Exigences de configuration de la gestion des points d’extrémité
1. Protection des points d’extrémité
1.1 Les utilisateurs du gouvernement du Canada (GC) qui accèdent aux systèmes ou à des renseignements sensibles du GC utilisent des points d’extrémité détenus et gérés par le GC qui prennent en charge les profils des utilisateurs et des points de travail applicables. Parmi les points d’extrémité figurent les ordinateurs portables, les tablettes, les ordinateurs de bureau, les téléphones mobiles, les serveurs et les machines virtuelles qui sont déployés sur place ou dans le nuage.
1.2 Identifier les points d’extrémité détenus et gérés par le GC à l’aide d’une authentification des points d’extrémité fondée sur les certificats.
1.3 Mettre en œuvre des contrôles d’accès pour empêcher tout accès aux réseaux, aux systèmes d’information ou aux renseignements et données sensibles du GC à partir d’appareils non autorisés.
1.4 Chiffrer les données au repos en utilisant des mesures de protection cryptographiques approuvées par le Centre canadien pour la cybersécurité, y compris le chiffrement intégral du disque, comme il est indiqué dans les Exigences relatives aux supports de stockage de données portatifs.
1.5 Chiffrer les données en transit à l’aide des mesures de protection cryptographiques approuvées par le Centre canadien pour la cybersécurité lors de la communication de renseignements sensibles sur des réseaux moins fiables, par exemple Internet ou d’autres réseaux externes.
1.6 Configurer les points d’extrémité pour qu’ils utilisent des résolveurs de système de noms de domaine (DNS) approuvés par le GC et conformes aux Exigences de configuration relatives à la gestion des services de système de noms de domaine (DNS).
1.7 Protéger les points d’extrémité contre les activités malveillantes connues et inconnues au moyen de mesures de protection appropriées basées sur l’hôte, notamment :
- 1.7.1 les services de cybersécurité qui détectent les comportements anormaux et y répondent, y compris ceux offerts par les capteurs au niveau de l’hôte en mode dynamique du Centre canadien pour la cybersécurité;
- 1.7.2 un pare-feu hôte qui limite les connexions réseau entrantes et sortantes à un ensemble d’applications et de services approuvés;
- 1.7.3 un logiciel de filtrage de la réputation des sites et de détection des logiciels malveillants sur l’appareil configuré au moyen des éléments suivants :
- 1.7.3.1 des signatures à jour et des capacités de détection heuristiques pour détecter, isoler et neutraliser les codes malveillants,
- 1.7.3.2 une détection avancée des menaces, y compris des logiciels malveillants sans fichier,
- 1.7.3.3 des fichiers de moteur et de définition dont la durée est vérifiée et qui sont mis à jour au moins une fois par jour,
- 1.7.3.4 un balayage automatique et régulier programmé et configuré pour tous les disques fixes et supports amovibles.
1.8 Veiller à ce que les mesures de protection au niveau de l’hôte soient inviolables afin d’empêcher les logiciels malveillants ou les utilisateurs non autorisés de désactiver ou de modifier les contrôles de sécurité.
2. Renforcement des points d’extrémité
2.1 Déployer des bases de référence d’environnement d’exploitation standard qui utilisent des systèmes d’exploitation et des applications configurés à l’aide des dernières versions prises en charge, à jour et testées des logiciels.
2.2 Renforcer les systèmes d’exploitation et les applications afin de ne fournir que les fonctionnalités essentielles, conformément au document du Centre canadien pour la cybersécurité intitulé Les 10 mesures de sécurité des TI : Numéro 4 – Renforcer la sécurité des systèmes d’exploitation (SE). Il s’agit notamment de configurations qui :
- 2.2.1 désactivent les services, les ports ou les fonctionnalités non essentiels des systèmes, des appareils et des applications;
- 2.2.2 suppriment ou désactivent les comptes inutiles des systèmes et modifient les mots de passe des comptes par défaut.
2.3 Mettre en œuvre des mesures de contrôle des applications pour limiter l’exécution des exécutables, des bibliothèques logicielles, des scripts et des programmes d’installation à un ensemble approuvé, et qui est configuré pour générer des journaux d’événements en cas de tentatives d’exécution infructueuses.
2.4 Mettre en œuvre un contrôle d’accès des appareils pour empêcher la connexion d’appareils non autorisés.
2.5 Désactiver les fonctions d’exécution automatique pour les supports amovibles.
3. Gestion des points d’extrémité
3.1 Utiliser une solution de gestion centralisée des points d’extrémité pour :
- 3.1.1 tenir à jour l’inventaire des points d’extrémité, dont les versions et l’historique des rustines des applications, des pilotes, des systèmes d’exploitation et des micrologiciels;
- 3.1.2 appliquer et gérer les configurations des dispositifs sur tous les points d’extrémité;
- 3.1.3 évaluer le matériel, les logiciels et les paramètres de configuration propres à chaque point d’extrémité, enregistrer ces données dans un ou plusieurs référentiels et rendre ces renseignements disponibles dans d’autres systèmes.
3.2 Appliquer activement des rustines aux systèmes d’exploitation, aux applications logicielles, au matériel et aux micrologiciels installés sur les points d’extrémité, conformément à l’ Orientation sur la gestion des rustines du GC, afin d’atténuer les failles et les vulnérabilités connues des logiciels.
4. Surveillance
4.1 Configurer la journalisation sur les points d’extrémité, conformément au Guide sur la consignation d’événements du GC afin d’améliorer la capacité de détecter et de reconnaître les comportements anormaux.
4.2 Transférer les journaux d’événements protégés contre toute modification ou suppression non autorisée à l’aide des mesures de protection cryptographiques approuvées par le Centre canadien pour la cybersécurité à un dispositif de journalisation central pour traitement, stockage, surveillance et analyse.