Mesures de protection du nuage du gouvernement du Canada

• Procéder à la mise en œuvre d’une authentification multifactorielle (AMF) rigoureuse pour tous les comptes d’utilisateurs. Utiliser une AMF résistante à l’hameçonnage lorsque possible.

Remarque : Les comptes et identités des utilisateurs comprennent ce qui suit :

• Les comptes racine ou des administrateurs généraux, car ce sont ceux qui disposent de privilèges étendus/du niveau le plus élevé sur le plan de contrôle, et qui traitent tous les aspects du contrôle d’accès.
• D’autres comptes d’utilisateurs administratifs; pour la définition des comptes privilégiés, se reporter à :
  • la section 4 de la Directive sur les services et le numérique Annexe G : Norme sur les configurations courantes des services de la TI intégrée, Exigences de configuration relatives à la gestion des comptes
• Comptes d’utilisateurs réguliers du GC.

• Confirmer que l’AMF est mise en œuvre conformément aux orientations du GC au moyen de captures d’écran, de rapports de conformité ou d’une mesure de contrôle de la conformité dont l’activation est assurée par un outil de rapport pour tous les comptes d’utilisateur.
• Confirmer que des politiques numériques sont en place pour garantir l’application des configurations de l’AMF.
• Confirmer et signaler le nombre d’enregistrements de comptes racine/administrateur général (il devrait y en avoir au moins deux et pas plus de cinq).

• Configurer les alertes pour assurer la détection rapide d’une compromission potentielle conformément au Guide sur la consignation d’événements du GC.

• Confirmer si les activités de surveillance et de vérification sont mises en œuvre pour tous les comptes d’utilisateurs.
• Confirmer que des avis d’alerte au personnel autorisé sont mis en œuvre pour signaler les mauvaises utilisations et les activités suspectes pour tous les comptes d’utilisateur.

• Utiliser des comptes dédiés distincts pour les rôles hautement privilégiés (par exemple, administrateurs de domaine, administrateurs généraux, racine et tout accès équivalent à celui d’administrateur de domaine) lors de l’administration des services d’informatique en nuage afin de réduire au maximum le potentiel de dommages.

• Fournir la preuve que des comptes d’utilisateurs dédiés sont utilisés pour l’administration (par exemple, accès privilégié).

• Mettre en œuvre un mécanisme permettant de faire respecter les autorisations d’accès pour tous les comptes d’utilisateurs en tenant compte des critères énumérés dans la Directive sur les services et le numérique, à l’annexe G : Norme sur les configurations courantes des services de la TI intégrée, et à la section 3 des Exigences de configuration relatives à la gestion des comptes.

• Démontrer que les configurations et les politiques d’accès sont mises en œuvre pour différentes catégories d’utilisateurs (utilisateurs privilégiés et non privilégiés).
• Confirmer que les mécanismes d’autorisation d’accès ont été mis en œuvre pour :
  • identifier et authentifier de manière unique les utilisateurs des services d’informatique en nuage;
  • confirmer l’attribution du rôle le moins privilégié;
  • confirmer la mise en œuvre de l’accès basé sur les rôles;
  • mettre fin à l’attribution des rôles en cas de changement de poste ou de licenciement;
  • procéder à des examens périodiques de l’attribution des rôles (au moins une fois par an);
  • désactiver les comptes par défaut et inactifs;
  • éviter d’utiliser des comptes génériques des utilisateurs.
• Veiller à ce qu’un examen de l’attribution des rôles des comptes racines et d’administrateurs généraux soit effectué au moins tous les 12 mois.

• Tirer parti des accès selon les rôles qui sont configurés avec les privilèges les moins élevés. Il peut s’agir de rôles intégrés ou personnalisés qui ont été établis en y incluant seulement le minimum de privilèges requis pour exécuter la fonction du poste.

• Démontrer que les rôles intégrés à la plateforme d’informatique en nuage sont configurés en utilisant les privilèges les moins élevés. Des rôles personnalisés peuvent être utilisés, mais leur justification doit être documentée et approuvée.

• Changer les mots de passe par défaut conformément à l’Orientation sur les mots de passe du GC.

• Confirmer que les mots de passe par défaut ont été changés pour tous les comptes intégrés au service d’informatique en nuage.

• Configurer la politique relative aux mots de passe par défaut conformément à l’Orientation sur les mots de passe du GC.

• Démontrer que la politique relative aux mots de passe pour la plateforme d’informatique en nuage a été configurée conformément à l’Orientation sur les mots de passe en utilisant les moyens suivants :
  • exiger des mots de passe d’au moins 12 caractères et sans longueur maximale;
  • contrer les tentatives en ligne de deviner ou de forcer des mots de passe en mettant en place des mécanismes comme le ralentissement artificiel, des politiques de verrouillages de comptes, la surveillance et l’authentification multifactorielle;
  • se protéger contre les attaques hors ligne en utilisant le hachage, le salage et le hachage à clé.

• Mettre en œuvre des mécanismes de protection contre les attaques par force brute visant à obtenir des mots de passe.

• Confirmer la mise en place de mécanismes visant à se protéger contre les attaques par force brute visant à obtenir des mots de passe, comme le ralentissement artificiel, les politiques de verrouillages de comptes, la surveillance et l’authentification fondée sur le risque.

• Établir une politique et des procédures relatives à l’accès des utilisateurs invités qui réduit au minimum le nombre d’utilisateurs invités et gère le cycle de vie de leurs comptes pour que ceux-ci soient supprimés lorsque l’accès n’est plus nécessaire.
• Remarque : L’utilisateur « invité » est une personne qui n’est pas un employé, un étudiant ou un membre de votre organisation. Cet utilisateur n’a pas créé de compte auprès du locataire du nuage de l’organisation.

• Confirmer que seuls les comptes d’utilisateurs invités nécessaires sont activés (conformément aux exigences opérationnelles du service).
• Fournir la liste des utilisateurs qui ne font pas partie de l’organisation et qui jouissent de privilèges élevés.
• Veiller à ce que des vérifications de l’accès des invités soient effectuées périodiquement.

• Documenter un processus de gestion des comptes, des privilèges d’accès et des justificatifs d’accès pour les utilisateurs organisationnels et les utilisateurs qui ne font pas partie de votre organisation (au besoin), en fonction des critères énumérés dans la Directive sur les services et le numérique, à l’annexe G : Norme sur les configurations courantes des services de la TI intégrée, et à la >section 3 des Exigences de configuration relatives à la gestion des comptes. Ce processus doit être approuvé par le dirigeant principal de la sécurité (ou son délégué) et par l’agent désigné pour la cybersécurité.

• Confirmer que la procédure de contrôle d’accès pour la gestion des comptes administratifs a été documentée pour le service d’informatique en nuage. La procédure de contrôle d’accès doit :
  • prévoir des dispositions pour les comptes d’invités ainsi que les comptes personnalisés;
  • faire renvoi à la procédure de gestion des comptes d’urgence.

• Appliquer le principe de l’« accès juste-à-temps » aux comptes d’utilisateurs privilégiés afin de fournir une activation de rôle fondée sur le temps et l’approbation et, ainsi, atténuer les risques d’autorisations d’accès excessives, inutiles ou mal utilisées.

• Confirmer la fourniture de l’accès juste à temps pour tous les comptes d’utilisateurs privilégiés afin d’offrir une activation de rôle fondée sur le temps et l’approbation.

• Appliquer le contrôle d’accès basé sur les attributs pour restreindre l’accès selon une combinaison de facteurs d’authentification, par exemple les appareils délivrés et gérés par le GC, la conformité des appareils, les risques liés à l’ouverture de séance et aux utilisateurs, ainsi que l’emplacement.

• Fournir la preuve que des mécanismes de contrôle d’accès basés sur les attributs sont en place pour restreindre l’accès en fonction d’attributs ou de signaux, par exemple des facteurs d’authentification, les appareils délivrés et gérés par le GC, la conformité des appareils, les risques liés à l’ouverture de séance et aux utilisateurs, ainsi que l’emplacement.

• Utiliser des outils comme les systèmes de gestion des accès privilégiés pour appliquer le contrôle d’accès aux fonctions privilégiées en configurant des rôles dont l’activation nécessite une approbation.
• Choisir un ou plusieurs utilisateurs ou groupes comme approbateurs délégués.

• Fournir la preuve que l’activation du rôle de tous les comptes d’utilisateurs privilégiés nécessite une approbation, et que l’élévation des privilèges est temporaire (limitée dans le temps).

• Mettre en œuvre des restrictions d’accès afin de veiller à ce que les appareils délivrés et gérés par le GC soient configurés et gérés conformément aux Exigences de configuration de la gestion des points d’extrémité.

• Confirmer que l’accès administratif aux environnements d’informatique en nuage provient d’emplacements approuvés et fiables ainsi que d’appareils délivrés et gérés par le GC qui respectent les Exigences de configuration de la gestion des points d’extrémité.
• Démontrer que des configurations et des politiques en matière d’accès sont mises en œuvre pour les appareils.

• Toutes les tâches administratives doivent être effectuées depuis des postes de travail administratifs dédiés.
• Remarque : un poste de travail administratif dédié est un poste de travail physique sécurisé (lourd ou léger) qui sert à effectuer certaines tâches administratives particulières et de nature délicate, ou des tâches qui exigent que l’on ait un accès privilégié. Cet appareil ne doit pas avoir accès à Internet, et les services comme le courrier électronique et la navigation sur le Web doivent y être désactivés et interdits.

• Confirmer si des postes de travail administratifs dédiés sont utilisés pour réaliser toutes les activités de nature administrative.

• Créer des comptes fondés sur les rôles pour permettre une surveillance et une compréhension organisationnelles des environnements d’informatique en nuage qui sont acquis par l’intermédiaire du courtier en services d’informatique en nuage du GC ou qui relèvent de la portée de la validation des mesures de protection centralisées.

• Veiller à ce que les rôles requis pour comprendre le GC dans son ensemble aient été dotés ou attribués.

• Examiner périodiquement les privilèges d’accès et supprimer les accès qui ne sont plus nécessaires.

• Confirmer la mise en place d’un avis d’alerte au personnel autorisé pour signaler les mauvaises utilisations, les tentatives de connexion suspectes ou les modifications apportées aux comptes privilégiés et non privilégiés.

• Selon le paragraphe 4.4.3.14 de la Directive sur les services et le numérique :

« Veiller à ce que les installations informatiques situées à l’intérieur des frontières géographiques du Canada ou dans des locaux à l’étranger appartenant à un ministère du gouvernement du Canada, telle qu’une mission diplomatique ou consulaire, soient considérées et évaluées en tant qu’option principale pour la prestation de services impliquant toute l’information et toutes les données électroniques délicates sous le contrôle du gouvernement qui est classée Protégé B, C ou Classifié. »

• Démontrer que l’emplacement du service est au Canada (pour tous les services d’informatique en nuage de niveau Protégé B), lorsqu’il est possible de le configurer, conformément aux profils applicables d’utilisation des services d’informatique en nuage.

• Mettre en œuvre un mécanisme de chiffrement pour protéger la confidentialité et l’intégrité des données lorsqu’elles sont inactives en stockage.

• Dans le cas des modèles IaaS et PaaS, confirmer que le chiffrement du service de stockage est activé pour les données inactives (si l’évaluation des risques pour la sécurité l’exige).
• Dans le cas du modèle SaaS, confirmer que le fournisseur de services d’informatique en nuage (FSIN) a mis en place un système de chiffrement pour protéger les données des clients.

• Utiliser des algorithmes et des protocoles de chiffrement approuvés par le Centre de la sécurité des télécommunications Canada (CST) conformément aux documents d’orientation ITSP.40.111 et ITSP.40.062.

• Les algorithmes et protocoles cryptographiques configurables par le consommateur sont conformes aux documents d’orientation ITSP.40.111 et ITSP.40.062.
• Dans le cas du modèle SaaS, confirmer que le FSIN a mis en œuvre des algorithmes conformes aux documents d’orientation ITSP 40.111 et ITSP.40.062.

• Demander conseil aux responsables de la protection de la vie privée et de l’accès aux renseignements des entités visées avant de stocker des renseignements personnels dans des environnements d’informatique en nuage.

• Confirmer que la protection de la vie privée fait partie intégrante du cycle de développement des logiciels du ministère.

• Utiliser un système de gestion des clés approprié pour la protection cryptographique utilisée dans les services en nuage, conformément aux Considérations relatives à l’utilisation de la cryptographie dans les services d’informatique en nuage commerciaux et au Guide sur le chiffrement des services infonuagiques (ITSP.50.106) du CCC.

• Confirmer qu’une stratégie de gestion des clés a été adoptée pour le locataire du nuage.

• Chiffrer par défaut les données en transit (en recourant, par exemple, au chiffrement Transport Layer Security [TLS] 1.2) afin de protéger la confidentialité et l’intégrité des données, y compris pour tous les sites accessibles au public et les communications externes, conformément aux Exigences de configuration de la gestion des sites Web et des services du GC et, dans la mesure du possible, pour les zones de communication internes.

• Confirmer que le chiffrement TLS 1.2 ou supérieur est mis en œuvre pour tous les services en nuage (par le Hypertext Transfer Protocol Secure [HTTPS], TLS ou un autre mécanisme).
• Remarque : Bien que ce paramètre de chiffrement soit souvent le paramètre par défaut, les plateformes et les services en nuage disposent souvent d’options de configuration permettant de sélectionner la version TLS autorisée.

• Utiliser des algorithmes et des protocoles cryptographiques approuvés par le CST, conformément aux normes ITSP.40.111 et ITSP.40.062.

• Exploiter les algorithmes et protocoles cryptographiques configurables par l’utilisateur conformément aux documents d’orientation ITSP.40.111 et ITSP.40.062.

• Exploiter les certificats d’entités autres que des personnes délivrés par des autorités de certification conformes aux Recommandations liées aux certificats de serveur TLS pour les services Web du GC axés sur le public.

• Confirmer que les certificats d’entités autres que des personnes sont délivrés par des autorités de certification qui respectent les recommandations du GC pour les certificats de serveurs TLS.

• Isoler et sécuriser les charges de travail dans le nuage en fonction de la sensibilité des données.

• Confirmer que le ministère vise une architecture de réseau assortie d’une conception ou d’un schéma de haut niveau définissant une segmentation appropriée entre les zones de sécurité du réseau, conformément aux documents d’orientation ITSP.50.104, ITSP.80.022 et ITSG-38
• Confirmer que le ministère a documenté un guide de déploiement de la plateforme d’informatique en nuage et des services s’y rattachant (le guide devrait rendre compte de la zone d’atterrissage, s’il y a lieu).
• Confirmer que les fonctions de segmentation du fournisseur de services en nuage sont exploitées pour assurer la segmentation de la gestion, de la production, des essais d’acceptation par les utilisateurs (EAU), du développement (DEV) et des essais (par exemple, l’utilisation d’un abonnement, d’instances ou d’une autre construction de fournisseur de services d’informatique en nuage).

• Élaborer une conception cible de la sécurité du réseau qui prend en compte la segmentation au moyen des zones de sécurité du réseau conformément aux documents d’orientation ITSP.50.104, ITSP.80.022 et ITSG-38.

• Tirer parti des zones d’atterrissage qui comprennent une prise en charge prédéfinie, sécurisée et multicompte pour permettre l’intégration automatisée de différentes charges de travail et équipes.

• Veiller à ce que les points de sortie et d’entrée des environnements d’informatique en nuage du GC soient gérés et surveillés.

• Confirmer la politique en matière de limitation du nombre de protocoles Internet (IP, pour Internet Protocols en anglais) publics.

• Mettre en œuvre des mécanismes de protection des limites du réseau pour toutes les interfaces externes qui appliquent une politique de déni systématique ou d’autorisation par exception.

• Confirmer la politique de protection des limites du réseau.

• Les services de sécurité du périmètre, dont la protection des limites du réseau, les services de prévention des intrusions, les services mandataires, l’inspection de l’achalandage TLS et autres, doivent être activés selon le profil de risque, conformément aux exigences de connectivité sécurisée du GC et à l’orientation du CST.

• Confirmer la politique de limitation aux adresses IP sources autorisées (par exemple, les adresses IP du GC).

• Veiller à ce que l’accès aux services de stockage dans le nuage soit protégé et limité aux zones ou réseaux de sécurité, utilisateurs et services autorisés.

• Confirmer que les comptes de stockage ne sont pas exposés au public.

• Utiliser des services centralisés de sécurité du réseau lorsqu’ils sont disponibles.

• Confirmer si le ministère a l’intention d’établir des connexions spécialisées et sécurisées vers des ressources sur place.

• Signer un protocole d’entente avec le CCC en envoyant un courriel à l’adresse CDOServiceDeployments@cyber.gc.ca.

Confirmer auprès du CCC que le protocole d’entente a été signé.

• Mettre en œuvre des services de défense, y compris des capteurs au niveau de l’hôte, des capteurs au niveau du nuage et des capteurs au niveau du réseau, conformément aux directives d’intégration du CCC, le cas échéant.

• Confirmer que les capteurs du CCC ou d’autres services de cyberdéfense sont mis en œuvre lorsqu’ils sont disponibles.

• Mettre en œuvre un niveau approprié de journalisation et d’établissement de rapports, y compris une fonction de journal de vérification de la sécurité dans tous les systèmes d’information.

• Confirmer que la politique de journalisation des événements est mise en œuvre.
• Confirmer la production des journaux d’événements suivants :
  • Ouvertures de séance (connexions interactives et non interactives, connexions à l’API).
  • Modifications des privilèges d’accès et des groupes (y compris l’appartenance à un groupe et l’attribution de privilèges à un groupe).
  • Changements dans la configuration de la plateforme en nuage.
  • Activités de fourniture de ressources en nuage.

• Configurer les événements au sein de la solution de manière à appuyer la surveillance de la sécurité, conformément au Guide sur la consignation d’événements.

• Confirmer que des activités de surveillance et de vérification sont mises en œuvre pour tous les comptes d’utilisateurs.

• Veiller à ce que les coordonnées appropriées soient configurées de manière à ce que le fournisseur de services d’informatique en nuage puisse informer l’organisation du gouvernement du Canada des incidents qu’ils détectent.

• Confirmer que le dossier des personnes-ressources pour la sécurité figurant dans le compte comporte les coordonnées d’au moins deux (si plusieurs sont autorisés par la plateforme en nuage) membres appropriés du personnel attachés à la sécurité de l’information.

• Configurer un fuseau horaire approprié pour les dossiers de vérification générés par les composants de votre solution.

• Vérifier que le fuseau horaire approprié a été défini.

• Veiller à ce que des ressources soient affectées à la surveillance des événements dans le nuage.

• Démontrer que les cas d’utilisation de la surveillance de la plateforme en nuage ont été mis en œuvre et intégrés aux activités générales de surveillance de la sécurité menées par le ministère (pour le démonter, on pourrait par exemple prouver que l’on surveille une liste de contrôle ou un rapport généré par le système).

• Seuls les produits d’informatique en nuage offerts sur le marché approuvés par le GC peuvent être consommés. Le recours aux marchés commerciaux est interdit.

• Confirmer que les restrictions relatives aux marchés tiers ont été mises en œuvre.

• Soumettre des demandes d’ajout de produits tiers sur le marché au courtier en services d’informatique en nuage de SPC.

Sans objet

• Veiller à ce que les logiciels offerts par le fournisseur de services d’informatique en nuage ou sur le marché des fournisseurs de services d’informatique en nuage fassent l’objet d’un processus d’assurance logicielle afin que seuls des produits approuvés soient utilisés.

Sans objet

• Documenter, mettre en œuvre et mettre à l’essai une procédure de gestion des comptes d’urgence.

• Vérifier si une procédure de gestion des comptes d’urgence a été élaborée.
• Vérifier si un système d’alerte a été mis en place pour signaler toute utilisation des comptes d’urgence.
• Vérifier que les comptes d’urgence ont été mis à l’essai, et que la procédure de gestion des comptes d’urgence prévoit des essais périodiques.

• Obtenir les signatures du dirigeant principal de l’information (DPI) du ministère en collaboration avec l’agent désigné pour la cybersécurité (ADC) en guise de confirmation qu’ils ont pris connaissance des procédures de gestion des comptes d’urgence et les ont approuvées.

• Confirmer au moyen d’une attestation que le DPI du ministère, en collaboration avec l’ADC, a approuvé la procédure de gestion des comptes d’urgence pour le service d’informatique en nuage.

• Élaborer une stratégie de sauvegarde dans le nuage qui tient compte du lieu de stockage, de reproduction ou de sauvegarde des données du GC par le service d’informatique en nuage, conformément au plan de continuité de la TI pour le service ou l’application.

• Confirmer au moyen d’une attestation que la stratégie de sauvegarde dans le nuage est élaborée et approuvée par le responsable opérationnel.
• Vérifier s’il existe des scripts qui permettent le rétablissement à partir du code (par exemple, une solution d’« infrastructure en tant que code »).

• Veiller à ce que les charges de travail en matière d’informatique en nuage soient associées à l’identifiant d’application pertinent de l’outil de gestion du portefeuille d’applications (GPA) du Secrétariat du Conseil du Trésor du Canada, à l’appui de l’annexe H : Norme sur la technologie de l’information à risque.

• Fournir une liste de tous les logiciels (y compris de leurs numéros de version) qui sont déployés sur les machines virtuelles associées aux identifiants d’application de l’outil de GPA.

• Veiller à ce que les plans de gestion des événements de cybersécurité du ministère prévoient les services en nuage, conformément au Plan de gestion des événements de cybersécurité du gouvernement du Canada.

• Veuillez confirmer que le Plan de gestion des événements de cybersécurité comprenne les coordonnées servant à joindre le fournisseur de services d’informatique en nuage en cas d’événement ou d’incident de sécurité.