01_Protéger-les-comptes-d’utilisateurs-et-les-identités.md

Protéger les comptes et les identités des utilisateurs

(Retour)

Objectif

Protéger les comptes et les identités des utilisateurs.

Modèles de services applicables

Infrastructure en tant que service (IaaS), plateforme en tant que service (PaaS), logiciel en tant que service (SaaS)

Exigences obligatoires

Activité	Validation
Procéder à la mise en œuvre d’une authentification multifactorielle (AMF) rigoureuse pour tous les comptes d’utilisateurs. Utiliser une AMF résistante à l’hameçonnage lorsque possible. Remarque : Les comptes et identités des utilisateurs comprennent ce qui suit : Les comptes racine ou des administrateurs généraux, car ce sont ceux qui disposent de privilèges étendus/du niveau le plus élevé sur le plan de contrôle, et qui traitent tous les aspects du contrôle d’accès. D’autres comptes d’utilisateurs administratifs; pour la définition des comptes privilégiés, se reporter à : la section 4 de la Directive sur les services et le numérique Annexe G : Norme sur les configurations courantes des services de la TI intégrée Exigences de configuration relatives à la gestion des comptes Comptes d’utilisateurs réguliers du GC.	Confirmer que l’AMF est mise en œuvre conformément aux orientations du GC au moyen de captures d’écran, de rapports de conformité ou d’une mesure de contrôle de la conformité dont l’activation est assurée par un outil de rapport pour tous les comptes d’utilisateur. Confirmer que des politiques numériques sont en place pour garantir l’application des configurations de l’AMF. Confirmer et signaler le nombre d’enregistrements de comptes racine/administrateur général (il devrait y en avoir au moins deux et pas plus de cinq).
Configurer les alertes pour assurer la détection rapide d’une compromission potentielle conformément au Guide sur la consignation d’événements du GC.	Confirmer si les activités de surveillance et de vérification sont mises en œuvre pour tous les comptes d’utilisateurs. Confirmer que des avis d’alerte au personnel autorisé sont mis en œuvre pour signaler les mauvaises utilisations et les activités suspectes pour tous les comptes d’utilisateur.
Utiliser des comptes dédiés distincts pour les rôles hautement privilégiés (par exemple, administrateurs de domaine, administrateurs généraux, racine et tout accès équivalent à celui d’administrateur de domaine) lors de l’administration des services d’informatique en nuage afin de réduire au maximum le potentiel de dommages.	Fournir la preuve que des comptes d’utilisateurs dédiés sont utilisés pour l’administration (par exemple, accès privilégié).

Autres considérations

Aucune

Références

• Directive sur l’utilisation sécurisée des services commerciaux en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.3
• Mesure 3 des 10 meilleures mesures de sécurité de la TI du CCC
• Recommandations pour l’authentification à deux facteurs des utilisateurs dans le domaine opérationnel du gouvernement du Canada (accessible seulement depuis le réseau interne du gouvernement du Canada)
• Considérations et stratégie d’authentification multifactorielle des services organisationnels de la TI du GC
• Directive sur les services et le numérique, annexe G : Norme sur les configurations courantes des services de la TI intégrée
• Exigences de configuration relatives à la gestion des comptes
• Guide sur la consignation d’événements
• Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104), sous-section 4.6

Mesures de sécurité connexes à ITSG-33

AC-2, AC-2(11), AC-3, AC-5, AC-6, AC-6(5), AC-6(10), AC-19, AC-20(3), IA-2, IA-2(1), IA-2(2), IA-2(3), IA-2(11), IA-5(8), SI-4, SI-4(5), SA-4(12), CM-5