[PDF] Guide de gestion des accès logiques

View - Download Guide de gestion des accès logiques

Previous PDF

Next PDF

PR-077

Guide de gestion des accès logiques

Guide de gestion des accès logiques

Version

Cette publication a été réalisée par

le Sous- et produite en collaboration avec la Direction des communications. du Conseil du trésor et de son Secrétariat en vous adressant à la Direction des communications ou en consultant son site Web.

Direction des communications

Secrétariat du Conseil du trésor

5 e étage, secteur 500

875, Grande Allée Est

Québec (Québec) G1R 5R8

Téléphone : 418 643-1529

Sans frais : 1 866 552-5158

communication@sct.gouv.qc.ca www.tresor.gouv.qc.ca

Dépôt légal Novembre 2016

Bibliothèque et Archives nationales du Québec

ISBN 978-2-550-71120-9

Tous droits réservés pour tous les pays.

© Gouvernement du Québec

V Table des matières

TABLE DES FIGURES __________________________________________ VIIIACRONYMES ________________________________________________ IXREMERCIEMENTS ______________________________________________ XÉQUIPE DE RÉALISATION _______________________________________________ X

GROUPE DE TRAVAIL INTERMINISTÉRIEL ____________________________________ X

NOTES À LINTENTION DU LECTEUR ________________________________ XI1.INTRODUCTION _____________________________________________ 11.1 MISE EN CONTEXTE ______________________________________________ 21.2 PUBLIC CIBLE ___________________________________________________ 21.3 RISQUES ASSOCIÉS À LA GESTION DES ACCÈS ___________________________ 22.CONCEPTS ET DÉFINITIONS ____________________________________ 32.1 CONTRÔLE DACCÈS ______________________________________________ 32.2 DROIT DACCÈS LOGIQUE __________________________________________ 42.3 RÈGLE DE CONTRÔLE DACCÈS ______________________________________ 42.4 RÔLE ________________________________________________________ 52.5 PRINCIPE DU PRIVILÈGE MINIMAL _____________________________________ 52.6 PROFIL DACCÈS GÉNÉRAL _________________________________________ 52.7 PROFIL DACCÈS APPLICATIF ________________________________________ 62.8 MATRICE DE PROFILS DACCÈS GÉNÉRAL _______________________________ 62.9 MATRICE DE PROFILS DACCÈS APPLICATIF ______________________________ 62.10 RÉFÉRENTIEL DES PROFILS DACCÈS À LINFORMATION _____________________ 62.11 PRINCIPE DE SÉPARATION DES TÂCHES ________________________________ 62.12 HABILITATION __________________________________________________ 72.13 RÉFÉRENTIEL DES HABILITATIONS ____________________________________ 72.14 COMPTES À PRIVILÈGES SPÉCIAUX ___________________________________ 73.PARTAGE DES RESPONSABILITÉS ________________________________ 83.1 DÉTENTEUR DE LINFORMATION ______________________________________ 8

VI 3.2 PILOTE DAPPLICATION ____________________________________________ 9

3.3 DÉTENTEUR DU RÉFÉRENTIEL DES PROFILS DACCÈS À LINFORMATION __________ 9

3.4 RESPONSABLE ORGANISATIONNEL DE LA SÉCURITÉ DE LINFORMATION (ROSI) ____ 9

3.5 CONSEILLER ORGANISATIONNEL DE LA SÉCURITÉ DE LINFORMATION (COSI) ____ 10

3.6 COORDONNATEUR ORGANISATIONNEL DE GESTION DES INCIDENTS (COGI) _____ 10

3.7 SOUS-MINISTRE OU DIRIGEANT DORGANISME ___________________________ 10

3.8 GESTIONNAIRE DUNITÉ ADMINISTRATIVE ______________________________ 11

3.9 DÉTENTEUR DU RÉFÉRENTIEL DES HABILITATIONS ________________________ 12

3.10 RESPONSABLE DE LA GESTION DES TECHNOLOGIES DE LINFORMATION _________ 12

3.11 ADMINISTRATEUR DES ACCÈS ______________________________________ 12

3.12 VÉRIFICATEUR INTERNE __________________________________________ 13

3.13 UTILISATEURS _________________________________________________ 13

4. PROCESSUS DE GESTION DES ACCÈS ____________________________ 14

4.1 ÉTAPE 1 : ÉLABORATION ET MAINTIEN DES DOCUMENTS DENCADREMENT _______ 15

4.2 ÉTAPE 2 : ÉLABORATION ET MAINTIEN DU (DES) RÉFÉRENTIEL(S) DES HABILITATIONS

ET DU (DES) RÉFÉRENTIEL(S) DES PROFILS DACCÈS ______________________ 17

4.3 ÉTAPE 3 : GESTION DES IDENTIFIANTS ET DES AUTORISATIONS DACCÈS ________ 23

4.4 ÉTAPE 4 : RÉVISION DES ACCÈS ____________________________________ 25

5. DOCUMENTS DENCADREMENT DE LA GESTION DES ACCÈS _____________ 28

5.1 DIRECTIVE DE GESTION DES ACCÈS LOGIQUES __________________________ 28

5.2 PROCÉDURES _________________________________________________ 29

6. PRATIQUES ASSOCIÉES À LA GESTION DES ACCÈS ___________________ 31

6.1 GESTION DACCÈS UTILISATEUR ____________________________________ 31

6.2 GESTION DES COMPTES À PRIVILÈGES SPÉCIAUX ________________________ 33

6.3 CONTRÔLE DACCÈS AU RÉSEAU ____________________________________ 34

6.4 CONTRÔLE DACCÈS AUX SYSTÈMES DEXPLOITATION _____________________ 34

6.5 CONTRÔLE DACCÈS AUX APPLICATIONS ET À LINFORMATION ________________ 35

6.6 ACCÈS DES DISPOSITIFS MOBILES ___________________________________ 36

6.7 TÉLÉTRAVAIL __________________________________________________ 37

RÉFÉRENCES _______________________________________________ 38 ANNEXE I ACRONYMES ET DÉFINITIONS ________________________ 40 VII ANNEXE II EXEMPLE DE MATRICE DE PROFILS DACCÈS GÉNÉRAL ______ 44 ANNEXE III EXEMPLE DE MATRICE DE PROFILS DACCÈS APPLICATIF _____ 45 ANNEXE IV EXEMPLE DE RÉFÉRENTIEL DES HABILITATIONS ___________ 46 ANNEXE V EXEMPLE DE REGISTRE DES ACCÈS ACCORDÉS ___________ 47 ANNEXE VI EXEMPLE DE DIRECTIVE DE GESTION DES ACCÈS LOGIQUES __ 48

VIII Table des figures

Figure 1: Étapes du processus de gestion des accès _____________________________ 14 Figure 2: Étape 1 du processus de gestion des accès ____________________________ 15 Figure 3: Étape 2 du processus de gestion des accès ____________________________ 17 ______________ 19 Figure 5: Mise en place du référentiel des habilitations ____________________________ 21 Figure 6: Étape 3 du processus de gestion des accès ____________________________ 23 Figure 7: Étape 4 du processus de gestion des accès ____________________________ 25 Figure 8: Vue synthèse du processus de gestion des accès ________________________ 27

IX Acronymes

COSI : conseiller

COGI : coordonnateur organisationnel de gestion des incidents DIC : disponibilité, intégrité, confidentialité ROSI

X Remerciements

L interministériel de leur participation et du travail accompli.

Équipe de réalisation RozaLami,chargée

Secrétariat du Conseil du trésor MohamedDarabid, Secrétariat du Conseil du trésor Groupe de travail interministériel

Chantal Périé

Ministère des Relations internationales

et de la Francophonie

Christian Marcotte

Québec Daniel

Tribunal administratif du travail Jacques

Makram-Mourad Laribi

Ministère de la Santé

et des Services sociaux Mohamed-CherifBen

Régie du bâtiment du Québec Samuel

Ministère de la Sécurité publique Souleymane

Secrétariat du Conseil du trésor Yassine

Ministère des Finances

XI r Note 1 : Le terme " organisme public » ou " organisme » désigne un ministère ou un

informationnelles des organismes publics et des entreprises du gouvernement].

Note 2 : Bien que les éléments du présent guide soient applicables à la plupart des organismes

publics, il convient pour chaque organisme public de les adapter à son contexte et aux risques qui lui sont propres.

Note 3 : Pour ne pas alourdir le texte, le terme " gestion des accès » est employé pour

Note 4 : Le guide ne couvre pas la gestion des accès physiques ainsi que la gestion des

identités et des accès des utilisateurs externes aux prestations de services des organismes publics.

Note 5 : Le contenu du guide peut être considéré comme une boîte à outils en matière de

gestion des accès. Celle-employés séparément, à la convenance de chaque organisme public.

Guide de gestion des accès logiques

1 1.Introduction

vère incontournable et la production de données volumineuses et parfois sensibles. Cette situation fait constamment apparaître de nouvelles menaces et de nouvelles situations de vulnérabilité par la mise en place de mesures de sécurité, dont la gesti

À noter que la gestion des accès est un processus complexe qui intègre différentes règles,

procédures et technologies. De ce fait, elle nécessite la contribution de administratives sme. Fondamentalement, la gestion des accès est basée sur les

principes de privilège minimal et de séparation des tâches et elle répond à quatre questions :

1.Qui a accès à quelle information? 2.

3.-il adapté aux tâches à accomplir?

4.ccès et les opérations en découlant sont-ils correctement surveillés, consignés et

enregistrés?

Le présent guide permet de répondre à ces préoccupations et sert de référence pour la mise en

s pratiques de nformation. Il est basé sur le modèle

RBAC (Role Based Access Control) et inclut, notamment, les rôles et responsabilités des

intervenants, le processus de gestion des accès, les la gestion des accès et un exemple de directive sur la gestion des accès logiques.

Ce guide ne couvre pas la gestion des accès physiques ainsi que la gestion de l'identité et des

accès des utilisateurs externes aux prestations de services des organismes publics.

Guide de gestion des accès logiques

2 1.1 Mise en contexte

-ci est appuyée par :

9la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes

publics et des entreprises du gouvernement (chapitre G-1.03);

9la Politique-cadre sur la gouvernance et la gestion des ressources informationnelles des

organismes publics;9les documents structurants1 définissant le cadre de gouvernance de la sécurité de

.1.2 Public cible

Ce gui personnes suivantes :

9d 9p 9g

9utilisateurs des ressources informationnelles;9p2, COSI3, COGI4);

9spécialistes dans divers domaines accès logiques, technologies

1.3

Risques associés à la gestion des accès

À défaut ser à plusieurs risques de 9 Un accès non autorisé peut mettre intégrité ou la confidentialité

Il pourra

ainsi causer des dommages importants, voire irréversibles, à 91.
de ges -2.rmation3. 4. : coordonnateur organisationnel de gestion des incidents

Guide de gestion des accès logiques

3 L'altération ou la destruction de données peut engendrer des résultats inexacts ou

incomplets, voire un ralentissement ou une interruption des services offerts. À titre : une altération avec intention de fraude. 9

La divul

de diverses natures citoyens à la protection des renseignements personnels qui les concernent et à leur vie

État, pertes financières, etc.

9 permet à une personne non autorisée de prendre le ions critiques pour Elle pourra ainsi causer des dommages importants, voire irréversibles,

2.Concepts et définitions

2.1 essentielle de la gestion des accès. Il consiste à vérifier si un sujet (personne ou d à un objet (fichier, base de données ou dispositif) possède, à cet égard, les autorisations nécessaires [20].

9de gérer et contrôler les accès logiques aux ressources informationnelles par des

personnes ou des dispositifs;

9de détecter les accès non autorisés;

9d 'accès des personnes ou des dispositifs; 9d :

ƒles attaques de déni de service;

ƒles destructions ou les effacements non autorisés; ƒla propagation d'un code malicieux entre systèmes informatiques;

ƒldes applications.

9d : ƒl ƒles altérations par des utilisateurs non autorisés; ƒl

Guide de gestion des accès logiques

4 ƒla dénégation des modifications.

9d :

ƒles accès non autorisés;

ƒles divulgations involontaires;

ƒles diffusions non autorisées.9d5 2.2

-à-dire lire, écrire, modifier, supprimer, imprimer, créer, copier, transmettre et approuver. [20] 2.3 emploient [20] Le sujet " S1 » a le droit de lire, écrire, modifier " Ob2 » de 8 h 30 à 13 h, le lundi et le mercredi. Certaines anomalies, comme celles indiquées ci-dessous, peuvent apparaître dans un 9 es règles deux décisions opposées concernant un accès donné : une permission et une interdiction. 9 une permission ou une interdiction à propos Il peut être rendu complet en appliquant 6 fermée7. 9

F1 » à une

le droit de lire un fichier " F2 », sachant que l'information contenue

dans " F1 » peut provenir en partie de " F2 ». Contrairement au cas où la fuite trés et que ces

renseignements sont normalement conservés et exploitables. politique qui7.politique quiconsidè

Guide de gestion des accès logiques

5 s un problème touchant la consistance des règles de contrôle. 9 dans plusieurs règles. 2.4

Rôle

Un rôle définit les autorisations bjets (applications ou

à une seule tâche

dans une application. [5] Exemples :

9le rôle " Serveradmin » regroupe les permissions nécessaires pour configurer les

paramètres au niveau serveur dans SQL Server;

9le rôle " Db_accessadmin » regroupe les permissions nécessaires pour ajouter et

supprimer des utilisateurs de bases de données;

9le rôle " Ajouter dossier étudiant » regroupe les autorisations nécessaires pour ajouter

un nouveau dossier étudiant à la base de données. 2.5

Principe du privilège minimal

Le principe du privilège minimal

nécessaire pour accomplir ses tâches. Cela implique que les autorisations accordées à un rôle

con la plus appropriée. 2.6 s nécessaires pour un utilisateur ou un groupurces, autres que les systèmes de mission. Il concerne les accès

aux messageries, plateformes de collaboration, boîtes aux lettres partagées, listes de

distribution, répertoires de données, intranet, extranet, etc. [5], général des utilisateurs " Groupe_Usagers1 » pourrait être :

9les répertoires (K/securite, L/App, R/Log, U/Usager),

9Internet, extranet, intranet,

9plateforme de collaboration (CODD),

9liste de distribution (LD1), messagerie.

Guide de gestion des accès logiques

6 2.7 Profil applicatif

fonction sur un système de mission ou une application (exemples de profil enquêteur, analyste, DBA). Un utilisateur peut avoir un ou plusieurs profils. [5]. À exemple, " Enquêteur AAA » regroupe les rôles (modifier dossier enquête, consulter dossier enquête) de cette application. 2.8

Matrice

ssociée à une entité administrative et s . Un s général est présenté à " Exemple de l ». 2.9 applicatif

Une m s

est une grille associée à un système de mission (application) s applicatifs supportés par ce système ainsi que les exigences de sécurité correspondantes. Un exemple de m est présenté à annexe III " Exemple de mat ».

2.10 Référentiel des

Répertoire dans lequel sont consignées les matriapplicatifs de chaque système de mission l de chaque entité administrative.

2.11 Principe de séparation des tâches

Principe de sécurité selon lequel les responsabilités liées à une activité de nature sensible sont

n'exe infraction par une seule personne. Exemple : une personne ne doit pas avoir la possibilité de commander une fourniture ou une prestation et celle de valider sa réception.

Guide de gestion des accès logiques

7 2.12 Habilitation bilitation8 est à une entité par une autorité de

sme, généralement la hiérarchie immédiate. Lest associée à une fonction organisationnelle et elle est constituée de l

des profils nécessaires à

considérée. Ainsi, toutes les personnes qui exercent la même fonction organisationnelle

bénéficient, théoriquement, [5]

De plus, selon la sensibilité des données traitées par les profils composant une

habilitation, des critèes exigences de sécurité pourraient être imposés aux personnes appelées à occuper la fonction correspondante. bilitation de la fonction " Comptable » est composée : du profil applicatif " agent de saisie A1 », du profil applicatif " analyste » de A2 », du profil applicatif " vérificateur " A3 » et du profil utilisateurs_G1 » A2 » sont des

3 » et un niveau de confidentialité " 4 » alors

bilitation de la fonction " Comptable » est assortie

sécurité) " vérification des antécédents judiciaires » et " enquête de crédit ».

2.13 Référentiel des habilitations

Le référentiel est le répertoire dans lequel sont consignés, pour chaque fonction

organisationnelle, al nécessaires pour accomplir les tâches associées à la fonction

Un exemple de référentiel des habilitations est présenté à " Exemple de référentiel des habilitations ».

Il peut avoir un ou plusieurs référentiels des habilitations associés à chacun de ses .

2.14 Comptes à privilèges spéciaux Les comptes à privilèges spéciaux

intégrés9 et les comptes utilisés pour exécuter des programmes de services10. Ce sont des

contrôler périodiquement. 8. est appelée également dans certains organismes " profil métier ». Il est important de ne pas la confondre

9.comptes utilisés par un système pour se connecter à un autre système.10. programmes faisant généralement partie de la bibliothèque de programmes et destinés à

conversion de supports de fichiers, le tri, la fusion, le diagnostic [OQLF, 2002].

Guide de gestion des accès logiques

8 3.Partage des responsabilités

Cette section décrit succinctement les responsabilités attribuées en matière de gestion des

accès. les adapter en fonction de son propre contexte organisationnel. 3.1

Détenteur

Le détenteur11 assure de la protection de information et des processus relevant de sa responsabilité des risques de sécurité encourus. À ce titre, il : 9participe de gestion des accès ;

9établit les règles dr application;

9c relevant de sa responsabilité en vue d la

sensibilité intégrité et de confidentialité; 9v;

9aaccès aux seuls utilisateurs disposant des habilitations nécessaires;

9s de la mise en place des mécanismes de sécurité indispensables au contrôle des accès; 9s x contextes juridique et organisationnel;

9approuve les matrices de applicatifs définies pour les systèmes sous sa

responsabilité; 9s gences de sécurité associées aux profils applicatif par rapport ;

9révise périodiquement les ès accordées aux utilisateurs de ses

applications; 9s toute modification applicatifs; 9s clauses garantissant le respect mation, dont celles sur la gestion des accès.11. rôle est, notamment, de s'assurer de la sécurité de l'information et

des ressources qui la sous-tendent, relevant de la responsabilité de son unité administrative. Le terme " détenteur de

Guide de gestion des accès logiques

9 3.2 L :

9définit et met à jour les applicatifs supportés par les applications relevant

de sa responsabilité;

9définit et met à jour les exigences de sécurité nécessaires à chaque profil

applicatif en tenant compte du degré de sensibilité des données manipulées;

9s applicatifs définies

ou mises à jour; 9s oumet périodiquement au détenteur un état des accordées aux applications sous sa responsabilité. 3.3

Le détenteur du référen est chargé :

9d approuvées par les détenteurs de

direction des technologies rmation; 9d structure organisationnelle; 9d

9dauprès des détenteurs et du responsable

que les consignés au référentiel sont conformes à toute modification de la structure organisationnelle ou modification de la description des tâches associées aux processus 9d 3.4 R (ROSI)

Le ROSI :

9élabore et met à jour la directive de gestion des accès et la soumet pour validation au

comité chargé de la sécurité de l 9s oumet -ministre ou du la directive de gestion des accès et assure le suivi de sa ; il lui soumet également toute dérogation application de la directive;

9définit le processus de gestion des accès;

Guide de gestion des accès logiques

10

9sécessaires à la mise

en place du processus formel de gestion des accès; 9s du processus de gestion des accès. 3.5 ion (COSI)

Le COSI :

9s 9s outient le ROSI dans la définition du processus de gestion des accès;

9élabore et met à jour la documentation des procédures nécessaires à la mise en place

du processus formel de gestion des accès; 9m;

9organise des séances de sensibilisation des utilisateurs des dispositifs mobiles aux

risques de sécurité encourus par l'information à laquelle ils ont accès au moyen de ces dispositifs; 9s accès est effectué périodiquement. 3.6 Coordonnateur organisationnel de gestion des incidents (COGI) Le COGI collabore étroitement avec le ROSI et le COSI et leur fournit le soutien technique 9c , la mise en et la révision de la directive de gestion des accès;

9détermine les menaces et les situations de vulnérabilité liées à la gestion des accès et, si

requis, propose des mesures de renforcement des contrôles accès;

9formule des avis de pertinence sur les mécanismes de gestion des accès mis en place.

3.7 Sous-

Le sous-ministre ou le :

9approuve la directive de gestion des accès et en assure la diffusion;

9approuve toute dérogation aux dispositions de la directive de gestion des accès;

9s définissent et mettent à jour les habilitations associés aux fonctions organisationnelles relevant de leur autorité; 9s nés et assument pleinement leur responsabilité en matière de gestion des accès;

Guide de gestion des accès logiques

11

9s les détenteurs de processus documentent clairement les

processus relevant de leur autorité, et particulièrement les règles de séparation des

tâches; 9s e les gestionnaires révisent périodiquement les autorisation

octroyées à leurs employés et veillent à leur conformité aux habilitations associées.

3.8 G

Le gestionnaire :

9c rective de gestion des accès;

9définit les habilitations des fonctions organisationnelles

relevant de son autorité et en assure la mise à jour;

9définit, les profils

dl son autorité; 9s les processus relevant de son autorité sont bien documentés et que les règles de séparation des tâches associées sont clairement définies et appliquées; 9s la conformité des qualifications de son personnel aux critères associés aux fonctions occupées; 9s la compréhension de la directive de gestion des accès par ses employés;

9remplit les

formulaires nécessaires à la gestion des identifiants et des autorisations lors entrée en fonction , de son affectation, de son départ ou de son absence prolongée;

9révise périodiquement les aut à ses employés et veille à leur

conformité aux habilitations associées aux fonctions occupées;

9gère attribuées de leur retrait lorsqu'elles ne sont plus

requises; 9s sont conformes aux descriptions de tâches et aux 9s ignale au détenteur du référentiel des habilitations de son unité administrative toute modification des habilitations ou des associés aux fonctionsquotesdbs_dbs6.pdfusesText_11

[PDF] Etats dépressifs et conduite suicidaire

[PDF] E-REMISE : MANUEL D UTILISATION

[PDF] PLAN DU SIT. Bâtiment IUT. Bâtiment Pôle Montagne Conférences Lettres et Langues. Bâtiment Belledonne Amphi le Revard. Conférences

[PDF] B2i et GiBii dans l'académie de Bordeaux. B2i et GiBii 2007-2008 jm - CATICE

[PDF] Démographie des personnels infirmiers en santé au travail

[PDF] Cahier de plans. «Carré Alésia» Paris XIVème (75)

[PDF] ENQUETE. Droit Individuel à la Formation : Quelle Réalité pour les Salariés?

[PDF] Convention de Stage de Pratique Accompagnée (SPA) pour les étudiants inscrits en master 2 MEEF non admis à un concours d enseignement (second degré)

[PDF] e-demos : Guide d'utilisation

[PDF] Règlement Horizon 2020

[PDF] Participez à la démarche en rédigeant ce cahier d acteurs. Comment nous retourner votre cahier d acteur?

[PDF] Clubs coup de pouce C.L.E. au service de la réussite éducative des enfants

[PDF] la fibre : l équipement qui valorise le bien immobilier neuf

[PDF] - 02 - LES STOCKS : INVENTAIRE ET VARIATIONS. Traitements comptables relatifs aux différents stocks (après inventaire physique).

[PDF] JORF n 0028 du 3 février 2011. Texte n 35