Vérification de la sécurité des technologies de l’information - Sommaire du rapport

Affaires mondiales Canada
Bureau du dirigeant principal de la vérification

14 décembre 2016

Table des matières

Contexte
Objectif de la vérification
Portée de la vérification
Points forts observés
Constatations
Conclusion
Énoncé de conformité
Acronymes et sigles

Contexte

Les plus récents profil de risque ministériel et plan de sécurité ministériel d’Affaires mondiales Canada (le Ministère ou AMC) comprennent les risques liés à la sécurité des technologies de l’information (TI). Dans ces rapports, les cybermenaces et l’exfiltration d’information sont jugées comme des risques importants pour le Ministère. Affaires mondiales Canada exerce ses activités au Canada de même que dans 174 pays par l’intermédiaire de son réseau à l’étranger et, en raison de sa présence et de son mandat à l’échelle internationale, le Ministère est une cible probable d’internautes malveillants potentiels.

En se fondant sur ces renseignements, l’équipe de vérification a effectué une analyse préliminaire et une évaluation des risques, et a déterminé qu’une vérification de l’accès privilégié constituerait un domaine d’examen pertinent et approprié en ce qui a trait aux risques liés à la sécurité des TI cernés par le Ministère. La gestion efficace de l’accès privilégié aux systèmes des TI représente un élément clé de la défense contre les risques liés au vol et à l’exfiltration de renseignements par ces agents et représente un élément essentiel des bonnes pratiques de sécurité des TI.

Pour contrer ces risques, le Ministère s’appuie sur des politiques qui s’appliquent à l’ensemble du gouvernement du Canada et à des ministères précis et sur l’adoption, par ses employés, des meilleures pratiques de l’industrie. La sécurité des TI au sein d’Affaires mondiales Canada est régie par les politiques du gouvernement fédéral, comme la Politique sur la sécurité du gouvernement, la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) et la Gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33). Ces politiques et normes comprennent les définitions des exigences de base pour protéger les employés et les biens, des directives pour assurer la continuité des services, et les exigences de base pour les programmes ministériels de sécurité des TI afin que les ministères fédéraux puissent garantir la sécurité de l’information et des biens des TI sous leur responsabilité. Enfin, ces politiques, normes et lignes directrices fournissent une liste d’activités recommandées en matière de sécurité des TI au niveau des programmes et pour les projets des TI.

En 2015, le Conseil du Trésor a publié un Avis de mise en œuvre de la Politique sur la technologie de l’information (AMPTI 2015-01), selon lequel les ministères doivent rendre compte des progrès réalisés relativement à la gestion de l’accès privilégié. Plus précisément :

Les ministères doivent restreindre l’accès au niveau minimal requis pour permettre aux personnes d’exercer leurs fonctions (c.-à-d. le principe de droit d’accès minimal) et s’assurer que les privilèges d’accès sont mis à jour régulièrement en fonction des responsabilités actuelles de la personne;
Les ministères doivent retirer le privilège d’accès à toute personne (y compris les étudiants, entrepreneurs et autres personnes possédant un droit d’accès à court terme) qui quitte l’organisation, et revoir les privilèges d’accès lorsque des personnes sont mutées à un poste qui ne requiert pas le même niveau d’accès.

L’article 12.6 de la GSTI impose par ailleurs les exigences suivantes :

Les ministères doivent, dans la mesure du possible, répartir les responsabilités en matière de TI. Les personnes autorisées à effectuer des opérations de nature délicate ne doivent pas être autorisées à en faire la vérification.

Objectif de la vérification

L’objectif de la vérification consistait à fournir une assurance raisonnable qu’Affaires mondiales Canada dispose de contrôles adéquats pour la gestion de l’accès privilégié aux systèmes des TI du Ministère, ainsi que ces contrôles sont fonctionnels.

Portée de la vérification

Dans le cadre de la vérification, nous avons examiné la façon dont le Ministère gère l’accès privilégié pour la période du 1^er avril 2015 au 30 juin 2016.

Les progrès réalisés par suite des recommandations sur la gestion du privilège d’accès découlant de la vérification de la sécurité des TI de 2012 de l’ancien ministère des Affaires étrangères et du Commerce international (MAECI) ont également été inclus dans la portée de la vérification.

La vérification a porté sur l’accès privilégié accordé aux utilisateurs à l’Administration centrale et dans les missions, notamment les processus qui soutiennent :

l’octroi, la modification, la suspension, la restauration et la révocation de comptes qui donnent accès aux privilèges administratifs des réseaux SIGNET;
l’octroi, la modification, la suspension, la restauration et la révocation de comptes qui donnent accès aux privilèges administratifs des applications des TI;
le suivi des activités de réseau découlant de l’utilisation de comptes assortis de privilèges administratifs.

Points forts observés

Les forces suivantes ont été cernées durant la vérification :

La vérification a révélé que le Ministère dispose d’une structure de gouvernance du programme de sécurité des GI-TI. Il existe des comités de surveillance et leurs membres tiennent régulièrement des réunions.
Les processus en place pour rendre des comptes aux utilisateurs du système sont généralement bien contrôlés.
Le principe du privilège minimal et celui de la séparation des tâches ont été examinés au cours de la conception et de la constitution de groupes de rôle.
Des contrôles ont été mis en place pour supprimer, chaque année, l’accès à des comptes privilégiés.

Constatations

En se fondant sur un ensemble d’éléments de preuve recueillis grâce à l’examen de documents et procédés, aux analyses et aux entrevues, l’équipe de vérification a évalué chaque critère de vérification. Lorsqu’un écart important a été observé entre un critère de vérification et les pratiques courantes, le risque associé à cet écart a été évalué afin d’élaborer une conclusion et de formuler des recommandations destinées à produire des améliorations.

Les observations ont été formulées dans les domaines suivants au cours de la vérification :

Rôles et responsabilités
Gestion des comptes assortis de privilèges
Surveillance

Conclusion

L’équipe de vérification conclut que, malgré la mise en œuvre de certains contrôles, il y aurait lieu de les améliorer pour détecter et décrire intégralement l’utilisation de l’accès privilégié au Ministère.

Plus précisément, la vérification a permis de constater qu’il existe une structure de gouvernance pour la sécurité des TI, que des cadres de gestion de l’accès privilégié documentés sont en place et que les processus d’octroi de l’accès comprennent les approbations appropriées. Toutefois, on doit améliorer la gestion des comptes assortis de privilèges.

Énoncé de conformité

Selon mon jugement professionnel en tant que dirigeant principal de la vérification, la présente vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne de l’Institut des vérificateurs internes et aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédés de vérification appliqués et les éléments de preuve recueillis sont suffisants et appropriés pour appuyer l’exactitude des constatations et la conclusion formulée dans le présent rapport, et pour fournir une assurance de niveau vérification. Les constatations et la conclusion reposent sur une comparaison entre les conditions qui existaient au moment de la vérification et les critères de vérification préétablis convenus avec la direction. Elles s’appliquent uniquement à l’entité examinée ainsi qu’à la portée et à la période visées par la vérification.

Critères	Sous-critères
1. Le Ministère a établi une structure de gouvernance pour la sécurité des TI, y compris l’accès aux systèmes.	1.1 Le Ministère est doté d’une structure de gestion de la sécurité des TI qui cadre avec celle des comités ministériels de gouvernance et de surveillance. 1.2 L’organisation élabore, consigne et diffuse des renseignements destinés à des utilisateurs et à la direction : des politiques de contrôle de l’accès et les contrôles connexes qui traitent de l’objet, de la portée, des rôles, des responsabilités, de l’engagement de la direction, de la coordination entre les entités organisationnelles et de la conformité; des procédures pour faciliter la mise en œuvre de la politique de contrôle de l’accès et des contrôles de l’accès connexes.
2. Le Ministère dispose d’un cadre efficace pour l’administration de l’accès privilégié aux systèmes des TI du Ministère, y compris la définition de rôles d’accès conformes aux besoins opérationnels, l’examen périodique des attributions d’accès privilégiés et le suivi des activités des utilisateurs ayant un accès privilégié.	2.1 Le Ministère a défini l’accès privilégié conformément aux besoins opérationnels et a établi des conditions pour l’attribution des rôles, des groupes et des autorisations d’accès aux utilisateurs en lien avec leur fonction opérationnelle. 2.2 Le Ministère examine périodiquement le respect des exigences par les utilisateurs des comptes assortis d’un accès privilégié. 2.3 Le Ministère dispose de processus qui lui permettent de faire le suivi des activités du système réalisées par les utilisateurs ayant un accès privilégié en vue d’examiner et de détecter les accès inappropriés.
3. Le Ministère dispose de procédures de contrôle pour l’octroi et la révocation d’accès privilégiés aux utilisateurs des systèmes des TI du Ministère.	3.1 L’accès privilégié aux systèmes des TI du Ministère est conforme aux exigences et aux principes documentés. 3.2 Les demandes de nouveaux accès privilégiés aux systèmes des TI du Ministère et les demandes de modification aux accès privilégiés suivent un processus officiel, sont effectuées par l’équipe de gestion des utilisateurs, sont approuvées par les responsables de systèmes et sont adaptées aux besoins opérationnels. 3.3 L’accès privilégié aux systèmes des TI est révoqué pour les personnes qui quittent le Ministère.
4. Donner suite aux recommandations de la vérification de la sécurité des TI de 2012 suggérant de faire des suivis sur les contrôles d’accès techniques.	4.1 Le Ministère a mis en place des domaines de traitement du réseau distincts (zones) pour permettre une attribution plus fine des privilèges des utilisateurs. 4.2 Le Ministère a mis en place des contrôles techniques pour contrôler l’accès aux systèmes des TI du Ministère par des ordinateurs et des appareils mobiles qui n’ont pas été homologués.

Acronymes et sigles

AMC: Affaires mondiales Canada
GI: Gestion de l’information
GSTI: Gestion de la sécurité des technologies de l’information
MIS: Manuel des instructions de sécurité
SIGNET: Réseau mondial intégré de communications protégées
TI: Technologies de l’information

Signaler un problème ou une erreur sur cette page

Date de modification:: 2017-01-25

Sélection de la langue

Recherche et menus

Recherche