Mise en œuvre de HTTPS pour les connexions Web sécurisées : Avis de mise en œuvre de la Politique sur la technologie de l’information (AMPTI)

Sur cette page

• 1. Objectif
• 2. Portée
• 3. Date d’entrée en vigueur
• 4. Application
• 5. Contexte
• 6. Direction
• 7. Demandes de renseignements
• 8. Références
• 9. Définitions
• Annexe A – Considérations en matière de sécurité

1. Objectif

1.1 L’objectif du présent Avis de mise en œuvre de la Politique sur la technologie de l’information (AMPTI) est de diriger les ministères^{Voir la note en bas de page 1} afin de mettre en œuvre le protocole de transfert hypertexte sécurisé (HTTPS) pour les connexions Web.

2. Portée

2.1 Le présent AMPTI s’applique à tous les sites Web et services Web accessibles du gouvernement du Canada. 

3. Date d’entrée en vigueur

3.1 Le présent AMPTI entre en vigueur à compter du 27 juin 2018

4. Application

4.1 Le présent AMPTI s’applique à tous les ministères assujettis à la Politique sur la gestion des technologies de l’information.

Les ministères, organismes et organisations du gouvernement du Canada qui ne sont pas assujettis à la Politique sur la gestion de la technologie de l’information sont encouragés à se conformer au présent AMPTI.

Les administrateurs généraux des organisations suivantes sont les seuls responsables de surveiller la conformité avec le présent AMPTI et d’assurer son respect au sein de leurs organisations :

• Bureau du vérificateur général
• Bureau du directeur général des élections
• Commissariat au lobbying du Canada
• Commissariat aux langues officielles
• Commissariat à l’intégrité du secteur public du Canada
• Commissariats à l’information et à la protection de la vie privée du Canada

5. Contexte

5.1 Les Canadiens et les Canadiennes comptent sur le gouvernement du Canada pour offrir des services numériques sécurisés d’une façon qui protège les renseignements qu’ils fournissent au gouvernement. De nombreux services du gouvernement recueillent des renseignements personnels auprès des utilisateurs ou leur présentent les renseignements qu’ils utilisent ensuite pour prendre des décisions importantes. Les connexions de protocole de transfert hypertexte non crypté (HTTP) aux sites Web et aux services Web du gouvernement qui sont accessibles au public sont vulnérables à la manipulation et l’usurpation et peuvent exposer les informations sensibles de l’utilisateur. 

5.2 Les Canadiens et les Canadiennes doivent être convaincus qu’ils ont accès à un service légitime et que leurs connexions demeurent privées et libres de toute interférence. En appliquant des normes de sécurité spécifiques qui ont été largement adoptées dans l’industrie, les ministères peuvent assurer l’intégrité et la confidentialité de leurs communications avec les Canadiens et les Canadiennes. Cela comprend la mise en œuvre du protocole HTTPS qui fournit une couche de protection en chiffrant les connexions qui utilisent le protocole de sécurité de la couche transport (TLS). HTTPS, ainsi qu’avec des algorithmes de chiffrement approuvés, offre un niveau de sécurité et de vie privée auquel les utilisateurs s’attendent de la part des services Web du gouvernement du Canada. En outre, lors de l’utilisation de navigateurs Web modernes, une connexion sécurisée sera toujours amorcée lorsqu’un HTTP Strict Transport Security (HSTS) est configuré.

5.3 La mise en œuvre d’un HTTPS n’est qu’un seul aspect d’un service numérique sécurisé. Puisque la configuration de HTTPS aura des répercussions sur la visibilité organisationnelle dans ces connexions, les ministères devront protéger leurs systèmes avec une plus grande vigilance. La bonne application des pratiques de sécurité et de sécurité des systèmes comme la gestion des rustines est essentielle afin d’appuyer la prestation de services numériques fiables. L’annexe A fournit des considérations additionnelles en matière de sécurité pour les ministères.

6. Direction

6.1 Les ministères sont tenus de mettre en œuvre des mesures de protection afin de veiller à ce que tous les sites et services Web accessibles au public du gouvernement et que les services soient configurés de manière à fournir un service seulement par l’entremise d’une connexion sécurisée, conformément à l’article 6.2.4 de la Politique sur la gestion des technologies de l’information et de la Politique sur la sécurité du gouvernement. Cela comprend la mise en œuvre d’une connexion Web sécurisée qui :

• 6.1.1 est configuré pour HTTPS (et réorienté de HTTP).
• 6.1.2 a HSTS activé.
• 6.1.3 met en œuvre TLS 1.2, ou ses versions ultérieures, et utilise des algorithmes. cryptographiques supportés et des certificats, tel que décrit dans les documents suivants du Centre de la sécurité des télécommunications (CST) :
  • ITSP.40.062 Conseils sur la configuration sécurisée des protocoles réseau, Article 3.1 pour les suites de chiffrement AES
  • ITSP.40.111 Algorithmes cryptographiques pour l’information Non classifiée, Protégé A et Protégé B
• 6.1.4 désactive les protocoles faibles comme toutes les versions du protocole à couche de sockets sécurisés (SSL) (p. ex., SSLv2 et SSLv3) et des versions plus anciennes de TLS (p. ex., techno, TLS 1.0 et 1.1), selon le ITSP.40.062 du CST.
• 6.1.5 désactive les chiffrements faibles (p. ex., RC4 et 3DES).

6.2 Cette direction doit être appliquée comme suit :

• 6.2.1 Les sites Web et les services Web nouvellement développés doivent respecter le présent AMPTI après son lancement.
• 6.2.2 Les sites Web et les services Web qui entraînent un échange de renseignements personnels ou d’autres renseignements de nature délicate doivent avoir priorité à la suite d’une approche axée sur les risques et doivent migrer dans les plus brefs délais.
• 6.2.3 Tous les sites Web et les services Web restants doivent être accessibles grâce à une connexion sécurisée, comme définie à l’article 6.1, au plus tard le 31 décembre 2019.

6.3 Les ministères doivent fournir une liste à jour de tous les domaines et sous-domaines pour leurs sites Web et leurs services Web accessibles au public, dans les 45 jours suivant la date de délivrance de l’AMPTI, par l’utilisation du site Web suivant : Soumettre domaines de votre institution. On s’attend à ce que les ministères présentent des demandes pour de nouveaux domaines au Bureau de service de l’éditeur principal.

6.4 Les ministères qui ne peuvent pas mettre en œuvre toutes les exigences de l’AMPTI doivent faire une demande au Conseil d’examen de l’architecture intégrée du GC (CEAI GC) en vue d’obtenir une exemption avec une justification pour justifier la demande. Les ministères devraient contacter la boîte aux lettres du CIOB-DPPI IT-Division-TI <ZZCIOBDP@tbs-sct.gc.ca> pour les exigences relatives à la présentation d’une demande d’exemption. 

6.5 Pour aider les ministères à évaluer la conformité, un tableau de bord sera établi. Le soutien technique et les pratiques exemplaires additionnelles pour aider à mettre en œuvre l’AMPTI sont disponibles au Services numériques sécuritaires.

7. Demandes de renseignements

7.1 Pour obtenir une interprétation de tout aspect du présent AMPTI, veuillez communiquer avec les Demandes de renseignements du Secrétariat du Conseil du Trésor du Canada (SCT).

7.2 Les employés aux ministères devraient communiquer avec leur groupe ministériel sur la technologie de l’information s’ils ont des questions au sujet du présent AMPTI.

7.3 Les personnes d’un groupe ministériel sur la technologie de l’information peuvent contacter la boîte aux lettres de la cybersécurité du SCT (ZZTBSCYBERS@tbs-sct.gc.ca) pour obtenir une interprétation du présent AMPTI.

8. Références

9. Définitions

Algorithme cryptographique

Une procédure de calcul bien définie qui prend les variables d’entrées, y compris une clé cryptographique, et produit un résultat. (Source : NIST IR 7298 Revision 2)

Services numériques

Les services numériques comprennent la prestation des renseignements numériques (c’est-à-dire les données ou le contenu) et les services transactionnels, comme les formulaires en ligne, dans une variété de plates-formes, de dispositifs et de mécanismes de prestation, comme les sites Web, les applications mobiles et les médias sociaux. (Source : United States Digital Government Strategy)

Protocole de transfert hypertexte (HTTP)

Une méthode normalisée pour la communication entre les clients et les serveurs Web. (Source : NIST SP800-101)

HTTP sécurisé (HTTPS)

HTTP transmis sur un protocole de sécurité de la couche transport (TLS). (Source : NIST SP800-95)

HTTP Strict Transport Security (HSTS)

Il permet à un site Web d’informer le navigateur qu’il ne devrait jamais télécharger le site en utilisant HTTP et devrait plutôt convertir automatiquement toutes les tentatives pour accéder au site qui utilise HTTP à HTTPS. Pendant le chargement de la page, le site Web retourne la commande Strict-Transport-Security à l’en-tête de la page Web, qui est enregistrée par le navigateur de l’utilisateur. Une fois enregistrés, toutes les tentatives futures de charger le site en utilisant HTTP utilisera automatiquement HTTPS au lieu. (Source : Fondation Mozilla, Dev docs)

Destiné au public

Un site Web ou une application Web destiné au public qui peut être consulté par les personnes et les entreprises à l’extérieur du gouvernement du Canada. (Source : Orientation sur la mise en œuvre de la Norme sur l’accessibilité des sites Web)

Renseignements de nature délicate

Un renseignement dont on peut raisonnablement prévoir que, s’il faisait l’objet d’une compromission, il pourrait causer un préjudice. Les renseignements de nature délicate comprennent tout renseignement qui peut être admissible à une exemption en vertu de la Loi sur l’accès à l’information ou d’une disposition d’exclusion en vertu de la Loi sur la protection des renseignements personnels. Les renseignements de nature délicate comprennent aussi les « marchandises contrôlées » et d’autres renseignements et biens qui sont sujets à des interdictions ou des contrôles d’origine législative ou réglementaire. (Source : Politique sur la sécurité du gouvernement)

Protocole de sécurité de la couche transport (TLS)

Offre la protection des renseignements personnels et l’intégrité des données entre deux applications communicantes. Il a pour but de résumer les autres protocoles, tels que HTTP. (Source : NIST SP800-95)

Service Web

Un élément logiciel ou un système conçu pour appuyer l’interopérabilité de la machine – ou l’interaction axée sur l’application sur un réseau. Un service Web a une interface décrite dans un format exploitable par une machine. D’autres systèmes interagissent avec le service Web d’une manière prévue par sa description en utilisant des messages du protocole SOAP, habituellement transmis par HTTP avec une sérialisation de langage de balisage extensible (XML) en conjonction avec d’autres normes liées au Web. (Source : NIST SP800-95)

Annexe A – Considérations en matière de sécurité

Afin de protéger les réseaux électroniques, les appareils et les renseignements du GC, ce qui suit est une liste non exhaustive des considérations en matière de sécurité qui peuvent être mises en œuvre de manière superposée afin d’appuyer une approche de défense en profondeur pour les services Web et de réduire au minimum les possibilités de cyberattaques :

• Déployer des systèmes d’exploitation modernes et des applications qui sont maintenues avec des versions de logiciels pris en charge, mises à jour et mises à l’essai.
• Gérer activement les vulnérabilités des logiciels, y compris fixer les vulnérabilités connues rapidement à la suite d’une politique d’entretien de rustines en temps opportun pour les systèmes d’exploitation et les applications et prendre d’autres mesures d’atténuation, où des rustines ne peut pas être appliquées.
• Mettre en œuvre des mesures de protection appropriées basées sur l’hôte afin de protéger les systèmes contre les activités malveillantes connues et inconnues.
• Réduire au minimum les services disponibles et contrôler la connectivité en enlevant ou en désactivant tous les ports et les services non essentiels ainsi que les comptes inutiles des systèmes.
• Permettre l’enregistrement du système afin d’améliorer la capacité à détecter et à identifier les comportements anormaux, effectuer la surveillance du système et assister l’intervention en cas d’incident et l’analyse judiciaire des systèmes compromis.
• Contrôler et gérer attentivement les privilèges attribués aux utilisateurs et aux administrateurs. Offrir un niveau des privilèges et des droits du système raisonnable (mais minimal) pour leur rôle.
• Utiliser de solides mécanismes d’authentification (p. ex., authentification multifactorielle) dans la mesure du possible afin de se protéger contre tout accès non autorisé.
• Concevoir des services Web afin qu’ils soient protégés contre les vulnérabilités communes en matière de sécurité comme l’injection SQL et d’autres, décrits dans des publications très consultées comme l’Open Web Application Security Project (OWASP) Top 10 (en anglais seulement).

Pour obtenir de plus amples renseignements sur les pratiques exemplaires, veuillez consulter les Conseils et directives en matière de STI du CST.