Rapport sur la norme industrielle ITSG-33
Le rapport de conformité à la norme industrielle ITSG-33 vous aide à évaluer la sécurité de votre application web par rapport au cadre de gestion des risques de sécurité informatique du gouvernement du Canada.
À propos de la norme industrielle ITSG-33
Les ministères du gouvernement du Canada (GC) utilisent des systèmes d'information pour soutenir leurs activités commerciales. Ces systèmes sont souvent soumis à des menaces sérieuses pouvant compromettre la confidentialité, l'intégrité ou la disponibilité des actifs informatiques. La norme ITSG-33 fournit un cadre pour gérer ces risques de sécurité informatique dans le cadre de vos opérations continues.
Ce rapport montre comment votre application se conforme aux contrôles de sécurité pertinents pour la conception, le développement et l'exploitation sécurisés des applications web.
Les contrôles de sécurité dans ITSG-33 sont regroupés en trois classes :
- Les contrôles de gestion se concentrent sur les activités de gestion de la sécurité informatique et des risques.
- Les contrôles techniques sont mis en œuvre par les systèmes d'information à travers des mécanismes dans le matériel, le logiciel et le microprogramme.
- Les contrôles opérationnels sont mis en œuvre par des processus exécutés par des personnes.
La classe de contrôle de sécurité technique contient ces familles :
- Le contrôle d'accès soutient la capacité de permettre ou de refuser l'accès des utilisateurs aux ressources.
- L'audit et la responsabilité soutiennent la capacité de collecter, analyser et stocker les enregistrements d'audit des opérations des utilisateurs.
- L'identification et l'authentification soutiennent l'identification et l'authentification uniques des utilisateurs qui accèdent aux ressources du système.
- La protection des systèmes et des communications soutient la protection du système d'information et de ses communications internes et externes.
Entités couvertes
Les organisations suivantes sont censées utiliser le cadre ITSG-33 :
- Départements et agences du gouvernement du Canada.
- Services partagés et fournisseurs de services communs, tels que Services partagés Canada (SPC).
- Sociétés d'État et organismes réglementés par le gouvernement fédéral qui traitent des informations fédérales sensibles.
- Fournisseurs tiers et entrepreneurs qui fournissent des solutions informatiques aux institutions fédérales.
Rapport sur les vulnérabilités de la norme industrielle ITSG-33
Le tableau suivant répertorie les contrôles de sécurité techniques spécifiques à l'ITSG-33 qui sont évalués. Les vulnérabilités trouvées dans votre application sont associées à ces identifiants de contrôle.
| ID | Nom |
|---|---|
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux politiques de contrôle du flux d'informations applicables. |
| AC-5.A.c | L'organisation définit les autorisations d'accès au système d'information pour soutenir la séparation des tâches. |
| AC-6 | Le système d'information applique l'ensemble le plus restrictif de droits et de privilèges nécessaires aux utilisateurs pour accomplir leurs tâches assignées. |
| AC-7.A | Le système d'information impose une limite de tentatives de connexion invalides consécutives par un utilisateur pendant une période de temps. |
| AC-7.B | Le système d'information verrouille automatiquement le compte ou retarde la prochaine tentative de connexion lorsque le nombre maximum de tentatives infructueuses est dépassé. |
| AC-10 | Le système d'information limite le nombre de sessions simultanées pour chaque compte à un nombre défini par l'organisation. |
| AC-11.A | Le système d'information empêche tout accès ultérieur au système en initiant un verrouillage de session après une période d'inactivité définie ou après avoir reçu une demande d'un utilisateur. |
| AC-11.B | Le système d'information conserve le verrouillage de la session jusqu'à ce que l'utilisateur rétablisse l'accès en utilisant les procédures d'identification et d'authentification établies. |
| AC-12 | Le système d'information termine automatiquement une session utilisateur après une condition ou une période d'inactivité définie par l'organisation. |
| AC-17.A | L'organisation établit et documente les restrictions d'utilisation, les exigences de configuration, les exigences de connexion et les directives de mise en œuvre pour chaque type d'accès à distance autorisé. |
| AC-18.A | L'organisation établit les restrictions d'utilisation, les exigences de configuration, les exigences de connexion et les directives de mise en œuvre pour l'accès sans fil au système d'information. |
| IA-2 | Le système d'information identifie et authentifie de manière unique les utilisateurs organisationnels (ou les processus agissant au nom des utilisateurs). |
| IA-4.D | L'organisation désactive les identifiants du système d'information après une période d'inactivité définie par l'organisation. |
| IA-5.C | Le système d'information impose des exigences minimales de complexité de mot de passe pour les authentificateurs. |
| IA-5.E | Le système d'information interdit la réutilisation des mots de passe pour un nombre spécifié de générations. |
| IA-5.F | Le système d'information impose des restrictions de durée de vie minimale et maximale des mots de passe. |
| IA-5.G | Le système d'information protège le contenu des authentificateurs contre la divulgation et la modification non autorisées en utilisant des mécanismes cryptographiques. |
| IA-5.H | Le système d'information protège le contenu des authentificateurs contre la divulgation non autorisée pendant la transmission. |
| IA-6 | Le système d'information obscurcit le retour d'information d'authentification pendant le processus d'authentification pour protéger l'information contre une utilisation non autorisée. |
| IA-7 | Le système d'information met en œuvre des mécanismes pour s'authentifier aux modules cryptographiques avant d'établir une connexion cryptographique. |
| SA-18 | Le système d'information met en œuvre des mécanismes de résistance et de détection des altérations pour prévenir et/ou identifier les modifications non autorisées des composants logiciels, micrologiciels et matériels. |
| SC-5 | Le système d'information protège contre ou limite les effets des attaques par déni de service. |
| SC-6 | Le système d'information protège la disponibilité des ressources en attribuant des priorités aux processus système et en s'assurant que les processus de priorité supérieure reçoivent un traitement préférentiel en cas de concurrence pour les ressources. |
| SC-7.A | Le système d'information surveille et contrôle les communications à la frontière externe du système et aux frontières internes clés au sein du système. |
| SC-8 | Le système d'information protège la confidentialité et l'intégrité des informations transmises. |
| SC-12 | Le système d'information établit et gère les clés cryptographiques en utilisant des mécanismes automatisés avec des procédures de soutien. |
| SC-13 | Le système d'information met en œuvre des mécanismes cryptographiques pour prévenir la divulgation non autorisée d'informations et détecter les modifications des informations. |
| SC-20.A | Le système d'information fournit des artefacts supplémentaires d'authentification de l'origine des données et de vérification de l'intégrité avec les données de résolution de nom autoritaire qu'il renvoie en réponse aux requêtes de résolution de nom/adresse externes. |
| SC-23 | Le système d'information protège l'authenticité des sessions de communication. |
| SC-28 | Le système d'information protège la confidentialité et l'intégrité des informations au repos. |
| SI-2.A | L'organisation identifie, signale et corrige les défauts du système d'information en temps opportun. |
| SI-3.A | L'organisation emploie des mécanismes de protection contre le code malveillant aux points d'entrée/sortie du système et aux points d'extrémité, et maintient les mécanismes et signatures à jour pour détecter et éradiquer le code malveillant. |
| SI-10 | Le système d'information vérifie la validité des entrées d'information pour l'exactitude, la complétude et l'authenticité. |
| SI-11.A | Le système d'information génère des messages d'erreur qui fournissent les informations nécessaires pour des actions correctives sans révéler d'informations sensibles qui pourraient être exploitées. |