Gouvernement du Canada Considérations relatives à l’utilisation de la cryptographie dans les services d’informatique en nuage commerciaux

Date:

Sur cette page

1. Introduction

1.1 Contexte

L’informatique en nuage a fait amorcer un virage fondamental de la façon dont les services de système d’information sont offerts, et le gouvernement du Canada (GC) veille à ce qu’il puisse utiliser cet autre modèle de prestation de services. L’adoption de l’informatique en nuage fera en sorte que le gouvernement du Canada puisse continuer de maintenir l’excellence des services pendant une période de demande accrue de services en ligne et d’un accès ponctuel à des renseignements précis.

L’adoption des services d’informatique en nuage permettra de transférer l’information du GC par voie électronique des magasins de données qui se trouvent dans les locaux du GC, où cette information réside actuellement, à des environnements d’informatique en nuage publics à caractère commercial, où l’information sera stockée et consultée par les utilisateurs. La protection de l’information sous forme électronique sera accomplie par la mise en œuvre de mesures de sécurité des données, dont la protection de la disponibilité, de l’intégrité et de la confidentialité des données qui sont inactives, en cours de transfert ou utilisées.

La protection cryptographique des données est un élément essentiel de la protection de l’information sous forme électronique; cependant, sa mise en œuvre dans les services d’informatique en nuage peut être une tâche difficile. Les fournisseurs de services d’informatique en nuage (FSI) offrent plusieurs capacités et options de cryptographie que leurs clients doivent comprendre, activer et configurer correctement. En outre, au moment de déployer leurs services d’informatique en nuage, les ministères et organismes du GC doivent veiller à ce qu’ils se conforment aux exigences en matière de protection cryptographique des données qui sont précisées par le Secrétariat du Conseil du Trésor du Canada (SCT) et par le Centre de la sécurité des télécommunications (CST).

1.2 But et portée du document

Le présent document a pour but d’aider les ministères et organismes du GC à se servir de la cryptographie pour protéger les données sensibles du GC au cours de leurs déploiements de l’informatique en nuage.

L’orientation qui est communiquée dans le présent document s’applique 

  • aux données « Protégé A » et « Protégé B » du GC;
  • aux données du GC dont la catégorie de sécurité est de faible ou moyenne en ce qui concerne l’intégrité.

Les organisations du GC doivent utiliser le présent document conjointement avec les documents suivants :

Les organisations du GC doivent aussi prendre en considération d’autres facteurs propres à la mise en œuvre, dont les suivants :

  • la catégorie de sécurité du service du GC qui est mis en œuvre;
  • la bonne harmonisation avec l’architecture organisationnelle et l’architecture de sécurité organisationnelle;
  • les exigences et les contraintes de la solution (p. ex., le rendement);
  • les objectifs en matière d’atténuation des menaces;
  • les risques résiduels ciblés.

1.3 Public

Le présent document sera utile aux personnes suivantes :

  • les gestionnaires de la prestation de services qui sont responsables des risques pour la sécurité de l’information du GC;
  • les dirigeants principaux de l’information et d’autres cadres principaux responsables de la technologie de l’information (TI) chargés d’évaluer le caractère adéquat de produits et de services de système d’information en vue de leur usage par le GC;
  • les agents de gestion de l’information qui sont responsables de la gestion du cycle de vie de l’information du GC;
  • les spécialistes des systèmes d’information et les spécialistes de la sécurité des systèmes d’information qui sont responsables de la mise en œuvre, de l’exécution et de la maintenance des services d’informatique en nuage du GC.

2. Exigences de base

Cette section précise les exigences de base en matière de protection cryptographique des données dont les organisations doivent tenir compte pour leurs déploiements de l’informatique en nuage.

2.1 Exigences

Les exigences en matière de protection cryptographique des données au GC sont précisées à l’annexe B de la Directive sur la gestion de la sécurité du Conseil du Trésor. La sous‑section B.2.3.6.3 de l’annexe B indique ce qui suit :

utiliser le chiffrement et des mesures de protection des réseaux pour protéger la confidentialité des données de nature délicate transmises sur les réseaux publics, les réseaux sans fil ou tout autre réseau lorsque les données peuvent être exposées à un accès non autorisé.

Cependant, ces exigences ne sont pas suffisantes pour protéger adéquatement les données sensibles du GC dans les services d ’informatique en nuage commerciaux. Les données sensibles du GC doivent être chiffrées de manière à protéger à la fois la confidentialité et l’intégrité dans le nuage pendant leur transfert, leur inactivité et leur utilisation. Ces exigences supplémentaires en matière de protection des données :

  • sont précisées dans les profils des mesures de sécurité du nuage du GC;
  • sont prises en compte dans le présent document.

Au moment d’écrire ces lignes, aucune mise en œuvre pratique de la protection cryptographie des données n’est d’usage. Voir l’annexe D pour en savoir plus sur la protection des données en cours d’usage qui sont stockées dans des services d’informatique en nuage.

2.2 Algorithmes cryptographiques

Les organisations du GC doivent utiliser des algorithmes et des protocoles cryptographiques approuvées par le CST au cours de leurs déploiements de l’informatique en nuage, selon ce qui est décrit dans les documents suivants :

Aux fins d’assurance, dans le document ITSP.40.111, le CST recommande d’utiliser des modules cryptographiques qui ont été validés dans le cadre du Programme de validation des modules cryptographiques en vue de se conformer à la norme Security Requirements for Cryptographic Modules (FIPS 140-2) du National Institute of Standards and Technology (NIST) des États‑Unis.

2.3 Mesures de sécurité de base

Le tableau 1 énumère les mesures de sécurité et les renforcements des mesures de sécurité s’appliquant à la protection cryptographique des données du GC qui sont sélectionnés dans le Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage. Ces mesures de sécurité et renforcements des mesures de sécurité constituent la base de référence pour la protection des données du GC allant jusqu’au niveau « Protégé B », inclusivement, d’intégrité moyenne et de disponibilité moyenne (PBMM).

Tableau 1 : Mesures de sécurité de base et renforcements des mesures de sécurité pour la protection cryptographique des données PBMM du GC
No de la mesure de sécurité Titre Valeurs connexes recommandées
AU-2 Événements d’audit (D) Événements qu’il est possible d’auditer (ou sous‑ensemble de tels événements), dont la fréquence d’audit ou la raison de l’audit doivent être définis au cours du processus d’adaptation.
AU-12 Génération d’audit (A) Les composantes sont toutes les composantes de système d’information et de réseau où la capacité d’audit est déployée ou disponible.
(B) La définition du personnel ou des rôles a lieu pendant le processus d’adaptation.
IA-7 Authentification des modules cryptographiques Cette mesure de sécurité n’a aucun paramètre organisationnel. Les valeurs recommandées ne s’appliquent pas.
SC-8 (1) Confidentialité et intégrité des transmissions Prévenir la divulgation non autorisée d’information et détecter les modifications apportées à l’information.
SC-12 Établissement et gestion des clés cryptographiques Cryptographie approuvée par le CST.
SC-12 (1) Établissement et gestion des clés cryptographiques : Disponibilité Cette mesure de sécurité n’a aucun paramètre organisationnel. Les valeurs recommandées ne s’appliquent pas.
SC-12 (2) Établissement et gestion des clés cryptographiques : Clés symétriques Conforme au CST.
SC-12 (3) Établissement et gestion des clés cryptographiques : Clés asymétriques Technologie et processus de gestion des clés approuvés par le CST.
SC-13 Protection cryptographique Cryptographie conforme au CST selon les algorithmes du CST pour l’information non classifiée, « Protégé A » et « Protégé B » (ITSP.40.111).
SC-17 Certificats d’infrastructure à clé publique Police d’assurance moyenne.
SC-28 (1) Protection de l’information inactive : Protection cryptographique Selon ce qui est défini pour le déploiement, mais la catégorie de sécurité ne doit pas dépasser le niveau moyen pour la confidentialité et l’intégrité.

3. Gestion des clés

3.1 Système de gestion des clés

Les organisations du GC doivent mettre en œuvre un système de gestion des clés pour la protection cryptographique qui est utilisée dans leurs services d’informatique en nuage. Le défaut de gérer adéquatement les clés de chiffrement peut causer un éventail de problèmes administratifs ou de sécurité, dont la perte de données critiques. Les éléments à prendre en considération pour la gestion des clés de chiffrement comprennent :

  • le lieu où les clés sont générées et stockées ainsi que la façon dont celles‑ci sont générées et stockées;
  • la façon dont les clés sont distribuées et protégées;
  • la façon dont les clés sont récupérées si elles sont perdues;
  • le moment où les clés sont détruites et la façon dont elles sont détruites.

Le CST recommande que les organisations du GC suivent l’orientation et les recommandations figurant dans les publications suivantes afin de mettre en œuvre des systèmes de gestion des clés :

Mesures connexes : SC-12, SC-12(1), SC-12(2), SC-12(3).

3.2 Modèles de gestion des clés

Le tableau 2 décrit des modèles de gestion des clés et des éléments à prendre en considération au moment de déterminer le modèle à choisir. Les organisations du GC devraient consulter la publication ITSP.50.106 afin de déterminer le modèle de gestion des clés qui convient le mieux à leurs déploiements de l’informatique en nuage.

Tableau 2 : Modèles de gestion des clés
Identificateur Modèle de gestion des clés Description Considérations
KM-1 Modèle 1 : Clés contrôlées par le FSI Selon ce modèle, le FSI est responsable de toutes les opérations de gestion des clés à l’aide de son propre équipement. Typiquement, les organisations du GC choisiraient un service de protection des données et le FSI s’occuperait du reste.
  • Les organisations du GC doivent utiliser les capacités cryptographiques du service d’informatique en nuage.
  • Le FSI est capable d’accéder aux clés cryptographiques et de déchiffrer les données.
  • Les copies des données chiffrées effectuées par le FSI aux fins de reproduction ou de sauvegarde doivent elles aussi être chiffrées.
  • La protection de l’intégrité des données nécessite des modes de fonctionnement cryptographiques particuliers (p. ex., entraînement de blocs de chiffrement (CBC) et mode de Galois ou de compteur (GCM)).
KM-2 Modèle 2 : Clés gérées par l’organisation du GC Selon ce modèle, les organisations du GC utiliseraient les capacités de protection cryptographique des données offertes par un FSI, mais les organisations seraient responsables de gérer leurs propres clés.
  • Les organisations du GC doivent gérer leurs propres clés.
  • Les organisations du GC doivent veiller à ce qu’il existe un processus sécurisé pour transférer les clés existantes dans l’environnement du FSI.
  • Le FSI est capable d’accéder aux clés cryptographiques et de déchiffrer les données.
  • La protection de l’intégrité des données nécessite des modes de fonctionnement cryptographiques particuliers (p. ex., CBC et GCM).
  • Les copies des données qui sont effectuées aux fins de reproduction ou de sauvegarde doivent elles aussi être chiffrées.
  • Ce modèle peut limiter la capacité du FSI de fournir des services de gestion des données (p. ex., migration des données).
KM-3 Modèle 3 : Clés contrôlées par l’organisation du GC Selon ce modèle, les organisations du GC géreraient leurs propres clés à l’aide de leurs propres capacités cryptographiques exécutées dans leurs propres locaux. Les organisations téléverseraient les clés dans leurs environnements de services d’informatique en nuage.
  • Les organisations du GC doivent posséder des capacités cryptographiques dans leurs locaux.
  • Les organisations du GC doivent gérer leurs propres clés.
  • Le FSI n’a aucun accès aux clés cryptographiques.
  • La protection de l’intégrité des données nécessite des modes de fonctionnement cryptographiques particuliers (p. ex., CBC et GCM).
  • Les copies des données qui sont effectuées aux fins de reproduction ou de sauvegarde doivent elles aussi être chiffrées.
  • Ce modèle peut limiter la capacité du FSI de fournir des services de gestion des données (p. ex., migration des données).
  • Ce modèle peut limiter la fonctionnalité d’un service d’informatique en nuage (p. ex., dans le cas d’Office 365, aucune recherche, aucune visionneuse Web, aucun visionnage dynamique, aucun logiciel anti‑programme malveillant, aucun logiciel anti‑pourriel, aucune fonction eDiscovery).
  • Selon la capacité de bande passante du réseau de l’organisation, ce modèle peut réduire le rendement.

3.3 Module de sécurité du matériel

Un module de sécurité du matériel (MSM) est un dispositif matériel qui protège et gère les clés cryptographiques afin d’assurer une authentification rigoureuse. Les fonctions d’un MSM qui sont pertinentes aux fins du présent document sont la génération de clés cryptographiques sécurisées, le stockage des clés et la gestion des clés.

L’utilisation de MSM fait en sorte de renforcer les aspects de la gestion des clés qui sont liés à la sécurité, rendant possible une protection efficace des clés cryptographiques pendant tout leur cycle de vie.

3.4 Responsabilités liées à la gestion des clés

La question de savoir si le FSI ou l’organisation du GC est responsable de la gestion des clés est déterminée par le modèle de gestion des clés qui est sélectionné. Les organisations du GC doivent être conscientes de la distribution des responsabilités selon chaque modèle afin de veiller à ce qu’elles appliquent correctement les mesures de sécurité du profil de l’informatique en nuage des données PBMM du GC.

Selon les modèles 1 et 2, une organisation du GC cède au FSI la totalité ou une partie du contrôle des opérations de gestion des clés. Le modèle 1 ne nécessite aucun investissement par le GC, puisque le FSI contrôle toutes les opérations de gestion des clés dans l’environnement de services d’informatique en nuage. Le modèle 2 nécessite un certain investissement par le GC.

Selon le modèle 3, une organisation du GC exerce tout le contrôle des opérations de gestion des clés, sauf pendant l’utilisation, qui se produit dans un environnement d’informatique en nuage public. Le modèle 3 nécessite un investissement dans des personnes, des processus et des technologies par le GC afin de mettre en œuvre et de maintenir la capacité de gestion des clés.

Au moment de choisir un FSI sous‑jacent pour un service d’informatique en nuage en particulier du GC, les organisations du GC doivent tenir compte :

  • des modèles de gestion des clés qui sont disponibles;
  • des avantages, des inconvénients et des risques associés à chaque modèle.

Les organisations du GC doivent aussi veiller à ce qu’elles mettent correctement en œuvre les opérations de gestion des clés dont elles sont responsables.

Les opérations de gestion des clés dont les organisations du GC peuvent être responsables sont décrites dans le tableau 3. Afin d’englober tout le cycle de vie d’une clé, les opérations de gestion des clés ont été sélectionnées à partir des sources suivantes :

La répartition des responsabilités de gestion des clés pour chacun des modèles de gestion des clés est présentée à l’annexe B.

Tableau 3 : Opérations de gestion des clés
Nom Description Sources
NIST SP 800-57 ITSP.40.111 OWASP
Génération Aucune définition de fournie dans la publication SP 800‑57 du NIST (NIST SP 800-57], la publication ITSP.40.111 (ITSP.40.111) ou l’OWASP. Le NIST indique que cette opération est une composante de l’établissement des clés. Génération Génération Génération
Distribution Transport d’une clé et autre matériel de saisie d’une entité qui possède ou génère la clé à une autre entité qui entend utiliser la clé (source : NIST SP 800-57). Distribution Diffusion Distribution
Stockage Aucune définition de fournie dans NIST 800-57, ITSP.40.111 ou l’OWASP. Stockage Stockage Stockage
Utilisation Aucune définition de fournie dans NIST 800-57, ITSP.40.111 ou l’OWASP. Utilisation Non mentionné explicitement Utilisation
Changement Aucune définition de fournie dans NIST 800-57, ITSP.40.111 ou l’OWASP. Changement Remplacement Non mentionné explicitement
Sauvegarde Copie de l’information servant à faciliter la récupération pendant la crypto‑période de la clé, au besoin (source : NIST SP 800-57). Sauvegarde Non mentionné explicitement Entiercement et sauvegarde
Récupération Mechanisms and processes that allow authorized entities to retrieve or reconstruct keying material from key backup or archive (source: NIST SP 800-57). Récupération Non mentionné explicitement Récupération
Comptabilité et audit Propriété qui garantit que les actions d’une entité ne peuvent remonter qu’à cette entité (source : NIST SP 800-57). Comptabilité et audit Non mentionné explicitement Comptabilité et audit
Archivage Effectuer le stockage à long terme d’information (source : NIST SP 800-57). Archivage Archives Non défini explicitement
Destruction Retirer toute trace du matériel lié à la clé de sorte qu’il ne puisse être récupéré par des moyens physiques ou électroniques (source : NIST SP 800-57). Destruction Destruction Destruction

3.5 Mesures et mécanismes de sécurité connexes

En utilisant les tableaux des annexes B et C, les organisations du GC peuvent déterminer les mesures et les mécanismes de sécurité qui sont liés à la gestion des clés qu’ils doivent mettre en œuvre.

4. Éléments de mise en œuvre à prendre en considération

4.1 Cas d’utilisation

L’un des principaux éléments de sécurité à prendre en considération au moment de planifier la mise en œuvre d’un service d’informatique en nuage du GC viendra des cas d’utilisation de la cryptographie. Les plus courants de ces cas d’utilisation comprennent les suivants :

  • protéger les données inactives dans le nuage;
  • protéger les données inactives sur un disque virtuel;
  • protéger les données en cours de transfert entre un service d’informatique en nuage du GC et des utilisateurs externes (p. ex., des citoyens);
  • protéger les données en cours de transfert à l’aide d’une connexion privée dédiée;
  • protéger les données de gestion de service d’informatique en nuage en cours de transfert à l’aide d’une connexion privée dédiée;
  • traiter les données chiffrées dans le nuage.

L’annexe D présente des éléments de mise en œuvre à prendre en considération pour chacun de ces cas d’utilisation de la cryptographie, de même que des exemples de déploiement et une liste des mesures de sécurité prévues.

4.2 Dépendances des mesures de sécurité

Même si le présent document englobe l’ensemble des mesures de sécurité qui sont prévues pour assurer la protection cryptographique des données sensibles du GC, la cryptographie à elle seule est insuffisante pour protéger adéquatement les données pendant leur transfert, leur inactivité et leur utilisation dans les systèmes d’information. Les organisations du GC doivent donc compter sur la bonne mise en œuvre d’autres mesures de sécurité prévues pour assurer une protection adéquate. Ces mesures de sécurité comprennent, sans s’y limiter :

  • la catégorisation de sécurité des données du GC;
  • la détermination et l’authentification des utilisateurs et des processus;
  • l’application des autorisations d’accès en fonction de la séparation des tâches et du principe du privilège minimal;
  • la protection des supports de stockage;
  • la capacité d’intervenir en cas de violation de données et d’autres incidents liés aux données;
  • la capacité de restaurer les données à l’appui de leur disponibilité;
  • la journalisation, la surveillance et l’audit de l’accès aux données et de l’utilisation de celles‑ci.

4.3 Cycle de vie de développement des systèmes

Les organisations du GC doivent mettre en œuvre la cryptographie dans les services d’informatique en nuage commerciaux conformément au processus du cycle de vie de développement des systèmes (CVDS) de leur ministère. Le CST donne une orientation sur le processus du CVDS à l’annexe 2 de la publication ITSG-33.

4.4 Les clés de chiffrement dans les ressources partagées

La distribution de la matrice des responsabilités à l’annexe B montre que dans les environnements de l’informatique en nuage, l’utilisation de clés de chiffrement demeure sous le contrôle des FSI dans les trois modèles de gestion des clés. Pendant leur utilisation dans les environnements de l’informatique en nuage publics, les clés de chiffrement sont exposées à une compromission dans les ressources matérielles partagées en raison de diverses méthodes d’attaque. Les risques associés à ces menaces ont été évalués dans l’exposé de position du SCT intitulé [L'initiative du nuage au GC : Justification de la protection contre les exploits de ressources partagées (en anglais seulement)] (accessible sur le réseau du gouvernement du Canada seulement). Les résultats montrent que les risques résiduels prévus de ces types de menaces sont visés par les objectifs de protection contre les menaces du profil de l’informatique en nuage des données PBMM du GC.

4.5 Attaques par crypto déchiquetage

Le fait que des données chiffrées du GC soient inactives dans des environnements de l’informatique en nuage publics expose les données à des attaques par crypto-déchiquetage (lien en anglais seulement). Pendant une telle attaque, un auteur de menace supprime des données en supprimant ou en écrasant les clés de chiffrement sous lesquelles les données sont chiffrées. Peu importe le modèle de gestion des clés, les organisations du GC doivent tenir compte de cette menace, et, si cela s’applique à leur déploiement de l’informatique en nuage au sein du GC, elles doivent veiller à ce que le FSI ou l’organisation du GC conserve des copies de sauvegarde adéquates des clés de chiffrement pour en permettre la Récupération.

4.6 Déploiements dans plusieurs environnements de nuage

Au moment d’écrire ces lignes, on ne sait pas avec certitude si les données chiffrées dont les clés sont gérées par des FSI peuvent être transférées entre environnements de nuage. Les organisations du GC devraient envisager la transférabilité des données chiffrées au cours de leurs déploiements de services du GC dans plusieurs environnements de nuage.

Annexe A : Définitions

Reddition de comptes et audit

La reddition de comptes désigne une propriété qui garantit que les actions d’une entité ne peuvent remonter qu’à cette entité (source : National Institute of Standards and Technology (NIST)) des États‑Unis, SP 800-57).

Nota – On n’a pas pu trouver de définition de l’audit dans le contexte de la cryptographie. Dans les Normes internationales pour la pratique professionnelle de l’audit interne (lien en anglais seulement), l’Institute of Internal Auditors définit une activité d’audit interne comme une activité qui [traduction] « aide une organisation à atteindre ses objectifs en mettant en place une approche systématique et disciplinée pour évaluer les processus de gouvernance, de gestion des risques et des mesures et en accroître l’efficacité ». D’après cette définition, l’audit dans le contexte de la cryptographie peut être défini comme une évaluation des procédures cryptographiques, surtout les procédures de gestion des clés.

Archive
Effectuer le stockage à long terme d’information (source : NIST SP 800-57).
Service d’informatique en nuage du GC
Application ou service de la TI qu’un ministère du GC met en œuvre et exécute à l’aide d’un service d’informatique en nuage (source: SPIN 2017-01).
Fournisseur de services d’informatique en nuage (FSI)
Organisation n’appartenant pas au gouvernement fédéral qui offre des services d’informatique en nuage au public ou au gouvernement en tant qu’organisation commerciale, typiquement moyennant des frais, avec l’intention de réaliser un bénéfice (source : SPIN 2017-01).
Service d’informatique en nuage commercial
Produit ou offre de service d’un FSI (source : SPIN 2017-01).
Clés contrôlées par le client
Clés de chiffrement que le client génère et gère à l’aide de capacités dont il dispose dans ses locaux, ou d’une combinaison de capacités dont il dispose dans le nuage et dans ses locaux.
Clés gérées par le client
Clés de chiffrement qu’un client génère et gère à l’aide des capacités d’un FSI..
Algorithme cryptographique
Procédure de calcul bien définie qui, à partir d’intrants, y compris une clé cryptographique, produit un extrant (source : NIST SP 800-57).
Module cryptographique
La série de matériel, de logiciels et de micrologiciels qui :
  • mettent en œuvre les fonctions de sécurité cryptographique (dont les algorithmes cryptographiques et la génération de clés);
  • se trouvent à l’intérieur des limites cryptographiques (source : ITSP.40.111).
Cryptographie
La discipline qui traite les principes, les moyens et les méthodes visant à rendre inintelligible de l’information simple. Désigne aussi la reconversion de l’information inintelligible en forme intelligible (source : ITSP.40.111).
Clés contrôlées par le FSI
Clés de chiffrement qui sont générées et gérées entièrement par les capacités d’un FSI.
Données inactives
Données stockées sur un support de stockage persistant.
Données en cours de transfert
Données en cours de transfert sur un réseau privé ou public.
Données en cours d’utilisation
Données qui sont stockées sur un support de stockage non persistant, comme la mémoire à accès aléatoire (RAM) et les caches et dépôts de l’unité centrale (CPU).
Infrastructure comme service (IaaS)
Cette fonction permet au consommateur d’obtenir des ressources de traitement, de stockage, de réseau et d’autres ressources informatiques de base pour pouvoir ensuite déployer et exécuter les logiciels de son choix, y compris des systèmes d’exploitation et des applications (source: NIST SP 500-292; lien en anglais seulement).
Sauvegarde de la clé
Copie de l’information servant à faciliter la récupération pendant la crypto‑période de la clé, au besoin (source : NIST SP 800-57).
Destruction de la clé
Retirer toute trace du matériel lié à la clé de sorte qu’il ne puisse être récupéré par des moyens physiques ou électroniques (source : NIST SP 800-57).
Distribution de la clé
Transport d’une clé et autre matériel de saisie d’une entité qui possède ou génère la clé à une autre entité qui entend utiliser la clé (source : NIST SP 800-57).
Établissement de la clé
Processus par lequel les clés cryptographiques sont établies de façon sécurisée parmi des modules cryptographiques à l’aide de méthodes de transport manuel (p. ex., des chargeurs de clé), des méthodes automatisées (p. ex., des protocoles de transport de clé ou de convention de clé), ou encore une combinaison de méthodes automatisées et manuelles (source : NIST SP 800-57).
Génération de la clé
Le NIST indique que cette opération est une composante de l’établissement des clés.
Gestion de la clé
  1. 1) La série de mécanismes et de procédures visant à générer, à diffuser, à remplacer, à stocker, à archiver et à détruire les clés qui contrôlent les processus de chiffrement (source : ITSP.40.111).
  2. 2) Les activités qui comprennent la manipulation des clés cryptographiques et d’autres paramètres de sécurité connexes (p. ex., les vecteurs d’initialisation) pendant le cycle de vie entier des clés, dont la génération, le stockage, l’établissement, l’entrée et la sortie, l’utilisation et la destruction des clés (source : NIST SP 800-57).
Récupération de la clé
La série de mécanismes et de processus qui permettent à des entités autorisées de récupérer ou de reconstruire du matériel lié aux clés à partir d’une sauvegarde ou d’une archive de clés (source : NIST SP 800-57).
Plateforme comme service (PaaS)
Fonction permettant au client de déployer dans l’infrastructure d’informatique en nuage des applications que le client a créées ou acquises à l’aide de langages de programmation et d’outils pris en charge par le fournisseur (source : NIST SP 500-292).
Logiciel comme service (SaaS)
Fonction permettant au client d’utiliser les applications du FSI qui résident dans une infrastructure d’informatique en nuage. Les applications sont accessibles depuis divers appareils clients par l’intermédiaire d’une interface client mince, comme un navigateur Web (p. ex., courriel sur le Web) (source : NIST SP 500-292).

Annexe B : Distribution de la matrice des responsabilités pour les opérations de gestion des clés

La distribution des responsabilités dans la matrice ci‑dessous est structurée en fonction des secteurs de processus suivants :

  • Capacité : Les processus de mise en œuvre et de maintien de la capacité liée aux opérations de gestion des clés. La capacité peut être mise en œuvre par le fournisseur de services d’informatique en nuage (FSI) dans l’environnement de services d’informatique en nuage ou dans les locaux par le client.
  • Gestion : Les processus de configuration de la capacité de gestion des clés (s’il y a lieu) et d’invocation manuelle de l’opération de gestion des clés. Si l’opération de gestion des clés est invoquée automatiquement, elle incombe au secteur de processus de la capacité.
  • Évaluation : Le processus consistant à évaluer la mise en œuvre du processus de capacité ou de gestion dans le contexte de l’évaluation de sécurité et d’autorisation.

Le client est l’organisation du GC qui utilise le service d’informatique en nuage ou qui en dépend.

La matrice désigne deux types d’évaluation de sécurité :

  • l’évaluation par le Centre canadien pour la cybersécurité (CCC), que le CCC mène au cours des procédures de gestion des risques liés à l’informatique en nuage du GC conformément à la publication ITSP.50.100;
  • les évaluations de sécurité menées par les organisations du GC conformément à leur processus ministériel d’évaluation de sécurité et d’autorisation.
Tableau B1 : Distribution de la matrice des responsabilités pour les opérations de gestion des clés
Opération de gestion des clés Responsabilités de gestion des clés
Modèle 1 (clés contrôlées par le FSI) Modèle 2 (clients gérées par le client) Modèle 3 (clés contrôlées par le client)
Capacité Gestion Évaluation Capacité Gestion Évaluation Capacité Gestion Évaluation
Génération FSI FSI CCC FSI Client Capacité : CCC
Gestion : Client
Client Client Client
Distribution FSI FSI CCC FSI FSI CCC Client Client Client
Stockage FSI FSI CCC FSI FSI CCC Client Client Client
Utilisation FSI FSI CCC FSI FSI CCC FSI FSI CCC
Changement FSI FSI CCC FSI Client Capacité : CCC
Gestion : Client
Client Client Client
Sauvegarde FSI FSI CCC FSI Client Capacité : CCC
Gestion : Client
Client Client Client
Récupération FSI FSI CCC FSI Client Capacité : CCC
Gestion : Client
Client Client Client
Comptabilité et audit FSI FSItableau B1 note 1 CCC FSI Client Capacité : CCC
Gestion : Client
Client Client Client
Archivage FSI FSI CCC FSI Client Capacité : CCC
Gestion : Client
Client Client Client
Destruction FSI FSI CCC FSI Client Capacité : CCC
Gestion : Client
Client Client Client

Notes du tableau B1

Note 1 du tableau B1

Le client peut être capable de visionner les dossiers d’audit pour les opérations cryptographiques qui sont liées à son abonnement.

Retour à la référence de la note 1 du tableau B1

Annexe C : Matrice des responsabilités de mise en œuvre des mesures et des mécanismes de sécurité connexes

Nota

  1. 1) Une schématisation générale des opérations de gestion des clés est incluse afin d’aider les organisations du GC à relier les mesures et les mécanismes de sécurité à la matrice de distribution des responsabilités à l’annexe B. La mention « Sans objet » indique que la mesure de sécurité peut ne pas s’étendre à l’opération de gestion des clés parce que, par exemple, elle est entièrement automatisée.
Tableau C1 : Matrice des responsabilités de mise en œuvre
Mesures de sécurité connexes Mécanisme de sécurité à mettre en œuvre Opérations connexes de gestion des clés
Identifi-cateur Titre Génération Distribution Stockage Utilisation Changement Sauvegarde Récupération Comptabilité et audit Archivage Destruction
AC-5 Répartition des tâches Configurer les privilèges d’accès pour les opérations liées aux clés de chiffrement afin d’appliquer la séparation des tâches. Applicable Sans objet Sans objet Sans objet Applicable Applicable Applicable Applicable Applicable Applicable
AC-6 Privilège minimal Configurer les privilèges d’accès pour les opérations liées aux clés de chiffrement afin d’appliquer le principe du privilège minimal. Applicable Sans objet Sans objet Sans objet Applicable Applicable Applicable Applicable Applicable Applicable
AU-2 Événements d’audit Configurer les événements d’audit afin d’inclure les opérations de gestion des clés. Applicable Applicable Applicable Sans objet Applicable Applicable Applicable Sans objet Applicable Applicable
AU-6 Examen, analyse et rapports d’audit Mener des audits périodiques des opérations de gestion des clés. Applicable Sans objet Sans objet Sans objet Applicable Applicable Applicable Applicable Applicable Applicable
CM-2 Configuration de base Ajouter des éléments de configuration liés à la gestion des clés à la base de données de configuration du service d’informatique en nuage du GC. Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable
CM-6 Paramètres de configuration Établir et documenter les paramètres de configuration conformément au mode le plus restrictif. Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable
IA-7 Authentification des modules cryptographiques Configurer le mécanisme d’authentification qui satisfait aux lois du GC ainsi qu’aux politiques, aux directives et aux normes du SCT en matière d’authentification. Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable
SC-12 Établissement et gestion des clés cryptographiques Élaborer un plan de gestion des clés qui aborde les opérations de gestion des clés selon la matrice de distribution des responsabilités.
Élaborer des procédures de gestion des clés pour ces opérations de gestions des clés.
Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable
SC-13 Protection cryptographique Configurer les opérations de gestion des clés conformément aux lois du GC, aux politiques, directives et normes applicables du SCT et aux exigences opérationnelles. Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable Applicable

Annexe D : Éléments de mise en œuvre à prendre en considération pour les cas d’utilisation génériques

Le tableau ci‑dessous présente des éléments de configuration à prendre en considération qui s’articulent autour d’une série de cas d’utilisation génériques pour la protection cryptographique des données dans les services d’informatique en nuage.

Tableau D1 : Éléments de mise en œuvre à prendre en considération pour les cas d’utilisation génériques
Identifica-teur Titre Description Éléments de mise en œuvre à prendre en considération Exemples de déploiements Mesures de sécurité applicables
UC-1 Protéger les données inactives dans le nuage. Une organisation du gouvernement du Canada (GC) :
  • a besoin de la cryptographie pour protéger la confidentialité ou l’intégrité de données stockées dans les services d’informatique en nuage;
  • a recours à un service d’informatique en nuage commercial où des données peuvent être stockées.
  • S’applique à l’infrastructure comme service (IaaS), à la plateforme comme service (PaaS) et au logiciel comme service (SaaS).
  • Aborde les exigences en matière de résidence des données décrites dans l’Orientation relative à la résidence des données électroniques (Avis de mise en œuvre de la Politique sur la TI (AMPTI)).
  • Garantit que les capacités cryptographiques sont activées dans le service d’informatique en nuage.
  • Veiller à ce que la cryptographie soit mise en œuvre de manière exacte et conforme, en conformité avec les documents ITSP.40.111 et ITSP.40.062 du Centre de la sécurité des télécommunications (CST).
  • Sélectionner un modèle de gestion des clés approprié tel qu’il est décrit dans la section 3.3 du présent document.
  • Au cours du processus d’évaluation de sécurité du nuage du GC, examiner les procédures opérationnelles du fournisseur de services d’informatique en nuage (FSI) pour y déceler les opérations de gestion des clés mises en œuvre manuellement.
  • Établir des procédures opérationnelles pour toutes les opérations de gestion des clés manuelles orientées vers le client (s’il y a lieu).
  • Établir des procédures opérationnelles pour toutes les opérations de gestion des clés manuelles (s’il y a lieu).
  • Documents stockés dans le nuage à accéder par des utilisateurs du GC ou des utilisateurs externes (p. ex., des citoyens) ou à partager avec ces derniers).
  • Sauvegardes stockées dans le nuage.
  • Service d’informatique en nuage du GC (produit commercial sur étagère, produit gouvernemental sur étagère) où les données seront stockées dans une base de données et accessibles aux utilisateurs du GC, aux utilisateurs externes ou les deux.
  • Service d’informatique en nuage où les données seront stockées à l’étranger et accédées ou utilisées par les utilisateurs du GC, des utilisateurs externes ou les deux.
  • Service du GC offert sur place où les données seront stockées dans le nuage.
  • Opérations d’importation et d’exportation entre des composantes stockées dans les locaux et dans le nuage.
  • Protection des données pendant le transfert physique entre FSI ou entre un FSI et un client.

AU-2, AU-12, IA-7, SC-12, SC-12(1), SC-12(2), SC-13, SC-28(1).

Si la cryptographie asymétrique est utilisée :SC-12(3) et SC-17.

UC-2 Protéger les données inactives sur un risque virtuel. Une organisation du GC :
  • a besoin de la cryptographie pour protéger la confidentialité ou l’intégrité de données stockées sur le disque virtuel d’une machine virtuelle (MV);
  • a recours à un service d’informatique en nuage commercial où elle peut créer et configurer ses propres MV.
  • S’applique à l’IaaS.
  • Consulter les éléments de mise en œuvre à prendre en considération UC‑1.
  • Les données sont exposées en texte clair à l’extérieur du disque virtuel lorsque la MV fonctionne.
  • La protection de l’intégrité des données nécessite des modes de fonctionnement cryptographiques particuliers (p. ex., CBC et GCM).
  • Les données déplacées à l’extérieur de la MV ne sont pas protégées par cryptographie.
  • Service d’informatique en nuage du GC où des données seront stockées dans une MV.
AU-2, AU-12, IA-7, SC-12, SC-12(1), SC-12(2), SC-13, SC-28(1)
UC-3 Protégées les données en cours de transfert entre un service d’informatique en nuage du GC et des utilisateurs externes (p. ex., des citoyens). Une organisation du GC :
  • a besoin de la cryptographie pour protéger la confidentialité ou l’intégrité de données recueillies auprès d’utilisateurs externes (p. ex., des citoyens) ou échangées avec ces derniers;
  • permet à des utilisateurs de se connecter au service d’informatique en nuage du GC sur des réseaux publics.
  • S’applique à l’IaaS, à la PaaS et au SaaS.
  • Veiller à ce que la cryptographie soit mise en œuvre de manière exacte et conforme, en conformité avec les documents ITSP.40.111 et ITSP.40.062 du CST.
  • Au cours du processus d’évaluation de sécurité du nuage du GC, examiner les procédures opérationnelles du FSI pour y déceler les opérations de gestion des clés mises en œuvre manuellement.
  • Établir des procédures opérationnelles pour les opérations de gestion des clés manuelles orientées vers le client.
  • Service d’informatique en nuage du GC auquel accéderont des utilisateurs externes.
AU-2, AU-12, IA-7, SC-8(1), SC-12, SC-12(2), SC-12(3), SC-13, SC-17
UC-4 Protéger les données en cours de transfert à l’aide d’une connexion privée dédiée. Une organisation du GC :
  • a besoin de la cryptographie pour protéger la confidentialité ou l’intégrité de données échangées entre le service d’informatique en nuage et les utilisateurs du GC;
  • a recours à un service d’informatique en nuage commercial où les clients peuvent se connecter par connexion privée.
  • S’applique à l’IaaS, à la PaaS et au SaaS.
  • Consulter les éléments de mise en œuvre à prendre en considération UC‑3.
  • Éviter de déployer trop de connexions de site à site.
  • Mettre en œuvre un point de connexion chiffré dédié pour accéder à la solution, ou tirer parti de connexions dédiées centralisées qui sont offertes, comme les points d’interconnexion fiables (PIF) du GC ou les points d’accès au nuage (PAN) du GC.
  • Service d’informatique en nuage du GC auquel accéderont des utilisateurs du GC.
AU-2, AU-12, IA-7, SC-8(1), SC-12, SC-12(2), SC-12(3), SC-13, SC-17.
UC-5 Protéger les données de gestion de service d’informatique en nuage en cours de transfert à l’aide d’une connexion privée dédiée. Une organisation du GC :
  • a besoin de la cryptographie pour protéger la confidentialité ou l’intégrité  des données échangées entre le service d’informatique en nuage, les composantes internes, les exploitants et les administrateurs;
  • a recours à un service d’informatique en nuage commercial où les clients peuvent se connecter par connexion privée.
  • S’applique à l’IaaS, à la PaaS et au SaaS.
  • Consulter les éléments de mise en œuvre à prendre en considération UC‑3.
  • Éviter de déployer trop de connexions de site à site.
  • Mettre en œuvre un point de connexion chiffré dédié pour accéder à la solution, ou utiliser des connexions dédiées centralisées qui sont offertes, comme les PIF du GC ou les PAN du GC.
  • Service d’informatique en nuage du GC auquel accèdent des exploitants et des administrateurs de nuage du GC.
AU-2, AU-12, IA-7, SC-8(1), SC-12, SC-12(2), SC-12(3), SC-13, SC-17
UC-6 Traiter les données chiffrées dans le nuage. Une organisation du GC a besoin de la cryptographie pour protéger la confidentialité ou l’intégrité des données pendant que celles‑ci sont traitées dans le nuage.
  • S’applique à l’IaaS, à la PaaS et au SaaS.
  • Au moment d’écrire ces lignes, il n’existe aucune mise en œuvre pratique permettant de protéger les données en cours d’utilisation par la cryptographie, comme la mise en œuvre d’un régime de chiffrement entièrement homomorphe.
  • Enquêter sur des options offertes par le FSI (p. ex., anonymisation des données, utilisation de jetons pour les données, isolation au niveau matériel) qui pourraient servir de mesures de compensation.
  • Au cours du processus d’évaluation de la sécurité du nuage par le GC, passer en revue le mécanisme de sécurité mis en œuvre par le FSI pour satisfaire à la mesure de sécurité SC‑4 (information contenue dans les ressources partagées).
s.o. À définir

Détails de la page

Date de modification :