisation d’Internet et du courrier électronique, ainsi que l’accès à des données identifiant des clients à partir de l’ordinateur central. Des outils automatisés du système ont été mis en œuvre et améliorés afin d’assurer la sécurité de la TI et une surveillance continue.
La DGFA est responsable de faire un compte rendu de l’état du programme de sécurité aux cadres supérieurs avec des rétroactions provenant de chaque région, et de fournir des rapports sommaires qui font état de l’efficacité du programme de sécurité. Les politiques de l’Agence ne contiennent aucune disposition visant à rendre compte régulièrement de l’état du programme de sécurité de la TI à l’agent de sécurité de l’Agence, aux cadres supérieurs de l’Agence et aux comités assurant un rôle de surveillance. Par conséquent, les résultats du balayage automatisé de la vulnérabilité, de la vérification des réseaux et de l’hôte ainsi que de la surveillance de l’observation des politiques en matière de sécurité de l’ARC ne sont pas signalés régulièrement aux cadres supérieurs de l’Agence et aux comités assurant un rôle de surveillance.
De plus, les incidents de la cybersécurité ne sont pas signalés systématiquement. Même si les politiques, les processus et les procédures existent, aucune norme sur la gestion des incidents de la cybersécurité ne semble exister. Les critères d’incident mentionnés dans la politique et utilisés pour effectuer le suivi et l’établissement de rapports sont tous différents et ne correspondent pas à la norme sur la gestion des incidents de la cybersécurité du gouvernement, et le programme de gestion des incidents de la DGI ne signale pas les incidents de la cybersécurité, autres que les virus, au Centre national de déclaration des incidents de la DGFA, comme la politique l’exige.
Sans des comptes rendus opportuns, les cadres supérieurs de l’Agence et les comités assurant un rôle de surveillance pourraient ne pas avoir suffisamment de données appropriées pour appuyer la prise de décision.
Recommandations
La DGFA devrait veiller à ce qu’une méthodologie d’examens et d’inspections de la sécurité de la TI soit en place comme il est mentionné dans le chapitre 21 du Volume de la sécurité du Manuel des finances et de l’administration, intitulé Politique sur les examens de la sécurité et inspections des systèmes des technologies de l'information.
La DGFA devrait veiller à ce que les résultats des activités de surveillance et d’observation de la sécurité de la TI, de même que tous les incidents de la cybersécurité, soient communiqués aux cadres supérieurs et aux comités assurant un rôle de surveillance au moyen du rapport d’étape mensuel sur la sécurité.
La DGFA et la DGI devraient publier une norme sur la gestion des incidents de la cybersécurité et utiliser une terminologie uniforme afin de définir, classer, retracer et signaler les incidents de la cybersécurité.
Plan d’action
La DGFA mettra à jour le chapitre 21 – Politique sur les examens de la sécurité et inspections des systèmes des technologies de l'information et exposera en détail la gouvernance du programme d’examens et d’inspections de la sécurité de la TI, la méthodologie de ce programme et les partenariats créés (avec les principaux intervenants) au sein du programme. Depuis le début de la collaboration de la Division de la protection des biens matériels et des services de sécurité et la DSI il y a deux ans, les objectifs en matière d’inspection et d’examen suivent les tendances de l’industrie. Date limite : le 31 mars 2010.
La DGI surveillera de façon proactive les journaux de sécurité pertinents de la TI en ce qui concerne les postes de travail et les serveurs par l’entremise de la mise sur pied d’ArcSight et du Centre des opérations de sécurité pour la détection et les réponses automatisées en cas d’incident en matière de la sécurité de la TI. Les résultats découlant de la surveillance seront inclus dans le rapport d’étape mensuel sur la sécurité. Date limite : le 31 octobre 2009.
La DGI, en collaboration avec la DGFA, créera et publiera une norme sur la gestion des incidents de la cybersécurité qui permettra aussi de normaliser la terminologie connexe. Date limite : le 31 mars 2010.
3. Postes de travail autonomes ayant un accès Internet
Au départ, les postes de travail interactifs ayant un accès Internet étaient utilisés pour accéder à Internet à l’extérieur du réseau de l’Agence. En 2005, ces postes de travail ont été convertis en « poste interactif national » où l’accès à Internet passe par le réseau de l’Agence, ce qui est par nature plus sécuritaire qu’un ordinateur personnel autonome ayant un accès Internet.
Même si les postes de travail autonomes ne permettent pas d’avoir accès aux renseignements sur les contribuables, ils doivent tout de même être conformes aux exigences de la politique et faire l’objet d’une Évaluation de la menace et des risques approuvée par la DGFA et de la DGI avant d’être installés. Aucune liste précise des postes de travail autonomes ayant un accès Internet n’existait au moment de cette vérification.
Sans une identification appropriée de tous les appareils autonomes ayant un accès Internet et de leur emplacement, l’Agence n’est pas en mesure de s’assurer que les Évaluations de la menace et des risques nécessaires ont été effectuées. De plus, sans une liste complète de tous les systèmes autonomes connectés à Internet, l’ARC n’est pas en mesure de surveiller adéquatement l’observation.
Recommandations
La DGFA, en collaboration avec la DGI, devrait élaborer et mettre à jour un registre complet des postes de travail autonomes et s’assurer que les exigences, y compris la surveillance, telle qu’elle est définie dans le chapitre 18, Volume de la sécurité, sont respectées.
Plan d’action
La DGI recueillera des renseignements pour le registre qu’elle créera pour faire l’inventaire des postes de travail autonomes ayant un accès Internet qui ne sont pas branchés au réseau de l’Agence et demandera à ce que les prochaines demandes soient accompagnées de l’ordre de travail RC502. La section de l’observation et de la surveillance, de la DSI, DGFA, veillera à ce que les exigences contenues dans le chapitre 18 du Volume de la sécurité, Manuel des finances et de l’administration, soient respectées. Date limite : le 31 mars 2010.
4. Politiques et sensibilisation relatives à la sécurité
Les politiques relatives à la sécurité couvrent adéquatement les sujets liés à la sécurité de la TI et sont disponibles et distribuées au personnel de l’ARC. L’Agence fait des présentations et offre un cours en ligne qui expliquent bien les risques de la TI. La DGFA fait des présentations sur différents sujets touchant la sécurité de la TI comme la fraude contre la sécurité et la sensibilisation à la surveillance de l’utilisation des réseaux électroniques. Les efforts de formation incluent la Semaine de sensibilisation à la sécurité, les bulletins sur la sécurité et une séance de formation électronique offerte sur InfoZone à tout le personnel.
Conclusion
La vérification a permis de constater que des progrès ont été réalisés depuis la vérification de 2004 afin de veiller à ce que les risques liés à la sécurité soient gérés de manière appropriée et que l’observation des politiques en matière de sécurité soit améliorée.
L’attribution des rôles et des responsabilités a été établie et mise en œuvre pour la surveillance des journaux des serveurs et des ordinateurs personnels. La surveillance automatisée des ordinateurs et des appareils portatifs connectés au réseau est effectuée par la Direction générale de l’informatique. La Direction générale des finances et de l’administration a apporté des améliorations aux politiques en matière de sécurité et à la formation sur la sensibilisation à la sécurité afin de traiter de manière adéquate de sujets tels que les suivants : les logiciels non approuvés, les économiseurs d’écran, la protection antivirus, le chiffrement de données et la sécurité du transport des ordinateurs portatifs et des autres appareils portatifs.
Des améliorations sont recommandées dans les secteurs responsables de la gestion de l’identité et de l’accès. Plusieurs aspects importants du contrôle de l’accès restent en suspens, tels que les suivants : la répartition des tâches et les droits d’accès minimum de système à l’Administration centrale. Le projet de gestion de l’identité et de l’accès peut représenter une solution automatisée efficace pour la gestion de l’identité et des droits d’accès des utilisateurs sur toutes les plates-formes informatiques de l’Agence. De plus, les améliorations suivantes liées aux contrôles de la sécurité de la technologie de l’information sont également recommandées : établir une gestion horizontale des problèmes d’accès, accroître la surveillance et l’établissement de rapports concernant l’observation ainsi qu’améliorer l’établissement de rapports sur les incidents liés à la cybersécurité et les résultats de la surveillance en vue de favoriser l’observation des politiques en matière de sécurité.
Annexe A
Sigles et acronymes
| ARC | Agence du revenu du Canada |
| CD | Comité de direction |
| CDAS | Catalogue de définitions d’accès aux systèmes |
| CIDP | Code d’identification de dossier personnel |
| DGFA | Direction générale des finances et de l’administration |
| DGI | Direction générale de l’informatique |
| DSGRAI | Direction de la sécurité, de la gestion du risque et des affaires internes |
| DSI | Division de la sécurité de l’information |
| EAES | Examen de l’accès des employés aux systèmes |
| GAFR | Guide d’accès fondé sur les rôles |
| GIA | Gestion de l’identité et de l’accès |
| ID | utilisateur Identificateur d’utilisateur |
| RdT | Répartition des tâches |
| RIDU | Rationalisation des ID utilisateurs |
| SAE | Systèmes administratifs d’entreprise |
| TI | Technologie de l’information |
Détails de la page
- Date de modification :