Exigences de configuration relatives à la gestion des comptes

Dans cette page

• 1. Gestion du cycle de vie
• 2. Renforcement du processus d’authentification
• 3. Gestion des comptes
• 4. Gestion des comptes privilégiés
• 5. Surveillance des systèmes

---

1. Gestion du cycle de vie

1.1 Gérer les comptes utilisateurs en se servant d’une approche axée sur le cycle de vie. Une telle approche comprend l’établissement de l’approbation, de la notification, de la surveillance, des exigences opérationnelles et des procédures opérationnelles liées à la création, à l’activation, à la modification, à l’examen périodique, à la désactivation et à la suppression de comptes.

2. Renforcement du processus d’authentification

2.1 Authentifier les utilisateurs avant de leur accorder l’accès à un système et à ses ressources, en tirant parti des services d’authentification approuvés par le GC, conformément à la Directive sur la gestion de l’identité et aux lignes directrices connexes, comme l’Orientation sur l’authentification en nuage pour le gouvernement du Canada. Les exceptions doivent être évaluées par le Conseil d’examen de l’architecture intégrée du gouvernement du Canada.

2.2 Procéder à la mise en œuvre de solides mécanismes d’authentification comme l’authentification multifactorielle pour tous les comptes détenant un accès privilégié ou amélioré, conformément au guide ITPS.30.031 V3 du Centre canadien pour la cybersécurité, Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information. Des renseignements supplémentaires concernant l’approche organisationnelle du GC à l’égard de l’AMF sont fournis dans la Considération et la Stratégie d’authentification multifactorielle pour les services intégrés de la TI du GC. Au minimum, l’authentification multifactorielle sert à authentifier les utilisateurs des types suivants :

• 2.2.1 tous les utilisateurs ayant accès aux systèmes d’information avec une exigence du niveau d’assurance de 3 ou plus;
• 2.2.2 tous les utilisateurs privilégiés qui prennent des mesures privilégiées; et
• 2.2.3 tous les utilisateurs de solutions d’accès à distance.

2.3 Lorsque des mots de passe sont utilisés, mettre en œuvre une politique sur les mots de passe conformément à l’Orientation sur les mots de passe du GC.

2.4 Les systèmes sont configurés avec un verrouillage de séance ou d’écran.

2.5 Les systèmes ont une bannière de connexion approuvée qui exige des utilisateurs qu’ils reconnaissent et acceptent leurs responsabilités en matière de sécurité avant qu’on leur accorde l’accès.

3. Gestion des comptes

3.1 Établir des critères afin d’accorder l’accès aux systèmes d’information en fonction :

• 3.1.1 d’une autorisation d’accès valide;
• 3.1.2 de l’utilisation prévue des systèmes;
• 3.1.3 d’autres attributs requis par le ministère;
• 3.1.4 des exigences liées aux programmes et aux services.

3.2 Définir les types de comptes (p. ex., privilégié, particulier, groupe, système, application, invité/anonyme et temporaire).

3.3 Associer chaque compte à une seule identité (numérique) (personne ou non).

3.4 Superviser et gérer soigneusement les privilèges attribués aux utilisateurs et aux administrateurs. Leur fournir un niveau raisonnable (mais minimal) de privilèges et de droits systèmes nécessaires à leur rôle.

3.5 Cerner les utilisateurs autorisés des systèmes d’information et préciser les privilèges d’accès.

3.6 Veiller à ce que l’accès soit révoqué ou modifié en conséquence lorsqu’une personne n’a plus besoin d’avoir un accès ou ne devrait plus l’avoir.

3.7 Désactiver les comptes inactifs après 90 jours pour ce qui est des comptes utilisateurs et après 30 jours pour ce qui est des comptes temporaires et d’urgence.

3.8 Établir les conditions d’adhésion à un groupe.

4. Gestion des comptes privilégiés

4.1 Créer et administrer des comptes d’utilisateur privilégiés, conformément à la section B.2.3.2 de l’annexe B de la Directive sur la gestion de la sécurité : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information, avec un système d’accès^{Note de bas de page 1} basé sur les rôles qui assure l’accès autorisé au système d’information et organise les privilèges en rôles, surveille l’attribution des rôles privilégiés et supprime les rôles privilégiés assignés lorsqu’ils ne sont plus nécessaires. Les comptes privilégiés sont ceux qui ont une ou plusieurs des capacités ou accès suivants :

• 4.1.1 la capacité de modifier les paramètres de configuration des systèmes clés;
• 4.1.2 la capacité de modifier ou de contourner les mesures de sécurité;
• 4.1.3 l’accès à l’information en matière de vérification et de surveillance de la sécurité;
• 4.1.4 l’accès aux données, aux fichiers et aux comptes utilisés par d’autres utilisateurs, comme les sauvegardes et les médias;
• 4.1.5 l’accès à un système de dépannage.

5. Surveillance des systèmes

5.1 Créer des enregistrements de vérification pour les mesures relatives aux comptes, aux groupes et à l’attribution des privilèges.

5.2 Effectuer des vérifications de la conformité aux exigences de gestion des comptes à une fréquence qui ne dépasse pas une fois par mois.