Programme canadien de certification en cybersécurité : critères de niveau 1

Ce document explique les exigences d'évaluation de la certification de cybersécurité de niveau 1.

L’objectif de l’évaluation est de s’assurer que les organisations qui souhaitent obtenir des contrats de défense avec le gouvernement du Canada disposent des mesures de sécurité essentielles pour se protéger contre les cybermenaces connues.

L'évaluation permet de vérifier si les règles de sécurité de l'information d'une organisation fonctionnent. Il aide à :

• repérer les problèmes ou les lacunes en matière de sécurité
• repérer les faiblesses des systèmes
• décider des risques à corriger en premier
• s'assurer que les problèmes de sécurité connus sont réglés
• soutenir des contrôles réguliers et améliorer la sensibilisation aux risques de sécurité

L’objectif de l’évaluation est de s’assurer que les organisations qui souhaitent obtenir des contrats de défense avec le gouvernement du Canada disposent des mesures de sécurité essentielles pour se protéger contre les cybermenaces connues.

Table des matières

• 1. Introduction
  • 1.01 Objet
  • 1.02 Public cible
• 2. Principes de base
  • 2.01 Procédures d'évaluation
  • 2.02 Cas d'assurance
• 3. Procédures
  • 3.01 Contrôle d'accès
    • 03.01.01 Gestion des comptes
    • 03.01.02 Application de l'accès
    • 03.01.20 Utilisation de systèmes externes
    • 03.01.22 Contenu à accès public
  • 3.05 Identification et authentification
    • 03.05.01 Identification, authentification et réauthentification des utilisatrices et utilisateurs
    • 03.05.02 Identification et authentification des dispositifs
    • 03.05.03 Authentification multifacteur
  • 3.08 Protection des supports
    • 03.08.03 Nettoyage des supports
  • 3.10 Protection physique
    • 03.10.01 Autorisations d'accès physique
    • 03.10.07 Contrôle d'accès physique
  • 3.13 Protection des systèmes et des communications
    • 03.13.01 Protection de périmètre
  • 3.14 Intégrité de l'information et des systèmes
    • 03.14.01 Correction des défauts
    • 03.14.02 Protection contre les programmes malveillants

1. Introduction

La présente est basée sur la version canadienne du document SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information (PDF) (1,2 mo, en anglais seulement) du National Institute of Standards and Technology (NIST). Il n'y a pas de changements techniques importants entre le document canadien et le document SP 800-171A Rev. 3. Les principales modifications apportées dans la version canadienne concernent les différences entre les lois, les politiques, les directives, les normes et les lignes directrices. Autrement dit, les changements tiennent compte du contexte réglementaire et de conformité propre au Canada; aucun changement n'a été apporté au contexte technique sous-jacent. La présente publication porte uniquement sur les critères d'évaluation de niveau 1.

Le processus d'évaluation de sécurité vise à rassembler l'information et à fournir des preuves pour déterminer l'efficacité des exigences de sécurité en faisant ce qui suit :

• cerner les problèmes ou les lacunes dans les programmes de gestion des risques et de la sécurité;
• définir les faiblesses et les lacunes en matière de sécurité dans les systèmes et les environnements où s'exécutent ces systèmes;
• établir les priorités liées aux décisions et aux activités d'atténuation des risques;
• confirmer que les faiblesses et les lacunes relevées par rapport à la sécurité dans le système et l'environnement d'exploitation ont bien été corrigées;
• soutenir les activités de surveillance continue et assurer une connaissance de la situation concernant la sécurité de l'information.

1.01 Objet

Cette publication fournit un ensemble de procédures visant à évaluer l'efficacité des exigences de sécurité pour protéger la confidentialité de l'information désignée lorsqu'elle réside dans des systèmes et des organisations qui ne relèvent pas du gouvernement du Canada (GC). Les lignes directrices s'appliquent aux exigences de sécurité définies dans le document Protection de l'information désignée dans les organisations et les systèmes ne relevant pas du gouvernement du Canada (ITSP.10.171).

L'objectif principal de l'évaluation est de s'assurer que les contrôles de sécurité sont mis en œuvre avec une robustesse et une ampleur suffisantes pour contrer les auteurs de menaces identifiés.

1.02 Public cible

Cette publication est destinée aux personnes et aux organisations des secteurs publics et privés, y compris :

• les responsables du cycle de développement des systèmes (par exemple, les gestionnaires de programme, les propriétaires de la mission et des activités, les gardiennes et gardiens de l'information, les conceptrices, concepteurs, développeuses et développeurs de systèmes, les ingénieures et ingénieurs de systèmes et de la sécurité et les intégratrices et intégrateurs de systèmes);
• les responsables des acquisitions et de l'approvisionnement (par exemple, les agentes et agents de négociation des marchés);
• les responsables de la gestion et de la surveillance des systèmes, de la sécurité, du respect de la vie privée ou des risques (par exemple, les cadres supérieures et supérieurs désignés pour l'autorisation, les dirigeantes principales et dirigeants principaux de l'information, les dirigeantes principales et dirigeants principaux de la sécurité de l'information, les chefs de la protection des renseignements personnels, les propriétaires de systèmes et les gestionnaires de la sécurité de l'information);
• les responsables de l'évaluation et de la surveillance de la sécurité ou de la confidentialité (par exemple, les auditrices et auditeurs, les évaluatrices et évaluateurs de systèmes, les contrôleuses et contrôleurs, ainsi que les analystes, les vérificatrices, les vérificateurs, les certificatrices et les certificateurs indépendants).

On peut aborder les rôles et les responsabilités ci-dessus selon deux perspectives :

• celle du GC où l'entité définit et applique les exigences relatives à l'évaluation de sécurité dans des mécanismes de passation de marchés ou d'autres types d'ententes;
• celle adoptée à l'extérieur du GC où les exigences relatives à l'évaluation de sécurité sont établies dans les contrats ou les ententes par l'entité responsable d'y répondre et de s'y conformer.

2. Principes de base

Le processus utilisé par les organisations et les contrôleuses et contrôleurs pour évaluer les exigences de sécurité mentionnées dans l'ITSP.10.171-01A comprend les étapes suivantes :

1. la préparation de l'évaluation;
2. l'élaboration d'un plan d'évaluation de la sécurité et de la confidentialité;
3. la réalisation de l'évaluation;
4. la documentation, l'analyse et la présentation des résultats de l'évaluation.

L'ITSP.10.033-02 fournit plus d'information sur le processus d'évaluation et chacune des étapes mentionnées précédemment.

Cette section décrit la structure et le contenu des procédures d'évaluation, ainsi que l'importance de faire appel à des cas d'assurance afin de fournir les preuves nécessaires pour établir la conformité avec les exigences.

2.01 Procédures d'évaluation

Cette section explique la structure et le contenu des procédures d'évaluation qui sont exclusives aux exigences de sécurité de niveau 1 définies dans l'ITSP.10.171. De plus amples conseils sur l'entièreté du processus d'évaluation seront publiés dans un document distinct.

Les familles des exigences de sécurité sont les suivantes :

• Contrôle d'accès
• Sensibilisation et formation
• Vérification et responsabilité
• Gestion des configurations
• Identification et authentification
• Intervention en cas d'incident
• Maintenance
• Protection des supports
• Sécurité du personnel
• Protection physique
• Évaluation des risques
• Évaluation de sécurité et surveillance
• Protection des systèmes et des communications
• Intégrité de l'information et des systèmes
• Planification
• Acquisition des systèmes et des services
• Gestion des risques liés à la chaîne d'approvisionnement

La procédure d'évaluation consiste en un ensemble d'objectifs d'évaluation comportant chacun un ensemble connexe des méthodes et des objets d'évaluation potentiels. Les procédures d'évaluation mentionnées à la section 3 : Procédures sont tirées de l'ITSP.10.033-02. Les évaluations des exigences de sécurité comprennent plusieurs éléments clés :

• les objets d'évaluation définissent les éléments particuliers qui sont évalués dans le cadre d'une activité ou d'un contrôle donné et font mention des spécifications, des mécanismes, des procédures et des individus;
• les spécifications sont les artéfacts basés sur le document associés à une activité ou à un contrôle courant ou propre au système. Ces artéfacts comprennent ce qui suit :
  • les stratégies
  • les procédures
  • les plans
  • les exigences de sécurité et de confidentialité du système
  • les spécifications fonctionnelles
  • les conceptions fonctionnelles
• les mécanismes correspondent au matériel, aux logiciels ou aux micrologiciels particuliers, dont les dispositifs de protection physique, qui composent les protections et les contremesures employées dans un système ou dans une activité ou un contrôle courant;
• les procédures sont des mesures de protection particulières qui prennent en charge un système ou une activité ou un contrôle courant exigeant l'intervention d'individus (par exemple, effectuer les étapes nécessaires pour sauvegarder un système, surveiller le trafic d'un réseau et exécuter un plan d'urgence);
• les méthodes d'évaluation définissent la nature des actions menées par les contrôleuses et contrôleurs et comprennent ce qui suit :
  • examen : processus qui consiste à vérifier, à inspecter, à observer, à étudier ou à analyser un objet d'évaluation ou plus (à savoir, les spécifications, les mécanismes ou les procédures) afin de faciliter la compréhension de la contrôleuse ou du contrôleur, d'obtenir plus de clarifications ou de rassembler des preuves
  • entrevue : processus qui consiste à tenir des discussions avec les personnes ou les groupes de personnes d'une organisation afin de faciliter la compréhension de la contrôleuse ou du contrôleur, d'obtenir plus de clarifications ou de rassembler des preuves
  • test : processus qui consiste à réaliser un objet d'évaluation ou plus (à savoir, des procédures ou des mécanismes) conformément aux conditions définies pour comparer l'état actuel de l'objet à l'état voulu ou au comportement attendu de l'objet
• les méthodes d'évaluation ont un ensemble d'attributs connexes – portée et profondeur – qui aident à définir le niveau d'efforts nécessaire à l'évaluation. Les attributs sont de nature hiérarchique et fournissent les moyens pour définir la portée, la profondeur et la rigueur de l'évaluation pour les assurances accrues dont certains systèmes pourraient avoir besoin :
  • l'attribut de la profondeur traite de la rigueur et du niveau de détail exigés par les efforts d'évaluation
  • l'attribut de la portée traite de l'ampleur des efforts d'évaluation, comme le nombre et les types de spécifications, de mécanismes et de procédures à examiner ou à tester, ainsi que les personnes qui prendront part à une entrevue
• le niveau d'effort de l'évaluation est principalement déterminé par l'évaluation des risques d'atteinte à la vie privée ou la catégorisation de la sécurité du système ou de l'activité ou du contrôle courant à évaluer conformément à ce qui est mentionné dans l'ITSP.10.036. Les valeurs de ces attributs vont du niveau d'assurance de la sécurité (NAS) 1 à NAS 5 (les NAS sont définis dans l'ITSP.10.037).
• Les valeurs d'attribut appropriées pour une méthode d'évaluation particulière sont basées sur les exigences relatives à l'assurance précisées par l'organisation et sont une composante importante de la protection de l'information en fonction du risque – ce qu'on appelle la gestion des risques.

La structure et le contenu des procédures d'évaluation comprennent les éléments suivants :

• les énoncés de détermination composés d'identificateurs alphanumériques. Chaque énoncé de détermination commence par la lettre « A » pour indiquer qu'il fait partie d'une procédure d'évaluation;
• La séquence de chiffres ou de lettres suivante (par exemple, 03.01.01.e ou 03.01.01.f.02) précise l'identificateur de l'exigence de sécurité tirée de l'ITSP.10.171 (et l'élément de contrôle particulier s'il s'agit d'une exigence en plusieurs parties) faisant l'objet de l'évaluation;
• les paramètres définis par l'organisation sont indiqués par les lettres « ODP » (en anglais, Organization-Defined Parameters). Si l'énoncé de détermination comporte plusieurs ODP, ce nombre est indiqué entre crochets (par exemple, A.03.01.08.ODP[01]);
• les crochets sont utilisés pour illustrer qu'une procédure d'évaluation divise une exigence en plusieurs énoncés de détermination granulaires (par exemple, A.03.01.12.a[01], A.03.01.12.a[02], A.03.01.12.a[03]);
• l'application d'une procédure d'évaluation à une exigence de sécurité donne lieu à des résultats ou à des constatations. Les constatations sont compilées et servent de preuves pour déterminer si l'exigence de sécurité a été satisfaite ou si elle porte toute autre mention :
  • une constatation ayant reçu la mention « satisfaite » indique que l'objectif de l'évaluation a été atteint et que cette dernière a fourni un résultat tout à fait acceptable
  • une constatation ayant reçu une mention autre que « satisfaite » indique qu'il y a de possibles anomalies auxquelles l'organisation devra s'attaquer. Une telle mention pourrait également indiquer que la contrôleuse ou le contrôleur n'a pas été en mesure d'obtenir suffisamment d'information pour en venir à la détermination nécessaire à l'énoncé de détermination

2.02 Cas d'assurance

Afin de présenter un cas d'assurance efficace pour assurer l'efficacité des contrôles et la qualité de l'exécution des activités, il convient de compiler les preuves de diverses procédures d'assurance effectuées dans le cadre du cycle de vie des systèmes. Les preuves proviennent des contrôles et des activités de sécurité et de confidentialité qui sont mis en œuvre dans le système et hérités par ce dernier (contrôles courants), ainsi que de l'évaluation de cette mise en œuvre.

Les activités d'assurance peuvent être menées à deux différents niveaux :

• elles peuvent être liées à un contrôle particulier et prendre en charge un produit ou un mécanisme de sécurité en particulier;
• elles peuvent prendre en charge le système dans son intégralité pour évaluer son développement et l'intégration des contrôles dans ce dernier.

Les activités d'assurance qui prennent en charge le développement des systèmes visent à améliorer les résultats en matière de conception, d'architecture et d'ingénierie. Les activités d'assurance que l'on désignait sous le nom « activités » dans l'ITSP.10.033 fonctionnent de la même façon.

L'évaluation d'un contrôle ou d'une activité est une procédure d'assurance. Au moment d'évaluer une activité d'assurance, tel qu'il est indiqué dans l'ITSP.10.033, il convient de mettre l'accent sur l'évaluation de la qualité de son exécution. Ce processus est décrit en détail dans l'ITSP.10.037.

Ensemble, la force et l'assurance définissent les exigences qu'il faut respecter au moment de mettre en œuvre un contrôle pour répondre à son objectif en matière de sécurité ou de confidentialité.

La force de la sécurité ou de la confidentialité est associée à la capacité potentielle du contrôle mis en œuvre de protéger la confidentialité, l'intégrité ou la disponibilité des biens. À mesure que la force augmente, l'auteur de menace doit déployer des efforts plus grands et débourser des coûts additionnels pour contourner le contrôle mis en œuvre.

Le potentiel de protection d'un contrôle ne peut être réalisé que si ce contrôle est mis en œuvre avec une assurance adéquate.

L'assurance consiste en des tâches visant à accroître la confiance qui sont effectuées pour s'assurer qu'un contrôle est conçu et mis en œuvre correctement et qu'il fonctionne comme prévu, ou qu'une activité d'assurance est réalisée de façon appropriée. L'assurance comprend également les tâches qui permettent de s'assurer que tous les contrôles associés à la conception, à la mise en œuvre et au fonctionnement d'un système répondent aux besoins opérationnels en matière de sécurité et de confidentialité.

L'assurance est fournie par les tâches effectuées par les développeuses et développeurs des systèmes, les responsables de la mise en œuvre et de la maintenance, les exploitantes et exploitants, et les évaluatrices et évaluateurs de la sécurité et de la confidentialité. L'assurance augmente lorsqu'on déploie des efforts additionnels dans la portée et la profondeur de ces tâches, puisqu'elle contribue à l'efficacité de la preuve et aux mesures de confiance. La rigueur et la profondeur suivent généralement la même trajectoire : si une augmente, cela devrait également être le cas pour l'autre.

La robustesse est une caractérisation de la force et de l'assurance d'un contrôle de sécurité ou de confidentialité. La force est associée à la capacité potentielle du contrôle de protéger la confidentialité, l'intégrité ou la disponibilité des biens. On a attribué aux activités d'assurance décrites dans le catalogue un niveau d'assurance seulement, et non un niveau de robustesse.

Un contrôle incorpore un élément de force lorsqu'il atténue un savoir-faire en particulier. Comme les activités d'assurance ne permettent pas de contrer directement le savoir-faire, le concept de force ne s'applique pas. L'assurance d'un contrôle est liée à la mesure dans laquelle on peut avoir la certitude que le contrôle a été conçu et mis en œuvre correctement, qu'il fonctionne comme prévu et qu'il permet d'atteindre les résultats prévus en répondant aux exigences du système et de l'organisation en matière de sécurité et de confidentialité.

Par exemple, un contrôle de sécurité dont la conception est robuste (comme un mécanisme d'authentification multifacteur [AMF]), mais qui n'offre aucune assurance (lorsqu'aucune preuve, comme un examen de la sécurité ou un test des vulnérabilités, ne démontre la qualité de sa mise en œuvre) aura une robustesse moindre qu'un système similaire à assurance élevée (lorsque la sécurité d'un mécanisme a été validée dans le cadre d'une validation et de tests rigoureux).

Les contrôles utilisés pour protéger des biens plus sensibles ou essentiels, ou qui sont exposés à des menaces plus sérieuses, exigent généralement des solutions de sécurité et de confidentialité plus robustes et une mise en œuvre offrant une plus grande assurance et des niveaux de robustesse plus élevés.

Le modèle de robustesse établit une hiérarchie basée sur les niveaux de préjudice et de menace prévus. Les documents ITSP.10.037 et ITSP.80.032 fournissent plus d'information sur le modèle de robustesse.

L'évaluation de la couverture d'un contrôle permet de répondre aux questions suivantes :

• Le contrôle permet-il de protéger adéquatement les biens voulus ou les autres contrôles connexes qu'il prend en charge?
• Le contrôle est-il appliqué correctement dans l'ensemble du système?

Par exemple, si une organisation érige une clôture (un contrôle) autour de son terrain pour sécuriser les trois quarts de son périmètre, laissant un quart sans protection, la sécurité fournie par la clôture sera incomplète. Le quart non protégé mine l'efficacité des parties sécurisées et fait en sorte que tout le périmètre est vulnérable.

Une évaluation doit considérer bien plus que la seule présence d'un contrôle. Bien qu'on puisse répondre « Oui » à la question concernant l'existence du contrôle, la question cruciale est « Le contrôle offre-t-il une couverture appropriée? ». Dans ce cas, la réponse est non, puisque la couverture est insuffisante. Cet exemple illustre l'importance d'évaluer la convenance et l'efficacité de la mise en œuvre d'un contrôle.

3. Procédures

Cette section décrit les procédures d'évaluation qui sont exclusives aux exigences de sécurité de niveau 1 définies dans l'ITSP.10.171. Les organisations qui procèdent aux évaluations des exigences de sécurité peuvent élaborer des plans d'évaluation de sécurité à partir de l'information fournie dans le cadre des procédures d'évaluation et sélectionner les méthodes et objets d'évaluation qui répondent à leurs besoins. Les organisations ont également la souplesse nécessaire pour définir le niveau de rigueur et de détail associé à l'évaluation en fonction de leurs exigences en matière d'assurance.

3.01 Contrôle d'accès

Les contrôles dans la famille Contrôle d'accès permettent d'autoriser ou de refuser l'accès des utilisatrices et utilisateurs à des ressources dans le système.

03.01.01 Gestion des comptes

ODP :

A.03.01.01.ODP[01] : la période d'inactivité du compte avant sa désactivation a été définie

A.03.01.01.ODP[02] : les délais dans lesquels il convient d'informer les gestionnaires de compte, ainsi que le personnel ou les rôles désignés, lorsque les comptes ne sont plus requis ont été définis

A.03.01.01.ODP[03] : les délais dans lesquels il convient d'informer les gestionnaires de compte, ainsi que le personnel ou les rôles désignés, lorsque des utilisatrices ou utilisateurs ont quitté leur emploi ou ont fait l'objet d'un transfert ont été définis

A.03.01.01.ODP[04] : les délais dans lesquels il convient d'informer les gestionnaires de compte, ainsi que le personnel ou les rôles désignés, lorsque des changements sont apportés à l'utilisation du système ou au principe du besoin de savoir ont été définis

A.03.01.01.ODP[05] : la période d'inactivité prévue avant que les utilisatrices et utilisateurs soient tenus de se déconnecter du système a été définie

A.03.01.01.ODP[06] : les circonstances dans lesquelles les utilisatrices et utilisateurs sont tenus de se déconnecter du système ont été définies

Facteurs à déterminer :

A.03.01.01.a[01] : si les types de comptes autorisés du système ont été définis

A.03.01.01.a[02] : si les types de comptes interdits du système ont été définis

A.03.01.01.b[01] : si les comptes du système ont été créés conformément aux stratégies, aux procédures, aux préalables et aux critères de l'organisation

A.03.01.01.b[02] : si les comptes du système ont été activés conformément aux stratégies, aux procédures, aux préalables et aux critères de l'organisation

A.03.01.01.b[03] : si les comptes du système ont été modifiés conformément aux stratégies, aux procédures, aux préalables et aux critères de l'organisation

A.03.01.01.b[04] : si les comptes du système ont été désactivés conformément aux stratégies, aux procédures, aux préalables et aux critères de l'organisation

A.03.01.01.b[05] : si les comptes du système ont été supprimés conformément aux stratégies, aux procédures, aux préalables et aux critères de l'organisation

A.03.01.01.c.01 : si les utilisatrices et utilisateurs autorisés du système ont été définis

A.03.01.01.c.02 : si les appartenances aux groupes et aux rôles ont été précisées

A.03.01.01.c.03 : si les autorisations d'accès (c'est-à-dire, les privilèges) pour chaque compte ont été précisées

A.03.01.01.d.01 : si l'accès au système est autorisé en fonction d'une autorisation d'accès valide

A.03.01.01.d.02 : si l'accès au système est autorisé en fonction de l'utilisation prévue du système

A.03.01.01.e : si l'utilisation des comptes du système fait l'objet d'une surveillance

A.03.01.01.f.01 : si les comptes du système sont désactivés lorsque les comptes arrivent à expiration

A.03.01.01.f.02 : si les comptes du système sont désactivés lorsque les comptes sont inactifs pendant <A.03.01.01.ODP[01] : délai>

A.03.01.01.f.03 : si les comptes du système sont désactivés lorsque les comptes ne sont plus associés à une utilisatrice ou un utilisateur, ou à une personne

A.03.01.01.f.04 : si les comptes du système sont désactivés lorsque les comptes enfreignent la stratégie de l'organisation

A.03.01.01.f.05 : si les comptes du système sont désactivés lorsque des risques importants liés à des individus sont découverts

A.03.01.01.g.01 : si les gestionnaires de comptes, ainsi que le personnel ou les rôles désignés, sont notifiés dans les <A.03.01.01.ODP[02] : délai> lorsque les comptes ne sont plus requis

A.03.01.01.g.02 : si les gestionnaires de comptes, ainsi que le personnel ou les rôles désignés, sont notifiés dans les <A.03.01.01.ODP[03] : délai> lorsque les utilisatrices ou utilisateurs quittent leur emploi ou font l'objet d'un transfert

A.03.01.01.g.03 : si les gestionnaires de comptes, ainsi que le personnel ou les rôles désignés, sont notifiés dans les <A.03.01.01.ODP[04] : délai> lorsque des changements sont apportés à l'utilisation qu'une personne fait du système ou au principe du besoin de savoir auquel elle est sujette

A.03.01.01.h : si les utilisatrices et utilisateurs doivent se déconnecter du système après <A.03.01.01.ODP[05] : délai> d'inactivité prévue ou dans les circonstances suivantes : <A.03.01.01.ODP[06] : circonstances>

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures de contrôle d'accès; politiques et procédures de fin d'emploi ou de transfert du personnel; procédures de gestion des comptes; liste des comptes actifs du système et nom des personnes associées à chaque compte; documentation sur la conception du système; liste des conditions liées à l'appartenance à un groupe ou à un rôle; paramètres de configuration du système; notifications des séparations, fins d'emploi ou transferts récents du personnel; liste des comptes désactivés du système et nom des activités d'utilisateur qui posent des risques importants pour l'organisation; enregistrements des autorisations d'accès; examens de conformité de la gestion des comptes; enregistrements de vérification et de surveillance du système; plan de sécurité du système; plan de confidentialité; liste générée par le système des comptes supprimés; liste générée par le système des comptes d'urgence désactivés; liste générée par le système des comptes désactivés; autres documents et enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable de la gestion de comptes; administratrices et administrateurs de système; personnel responsable de la sécurité et de la confidentialité de l'information; développeuses et développeurs de système]

Test

[Sélection parmi les options suivantes : processus de gestion des comptes sur le système; mécanismes de mise en œuvre de la gestion des comptes]

Références

Procédures d'évaluation tirées de la source : AC-02, AC-02(03), AC-02(05) et AC-02(13)

03.01.02 Application de l'accès

Facteurs à déterminer :

A.03.01.02[01] : si les autorisations approuvées pour l'accès logique à l'information désignée sont appliquées conformément aux stratégies de contrôle d'accès applicables

A.03.01.02[02] : si les autorisations approuvées pour l'accès logique aux ressources du système sont appliquées conformément aux stratégies de contrôle d'accès applicables

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures de contrôle de l'accès; procédures d'application de l'accès; documentation sur la conception du système; paramètres de configuration du système; liste des autorisations approuvées (c'est-à-dire, privilèges utilisateur); enregistrements de vérification du système; plan de sécurité du système; autres documents ou enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable de l'application de l'accès; administratrices et administrateurs de système; personnel responsable de la sécurité de l'information; développeuses et développeurs de système]

Test

[Sélection parmi les options suivantes : mécanismes de mise en œuvre de la stratégie de contrôle de l'accès]

Références

Procédure d'évaluation tirée de la source : AC-03

03.01.20 Utilisation de systèmes externes

ODP :

A.03.01.20.ODP : les exigences de sécurité à respecter sur les systèmes externes avant de permettre aux personnes autorisées de les utiliser ou d'y accéder ont été définies

Facteurs à déterminer :

A.03.01.20.a : si l'utilisation des systèmes externes est interdite, à moins qu'ils ne soient explicitement autorisés

A.03.01.20.b : si les exigences de sécurité suivantes sont respectées sur les systèmes externes avant de permettre aux personnes autorisées de les utiliser ou d'y accéder : <A.03.01.20.ODP : exigences de sécurité>

A.03.01.20.c.01 : si les personnes autorisées peuvent utiliser des systèmes externes pour accéder au système de l'organisation ou pour traiter, stocker ou transmettre de l'information désignée après avoir vérifié que les exigences de sécurité sur les systèmes externes indiquées dans les plans de sécurité du système de l'organisation ont été respectées

A.03.01.20.c.02 : si les personnes autorisées peuvent utiliser des systèmes externes pour accéder au système de l'organisation ou pour traiter, stocker ou transmettre de l'information désignée après avoir conservé les ententes approuvées de connexion au système ou de traitement avec les entités organisationnelles qui hébergent les systèmes externes

A.03.01.20.d : si l'utilisation de dispositifs de stockage portatifs contrôlés par l'organisation est restreinte aux personnes autorisées sur les systèmes externes

Méthodes et objets d'évaluation potentiels

Examen

[Sélection à partir des options suivantes : stratégies et procédures de contrôle de l'accès; procédures d'utilisation de systèmes externes; conditions générales d'utilisation des systèmes externes; exigences de sécurité des systèmes externes; liste des types d'applications accessibles à partir de systèmes externes; paramètres de configuration du système; plan de sécurité du système; autres documents et enregistrements pertinents]

Entrevue

[Sélection à partir des options suivantes : personnel responsable de la définition des conditions et des exigences de sécurité pour l'utilisation des systèmes externes; personnel responsable de la sécurité de l'information; administratrices et administrateurs de système]

Test

[Sélection parmi les options suivantes : mécanismes de mise en œuvre et d'application des conditions et des exigences de sécurité pour l'utilisation de systèmes externes]

Références

Procédures d'évaluation tirées de la source : AC-20, AC-20(01) et AC-20(02)

03.01.22 Contenu à accès public

Facteurs à déterminer :

A.03.01.22.a : si les personnes autorisées sont formées pour s'assurer que l'information accessible au public ne contient aucune information désignée

A.03.01.22.b[01] : si le contenu des systèmes à accès public fait l'objet d'un examen pour relever l'information désignée

A.03.01.22.b[02] : si l'information désignée découverte est supprimée des systèmes à accès public, le cas échéant

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures de contrôle de l'accès; procédures pour le contenu accessible au public; liste des utilisatrices et utilisateurs autorisés à publier du contenu accessible au public sur des systèmes de l'organisation; documents ou matériel de formation; enregistrements des vérifications d'information accessible au public; enregistrements des réponses à l'information désignée découverte sur des sites Web publics; journaux de vérification du système; enregistrements de formation de sensibilisation à la sécurité; plan de sécurité du système; autres documents ou enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable de la gestion de l'information accessible au public publiée sur des systèmes de l'organisation; personnel responsable de la sécurité de l'information]

Test

[Sélection parmi les options suivantes : mécanismes de mise en œuvre de la gestion du contenu accessible au public]

Références

Procédure d'évaluation tirée de la source : AC-22

3.05 Identification et authentification

Les contrôles d'identification et d'authentification appuient l'identification unique des utilisatrices et utilisateurs, des processus agissant au nom des utilisatrices et utilisateurs et des dispositifs. Ils appuient également l'authentification ou la vérification des identités des utilisatrices et utilisateurs, des processus et des dispositifs comme condition préalable pour accorder l'accès aux systèmes organisationnels.

03.05.01 Identification, authentification et réauthentification des utilisatrices et utilisateurs

ODP :

A.03.05.01.ODP : les circonstances ou les situations exigeant une réauthentification ont été définies

Facteurs à déterminer :

A.03.05.01.a[01] : si les utilisatrices et utilisateurs du système sont identifiés de façon unique

A.03.05.01.a[02] : si les utilisatrices et utilisateurs du système sont authentifiés

A.03.05.01.a[03] : si les utilisatrices et utilisateurs du système sont identifiés de façon unique, authentifiés et associés aux processus agissant en leur nom

A.03.05.01.b : si les utilisatrices et utilisateurs sont réauthentifiés lorsque <A.03.05.01.ODP : circonstances ou situations>

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures d'identification et d'authentification; liste des circonstances ou situations exigeant une réauthentification; documentation sur la conception du système; paramètres de configuration du système; enregistrements de vérification du système; liste des comptes du système; plan de sécurité du système; autres documents ou enregistrements pertinents]

Entrevue

[Sélection à partir des options suivantes : personnel responsable de l'identification et de l'authentification; personnel responsable de l'exploitation du système; personnel responsable de la gestion des comptes; développeuses et développeurs de système; personnel responsable de la sécurité de l'information; administratrices et administrateurs de système]

Test

[Sélection parmi les options suivantes : processus pour l'identification de façon unique et l'authentification des utilisatrices et utilisateurs; mécanismes de prise en charge et de mise en œuvre des capacités d'identification et d'authentification]

Références

Procédures d'évaluation tirées de la source : IA-02 et IA-11

03.05.02 Identification et authentification des dispositifs

ODP :

A.03.05.02.ODP : les dispositifs ou les types de dispositifs à identifier de façon unique et à authentifier avant d'établir une connexion ont été définis

Facteurs à déterminer :

A.03.05.02[01] : si <A.03.05.02.ODP : dispositifs ou types de dispositifs> sont définis de façon unique avant d'établir une connexion au système

A.03.05.02[02] : si <A.03.05.02.ODP : dispositifs ou types de dispositifs> sont authentifiés avant d'établir une connexion au système

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures d'identification et d'authentification; procédures d'identification et d'authentification des dispositifs; documentation sur la conception du système; liste des dispositifs exigeant une identification et une authentification uniques; rapports sur la connexion des dispositifs; paramètres de configuration du système; plan de sécurité du système; autres documents ou enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable de l'identification et de l'authentification des dispositifs; personnel responsable de la sécurité de l'information; développeuses et développeurs de système; administratrices et administrateurs de système]

Test

[Sélection parmi les options suivantes : mécanismes de prise en charge ou de mise en œuvre des capacités d'identification et d'authentification des dispositifs]

Références

Procédure d'évaluation tirée de la source : IA-03

03.05.03 Authentification multifacteur

Facteurs à déterminer :

A.03.05.03[01] : si une authentification multifacteur robuste a été mise en œuvre pour l'accès aux comptes privilégiés

A.03.05.03[02] : si une authentification multifacteur robuste a été mise en œuvre pour l'accès aux comptes non privilégiés

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures d'identification et d'authentification; documentation sur la conception du système; liste des comptes du système; paramètres de configuration du système; comptes de vérification du système; plan de sécurité du système; autres documents ou enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable de l'exploitation du système; personnel responsable de la gestion des comptes; personnel responsable de la sécurité de l'information; développeuses et développeurs de système; administratrices et administrateurs de système]

Test

[Sélection parmi les options suivantes : mécanismes de prise en charge ou de mise en œuvre des capacités d'authentification multifacteur]

Références

Procédures d'évaluation tirées de la source : IA-02(01) et IA-02(02)

3.08 Protection des supports

Les contrôles de protection des supports appuient la protection des supports du système tout au long du cycle de vie. Ils permettent de limiter l'accès à l'information sur les supports du système aux utilisatrices et utilisateurs autorisés et exigent un nettoyage ou une destruction des supports avant leur élimination ou leur réutilisation.

03.08.03 Nettoyage des supports

Facteurs à déterminer :

A.03.08.03 : si les supports du système qui contiennent de l'information désignée ont été nettoyés avant leur élimination ou leur transfert hors du contrôle de l'organisation ou aux fins de réutilisation

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures de protection des supports; procédures de nettoyage et d'élimination des supports; normes et politiques applicables qui traitent de la politique de nettoyage des supports; enregistrements de vérification du système; enregistrements de nettoyage de supports; documentation sur la conception du système; paramètres de configuration du système; politique sur la conservation et la disposition des documents; procédures de conservation et de disposition des documents; plan de sécurité du système; plan de confidentialité; autres documents et enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable du nettoyage des supports; personnel responsable de la conservation et de la disposition des documents; personnel responsable de la sécurité et de la confidentialité de l'information; administratrices et administrateurs de système]

Test

[Sélection parmi les options suivantes : processus de nettoyage des supports; mécanismes pour la prise en charge et la mise en œuvre du nettoyage des supports]

Références

Procédure d'évaluation tirée de la source : MP-06

3.10 Protection physique

Les contrôles de protection matérielle appuient le contrôle de l'accès physique des personnes autorisées aux systèmes, à l'équipement et aux environnements d'exploitation respectifs. Ils favorisent la protection des installations physiques et des infrastructures des systèmes ainsi que la protection des systèmes contre les dangers environnementaux. Ils fournissent également des contrôles environnementaux appropriés pour les installations hébergeant des systèmes.

03.10.01 Autorisations d'accès physique

ODP :

A.03.10.01.ODP : la fréquence à laquelle il convient de passer en revue la liste d'accès qui fournit les détails quant aux personnes autorisées à y accéder physiquement a été définie

Facteurs à déterminer :

A.03.10.01.a[01] : si une liste des personnes disposant d'un accès autorisé à l'installation où se trouve le système a été créée

A.03.10.01.a[02] : si une liste des personnes disposant d'un accès autorisé à l'installation où se trouve le système a été approuvée

A.03.10.01.a[03] : si une liste des personnes disposant d'un accès autorisé à l'installation où se trouve le système est tenue à jour

A.03.10.01.b : si les justificatifs d'autorisation ont été délivrés pour accéder à l'installation

A.03.10.01.c : si la liste des accès physiques est passée en revue <A.03.10.01.ODP : fréquence>

A.03.10.01.d : si les personnes sont retirées de la liste d'accès aux installations lorsqu'un tel accès n'est plus nécessaire

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures de protection physique; procédures d'autorisation de l'accès physique; liste d'accès du personnel autorisé; examens de la liste d'accès physique; enregistrements de résiliation de l'accès physique; justificatifs d'autorisation; plan de sécurité du système; autres documents ou enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable des autorisations d'accès physique; personnel disposant d'un accès physique à l'installation où se trouve le système; personnel responsable de la sécurité de l'information]

Test

[Sélection parmi les options suivantes : processus pour les autorisations d'accès physique; mécanismes de prise en charge et de mise en œuvre des autorisations d'accès physique]

Références

Procédure d'évaluation tirée de la source : PE-02

03.10.07 Contrôle d'accès physique

Facteurs à déterminer :

A.03.10.07.a.01 : si les autorisations d'accès physique aux points d'entrée et de sortie sont appliquées dans les installations où se trouvent les systèmes en vérifiant les autorisations d'accès physique des individus avant d'accorder l'accès

A.03.10.07.a.02 : si les autorisations d'accès physique aux points d'entrée et de sortie sont appliquées dans les installations où se trouvent les systèmes en contrôlant les points d'entrée et de sortie au moyen de systèmes de contrôle d'accès physique, de dispositifs ou de gardes

A.03.10.07.b : si des journaux de vérification d'accès physique sont tenus à jour pour les points d'entrée et de sortie

A.03.10.07.c[01] : si les visiteuses et visiteurs sont accompagnés

A.03.10.07.c[02] : si l'activité des visiteuses et visiteurs est contrôlée

A.03.10.07.d : si les clés, les combinaisons et les autres dispositifs d'accès physique sont sécurisés

A.03.10.07.e : si l'accès physique aux dispositifs de sortie est contrôlé avant d'empêcher les personnes non autorisées d'obtenir l'accès à l'information désignée

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures de protection physique; procédures pour le contrôle d'accès physique; journaux ou registres de contrôle d'accès physique; registre d'inventaire des dispositifs de contrôle d'accès physique; points d'entrée et de sortie du système; enregistrements des changements de combinaisons et des clés; emplacements de stockage des dispositifs de contrôle d'accès physique; dispositifs de contrôle d'accès physique; liste des mécanismes de sécurité contrôlant l'accès aux zones officiellement désignées comme étant accessibles au public au sein de l'installation; plan de sécurité du système; autres documents et enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable du contrôle d'accès physique; personnel responsable de la sécurité de l'information]

Test

[Sélection parmi les options suivantes : processus pour le contrôle de l'accès physique; mécanismes de prise en charge et de mise en œuvre d'un contrôle d'accès physique; dispositifs de contrôle de l'accès physique]

Références

Procédure d'évaluation tirée de la source : PE-03 et PE-05

3.13 Protection des systèmes et des communications

Les contrôles de protection des systèmes et des communications appuient les activités de surveillance, de contrôle et de protection des systèmes ainsi que les communications internes et externes des systèmes.

03.13.01 Protection de périmètre

Facteurs à déterminer :

A.03.13.01.a[01] : si les communications transmises des interfaces gérées externes au système font l'objet d'une surveillance

A.03.13.01.a[02] : si les communications transmises des interfaces gérées externes au système sont contrôlées

A.03.13.01.a[03] : si les communications vers les principales interfaces gérées internes depuis le système font l'objet d'une surveillance

A.03.13.01.a[04] : si les communications vers les principales interfaces gérées internes depuis le système sont contrôlées

A.03.13.01.b : si des sous-réseaux ont été mis en œuvre pour les composants de systèmes à accès public qui sont séparés physiquement ou logiquement des réseaux internes

A.03.13.01.c : si les connexions des systèmes externes sont établies seulement au moyen d'interfaces gérées constituées de dispositifs de protection de périmètre organisés conformément à l'architecture de sécurité de l'organisation

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures de protection des systèmes et des communications; procédures de protection de périmètre; liste des périmètres internes dans le système; matériel et logiciels de protection de périmètre; paramètres de configuration du système;

architecture de sécurité; enregistrements de vérification du système; documentation sur la conception du système; documentation sur l'architecture de sécurité d'entreprise; plan de sécurité du système; autres documents ou enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable de la protection de périmètre; personnel responsable de la sécurité de l'information; développeuses et développeurs de système; administratrices et administrateurs de système]

Test

[Sélection parmi les options suivantes : mécanismes de mise en œuvre des capacités de protection de périmètre]

Références

Procédure d'évaluation tirée de la source : SC-07

3.14 Intégrité de l'information et des systèmes

Les contrôles d'intégrité de l'information et des systèmes appuient la protection de l'intégrité des composants du système et des données traitées par le système. Ils permettent à l'organisation d'établir, de signaler et de corriger rapidement les défauts liés aux données et aux systèmes afin d'offrir une protection contre les programmes malveillants. Ils permettent également de surveiller les alertes et les avis de sécurité du système et d'intervenir de manière appropriée.

03.14.01 Correction des défauts

ODP :

A.03.14.01.ODP[01] : la période durant laquelle il convient d'installer les mises à jour de sécurité appropriées des logiciels suivant leur diffusion est définie

A.03.14.01.ODP[02] : la période durant laquelle il convient d'installer les mises à jour de sécurité appropriées des micrologiciels suivant leur diffusion est définie

Facteurs à déterminer :

A.03.14.01.a[01] : si les défauts du système sont relevés

A.03.14.01.a[02] : si les défauts du système sont signalés

A.03.14.01.a[03] : si les défauts du système sont corrigés

A.03.14.01.b[01] : si les mises à jour de sécurité des logiciels sont installées dans les <A.03.14.01.ODP[01] : période> suivant leur diffusion

A.03.14.01.b[02] : si les mises à jour de sécurité des micrologiciels sont installées dans les <A.03.14.01.ODP[02] : période> suivant leur diffusion

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures d'intégrité de l'information et du système; procédures d'atténuation des défauts; procédures de gestion des configurations; liste des récentes mesures d'atténuation des failles de sécurité informatique prises sur le système; liste des défauts et des vulnérabilités susceptibles de toucher le système; résultats des tests découlant de l'installation des mises à jour logicielles et micrologicielles effectuées pour corriger les défauts du système; enregistrements d'installation et de contrôle des changements pour les mises à jour de sécurité des logiciels et des micrologiciels; plan de sécurité du système; plan de confidentialité; autres documents et enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable de l'installation, de la configuration ou de la maintenance du système; personnel responsable de l'atténuation des défauts; personnel responsable de la gestion des configurations; personnel responsable de la sécurité et de la confidentialité de l'information; administratrices et administrateurs de système]

Test

[Sélection parmi les options suivantes : processus d'identification, de signalement et de correction des défauts du système; processus d'installation des mises à jour des logiciels et des micrologiciels; mécanismes de prise en charge et de mise en œuvre du signalement et de la correction des défauts du système; mécanismes de prise en charge et de mise en œuvre des tests liés aux mises à jour des logiciels et des micrologiciels]

Références

Procédure d'évaluation tirée de la source : SI-02

03.14.02 Protection contre les programmes malveillants

ODP :

A.03.14.02.ODP : la fréquence à laquelle les mécanismes de protection contre les programmes malveillants procèdent à des analyses est définie

Facteurs à déterminer :

A.03.14.02.a[01] : si des mécanismes de protection contre les programmes malveillants sont mis en œuvre aux points d'entrée et de sortie du système pour détecter le code malveillant

A.03.14.02.a[02] : si des mécanismes de protection contre les programmes malveillants sont mis en œuvre aux points d'entrée et de sortie du système pour éradiquer le code malveillant

A.03.14.02.b : si les mécanismes de protection contre les programmes malveillants sont mis à jour dès que de nouvelles versions sont disponibles, conformément aux stratégies et procédures de gestion des configurations

A.03.14.02.c.01[01] : si les mécanismes de protection contre les programmes malveillants sont configurés de manière à effectuer les analyses du système <A.03.14.02.ODP : fréquence>

A.03.14.02.c.01[02] : si les mécanismes de protection contre les programmes malveillants sont configurés de manière à effectuer des analyses en temps réel des fichiers de sources externes aux points d'extrémité ou aux points d'entrée et de sortie du système lors de leur téléchargement, de leur ouverture ou de leur exécution

A.03.14.02.c.02 : si les mécanismes de protection contre les programmes malveillants sont configurés de manière à bloquer ou à mettre en quarantaine le code malveillant ou à entreprendre d'autres mesures d'atténuation afin d'intervenir lors de la détection de code malveillant

Méthodes et objets d'évaluation potentiels

Examen

[Sélection parmi les options suivantes : stratégies et procédures d'intégrité de l'information et du système; stratégies et procédures de gestion des configurations; procédures de protection contre les programmes malveillants; enregistrements des mises à jour de la protection contre les programmes malveillants; documentation sur la conception du système; paramètres de configuration du système; résultats des analyses des mécanismes de protection contre les programmes malveillants; enregistrement des actions amorcées par les mécanismes de protection contre les programmes malveillants afin d'intervenir lors de la détection de code malveillant; enregistrements de vérification du système; plan de sécurité du système; autres documents ou enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable de la protection contre les programmes malveillants; personnel responsable de l'installation, de la configuration ou de la maintenance du système; personnel responsable de la sécurité de l'information; administratrices et administrateurs de système]

Test

[Sélection parmi les options suivantes : processus pour l'utilisation, la mise à jour et la configuration des mécanismes de protection contre les programmes malveillants; processus de traitement des faux positifs résultant de la détection et des répercussions possibles; mécanismes de prise en charge ou de mise en œuvre, d'utilisation, de mise à jour et de configuration des mécanismes de protection contre les programmes malveillants; mécanismes de prise en charge ou de mise en œuvre de l'analyse du code malveillant et de l'exécution des actions subséquentes]

Références

Procédure d'évaluation tirée de la source : SI-03