Vérification interne — Suivi de la gestion de l’accès des utilisateurs
Veuillez noter que, afin de respecter l'esprit de la Loi sur l'accès à l'information, certains renseignements contenus dans ce document ne peuvent pas être divulgués en raison de la vulnérabilité des structures ou des systèmes, y compris les systèmes informatiques ou de communication.
Résumé exécutif
La gestion de l’accès des utilisateurs est une ligne de défense clée pour la protection des renseignements et des systèmes de l’Agence du revenu du Canada. La gestion efficace de l’identité des utilisateurs et de l’accès connexe aux renseignements et aux systèmes de l’Agence est essentielle pour que l’Agence puisse fournir ses programmes et services, maintenir la confiance du public et s’assurer que les renseignements de nature délicate sont protégés.
En 2013, la Direction générale de la vérification‚ de l’évaluation et des risques a effectué une vérification de la gestion des accès des utilisateurs. La vérification a permis de cerner des occasions pour l’Agence de renforcer ses processus afin de s’assurer que les accès des utilisateurs sont gérés de façon efficace, efficiente et uniforme.
Depuis la vérification de 2013, la Direction générale des finances et de l’administration a achevé le projet de gestion de l’identité et de l’accès. L’objectif de ce projet mené à l’échelle de l’Agence était de renforcer les contrôles visant l’accès des utilisateurs et d’assurer une administration uniforme de l’identité et de l’accès des utilisateurs en normalisant et en automatisant les processus dans les cinq principaux environnements informatiques. Depuis ce temps, l’Agence a aussi mis en œuvre le système de gestion de la fraude d’entreprise
La vérification de suivi a pour objectif de faire en sorte que des contrôles soient en place et fonctionnent comme prévu pour veiller à ce que l’administration de l’accès des utilisateurs soit gérée et surveillée conformément aux politiques, aux directives, aux normes et aux procédures de l’Agence.
Dans l’ensemble, l’équipe de la vérification interne a constaté que l’Agence a des contrôles internes en place afin de veiller à ce que l’administration des utilisateurs soit gérée et surveillée conformément aux politiques, aux normes et aux procédures de l’Agence. L’équipe de la vérification interne a constaté que des améliorations significatives ont été apportées à la gestion de l’accès des utilisateurs depuis la vérification interne précédente en 2013. Toutefois, l’équipe de la vérification interne a également relevé quelques possibilités de renforcer davantage l’observation des politiques et des activités de surveillance de l’Agence de façon à garantir que l’administration de l’accès des utilisateurs est gérée de façon appropriée.
Sommaire des recommandations
La Direction générale des finances et de l’administration et la Direction générale de l’informatique devraient renforcer les contrôles appropriés visant la gestion de l’accès des utilisateurs en vue de s’assurer que les accès des utilisateurs sont fournis, examinés, suspendus et supprimés conformément aux exigences des politiques de l’Agence. Elles devraient également veiller à ce que les niveaux de filtrage de sécurité appropriés pour les employés bénéficiant d’un accès privilégié soient appliqués d’une façon uniforme et à ce que les activités des administrateurs de données soient surveillées sur toutes les plateformes. De plus, la Direction générale des finances et de l’administration devrait s’assurer que les conflits de séparation des tâches non validés sont traités en temps opportun.
Réponse de la direction
La Direction générale des finances et de l’administration et la Direction générale de l’informatique sont d’accord avec les recommandations du présent rapport et ont élaboré des plans d’action connexes. La Direction générale de la vérification‚ de l’évaluation et des risques a déterminé que ces plans d’action semblent raisonnables pour aborder les recommandations.
1. Introduction
La gestion de l’accès des utilisateurs est un élément fondamental de la sécurité de la technologie de l’information (TI). L’Agence du revenu du Canada est l’un des plus importants détenteurs de renseignements personnels du gouvernement du Canada. La protection des renseignements et de la vie privée des clients est une priorité clé de l’Agence.
La gestion des identités et le contrôle de l’accès aux systèmes de TI de l’Agence sont essentiels pour veiller à ce que les ressources d’information soient protégées. Il y a environ 300 000 comptes sur les cinq plateformes informatiques de l’Agence, y compris les comptes standards et non standards (accès au système, accès à plusieurs utilisateurs et accès privilégié). (Consultez l’annexe B pour obtenir une liste des plateformes informatiques.) La protection peut être assurée et maintenue seulement au moyen d’une gestion efficace des pratiques d’accès des utilisateurs pour ces comptes.
En 2013, la Direction générale de la vérification‚ de l’évaluation et des risques a réalisé une vérification initiale de la gestion des accès des utilisateurs. Cette vérification a permis de cerner des occasions pour l’Agence de renforcer ses processus afin de s’assurer que la gestion de l’accès des utilisateurs est effectuée de façon efficace, efficiente et uniforme.
Depuis la vérification de 2013, la Direction générale des finances et de l’administration a achevé le projet de gestion de l’identité et de l’accès. L’objectif de ce projet mené à l’échelle de l’Agence était de renforcer les contrôles visant l’accès des utilisateurs et d’assurer une administration uniforme de l’identité et de l’accès des utilisateurs en normalisant et en automatisant les processus dans les cinq principaux environnements informatiques.
Depuis, l’Agence a également mis en œuvre le système de gestion de la fraude d’entreprise, lequel fournit des capacités de pointe et améliore la surveillance et la détection en déterminant les transactions suspectes au moyen de l’application des analyses opérationnelles. Ce système signale les activités qui semblent incohérentes avec les charges de travail et les tâches des employés.
Afin d’améliorer davantage l’efficacité du programme et des initiatives de sécurité de l’information de l’Agence, la gestion de l’accès des utilisateurs est une responsabilité partagée :
- Le directeur général de la Direction de la sécurité et des affaires internes de la Direction générale des finances et de l’administration est l’agent de sécurité de l’Agence qui assume la responsabilité générale pour ce qui est de la direction, de l’orientation et du leadership du programme de sécurité.
- La Direction de la sécurité et des affaires internes est le propriétaire opérationnel du programme de sécurité de l’information et est responsable des politiques de sécurité de l’information; ce rôle comprend le maintien et le respect de la Directive sur la sécurité des renseignements et des systèmes du Manuel des finances et de l’administration de l’Agence.
- La Division du Centre de la sécurité de la TI de la Direction générale de l’informatique est responsable d’élaborer des normes sur les contrôles d’accès aux TI, de sélectionner et d’approuver les logiciels de contrôle d’administration, et de soutenir la Direction générale des finances et de l’administration dans sa gestion du processus d’administration des comptes non standards.
- Les propriétaires d’applications et les propriétaires de processus administratifs sont chargés de définir les exigences relatives aux autorisations d’accès système et d’établir des critères de rôle d’utilisateur qui cadrent avec les besoins opérationnels et les exigences relatives à la répartition des tâches.
- Les utilisateurs privilégiés, dont les propriétaires de plateformes de TI, les administrateurs d’applications, les groupes de soutien de la TI et les administrateurs de la sécurité de l’Agence, administrent les accès aux plateformes de TI de l’Agence.
- Les superviseurs et les gestionnaires sont chargés de déterminer et d’autoriser les privilèges d’accès et de s’assurer que les rôles et profils attribués respectent les principes de sécurité liés aux permissions minimales d’accès aux systèmes et au besoin de savoir.
- Il incombe aux employés de faire preuve de diligence raisonnable pour protéger les renseignements, les systèmes, les ordinateurs et les dispositifs connexes de l’Agence contre l’accès, la divulgation, la modification ou la destruction non autorisés.
Par conséquent, la protection des renseignements des contribuables, des bénéficiaires de prestations et des employés ne peut être réalisée qu’au moyen de pratiques efficaces de gestion de l’accès des utilisateurs dans l’ensemble des plateformes informatiques et de tous les utilisateurs. Toutefois, l’Agence doit également veiller à ce que les principes de l’accès minimal ne deviennent pas un obstacle à la prestation de services axés sur la clientèle.
2. Portée de la vérification
2.1. Importance
Cette vérification est importante, car la gestion efficace de l’identité des utilisateurs et de l’accès connexe aux renseignements et aux systèmes de l’Agence est essentielle pour que l’Agence puisse fournir ses programmes et services, maintenir la confiance du public et s’assurer que les renseignements de nature délicate sont protégés.
La Direction générale de la vérification‚ de l’évaluation et des risques a vérifié si les accès des utilisateurs étaient gérés de façon appropriée dans le cadre de sa vérification de 2013. La vérification a permis de cerner des occasions pour l’Agence de renforcer ses processus afin de s’assurer que les accès des utilisateurs étaient gérés de façon efficace, efficiente et uniforme. Puisque le projet de gestion de l’identité et de l’accès qui a suivi cette vérification a donné lieu à de nombreux changements, une vérification de suivi a été jugée appropriée.
Les récentes atteintes à la vie privée dans d’autres organisations ont confirmé en outre l’importance de cette vérification. De plus, cette vérification est liée à trois risques cernés dans le profil des risques organisationnels de l’Agence : la protection des renseignements des contribuables, les valeurs et l’éthique, et la protection des renseignements personnels.
Cette vérification a d’abord été incluse dans le plan de vérification et d’évaluation axé sur les risques 2013-2016 approuvé par le Conseil de direction. Toutefois, en 2016, la vérification a été reportée à l’exercice 2018-2019 en attendant l’achèvement du projet de gestion de l’identité et de l’accès. Le 26 juin 2019, le Comité de gestion de l’Agence a approuvé le cahier de planification.
2.2. Objectif
L’objectif de la vérification était de donner au commissaire, à la direction de l’Agence et au Conseil de direction une assurance que les contrôles sont en place et fonctionnent comme prévu pour veiller à ce que l’administration de l’accès des utilisateurs soit gérée et surveillée conformément aux politiques, aux normes et aux procédures de l’Agence.
2.3. Portée
La vérification portait sur les environnements de production de l’Agence, et où se trouvent les renseignements sur les contribuables, les bénéficiaires de prestations et les employés de l’Agence. Elle exclut l’environnement de l’intelligence d’affaires, car il a été abordé dans le cadre de l’examen récent de la Protection des données de renouvellement du renseignement d’entreprise. Le travail de vérification comprenait l’examen des nombreuses améliorations mises en œuvre à la suite du projet de gestion de l’identité et de l’accès. L’équipe de la vérification a également mené des sondages de vérification semblables à ceux effectués au cours de la vérification interne de 2013 de la gestion de l’accès des utilisateurs dans les secteurs où des risques élevés ont été repérés.
L’équipe de la vérification interne a mené des entrevues et des essais au sein de l’Administration centrale, de la région de l’Atlantique, de la région de l’Ouest et de Services partagés Canada afin d’obtenir des renseignements sur l’accès de leurs employés aux systèmes de l’Agence.
2.4. Critères et méthodologie de la vérification
Les critères et la méthodologie de la vérification se trouvent à l’annexe A.
La phase d’examen de la vérification s’est déroulée de juillet 2019 à janvier 2020.
La vérification a été effectuée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne, tel qu’il est soutenu par les résultats du programme d’assurance et d’amélioration de la qualité.
3. Constatations, recommandations et plans d’action
Les recommandations présentées dans le présent rapport traitent des questions de grande importance ou des exigences obligatoires.
La Direction générale des finances et de l’administration et la Direction générale de l’informatique sont d’accord avec les recommandations du présent rapport et ont élaboré des plans d’action connexes. La Direction générale de la vérification‚ de l’évaluation et des risques a déterminé que ces plans d’action semblent raisonnables pour donner suite aux recommandations.
3.1 Observation
3.1.1 Les instruments de politique liés à la gestion de l’accès des utilisateurs sont en place et communiqués.
Selon les examens de documents, les entrevues et les analyses, l’équipe de la vérification interne a déterminé que la Direction générale des finances et de l’administration a examiné et mis à jour les instruments de politique d’entreprise en matière de sécurité en ce qui concerne la gestion de l’accès des utilisateurs. L’équipe de la vérification interne a constaté que les instruments de politique d’entreprise avaient établi des exigences conformes aux politiques du gouvernement du Canada du Conseil du Trésor du Canada.
L’équipe de la vérification interne a également constaté que les instruments de politique d’entreprise sont publiés dans le portail des employés (InfoZone) et communiqués aux employés afin de leur fournir des renseignements sur les objectifs, les résultats escomptés et les exigences en matière de sécurité liées à la gestion de l’accès des utilisateurs aux renseignements et aux systèmes de l’Agence.
3.1.2 Les rôles et les responsabilités des intervenants liés à la gestion de l’accès des utilisateurs sont en place.
D’après les entrevues avec certains intervenants et les essais, l’équipe de la vérification interne a déterminé que les rôles et les responsabilités concernant la gestion des comptes d’utilisateurs et de l’accès au sein de l’Agence sont clairement définis, consignés, communiqués et généralement compris.
La Direction générale des finances et de l’administration fournit aux intervenants un soutien et une orientation sur la sécurité de l’information afin de renforcer leur compréhension de leurs responsabilités en matière de sécurité. Les rôles et les responsabilités ont été communiqués aux intervenants au moyen de diverses activités de visibilité et de mobilisation, y compris les communications internes sur l’intranet, les courriels de l’Agence et les cours de formation sur la sécurité.
3.1.3 Les processus, les directives et les outils utilisés pour la gestion de l’accès des utilisateurs se sont grandement améliorés depuis la dernière vérification interne.
Dans l’ensemble, l’équipe de la vérification interne a constaté que de nombreuses améliorations ont été apportées à la gestion de l’accès des utilisateurs depuis la vérification interne de 2013. Ces améliorations découlent de l’achèvement des plans d’action de la direction qui traitent des recommandations formulées dans la vérification de 2013 ainsi que des initiatives en cours dans le programme de gestion de l’identité et de l’accès qui améliorent les processus, les directives et les outils de soutien.
Ces plans d’action et initiatives comprennent les améliorations au système en ce qui concerne la gestion des identités des utilisateurs de l’Agence dans l’ensemble des plateformes informatiques et la centralisation des demandes d’accès et de l’administration du système. De plus, l’Agence a précisé les exigences relatives à l’utilisation uniforme des outils de soutien pour la gestion de l’accès des utilisateurs au moyen du contrôle des accès fondés sur les rôles, du catalogue de définitions d’accès aux systèmes et de l’application Examen de l’accès et certification. Les répertoires du contrôle des accès fondés sur les rôles et du catalogue de définitions d’accès aux systèmes fournissent des renseignements sur l’attribution des permissions minimales d’accès aux systèmes selon les fonctions du poste. L’application Examen de l’accès et certification soutient les gestionnaires dans leur examen obligatoire des permissions d’accès aux systèmes de leurs employés. Ces systèmes sont en place pour aider les gestionnaires à s’assurer que les employés ont seulement les permissions minimales d’accès aux systèmes requises pour traiter leur charge de travail.
Pendant les essais, l’équipe de la vérification interne a également noté un certain nombre d’initiatives de la Direction générale des finances et de l’administration qui étaient en cours pour améliorer davantage l’uniformité et l’exhaustivité de la gestion des rôles au moyen de l’automatisation et pour intégrer davantage les outils de soutien.
3.1.4 Des contrôles sont en place pour fournir l’accès aux systèmes; toutefois, des améliorations sont nécessaires pour s’assurer que l’accès est retiré lorsque la charge de travail d’un employé change, ainsi que d’assurer que les principes du besoin de savoir et de l’accès minimal aux systèmes sont appliqués de manière uniforme.
La Directive sur la sécurité des renseignements et des systèmes vise à s’assurer que les permissions d’accès aux systèmes pour les employés sont gérées efficacement et rigoureusement contrôlées. L’accès de l’utilisateur est accordé seulement lorsque cela est autorisé et approprié. Cela est déterminé selon les fonctions actuelles de l’employé, ainsi que des principes du besoin de savoir et de l’accès minimal aux systèmes. Les comptes qui sont inactifs ou qui ne sont plus nécessaires doivent être suspendus.
L’équipe de la vérification interne a constaté que les demandes d’accès des utilisateurs aux plateformes étaient documentées et approuvées de façon appropriée par les gestionnaires. Cependant, il y a eu des cas où les utilisateurs se sont vu accorder un accès sans l’application des principes du besoin de savoir et d’accès minimal aux systèmes. Au moyen d’un échantillonnage de comptes, l’équipe de la vérification interne a constaté que certains comptes d’utilisateurs avaient des permissions d’accès aux systèmes inutiles après que les employés avaient été mutés à de nouvelles fonctions et que les accès précédents n’avaient pas été supprimés. Les demandes d’accès sont soumises par l’intermédiaire du Portail du libre-service de la TI et les directives n’étaient pas toujours claires. De plus, les administrateurs de système de la Direction générale de l’informatique ne retiraient pas systématiquement les accès sur toutes les plateformes.
De plus, des processus automatisés existent pour s’assurer que l’accès est suspendu lorsqu’il y a un changement pertinent dans le statut de service d’un employé ou lorsque le compte est inactif. Toutefois, tous les comptes d’utilisateur inactifs n’ont pas été suspendus. PROTÉGÉ
Des permissions d’accès non nécessaire au système et la non-suppression de comptes pourraient entraîner un accès inapproprié ou non autorisé à des renseignements de nature délicate.
Recommandation 1
La Direction générale des finances et de l’administration doit veiller à ce que les comptes d’utilisateurs soient uniformément fournis, conformément aux exigences de politique de l’Agence des principes du besoin de savoir et de l’accès minimal aux systèmes ou lorsque la charge de travail d’un employé change.
Plan d’action 1
Au cours de la période visée par l’examen, la Direction générale des finances et de l’administration a élaboré et était en train de publier un certain nombre de produits d’apprentissage faisant la promotion des principes de gestion de l’accès auprès des superviseurs de l’Agence. De plus, cette direction générale intégrera des rappels sur l’utilisation des formulaires appropriés pour les transferts et les réactivations de comptes dans son produit de sensibilisation semestriel émis à tous les gestionnaires de l’Agence.
Elle examinera aussi les formulaires du portail libre-service de la TI utilisés pour les transferts et la réactivation des comptes, et proposera des changements à la Direction générale de l’informatique, au besoin. Des efforts supplémentaires sont déployés dans le nouvel outil complet du système de gestion de l’accès et des rôles pour veiller à ce que les comptes d’utilisateur soient attribués selon les principes du « besoin de savoir », des « accès minimums aux systèmes » et de la « séparation des tâches » pour les transferts et la réactivation des comptes.
La Direction générale des finances et de l’administration fournira une orientation à la Direction générale de l’informatique en ce qui a trait aux mises à jour qui doivent être apportées aux procédures nationales d’exploitation permanentes de la Direction générale de l’informatique afin de veiller à ce que les autorisations d’accès aux systèmes soient gérées de façon appropriée dans le cas des transferts et de la réactivation des comptes.
Date d’achèvement : octobre 2020 (à l’exception du système de gestion de l’accès et des rôles; voir le plan d’action 4B)
Recommandation 2
La Direction générale de l’informatique doit veiller à ce que l’accès d’utilisation d’un employé soit supprimé sur demande et que les comptes inactifs soient suspendus adéquatement.
Plan d’action 2A
La Direction générale de l’informatique examinera et mettra à jour les normes et procédures normales d’exploitation nationales afin de s’assurer que les autorisations d’accès d’utilisation des employés sont gérées et supprimées adéquatement dans le cas des transferts et de la réactivation des comptes.
La Direction générale de l’informatique offrira des séances de sensibilisation virtuelles, ainsi que des communications à l’intention des gestionnaires et des fournisseurs de service pour veiller à ce que les permissions d’accès d’utilisation des employés soient gérées adéquatement. Ces renseignements seront publiés dans le Centre du savoir de la TI pour veiller à ce qu’ils soient disponibles pour les nouveaux employés de la Direction générale de l’informatique.
Une fois que des changements ont été apportés aux procédures et aux normes et que des séances de sensibilisation ont été offertes, une vérification de la qualité aura lieu. Cela permettra de vérifier si les changements apportés ont eu une incidence positive, ainsi que de déterminer s’il faut apporter d’autres changements aux documents et processus.
Date d’achèvement : mars 2021
Plan d’action 2B
La Direction générale de l’informatique apportera les changements requis aux formulaires Web du Portail du libre-service de la TI pour les transferts et réactivations de comptes à la suite de l’examen de ces formulaires par la Direction générale des finances et de l’administration.
Date d’achèvement : mars 2021
Plan d’action 2C
La Direction générale de l’informatique déterminera la cause profonde PROTÉGÉ, et elle mettra en place des mesures correctives pour aborder les risques liés à ces comptes.
Date d’achèvement : mars 2022
3.1.5 Les comptes d’utilisateur sont uniques et repérables pour l’utilisateur assigné. Toutefois, le risque lié aux comptes d’utilisateur sans correspondance doit être abordé.
Les normes de gestion des comptes d’utilisateurs et des mots de passe exigent que les utilisateurs puissent accéder aux renseignements et aux systèmes de l’Agence au moyen d’un compte d’utilisateur ayant un ID utilisateur unique et repérable. Cette exigence est nécessaire pour assurer la responsabilisation lorsque les employés accèdent aux systèmes de l’Agence et aux renseignements sur les contribuables, les prestataires et les employés.
L’équipe de la vérification interne a noté que les comptes d’utilisateur étaient fournis par l’intermédiaire des comptes d’utilisateur uniques sur les plateformes informatiques et qu’ils peuvent être associés à une identité valide. En analysant les données, l’équipe de la vérification interne a constaté que, dans la plupart des cas, les comptes standards respectaient les normes d’appellation et qu’ils étaient associés à des identificateurs valides. Toutefois, l’équipe a noté des problèmes liés à l’intégrité des données, y compris des comptes sans correspondance sur les plateformes informatiques qui ont été créés par les administrateurs de système, mais qui n’étaient pas associés correctement à une identité valide.
Au cours des entrevues avec la Direction générale des finances et de l’administration, l’équipe de la vérification interne a noté que des rapports sont produits de façon périodique, avec un examen ponctuel pour résoudre des problèmes liés à l’intégrité des données d’identité. Toutefois, des procédures formelles documentées n’étaient pas encore en place.
Il y a un risque que les comptes des utilisateurs qui ne sont pas correctement liés à une personne responsable entraînent un accès inapproprié et non autorisé à des renseignements de nature délicate et que cet accès ne puisse pas être détecté.
Recommandation 3
La Direction générale des finances et de l’administration, en collaboration avec la Direction générale de l’informatique, devrait aborder le risque de problèmes liés aux comptes d’utilisateurs sans correspondance et à l’intégrité des données, et veiller à ce que ces problèmes soient réglés.
Plan d’action 3
La Direction générale des finances et de l’administration a mis en place des procédures pour traiter les comptes d’utilisateurs ou de système sans correspondance afin d’assurer une résolution rapide. Elle continuera de travailler, en collaboration avec la Direction générale de l’informatique, pour examiner et traiter d’une façon continue les problèmes liés aux comptes d’utilisateurs ou de systèmes et les problèmes liés à l’intégrité des données.
La Direction générale des finances et de l’administration officialisera ses procédures pour traiter les risques liés aux comptes d’utilisateur et de système sans correspondance ainsi qu’aux problèmes d’intégrité des données.
Date d’achèvement : avril 2021
3.1.6 Des mesures sont en place pour la séparation des tâches; toutefois, des améliorations peuvent être apportées pour aborder rapidement les conflits de séparation des tâches non validés.
La directive sur la séparation des tâches définit les exigences en matière de sécurité, les rôles et les responsabilités qui sont en place pour définir, concevoir et attribuer les permissions d’accès aux systèmes afin de maintenir une séparation adéquate des tâches.
Pendant la vérification, l’équipe de la vérification interne a constaté que les directions générales ont cerné, documenté et communiqué les exigences en matière de séparation des tâches dans le répertoire du contrôle des accès fondés sur les rôles et le Catalogue de définitions d’accès aux systèmes. Cette tâche a été effectuée afin de veiller à ce que les fonctions conflictuelles soient réparties selon les rôles et profils connexes. Au moment de l’examen, un processus annuel était en place pour veiller à ce que tous les rôles et profils et toutes les exigences en matière de séparation des tâches soient examinés et validés par le sous-commissaire de chaque direction générale.
De plus, afin d’appuyer l’efficience opérationnelle et le service à la clientèle, les sous-commissaires peuvent valider les exceptions lorsqu’un besoin opérationnel nécessite des fonctions conflictuelles. La Direction générale de cotisation, de prestation et de service a un processus documenté pour valider les exceptions liées à la séparation des tâches, appuyée par une approche d’évaluation du risque.
Le processus de production de rapports par la Direction générale des finances et de l’administration a été mis en place afin de repérer et de documenter mensuellement les employés ayant des conflits concernant la séparation des tâches. De plus, certaines règles relatives à la séparation des tâches ont été intégrées dans le système de surveillance de la fraude d’entreprise afin d’atténuer les risques liés à la fraude, aux erreurs et à l’utilisation malveillante.
Toutefois, en effectuant un essai sur un échantillon de comptes d’utilisateur, l’équipe de vérification interne a signalé des cas où les employés avaient des conflits liés à la séparation de tâches non validés. Cela était particulièrement le cas lorsque les employés avaient été mutés à de nouvelles fonctions. Il faut améliorer les fonctions des outils de soutien afin de s’assurer que les conflits liés à la séparation des tâches (accès actuel aux systèmes d’un employé) sont cernés et évités avant d’attribuer les nouveaux accès aux systèmes.
De plus, les rapports sur les conflits liés à la séparation des tâches ne font pas le suivi du temps écoulé depuis la détection initiale. La Directive sur la séparation des tâches de l’Agence exige que des mesures immédiates et appropriées soient prises lorsqu’un conflit de séparation des tâches est détecté. Cela est fait pour veiller à ce que l’approbation officielle des exceptions est fondée sur les risques établis et les contrôles d’atténuation en place. D’après une comparaison des rapports de juillet 2019 et de décembre 2019, il est déterminé que certains utilisateurs avaient toujours des conflits de séparation de tâches non validés même après une période de cinq mois.
Sans traiter adéquatement et rapidement les conflits liés à la séparation des tâches, il y a un risque d’accès inapproprié ou non autorisé aux systèmes. Par conséquent, il y a également un risque lié à la protection des renseignements des contribuables.
Recommandation 4
La Direction générale des finances et de l’administration devrait s’assurer que les comptes d’utilisateur sont fournis conformément aux exigences en matière de séparation des tâches et que les conflits de séparation des tâches non validés sont traités en temps opportun, conformément aux exigences de la politique de l’Agence.
Plan d’action 4A
La Direction générale des finances et de l’administration définira un protocole officiel pour travailler avec les directions générales afin de régler les conflits non validés liés à la séparation des tâches, conformément aux exigences de la politique de l’Agence.
Date d’achèvement : avril 2021
Plan d’action 4B
La Direction générale des finances et de l’administration veillera à ce que des mesures de prévention à l’égard de la séparation des tâches soient intégrés aux exigences opérationnelles de la solution de gestion de l’accès et des rôles. Entre-temps, la surveillance actuelle de la séparation des tâches continuera d’être en place pour traiter le risque cerné.
Date d’achèvement : avril 2023
3.1.7 Les responsables de la plateforme de TI de l’Agence peuvent repérer les comptes d’accès privilégié. Toutefois, les critères utilisés pour déterminer les exigences en matière de filtrage de sécurité ne sont pas appliqués d’une façon uniforme pour les postes où les tâches incluent l’administration des accès privilégiés.
L’équipe de la vérification interne a cerné les utilisateurs avec accès privilégié pour la plateforme de TI de l’ordinateur central. D’après les entrevues et les essais, l’équipe a signalé que la Direction générale de l’informatique procède actuellement à mettre en place une initiative pour définir davantage les profils et élaborer des rôles de tâches courantes pour les utilisateurs avec accès privilégié.
Grâce aux essais, l’équipe a aussi pu déterminer que les utilisateurs avec accès privilégié avaient des niveaux de filtrage de sécurité valides. Cependant, il y avait des écarts entre les directions générales concernant les niveaux de filtrage de sécurité qui devraient être accordés aux administrateurs ayant un accès privilégié. Les critères pour déterminer les exigences en matière de filtrage de sécurité des postes (y compris les postes nécessitant un accès fréquent et non supervisé aux renseignements, aux biens et aux installations du gouvernement du Canada) sont établis conformément à la norme sur le filtrage de sécurité du Secrétariat du Conseil du Trésor du Canada. L’équipe de la vérification interne a déterminé que 75 % des utilisateurs avec accès privilégié de l’Agence qui ont fait partie de l’essai avaient une cote de sécurité de niveau Secret. Il a été aussi déterminé que 50 % des employés de Services partagés Canada qui sont responsables de la gestion de l’infrastructure de la TI et des services de réseau de l’Agence et qui nécessitent un accès privilégié aux plateformes de la TI ont une cote de sécurité de niveau Secret ou supérieur. L’équipe de la vérification interne n’a pas été en mesure de tirer une conclusion quant à la pertinence des niveaux de filtrage de sécurité, mais elle a déterminé qu’il y avait possiblement un manque d’uniformité.
Les critères du Secrétariat du Conseil du Trésor du Canada mentionnés dans les procédures de filtrage de sécurité du personnel de l’Agence ne sont pas clairs et ne sont pas appliqués de façon incohérente dans l’ensemble de l’Agence. Il y a donc un risque que l’Agence n’évalue pas et ne détermine pas de façon uniforme les exigences en matière de filtrage de sécurité qui correspondent aux fonctions de certains utilisateurs avec accès privilégié.
Recommandation 5
La Direction générale des finances et de l’administration devrait établir et documenter des exigences en matière de sécurité lorsque les tâches nécessitent un accès privilégié à l’infrastructure et aux systèmes de l’Agence Elle devrait ensuite communiquer les résultats à la Direction générale de l’informatique afin d’assurer un filtrage de sécurité approprié.
Plan d’action 5
La Direction générale des finances et de l’administration prendra les mesures suivantes :
- Déterminer la meilleure approche à suivre pour évaluer les exigences en matière de sécurité des postes de la Direction générale de l’informatique pour lesquels l’exécution des tâches nécessitent un accès privilégié.
- Évaluer les exigences en matière de filtrage de sécurité pour ces postes en fonction des renseignements devant être consultés.
- Communiquer à la Direction générale de l’informatique les exigences en matière de sécurité de ces postes.
Date d’achèvement : octobre 2021
3.2. Surveillance
3.2.1 Les outils de surveillance sont utilisés pour examiner les comptes d’utilisateur, mais il faut apporter des améliorations pour veiller à ce que les comptes non standards soient examinés en temps opportun.
L’examen de l’accès est un contrôle essentiel pour s’assurer que les utilisateurs se voient seulement attribuer l’autorisation d’accès aux systèmes dont ils ont besoin pour exécuter leurs fonctions. La Directive sur la sécurité des renseignements et des systèmes exige que les gestionnaires examinent périodiquement les accès pour tous les comptes d’utilisateurs sous leur responsabilité.
D’après les essais effectués, l’équipe de la vérification interne a noté que les comptes standards étaient certifiés en temps opportun au moyen de l’application Examen de l’accès et certification. Cependant, ce n’est pas le cas pour certains comptes non standards (y compris les comptes de système, les comptes génériques et les comptes privilégiés). L’équipe a également conclu que l’Agence, même après de multiples tentatives de communication, attendait toujours que Services partagés Canada fournissent les renseignements sur l’examen de ses comptes, y compris ceux des utilisateurs avec accès privilégié.
L’équipe de la vérification interne a constaté que les superviseurs n’effectuaient pas toujours les examens de l’accès pour s’assurer que l’accès des utilisateurs a été accordé en fonction des principes du besoin de savoir et de l’accès minimal aux systèmes pour les comptes standards. D’après les essais, l’équipe a déterminé que certains superviseurs ne mettaient pas à jour de façon appropriée les profils de système des employés pour afficher les rôles à jour du Contrôle des accès fondés sur les rôles et supprimer les autorisations d’accès des postes antérieurs. Certains secteurs n’avaient pas de rôles à jour ou exhaustifs qui comprenaient tous les profils d’application requis pour établir des normes relatives au principe du besoin de savoir et aux permissions minimales d’accès au système. Au cours des entrevues, les gestionnaires ont également indiqué que des outils de soutien étaient en place pour faciliter les examens de l’accès, mais ils ont fait remarquer que des améliorations sont nécessaires à la convivialité. Plus particulièrement, les gestionnaires ont précisé ce qui suit :
- l’outil de comparaison des rôles ne prend pas en charge toutes les plateformes, y compris l’environnement PROTÉGÉ;
- les descriptions de profil ne sont pas toujours claires, ce qui fait qu’il est difficile d’effectuer un examen efficace et efficient;
- les renseignements sur l’application de l’Examen de l'accès et certification ne correspondent pas aux accès aux plateformes dans certains cas.
Sans les examens des accès exacts et en temps opportun, il y a un risque que des permissions d’accès aux systèmes inutiles et inappropriés soient accordées, comme les employés qui ont des rôles conflictuels.
Recommandation 6
La Direction générale des finances et de l’administration devrait examiner les outils d’appui afin de clarifier et d’assurer l’exactitude des renseignements, et veiller à ce que les rôles et les accès des comptes d’utilisateur pour tous les types de comptes soient examinés et certifiés, conformément aux exigences de la politique de l’Agence.
Plan d’action 6
Au cours de la période visée par l’examen, la Direction générale des finances et de l’administration a élaboré et était en train de publier un certain nombre de produits d’apprentissage faisant la promotion des principes de gestion de l’accès auprès des superviseurs de l’Agence. De plus, la Direction générale des finances et de l’administration a préparé des séances régulières de formation sur l’examen de l’accès et la certification à l’intention des superviseurs de l’Agence, lesquelles ont été bien accueillies dans la communauté des superviseurs de l’Agence.
La Direction générale des finances et de l’administration passera en revue ses protocoles liés à la certification des comptes non standards afin d’évaluer le risque associé. De plus, la Direction générale des finances et de l’administration évaluera la rentabilité de l’intégration des changements au processus actuel, étant donné qu’elle est en voie de lancer deux projets qui permettront de modifier l’attribution et la certification des comptes non standards (système de gestion de l’accès et des rôles et système de gestion de l’accès privilégié).
Date d’achèvement : avril 2021(à l’exception des deux projets susmentionnés, qui doivent être achevés d’ici avril 2023)
3.2.2 Les outils de surveillance liés aux administrateurs de bases de données devraient être améliorés afin de garantir que les activités privilégiées sont appropriées.
La surveillance des activités des utilisateurs est un élément essentiel de la prévention et de la détection des cas d’utilisation frauduleuse et inappropriée des renseignements de nature délicate. Cette surveillance est particulièrement importante lorsqu’on a affaire à des administrateurs de bases de données qui ont accès à de grandes quantités de données sur les contribuables, les bénéficiaires de prestations et les employés.
L’équipe de la vérification interne a mis à l’épreuve un échantillon d’administrateurs de bases de données et a constaté qu’on ne dispose pas à l’heure actuelle d’outils appuyant la surveillance de certaines activités privilégiées. La Direction générale de l’informatique est en train d’instaurer des règles de surveillance visant les administrateurs de bases de données. Elle intégrera ces règles au système de surveillance de la fraude d’entreprise PROTÉGÉ.
Comme les activités des administrateurs de bases de données sur toutes les plateformes n’ont pas encore toutes été intégrées au système de surveillance de la fraude d’entreprise, il pourrait être impossible de détecter certaines activités inappropriées pratiquées par les administrateurs de bases de données. Cette lacune au niveau de la détection pourrait compromettre les renseignements de nature délicate et les services critiques de l’Agence.
Recommandation 7
La Direction générale de l’informatique, en consultation avec la Direction générale des finances et de l’administration, devrait voir à ce qu’une surveillance des activités des administrateurs de bases de données soit assurée sur toutes les plateformes.
Plan d’action 7
La Direction générale de l’informatique dispose d’un système de gestion de la fraude électronique qu’elle met à profit pour aider à combler ces lacunes. La Division du Centre de la sécurité de la TI et la Division des solutions de sécurité de la TI s’efforcent de mettre en œuvre des « modèles de détection » qui permettront de détecter les méfaits commis par les administrateurs de bases de données sur toutes les plateformes de l’Agence.
Les modèles de détection initiaux qui seront mis en œuvre dans le système de gestion de la fraude électronique permettront de :
PROTÉGÉ
Date d’achèvement : juin 2021
3.2.3 Des indicateurs de rendement et des mécanismes d’établissement de rapports sont en place pour le programme de gestion de l’identité et de l’accès.
La Directive sur la gestion des projets et des programmes de l’Agence stipule que la surveillance et la prise de décisions sont fondées sur des données de mesure du rendement afin de soutenir la responsabilisation et la transparence.
L’équipe de vérification interne a constaté que la Direction générale des finances et de l’administration avait mis en œuvre des indicateurs de rendement clés concernant le programme de gestion de l’identité et de l’accès. Les données requises pour ces indicateurs étaient recueillies à l’aide des résultats de la surveillance périodique des activités d’examen de l’accès et de certification et de la surveillance de l’évaluation du sous-commissaire de la Direction générale, et une validation des rôles et des profils était en place. De plus, l’équipe de la vérification interne a réalisé que des initiatives de surveillance liées à la consultation et à la sensibilisation des clients, à la séparation des tâches et à une évaluation comparative par un tiers avaient été réalisées afin d’assurer l’efficacité du programme de gestion de l’identité et de l’accès.
L’équipe de la vérification interne a également constaté que des mécanismes d’établissement de rapports avaient été établis par l’entremise de différents comités, notamment le Comité directeur de la gestion de l’identité et de l’accès et le Comité consultatif sur l’accès. Ces comités comprennent des représentants de toutes les directions générales et assurent la surveillance et l’orientation du rendement du programme de gestion de l’identité et de l’accès. Lors de ses observations et de son analyse, l’équipe de la vérification interne a constaté que ces comités fournissent eux aussi un soutien continu à la mise en œuvre des processus et des outils de gestion de l’accès des utilisateurs.
4. Conclusion
La présente vérification avait pour objectif de confirmer que des contrôles sont en place et fonctionnent comme prévu pour veiller à ce que l’administration de l’accès des utilisateurs soit gérée et surveillée conformément aux politiques, aux directives, aux normes et aux procédures de l’Agence.
Dans l’ensemble, l’équipe de la vérification interne a constaté que l’Agence a plusieurs contrôles internes en place afin de veiller à ce que l’administration des utilisateurs soit gérée et surveillée conformément aux politiques, aux normes et aux procédures de l’Agence. Toutefois, l’équipe de la vérification interne a également relevé quelques possibilités de renforcer l’observation des politiques et les activités de surveillance de façon à garantir que l’administration de l’accès des utilisateurs soit gérée de façon appropriée.
La Direction générale des finances et de l’administration et la Direction générale de l’informatique devraient renforcer davantage les contrôles visant la gestion de l’accès des utilisateurs en vue de s’assurer que les accès des utilisateurs sont fournis, examinés, suspendus et supprimés conformément aux exigences des politiques de l’Agence. Elles devraient également veiller à ce que les niveaux de filtrage de sécurité appropriés pour les employés bénéficiant d’un accès privilégié soient appliqués d’une façon uniforme et à ce que les activités des administrateurs de données soient surveillées sur toutes les plateformes. De plus, la Direction générale des finances et de l’administration devrait s’assurer que les conflits de séparation des tâches non validés sont traités en temps opportun.
Compte tenu des risques importants associés à la gestion des utilisateurs, la vérification interne envisagera faire une vérification de suivi dans 3 ans.
5. Remerciements
Pour terminer, la Direction générale de la vérification‚ de l’évaluation et des risques souhaite remercier la Direction générale des finances et de l’administration, la Direction générale de l’informatique, la région de l’Atlantique, la région de l’Ouest et Services partagés Canada pour le temps consacré et les renseignements fournis au cours de ce processus de consultation. Elle tient aussi à remercier les représentants de la Direction générale des appels, de la Direction générale de cotisation, de prestation et de service, de la Direction générale des recouvrements et de la vérification, de la Direction générale des programmes d’observation et de la Direction générale de la politique législative et des affaires réglementaires pour leur aide et leur coopération.
6. Annexes
Annexe A : Critères et méthodologie de la vérification
En fonction de l’évaluation des risques de la Direction générale de la vérification, de l’évaluation et des risques, les secteurs d’intérêt suivants ont été répertoriés dans le cahier de planification et approuvés par le Comité de gestion de la vérification et de l’évaluation :
Secteurs d’intérêt | Critères |
---|---|
Observation | Les politiques, directives, normes et procédures de l’Agence sont en place, à jour, publiées, communiquées et alignées sur celles du gouvernement du Canada. |
Observation | Les rôles et responsabilités des intervenants sont définis, documentés et communiqués. |
Observation | Les comptes sont gérés avec efficacité et cohérence conformément aux politiques de l’Agence. |
Surveillance | Les outils de surveillance sont utilisés et fonctionnent comme prévu. |
Surveillance | Les principaux indicateurs de rendement du programme de gestion de l’identité et de l’accès en ce qui concerne la gestion des comptes d’utilisateurs sont définis, documentés, mis en œuvre, déclarés et traités. |
Surveillance | Les mécanismes d’établissement de rapports sont utilisés et fonctionnent comme prévu. |
Méthodologie
Les méthodologies utilisées pour l’examen comprenaient ce qui suit
- Entrevues auprès de certains membres de la direction et de l’effectif
- Mise à l’essai d’observation de certains contrôles par l’intermédiaire d’examens de la documentation
- Revues des processus et des procédures
- Observations et visites sur place à l’Administration centrale, dans la région de l’Atlantique et dans la région de l’Ouest
- Analyse des données des renseignements sur les comptes d’utilisateur sur les plateformes de TI de l’Agence (voir l’annexe B pour une liste des plateformes de TI)
Annexe B – Description des plateformes
Le tableau ci-dessous présente les principales plateformes de TI qui composent l’environnement de production de l’Agence.
PROTÉGÉ
Annexe C : Glossaire
Terme | Définition |
---|---|
Examen de l’accès et certification | Activité obligatoire de gestion du risque au moyen de laquelle les gestionnaires examinent à intervalles réguliers les permissions d’accès aux systèmes des comptes standards et non standards de leurs employés et de personnes autres que des employés. |
Système de gestion de l’examen de l’accès | Initiative de sécurité qui améliore les processus de gestion de l’identité et de l’accès de l’Agence au moyen de l’attribution et de la suppression automatisées des permissions d’accès au système, grâce aux attributs et aux nouvelles fonctions de contrôle des accès fondés sur les rôles. |
Identité | Référence ou désignation utilisée pour faire la distinction entre une personne, une organisation ou un appareil unique et particulier. |
Gestion de l’identité et de l’accès | Politiques, processus et systèmes assurant la gouvernance efficace des identités et des comptes numériques au moyen de processus normalisés et uniformes pour la gestion de l’information sur les utilisateurs : qui ils sont, comment ils sont authentifiés et ce à quoi ils peuvent accéder. |
Permission d’accès minimal aux systèmes | Besoin qu’a une personne de disposer seulement des accès requis pour s’acquitter de ses tâches. |
Besoin de savoir | Principe qui restreint l’accès aux systèmes, aux renseignements et aux données dont une personne a besoin pour effectuer les tâches qui lui ont été attribuées. |
Compte d’utilisateur non standard | Compte d’utilisateur créé pour permettre à un utilisateur d’accéder aux plateformes informatiques, aux systèmes ou aux applications auxquels il n’a habituellement pas accès. Ce type de compte fournit souvent un accès élevé et non restrictif à une plateforme informatique, à une base de données ou à une application, ou est utilisé par plusieurs personnes. |
Administration des comptes non standards | Processus normalisé pour demander, autoriser, accorder, examiner et retirer les droits d’accès aux systèmes qui ne font pas partie du compte de base d’un utilisateur, ou pour les situations où plus d’un compte est requis pour une personne. Ce type de compte fournit souvent un accès élevé et non restrictif à une plateforme informatique, à une base de données ou à une application, ou est utilisé par plusieurs personnes. |
Accès privilégié | Autorisation ou ensemble d’autorisations qui permet aux utilisateurs de contourner les contrôles d’accès logiques et d’exécuter des fonctions qui sont habituellement interdites aux utilisateurs ordinaires (non privilégiés), afin que les utilisateurs privilégiés puissent exécuter certaines fonctions, par exemple : installer un logiciel, modifier les paramètres de configuration, ajouter ou supprimer des comptes d’utilisateur, accorder ou modifier les permissions d’accès aux systèmes d’autres utilisateurs. Termes équivalents : permissions élevées, pouvoirs administratifs. |
Utilisateurs privilégiés | Particuliers ayant un accès privilégié qui peut s’appliquer à tout le système ou être limité au site, à la région, au système ou aux exigences de travail pour effectuer leur travail. |
Système de gestion de l’accès privilégié | Produit de gestion de l’accès privilégié qui empêche l’accès et l’utilisation non autorisés dans les systèmes au moyen de contrôles de sécurité avancés, comme la voûte de justificatifs d’identité, la surveillance active et l’intégration avec l’authentification à facteurs multiples. |
Attribution | Ajout de permissions d’accès aux comptes d’utilisateur pour permettre l’accès à des applications et à des systèmes précis. L’attribution est habituellement déclenchée lorsque l’Agence embauche un nouveau travailleur (intégration) ou transfère un utilisateur existant à un nouvel emplacement ou à un nouveau poste. |
Contrôle d’accès fondé sur les rôles | Source faisant autorité pour attribuer les permissions d’accès minimal aux systèmes en fonction des fonctions du poste. |
Filtrage de sécurité | Évaluation de la fiabilité et de la loyauté d’une personne à l’égard du Canada, qui est une condition d’emploi. L’éventail de niveaux comprend : la cote de fiabilité, la cote de sécurité de niveau Secret et la cote de sécurité de niveau Très secret. |
Séparation des tâches | Principe selon lequel on répartit les fonctions (tâches) clés d’un procédé administratif entre plusieurs employés et groupes de travail de manière à atténuer le risque de fraude, d’erreur et d’utilisation malveillante. |
Compte standard | Compte qui est conforme à la norme relative aux comptes d’utilisateurs de l’Agence selon laquelle le nom est composé de trois caractères alphabétiques suivis de trois caractères numériques – p.ex., « ABC123 » (3A + 3N) – et le compte est attribué à un seul utilisateur et est utilisé par celui-ci. Les comptes génériques, de système et d’exception ne sont pas des comptes standards. |
Catalogue de définitions d’accès aux systèmes | Répertoire central permettant aux autorités des directions générales de décrire et de préciser les droits d’accès aux systèmes qu’elles utilisent et qui sont associés aux divers environnements informatiques de l’organisation (p. ex. PROTÉGÉ). |
Détails de la page
- Date de modification :