Escolar Documentos
Profissional Documentos
Cultura Documentos
Janvier 2010
SVC
SVC
Page 2 de 20
SVC
SVC
Contexte
Introduction
Le Comit de vrification et le surintendant ont accept que linfrastructure, les applications, les
systmes et les mcanismes au moyen desquels les BSIF gre laccs ses rseaux informatiques (le
Cadre de contrle de laccs aux rseaux informatiques), ainsi que les mesures dapplication ce cadre,
soient inscrits dans le Plan de vrification interne 2009-2010 du BSIF.
Lors de la prparation de ce plan de vrification, nous avons examin les politiques, les directives et
les pratiques de scurit en insistant sur laccs linformation lectronique et sa protection, et sur les
pratiques, mesures et outils connexes 1 . En outre, nous avons rencontr le surintendant auxiliaire,
Services intgrs, et les directeurs de la Scurit et de la Division des services dinfrastructure
technologique Gestion de linformation et Technologie de linformation (GI-TI).
Comme on peut le voir au diagramme 1, larchitecture du cadre de contrle de laccs aux rseaux
informatiques, trs labore, permet den restreindre laccs aux seules personnes qui doivent pouvoir
les consulter pour effectuer leur travail. Larchitecture du cadre de contrle de laccs aux rseaux
informatiques compte deux zones de scurit distinctes : publique, rseau intgr, site de reprise
non quip, et entreposage de bandes hors site.
La zone publique est situe lextrieur du rseau intgr du BSIF. Grce Internet, les employs 2 ont
accs au rseau du BSIF laide dordinateurs portables, de blackberries et dordinateurs personnels.
Les services de la zone publique comprennent laccs au site Web public et aux bases de donnes du
BSIF, ainsi que laccs distance aux documents lectroniques, au service de courrier lectronique
externe et aux services du Rseau intgr.
Parmi les mesures de scurit utilises, mentionnons lauthentification deux facteurs (carte puce),
des pare-feu, la prvention et la dtection des intrusions, la surveillance dynamique et les appareils de
Rseau priv virtuel (les services de RPV utilisent du matriel spcial pour constituer un rseau priv
empruntant les lignes du rseau public). Les appareils de RPV offrent une connexion protge entre
deux points de TI (poste de travail serveur ou serveur serveur) en chiffrant toutes les donnes
changes au moyen de cette connexion.
La zone Rseau intgr comporte deux domaines, un pour le dveloppement et lautre pour la
production. Les employs travaillant dans les bureaux du BSIF ont accs aux services du rseau
intgr au moyen de lignes chiffres dun rseau local ou dun rseau tendu. Parmi les mesures de
scurit utilises, citons lauthentification deux facteurs (carte puce), les appareils de RPV, les
pare-feu, lautorit de certification et les profils de contrleurs et dutilisateurs, de mme que la
surveillance des incidents de scurit.
Norme oprationnelle de scurit du SCT : Gestion de la scurit des technologies de linformation (GSTI); Politique du
SCT sur la scurit du gouvernement (PSG); Objectifs de contrle de linformation et des technologies connexes (COBIT)
2
Y compris les personnes ne faisant pas partie de leffectif qui possdent une cote de scurit.
Page 3 de 20
SVC
SVC
Diagramme 1
Page 4 de 20
SVC
SVC
Terminologie
Composantes
physiques du cadre
de contrle de
laccs aux rseaux
informatiques
Mesure de scurit SafeNet (carte puce), larchitecture du cadre de contrle de laccs aux
rseaux informatiques, etc. Se reporter au diagramme 2, la page 9.
Biens de TI
BITI
Contrle de laccs
aux rseaux
informatiques
CCC
COBIT
Objectifs de contrle dans les domaines de linformation et des technologies connexes (Cadre
de contrle de la gouvernance et de la gestion de la GI-TI)
COSO
DPI
EMR
GCE
GGP
GI-TI
GSTI
PGC
PSG
RACI
RE
Rseau tendu
RL
Rseau local
RPV
SafeNet
SIT
SS
Utilisateurs
Page 5 de 20
SVC
(Applications)
SVC
Page 6 de 20
SVC
SVC
Objet de la vrification
La vrification a pour objet :
de produire une valuation du cadre de contrle interne (Cadre de contrle de laccs aux rseaux
informatiques) en vertu duquel la scurit du BSIF et linfrastructure de contrle de laccs aux
rseaux informatiques donnent un accs limit linformation lectronique et la protgent;
Porte de la vrification
La vrification porte sur le Contrle de laccs aux rseaux informatiques (politiques, directives et
pratiques de scurit et de SIT associs laccs limit linformation lectronique du BSIF et sa
protection) pour lexercice 2009-2010 au mois de dcembre 2009, de mme que les amliorations en
cours au troisime trimestre de 2009-2010 et prvus. Les travaux comprendront la mise lessai des
mesures de scurit SafeNet, entre le premier trimestre de 2009 et la fin du deuxime trimestre, la fin
de septembre 2009.
Le prsent examen ne porte pas sur :
le niveau dapplication des mesures de contrle de laccs aux rseaux informatiques au BSIF,
exception faite de la rcapitulation des structures, activits, processus et outils existants et prvus
qui ont trait au contrle de laccs aux rseaux informatiques, et des tests dtaills appliqus la
scurit du rseau, comme il a t susmentionn;
llaboration des application/systmes, sauf en ce qui touche ladministration de leur accs limit
au contrle de laccs aux rseaux informatiques;
les mesures de protection non lies la TI, notamment les locaux et installations, la classification
de linformation, et les vrifications de scurit des employeurs et des entrepreneurs.
Page 7 de 20
SVC
SVC
entrevues avec les membres de la direction et le personnel des Services de scurit et des SIT, de
mme quun chantillon dutilisateurs des services de TI du BSIF et des services de TI.
Ces critres proviennent des cadres de contrle et y correspondent : COSO (Committee of Sponsoring Organizations of
Treadway Commission, GSTI (Norme oprationnelle du SCT en matire de scurit : Gestion de la scurit de la
technologie de linformation), et COBIT (Objectifs de contrle dans les domaines de linformation et des technologies
connexes).
Page 8 de 20
SVC
SVC
Notre vrification a port sur le cadre interne de gestion de laccs aux renseignements
lectroniques en date de dcembre 2009 et sur les amliorations qui ont t apportes
pendant le troisime trimestre de 2009-2010, de mme que sur lexamen de lapplication
de la mesure de scurit SafeNet (accs limit linformation de TI du BSIF) entre avril
et la fin de septembre 2009.
Les travaux ont t effectus en collaboration, car lamlioration de la TI et de la scurit
avait dj eu lieu, ou tait dj en cours pendant ces travaux. Des discussions continues
se sont droules avec le directeur des Services de linfrastructure technologique, GI-TI,
et avec les principaux employs qui tiennent jour et fournissent les services de scurit
et de contrle de laccs aux rseaux informatiques.
Nous avons scrut et examin toutes les composantes du cadre interne de gestion de
laccs aux rseaux informatiques. Pour suivre le cours des observations issues de la
vrification, veuillez consulter le Diagramme 2 Gestion du contrle de laccs aux
rseaux informatiques, qui prsente linteraction du Groupe des services de scurit et
des principaux groupes du BSIF, de mme que les cadres et activits portant sur la
gestion du contrle de laccs aux rseaux informatiques. Le cas chant, nous avons
tenu compte du nombre damliorations apportes et lances pendant notre vrification.
Ces mesures exigeront un effort de coordination cibl entre les Services de scurit et la
GI-TI, les gestionnaires axiaux et fonctionnels, et la direction.
Mme si nous avons dgag les principales composantes dun cadre de contrle interne
efficace, nous avons dcel dautres lments amliorer. Nos observations et
recommandations portent plus particulirement sur :
Page 9 de 20
SVC
SVC
Diagramme 2
Page 10 de 20
SVC
lments/composantes
du contrle interne
SVC
Lobligation de rendre
compte de la
supervision existe
Les rles et
responsabilits sont
dfinis, communiqus et
compris
La politique et les
pratiques daccs
protg la TI sont
bien tablis
Recommandation
Officialiser et raffermir
les politiques et
procdures de contrle de
laccs aux rseaux
informatiques dans le
cadre dun programme
fondamental de gestion
de laccs aux rseaux
informatiques englobant
la Politique sur la scurit
du gouvernement et les
normes, directives
exigences de pratique de
GSTI.
Les groupes des Services de scurit (SS) et des Services dinfrastructure technologique
(SIT) grent et offrent des services de scurit lchelle du BSIF. Selon la Politique sur
la scurit du gouvernement (PSG) et les directives concernant la Gestion de la scurit
de la technologie de linformation (GSTI), les rles et responsabilits respectifs en
matire de contrle de laccs aux rseaux informatiques ont t tablis laide dun
modle de responsabilit conforme au RACI1 reposant sur la PSG et les directives sur la
GSTI, selon le contexte de TI du BSIF. Daprs lanalyse du RACI, les groupes respectifs
mettent en place de faon prioritaire les politiques, directives et processus oprationnels
ncessaires pour intgrer et coordonner les travaux lis au contrle de laccs aux rseaux
informatiques.
Note 1 : RACI: personne Responsable, Avise, Consulte et Informe. Une matrice RACI est un type doutil
daffectation de responsabilit qui indique le lien entre les activits et les employs. La description intgrale
de cet outil figure la rubrique Organization Charts and Position Descriptions du PMBOK (quatrime
dition) Develop Human Resource Plan process.
SVC
lments/composantes
du contrle interne
SVC
Le risque et la tolrance
au risque est conforme
aux pratiques de GRE
La dtermination des
exigences en matire de
risque de TI repose sur
lvaluation du contexte
de la TI
Les risques relatifs au
contrle de laccs aux
rseaux informatiques
sont dtects et valus,
et des contrles
dattnuation sont
effectus.
Recommandation
tablir un processus de
gestion du risque de
scurit un niveau
oprationnel qui englobe
les exigences de TI, la
dtermination et
lvaluation du risque
relatif au contrle de
laccs aux rseaux
informatiques, la gestion
et les rapports sur le
risque de scurit
conforme aux pratiques
de GRE
Au BSIF, la politique et les processus de gestion du risque global sont utiliss pour
dterminer, valuer et attnuer les risques quencourent les secteurs et des groupes. Au
Secteur des services intgrs, les risques affrents la scurit et laccs aux rseaux
informatiques sont dtermins, valus et, le cas chant, intgrs aux plans daction de la
GRE.
Mme si les risques de scurit sont intgrs aux valuations de la GRE du BSIF, il
nexiste pas de processus propre la gestion du risque de scurit pour dterminer,
valuer, attnuer et grer les risques oprationnels affrents la scurit et laccs aux
rseaux informatiques. Un processus de gestion du risque affrent la scurit tabli en
vertu de la PSG et de la GSTI, conformment la GRE, est essentiel pour la
dtermination, lvaluation des exigences en matire de scurit et le signalement des
risques affrents laccs aux rseaux informatiques aux responsables de la GRE et la
direction. Un processus de gestion des risques de ce type correspondrait aux fonctions et
processus principaux de GI-TI, notamment la gestion de portefeuille, llaboration de
systmes, les oprations de TI, les versions dapplications et de systmes, et la gestion de
la mise jour des incidents et versions/correctifs.
Les Services de scurit valuent priodiquement les risques affrents laccs aux
rseaux informatiques (vulnrabilit, menaces et risques), de mme que des rapports
destins la direction au sujet des principaux facteurs de risques et de principales sources
de proccupations. Les rsultats de ces valuations sont analyss sous langle de limpact
sur le BSIF, et des mesures et des recommandations sont proposes. Les mesures sont
places en ordre de priorit et des ressources sont dtermines. En outre, les SIT
surveillent de faon continue les contextes interne et externe, et ils excutent des
valuations quotidiennes des menaces et des risques. Le processus de partage des rsultats
de ces valuations doit tre officialis.
Les Services de scurit formulent des demandes de renseignements et assurent le suivi de
leurs valuations et des valuations des SIT au chapitre du risque des oprations de TI,
notamment le refus ventuel de service et des attaques de pntration. Il nexiste pas de
processus de rpertoriage, de suivi et de rapport pour dterminer si ces problmes de
scurit ont t abords. Ce processus de suivi des valuations et recommandations
relatives au contrle de laccs aux rseaux informatiques est essentiel pour maintenir le
contexte du contrle de laccs aux rseaux informatiques au BSIF.
Selon de rcentes valuations du contrle de laccs aux rseaux informatiques, les
risques externes sont contrls pas de rigoureux contrles primtriques. Les processus
Page 12 de 20
SVC
lments/composantes
du contrle interne
SVC
Processus de contrle
La planification et les
ressources de scurit
englobent les mesures
de scurit du contrle
de laccs aux rseaux
informatiques
tablissement dun
programme de
protection qui
comprend les mesures
du contrle de laccs
aux rseaux
informatiques
Il existe une fonction de
gestion des incidents
Llaboration des
systmes et la gestion
du changement
renferment les
exigences de contrle
de laccs aux rseaux
informatiques
La planification de la
continuit et de la
reprise renferment les
La norme de gestion du contrle de laccs aux rseaux informatiques (GSTI), qui relve
du SCT, invite spcifiquement les ministres et organismes adopter une stratgie de
dfense active qui comprend des activits de prvention, de dtection, de raction et de
reprise. Il existe un programme de protection de la scurit au BSIF, ainsi quune
architecture solide daccs aux rseaux informatiques, (Diagramme 1 Architecture du
cadre du contrle de laccs aux rseaux informatiques). Cette architecture prvoit laccs
limit linformation lectronique du BSIF grce des mesures de scurit qui englobent
lauthentification deux facteurs dans le contexte interne de la TI au BSIF (rseau
intgr), les communications chiffres du rseau priv virtuel, les pare-feu, lautorisation
de certification et les privilges daccs, de mme que le chiffrement complet des donnes
sur ordinateurs personnels et portables. Des mesures actives de surveillance des risques et
de sauvegarde sont en place. Le personnel responsable de la TI dispose de deux comptes
daccs, un compte utilisateurs pour les tches administratives normales et un compte de
surveillance et dadministration distinct pour les tches oprationnelles.
Le BSIF a mis en place nombre de composantes dun cadre de procdure de la scurit.
Ce cadre est toutefois informel et de porte limite, et les travaux des Services de scurit
et des SIT ne sont pas bien intgrs pour constituer une architecture du cadre de contrle
de laccs aux rseaux informatiques. Par exemple, mme si le rseau est surveill par le
personnel de la TI, linformation, les enjeux et les valuations touchant la scurit sont
transmis de faon informelle aux Services de scurit. Daprs le RACI, les groupes
mettent en place des politiques, des directives et des processus oprationnels sous-jacents
qui rpartissent les rles et responsabilit affrentes au contrle de laccs aux rseaux
informatiques entre les deux groupes. Les critres dvaluation du contrle de laccs aux
rseaux informatiques et linformation transmise aux Services de scurit au sujet des
Page 13 de 20
SVC
lments/composantes
du contrle interne
exigences de contrle
de laccs aux rseaux
informatiques
Recommandation
Raffermir le cadre de
procdure du contrle de
laccs aux rseaux
informatiques pour y
intgrer des procdures
concernant la gestion des
incidents, les mises jour
des version et des
correctifs, la certification
et laccrditation de la
technologie, et la
planification de la
continuit et de la reprise,
de mme que la
planification connexe de
la scurit et des
ressources
SVC
SVC
lments/composantes
du contrle interne
SVC
Linformation sur
laccs aux rseaux
informatiques est :
dfinie, recueillie,
value et intgre
des rapports
communique de
faon continue entre
les autorits de la
scurit et les
intervenants
intgre la
sensibilisation la
scurit des employs
et la formation du
personnel de la
scurit et de la TI
Recommandations
Raffermir le cadre de
procdure du contrle de
Comme on la vu la section Gestion des risques, les Services de scurit valuent les
menaces et les risques et les SIT surveillent en permanence les contextes interne et
externe de la TI. Linformation et les valuations sont partages de faon informelle et
officieuse. Par consquent, les rapports concernant la scurit ou la constance de la
communication de linformation, de ses destinataires et des chances ne sont pas dposs
de faon routinire. Il est essentiel que linformation de scurit exacte soit communique
aux bons intervenants au bon moment.
Jusqu ce que les principaux processus oprationnels et de scurit, notamment la gestion
des incidents, la gestion des versions et des correctifs et la diffusion des logiciels soient
compltement tablis, linformation sur la contrle de laccs aux rseaux informatiques
ne sera pas divulgue aux fins des valuations et des rapports priodiques. Les rapports
sur les risques lis au contrle de laccs aux rseaux informatiques, sur la vulnrabilit,
sur les incidents, sur les vnements et sur les mesures dattnuation destines aux
personnes comptentes et qui doivent prendre des mesures, ne sont pas garantis; il nest
pas non plus certain si linformation sera reue temps.
Il existe des pratiques oprationnelles informelles en matire de contrle de laccs aux
rseaux informatiques aux Services de scurit et aux SIT dans les domaines de lEMR,
de la surveillance rseau et de la gestion des versions et des correctifs. En outre, on note
des lacunes su plan des directives et procdures de contrle de laccs aux rseaux
informatiques, comme il est prcis la section Processus de contrle. En vertu de
Page 15 de 20
SVC
lments/composantes
du contrle interne
laccs aux rseaux
informatiques qui
englobe des procdures
touchant linformation, la
communication et les
rapports de contrle de
laccs aux rseaux
informatiques.
Officialiser et raffermir
les politiques et
procdures de contrle de
laccs aux rseaux
informatiques pour les
intgrer un programme
fondamental de scurit
prvoyant la formation
la sensibilisation des
employs et la formation
du personnel de la
scurit et de la GI-TI.
SVC
Page 16 de 20
SVC
SVC
Conclusion
Aperu
Notre vrification a port sur le contrle de laccs aux rseaux informatiques (dcembre 2009), sur les
amliorations qui lui ont t apportes pendant le troisime trimestre de 2009-2010, et sur la carte puce
SafeNet (accs restreint linformation du BSIF sur la TI) pour la priode comprise entre avril 2009 et la fin
de septembre 2009.
Les vrifications ont t effectues en collaboration, y compris la collecte des renseignements et les
valuations, les entrevues auprs des cadres et du personnel des Services de scurit et des Services
dinfrastructure technologique, GI-TI, et lutilisation de SafeNet dans lensemble du BSIF. Nous avons
constat un engagement global et concert envers ltablissement dun vaste cadre de contrle interne de
laccs aux rseaux informatiques.
Conclusion
Daprs notre valuation du contrle de laccs aux rseaux informatiques, nous avons conclu
que :
Bien des composantes du cadre de contrle interne sont en place; toutefois,
lamlioration dlments cls simpose. Le BSIF a lanc des initiatives et pris des
mesures en vue dtablir un vaste cadre de contrle interne de laccs aux rseaux
informatiques. Nous reconnaissons les efforts dploys cette fin.
Pour apporter les amliorations ncessaires, il est ncessaire de compter sur la
participation des gestionnaires et de la direction dans lensemble du BSIF, car les
amliorations influent sur tous les secteurs et divisions.
Un effort cibl devra tre dploy pour :
_____________________________
Directeur principal,
Services de vrification et de consultation
_______________________________
Date
Page 17 de 20
SVC
SVC
Rponse de la direction
Les Services de scurit et les SIT estiment tous deux que cette vrification a contribu positivement nos
mandats. Nous remercions lquipe charge de la vrification de son approche de collaboration et de la
rigueur dont elle a fait preuve. Nous sommes entirement daccord avec les constatations issues de cet
exercice. Elles attestent fidlement des progrs raliss jusqu prsent et du chemin quil nous reste
parcourir. Bien quils soient dores et dj encadrs par de solides mcanismes et protocoles de protection, la
direction reconnat que certaines amliorations devront tre apportes au cadre interne de contrle de laccs
ses rseaux informatiques.
Comme nous lavons vu ici et en tmoigne le diagramme 1, larchitecture du cadre de contrle de laccs
aux rseaux informatiques du BSIF est trs labore. Elle procde de mesures de scurit, telles que le
contrle en deux volets de lidentit de lutilisateur (c.--d. la carte puce SafeNet) et le chiffrement
lectronique des communications et de la totalit des donnes qui se trouvent dans les ordinateurs de bureau
et les portables pour restreindre laccs aux renseignements lectroniques. Cest dailleurs ce que confirment
des valuations indpendantes des menaces et des risques, le programme de surveillance continue des
rseaux informatiques du BSIF et nos valuations quotidiennes des risques et de la vulnrabilit. la
lumire de ce qui prcde et du fait qu ce que nous sachions, personne ne soit parvenu consulter nos
renseignements lectroniques sans autorisation ce jour, la direction estime que les mesures de scurit
entourant ses rseaux informatiques sont efficaces.
Nous notons galement que les recommandations qui se trouvent dans ce rapport font tat des dfis qui
attendent le BSIF au chapitre du raffermissement du cadre de contrle interne de laccs aux rseaux
informatiques. Nombre dinitiatives sont dj en cours pour relever ces dfis. Cest dailleurs dans cette
dmarche que sinscrit notre groupe de travail sur le perfectionnement de la matrice RACI et lamlioration
du cadre de contrle interne partir de ses composantes actuelles.
Nous nous engageons tablir une approche quilibre pour raffermir le programme de scurit du BSIF,
selon un niveau de risque acceptable, de sorte que notre organisme puisse devenir un modle defficience et
defficacit pour les autres organismes fdraux. Toutes les recommandations comprises dans le rapport
seront prises en compte dans les quatorze mois qui nous sparent de la fin de lexercice 2010-2011.
Page 18 de 20
SVC
SVC
Gestion des
risques
Processus de
contrle
Composantes
Les politiques et pratiques de scurit au BSIF renferment une politique sur la scurit
du gouvernement (PSG), et des normes sur la gestion de la scurit de la technologie
de linformation (GSTI) adaptes pour tenir compte de la situation du BSIF.
Les risques internes et externes relatifs laccs aux rseaux informatiques et leur
protection sont dtermins, valus, attnus et intgrs la politique et aux directives
de scurit.
Il existe des mesures de gestion des incidents servant dtecter et grer les incidents
de scurit de TI qui donnent accs aux mesures de scurit, les modifient, les
dsorganisent ou les contournent.
Page 19 de 20
SVC
Gouvernance :
Information,
communications et
rapports
SVC
Page 20 de 20