Directive visant à faire cesser l'utilisation des systèmes d'exploitation de bureau Microsoft non pris en charge par les réseaux du gouvernement du Canada

Avis de mise en œuvre de la Politique sur la technologie de l'information (AMPTI)

AMPTI n^o : 2015-04

Date : Le 8 septembre 2015

Le but du présent AMPTI est de donner la directive aux ministères et organismes de cesser l'utilisation des systèmes d'exploitation de bureau Microsoft qui ne sont plus pris en charge par les réseaux du gouvernement du Canada (GC).

Le présent AMPTI prend effet immédiatement et s'applique à l'ensemble des ministères et des organismes du gouvernement du Canada au sens des annexes I, I.1 et II de la Loi sur la gestion des finances publiques. On s'attend à ce que les ministères et les organismes se conforment aux exigences énoncées dans le présent AMPTI d'ici le 31 décembre 2015.

Contexte

Nos ennemis ciblent souvent les vulnérabilités connues des systèmes d'exploitation qui ne sont pas pris en charge. Les rustines et les mises à niveau de sécurité ne sont plus fournis pour ces systèmes d'exploitation de sorte que les utilisateurs ne sont plus en mesure d'apporter les rustines nécessaires, ce qui rend ces hôtes extrêmement vulnérables à la compromission.

Pour l'heure, toutes les versions des systèmes d'exploitation Microsoft avant Windows Vista ne sont plus prises en charge par Microsoft, y compris, mais non exclusivement, Windows XP, Windows 2000, Windows 98 et Windows 95.

Comme le stipule la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI), section 9.4, il incombe au dirigeant principal de l'information d'assurer la gestion efficace et efficiente de l'information et des actifs de la TI du ministère.

Directive

Les ministères et organismes doivent cesser d'utiliser tous les appareils qui ont recours aux systèmes d'exploitation de bureau Microsoft qui ne sont plus prises en charge par les réseaux du GC ou Internet d'ici le 31 décembre 2015. Il n'y aura aucune exemption à cette directive.

Les appareils utilisant ces systèmes d'exploitation, mais qui doivent être conservés pour répondre à des besoins opérationnels après le 31 décembre 2015 doivent être isolés et contenus dans un environnement faisant l'objet d'un contrôle rigoureux, sans accès aux réseaux du GC ou à Internet.

L'utilisation de dispositifs des systèmes d'exploitation de bureau qui ne sont pas pris en charge dans une zone d'accès spécial est considérée une mesure temporaire et sa raison d'être et stratégie de fonctionnement doivent être expliquées annuellement à la DDPI du SCT dans la section de l'analyse des risques du plan de la TI ministériel.

On demande aux dirigeants principaux de l'information des ministères ou aux titulaires de postes équivalents de mettre en place des mesures actives permettant de refuser l'accès aux réseaux du GC par des systèmes d'exploitation de bureau qui ne pas pris en charge. Ces mesures comprennent notamment l'utilisation du contrôle d'accès réseau, de profileurs, de scanneurs et d'outils de détection des dispositifs qui empruntent des systèmes d'exploitation de bureau Windows qui ne sont pris en charge.

Références

Les ressources suivantes contiennent des renseignements additionnels :

• Politique de support Microsoft
• ITSB-89 du CST, version 3, Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l'information du gouvernement du Canada
• Politique sur l'utilisation acceptable des dispositifs et des réseaux : article 7, Exigences en matière de surveillance et d'établissement de rapports; Annexe E : Considérations ministérielles en matière de sécurité

Si vous avez des questions, veuillez les transmettre par courriel, à la Division de la TI de la DDPI.