Line 1: |
Line 1: |
− | | + | {{OCIO GCEA Header}} |
− | | |
| <multilang> | | <multilang> |
− | @en| | + | @en|__TOC__ |
| | | |
| == Security architecture == | | == Security architecture == |
| The GC Enterprise Security Architecture program is a government‑wide initiative to provide a standardized approach to developing IT security architecture, ensuring that basic security blocks are implemented across the enterprise as the infrastructure is being renewed. | | The GC Enterprise Security Architecture program is a government‑wide initiative to provide a standardized approach to developing IT security architecture, ensuring that basic security blocks are implemented across the enterprise as the infrastructure is being renewed. |
| + | |
| + | More information regarding GC Enterprise Security Architecture can be found on the [https://www.gcpedia.gc.ca/wiki/GC_ESA_Artifact_Repository GC ESA Artifact Repository] |
| | | |
| === Build security into the system life cycle across all architectural layers === | | === Build security into the system life cycle across all architectural layers === |
Line 113: |
Line 114: |
| | | |
| | | |
− | @fr| | + | @fr|__TOC__ |
| | | |
| | | |
− | == Architecture de sécurité == | + | == ARCHITECTURE DE SÉCURITÉ == |
| Le Programme de l’architecture de sécurité intégrée du GC est une initiative pan gouvernementale visant à fournir une approche normalisée pour l’élaboration de l’architecture de sécurité des TI, afin de s’assurer que les blocs de sécurité de base sont mis en place dans l’ensemble de l’organisation à mesure que l’infrastructure est renouvelée. | | Le Programme de l’architecture de sécurité intégrée du GC est une initiative pan gouvernementale visant à fournir une approche normalisée pour l’élaboration de l’architecture de sécurité des TI, afin de s’assurer que les blocs de sécurité de base sont mis en place dans l’ensemble de l’organisation à mesure que l’infrastructure est renouvelée. |
| + | |
| + | Vous trouverez plus d’informations sur l’architecture de sécurité d’entreprise GC sur le [https://www.gcpedia.gc.ca/wiki/GC_ESA_Artifact_Repository?setlang=fr&uselang=fr référentiel d’artefacts GC ESA] |
| | | |
| === Intégrer la sécurité dans le cycle de vie du système, dans toutes les couches architecturales === | | === Intégrer la sécurité dans le cycle de vie du système, dans toutes les couches architecturales === |
| | | |
− | * <b> Déterminer et <u>[https://www.gcpedia.gc.ca/wiki/Security_Categorization_Tool catégoriser]</u> les renseignements en fonction du degré de préjudice qui pourrait résulter de la compromission de leur confidentialité, de leur intégrité et de leur disponibilité </b>
| + | ==== Déterminer et <u>[https://www.gcpedia.gc.ca/wiki/Security_Categorization_Tool catégoriser]</u> les renseignements en fonction du degré de préjudice qui pourrait résulter de la compromission de leur confidentialité, de leur intégrité et de leur disponibilité ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Résumer comment l'architecture assure la confidentialité des information en fonction de leur categorization et du degré de blessure |
| + | * Résumer comment l'architecture assure l'intégrite de l'information en fonction de leur categorization et du degré de blessure |
| + | * Résumer comment l'architecture assure la disponibilité de l'information en fonction de leur categorization et du degré de blessure |
| + | |
| + | ==== Mettre en place une approche de sécurité continue, conformément au <u>[https://cyber.gc.ca/en/guidance/it-security-risk-management-lifecycle-approach-itsg-33 Cadre de gestion des risques liés à la sécurité des TI du CCC]</u>; effectuer la modélisation des menaces pour réduire au minimum la surface d’attaque en limitant les services exposés et l’information échangée au minimum nécessaire ==== |
| | | |
− | <b> Comment pour l'atteindre:</b>
| + | <b> Comment y parvenir: </b> |
− | * Résumer comment l'architecture assure la confidentialité des information en fonction de leur categorization et du degré de blessure
| + | * Résumer comment l'architecture s'aligne avec le cadre de gestion des risques de sécurité informatique du Center of Cyber Security |
− | * Résumer comment l'architecture assure l'intégrité de l'information en fonction de leur categorization et du degré de blessure
| |
− | * Résumer comment l'architecture assure la disponibilité de l'information en fonction de leur categorization et du degré de blessure
| |
| | | |
− | * <b> Mettre en place une approche de sécurité continue, conformément au <u>[https://cyber.gc.ca/en/guidance/it-security-risk-management-lifecycle-approach-itsg-33 Cadre de gestion des risques liés à la sécurité des TI du CCC]</u>; effectuer la modélisation des menaces pour réduire au minimum la surface d’attaque en limitant les services exposés et l’information échangée au minimum nécessaire </b>
| + | ==== Appliquer des mesures de sécurité proportionnées répondant aux besoins des entreprises et des utilisateurs tout en protégeant adéquatement les données au repos et les données en transit ==== |
| | | |
− | * <b> Appliquer des mesures de sécurité proportionnées répondant aux besoins des entreprises et des utilisateurs tout en protégeant adéquatement les données au repos et les données en transit </b>
| + | <b> Comment y parvenir: </b> |
| + | * Décrire les mesures de sécurité qui protègent les données au repos tout en répondant aux besoins des entreprises et des utilisateurs |
| + | * Décrire les mesures de sécurité qui protègent les données en transit tout en répondant aux besoins des entreprises et des utilisateurs |
| | | |
| ===== Concevoir des systèmes résilients et disponibles pour soutenir la continuité de la prestation du service ===== | | ===== Concevoir des systèmes résilients et disponibles pour soutenir la continuité de la prestation du service ===== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Décrire les caractéristiques résilientes de l'architecture pour soutenir les objectifs de continuité de service |
| + | * Décrire les caractéristiques de disponibilité de l'architecture pour soutenir les objectifs de continuité de service |
| + | |
| + | Outils : |
| + | * Prérogatives non fonctionnelles |
| | | |
| === Assurer un accès sécurisé aux systèmes et aux services === | | === Assurer un accès sécurisé aux systèmes et aux services === |
| | | |
| ==== Identifier et authentifier les personnes, les processus ou les appareils à un niveau d’assurance approprié, en fonction de rôles clairement définis, avant d’accorder l’accès à l’information et aux services; tirer parti des services d’entreprise comme les solutions d’identité numérique de confiance du gouvernement du Canada qui sont appuyées par le Cadre de confiance pan canadien ==== | | ==== Identifier et authentifier les personnes, les processus ou les appareils à un niveau d’assurance approprié, en fonction de rôles clairement définis, avant d’accorder l’accès à l’information et aux services; tirer parti des services d’entreprise comme les solutions d’identité numérique de confiance du gouvernement du Canada qui sont appuyées par le Cadre de confiance pan canadien ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Résumer comment les architectures identifient et authentifient : |
| + | ** Personnes |
| + | ** Processus |
| + | ** Dispositifs |
| + | * Résumer les services de sécurité d'entreprise tirés par l'architecture |
| + | * Résumer comment l'architecture s'aligne sur le cadre de confiance pan canadien |
| + | |
| + | Outils: |
| + | * Architecture d'état cible |
| + | * Architecture d'État intérimaire |
| | | |
| ==== Limiter les interfaces de service aux entités autorisées (utilisateurs et dispositifs) ayant des rôles clairement définis; segmenter et séparer l’information en fonction de sa sensibilité, conformément aux documents LDSTI-22 et LDSTI-38. Les interfaces de gestion peuvent nécessiter des niveaux de protection accrus ==== | | ==== Limiter les interfaces de service aux entités autorisées (utilisateurs et dispositifs) ayant des rôles clairement définis; segmenter et séparer l’information en fonction de sa sensibilité, conformément aux documents LDSTI-22 et LDSTI-38. Les interfaces de gestion peuvent nécessiter des niveaux de protection accrus ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Résumer comment l'architecture contraint les interfaces de service aux entités autorisées conformément à : |
| + | ** ITSG-22, et |
| + | ** ITSG-38. |
| | | |
| ==== Mettre en œuvre des protocoles HTTPS pour les connexions Web sécurisées et d’authentification des messages fondée sur le domaine, rapports et conformité (DMARC) pour améliorer la sécurité des courriels ==== | | ==== Mettre en œuvre des protocoles HTTPS pour les connexions Web sécurisées et d’authentification des messages fondée sur le domaine, rapports et conformité (DMARC) pour améliorer la sécurité des courriels ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * L'architecture utilise-t-elle HTTPS pour les connexions Web sécurisées |
| + | * L'architecture utilise-t-elle l'authentification, le rapport et la conformité des messages basés sur le domaine (DMARC) pour une sécurité améliorée de la messagerie ? |
| | | |
| ==== Établir des interconnexions sécurisées entre les systèmes à l’aide d’IPA sécuritaires ou tirer parti des services de connectivité des TI hybrides gérés de manière centralisée ==== | | ==== Établir des interconnexions sécurisées entre les systèmes à l’aide d’IPA sécuritaires ou tirer parti des services de connectivité des TI hybrides gérés de manière centralisée ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Décrire ce que (API ou services de connectivité informatique hybride gérés de manière centralisée) les architectures ont établi des interconnexions sécurisées entre les systèmes |
| + | |
| + | Outils : |
| + | * Architecture d'état cible |
| + | * Architecture d'État intérimaire |
| | | |
| === Maintenir des opérations sécurisées === | | === Maintenir des opérations sécurisées === |
| | | |
| ==== Établir des processus pour maintenir la visibilité des biens et assurer l’application rapide des correctifs et des mises à jour liés à la sécurité afin de réduire l’exposition aux vulnérabilités, conformément au Guide de gestion des correctifs du GC ==== | | ==== Établir des processus pour maintenir la visibilité des biens et assurer l’application rapide des correctifs et des mises à jour liés à la sécurité afin de réduire l’exposition aux vulnérabilités, conformément au Guide de gestion des correctifs du GC ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Des processus ont-ils été établis pour assurer l'application rapide des correctifs et des mises à jour liés à la sécurité ? |
| + | * Résumer comment l'architecture prend en charge ces processus |
| | | |
| ==== Permettre la consignation des événements, conformément au Guide sur la consignation des événements du GC, et effectuer la surveillance des systèmes et des services afin de détecter les attaques, de les prévenir et d’y réagir ==== | | ==== Permettre la consignation des événements, conformément au Guide sur la consignation des événements du GC, et effectuer la surveillance des systèmes et des services afin de détecter les attaques, de les prévenir et d’y réagir ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Résumer comment la journalisation des événements au sein de l'architecture s'aligne sur les directives de journalisation des événements du GC dans les domaines suivants : |
| + | ** Détection d'attaque |
| + | ** Prévention des attaques |
| + | ** Attaque répondre |
| | | |
| ==== Établir un plan de gestion des incidents conforme au Plan de gestion des événements de cybersécurité du GC (PGEC GC) et signaler les incidents au Centre canadien pour la cybersécurité (CCC) ==== | | ==== Établir un plan de gestion des incidents conforme au Plan de gestion des événements de cybersécurité du GC (PGEC GC) et signaler les incidents au Centre canadien pour la cybersécurité (CCC) ==== |
| | | |
| + | <b> Comment y parvenir: </b> |
| + | * Décrire comment le plan de gestion des incidents s'aligne sur la gestion des événements de cybersécurité du GC |
| + | * Décrire comment les incidents sont signalés au Centre canadien pour la cybersécurité (CCSB) |
| | | |
| </multilang> | | </multilang> |