Line 165: |
Line 165: |
| | | |
| ==== Limiter les interfaces de service aux entités autorisées (utilisateurs et dispositifs) ayant des rôles clairement définis; segmenter et séparer l’information en fonction de sa sensibilité, conformément aux documents LDSTI-22 et LDSTI-38. Les interfaces de gestion peuvent nécessiter des niveaux de protection accrus ==== | | ==== Limiter les interfaces de service aux entités autorisées (utilisateurs et dispositifs) ayant des rôles clairement définis; segmenter et séparer l’information en fonction de sa sensibilité, conformément aux documents LDSTI-22 et LDSTI-38. Les interfaces de gestion peuvent nécessiter des niveaux de protection accrus ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Résumer comment l'architecture contraint les interfaces de service aux entités autorisées conformément à : |
| + | ** ITSG-22, et |
| + | ** ITSG-38. |
| | | |
| ==== Mettre en œuvre des protocoles HTTPS pour les connexions Web sécurisées et d’authentification des messages fondée sur le domaine, rapports et conformité (DMARC) pour améliorer la sécurité des courriels ==== | | ==== Mettre en œuvre des protocoles HTTPS pour les connexions Web sécurisées et d’authentification des messages fondée sur le domaine, rapports et conformité (DMARC) pour améliorer la sécurité des courriels ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * L'architecture utilise-t-elle HTTPS pour les connexions Web sécurisées |
| + | * L'architecture utilise-t-elle l'authentification, le rapport et la conformité des messages basés sur le domaine (DMARC) pour une sécurité améliorée de la messagerie ? |
| | | |
| ==== Établir des interconnexions sécurisées entre les systèmes à l’aide d’IPA sécuritaires ou tirer parti des services de connectivité des TI hybrides gérés de manière centralisée ==== | | ==== Établir des interconnexions sécurisées entre les systèmes à l’aide d’IPA sécuritaires ou tirer parti des services de connectivité des TI hybrides gérés de manière centralisée ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Décrire ce que (API ou services de connectivité informatique hybride gérés de manière centralisée) les architectures ont établi des interconnexions sécurisées entre les systèmes |
| + | |
| + | Outils : |
| + | * Architecture d'état cible |
| + | * Architecture d'État intérimaire |
| | | |
| === Maintenir des opérations sécurisées === | | === Maintenir des opérations sécurisées === |
| | | |
| ==== Établir des processus pour maintenir la visibilité des biens et assurer l’application rapide des correctifs et des mises à jour liés à la sécurité afin de réduire l’exposition aux vulnérabilités, conformément au Guide de gestion des correctifs du GC ==== | | ==== Établir des processus pour maintenir la visibilité des biens et assurer l’application rapide des correctifs et des mises à jour liés à la sécurité afin de réduire l’exposition aux vulnérabilités, conformément au Guide de gestion des correctifs du GC ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Des processus ont-ils été établis pour assurer l'application rapide des correctifs et des mises à jour liés à la sécurité ? |
| + | * Résumer comment l'architecture prend en charge ces processus |
| | | |
| ==== Permettre la consignation des événements, conformément au Guide sur la consignation des événements du GC, et effectuer la surveillance des systèmes et des services afin de détecter les attaques, de les prévenir et d’y réagir ==== | | ==== Permettre la consignation des événements, conformément au Guide sur la consignation des événements du GC, et effectuer la surveillance des systèmes et des services afin de détecter les attaques, de les prévenir et d’y réagir ==== |
| + | |
| + | <b> Comment y parvenir: </b> |
| + | * Résumer comment la journalisation des événements au sein de l'architecture s'aligne sur les directives de journalisation des événements du GC dans les domaines suivants : |
| + | ** Détection d'attaque |
| + | ** Prévention des attaques |
| + | ** Attaque répondre |
| | | |
| ==== Établir un plan de gestion des incidents conforme au Plan de gestion des événements de cybersécurité du GC (PGEC GC) et signaler les incidents au Centre canadien pour la cybersécurité (CCC) ==== | | ==== Établir un plan de gestion des incidents conforme au Plan de gestion des événements de cybersécurité du GC (PGEC GC) et signaler les incidents au Centre canadien pour la cybersécurité (CCC) ==== |
| | | |
| + | <b> Comment y parvenir: </b> |
| + | * Décrire comment le plan de gestion des incidents s'aligne sur la gestion des événements de cybersécurité du GC |
| + | * Décrire comment les incidents sont signalés au Centre canadien pour la cybersécurité (CCSB) |
| | | |
| </multilang> | | </multilang> |