Exigences de configuration de la gestion des sites Web et des services

Dans cette page

• 1. Renforcement de la sécurité des sites Web et des services
• 2. Développement d’applications Web
• 3. Continuité des services en ligne
• 4. Gestion des systèmes

---

1. Renforcement de la sécurité des sites Web et des services

1.1 Veiller à ce que tous les sites Web de production et les services Web soient configurés de manière à fournir des services seulement au moyen d’une connexion sécurisée configurée pour HTTPS (et redirigée à partir de HTTP).

1.2 Activer HTTP Strict Transport Security (HSTS).

1.3 Suivre les conseils relatifs aux certificats de serveur TLS fournis dans les Recommandations relatives aux certificats de serveur TLS pour les services Web du GC destinés au public.

1.4 Procéder à la mise en œuvre du protocole de sécurité de la couche transport (TLS) 1.2 ou des versions subséquentes, puis utiliser des algorithmes et des certificats cryptographiques pris en charge conformément aux documents suivants :

• 1.4.1 Conseils sur la configuration sécurisée des protocoles réseau ITSP.40.062, section 3.1 pour les suites de chiffrement AES;
• 1.4.2 Algorithmes cryptographiques pour l’information NON CLASSIFIÉ PROTÉGÉ A et PROTÉGÉ B ITSP.40.111;
• 1.4.3 Désactiver tous les autres algorithmes cryptographiques.

1.5 Désactiver les protocoles faibles connus tels que les couches de sockets sécurisés (SSL) v2 et v3 et TLS 1.0 et 1.1.

1.6 Désactiver les chiffres reconnus pour être moins fiables (RC4 et 3DES).

2. Développement d’applications Web

2.1 Des cadres d’application Web robustes sont utilisés pour faciliter le développement d’applications Web sécurisées.

2.2 La validation et/ou le nettoyage sont effectués sur toutes les entrées traitées par une application Web.

2.3 Le codage des données sortantes est effectué sur toutes les sorties de données traitées par une application Web.

2.4 Les applications Web mettent en œuvre les mécanismes Content Security Policy et HSTS ainsi que l’en-tête de réponse X-Frame-Options.

2.5 Les ministères et les organismes doivent suivre la liste d’exigences de sécurité Application Security Verification Standard (ASVS) par Open Web Application Security Project (OWASP) lors de l’élaboration d’applications Web.

3. Continuité des services en ligne

3.1Lorsqu’il existe une exigence de disponibilité élevée, les services en ligne :

• 3.1.1 sont conçus pour passer automatiquement d’une zone de disponibilité à l’autre;
• 3.1.2 utilisent un service d’atténuation des dénis de service;
• 3.1.3 utilisent des réseaux de diffusion de contenu approuvés par le GC qui stockent temporairement les sites Web et protègent l’accès au serveur d’origine.

4. Gestion des systèmes

4.1 Les systèmes d’information utilisés pour le traitement des transactions par carte de paiement ou connectés à des systèmes de traitement des transactions par carte de paiement sont conformes à la Norme de sécurité sur les données de l’industrie des cartes de paiement.

4.2 On applique activement les rustines à toutes les applications logicielles, de même qu’à tout le matériel et tous les micrologiciels des systèmes d’exploitation prenant en charge les sites et les services Web, afin d’atténuer les lacunes et les vulnérabilités logicielles connues.

4.3 Configurer la connexion aux actifs de la TI prenant en charge les sites et les services Web, conformément au Guide sur la consignation d’événements du GC, afin d’améliorer la capacité de détecter et d’identifier les comportements anormaux, et de les transmettre ensuite à un système centralisé approuvé par le GC de consignation d’événements et d’informations sur la sécurité pour faciliter l’intervention en cas d’incident et l’analyse judiciaire.

4.4 Évaluer continuellement les risques pour les applications Web accessibles au public et remédier aux vulnérabilités dès qu’elles sont découvertes.

4.5 Publier un fichier security.txt pour fournir les coordonnées des personnes-ressources pour signaler les vulnérabilités (p. ex., contact@cyber.gc.ca).