Gouvernement du Canada Considérations relatives à l’utilisation de la cryptographie dans les services d’informatique en nuage commerciaux
Date:
Sur cette page
- 1. Introduction
- 2. Exigences de base
- 3. Gestion des clés
- 4. Éléments de mise en œuvre à prendre en considération
- Annexe A : Définitions
- Annexe B : Distribution de la matrice des responsabilités pour les opérations de gestion des clés
- Annexe C : Matrice des responsabilités de mise en œuvre des mesures et des mécanismes de sécurité connexes
- Annexe D : Éléments de mise en œuvre à prendre en considération pour les cas d’utilisation génériques
1. Introduction
-
Dans cette section
1.1 Contexte
L’informatique en nuage a fait amorcer un virage fondamental de la façon dont les services de système d’information sont offerts, et le gouvernement du Canada (GC) veille à ce qu’il puisse utiliser cet autre modèle de prestation de services. L’adoption de l’informatique en nuage fera en sorte que le gouvernement du Canada puisse continuer de maintenir l’excellence des services pendant une période de demande accrue de services en ligne et d’un accès ponctuel à des renseignements précis.
L’adoption des services d’informatique en nuage permettra de transférer l’information du GC par voie électronique des magasins de données qui se trouvent dans les locaux du GC, où cette information réside actuellement, à des environnements d’informatique en nuage publics à caractère commercial, où l’information sera stockée et consultée par les utilisateurs. La protection de l’information sous forme électronique sera accomplie par la mise en œuvre de mesures de sécurité des données, dont la protection de la disponibilité, de l’intégrité et de la confidentialité des données qui sont inactives, en cours de transfert ou utilisées.
La protection cryptographique des données est un élément essentiel de la protection de l’information sous forme électronique; cependant, sa mise en œuvre dans les services d’informatique en nuage peut être une tâche difficile. Les fournisseurs de services d’informatique en nuage (FSI) offrent plusieurs capacités et options de cryptographie que leurs clients doivent comprendre, activer et configurer correctement. En outre, au moment de déployer leurs services d’informatique en nuage, les ministères et organismes du GC doivent veiller à ce qu’ils se conforment aux exigences en matière de protection cryptographique des données qui sont précisées par le Secrétariat du Conseil du Trésor du Canada (SCT) et par le Centre de la sécurité des télécommunications (CST).
1.2 But et portée du document
Le présent document a pour but d’aider les ministères et organismes du GC à se servir de la cryptographie pour protéger les données sensibles du GC au cours de leurs déploiements de l’informatique en nuage.
L’orientation qui est communiquée dans le présent document s’applique
- aux données « Protégé A » et « Protégé B » du GC;
- aux données du GC dont la catégorie de sécurité est de faible ou moyenne en ce qui concerne l’intégrité.
Les organisations du GC doivent utiliser le présent document conjointement avec les documents suivants :
- l’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité;
- Gouvernement du Canada – Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage;
- l’[Orientation sur la cryptographie des services d’informatique en nuage (ITSP.50.106)].
Les organisations du GC doivent aussi prendre en considération d’autres facteurs propres à la mise en œuvre, dont les suivants :
- la catégorie de sécurité du service du GC qui est mis en œuvre;
- la bonne harmonisation avec l’architecture organisationnelle et l’architecture de sécurité organisationnelle;
- les exigences et les contraintes de la solution (p. ex., le rendement);
- les objectifs en matière d’atténuation des menaces;
- les risques résiduels ciblés.
1.3 Public
Le présent document sera utile aux personnes suivantes :
- les gestionnaires de la prestation de services qui sont responsables des risques pour la sécurité de l’information du GC;
- les dirigeants principaux de l’information et d’autres cadres principaux responsables de la technologie de l’information (TI) chargés d’évaluer le caractère adéquat de produits et de services de système d’information en vue de leur usage par le GC;
- les agents de gestion de l’information qui sont responsables de la gestion du cycle de vie de l’information du GC;
- les spécialistes des systèmes d’information et les spécialistes de la sécurité des systèmes d’information qui sont responsables de la mise en œuvre, de l’exécution et de la maintenance des services d’informatique en nuage du GC.
2. Exigences de base
-
Dans cette section
Cette section précise les exigences de base en matière de protection cryptographique des données dont les organisations doivent tenir compte pour leurs déploiements de l’informatique en nuage.
2.1 Exigences
Les exigences en matière de protection cryptographique des données au GC sont précisées à l’annexe B de la Directive sur la gestion de la sécurité du Conseil du Trésor. La sous‑section B.2.3.6.3 de l’annexe B indique ce qui suit :
utiliser le chiffrement et des mesures de protection des réseaux pour protéger la confidentialité des données de nature délicate transmises sur les réseaux publics, les réseaux sans fil ou tout autre réseau lorsque les données peuvent être exposées à un accès non autorisé.
Cependant, ces exigences ne sont pas suffisantes pour protéger adéquatement les données sensibles du GC dans les services d ’informatique en nuage commerciaux. Les données sensibles du GC doivent être chiffrées de manière à protéger à la fois la confidentialité et l’intégrité dans le nuage pendant leur transfert, leur inactivité et leur utilisation. Ces exigences supplémentaires en matière de protection des données :
- sont précisées dans les profils des mesures de sécurité du nuage du GC;
- sont prises en compte dans le présent document.
Au moment d’écrire ces lignes, aucune mise en œuvre pratique de la protection cryptographie des données n’est d’usage. Voir l’annexe D pour en savoir plus sur la protection des données en cours d’usage qui sont stockées dans des services d’informatique en nuage.
2.2 Algorithmes cryptographiques
Les organisations du GC doivent utiliser des algorithmes et des protocoles cryptographiques approuvées par le CST au cours de leurs déploiements de l’informatique en nuage, selon ce qui est décrit dans les documents suivants :
- le document du CST ITSP.40.111 Algorithmes cryptographiques pour l’information non classifié, Protégé A et Protégé B;
- le document du CST ITSP.40.062 Conseils sur la configuration sécurisée des protocoles réseau.
Aux fins d’assurance, dans le document ITSP.40.111, le CST recommande d’utiliser des modules cryptographiques qui ont été validés dans le cadre du Programme de validation des modules cryptographiques en vue de se conformer à la norme Security Requirements for Cryptographic Modules (FIPS 140-2) du National Institute of Standards and Technology (NIST) des États‑Unis.
2.3 Mesures de sécurité de base
Le tableau 1 énumère les mesures de sécurité et les renforcements des mesures de sécurité s’appliquant à la protection cryptographique des données du GC qui sont sélectionnés dans le Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage. Ces mesures de sécurité et renforcements des mesures de sécurité constituent la base de référence pour la protection des données du GC allant jusqu’au niveau « Protégé B », inclusivement, d’intégrité moyenne et de disponibilité moyenne (PBMM).
No de la mesure de sécurité | Titre | Valeurs connexes recommandées |
---|---|---|
AU-2 | Événements d’audit | (D) Événements qu’il est possible d’auditer (ou sous‑ensemble de tels événements), dont la fréquence d’audit ou la raison de l’audit doivent être définis au cours du processus d’adaptation. |
AU-12 | Génération d’audit | (A) Les composantes sont toutes les composantes de système d’information et de réseau où la capacité d’audit est déployée ou disponible. (B) La définition du personnel ou des rôles a lieu pendant le processus d’adaptation. |
IA-7 | Authentification des modules cryptographiques | Cette mesure de sécurité n’a aucun paramètre organisationnel. Les valeurs recommandées ne s’appliquent pas. |
SC-8 (1) | Confidentialité et intégrité des transmissions | Prévenir la divulgation non autorisée d’information et détecter les modifications apportées à l’information. |
SC-12 | Établissement et gestion des clés cryptographiques | Cryptographie approuvée par le CST. |
SC-12 (1) | Établissement et gestion des clés cryptographiques : Disponibilité | Cette mesure de sécurité n’a aucun paramètre organisationnel. Les valeurs recommandées ne s’appliquent pas. |
SC-12 (2) | Établissement et gestion des clés cryptographiques : Clés symétriques | Conforme au CST. |
SC-12 (3) | Établissement et gestion des clés cryptographiques : Clés asymétriques | Technologie et processus de gestion des clés approuvés par le CST. |
SC-13 | Protection cryptographique | Cryptographie conforme au CST selon les algorithmes du CST pour l’information non classifiée, « Protégé A » et « Protégé B » (ITSP.40.111). |
SC-17 | Certificats d’infrastructure à clé publique | Police d’assurance moyenne. |
SC-28 (1) | Protection de l’information inactive : Protection cryptographique | Selon ce qui est défini pour le déploiement, mais la catégorie de sécurité ne doit pas dépasser le niveau moyen pour la confidentialité et l’intégrité. |
3. Gestion des clés
3.1 Système de gestion des clés
Les organisations du GC doivent mettre en œuvre un système de gestion des clés pour la protection cryptographique qui est utilisée dans leurs services d’informatique en nuage. Le défaut de gérer adéquatement les clés de chiffrement peut causer un éventail de problèmes administratifs ou de sécurité, dont la perte de données critiques. Les éléments à prendre en considération pour la gestion des clés de chiffrement comprennent :
- le lieu où les clés sont générées et stockées ainsi que la façon dont celles‑ci sont générées et stockées;
- la façon dont les clés sont distribuées et protégées;
- la façon dont les clés sont récupérées si elles sont perdues;
- le moment où les clés sont détruites et la façon dont elles sont détruites.
Le CST recommande que les organisations du GC suivent l’orientation et les recommandations figurant dans les publications suivantes afin de mettre en œuvre des systèmes de gestion des clés :
- [Orientation sur la cryptographie des services d’informatique en nuage (ITSP.50.106)]
- NIST, publication spéciale 800-57, partie 1, révision 4, Recommendation for Key Management, partie 1 : General (en anglais seulement).
- NIST, publication spéciale 800-57, partie 2, révision 1, Recommendation for Key Management, partie 2 : Best Practices for Key Management Organizations (en anglais seulement).
- NIST, publication spéciale 800-57, partie 3, révision 1, Recommendation for Key Management, partie 3 : Application-Specific Key Management Guidance (en anglais seulement).
- NIST, publication spéciale 800-130, A Framework for Designing Cryptographic Key Management Systems (en anglais seulement).
- NIST, publication spéciale 800-152, A Profile for US Federal Cryptographic Key Management Systems (en anglais seulement).
Mesures connexes : SC-12, SC-12(1), SC-12(2), SC-12(3).
3.2 Modèles de gestion des clés
Le tableau 2 décrit des modèles de gestion des clés et des éléments à prendre en considération au moment de déterminer le modèle à choisir. Les organisations du GC devraient consulter la publication ITSP.50.106 afin de déterminer le modèle de gestion des clés qui convient le mieux à leurs déploiements de l’informatique en nuage.
Identificateur | Modèle de gestion des clés | Description | Considérations |
---|---|---|---|
KM-1 | Modèle 1 : Clés contrôlées par le FSI | Selon ce modèle, le FSI est responsable de toutes les opérations de gestion des clés à l’aide de son propre équipement. Typiquement, les organisations du GC choisiraient un service de protection des données et le FSI s’occuperait du reste. |
|
KM-2 | Modèle 2 : Clés gérées par l’organisation du GC | Selon ce modèle, les organisations du GC utiliseraient les capacités de protection cryptographique des données offertes par un FSI, mais les organisations seraient responsables de gérer leurs propres clés. |
|
KM-3 | Modèle 3 : Clés contrôlées par l’organisation du GC | Selon ce modèle, les organisations du GC géreraient leurs propres clés à l’aide de leurs propres capacités cryptographiques exécutées dans leurs propres locaux. Les organisations téléverseraient les clés dans leurs environnements de services d’informatique en nuage. |
|
3.3 Module de sécurité du matériel
Un module de sécurité du matériel (MSM) est un dispositif matériel qui protège et gère les clés cryptographiques afin d’assurer une authentification rigoureuse. Les fonctions d’un MSM qui sont pertinentes aux fins du présent document sont la génération de clés cryptographiques sécurisées, le stockage des clés et la gestion des clés.
L’utilisation de MSM fait en sorte de renforcer les aspects de la gestion des clés qui sont liés à la sécurité, rendant possible une protection efficace des clés cryptographiques pendant tout leur cycle de vie.
3.4 Responsabilités liées à la gestion des clés
La question de savoir si le FSI ou l’organisation du GC est responsable de la gestion des clés est déterminée par le modèle de gestion des clés qui est sélectionné. Les organisations du GC doivent être conscientes de la distribution des responsabilités selon chaque modèle afin de veiller à ce qu’elles appliquent correctement les mesures de sécurité du profil de l’informatique en nuage des données PBMM du GC.
Selon les modèles 1 et 2, une organisation du GC cède au FSI la totalité ou une partie du contrôle des opérations de gestion des clés. Le modèle 1 ne nécessite aucun investissement par le GC, puisque le FSI contrôle toutes les opérations de gestion des clés dans l’environnement de services d’informatique en nuage. Le modèle 2 nécessite un certain investissement par le GC.
Selon le modèle 3, une organisation du GC exerce tout le contrôle des opérations de gestion des clés, sauf pendant l’utilisation, qui se produit dans un environnement d’informatique en nuage public. Le modèle 3 nécessite un investissement dans des personnes, des processus et des technologies par le GC afin de mettre en œuvre et de maintenir la capacité de gestion des clés.
Au moment de choisir un FSI sous‑jacent pour un service d’informatique en nuage en particulier du GC, les organisations du GC doivent tenir compte :
- des modèles de gestion des clés qui sont disponibles;
- des avantages, des inconvénients et des risques associés à chaque modèle.
Les organisations du GC doivent aussi veiller à ce qu’elles mettent correctement en œuvre les opérations de gestion des clés dont elles sont responsables.
Les opérations de gestion des clés dont les organisations du GC peuvent être responsables sont décrites dans le tableau 3. Afin d’englober tout le cycle de vie d’une clé, les opérations de gestion des clés ont été sélectionnées à partir des sources suivantes :
- NIST, publication spéciale 800-57
- CST, publication ITSP.40.111
- Open Web Application Security Project (OWASP), Key Management Cheat Sheet (en anglais seulement)
La répartition des responsabilités de gestion des clés pour chacun des modèles de gestion des clés est présentée à l’annexe B.
Nom | Description | Sources | ||
---|---|---|---|---|
NIST SP 800-57 | ITSP.40.111 | OWASP | ||
Génération | Aucune définition de fournie dans la publication SP 800‑57 du NIST (NIST SP 800-57], la publication ITSP.40.111 (ITSP.40.111) ou l’OWASP. Le NIST indique que cette opération est une composante de l’établissement des clés. | Génération | Génération | Génération |
Distribution | Transport d’une clé et autre matériel de saisie d’une entité qui possède ou génère la clé à une autre entité qui entend utiliser la clé (source : NIST SP 800-57). | Distribution | Diffusion | Distribution |
Stockage | Aucune définition de fournie dans NIST 800-57, ITSP.40.111 ou l’OWASP. | Stockage | Stockage | Stockage |
Utilisation | Aucune définition de fournie dans NIST 800-57, ITSP.40.111 ou l’OWASP. | Utilisation | Non mentionné explicitement | Utilisation |
Changement | Aucune définition de fournie dans NIST 800-57, ITSP.40.111 ou l’OWASP. | Changement | Remplacement | Non mentionné explicitement |
Sauvegarde | Copie de l’information servant à faciliter la récupération pendant la crypto‑période de la clé, au besoin (source : NIST SP 800-57). | Sauvegarde | Non mentionné explicitement | Entiercement et sauvegarde |
Récupération | Mechanisms and processes that allow authorized entities to retrieve or reconstruct keying material from key backup or archive (source: NIST SP 800-57). | Récupération | Non mentionné explicitement | Récupération |
Comptabilité et audit | Propriété qui garantit que les actions d’une entité ne peuvent remonter qu’à cette entité (source : NIST SP 800-57). | Comptabilité et audit | Non mentionné explicitement | Comptabilité et audit |
Archivage | Effectuer le stockage à long terme d’information (source : NIST SP 800-57). | Archivage | Archives | Non défini explicitement |
Destruction | Retirer toute trace du matériel lié à la clé de sorte qu’il ne puisse être récupéré par des moyens physiques ou électroniques (source : NIST SP 800-57). | Destruction | Destruction | Destruction |
3.5 Mesures et mécanismes de sécurité connexes
En utilisant les tableaux des annexes B et C, les organisations du GC peuvent déterminer les mesures et les mécanismes de sécurité qui sont liés à la gestion des clés qu’ils doivent mettre en œuvre.
4. Éléments de mise en œuvre à prendre en considération
4.1 Cas d’utilisation
L’un des principaux éléments de sécurité à prendre en considération au moment de planifier la mise en œuvre d’un service d’informatique en nuage du GC viendra des cas d’utilisation de la cryptographie. Les plus courants de ces cas d’utilisation comprennent les suivants :
- protéger les données inactives dans le nuage;
- protéger les données inactives sur un disque virtuel;
- protéger les données en cours de transfert entre un service d’informatique en nuage du GC et des utilisateurs externes (p. ex., des citoyens);
- protéger les données en cours de transfert à l’aide d’une connexion privée dédiée;
- protéger les données de gestion de service d’informatique en nuage en cours de transfert à l’aide d’une connexion privée dédiée;
- traiter les données chiffrées dans le nuage.
L’annexe D présente des éléments de mise en œuvre à prendre en considération pour chacun de ces cas d’utilisation de la cryptographie, de même que des exemples de déploiement et une liste des mesures de sécurité prévues.
4.2 Dépendances des mesures de sécurité
Même si le présent document englobe l’ensemble des mesures de sécurité qui sont prévues pour assurer la protection cryptographique des données sensibles du GC, la cryptographie à elle seule est insuffisante pour protéger adéquatement les données pendant leur transfert, leur inactivité et leur utilisation dans les systèmes d’information. Les organisations du GC doivent donc compter sur la bonne mise en œuvre d’autres mesures de sécurité prévues pour assurer une protection adéquate. Ces mesures de sécurité comprennent, sans s’y limiter :
- la catégorisation de sécurité des données du GC;
- la détermination et l’authentification des utilisateurs et des processus;
- l’application des autorisations d’accès en fonction de la séparation des tâches et du principe du privilège minimal;
- la protection des supports de stockage;
- la capacité d’intervenir en cas de violation de données et d’autres incidents liés aux données;
- la capacité de restaurer les données à l’appui de leur disponibilité;
- la journalisation, la surveillance et l’audit de l’accès aux données et de l’utilisation de celles‑ci.
4.3 Cycle de vie de développement des systèmes
Les organisations du GC doivent mettre en œuvre la cryptographie dans les services d’informatique en nuage commerciaux conformément au processus du cycle de vie de développement des systèmes (CVDS) de leur ministère. Le CST donne une orientation sur le processus du CVDS à l’annexe 2 de la publication ITSG-33.
4.4 Les clés de chiffrement dans les ressources partagées
La distribution de la matrice des responsabilités à l’annexe B montre que dans les environnements de l’informatique en nuage, l’utilisation de clés de chiffrement demeure sous le contrôle des FSI dans les trois modèles de gestion des clés. Pendant leur utilisation dans les environnements de l’informatique en nuage publics, les clés de chiffrement sont exposées à une compromission dans les ressources matérielles partagées en raison de diverses méthodes d’attaque. Les risques associés à ces menaces ont été évalués dans l’exposé de position du SCT intitulé [L'initiative du nuage au GC : Justification de la protection contre les exploits de ressources partagées (en anglais seulement)] (accessible sur le réseau du gouvernement du Canada seulement). Les résultats montrent que les risques résiduels prévus de ces types de menaces sont visés par les objectifs de protection contre les menaces du profil de l’informatique en nuage des données PBMM du GC.
4.5 Attaques par crypto déchiquetage
Le fait que des données chiffrées du GC soient inactives dans des environnements de l’informatique en nuage publics expose les données à des attaques par crypto-déchiquetage (lien en anglais seulement). Pendant une telle attaque, un auteur de menace supprime des données en supprimant ou en écrasant les clés de chiffrement sous lesquelles les données sont chiffrées. Peu importe le modèle de gestion des clés, les organisations du GC doivent tenir compte de cette menace, et, si cela s’applique à leur déploiement de l’informatique en nuage au sein du GC, elles doivent veiller à ce que le FSI ou l’organisation du GC conserve des copies de sauvegarde adéquates des clés de chiffrement pour en permettre la Récupération.
4.6 Déploiements dans plusieurs environnements de nuage
Au moment d’écrire ces lignes, on ne sait pas avec certitude si les données chiffrées dont les clés sont gérées par des FSI peuvent être transférées entre environnements de nuage. Les organisations du GC devraient envisager la transférabilité des données chiffrées au cours de leurs déploiements de services du GC dans plusieurs environnements de nuage.
Annexe A : Définitions
- Reddition de comptes et audit
-
La reddition de comptes désigne une propriété qui garantit que les actions d’une entité ne peuvent remonter qu’à cette entité (source : National Institute of Standards and Technology (NIST)) des États‑Unis, SP 800-57).
Nota – On n’a pas pu trouver de définition de l’audit dans le contexte de la cryptographie. Dans les Normes internationales pour la pratique professionnelle de l’audit interne (lien en anglais seulement), l’Institute of Internal Auditors définit une activité d’audit interne comme une activité qui [traduction] « aide une organisation à atteindre ses objectifs en mettant en place une approche systématique et disciplinée pour évaluer les processus de gouvernance, de gestion des risques et des mesures et en accroître l’efficacité ». D’après cette définition, l’audit dans le contexte de la cryptographie peut être défini comme une évaluation des procédures cryptographiques, surtout les procédures de gestion des clés.
- Archive
- Effectuer le stockage à long terme d’information (source : NIST SP 800-57).
- Service d’informatique en nuage du GC
- Application ou service de la TI qu’un ministère du GC met en œuvre et exécute à l’aide d’un service d’informatique en nuage (source: SPIN 2017-01).
- Fournisseur de services d’informatique en nuage (FSI)
- Organisation n’appartenant pas au gouvernement fédéral qui offre des services d’informatique en nuage au public ou au gouvernement en tant qu’organisation commerciale, typiquement moyennant des frais, avec l’intention de réaliser un bénéfice (source : SPIN 2017-01).
- Service d’informatique en nuage commercial
- Produit ou offre de service d’un FSI (source : SPIN 2017-01).
- Clés contrôlées par le client
- Clés de chiffrement que le client génère et gère à l’aide de capacités dont il dispose dans ses locaux, ou d’une combinaison de capacités dont il dispose dans le nuage et dans ses locaux.
- Clés gérées par le client
- Clés de chiffrement qu’un client génère et gère à l’aide des capacités d’un FSI..
- Algorithme cryptographique
- Procédure de calcul bien définie qui, à partir d’intrants, y compris une clé cryptographique, produit un extrant (source : NIST SP 800-57).
- Module cryptographique
- La série de matériel, de logiciels et de micrologiciels qui :
- mettent en œuvre les fonctions de sécurité cryptographique (dont les algorithmes cryptographiques et la génération de clés);
- se trouvent à l’intérieur des limites cryptographiques (source : ITSP.40.111).
- Cryptographie
- La discipline qui traite les principes, les moyens et les méthodes visant à rendre inintelligible de l’information simple. Désigne aussi la reconversion de l’information inintelligible en forme intelligible (source : ITSP.40.111).
- Clés contrôlées par le FSI
- Clés de chiffrement qui sont générées et gérées entièrement par les capacités d’un FSI.
- Données inactives
- Données stockées sur un support de stockage persistant.
- Données en cours de transfert
- Données en cours de transfert sur un réseau privé ou public.
- Données en cours d’utilisation
- Données qui sont stockées sur un support de stockage non persistant, comme la mémoire à accès aléatoire (RAM) et les caches et dépôts de l’unité centrale (CPU).
- Infrastructure comme service (IaaS)
- Cette fonction permet au consommateur d’obtenir des ressources de traitement, de stockage, de réseau et d’autres ressources informatiques de base pour pouvoir ensuite déployer et exécuter les logiciels de son choix, y compris des systèmes d’exploitation et des applications (source: NIST SP 500-292; lien en anglais seulement).
- Sauvegarde de la clé
- Copie de l’information servant à faciliter la récupération pendant la crypto‑période de la clé, au besoin (source : NIST SP 800-57).
- Destruction de la clé
- Retirer toute trace du matériel lié à la clé de sorte qu’il ne puisse être récupéré par des moyens physiques ou électroniques (source : NIST SP 800-57).
- Distribution de la clé
- Transport d’une clé et autre matériel de saisie d’une entité qui possède ou génère la clé à une autre entité qui entend utiliser la clé (source : NIST SP 800-57).
- Établissement de la clé
- Processus par lequel les clés cryptographiques sont établies de façon sécurisée parmi des modules cryptographiques à l’aide de méthodes de transport manuel (p. ex., des chargeurs de clé), des méthodes automatisées (p. ex., des protocoles de transport de clé ou de convention de clé), ou encore une combinaison de méthodes automatisées et manuelles (source : NIST SP 800-57).
- Génération de la clé
- Le NIST indique que cette opération est une composante de l’établissement des clés.
- Gestion de la clé
-
- 1) La série de mécanismes et de procédures visant à générer, à diffuser, à remplacer, à stocker, à archiver et à détruire les clés qui contrôlent les processus de chiffrement (source : ITSP.40.111).
- 2) Les activités qui comprennent la manipulation des clés cryptographiques et d’autres paramètres de sécurité connexes (p. ex., les vecteurs d’initialisation) pendant le cycle de vie entier des clés, dont la génération, le stockage, l’établissement, l’entrée et la sortie, l’utilisation et la destruction des clés (source : NIST SP 800-57).
- Récupération de la clé
- La série de mécanismes et de processus qui permettent à des entités autorisées de récupérer ou de reconstruire du matériel lié aux clés à partir d’une sauvegarde ou d’une archive de clés (source : NIST SP 800-57).
- Plateforme comme service (PaaS)
- Fonction permettant au client de déployer dans l’infrastructure d’informatique en nuage des applications que le client a créées ou acquises à l’aide de langages de programmation et d’outils pris en charge par le fournisseur (source : NIST SP 500-292).
- Logiciel comme service (SaaS)
- Fonction permettant au client d’utiliser les applications du FSI qui résident dans une infrastructure d’informatique en nuage. Les applications sont accessibles depuis divers appareils clients par l’intermédiaire d’une interface client mince, comme un navigateur Web (p. ex., courriel sur le Web) (source : NIST SP 500-292).
Annexe B : Distribution de la matrice des responsabilités pour les opérations de gestion des clés
La distribution des responsabilités dans la matrice ci‑dessous est structurée en fonction des secteurs de processus suivants :
- Capacité : Les processus de mise en œuvre et de maintien de la capacité liée aux opérations de gestion des clés. La capacité peut être mise en œuvre par le fournisseur de services d’informatique en nuage (FSI) dans l’environnement de services d’informatique en nuage ou dans les locaux par le client.
- Gestion : Les processus de configuration de la capacité de gestion des clés (s’il y a lieu) et d’invocation manuelle de l’opération de gestion des clés. Si l’opération de gestion des clés est invoquée automatiquement, elle incombe au secteur de processus de la capacité.
- Évaluation : Le processus consistant à évaluer la mise en œuvre du processus de capacité ou de gestion dans le contexte de l’évaluation de sécurité et d’autorisation.
Le client est l’organisation du GC qui utilise le service d’informatique en nuage ou qui en dépend.
La matrice désigne deux types d’évaluation de sécurité :
- l’évaluation par le Centre canadien pour la cybersécurité (CCC), que le CCC mène au cours des procédures de gestion des risques liés à l’informatique en nuage du GC conformément à la publication ITSP.50.100;
- les évaluations de sécurité menées par les organisations du GC conformément à leur processus ministériel d’évaluation de sécurité et d’autorisation.
Opération de gestion des clés | Responsabilités de gestion des clés | ||||||||
---|---|---|---|---|---|---|---|---|---|
Modèle 1 (clés contrôlées par le FSI) | Modèle 2 (clients gérées par le client) | Modèle 3 (clés contrôlées par le client) | |||||||
Capacité | Gestion | Évaluation | Capacité | Gestion | Évaluation | Capacité | Gestion | Évaluation | |
Génération | FSI | FSI | CCC | FSI | Client | Capacité : CCC Gestion : Client |
Client | Client | Client |
Distribution | FSI | FSI | CCC | FSI | FSI | CCC | Client | Client | Client |
Stockage | FSI | FSI | CCC | FSI | FSI | CCC | Client | Client | Client |
Utilisation | FSI | FSI | CCC | FSI | FSI | CCC | FSI | FSI | CCC |
Changement | FSI | FSI | CCC | FSI | Client | Capacité : CCC Gestion : Client |
Client | Client | Client |
Sauvegarde | FSI | FSI | CCC | FSI | Client | Capacité : CCC Gestion : Client |
Client | Client | Client |
Récupération | FSI | FSI | CCC | FSI | Client | Capacité : CCC Gestion : Client |
Client | Client | Client |
Comptabilité et audit | FSI | FSItableau B1 note 1 | CCC | FSI | Client | Capacité : CCC Gestion : Client |
Client | Client | Client |
Archivage | FSI | FSI | CCC | FSI | Client | Capacité : CCC Gestion : Client |
Client | Client | Client |
Destruction | FSI | FSI | CCC | FSI | Client | Capacité : CCC Gestion : Client |
Client | Client | Client |
Notes du tableau B1
|
Annexe C : Matrice des responsabilités de mise en œuvre des mesures et des mécanismes de sécurité connexes
Nota
- 1) Une schématisation générale des opérations de gestion des clés est incluse afin d’aider les organisations du GC à relier les mesures et les mécanismes de sécurité à la matrice de distribution des responsabilités à l’annexe B. La mention « Sans objet » indique que la mesure de sécurité peut ne pas s’étendre à l’opération de gestion des clés parce que, par exemple, elle est entièrement automatisée.
Mesures de sécurité connexes | Mécanisme de sécurité à mettre en œuvre | Opérations connexes de gestion des clés | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
Identifi-cateur | Titre | Génération | Distribution | Stockage | Utilisation | Changement | Sauvegarde | Récupération | Comptabilité et audit | Archivage | Destruction | |
AC-5 | Répartition des tâches | Configurer les privilèges d’accès pour les opérations liées aux clés de chiffrement afin d’appliquer la séparation des tâches. | Applicable | Sans objet | Sans objet | Sans objet | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable |
AC-6 | Privilège minimal | Configurer les privilèges d’accès pour les opérations liées aux clés de chiffrement afin d’appliquer le principe du privilège minimal. | Applicable | Sans objet | Sans objet | Sans objet | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable |
AU-2 | Événements d’audit | Configurer les événements d’audit afin d’inclure les opérations de gestion des clés. | Applicable | Applicable | Applicable | Sans objet | Applicable | Applicable | Applicable | Sans objet | Applicable | Applicable |
AU-6 | Examen, analyse et rapports d’audit | Mener des audits périodiques des opérations de gestion des clés. | Applicable | Sans objet | Sans objet | Sans objet | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable |
CM-2 | Configuration de base | Ajouter des éléments de configuration liés à la gestion des clés à la base de données de configuration du service d’informatique en nuage du GC. | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable |
CM-6 | Paramètres de configuration | Établir et documenter les paramètres de configuration conformément au mode le plus restrictif. | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable |
IA-7 | Authentification des modules cryptographiques | Configurer le mécanisme d’authentification qui satisfait aux lois du GC ainsi qu’aux politiques, aux directives et aux normes du SCT en matière d’authentification. | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable |
SC-12 | Établissement et gestion des clés cryptographiques | Élaborer un plan de gestion des clés qui aborde les opérations de gestion des clés selon la matrice de distribution des responsabilités. Élaborer des procédures de gestion des clés pour ces opérations de gestions des clés. |
Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable |
SC-13 | Protection cryptographique | Configurer les opérations de gestion des clés conformément aux lois du GC, aux politiques, directives et normes applicables du SCT et aux exigences opérationnelles. | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable | Applicable |
Annexe D : Éléments de mise en œuvre à prendre en considération pour les cas d’utilisation génériques
Le tableau ci‑dessous présente des éléments de configuration à prendre en considération qui s’articulent autour d’une série de cas d’utilisation génériques pour la protection cryptographique des données dans les services d’informatique en nuage.
Identifica-teur | Titre | Description | Éléments de mise en œuvre à prendre en considération | Exemples de déploiements | Mesures de sécurité applicables |
---|---|---|---|---|---|
UC-1 | Protéger les données inactives dans le nuage. | Une organisation du gouvernement du Canada (GC) :
|
|
|
AU-2, AU-12, IA-7, SC-12, SC-12(1), SC-12(2), SC-13, SC-28(1). Si la cryptographie asymétrique est utilisée :SC-12(3) et SC-17. |
UC-2 | Protéger les données inactives sur un risque virtuel. | Une organisation du GC :
|
|
|
AU-2, AU-12, IA-7, SC-12, SC-12(1), SC-12(2), SC-13, SC-28(1) |
UC-3 | Protégées les données en cours de transfert entre un service d’informatique en nuage du GC et des utilisateurs externes (p. ex., des citoyens). | Une organisation du GC :
|
|
|
AU-2, AU-12, IA-7, SC-8(1), SC-12, SC-12(2), SC-12(3), SC-13, SC-17 |
UC-4 | Protéger les données en cours de transfert à l’aide d’une connexion privée dédiée. | Une organisation du GC :
|
|
|
AU-2, AU-12, IA-7, SC-8(1), SC-12, SC-12(2), SC-12(3), SC-13, SC-17. |
UC-5 | Protéger les données de gestion de service d’informatique en nuage en cours de transfert à l’aide d’une connexion privée dédiée. | Une organisation du GC :
|
|
|
AU-2, AU-12, IA-7, SC-8(1), SC-12, SC-12(2), SC-12(3), SC-13, SC-17 |
UC-6 | Traiter les données chiffrées dans le nuage. | Une organisation du GC a besoin de la cryptographie pour protéger la confidentialité ou l’intégrité des données pendant que celles‑ci sont traitées dans le nuage. |
|
s.o. | À définir |
Détails de la page
- Date de modification :