Renforcement de la cybersécurité au gouvernement du Canada : Avis de mise en œuvre de la Politique sur la sécurité
Sur cette page
1. Date d’entrée en vigueur
Le présent avis de mise en œuvre de la Politique de sécurité (AMOPS) entre en vigueur le 14 août 2024.
2. Objectif
Le présent AMOPS vise à renforcer les exigences énoncées dans la Politique sur la sécurité du gouvernement et la Politique sur les services et le numérique afin de :
- réduire la surface d’attaque globale et minimiser le risque d’accès non autorisé aux systèmes d’information du gouvernement du Canada (GC) dès que possible;
- remédier diligemment aux vulnérabilités exploitées connues afin de protéger les systèmes d’information du GC et de réduire les cyberincidents;
- réaliser des progrès mesurables permettant une meilleure connaissance des actifs des ministères et organismes et des vulnérabilités qui y sont associées.
3. Portée
L’AMOPS s’applique à tous les systèmes d’information (organisationnels ou intégrés) du GC servant à recueillir, à traiter, à stocker, à transmettre, à diffuser ou à conserver de quelque autre façon l’information et les données du GC. Parmi ces systèmes figurent, entre autres, les suivants :
- les serveurs et les postes de travail, les machines virtuelles, les routeurs et les commutateurs, les pare-feu, les dispositifs réseau et les imprimantes réseau, qu’ils soient sur place, en itinérance ou dans des environnements infonuagiques;
- tous les logiciels et le matériel qui se trouvent dans les systèmes d’information du GC gérés sur place ou dans des environnements infonuagiques gérés par le GC;
- tous les actifs en réseau dotés d’adresses IP et accessibles au moyen des protocoles IPv4 et IPv6.
Toutefois, il ne s’applique pas aux actifs éphémères, tels que les conteneurs et les solutions de logiciels-services (SaaS) gérées par des tiers.
4. Application
L’AMOPS s’applique aux organisations énumérées dans la section 6 de la Politique sur la sécurité du gouvernement.
5. Contexte
Le gouvernement du Canada (GC), comme toutes autres organisations gouvernementales et privées du monde entier, est confronté à un environnement dynamique et difficile en matière de cybermenaces. Ces menaces reposent notamment sur l’exploitation de vulnérabilités et de périphériques réseau mal configurés ou la mise en œuvre de techniques telles que l’hameçonnage pour accéder à l’information gouvernementale. La mise en place de mesures de sécurité inadéquates, les erreurs de configuration et l’utilisation de logiciels désuets aux fins de la gestion des actifs accessibles par Internet accroissent la vulnérabilité des dispositifs de sécurité des réseaux. Le risque se trouve encore accru si les interfaces de gestion des dispositifs sont directement accessibles à partir des sites Web publics.
Compte tenu de la complexité et de la fréquence croissantes des cyberattaques, le GC doit plus que jamais faire preuve de vigilance sur le plan de la cyber sécurité. À la lumière des récents cyberincidents, il ne fait aucun doute que la cybersécurité est une responsabilité partagée à l’échelle du GC. En l’absence de mesures de cybersécurité appropriées, les ministères et organismes sont vulnérables et s’exposent à un risque de compromission.
Tous les ministères et organismes ont un rôle essentiel à jouer pour assurer la confidentialité, l’intégrité et l’accessibilité des informations et des réseaux du GC.
Selon la Directive sur la gestion de la sécurité, il incombe aux administrateurs généraux de protéger les systèmes d’information qui sont sous leur garde ou contrôle. Ils sont notamment tenus de :
- protéger l’accès aux renseignements et aux actifs de technologie de l’information (TI) du GC, ainsi que la confidentialité et l’intégrité de ceux-ci;
- mettre en œuvre des mesures appropriées pour assurer la protection des renseignements personnels.
En tant que fournisseur commun de services de TI du gouvernement, Services partagés Canada (SPC) a pour mission de fournir des services informatiques sécurisés et fiables à ses clients partenaires. Dans le cadre de ce modèle de responsabilité partagée, il existe des interdépendances entre l’infrastructure de SPC et les applications mises en œuvre par les programmes et services des ministères et organismes.
La collaboration entre les ministères et organismes sera essentielle pour améliorer la cybersécurité et la résilience du GC.
6. Direction
Pour améliorer la cybersécurité des systèmes d’information fédéraux, le GC doit continuer à prendre des mesures délibérées pour garantir la sécurité des actifs de TI à l’échelle de son organisation. Afin de se conformer à l’annexe B de la Directive sur la gestion de la sécurité, et de réduire les risques liés à la cybersécurité du GC conformément à l’article 4.4.1.9 de la Politique sur les services et le numérique, les ministères et organismes doivent :
- évaluer les risques auxquels sont exposés les systèmes d’information servant à appuyer les activités des ministères et organismes et à stocker des renseignements qui leur appartiennent ou dont ils ont la garde ou le contrôle (article B.2.2.1 de la Directive sur la gestion de la sécurité);
- gérer la configuration des systèmes d’information afin d’assurer le maintien de la conception, des réglages, des paramètres et des attributs connus et approuvés pour les systèmes et les composants (article B.2.3.3 de la Directive sur la gestion de la sécurité);
- mettre en œuvre des mesures visant à protéger les systèmes d’information, leurs composants et les informations qu’ils traitent et transmettent (article B.2.3.7 de la Directive sur la gestion de la sécurité))
Les sous-sections suivantes décrivent les mesures à prendre concernant les systèmes d’information du GC visés par le présent AMOPS.
6.1 Recensement des actifs
Le recensement continu et exhaustif des actifs du GC, de même que leur surveillance, est essentiel à la compréhension et à la gestion efficace des risques de cybersécurité qui pèsent sur le réseau de l’entreprise GC.
Dans les trois mois suivant la publication de l’avis, les ministères et organismes devront :
- 6.1.1 examiner les données des ministères et organismes concernant les systèmes d’information utilisés dans le cadre de leurs activités et leurs services essentiels qui sont consignées dans l’outil de gestion du portefeuille d’applications (GPA) du BDPI, ou tout autre outil comparable, et les mettre à jour le cas échéant;
- 6.1.2 confirmer que les capteurs du Centre canadien de cybersécurité (CCC) ont été déployés sur tous les dispositifs d’extrémité de leurs clients (portables, ordinateurs de bureau) (article 1.5.1 du document intitulé Exigences de configuration de la gestion des points d’extrémité). Dans le cas contraire, ils doivent communiquer avec le service responsable du déploiement des opérations de cyberdéfense (OCD) du CCC pour obtenir de l’aide;
- 6.1.3 confirmer que les capteurs infonuagiques du CCC ont été déployés conformément aux Mesures de protection du nuage du gouvernement du Canada. Dans le cas contraire, ils doivent communiquer avec le service responsable du déploiement des opérations de cyberdéfense (OCD) du CCC pour obtenir de l’aide.
6.2 Compréhension de l’exposition
Une meilleure compréhension de l’exposition des actifs sur le plan de la sécurité permet l’adoption d’une approche fondée sur les risques pour l’établissement de l’ordre de priorité des mesures d’atténuation des risques.
Dans les six mois suivant la publication de l’avis, les ministères et organismes devront :
- 6.2.1 s’ils ne bénéficient pas des services réseau de SPC, élaborer un plan visant à recenser et à évaluer les dispositifs réseau qu’ils gèrent afin de s’assurer qu’ils sont configurés et renforcés de manière sécuritaire (par exemple, en désactivant l’accès aux interfaces de gestion des dispositifs réseau à partir d’Internet), conformément aux normes de renforcement de SPC ou aux pratiques exemplaires de l’industrie, dont celles énoncées dans le document intitulé Références du Center for Internet Security (CIS);
- 6.2.2 élaborer un plan visant à recenser, à évaluer et à corriger les vulnérabilités énoncées dans la liste des 25 principales vulnérabilités établie par le SCT, en collaboration avec le CCC et SPC, en suivant une approche fondée sur les risques et en accordant la priorité aux systèmes d’information accessibles au public;
- 6.2.3 élaborer un plan de gestion des rustines permettant de garantir la mise en œuvre de procédures établies par les ministères et organismes. Ce plan définira clairement les rôles et les responsabilités en vue de l’application des rustines visant à corriger les vulnérabilités critiques, conformément à l’Orientation sur la gestion des rustines du GC et de la Norme sur la gestion des rustines de SPC;
- 6.2.4 intégrer les systèmes des ministères et organismes qui sont accessibles au public dans le système national de notification des cybermenaces du CCC, en collaboration avec ce dernier et le SCT, afin de garantir que les ministères et organismes sont informés des services mal configurés, des vulnérabilités et des infrastructures compromises dans leur espace IP.
Dans les six mois suivant la publication de l’avis, SPC devra :
- 6.2.5 élaborer un plan visant à recenser et à évaluer les dispositifs réseau qu’ils gèrent afin de s’assurer qu’ils sont configurés et renforcés de manière sécuritaire (par exemple, en désactivant l’accès aux interfaces de gestion des dispositifs réseau à partir d’Internet et en transmettant les journaux dans un dépôt central, conformément aux normes de renforcement de SPC ou aux pratiques exemplaires de l’industrie, dont celles énoncées dans le document intitulé Center for Internet Security (CIS) Benchmarks;
- 6.2.6 élaborer un plan visant à recenser, à évaluer et à corriger les vulnérabilités énoncées dans la liste des 25 principales vulnérabilités établie par le SCT, en collaboration avec le CCC, en suivant une approche fondée sur les risques et en accordant la priorité aux infrastructures gérées par SPC qui qui sont les plus à risque.
6.3 Réduction de l’exposition
La réduction de la surface d’attaque globale du GC et le renforcement des mesures de protection lui permettront de minimiser le risque d’accès non autorisé aux systèmes d’information fédéraux.
Dans les neuf mois suivant la publication de l’avis, les ministères et organismes devront :
- 6.3.1 s’ils ne bénéficient pas des services réseau de SPC, mettre en œuvre des mesures d’atténuation fondées sur le plan d’action établi à la section 6.2.1 afin de gérer les dispositifs non conformes du réseau périphérique et de s’assurer qu’ils sont renforcés et configurés de façon sécuritaire, en accordant la priorité aux dispositifs situés en périphérie du réseau intégré du GC;
- 6.3.2 mettre en œuvre des mesures d’atténuation visant à corriger les vulnérabilités énoncées dans la liste des 25 principales vulnérabilités en fonction du plan d’action élaboré à la section 6.2.2 et en accordant la priorité aux systèmes d’information accessibles au public;
- 6.3.3 utiliser des configurations d’accès à distance sécurisées permettant :
- 6.3.3.1 la mise en œuvre de solutions d’authentification multifacteur (article 2.1 du document intitulé Exigences de configuration de l’accès à distance) et de mesures de sécurité conçues pour résister à l’hameçonnage durant tout le processus d’authentification, notamment en s’assurant que l’utilisateur se connecte à partir d’un appareil géré par le GC, en vérifiant que l’appareil est correctement configuré et en détectant les anomalies en matière de géolocalisation, conformément au Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031 v3) du CCC;
- 6.3.3.2 une connexion sécurisée et chiffrée au réseau intégré du GC (article 3.1 du document intitulé Exigences de configuration de l’accès à distance) en utilisant des voies d’accès à Internet approuvées par le GC plutôt qu’une connexion directe à Internet de façon à tirer parti des mesures de cyberdéfense établies par le CCC (article 3.2 du document intitulé Exigences de configuration de l’accès à distance) à l’exception des domaines qui sont mentionnés dans la liste de tunnels partagés autorisés par le Conseil d’examen de l’architecture intégrée du GC (article 1.4 du document intitulé Exigences de configuration de la gestion des points d’extrémité).
7. Surveillance de la conformité
Pour en savoir plus sur les conséquences de la non-conformité, veuillez vous reporter au Cadre stratégique sur la gestion de la conformité (annexe C : Tableau des conséquences pour les institutions et l’annexe D : Tableau des conséquences pour les personnes).
Le SCT procédera activement à des cybervérifications du périmètre du GC et des systèmes accessibles au public afin de s’assurer que les dispositifs et les interfaces potentiellement exposés sont recensés et évalués en fonction des vulnérabilités potentielles et que les ministères et organismes prennent les mesures correctives qui s’imposent.
Le SCT suivra les progrès réalisés et communiquera, au besoin, avec les hauts fonctionnaires, tels que les dirigeants principaux de l’information (DPI), les dirigeants principaux de la sécurité (DPC) et les agents désignés pour la cybersécurité (ADC), des ministères et organismes qui n’ont pas respecté les échéances fixées dans les instructions précisées ci-dessus (actions requises).
SPC informera régulièrement le Comité tripartite sur la sécurité de la TI des progrès réalisés à l’égard de la liste des 25 principales vulnérabilités et des dispositifs de réseaux périmétriques non conformes dont il a la charge, ainsi que de l’état d’avancement de leurs plans.
8. Demandes d’information
Si vous souhaitez obtenir des renseignements supplémentaires et précisions à cet égard, veuillez envoyer un courriel au service responsable de la cybersécurité du SCT.
Détails de la page
- Date de modification :