Exigences de configuration relatives à la gestion du système
1. Gestion des biens
1.1 Tenir à jour un inventaire des biens comprenant les éléments suivants :
- 1.1.1 des renseignements sur le propriétaire du système;
- 1.1.2 les versions et l’historique des rustines des applications des pilotes, des systèmes d’exploitation et des micrologiciels pour les composants des systèmes d’information, tels que les points d’extrémité, les serveurs, les dispositifs de réseau et tout autre équipement informatique;
- 1.1.3 un calendrier de prise en charge.
1.2 Gérer le cycle de vie de tous les composants et dispositifs des systèmes d’information qui sont en fin de vie utile, notamment en élaborant un plan pour les retirer avant la fin de leur vie utile ou les remplacer par des versions prises en charge par le fournisseur, ou en veillant à ce que des contrôles compensatoires soient mis en place s’il est impossible de les retirer.
2. Renforcement du système
2.1 Déployer des systèmes d’information dans des zones de réseau segmentées, conformément aux documents du Centre canadien pour la cybersécurité intitulés Exigences de base en matière de sécurité pour les zones de sécurité de réseau (Version 2.0) - ITSP.80.022 et Considérations de conception relatives au positionnement des services dans les zones (ITSG-38).
2.2 Déployer des bases de référence d’environnement d’exploitation standard qui utilisent des systèmes d’exploitation et des applications configurés avec les dernières versions prises en charge, à jour et testées des logiciels.
2.3 Renforcer les systèmes d’exploitation et les applications afin de ne fournir que les fonctionnalités essentielles, conformément au document du Centre canadien pour la cybersécurité intitulé Les 10 mesures de sécurité des TI : Numéro 4 – Renforcer la sécurité des systèmes d’exploitation (SE). Il s’agit notamment de tirer parti des cadres de renforcement, tels que ceux proposés par le Center for Internet Security (CIS).
2.4 Mettre en œuvre des contrôles de sécurité des applications afin de limiter l’exécution des fichiers exécutables, des bibliothèques logicielles, des scripts et des programmes d’installation à un ensemble approuvé, et qui est configuré pour générer des journaux d’événements en cas de tentatives d’exécution infructueuses.
3. Intégrité des systèmes
3.1 S’abonner aux avis de sécurité des fournisseurs et aux avis fournis par le Centre canadien pour la cybersécurité.
3.2 Mettre en œuvre des mécanismes de protection contre les codes malveillants aux points d’entrée et de sortie du système afin de détecter et d’éliminer les codes malveillants. Les points d’entrée et de sortie du système comprennent les pare-feu et les points d’extrémité des clients et des serveurs.
3.3 Effectuer régulièrement et automatiquement des analyses de vulnérabilité afin de s’assurer que les vulnérabilités potentielles et les autres risques de sécurité sont détectés et atténués aussi rapidement que possible au sein des composants des systèmes d’information, conformément aux Lignes directrices sur la gestion des vulnérabilités du gouvernement du Canada (GC).
3.4 Effectuer des essais de pénétration internes et externes pour les systèmes d’information :
- 3.4.1 avant le déploiement initial et après des changements importants apportés à un système;
- 3.4.2 annuellement, par un évaluateur indépendant pour les systèmes hébergeant des renseignements permettant d’identifier des personnes;
- 3.4.3 au moins tous les deux ans, par un évaluateur indépendant pour tous les autres systèmes essentiels désignés.
3.5 Appliquer activement des rustines aux systèmes d’exploitation, aux applications logicielles, au matériel et aux micrologiciels installés sur les points d’extrémité, conformément à l’ Orientation sur la gestion des rustines du GC, afin d’atténuer les failles et les vulnérabilités connues des logiciels.
4. Administration du système
4.1 Mettre en œuvre un modèle d’administration de système sécurisé qui utilise des services d’infrastructure administrative renforcés et qui protège les activités administratives et les tâches privilégiées. Il s’agit notamment :
- 4.1.1 d’établir des zones de gestion qui sont des réseaux isolés et dédiés à l’exécution de tâches administratives afin de limiter le risque d’interception ou de violation, conformément au document du Centre canadien pour la cybersécurité intitulé Exigences de base en matière de sécurité pour les zones de sécurité de réseau (Version 2.0) - ITSP.80.022;
- 4.1.2 de protéger les interfaces de gestion des composants et des dispositifs des systèmes d’information en supprimant l’exposition directe de l’interface de gestion à Internet et en la rendant accessible par l’intermédiaire d’une zone de réseau interne, telle qu’une zone d’accès à la gestion à distance, conformément au document du Centre canadien pour la cybersécurité intitulé Exigences de base en matière de sécurité pour les zones de sécurité de réseau (Version 2.0) - ITSP.80.022;
- 4.1.3 de limiter l’accès administratif aux zones ou interfaces de gestion en fonction des rôles des utilisateurs et des plages d’adresses de protocole Internet (IP) autorisées;
- 4.1.4 de restreindre les activités administratives autorisées à des hôtes administratifs approuvés par le GC, comme un poste de travail administratif dédié et conçu à cet effet, qui :
- 4.1.4.1 permet de s’assurer que seuls les logiciels autorisés et les activités administratives sont exécutés,
- 4.1.4.2 désactive l’accès à Internet afin de veiller à ce qu’il n’y ait pas d’accès à des services tels que la messagerie électronique et la navigation sur le Web,
- 4.1.4.3 met en œuvre une base de référence conforme aux Exigences de configuration de la gestion des points d’extrémité du GC.
4.2 Établir un modèle d’accès privilégié qui limite strictement la capacité d’effectuer des tâches privilégiées à quelques voies autorisées qui sont protégées et étroitement surveillées. Il s’agit notamment :
- 4.2.1 de limiter toute élévation des privilèges non autorisée en imposant une hiérarchie qui empêche le contrôle des plans supérieurs (tels que le plan de contrôle ou de gestion) à partir des plans inférieurs (tels que le plan de données ou de charge de travail) par des attaques ou des abus de processus légitimes;
- 4.2.2 de valider tous les comptes d’utilisateur et appareils pour chaque session afin de garantir un niveau de confiance suffisant avant d’autoriser l’accès;
- 4.2.3 de limiter les traversées latérales en utilisant des mots de passe ou des secrets uniques pour les comptes et les clés de machine, de sorte que la violation d’un seul appareil ne conduise pas immédiatement au contrôle d’un grand nombre ou de la totalité des autres appareils de l’environnement.
4.3 Utiliser des logiciels et des protocoles de gestion à distance qui sont :
- 4.3.1 tenus à jour et pris en charge pour les protéger contre les vulnérabilités connues;
- 4.3.2 configurés au moyen des mesures de sécurité cryptographiques approuvées par le Centre canadien pour la cybersécurité afin de protéger les communications contre l’écoute clandestine ou la falsification;
- 4.3.3 renforcés afin de désactiver des opérations, telles que le transfert de port SSH pour les comptes d’utilisateurs interactifs;
- 4.3.4 configurés au moyen d’une authentification multifactorielle (AMF) résistante à l’hameçonnage.
5. Sauvegarde et restauration des données
5.1 Sauvegarder les systèmes qui contiennent des renseignements opérationnels essentiels et s’assurer que les mécanismes de récupération peuvent les restaurer de manière efficace et efficiente à partir des sauvegardes afin d’assurer la continuité des activités, conformément à l’annexe D : Procédures obligatoires relatives aux mesures de sécurité en matière de gestion de la continuité des activités de la Directive sur la gestion de la sécurité.
5.2 Stocker les copies de sauvegarde de manière sécurisée sous forme chiffrée et limiter leur accès aux personnes qui doivent y accéder pour les activités de mise à l’essai ou de restauration.
6. Surveillance
6.1 Utiliser des sources de protocole de synchronisation réseau (NTP) fiables pour permettre une synchronisation et une validation précises de l’heure dans tous les environnements et systèmes et faciliter la corrélation des événements de sécurité.
6.2 Configurer la journalisation conformément au Guide sur la consignation d’événements du GC afin d’améliorer la capacité de détecter et de reconnaître les comportements anormaux. Il s’agit notamment de permettre la journalisation détaillée des systèmes et des composants, notamment :
- 6.2.1 les systèmes et les fonds de données essentiels;
- 6.2.2 les services connectés à Internet, y compris l’accès à distance, les métadonnées de réseau et le système d’exploitation du serveur sous-jacent;
- 6.2.3 les serveurs de gestion des identités et des domaines;
- 6.2.4 les autres serveurs essentiels;
- 6.2.5 les dispositifs d’accès, tels que les routeurs et les pare-feu au périmètre du réseau;
- 6.2.6 les postes de travail administratifs;
- 6.2.7 les systèmes dotés de privilèges élevés.
6.3 Transférer les journaux d’événements protégés contre toute modification ou suppression non autorisée à l’aide des mesures de protection cryptographiques approuvées par le Centre canadien pour la cybersécurité à un dispositif de journalisation central pour traitement, stockage, surveillance et analyse.