CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

Transcription

1 CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre

2 Page intentionnellement laissée en blanc.

3 Avant-propos Le document est non classifié et il est publié avec l autorisation du chef du Centre de la sécurité des télécommunications Canada (CSTC). Les propositions de modification devraient être envoyées par les voies de communication sécurisées au représentant des Services à la clientèle du CSTC. Pour de plus amples renseignements, prière de communiquer avec les Services à la clientèle de la Sécurité des TI du CSTC, par courriel à l adresse itsclientservices@cse-cst.gc.ca, ou par téléphone au Date d entrée en vigueur La présente publication entre en vigueur le 27 novembre. Carey Frey Directeur, Programme avec l industrie de la Sécurité des TI Gouvernement du Canada, Centre de la sécurité des télécommunications Canada Il est interdit de faire des copies de cette publication ou d extraits de cette publication sans la permission écrite du CSTC. i

4 Page intentionnellement laissée en blanc. ii

5 Table des matières Avant-propos... i Date d entrée en vigueur... i Table des matières... iii Liste des abréviations et acronymes... iv 1 Sommaire des mesures de protection des dispositifs Sommaire des mesures de protection des réseaux Sommaire des mesures de protection ministérielles... 9 iii

6 Liste des abréviations et acronymes BIOS CSTC DoS GC HIDS CAR NIDS NIPS ICP RPV Système d entrée-sortie de base Centre de la sécurité des télécommunications Canada Déni de service Gouvernement du Canada Système de détection d intrusion au niveau de l hôte Contrôle d accès réseau Système de détection d intrusions sur réseau Système de prévention des intrusions sur réseau Infrastructure à clé publique Réseau privé virtuel iv

7 1 Sommaire des mesures de protection des dispositifs Mesure de protection Protection physique Protection du BIOS Mots de passe Privilèges associés à un compte Verrouillage de session Mises à jour de logiciel Chiffrement des fichiers Chiffrement des dossiers Avantages Permet de contrer les attaques opportunistes. Oblige les attaquants à recourir à des mécanismes plus complexes et qui demandent davantage de temps. Le mot de passe du BIOS protège contre les erreurs humaines. Le mot de passe d amorçage ajoute une couche de sécurité supplémentaire. Empêchent les utilisateurs non autorisés d accéder à l information dans le dispositif. Réduisent le risque que le travailleur modifie les paramètres de sécurité. Le code malveillant a une capacité réduite de causer des dommages. Empêche l accès non autorisé aux dispositifs non surveillés. Assurent que les applications ne sont pas vulnérables aux exploits connus. Relativement simple. Rapide. Tendance réduite à se fier au travailleur. Peut chiffrer certains fichiers temporaires. Limites Exige de la vigilance de la part du travailleur. Les mesures de sécurité complexes peuvent être coûteuses. Les mots de passe de BIOS et d amorçage sont désactivés par défaut. Ils peuvent être contournés en retirant le disque dur. Peuvent facilement être oubliés et entraîner des coûts de service de dépannage plus élevés. Faciles à craquer ou à contourner. Certaines applications ne peuvent pas fonctionner de manière appropriée avec des comptes dotés de privilèges limités. Comme les autres mesures axées sur les mots de passe de protection, il peut être contourné. Peuvent consommer de la largeur de bande et des ressources système. Peuvent à l occasion réduire le rendement des applications ou du dispositif. Ne chiffre pas les fichiers de pagination ou temporaires. Le travailleur ne doit pas oublier de l utiliser. Ne chiffre pas les fichiers dans les dossiers non protégés, ni les fichiers de pagination. 5

8 Mesure de protection Chiffrement intégral des disques Logiciel antivirus et anti-espiogiciel HIDS Sécurité des applications Filtrage de contenu Maintenance et surveillance de la sécurité Sauvegardes Avantages Chiffre tous les fichiers, incluant les fichiers de pagination et temporaires. Pratique; ne requiert aucune intervention du travailleur. Meilleure défense contre le code malveillant, menace la plus commune. Peut détecter les attaques qui contournent les mesures de protection préventives. Contribue à la sécurité globale. Bloque plusieurs types de code malveillant et le contenu inapproprié. Assure le maintien de l état sécurisé du dispositif. Accroît la sensibilisation du travailleur aux problèmes de sécurité. Empêchent la perte d information précieuse lorsque le dispositif est compromis, perdu ou endommagé. Limites Plus lent que les autres types de chiffrement. Le recouvrement peut être difficile après une panne de disque. Doit être tenu à jour régulièrement. Peut produire de fausses alarmes. Utilise certaines ressources système pendant son fonctionnement. Difficile de maintenir l état sécurisé de la configuration après la livraison du dispositif. Le travailleur doit apporter son dispositif au bureau pour la maintenance des applications. Peut exiger une maintenance soutenue pour s assurer que l accès aux sites requis est autorisé. Peut exiger des capacités supérieures à celles de certains travailleurs. Plus difficiles lorsque le dispositif mobile n est pas connecté au réseau ministériel; des supports amovibles et la participation du travailleur sont requis dans ce cas. 6

9 2 Sommaire des mesures de protection des réseaux Mesure de protection Identification et authentification robustes Chiffrement RPV Coupe-feu d entreprise et coupe-feu personnels NIDS NIPS CAR Sécurité du réseau domestique Avantages Meilleures que les simples mots de passe. Aident à contrer les attaques par réinsertion. Assure la confidentialité, l intégrité et une authentification robuste de l information. Protègent les points d extrémité contre les attaques de réseau par Internet. Peut détecter les attaques qui traversent les coupe-feu. Indétectable par les attaquants. Ne perturbe pas le trafic. Peut intervenir en cas d attaques (contrairement au NIDS). Peut protéger contre les attaques par déni de service. Permet de s assurer que les dispositifs mobiles sont à jour (rustines, signatures, etc.). Réduit de manière significative les risques associés aux attaques par Internet contre les dispositifs mobiles. Limites Certaines méthodes exigent une synchronisation entre les points d extrémité. Si l authentification est effectuée par une ICP, son infrastructure doit être définie et tenue à jour. Certains versions exige des clients RPV dans les dispositifs mobiles, ce qui consomme des ressources système et est incompatible avec certains coupe-feu. Doivent être configurés de manière appropriée; ils peuvent être incompatibles avec certains RPV. Peut produire de fausses alarmes, exige une surveillance constante et ne peut bloquer des attaques en cours. Peut intervenir dans les cas de fausses alarmes et, ainsi, perturber le trafic autorisé. Produits immatures, peuvent ne pas fonctionner à la hauteur de la publicité qui en est faite. Possibilité que le télétravailleur doive assumer certaines dépenses (routeur à large bande). La configuration de la sécurité du réseau domestique peut exiger des compétences au delà des capacités de certains télétravailleurs. 7

10 Mesure de protection Modems de rappel automatique Avantages Offrent une forme d authentification mutuelle. Limites Peuvent être difficiles à trouver et acquérir. Les connexions par composition directe sont lentes et peu pratiques. 8

11 3 Sommaire des mesures de protection ministérielles Mesure de protection Renforcement du système d exploitation Sécurité du courrier électronique Sécurité opérationnelle Avantages Réduit les risques d exploitation des vulnérabilités des systèmes d exploitation. Accroît la confidentialité et l intégrité des messages. Inclut également des services de non répudiation et d authentification. Aide à s assurer que les contrôles de sécurité techniques fonctionnent de manière appropriée. Permet de maintenir le niveau de sécurité par des processus d intervention en cas d incident. Limites Laborieux. Exige une surveillance constante. Toutes les solutions ne sont pas interopérables. ICP obligatoire. Exige du personnel bien formé, ce qui peut entraîner des coûts importants. 9