Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Exigences de configuration relatives à la gestion des comptes

Sur cette page

  1. Gestion du cycle de vie
  2. Renforcement du processus d’authentification
  3. Gestion des comptes
  4. Gestion des comptes privilégiés
  5. Comptes d’entités autres que des personnes
  6. Surveillance

1. Gestion du cycle de vie

1.1 Gérer les comptes d’utilisateur selon une approche axée sur le cycle de vie, conformément à la section B.2.3.2 de l’annexe B de la Directive sur la gestion de la sécurité.

1.2 Utiliser un processus automatisé pour gérer l’identité et l’accès.

2. Renforcement du processus d’authentification

2.1 Authentifier les utilisateurs avant de leur accorder l’accès à un système et aux ressources qu’il contient, en tirant parti des services d’authentification approuvés par le gouvernement du Canada (GC), conformément à la Directive sur la gestion de l’identité et aux lignes directrices connexes, comme la Ligne directrice sur l’authentification en nuage. Les exceptions doivent être évaluées par le Comité d’examen de l’architecture intégrée du GC.

2.2 Mettre en œuvre des protocoles d’authentification et de cryptographie approuvés par le GC, conformément au document du Centre canadien pour la cybersécurité intitulé Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B - ITSP.40.111.

2.3 Désactiver les méthodes et protocoles d’authentification faibles et obsolètes.

2.4 Mettre en œuvre une authentification multifactorielle (AMF) résistante à l’hameçonnage pour les comptes d’utilisateur, conformément à la Ligne directrice du gouvernement du Canada (GC) sur l’authentification multifactorielle (AMF) : Recommandations techniques relatives aux authentifiants utilisés pour l’AMF dans le domaine opérationnel du GC. Un système d’AMF résistant à l’hameçonnage est utilisé au minimum pour authentifier tous les utilisateurs qui :

  • 2.4.1 accèdent aux systèmes d’information dont le niveau d’assurance requis est de 3 ou plus;
  • 2.4.2 accèdent aux solutions basées sur l’informatique en nuage;
  • 2.4.3 accèdent aux services en ligne de tiers qui traitent, stockent ou communiquent des données sensibles;
  • 2.4.4 effectuent des opérations privilégiées;
  • 2.4.5 ont recours à des solutions d’accès et d’administration à distance.

2.5 Désactiver les formes les plus faibles de l’AMF, telles que l’AMF par SMS et par courriel, et s’assurer qu’elles ne sont pas configurées comme options de repli.

2.6 Lorsque des mots de passe sont utilisés, mettre en œuvre une politique sur les mots de passe conforme à la Ligne directrice sur la sécurité des mots de passe.

2.7 Configurer tous les systèmes qui nécessitent une authentification de l’utilisateur à l’aide d’un verrouillage de session ou d’écran par défaut.

2.8 Configurer tous les systèmes de manière à ce qu’ils affichent une bannière de connexion approuvée qui oblige les utilisateurs à reconnaître et à accepter leurs responsabilités en matière de sécurité avant que l’accès ne leur soit accordé.

2.9 Renforcer les services Active Directory, conformément au guide du Centre canadien pour la cybersécurité intitulé Guide visant à sécuriser les services Active Directory de Microsoft dans votre organisation - (ITSM.60.100).

3. Gestion des comptes

3.1 Établir des critères basés sur les rôles ou les attributs (ou l’équivalent) qui limitent l’accès aux systèmes d’information en tenant compte des éléments suivants :

  • 3.1.1 une autorisation d’accès valide;
  • 3.1.2 l’utilisation prévue du système;
  • 3.1.3 d’autres attributs requis par l’organisation;
  • 3.1.4 des exigences liées aux programmes et aux services.

3.2 Définir les types de comptes (par exemple, privilégié, particulier, système, application, invité ou anonyme, service, interface de programmation d’application [API] ou temporaire).

3.3 Associer chaque compte à une seule identité (numérique) (personne ou autre entité).

3.4 Appliquer le principe du moindre privilège à tous les types de comptes.

3.5 Déterminer les utilisateurs autorisés des systèmes d’information, préciser les privilèges d’accès et mettre en place un contrôle de l’accès approuvé par des personnes désignées autres que le demandeur.

3.6 Révoquer ou modifier l’accès au compte lorsqu’il n’est plus nécessaire.

3.7 Désactiver les comptes d’utilisateur inactifs après 90 jours et les comptes temporaires après 30 jours et automatiser ce processus dans la mesure du possible.

3.8 Établir les conditions d’adhésion à un groupe en fonction de règles opérationnelles valides et des principes du moindre privilège et du besoin de connaître.

4. Gestion des comptes privilégiés

4.1 Établir des comptes d’utilisateur privilégiés et les administrer, conformément à la section B.2.3.2 de l’annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information » de la Directive sur la gestion de la sécurité. Les comptes privilégiés sont ceux qui s’accompagnent d’au moins un des éléments suivants :

  • 4.1.1 la possibilité de modifier les principaux paramètres de configuration des systèmes;
  • 4.1.2 la possibilité de modifier ou de contourner les contrôles de sécurité;
  • 4.1.3 l’accès à l’information d’audit et de surveillance de la sécurité;
  • 4.1.4 l’accès aux données, aux fichiers et aux comptes utilisés par d’autres utilisateurs, comme les sauvegardes et les supports;
  • 4.1.5 l’accès pour résoudre les problèmes d’un système.

4.2 Organiser l’accès au système d’information et les privilèges connexes approuvés selon un schéma de contrôle d’accès basé sur les rôles ou les attributs (ou l’équivalent), et surveiller, vérifier et supprimer les attributions de privilèges lorsqu’elles ne sont plus nécessaires.

4.3 Établir des comptes d’utilisateur distincts et réservés à l’usage exclusif des tâches nécessitant un accès privilégié. Il s’agit notamment :

  • 4.3.1 d’utiliser une authentification native en nuage pour les administrateurs d’infonuagique disposant de privilèges élevés, conformément à la Ligne directrice sur l’authentification en nuage;
  • 4.3.2 de gérer les services sur place en utilisant des comptes distincts pour les points d’extrémité et l’infrastructure afin de s’assurer que :
    •  4.3.2.1 les comptes dotés de privilèges élevés n’ont pas accès à des ressources moins sécurisées,
    •  4.3.2.2 les comptes dotés de privilèges non élevés n’ont pas accès à des ressources plus sécurisées, conformément au modèle d’accès privilégié décrit dans les Exigences de configuration relatives à la gestion du système du GC;
  • 4.3.3 de restreindre l’accès pour les comptes dotés de privilèges aux ressources moins sécurisées ou non essentielles qui ne sont pas nécessaires pour assumer les fonctions connexes;
  • 4.3.4 de restreindre l’accès pour les comptes dotés de privilèges afin d’empêcher toute modification ou suppression non autorisée des enregistrements d’audit connexes.

4.4 Effectuer les tâches administratives de manière sécurisée et conformément au document du GC intitulé Exigences de configuration relatives à la gestion du système. Il s’agit notamment :

  • 4.4.1 de recourir à l’élévation des privilèges juste à temps pour administrer les systèmes et les applications après avoir obtenu, s’il y a lieu, les autorisations appropriées de la direction, l’accès juste à temps faisant référence à l’octroi et à la révocation des privilèges uniquement pour la durée nécessaire à l’exécution des fonctions privilégiées autorisées;
  • 4.4.2 de configurer les comptes dotés de privilèges pour qu’ils soient accessibles et utilisables à partir de points d’extrémité autorisés, détenus et gérés par le GC, conformément aux Exigences de configuration de la gestion des points d’extrémité du GC;
  • 4.4.3 d’empêcher l’accès à Internet, au courrier électronique et aux services Web depuis les services ou les points d’extrémité auxquels il est possible d’accéder au moyen des comptes dotés de privilèges (à l’exception de ceux dont l’accès aux services en ligne a été explicitement autorisé);
  • 4.4.4 d’utiliser les comptes dotés de privilèges dans des réseaux sécurisés et contrôlés (par exemple, réseaux internes du gouvernement ou voies d’accès sécurisées approuvées par le GC);
  • 4.4.5 d’autoriser les demandes d’accès privilégié aux systèmes, applications et référentiels de données lors de la première demande et périodiquement au cours de l’utilisation.

5. Comptes d’entités autres que des personnes

5.1 Protéger les comptes de service à l’aide d’un processus qui garantit qu’ils sont répertoriés, gérés par une personne ou une équipe qui en est clairement propriétaire, et fréquemment audités. Utiliser, dans la mesure du possible, les comptes de service géré de groupe pour sécuriser les services au moyen de justificatifs d’identité entièrement gérés, renouvelés et protégés.

5.2 Configurer des mots de passe complexes et uniques conformément à la Ligne directrice sur la sécurité des mots de passe du GC pour :

  • 5.2.1 les comptes de service;
  • 5.2.2 les comptes d’administrateur local.

5.3 Utiliser des solutions telles que la Solution de gestion des mots de passe d’administrateur local (LAPS) pour la gestion automatique des mots de passe des administrateurs locaux afin de s’assurer que les mots de passe sont uniques, générés de manière aléatoire et stockés de manière sécurisée.

5.4 Configurer les comptes API comme indiqué dans l’ Orientation sur les pratiques exemplaires en matière de sécurité des API. Au minimum :

  • 5.4.1 limiter l’utilisation des comptes aux communications API seulement;
  • 5.4.2 configurer les services API pour qu’ils fonctionnent avec des niveaux d’autorisation non privilégiés.

5.5 Privilégier l’utilisation de justificatifs d’identité à durée limitée, tels que les jetons Web JSON, qui offrent une vérification cryptographique, et n’utiliser des justificatifs d’identité statiques, tels que les clés API, qu’en dernier ressort.

5.6 Limiter l’accès à l’API aux seules ressources nécessaires.

5.7 Veiller à ce que la journalisation soit activée pour les contextes de demande et de réponse appropriés.

5.8 Assurer les communications au moyen de la version 1.3 ou ultérieure du protocole de sécurité de la couche transport (TLS), comme l’indique le document du Centre canadien pour la cybersécurité intitulé Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062).

6. Surveillance

6.1 Créer des dossiers d’audit, conformément au Guide sur la consignation des événements du GC pour :

  • 6.1.1 les mesures prises à l’égard des comptes, des groupes et des attributions de privilèges;
  • 6.1.2 tous les événements d’authentification et d’élévation des privilèges afin de détecter les activités anormales et d’empêcher que les comptes sensibles soient compromis.

6.2 Configurer l’enregistrement complet des opérations privilégiées et de l’utilisation des comptes d’utilisateur dotés de privilèges, le cas échéant.

6.3 Effectuer à une fréquence maximale d’une fois par mois des audits de tous les comptes et groupes d’adhésion des systèmes protégés par mot de passe afin d’en vérifier la conformité aux exigences en matière de gestion des comptes.

6.4 Transférer les journaux d’événements protégés contre toute modification ou suppression non autorisée à l’aide des mesures de protection cryptographiques approuvées par le Centre canadien pour la cybersécurité à un dispositif de journalisation central pour traitement, stockage, surveillance et analyse.

Détails de la page

2026-02-11