Sélection de la langue

Recherche

Exigences de base en matière de sécurité pour les zones de sécurité de réseau (Version 2.0) - ITSP.80.022

Avant-propos

L’ITSP.80.022, Exigences de base en matière de sécurité pour les zones de sécurité de réseau est une publication NON CLASSIFIÉ publiée avec l’autorisation du chef du Centre de la sécurité des télécommunications (CST). Pour obtenir plus d’information ou suggérer des modifications, veuillez communiquer avec le Centre d’appel du Centre canadien pour la cybersécurité (le Centre pour la cybersécurité) :

For more information or suggested amendments, contact the Canadian Centre for Cyber Security (Cyber Centre) Contact Centre:

Centre d’appel
contact@cyber.gc.ca
613-949-7048
Numéro sans frais : 1-833-CYBER-88

La présente version remplace toutes les versions précédentes de l’ITSP.80.022.

Date d’entrée en vigueur

Le présent document entre en vigueur le 12 janvier 2021.

Historique des révisions

Révision Modifications Date
1 Publication de la version 2. 12 janvier 2021.

Vue d'ensemble

Le présent document décrit les modèles et les architectures de zones de sécurité de réseau et offre des conseils techniques sur la mise en œuvre des zones de sécurité de réseau.

L’orientation qu’il fournit est destinée aux solutions de technologie de l’information (TI) s’exécutant au niveau NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ BNote de bas de page1 (c.-à-d., dont le niveau de sensibilité est faible ou partiel). Il convient de noter que les systèmes utilisés dans les domainesNote de bas de page2 PROTÉGÉ CNote de bas de page3 ou classifiés (c.-à-d., hautement sensibles) pourraient nécessiter d’autres considérations de conception qui dépassent la portée du présent document. Vous pouvez communiquer avec le Centre d’appel par courriel ou par téléphone pour obtenir des conseils sur les solutions cryptographiques pour les domaines PROTÉGÉ C ou classifiés.

Il incombe à votre organisation de définir les objectifs en matière de sécurité qu’il convient de fixer pour protéger ses services et ses données. Suivre les conseils formulés dans le présent document ne suffit pas pour sécuriser adéquatement un environnement informatique.

Table des matières

1. Introduction

Le présent document explique les zones de sécurité de réseau et leur utilisation lorsqu’une approche par couche est adoptée en ce qui concerne la sécurité. Il décrit également le modèle fonctionnel de ces zones. Ce modèle traite des principes et de la philosophie de conception à appliquer aux différentes zones de sécurité utilisées pour diviser une infrastructure de TI.

Pour vous aider à mettre en œuvre les zones de sécurité de réseau, le présent document abordera les problèmes liés à la configuration et à la gestion internes de chaque zone et de chaque point d’interface de zone (PIZ). Les objectifs et exigences en matière de sécurité compris dans la présente définissent la façon de connecter les zones entre elles. Ils indiquent également s’il convient ou non d’établir une connexion directe entre certaines zones pour maintenir le niveau de sécurité requis.

Les zones de sécurité de réseau posent les bases d’une architecture de sécurité équilibrée et multicouche qui peut prendre en charge toute une gamme de solutions de sécurité répondant aux besoins opérationnels de votre organisation. Ces zones proposent également une infrastructure réseau commune pour assurer la prise en charge de la prestation électronique de services, de l’interconnectivité et de l’interopérabilité. Si votre organisation partage une infrastructure commune pour la prestation électronique de services ou d’autres fins, vous devez vous conformer à toutes les normes de sécurité établies pour l’infrastructure en question.

Si vous mettez en œuvre des solutions informatiques dans un ministère ou organisme du gouvernement du Canada (GC), vous devez vous conformer aux politiques du Secrétariat du Conseil du Trésor du Canada (SCT), dont les suivantes :

  • Politique sur les services et le numérique et Directive sur les services et le numérique [1]Note de bas de page 4;
  • Politique sur la sécurité du gouvernement [2];
  • Directive sur la gestion de la sécurité [3].

Si votre organisation n’est pas un ministère ou organisme du GC, vous pouvez vous reporter à ces politiques pour obtenir de plus amples renseignements.

1.1 Rapport avec le processus de gestion des riques liés aux TI

Comme pour tout projet ou solution de TI, il convient de tenir compte des activités de gestion des risques liés à la sécurité des TI décrites dans la publication ITSG 33, La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie [4] lors de la mise en œuvre des zones de sécurité de réseau. Ces activités sont décrites dans la figure 1.

L’ITSG 33 [4] décrit deux niveaux d’activités de gestion des risques liés à la sécurité des TI : les activités du niveau organisationnel (également appelé « niveau ministériel ») et les activités du niveau des systèmes d’information. Vous devriez inclure les activités de niveau organisationnel, lesquelles sont décrites à l’annexe 1 de l’ITSG 33 [4], dans les programmes de sécurité de votre organisation. Ce niveau d’activités vous aide à planifier, à gérer et à évaluer les risques liés à la sécurité des TI. Vous devriez tenir compte des activités du niveau des systèmes d’information, lesquelles sont décrites à l’annexe 2 de l’ITSG 33 [4], dans la gestion du cycle de vie des systèmes d’information, qui est réalisée dans le cadre du processus d’application de la sécurité dans les systèmes d’information (PASSI).

La mise en œuvre de zones de sécurité de réseau devrait s’aligner sur les activités actuelles de votre organisation en matière de gestion des risques liés à la sécurité des TI, notamment sur ce qui suit : la définition des besoins organisationnels en matière de sécurité des TI et de contrôles de sécurité, le déploiement des contrôles de sécurité, de même que la surveillance et l’évaluation du rendement des contrôles de sécurité. La mise en œuvre devrait également s’aligner sur les activités du niveau des systèmes d’information pour garantir la fiabilité de la solution. Plus précisément, vous devriez considérer les phases suivantes du PASSI : la phase de lancement, la phase de développement et d’acquisition, la phase d’intégration et d’installation ainsi que la phase d’exploitation et de maintenance.

Figure 1 : Activités de gestion des risques liés à la sécurité des TI

Description détaillée suit immédiatement
Description détaillée - Activités de gestion des risques liés à la sécurité des TI

La figure 1 illustre le processus de gestion des risques liés à la sécurité des TI proposé aux annexes 1 et 2 de l’ITSG-33. La figure démontre que les activités de gestion des risques liés à la sécurité des TI sont menées à deux niveaux distincts : au niveau organisationnel et au niveau des systèmes d’information.

Au niveau organisationnel, voici quelques activités de gestion des risques liés à la sécurité des TI menées par les autorités organisationnelles responsables de la sécurité (par exemple, l’ASM, le CSTI) :

  • Définir les besoins et les contrôles liés à la sécurité des TI.
  • Déployer les contrôles de sécurité.
  • Surveiller et évaluer le rendement des contrôles de sécurité, puis maintenir l’autorisation.
  • Déterminer les mises à jour des contrôles de sécurité.

Les principaux produits livrables associés au déploiement des contrôles de sécurité sont les profils de contrôle de sécurité organisationnels et les rapports organisationnels d’évaluation des menaces liées aux TI. Ces livrables constituent des éléments clés des activités de gestion des risques liés à la sécurité au niveau des systèmes d’information.

Au niveau des systèmes d’information, voici quelques activités de gestion des risques liés à la sécurité des TI menées par les gestionnaires de projets de TI, les praticiens de la sécurité et les développeurs :

  • Définir les besoins et les contrôles liés à la sécurité des TI.
  • Concevoir et développer ou acquérir le système d’information dans le respect de la sécurité.
  • Intégrer, tester et installer le système d’information dans le respect de la sécurité.
  • Exploiter, surveiller et tenir à jour les systèmes d’information dans le respect de la sécurité.
  • Éliminer les biens de TI de façon sécuritaire après leur retrait.

L’information découlant des activités opérationnelles et des activités liées à la maintenance contribue à la réalisation des activités de surveillance et d’évaluation au niveau organisationnel. La rétroaction sur le rendement de la sécurité des TI soutient l’activité liée au maintien de l’autorisation dans le cadre de la surveillance et de l’évaluation.

2 Zones de sécurité de réseau

2.1 Types de zones de sécurité de réseau

Une zone est un environnement réseau dont le périmètre et les points de connexion sont clairement délimités. Le présent document défini les types de zones suivants :

  • zone publique;
  • zone d’accès public;
  • zone de travail;
  • zone d’accès restreint;
  • zone d’accès très restreint;
  • zone extranet d’accès restreint;
  • zone de gestion.

La relation entre ces zones est illustrée dans le modèle de mise en œuvre de zone que l’on retrouve à la figure 5 du présent document (voir la sous-section 3.2.2).

2.1.1 Zone publique

Une zone publique (ZP) est entièrement ouverte; elle englobe les réseaux publics tels qu’Internet, le réseau téléphonique commuté et d’autres réseaux fédérateurs et services publics de télécommunication. La mise en place ou l’application de restrictions et d’exigences visant cette zone est très difficile, voire impossible, car elle échappe normalement au contrôle que peut exercer le GC ou l’organisation. L’environnement de la ZP est présumé être extrêmement hostile. Tous les systèmes mis en œuvre dans la ZP, ou possédant des interfaces avec cette zone, doivent être renforcés contre les attaques.

Bien que la ZP est présumée être extrêmement hostile, une autorité de zone de sécurité de réseau (voir la sous-section 2.3 pour de plus amples renseignements) est autorisée à utiliser les services de sécurité offerts par les fournisseurs publics. En fait, cette démarche est même encouragée, car elle renforce la capacité de défense en profondeur. Vous ne devriez toutefois pas ignorer le niveau de menace d’une ZP au moment d’établir les exigences de base en matière de sécurité.

2.1.2 Zone d’accès public

Une zone d’accès public (ZAP) négocie les accès entre les systèmes opérationnels et la ZP. La ZAP est un environnement étroitement contrôlé qui protège les réseaux et les applications internes de l’environnement hostile de la ZP. Elle joue également le rôle d’un écran qui masque les ressources internes de la ZP et limite leur exposition.

Les interfaces de tous les services de l’organisation en ligne devraient être mises en œuvre dans une ZAP. Les services de serveur mandataire qui permettent aux employés d’accéder aux applications Web devraient être mis en œuvre dans une ZAP, de même que les passerelles de courrier électronique externe, d’accès à distance et d’extranet.

Les extranets qui se connectent par l’intermédiaire d’une ZAP diffèrent de ceux qui traversent une zone extranet d’accès restreint (ZEAR) (voir la sous-section 2.1.6). Ils s’en distinguent surtout par le degré de confiance à l’égard du partenaire qui gère l’extranet. Les partenaires d’une ZEAR jouissent d’un degré de confiance très élevé et se connectent directement à une zone interne contrôlée par l’organisation.

2.1.3 Zone de travail

La zone de travail (ZT) est l’environnement standard pour les activités courantes d’une organisation. Il s’agit de la zone où la plupart des systèmes d’utilisateur final, des serveurs d’applications et des serveurs de fichiers et d’impression sont installés. Lorsque les systèmes d’extrémité sont munis des contrôles de sécurité appropriés, cette zone peut convenir au traitement des renseignements sensibles. Toutefois, elle ne convient généralement pas aux grands dépôts de données sensibles ou aux applications essentielles.

Dans une ZT, le trafic n’est généralement pas restreint et peut provenir de sources internes (c.-à-d. d’autres zones dans l’organisation) ou d’autres sources externes autorisées (p. ex. l’accès distant, l’accès mobile et les extranets) par l’intermédiaire de la ZAP et de la ZEAR.

Dans une telle zone, le trafic malveillant peut toutefois provenir de sources hostiles internes, de codes hostiles non détectés importés de la zone publique ou de nœuds malveillants sur le réseau (p. ex. un hôte compromis, une connexion non autorisée à la zone).

2.1.4 Zone d’accès restreint

La zone d’accès restreint (ZAR) procure un environnement réseau contrôlé habituellement adapté aux services de TI essentiels (ceux pour lesquels on a établi des exigences moyennes en matière d’intégrité et de disponibilité, mais où une compromission des services entraînerait une interruption des activités). La ZAR convient également aux grands dépôts de données sensibles (p. ex. dans un centre de données).

La ZAR prend en charge l’accès aux systèmes de la ZP par l’intermédiaire de la ZT et de la ZAP. Toutes les entités de la couche réseau d’une ZAR sont authentifiées, soit explicitement, par la mise en œuvre d’un service d’authentification de l’entité homologue, soit implicitement, par une combinaison de mesures de sécurité matérielle et d’un contrôle rigoureux de la configuration. La ZAR réduit les menaces en provenance de l’intérieur du système en limitant les accès et en appliquant des mesures de surveillance administrative. Les services de confidentialité des données sont établis à l’intérieur de la ZAR pour les protéger de l’écoute clandestine par des nœuds non autorisés.

2.1.5 Zone d’accès très restreint

La zone d’accès très restreint (ZATR) procure un environnement réseau rigoureusement contrôlé habituellement adapté à l’exécution d’applications essentielles sur le plan de la sécurité (celles pour lesquelles on a établi des exigences strictes en matière de disponibilité et d’intégrité, et où une compromission constituerait une menace pour la santé ou la sécurité d’êtres humains). La ZATR convient aux très grands dépôts de données sensibles.

On ne peut accéder à une ZATR que depuis d’autres zones contrôlées par l’organisation (c. à-d. les systèmes de la PZ ne peuvent pas y accéder). Toutes les entités de la couche réseau d’une ZATR sont authentifiées, soit explicitement par la mise en œuvre d’un service d’authentification de l’entité homologue, soit implicitement par une combinaison de mesures de sécurité matérielle et d’un contrôle rigoureux de la configuration. En règle générale, les exigences d’une ZATR à l’égard des systèmes d’extrémité sont plus strictes que celles d’une ZAR. La ZATR impose également des contrôles plus rigoureux aux utilisateurs des systèmes pour contrer les menaces internes.

Les services de confidentialité des données, qui conviennent à la protection de l’information sensible, sont aussi établis dans une ZATR. Les services de confidentialité des données protègent le trafic de la zone contre l’écoute clandestine par des nœuds non autorisés. Ces services peuvent être mis en œuvre au niveau de la couche réseau ou de la couche physique.

2.1.6 Zone extranet d’accès restreint

La zone extranet d’accès restreint (ZEAR) peut prendre en charge les services extranet en connexion directe avec des partenaires auxquels on accorde une très grande confiance. La ZEAR n’est pas nécessairement connectée par l’intermédiaire d’une ZAP (voir la figure 3 à la sous-section 3.2.1.3).

La mise en œuvre de la ZEAR doit être effectuée conformément au PASSI (voir l’annexe 2 de l’ITSG 33 [4]). Il pourrait être nécessaire de mettre en place des contrôles additionnels pour protéger adéquatement la zone connectée à la ZEAR. Les exigences et les pratiques liées à de telles zones devraient être élaborées au cas par cas et appliquées au moyen d’ententes avec les partenaires.

Remarque : Dans le contexte du GC, les connexions entre les ministères et organismes du GC ne sont pas établies depuis une ZEAR. La ZEAR est réservée aux connexions avec des organisations à l’extérieur du GC (p. ex. des environnements TI impartis, des interfaces entre les gouvernements fédéral et provinciaux, des services intégrés avec des institutions financières).

2.1.7 Zone de gestion

La zone de gestion (ZG) est une zone isolée dont la robustesse est similaire à celle d’une ZAR. La ZG offre aux administrateurs réseau un réseau d’administration dédié et isolé au moyen duquel ils peuvent configurer et surveiller les infrastructures du réseau. Sur le plan de la sécurité, cette zone permet aux administrateurs d’exécuter des opérations de commande et de contrôle tout en minimisant le risque d’interception ou de compromission.

Les ministères du GC peuvent gérer les zones à distance si des mécanismes approuvés par le GC ont été mis en place. Dans le contexte du GC, les zones ne devraient être gérées à distance que si le ministère utilise des hôtes de gestion approuvés, dédiés et renforcés qui s’authentifient sur une ZG depuis des emplacements approuvés par le GC. Les hôtes de télégestion devraient se connecter et s’authentifier par l’entremise d’une zone d’accès en télégestion (ZAT). La ZAT comporte les mêmes composants réseau et les mêmes caractéristiques qu’une ZAP, mais elle s’exécute sur une infrastructure isolée physiquement.

2.2 Points d’interface de zone

La zone de démarcation entre les zones s’appelle la frontière (voir la figure 2 ci-dessous). La frontière contient les points d’interface de zone (PIZ) qui relient les points entre les zones. Le PIZ est le concept logique servant à décrire l’interface contrôlée qui relie deux zones. Il s’agit de l’interface réseau interzone.

Les PIZ appliquent les stratégies de communication entre les deux zones. Toutes les données doivent être transmises par un PIZ, lequel connecte exclusivement ces deux zones par l’intermédiaire d’une voie de communication.

Figure 2 : Exemple de frontière de zone

Description détaillée suit immédiatement
Description détaillée - Exemple de frontière de zone

L’image illustre deux zones de sécurité réseau, la zone d’accès restreint (ZAR) et la zone de travail (ZT), séparées par un point d’interface de zone (PIZ) par lequel passent des flux de trafic bidirectionnels.

2.3 Autorité de zones de sécurité de réseau

Chaque zone est attribuée à une autorité de zone de sécurité, qui est l’entité responsable du développement, de la mise en œuvre et de la maintenance des exigences et des pratiques en matière de sécurité. Tel qu’il est indiqué dans l’ITSG 33 [4], l’autorité de zone de sécurité de réseau est une des fonctions assumées par le coordonnateur de la sécurité des TI. Il incombe à l’autorité de zone de sécurité de réseau d’effectuer les tâches suivantes :

  • passer en revue les stratégies et les normes de sécurité de la zone;
  • recommander des stratégies et des normes de sécurité de zone aux fins d’approbation par le dirigeant principal de la sécurité;
  • passer en revue les propositions et toute autre documentation sur la passation de marché, y compris les listes de vérification des exigences relatives à la sécurité, susceptibles d’avoir une incidence sur la ou les zones auxquelles il a été affecté;
  • collaborer avec les gestionnaires de la prestation de programmes et de services pour s’assurer de répondre aux besoins en matière de sécurité des TI;
  • prodiguer des conseils sur les contrôles de sécurité de zone et la mise en œuvre de tels contrôles;
  • prodiguer des conseils aux gestionnaires de la prestation de programmes et de services sur l’incidence potentielle des changements apportés au réseau sur la posture de sécurité.

Des détails sur les tâches, les responsabilités et les rôles de l’autorité de zone de sécurité de réseau sont fournis aux annexes A à F du présent document.

Le contrôle de l’autorité de contrôle de sécurité de réseau émane de la propriété directe du réseau ou d’une entente officielle avec un fournisseur de services (p. ex. contrat, protocole d’entente) avec des niveaux de service définis garantissant le respect des exigences de base de la zone en matière de sécurité. Chaque zone devrait relever d’une autorité de zone de sécurité réseau qui lui est propre. Une même autorité peut toutefois être responsable de plusieurs zones.

3 Modèles de zone de sécurité de haut niveau

3.1 Vue d’ensemble

La présente section décrit le modèle de mise en œuvre de zone (voir la figure 5 dans la sous-section 3.2.2) qu’il convient d’utiliser pour faciliter l’application des zones de sécurité de réseau dans votre ministère ou organisation. Vous pouvez appliquer les conseils fournis dans cette section dans des environnements à locataire unique ou multilocataires. Dans le cas d’un environnement multilocataire, vous devriez envisager d’ajouter des exigences additionnelles en ce qui a trait à la conception et la sécurité afin de répondre aux exigences en matière de confidentialité, d’intégrité et de disponibilité; ces exigences additionnelles ne sont pas prises en compte dans le présent document.

3.2 Modèle de mise en œuvre de zone

3.2.1 Principes des zones de sécurité de réseau

Le zonage est une approche de conception logique qui sert à contrôler les accès et les flux de données de manière à les restreindre aux composantes et utilisateurs autorisés. Les zones établissent les périmètres du réseau et les exigences connexes en matière de protection des frontières au moyen des fonctions suivantes :

  • définir les entités qui occupent les zones;
  • déterminer les points d’entrée et de sortie distincts;
  • filtrer le trafic réseau aux points d’entrée et de sortie;
  • surveiller l’état du réseau;
  • authentifier l’identité des entités de réseau;
  • surveiller le trafic réseau aux points d’entrée et de sortie.

Une zone a été affectée à une autorité de zone de sécurité de réseau. L’autorité de zone de sécurité de réseau est responsable d’assurer l’élaboration, la mise en œuvre et le respect des exigences en matière de sécurité et des pratiques de la zone sous sa responsabilité. Les exigences et les pratiques en matière de sécurité s’ajoutent à celles des infrastructures réseau communes pour faciliter la prestation électronique de services, l’interconnectivité et l’interopérabilité.

Vous pouvez utiliser les zones pour mettre en œuvre une infrastructure réseau qui réduit les risques à la sécurité qui pèsent sur les processus opérationnels et l’information. Les zones sont séparées par des PIZ, lesquels sont mis en œuvre au moyen de dispositifs de sécurité et d’autres dispositifs réseau. Les zones peuvent être utilisées pour créer une architecture de défense en profondeur. Selon cette approche architecturale, les couches de protection sont ajoutées au réseau de manière à ce que seul un petit groupe d’utilisateurs et d’applications puissent accéder aux données sensibles (qu’elles soient stockées ou en cours de traitement).

L’architecture de défense en profondeur permet d’organiser les fonctions effectuées sur les données sélectionnées en des zones basées sur les besoins des utilisateurs, la sensibilité des données et l’environnement de menace attendu. Différentes zones procurent différents niveaux de sécurité aux processus opérationnels de chacune des zones. L’établissement de nouvelles exigences en matière de stratégie donnera lieu à la création d’une nouvelle zone. Par exemple, les zones accessibles depuis Internet, lesquelles mettent l’accent sur l’accès des utilisateurs à Internet, exigent un plus grand nombre de contrôles, puisque ces zones comptent plus d’utilisateurs et comportent plusieurs types de données et une gamme d’applications. D’une zone à l’autre, la variété d’applications offertes aux utilisateurs diminue, le nombre d’utilisateurs pouvant accéder à ces applications est de plus en plus restreint et les fonctions pouvant être effectuées sont de plus en plus limitées. Le nombre de contrôles semblera diminuer à mesure que la variété des applications et des données diminue. Les niveaux d’assurance des contrôles mis en œuvre augmenteront toutefois en fonction de la sensibilité des données.

Les zones pour lesquelles l’ensemble des composantes sont entièrement sous le contrôle de votre ministère sont désignées « zones contrôlées ». Si votre ministère ne contrôle pas l’ensemble des composantes d’une zone, celle-ci est désignée « non contrôlée ». Vous devriez évaluer les zones non contrôlées dans le cadre du processus de gestion des risques de votre ministère ou de votre organisation.

3.2.1.1 Sécurité des réseaux et sécurité l'information

La sécurité des réseaux est le résultat des mesures prises afin de réduire la vulnérabilité aux menaces. Par sécurité de l’information, on entend les mesures prises pour réduire la vulnérabilité de l’information dans ses diverses formes (p. ex. papier et électronique) et ses divers états (p. ex. inactive, en transit).

La sécurité des réseaux et la sécurité de l’information concernent des problèmes différents, mais il y a un chevauchement. Par exemple, la sécurité des réseaux et la sécurité de l’information ont pour objet de protéger l’information électronique transmise d’un réseau informatique à l’autre. Compte tenu ce chevauchement, certains contrôles de sécurité offrent ces deux types de sécurité.

3.2.1.2 Sécurité de l'information et cryptographie

Il est recommandé d’utiliser la cryptographie dans un environnement de faible menace, bien que le présent document ne comporte aucune exigence générale pour ce qui est de la cryptographie. Vous devriez procéder à une évaluation des menaces et des risques (EMR) pour déterminer s’il convient de mettre en place des mesures relatives à la sécurité de l’information dans votre environnement de TI.

La cryptographie constitue une mesure de protection efficace de la sécurité de l’information. Elle procure la confidentialité et l’intégrité des renseignements, tout en prenant en charge d’autres services de sécurité, comme la non-répudiation (qui empêche l’expéditeur de nier avoir transmis l’information en question). La cryptographie est aussi une mesure de sécurité de réseau efficace, puisqu’elle permet de prévenir certains types d’attaques (p. ex. l’écoute clandestine et l’attaque par réinsertion). Les avantages procurés par la cryptographie varient selon la couche de la pile réseau où elle a été mise en œuvre. Certaines solutions cryptographiques, comme les services d’infrastructure à clé publique (ICP), sont mises en œuvre sur la couche application.

D’autres solutions cryptographiques, comme le chiffrement de type 1, sont stipulées à des fins de sécurité de l’information, et non de sécurité de réseau. Ces types de solutions protègent l’information, et non le réseau. Comme la sécurité de réseau est axée sur la couche transport et les couches inférieures, elle ne tient pas compte de certaines solutions cryptographiques.

Pour de plus amples conseils sur les solutions cryptographiques, prière de communiquer avec le Centre d’appel du Centre pour la cybersécurité (voir la sous-section 5.1 pour les coordonnées).

3.2.1.3 Options de mise en oeuvre de réseau

La séparation et les fonctions de sécurité d’un PIZ ou d’une zone peuvent être mises en œuvre physiquement ou logiquement. Vous pouvez également combiner les méthodes de mise en œuvre physiques et logiques. Vous devriez utiliser les résultats du PASSI pour déterminer s’il convient d’utiliser la séparation physique ou logique dans les frontières des zones. En se basant sur le PASSI, les artéfacts de conception de la sécurité, comme le profil de contrôle de la sécurité de domaine applicable, l’évaluation des menaces et la catégorisation de la sécurité des systèmes d’information, sont développés afin d’aider à déterminer les exigences en matière de sécurité. Ces exigences indiquent le niveau d’assurance exigé par les mécanismes de sécurité réseau physiques et virtuels.

Séparation physique

La séparation physique est recommandée sur toutes les frontières de la zone démilitarisée (ZD), qui se trouve dans la ZAP et autour des ZG.

En ce qui concerne les zones et les PIZ, la séparation physique est démontrée dans les deux cas suivant :

  • Un dispositif est connecté à un autre dispositif par l’entremise d’un support de communication physique (filaire ou sans fil);
  • Un dispositif n’est pas connecté à d’autres systèmes.

Les mécanismes compris dans un dispositif permettent d’effectuer plusieurs opérations de sécurité ou peuvent offrir plusieurs appliances et fonctions de sécurité depuis la même plateforme. La figure 3 illustre le modèle de séparation physique.

Figure 3 : Modèle de séparation physique

Description détaillée suit immédiatement
Description détaillée - Modèle de séparation physique

L’image illustre une appliance de sécurité physique (par exemple, pare-feu, SDI) installée sur un composant matériel distinct.

Séparation logique

On peut utiliser la virtualisation pour assurer la séparation logique d’une frontière ou d’un périmètre de zone. La virtualisation est une technologie qui permet à un dispositif physique, comme des machines, des réseaux, des dispositifs de sécurité ou d’autres composants physiques, de se comporter comme deux ou plusieurs dispositifs, puisqu’elle virtualise et regroupe ces dispositifs en un seul système physique. La virtualisation d’un réseau combine les ressources et les fonctionnalités d’un réseau matériel et logiciel en une seule entité administrative logicielle. La figure 4 illustre le modèle de séparation logique.

Les mécanismes de sécurité mis en œuvre logiquement pourraient ne pas avoir les mêmes niveaux d’assurance que les systèmes physiques comparables. Les vulnérabilités du système d’exploitation de l’hôte et des hyperviseurs doivent également être prises en compte au moment de choisir les mécanismes de sécurité à mettre en œuvre logiquement.

Figure 4 : Modèle de séparation logique

Description détaillée suit immédiatement
Description détaillée - Modèle de séparation logique

L’image illustre trois appliances de sécurité logique (par exemple, pare-feu, SDI) installées sur un composant matériel commun.

3.2.2 Modèle de mise en œuvre

Le modèle de mise en œuvre des zones de sécurité de réseau est illustré à la figure 5. Les ministères ou organisations peuvent mettre en œuvre plusieurs instances dans chaque type de zone selon leurs besoins opérationnels. Chaque zone contient un ou plusieurs réseaux routables distincts dans son périmètre. Chaque réseau routable distinct devrait être contenu dans une zone unique. Dans certaines circonstances, un système d’extrémité unique peut participer à plusieurs zones par l’intermédiaire d’interfaces distinctes. Voir la sous-section 4.2.1 pour une explication du système d’extrémité.

Le présent document établit les exigences de sécurité de base qui s’appliquent aux zones d’accès des réseaux : ZAP, ZT, ZAR, ZATR, ZG et PIZ. D’autres exigences de sécurité de base seront introduites ultérieurement lorsque le besoin s’en fera sentir. Une autorité de zone de sécurité de réseau peut modifier ces exigences et pratiques pour renforcer les exigences de base, pour répondre à des besoins opérationnels spécifiques, ou pour faire face à un environnement de menaces particulier. Certaines exigences devront toutefois être normalisées pour assurer l’interopérabilité du réseau.

Une zone ne correspond pas nécessairement aux secteurs d’activités ou aux fonctions de TI d’une organisation. Votre organisation peut mettre en œuvre plusieurs zones, tout comme vous pouvez mettre en œuvre plusieurs zones de sécurité matérielle. Certains secteurs d’activités ou certaines fonctions de TI pourraient également avoir des zones en commun.

Figure 5 : Modèle de mise en œuvre d’une zone de sécurité de réseau

Description détaillée suit immédiatement
Description détaillée - Modèle de mise en œuvre d’une zone de sécurité de réseau

La figure 5 est un diagramme illustrant les zones externes comme la zone publique (ZP) et la zone extranet d’accès restreint (ZEAR) qui sont connectées au réseau d’une organisation par l’entremise d’une zone d’accès public (ZAP) et une zone de travail (ZT) respectivement. Un point d’interface de zone (PIZ) sépare chaque zone.

La ZEAR est réservée aux systèmes d’extrémité authentifiés de partenaires de confiance.

La ZAP sert aux services et applications internes comme les applications de prestation de services, l’accès Web simple des employés, les serveurs de courrier, les serveurs Web exposés au public, les services extranet, les services d’accès distant et les mandataires d’application.

La ZT comporte l’environnement commun, y compris les serveurs d’applications, de fichiers et d’impression. Aucun trafic direct n’y entre depuis Internet.

La zone d’accès restreint (ZAR) comprend les serveurs organisationnels, les contrôleurs de domaine, les applications d’entreprise essentielles, les autorités de certification, les bases de données d’entreprise et les réseaux séparés comme les VLAN et les sous-réseaux.

Dans le diagramme, la ZEAR est connectée directement à la ZT, mais elle pourrait être aussi connectée directement à la ZAR dans certains cas. Il existe une connexion entre la ZT et la zone d’accès très restreint (ZATR) pour un trafic très limité.

La ZP externe est connectée à la ZAP, ensuite à la ZT.

Chacune des zones internes de l’organisation, la ZAP, la ZT, la ZAR et la ZATR sont connectées à la zone de gestion (ZG).

4 Modèles de référence des zones de sécurité de réseau

4.1 Vue d’ensemble

La présente section comprend deux modèles de référence :

  • modèle de référence général;
  • modèle de référence fonctionnel.

Le modèle de référence général détermine les concepts techniques et la terminologie nécessaires à la prise en charge des exigences indiquées dans les annexes A à F du présent document. Le modèle de référence général décrit les composants d’une zone générique unique. Les modèles de référence détaillés, ainsi que les mesures de protection et les capacités des zones, sont inclus aux annexes A à E.

Le modèle fonctionnel explique les cinq principales fonctions de sécurité des zones. La structure de la présentation détaillée des exigences que l’on retrouve dans les annexes A à E s’appuie sur ces cinq fonctions.

4.2 Modèle de référence général

Une zone générique comporte ces trois types de composants :

  • système d’extrémité;
  • interréseau;
  • Système de frontière interne (SFI).

L’interréseau se compose d’un sous-système d’accès, d’un noyau et d’une interface de bordure.

La figure 6 ci-dessous illustre la topologie logique d’une zone générique, qui comprend trois composants principaux et les PIZ vers d’autres zones. Les PIZ, les systèmes d’extrémité et les SFI se connectent à l’interréseau par l’intermédiaire des interfaces de bordure (illustrés ci-dessous par de petits cercles à la figure 6). En règle générale, une instance de zone est composée d’un ou plusieurs interréseaux, ainsi que de systèmes d’extrémité et de SFI. Si une connectivité est requise entre deux interréseaux, la connexion devrait passer par un SFI (la nécessité d’une telle connexion dépend des besoins opérationnels). Les PIZ fournissent les interfaces réseau vers les autres zones. La figure 6 décrit également comment un système d’extrémité peut être partagé (c.-à-d., relié à des interréseaux de deux zones différentes). Les systèmes d’extrémité partagés doivent interdire tout trafic entre les zones.

Figure 6 : Topologie logique de la zone de sécurité de réseau

Description détaillée suit immédiatement
Description détaillée - Topologie logique de la zone de sécurité de réseau

Le diagramme à la figure 6 représente une zone de sécurité de réseau générique constituée de systèmes d’extrémité, d’interréseaux et d’un système de frontière interne (SFI). Un interréseau peut être connecté :

  • à un ou plusieurs systèmes d’extrémité;
  • à un système d’extrémité partagé;
  • à un autre interréseau par l’entremise d’un SFI;
  • à d’autres zones de sécurité de réseau par l’entremise d’un PIZ.

Chaque composant et sous-système d’une zone est un concept logique qui comprend des fonctions et des caractéristiques particulières. Ces composants ne correspondent pas nécessairement aux dispositifs physiques. Par exemple, un dispositif physique unique pourrait incorporer les fonctionnalités de plusieurs composants de zone, ou un composant de zone unique pourrait nécessiter plusieurs dispositifs physiques pour assurer la mise en œuvre de toutes ses fonctions et caractéristiques.

4.2.1 Système d’extrémité

Un système d’extrémité de zone est une plateforme informatique connectée à un interréseau, qui sert à établir ou interrompre une voie de communication. Bien qu’un système d’extrémité appartienne à une zone, sa sécurité relève d’un administrateur de système d’extrémité plutôt qu’une autorité de zone de sécurité de réseau. Un système d’extrémité se compose généralement d’un hôte unique, mais peut également se composer d’un réseau d’hôtes (p. ex. un réseau de stockage, une grappe de serveurs avec équilibrage de charge) connectés à l’interréseau. Les réseaux internes de ces systèmes d’extrémité complexes ne sont pas abordés dans le présent document et ne font l’objet d’aucune recommandation.

Les systèmes d’extrémité appartiennent à l’une des quatre catégories indiquées dans le tableau 1.

Tableau 1 : Catégories de systèmes d’extrémité

Catégorie de système d’extrémité Description
Hôte simple Système d’extrémité est composé d’un hôte unique.
Système d’extrémité mobile Système d’extrémité (p. ex. un portable) qui se connecte parfois à la zone ou à une autre zone, comme une ZP.
Systèmes d’extrémité sans fil Système d’extrémité qui se connecte à l’interréseau par l’entremise d’un sous-système d’accès sans fil à l’interréseau (un système d’extrémité qui comporte plusieurs interfaces avec l’interréseau est considéré un système d’extrémité sans fil si une de ces interfaces s’y connecte par l’entremise d’un sous-système d’accès sans fil à l’interréseau.
Système d’extrémité complexe Système d’extrémité composé d’un groupe logique d’hôtes et d’un réseau privé interne entre les hôtes (p. ex. un réseau de stockage).

Si les systèmes d’extrémité utilisent des communications sans fil internes, vous devez appliquer des mesures de sécurité additionnelles pour éviter qu’on les utilise comme porte dérobée afin d’exploiter la zone.

S’il est nécessaire de connecter un système d’extrémité à deux zones ou plus simultanément, ce système d’extrémité fera office de système d’extrémité partagé (voir la figure 6 ci-dessus). Un réseau de stockage partitionné logiquement constitue un exemple de système d’extrémité partagé. Les systèmes d’extrémité partagés doivent être configurés et sécurisés de manière à interdire tout trafic entre les zones. Ils peuvent communiquer avec les zones auxquelles ils sont connectés, mais ces zones ne peuvent utiliser le système d’extrémité partagé pour acheminer du trafic entre elles. Les systèmes d’extrémité partagés doivent également respecter toutes les exigences de configuration des zones auxquelles ils se connectent. En raison de la séparation logique des systèmes d’extrémité partagés, les autorités de zone de chaque zone doivent comprendre les risques additionnels que pose chaque zone connectée et en tenir compte.

Un système d’extrémité distant est un système d’extrémité qui appartient à une ZP et communique logiquement avec une zone contrôlée par le GC ou une organisation par l’entremise ou en direction d’une ZAP. Un système d’extrémité distant n’est pas considéré comme faisant partie d’une zone contrôlée par le GC ou une organisation. Par contre, si une zone contrôlée par le GC ou une organisation permet d’accéder à distance au réseau de ZP, les exigences de configuration de l’hôte des systèmes d’extrémité distants doivent respecter les exigences de sécurité de la zone contrôlée par le GC ou l’organisation.

4.2.2 Interréseau

Les interréseaux offrent les services réseau qui permettent de connecter les systèmes d’extrémité, les SFI et les PIZ. Les interréseaux peuvent se composer d’une combinaison de réseaux locaux (LAN pour Local Area Network), de réseaux métropolitains ou de réseaux étendus (WAN pour Wide Area Network). Ils peuvent emprunter des supports multiples au niveau de la couche physique (p ex. un câble de cuivre ou la fibre optique) ou des liaisons sans fil (p. ex. un LAN sans fil, des liaisons sans fil fixes, des liaisons montantes). Les interréseaux offrent un service de distribution réseau (p. ex. de routage) entre les interfaces de bordure dans une zone. Un interréseau comprend les sous systèmes mentionnés dans le tableau 2.

Tableau 2 : Sous-systèmes de l’interréseau

Sous-système Description
Sous-système d’accès à l’interréseau Procure les services de couche physique et de couche liaison de données qui connectent une interface de bordure au noyau de l’interréseau. La mise en œuvre de ces services comprend les ponts, le protocole Ethernet, les commutateurs de couche liaison de données (y compris les multiplexeurs) et les passerelles. Le sous-système d’accès à l’interréseau peut également fournir des services de couche réseau ou de couche supérieure. Un accès par réseau privé virtuel (RPV) serait mis en œuvre sur ces sous-systèmes. Un interréseau peut se composer de plus d’un sous-système d’accès à l’interréseau.
Noyau d’interréseau Procure les principaux services réseau (p. ex. le routage fédérateur, la résolution d’adresses) à l’interréseau.
Interface de bordure Frontière logique entre l’interréseau et un PIZ, un système d’extrémité ou un SFI. Parmi les exemples de mise en œuvre physique d’une interface de bordure, citons une carte d’interface réseau dans un système d’extrémité, un port d’interface sur un commutateur et la connexion entre ces derniers. Un interréseau peut comporter plus d’une interface de bordure.

Le sous-système d’accès à l’interréseau comprend les entités d’interréseau qui sont toujours sous le contrôle complet de l’autorité de zone de sécurité de réseau. À l’inverse, le noyau de l’interréseau peut intégrer des entités gérées pour le compte de l’autorité de la zone, sans être sous son contrôle direct.

Une zone contiendra au moins une instance ou un interréseau. Si une zone comprend plus d’un interréseau, les SFI fournissent la connectivité nécessaire entre les interréseaux. Une zone peut utiliser plusieurs interréseaux pour séparer le trafic et offrir une défense en profondeur additionnelle. Des interréseaux multiples peuvent également exister dans une zone lorsque des infrastructures réseau existantes sont combinées pour créer une zone.

4.2.3 Système de frontière interne

Un SFI fournit une interface réseau entre deux interréseaux. Il agit également comme tampon pour la mise en œuvre du contrôle du trafic et des mesures de protection au niveau de la configuration de réseau. Un SFI se connecte aux interréseaux par l’intermédiaire d’interfaces de bordure.

Un SFI n’est requis dans une zone que si cette dernière comporte plus d’un interréseau et que si ceux-ci doivent être connectés entre eux. Entre autres exemples de SFI, notons les systèmes de protection périmétrique, comme les routeurs de filtrage, les coupe-feu, les systèmes de prévention des intrusions (IPS) et les produits de gestion unifiée des menaces (UTM).

Un SFI peut être un réseau en soi. En pareil cas, il ne constitue pas une zone distincte.

4.3 Modèle de référence fonctionnel

Le modèle de référence fonctionnel décrit comment les exigences liées aux zones sont structurées. Il établit et définit les différents types d’exigence. C’est sur cette structure que reposent les annexes A à E du présent document.

Le modèle de référence fonctionnel comprend les composants des exigences de sécurité illustrés au tableau 3.

Tableau 3 : Modèle de référence fonctionnel : Composants des exigences de sécurité

Composant des exigences de sécurité Description
Exigences d’interface réseau Ensemble des exigences de sécurité régissant les différents types d’interfaces autorisés avec les autres zones. Les exigences d’interface réseau précisent les contraintes appliquées aux frontières d’une zone. Elles portent sur des aspects tels que les interfaces permises vers d’autres zones, l’utilisation d’une infrastructure commune et le partage de systèmes d’extrémité avec d’autres zones.
Exigences de contrôle du trafic Ensemble des exigences de sécurité régissant le flux du trafic réseau à l’intérieur de la zone, et entre la zone et les autres zones. Ces exigences portent sur les questions telles que les types de trafic, le contrôle de l’accès au réseau, les règles de non interférence, la qualité du service, les règles de contenu du trafic et les contraintes de consommation de ressources.
Exigences de configuration de réseau Ensemble des exigences de sécurité régissant la connexion des dispositifs à la zone. Ces exigences portent sur la gestion des associations entre entités de réseau, entités de liaison de données et les interfaces et nœuds matériels. Ces exigences prennent également en compte la gestion et le contrôle des supports de transmission physiques.
Exigences de configuration d’hôte Les exigences de sécurité régissent la gestion des configurations du matériel et des logiciels chargés sur chaque hôte. Elles s’assurent que tous les hôtes fonctionnent à un niveau de sécurité connu sans constituer une menace pour les autres hôtes du réseau. Ces exigences ne portent pas sur la nature des logiciels permis sur un hôte, mais elles définissent plutôt les mesures nécessaires pour assurer la sécurité de la charge de logiciels de l’hôte (p. ex. configuration appropriée, application des correctifs).
Exigences de protection des données Ensemble des exigences de sécurité régissant l’affectation et l’utilisation des services de sécurité en vue d’offrir des services de protection des données.

4.3.1 Exigences d’interface réseau

Les exigences d’interface réseau précisent les contraintes appliquées aux frontières d’une zone. On peut se les représenter sous la forme d’un ensemble de règles de connexion applicable à une zone. L’annexe F du présent document est basée sur les exigences ci-dessous. Ces dernières appartiennent à l’une des catégories suivantes :

  • les exigences applicables aux points d’interface de zone (voir la section 3.2.1), qui définissent les contrôles aux interfaces de la couche réseau avec les autres zones;
  • les exigences applicables aux interfaces de l’infrastructure de communication sous-jacente (p. ex. les interfaces avec les entreprises de transmission de données);
  • les exigences applicables aux interfaces des systèmes d’extrémité définissant les types de systèmes d’extrémité qui peuvent être rattachés à une zone de sécurité de réseau et les contraintes liées aux interfaces.

Les exigences d’interface réseau traitent des besoins suivants :

  • délimiter le périmètre de zone pour veiller à ce que la portée des responsabilités de l’autorité de zone de sécurité de réseau soit claire;
  • limiter les types d’interfaces prises en charge par une zone de façon à réduire l’environnement de menace auquel la zone est exposée.

4.3.2 Exigences de contrôle du trafic

Les exigences de contrôle du trafic prescrivent les mesures de protection qui contrôlent le flux de trafic à l’intérieur de la zone, et entre les zones. Elles spécifient également les capacités réseau qui devraient être présentes pour la mise en œuvre de mesures pour la gestion des plateformes, des applications et des systèmes. Les mesures de protection de contrôle du trafic sont illustrées au tableau 4.

Les exigences de contrôle du trafic précisent également les capacités réseau nécessaires pour prendre en charge les mesures de protection au niveau des plateformes, des applications et de la sécurité opérationnelle. Par exemple, une ZAR devrait pouvoir accepter l’association de sécurité IPSec entre deux interfaces de bordure et toute zone devrait pouvoir prendre en charge l’installation de détecteurs d’intrusion à certains de ses points.

Tableau 4 : Mesures de protection de contrôle du trafic

Mesures de protection de contrôle du trafic Description
Contrôle d’accès Contrôle le trafic en fonction des adresses source et de destination et les types de service. Le contrôle de l’accès sert à limiter l’accès aux ressources sensibles, à restreindre les protocoles de transmission de données utilisés dans la zone, à empêcher que les communautés d’intérêts n’interfèrent les unes avec les autres, et à localiser l’incidence d’une défaillance de la sécurité.
Authentification de l’entité Valide l’authenticité des entités et établit une association de sécurité entre elles. Le but premier de l’authentification de l’entité est de soutenir les contrôles d’accès.
Authentification de l’origine des données Valide l’authenticité des entités qui participent à l’association de sécurité pendant toute la durée de vie de cette association. Dans le contexte du contrôle du trafic, l’authentification de l’origine des données sert principalement à soutenir les contrôles d’accès.
Vérification de l’intégrité des données Vérifie que le trafic du réseau n’a pas été altéré ni répété. Elle sert à protéger les biens rattachés à la zone en veillant à ce que le contenu ne soit pas modifié entre sa source et sa destination.
Filtres de trafic Filtrent ou bloquent le trafic d’après les propriétés du flux de données transmis, notamment sur le plan de l’état du protocole de contrôle du trafic (TCP), de la source et de la destination, de la conformité aux protocoles de communication autorisés, des types de données intégrés dans le flux de données et le contenu du flux de données. Par exemple, les filtres peuvent bloquer le trafic en provenance ou à destination d’adresses IP, d’adresses MAC ou de ports TCP interdits. Les filtres peuvent bloquer des protocoles non autorisés (p. ex. produits coupe-feu) et arrêter le trafic malveillant contenant des exploits ou des exploits possibles (p. ex. produits de prévention des intrusions). Ils servent aussi à filtrer les trafics porteurs de programmes malveillants (p. ex. et anti-logiciel malveillant) ou de contenus dangereux illicites (p.ex. filtres Web et de courriels).
Soutien à la détection des intrusions et à la vérification Fournit les services et les attributs nécessaires pour soutenir la mise en œuvre de fonctions de sécurité comme la détection des intrusions, la vérification et la réaction aux incidents.Note de bas de page 5. La journalisation du trafic et l’installation de capteurs de surveillance (p. ex. port miroir sur un commutateur) à certains points de connexion sont des formes possibles de ce soutien.
Sécurité liée à la résolution des adresses et des noms Désigne un ensemble de mesures de sécurité visant à assurer l’intégrité de l’association entre les ressources et leurs identificateurs.
Encapsulation des ressources Désigne les mécanismes permettant à la zone de masquer sa structure interne. Ces mécanismes comprennent la traduction d’adresses réseau et d’adresses de port, et le mappage des services. L’encapsulation des ressources prend en charge le contrôle de l’accès et la survivance.

4.3.3 Exigences de configuration de réseau

Les exigences de configuration de réseau prescrivent les mesures de protection et les capacités nécessaires pour contrôler la connexion de dispositifs, tels que des systèmes d’extrémité ou du matériel de réseautage, à une zone ou leur retrait de cette dernière. Une zone offrant un très haut niveau de sécurité de réseau mettrait en œuvre des mécanismes permettant d’authentifier les interfaces de tous les réseaux et systèmes d’extrémité avant de leur permettre de participer aux communications. Une zone ayant un niveau de sécurité minimal devrait mettre en œuvre des mesures de protection destinées à empêcher le raccordement de dispositifs non autorisés.

Les mesures de protection du réseau comprennent ce qui suit :

  • des contrôles administratifs (p. ex. identification des configurations, contrôle des changements, rapport sur les états des configurations et vérification des configurations);
  • des mesures de sécurité matérielle;
  • l’authentification;
  • la journalisation des événements.

L’accès à une interface réseau est un préalable à toute attaque contre le réseau. Un auteur de menace peut accéder à l’interface réseau en connectant un dispositif non autorisé au réseau, en exploitant un hôte légitime ou en utilisant une interface externe. Les contrôles de configuration de réseau limitent la capacité d’un attaquant de connecter un dispositif non autorisé au réseau ou limitent sa capacité de le faire sans être détecté.

4.3.4 Exigences de configuration d’hôte

Les exigences de configuration d’hôte régissent la configuration des hôtes connectés directement et indirectement à une zone. Ces exigences ne prescrivent pas de mesures pour protéger les biens gérés par l’hôte, mais plutôt les exigences minimales visant à garantir que les hôtes connectés à la zone ne peuvent pas compromettre la sécurité du réseau ou des systèmes d’extrémité en fournissant un point d’accès à un attaquant.

Les exigences de configuration d’hôte comprennent les mesures de protection suivantes :

  • des contrôles administratifs (p. ex. gestion des configurations, gestion des vulnérabilités et vérification de la sécurité);
  • des contrôles d’accès (y compris l’authentification des entités);
  • des mesures de sécurité de plateforme;
  • la journalisation des événements.

4.3.5 Exigences de protection des données

Dans le contexte du présent document, les exigences de protection des données prescrivent les mesures de protection et les capacités nécessaires à la protection de la confidentialité, de l’intégrité et de la disponibilité des données durant leur transmission.

5 Sommaire

Le présent document fait mention des objectifs de sécurité, ainsi que des questions liées à la configuration et à la gestion, associés à l’application de l’architecture des zones de sécurité dans les réseaux d’un ministère ou d’une organisation.

Le modèle de référence fonctionnel mentionné dans la présente décrit comment les exigences liées aux zones sont structurées. Il établit et définit les différents types d’exigence. L’approche architecturale de la défense en profondeur repose sur ce modèle de référence dans la mesure où une mise en œuvre rigoureuse permet de protéger les données et les processus contre les cybermenaces.

Votre organisation peut utiliser les conseils prodigués dans le présent document pour mettre en œuvre un modèle de zone de sécurité de réseau offrant une approche structurée, qu’il est possible d’adapter à vos besoins en matière de sécurité.

5.1 Coordonnées

Pour de plus amples renseignements sur les zones de sécurité de réseau, communiquez avec nous par courriel à

Centre d’appel
cyber.gc.ca
contact@cyber.gc.ca
Local: 613-949-7048
Numéro sans frais : 1-833-CYBER-88

6 Contenu complémentaire

Liste des abréviations

Terme Définition
COMSEC Sécurité des communications (Communication Security)
CST Centre de la sécurité des télécommunications
DDoS Attaque par déni de service distribué (Distributed Denial of Service)
DNS Service de noms de domaine (Domain Name Service)
DoS Déni de service (Denial of Service)
DPS. Dirigeant principal de la sécurité
DSA Agent de système d’annuaire (Directory Service Agent)
EAS Évaluation et autorisation de sécurité
EMR Évaluation des menaces et des risques
FIPS Federal Information Processing Standards
FTP Protocole de transfert de fichiers (File Transfer Protocol)
GC Gouvernement du Canada
GRC Gendarmerie royale du Canada
GSTI Gestion de la sécurité des technologies de l’information
HTTP Protocole de transfert hypertexte (Hypertext Transfer Protocol)
HTTPS Protocole HTTPS (Hypertext Transfer Protocol Secure)
IAN Réseau Internet (Internet Area Network)
ICMP Protocole ICMP (Internet Control Message Protocol)
ICP Infrastructure à clé publique
IP Protocole Internet (Internet Protocol)
IPS Système de prévention des intrusions
IPSec Protocole IPSec (Internet Protocol Security)
ISO Organisation internationale de normalisation (International Organization for Standardization)
KVM Clavier-vidéo-souris (Key Video Mouse)
LAN Réseau local (Local Area Network)
MAC Contrôle d’accès au support (Media Access Control)
Min. Ministère (dans les figures)
NTP Protocole NTP (Network Time Protocol)
OSI Modèle d’OSI (Open Systems Interconnection)
PASSI Processus d’application de la sécurité dans les systèmes d’information
PIZ Point d’interface de zone
PoP Point de présence
PVMC Programme de validation des modules cryptographiques
RAE Réseau d’accès externe
RPV Réseau privé virtuel
RPVS Réseau privé virtuel sécurisé
SCT Secrétariat du Conseil du Trésor
SDI Système de détection des intrusions (dans les figures seulement)
SFI Système de frontière interne
SNMP Protocole SNMP (Simple Network Management Protocol)
SSL Protocole SSL (Secure Sockets Layer)
STI Sécurité des technologies de l’information
TCP Protocole de contrôle de transmission (Transmission Control Protocol)
TI Technologies de l’information
TLS Protocole TLS (Transport Layer Security)
URL Adresse URL (Uniform Resource Locator)
UTM Gestion unifiée des menaces (Unified Threat Management)
VA Évaluation des vulnérabilités (Vulnerability Assessment)
VLAN Réseau local virtuel (Virtual Local Area Network) (dans les figures seulement)
ZAP Zone d’accès public
ZAR Zone d’accès restreint
ZAT Zone d’accès en télégestion
ZATR Zone d’accès très restreint
ZD Zone démilitarisée
ZEAR Zone extranet d’accès restreint
ZG Zone de gestion
ZP Zone publique
ZT Zone de travail

Glossaires

Certaines définitions présentées dans le glossaire proviennent de sources reconnues, lesquelles sont indiquées dans les références.

Terme Définition
Attaque par déni de service (DoS) Attaque consistant à prévenir l’accès autorisé à une ressource du système ou à retarder les opérations et les fonctions du système [14].
Attaque par déni de service distribué (DDoS) Attaque dans le cadre de laquelle plusieurs systèmes, généralement compromis, sont utilisés pour cibler un système particulier et causer un déni de service. Les victimes d’une attaque par DDoS sont à la fois le système d’extrémité ciblé et tous les systèmes utilisés de façon malveillante dans le cadre de l’attaque distribuée [7].
Authentification Processus qui consiste à vérifier l’identité réclamée par une entité du système ou pour cette dernière [14].
Authentification à deux facteurs Méthode d’authentification de l’utilisateur qui exige deux moyens (facteurs) différents de vérifier l’identité déclarée. Les trois facteurs les plus souvent utilisés sont : (1) quelque chose que vous connaissez (p. ex. un mot de passe), (2) quelque chose que vous avez (p. ex. un jeton d’authentification physique) et (3) quelque chose qui vous caractérise (p. ex. une caractéristique biométrique). Notons que l’authentification à deux facteurs ne s’applique qu’aux utilisateurs; on ne peut pas l’utiliser pour des dispositifs ou des entités homologues.
Authentification de l’entité homologue Confirmation qu’une entité homologue au sein d’une association est bien l’entité déclarée [14].
Authentification robuste Processus d’authentification faisant appel à la cryptographie – et particulièrement aux certificats à clé publique – pour vérifier l’identité déclarée d’une entité [14].
Autorisation Privilège d’accès accordés à un utilisateur, un programme ou un processus [15].
Autorité de zone de sécurité de réseau La ou les personnes qui sont responsables de la mise en place et de la gestion de la sécurité de la zone de sécurité de réseau et qui doivent rendre des comptes à cet égard.
Besoin de connaître Principe selon lequel l’accès (y compris la connaissance) à de l’information sensible ne doit être donné qu’aux personnes qui doivent la connaître ou la posséder pour accomplir les tâches qui leur ont été assignées.
Chiffrement de bout en bout Service de confidentialité reposant sur le chiffrement de données à l’intérieur ou au niveau du système d’extrémité source, le déchiffrement correspondant ne se produisant qu’à l’intérieur, ou à la destination [9].
Code mobile Module logiciel obtenu à partir de systèmes distants, transmis sur un réseau, téléchargé et exécuté sur un système local sans aucune installation ou exécution explicites de la part de l’utilisateur [14].
Coupe-feu Passerelle créant entre deux réseaux une frontière qui sert à isoler, à filtrer et à protéger les ressources des systèmes locaux des connexions externes, par le contrôle du volume et des types de trafic autorisés à passer d’un réseau à l’autre.
Détection des intrusions Service de sécurité qui surveille et analyse les événements réseau ou système afin de détecter toute tentative d’accès non autorisé aux ressources du système ou du réseau et d’émettre des alertes à cet égard en temps réel ou presque. (Définition adaptée du document [14]).
Domaine de sécurité Contexte ou environnement défini par une politique de sécurité, un modèle de sécurité ou une architecture de sécurité visant un ensemble de ressources système et l’ensemble des entités système ayant droit d’accès à ces ressources [14].
Droit d’accès minimal Principe selon lequel il convient de n’accorder aux utilisateurs que les autorisations d’accès dont ils ont besoin pour accomplir les tâches qui leur ont été dûment attribuées. Ce principe permet de limiter les dommages pouvant résulter d’une utilisation non autorisée — abusive ou accidentelle — d’un système d’information [15].
Encapsulation Possibilité d’offrir aux utilisateurs une interface bien définie donnant accès à un ensemble de fonctions de façon à masquer leur fonctionnement interne.
Entité Élément actif d’un système — par exemple, un processus automatisé, un sous-système, une personne ou un groupe de personnes — qui incorpore un ensemble précis de capacités [14].
Exigences de base en matière de sécurité Fonctionnalités de sécurité minimales nécessaires pour se conformer aux exigences stipulées dans la Politique sur la sécurité du gouvernement du SCT [2], aux normes opérationnelles connexes et à la documentation technique.
Extranet Extension contrôlée du réseau privé du GC, permettant de partager de l’information et des ressources pour des besoins opérationnels particuliers avec des partenaires spécifiques, tels que les autres gouvernements (nationaux ou étrangers), les entreprises du secteur privé et les organismes non gouvernementaux.
Extranet restreint Extension contrôlée du réseau privé du GC, permettant de partager de l’information et des ressources pour des besoins opérationnels particuliers avec des partenaires n’appartenant pas au GC. Un tel extranet d’accès restreint peut se terminer dans une zone de sécurité contrôlée par le GC (contrairement à l’extranet générique, qui doit se terminer dans une ZAP). Les deux parties de confiance devraient convenir de la gestion et du contrôle de l’interface au préalable.
Frontière Partie du périmètre d’une zone ou d’un réseau, qui sert de point de connexion entre deux zones ou réseaux.
Gardien Une passerelle interposée entre deux réseaux (ou ordinateurs ou autres systèmes d’information) opérant à des niveaux de sécurité différents (l’un étant habituellement plus élevé que l’autre) et qui fournit une médiation fiable de tous les transferts d’information entre ces deux niveaux pour assurer qu’aucun renseignement sensible du premier niveau (le plus élevé) ne sera divulgué au second niveau (le moins élevé) ou pour garantir l’intégrité des données sur le système dont le niveau de sécurité est le plus élevé [14].
Gestion unifiée des menaces Coupe-feu de réseau offrant dans un seul produit différentes fonctions, comme le filtrage des courriels, la protection contre les programmes malveillants, la détection ou la prévention des intrusions et le filtrage des contenus Web, en plus des fonctions traditionnelles d’un coupe-feu. (Définition adaptée du document [6]).
Hôte Ordinateur connecté à un sous-réseau ou à un interréseau de communications, qui peut utiliser des services réseau pour échanger des données avec d’autres systèmes connectés au même sous-réseau ou interréseau [14].
Inspection dynamique L’inspection dynamique intercepte les paquets au niveau de la couche réseau (comme dans les filtres de paquets), mais les données dérivées de toutes les couches de communication sont consultées et analysées pour renforcer la sécurité (plutôt que les couches 4 à 7 dans le cas des passerelles de la couche application). L’inspection dynamique accroît encore davantage le niveau de sécurité en intégrant les attributs de la couche liaison de données et de la couche application et des informations contextuelles consignées et mises à jour de façon dynamique. On obtient ainsi un référentiel de renseignements permettant d’évaluer les tentatives de communication ultérieures.
Interface Frontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels. Il existe souvent entre les deux systèmes un composant intermédiaire servant à connecter leurs interfaces.
Interface de bordure Point de l’interface de service sur la couche réseau à travers duquel un système d’extrémité, un SFI ou un PIZ est relié à l’interréseau d’une zone.
Internet Réseau informatique mondial unique constitué d’un ensemble de réseaux commerciaux, gouvernementaux, éducatifs et autres qui partagent l’ensemble de protocoles spécifiés par le Conseil IAB (Internet Architecture Board) et l’espace de noms et d’adresses géré par la Société pour l’attribution des noms de domaines et numéros sur Internet. (Définition adaptée du document [14]).
Interréseau Combinaison quelconque de réseaux locaux, métropolitains ou étendus fournissant tous les services réseau, ou certains d’entre eux, à une zone de sécurité de réseau.
Maliciel Mot-valise formé de « malveillant » et de « logiciel ». Module logiciel (p. ex. bombe logique, intentionnellement inséré ou intégré dans un système informatique avec le dessein de causer des dommages. (Définition adaptée du document [14]).
Menace Événement ou acte potentiel pouvant avoir l’une ou l’autre des conséquences suivantes : divulgation, destruction, enlèvement, modification ou interruption non autorisée d’information, de biens informatiques ou de services sensibles. Une menace peut être naturelle, délibérée ou accidentelle.
Nœud Dispositif adressable connecté à un réseau informatique. S’il s’agit d’un ordinateur, on l’appelle plus souvent un « hôte ». Le terme nœud comprend également les dispositifs, comme les routeurs et les imprimantes, qui ne sont pas, à proprement parler, des « hôtes ».
Passerelle Système intermédiaire servant d’interface entre deux réseaux informatiques [14].
Périmètre Ligne de connexion imaginaire entourant un ensemble de composants de réseau, qui sert à décrire les limites externes d’un réseau.
Périmètre de sécurité Frontière d’un domaine où s’applique une politique de sécurité ou une architecture de sécurité : par exemple la limite de l’espace dans lequel les services de sécurité protègent les ressources du système [14].
Plateforme Matériel informatique précis ou combinaison donnée de matériel informatique, de système d’exploitation et/ou de compilateur (p. ex. ce programme a été transféré sur plusieurs plateformes). Le terme désigne également toute application logicielle de soutien nécessaire à la réalisation d’une activité (p. ex. ce programme offre une plateforme permettant d’effectuer une recherche dans les protocoles de routage).
Point d’interface de zone Interface et point de connexion entre deux zones de sécurité de réseau à travers laquelle le trafic est acheminé.
Point de présence Point de démarcation artificiel ou interface entre deux entités de télécommunications [5].
Prestation électronique de services Prestation en ligne des services d’information et de transactions du GC aux citoyens, aux entreprises, aux autres gouvernements, aux organisations non gouvernementales et aux employés.
Protocole Ensemble de règles (c.-à-d. formats et procédures) permettant de mettre en œuvre et de contrôler certains types d’association (p. ex., les communications) entre les systèmes. Une suite ordonnée d’étapes informatiques ou de télécommunications qui sont exécutées par deux ou plusieurs entités système pour réaliser un objectif commun [14].
Réseau privé virtuel (RPV)

Réseau informatique logique (c’est-à-dire artificiel ou simulé), à usage restreint, construit à partir des ressources d’un réseau physique (c’est-à-dire réel) relativement public (comme Internet), souvent en faisant appel au chiffrement (au niveau des hôtes ou des passerelles) et souvent en mettant sous tunnel des liaisons du réseau virtuel à travers le réseau réel.

Dans le vocabulaire général, ce terme désigne souvent un réseau qui émule un réseau privé, même s’il passe par les infrastructures et les lignes du réseau public.

Réseau privé virtuel sécurisé (RPVS) Réseau privé virtuel (RPV) utilisant la cryptographie (p. ex. IPsec) contrairement aux réseaux privés virtuels dont la sécurité est simplement fondée sur l’isolement logique (p. ex. commutation multiprotocole par étiquette ou réseau local Ethernet virtuel).
Sensible (information) Une information est dite sensible si sa divulgation, sa contrefaçon, sa destruction ou sa perte peut entraîner des répercussions adverses sur les intérêts ou les activités de celui qui en est propriétaire ou qui l’utilise [14].
Séparation des tâches Principe de sécurité selon lequel les responsabilités liées à une activité de nature sensible ou essentielle sont réparties entre plusieurs entités (personnel, processus, etc.) afin d’aider à empêcher une infraction à la sécurité par une seule entité exerçant un contrôle sur l’ensemble de l’activité.
Services de mandataire Fonction d’interréseau de service d’application pouvant être incorporée à un coupe-feu, et qui crée, pour le client, une duplication des services disponibles sur d’autres serveurs. Pour le client, le mandataire semble être le serveur lui-même, alors que pour le serveur, il se comporte comme le client. (Lorsqu’il est incorporé à un coupe-feu, un service mandataire est souvent appelé « passerelle d’applications.)
Sous-réseau Portion d’un réseau, pouvant constituer un segment physique distinct, qui partage une adresse réseau avec d’autres portions du réseau, dont il se distingue par son numéro de sous-réseau. Le sous-réseau est au réseau ce que le réseau est à l’interréseau.
Système d’extrémité Ordinateur connecté à un réseau qui, pour une instance de communication particulière, constitue la source ou la destination finale des communications.
Système d’extrémité partagé Système d’extrémité connecté à deux ou plusieurs zones de sécurité de réseau, qui n’achemine pas le trafic entre les zones, mais qui satisfait aux exigences de configuration de toutes les zones auxquelles il est relié.
Système de frontière interne Passerelle qui relie deux interréseaux ou plus dans une zone de sécurité de réseau.
Vérification de la sécurité Revue et examen indépendants des enregistrements et des activités d’un système pour vérifier l’efficacité des contrôles système, pour assurer la conformité aux politiques établies et aux procédures opérationnelles, pour détecter les atteintes à la sécurité et pour recommander les modifications qui s’imposent aux contrôles, aux politiques et aux procédures [9].
Vulnérabilité Lacune ou faiblesse dans les efforts de protection d’un réseau, d’un système ou d’un bien de TI [4].
Zone de sécurité de réseau Environnement de réseau clairement délimité relevant d’une autorité de zone de sécurité de réseau et caractérisé par un niveau standard de vulnérabilité aux menaces. On distingue les types de zones d’après les exigences de sécurité s’appliquant aux interfaces, au contrôle du trafic, à la protection des données, au contrôle de la configuration de l’hôte et au contrôle de la configuration du réseau.
Zone démilitarisée (ZD) Partie d’un réseau située entre deux composants du réseau soumis à des politiques de sécurité (par exemple entre Internet et les réseaux internes) et permettant à un organisme d’héberger ses propres services Internet sans risquer l’accès non autorisé à son réseau privé.

Références

Numéro Référence
[1] Secrétariat du Conseil du Trésor du Canada. Politique sur les services et le numérique et Directive sur les services et le numérique. 1er avril 2020.
[2] Secrétariat du Conseil du Trésor du Canada. Politique sur la sécurité du gouvernement. 1er avril 2012.
[3] Secrétariat du Conseil du Trésor du Canada. Directive sur la gestion de la sécurité. 1er juillet 2019.
[4] Centre canadien pour la cybersécurité. La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie. 30 juin 2015.
[5] Centre canadien pour la cybersécurité. Méthodologie harmonisée d’évaluation des menaces et des risques (TRA-1). 23 octobre 2007.
[6] Wikipédia. « Gestion unifiée des menaces ».
[7] Webopedia. IT Business Edge. “DDoS attack – Distributed Denial of Service”. 2015.
[8] Department of Defense (É.-U.). Department of Defense Instruction 8500.01: Cybersecurity. 14 mars 2014.
[9] International Organization for Standardization. ISO 7498-2:1989 Information Processing Systems – Open Systems Interconnection – Basic Reference Model – Part 2: Security Architecture. Février 1989.
[10] SHIREY, Robert W. The Internet Society. “Request for Comments: 4949 – Internet Security Glossary, Version 2”. Août 2007..
[11] Committee on National Security Systems. National Counterintelligence and Security Center. National Information Assurance (IA) Glossary, CNSS Instruction No. 4009. 26 avril 2010.
[12] Centre canadien pour la cybersécurité. ITSG-31, Guide sur l’authentification des utilisateurs pour les systèmes TI.
[13] Rekhter, Y., Moskowitz, B., Karrenberg, D. et al. The Internet Society. “Request for Comments: 1918 – Address Allocation for Private Internets”. Février 1996.
[14] Gendarmerie royale du Canada. G1-026, Guide pour l’établissement des zones de sécurité matérielle. Septembre 2005.
[15] Secrétariat du Conseil du Trésor du Canada. Ligne directrice sur la gestion de l’infrastructure à clé publique au gouvernement du Canada. Janvier 2011.
[16] Secrétariat du Conseil du Trésor du Canada. Norme opérationnelle sur la sécurité matérielle. 18 février 2013.

Liste des annexes

Annexe A : Exigences de base en matière de sécurité pour le Zone d’accès public

Avant-propos

L’ITSP.80.022, Exigences de base en matière de sécurité pour les zones de sécurité de réseau, version 2, Annexe A – Zone d’accès public, est une publication NON CLASSIFIÉ.

La présente version de l’Annexe A de l’ITSP.80.022, version 2, remplace les versions précédentes.

Date d'entrée en vigueur

Le présent document entre en vigueur le 12 janvier 2021.

Historique des modifications

Version Modifications Date
1 Publication de la version 2. 12 janvier 2021.

Annexe A Exigences de sécurité de base pour la zone publique (ZP)

1 Introduction

La présente annexe présente les exigences de base en matière de sécurité qui s’appliquent à la zone d’accès public (ZAP). Une ZAP négocie les accès entre les réseaux organisationnels et la ZP. Une ZAP est un domaine étroitement contrôlé qui protège les réseaux et les applications internes de l’environnement hostile de la ZP (p. ex., Internet). Elle joue également le rôle d’un écran qui masque les ressources internes de la ZP et limite leur exposition. Les interfaces à tous les services externes sont réalisées au moyen d’une ZAP.

Une ZAP peut fournir des services, tels que les services mandataires, les mandataires et passerelles de courrier électronique et d’autres formes de messagerie, les applications de prestation de services, l’accès à distance, l’accès extranet et les services de soutien communs.

Les informations sensibles peuvent transiter par une ZAP, ou y être recueillies, mais elles ne devraient pas être stockées dans une ZAP. Pour limiter la quantité de renseignements sensibles exposés advenant une compromission de la sécurité, tous les renseignements sensibles devraient être transférés dans des bases de données situées dans une ZT, ou dans une ZAR par l’entremise de la ZT, et on devrait y accéder au moyen d’applications dans la ZAP.

L’état de sécurité d’une ZAP atténue les menaces posées par des auteurs de menace appartenant aux catégories de niveau Md4 et inférieursNote de bas de page 6. On suppose toutefois que des auteurs de menace de niveau Md5Note de bas de page 7 pourraient arriver à contourner les contrôles de sécurité réseau d’une ZAP. Une ZATR peut être mise en œuvre si une partie ou la totalité des données est susceptible d’être la cible d’auteurs de menace appartenant aux catégories de menace de niveau Md5 et inférieurs.

A.2 Modèle de référence de la ZAP

La présente section décrit le modèle de référence de la ZAP, lequel découle du modèle de référence générique. Une ZAP comprend les composants mentionnés au tableau 5.

Tableau 5 : Composants de la ZAP

Composant Description
Systèmes d’extrémité Les systèmes d’extrémité se connectent généralement au composant de l’interréseau (se reporter à la sous-section A.2.1) et font office de tampon entre une ZP et les zones internes de l’organisation. Le trafic réseau provenant d’une ZP est traité par les systèmes d’extrémité connectés à l’interréseau (p. ex. ZD) avant d’être acheminé au PIZ de la ZT.
Interréseaux Le nombre d’interréseaux varie selon les types de services pris en charge et le degré de séparation nécessaire entre les services dans la ZAP. Par exemple, un interréseau pourrait tenir compte du modèle de service Internet (services d’applications exposés au public), alors que le deuxième interréseau gère les services d’entreprise réseau de l’organisation. Assurer la séparation entre ces services renforce la résilience des services. Une ZD est un interréseau spécialisé.
Système de frontière interne (SFI) Le SFI sépare les interréseaux et les services, tels qu’il est illustré à la figure 7 ci dessous.

Une ZAP peut avoir plus d’un de chacun des composants énumérés plus haut. Par ailleurs, elle peut prendre en charge une partie d’une organisation, une organisation complète ou plusieurs organisations.

Remarque: Dans le contexte du GC, une ZAP peut prendre en charge une entreprise du GC, un ministère ou un organisme.

La figure 7 illustre la topologie logique d’une ZAP. Une ZP (p. ex. Internet ou autres réseaux externes) est connectée à une ZAP par l’entremise du PIZ de la ZP-ZAP. Les zones internes sont accessibles par un PIZ de la ZAP-ZT qui connecte les ZT internes.

Figure 7 : Topologie logique de la ZAP

Description détaillée suit immédiatement
Description détaillée

Figure 7 : Topologie logique de la ZAP

A.2.1 Système d’extrémité et hôtes

Les systèmes d’extrémité et les hôtes de la ZAP sont connectés aux interréseaux (se reporter à la sous-section A.2.4). Ils hébergent les ressources des applications qui sont connectées à une ZP (p. ex. les systèmes Internet). Vous ne devriez pas stocker les données essentielles sur un système d’extrémité ou les héberger dans une ZAP. Il convient plutôt d’utiliser des mandataires dans une ZAP pour négocier le contrôle des accès entre les hôtes de la ZP et les services situés dans d’autres zones, qui sont autorisés à offrir un accès externe. Pour négocier les contrôles d’accès, les hôtes utilisés dans une ZAP mettent fin aux sessions TCP/IP démarrées depuis les hôtes de la ZP, puis démarrent de nouvelles sessions TCP/IP sur les services des autres zones.

La ZAP peut prendre en charge les services génériques indiqués dans le tableau 6. Ces dernières ont des objectifs et des exigences qui leur sont propres.

Tableau 6 : Services génériques pris en charge par une ZAP

Service générique Description
Service de courrier électronique Les utilisateurs externes accèdent aux services de messagerie au moyen de services d’accès à distance.
Services Web
(accès Web des employés)
Les services Web permettent aux employés d’accéder aux sites Internet publics.
Services de soutien communs Les services de soutien communs fournissent les services communs nécessaires à l’exploitation d’un réseau sécurisé (p. ex. service de nom de domaines [DNS], agent de système d’annuaire [DSA] et protocole de synchronisation réseau [NTP]).
Accès mobile et à distance pour les employés L’accès mobile et à distance pour les employés, qui comprend l’accès mobile et à distance sans fil et les réseaux privés virtuels sécurisés [RPVS], permettent aux employés d’accéder aux ressources organisationnelles.
Services extranet Les services extranet fournissent une méthode sécurisée pour interfacer avec des organismes partenaires extérieurs à votre organisation.
Applications de prestation de services Les applications de prestation de services fournissent une interface Web pour l’accès du public aux services du gouvernement et des ministères.

Une ZAP unique n’a pas à offrir tous les services génériques. En fait, dans la plupart des cas, la ZAP n’offrira qu’un petit sous-ensemble des services ci-dessus. Par exemple, les services d’accès pour les employés (mandataires de sortie, voix sur IP [VoIP] vers le réseau téléphonique public commuté [RTPC] et accès à distance) constituent un regroupement naturel. La prestation de services en ligne au public peut constituer un autre regroupement naturel. Il est donc prévisible que la taille et la complexité de la ZAP et de l’ensemble de la ZAP varieront considérablement selon les besoins opérationnels de l’organisation.

Les services de soutien communs fournissent les fonctions d’infrastructure nécessaires à l’exploitation du réseau. Il peut s’agir de services publics (p. ex. une interface utilisateur de l’infrastructure à clé publique [ICP] ou une interface utilisateur de l’infrastructure de gestion des privilèges), de services privés (p. ex., la détection des intrusions, l’heure réseau) ou un service de frontière (comme DNS ou DSA).

Un extranet constitue une extension contrôlée du réseau privé de l’organisation permettant de partager de l’information et des ressources pour des besoins opérationnels particuliers avec des partenaires spécifiques. Un extranet devrait aboutir dans une ZAP. Son utilisation est régie par des ententes standards donnant à l’organisation un contrôle limité sur la configuration externe. On notera que cet extranet « général » est différent de la ZEAR décrite dans la section 2.1.6. Un tel extranet d’accès restreint, réservé à des partenaires de confiance absolue, peut aboutir dans un PIZ de la ZT contrôlé par l’organisation et serait régi par une entente propre à l’instance extranet, avec des contrôles mutuellement convenus.

La figure 8 illustre une ZD potentielle dont le trafic est acheminé par l’entremise de ces services.

Figure 8 : Exemples de ZD

Description détaillée suit immédiatement
Description détaillée

Figure 8 : Exemples de ZD

A.3 Objectifs de sécurité d’une ZAP

En général, la ZAP fournit un service de sécurité aux autres zones contrôlées par l’organisation, en protégeant ces zones contre la plupart des menaces qui émanent des ZP.

Chaque objectif ou exigence spécifié dans la présente annexe est identifié suivant les règles de notation suivantes :

  • le premier groupe de lettres (PAZ pour Public Access Zone) désigne la ZAP;
  • le second groupe de lettres précise s’il s’agit d’un objectif (OBJ) ou d’une exigence (REQ pour Requirement);
  • les exigences sont regroupées selon les catégories suivantes, le cas échéant :
    • Interface réseau (NI pour Network Interface);
    • Contrôle du trafic (TC pour Traffic control);
    • Configuration réseau (NC pour Network Configuration);
    • Configuration d’hôte (HC pour Host Configuration);
    • Protection des données (DP pour Data Protection);
  • chaque objectif ou exigence est numéroté en séquence dans son groupe.
    Remarque: Les objectifs et les exigences ne sont pas indiqués en ordre séquentiel; certaines exigences ont été supprimées ou modifiées comparativement aux précédentes versions du présent document.

A.3.1 Objectifs de contrôle du trafic

[PAZ-OBJ-100] La ZAP devrait négocier les flux de trafic de tous types entre les réseaux internes et la ZP.

[PAZ-OBJ-101] Tous les types de trafic à destination ou en provenance d’une ZP devraient être contrôlés au moyen des PIZ de ZP.

[PAZ-OBJ-103] La ZAP devrait se protéger elle-même contre les changements non autorisés de la configuration de réseau.

[PAZ-OBJ-104] La ZAP devrait empêcher les utilisateurs autorisés d’utiliser les ressources Internet de façon illégale ou illicite.

[PAZ-OBJ-105] La ZAP devrait empêcher les utilisateurs autorisés d’utiliser les ressources Internet de façon illégale ou illicite.

Remarque: Les mesures de sécurité réseau ont une efficacité limitée pour ce qui est de protéger les systèmes d’extrémité contre les compromissions à partir d’interfaces d’applications valides. Il convient de mettre en place des mesures visant les plateformes, les applications et la sécurité opérationnelle en vue d’atténuer les risques associés à ce type de menace.

[PAZ-OBJ-107] La ZAP devrait permettre de renforcer les mesures de sécurité en réponse à un accroissement du niveau de la menace (p. ex. lors d’une période de crise). Les mesures pourraient comprendre ce qui suit :

  • la mise en place de contrôles de trafic souples et dynamiques basés sur les communautés d’intérêt;
  • une surveillance accrue de l’infrastructure réseau impartie par les fournisseurs de services réseau.

A.3.2 Objectifs de la disponibilité et l’intégrité du réseau

[PAZ-OBJ-108] Une ZAP devrait protéger l’intégrité et la disponibilité des systèmes d’extrémité qui y sont connectés. Une ZAP devrait effectuer les fonctions suivantes :

  • réduire l’incidence des attaques par déni de service sur les systèmes d’extrémité qui sont menées par toutes les autres sources de menace;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs de s’introduire dans le réseau (p. ex. en connectant un dispositif non autorisé à une interface existante, en ajoutant une interface de bordure non autorisée) pour accéder aux systèmes d’extrémité;
  • réduire l’incidence des intrusions réalisées par toutes les autres sources dans le réseau;
  • contenir l’incidence de la compromission d’un système d’extrémité;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs d’exploiter les systèmes d’extrémité comme base de lancement pour attaquer les autres systèmes;
  • empêcher les autres sources de menace d’utiliser les systèmes d’extrémité comme base de lancement d’attaques contre d’autres systèmes;
  • empêcher la propagation de trafic malveillant dans une ZAP depuis d’autres zones;
  • prévenir la propagation des maliciels.

A.3.3 Objectifs de la protection des données

[PAZ-OBJ-109] Une ZAP devrait empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs d’intercepter le trafic de la zone, et être en mesure de réduire la susceptibilité aux interceptions non détectées de toutes les autres sources.

[PAZ-OBJ-110] Une ZAP devrait prendre en charge les mesures suivantes pour protéger la confidentialité et l’intégrité des données :

  • RPVS dans l’interréseau;
  • RPVS en tant que service de données facultatif;
  • protocoles de sécurité de la couche supérieure.

A.3.4 Objectifs de sécurité pour les services fonctionnels de la ZD

Chaque fonction fournie par la ZD correspond à un ensemble distinct d’objectifs de sécurité. Cette section décrit les objectifs de sécurité de haut niveau que permet d’atteindre la sécurité appliquée à chaque service.

[PAZ-OBJ-111] Les objectifs de sécurité pour les services de courrier électronique fournis par une ZP sont les suivants :

  • isoler les réseaux internes de la ZP au moyen de passerelles de messagerie;
  • acheminer le trafic de courrier entrant et sortant par des interfaces rigoureusement contrôlées;
  • protéger le réseau interne des programmes malveillants;
  • protéger les destinataires externes contre le trafic de courrier malveillant provenant de votre organisation;
  • protéger le réseau interne et les réseaux externes contre les pourriels et les autres formes d’attaque visant le courrier électronique.

[PAZ-OBJ-112] Les objectifs de sécurité pour les mandataires d’entrée et de sortie utilisés par les services Web sont les suivants :

  • isoler les réseaux internes de la ZP au moyen des services de mandataire;
  • mettre fin aux connexions établies à l’intérieur de la ZD;
  • protéger les réseaux externes des programmes malveillants;
  • protéger le réseau interne des programmes malveillants.

[PAZ-OBJ-113] Les objectifs de sécurité pour les services de soutien communs sont les suivants :

  • assurer la disponibilité continue des services d’infrastructure, tels que les services de nommage et d’annuaire, à l’appui des services et des applications de haut niveau;
  • assurer l’intégrité des services de soutien communs fournis aux services et aux applications de haut niveau;
  • protéger l’information privée utilisée et transportée par les services de soutien communs;
  • assurer l’authentification des services homologues.

[PAZ-OBJ-114] Les objectifs de sécurité pour les services extranet sont les suivants :

  • assurer une authentification mutuelle des interfaces extranet;
  • assurer des contrôles d’accès pour restreindre l’accès aux ressources internes de l’organisation;
  • se protéger contre le trafic malveillant provenant de partenaires;
  • responsabiliser les partenaires extranet;
  • protéger le réseau des partenaires du trafic malveillant provenant de votre organisation;
  • protéger en cours de transmission les données échangées avec les utilisateurs extranet.

[PAZ-OBJ-115] Les objectifs de sécurité pour l’accès mobile et à distance pour les employés sont les suivants :

  • assurer une authentification forte des utilisateurs à distance et des utilisateurs mobiles;
  • permettre l’accès aux zones internes de l’organisation à tous les utilisateurs autorisés;
  • sécuriser tout le trafic des accès à distance et des accès mobiles au moyen d’un réseau privé virtuel sécurisé.

[PAZ-OBJ-116] Les objectifs de sécurité pour les applications de prestation de services sont les suivants :

  • assurer l’authentification d’entité des services homologues et des personnes, selon les besoins;
  • assurer la confidentialité et la protection des renseignements personnels correspondant à la sensibilité de l’information et des services livrés par l’organisation;
  • se protéger contre le trafic malveillant provenant des homologues et des utilisateurs de la prestation de services;
  • protéger les dépôts de données de l’organisation par une séparation des applications de prestation de services exposées au public;
  • assurer la disponibilité des services d’infrastructure conformément aux ententes (p. ex., haute disponibilité);
  • se protéger contre le trafic malveillant provenant des homologues et des utilisateurs de la prestation de services;
  • promouvoir la responsabilisation au niveau de la prestation de services.

Remarque: Les services de sécurité propres aux applications de prestation de services, comme les services de contrôle d’accès et de non-répudiation, devraient être fournis par des composants propres à l’application qui sont déployés dans la ZD.

A.4 Exigences de sécurité

Cette section décrit les exigences de base en matière de sécurité d’une ZAP. Elles sont classées en fonction des exigences opérationnelles (c.-à-d., selon les catégories interface réseau, contrôle du trafic, configuration réseau, configuration d’hôte et protection des données). Chaque catégorie d’exigences opérationnelles comporte les sous-catégories suivantes :

  • exigences communes qui s’appliquent à l’ensemble de la ZT;
  • exigences relatives à l’interréseau;
  • exigences relatives au système de frontière interne (SFI);
  • exigences des systèmes d’extrémité.

Pour satisfaire à tous les objectifs de sécurité décrits à la section A.3, il faut mettre en œuvre l’ensemble complet des exigences de sécurité mentionnées dans le tableau 7.

Tableau 7 : Exigences de base en matière de sécurité de la ZAP

Numéro de l’objectif Numéro de l’exigence Exigence de la zone Contrôle de l’ITSG-33 connexe SFI Interréseau Système d’extrémité
Interface réseau
PAZ-OBJ-108 PAZ-NI-100

Sauf pour les exceptions indiquées ci-après, les nœuds ZAP ne sont pas connectés, ni simultanément ni périodiquement, à une zone autre qu’une ZG.

Les nœuds ZAP comprennent tout type de dispositif, comme les ordinateurs portatifs, les imprimantes, les passerelles, les commutateurs, les multiplexeurs, les routeurs et les ordinateurs, sans toutefois s’y limiter.

AC 5
AC 6 (1)
AC 6 (5)
CM 3
X X X
PAZ OBJ 101 PAZ NI 102

Pour protéger la ZD contre les interventions et les manipulations de sujets non fiables, le réseau interne de la ZD est isolé de toute autre infrastructure réseau.

Une ZD ne partage pas les infrastructures suivantes :

  • une infrastructure de couche réseau avec une autre zone ou un composant interréseau;
  • une infrastructure de couche liaison de données avec une autre zone ou un composant interréseau;
  • une infrastructure de couche physique avec une ZP.

Remarque: Une ZD peut partager des infrastructures de couche physique avec des zones contrôlées par l’organisation.

SC 7 X X -
PAZ-OBJ-101 PAZ-NI-107

Les interréseaux de la ZAP sont séparés des autres réseaux. Ils veillent à ce que le trafic interface avec les composants suivants seulement :

  • les PIZ;
  • les SFI vers d’autres interréseaux;
  • les systèmes d’extrémité de la ZAP.
AC 4 - X -
PAZ-OBJ-108 PAZ-NI-108 Les composants des SFI (le cas échéant) et des interréseaux prennent en charge les dispositifs de détection d’intrusion installés sur le réseau (p. ex. moniteurs) et la collecte de données depuis ces dispositifs. SI 4 (4) X X -
Contrôle du trafic
PAZ OBJ 108 PAZ TC 100

Tous les chemins réseau à destination ou en provenance d’une ZP (p. ex. Internet) transitent par une ZAP.

Seule la ZEAR peut être connectée directement à une ZT ou à une ZAR.

Une ZP ne peut être connectée directement aux réseaux internes que s’ils se trouvent dans la ZAP.

SC 7 X X -
PAZ OBJ 108 PAZ TC 101

La ZAP définit les exigences du service de contrôle d’accès en se basant sur les principes suivants :

  • restreindre les chemins d’accès aux systèmes d’extrémité vulnérables dans les zones adjacentes;
  • limiter les chemins d’accès aux réseaux disponibles pour les systèmes d’extrémité accessibles depuis l’extranet;
  • appliquer le service de contrôle en fonction de la source de la couche réseau, la destination de la couche réseau, le protocole de transport et l’interface de service de la couche transport.
AC 4
SC 7
SC 7 (5)
X X -
PAZ OBJ 108 PAZ TC 103 Les SFI mettent en œuvre des contrôles de la couche réseau et des couches supérieures afin de protéger les hôtes de la ZD contre le trafic en provenance des autres zones, et de protéger les autres zones dans les cas où le trafic malveillant provient de l’intérieur de la ZD. SC-7 X - -
PAZ OBJ 108 PAZ TC 104

Le trafic de gestion de la ZAP, autre que le trafic se rapportant exclusivement à l’état du dispositif, est séparé du trafic opérationnel.

Veuillez vous reporter à l’annexe E pour plus de détails sur la façon de séparer le trafic de gestion dans les zones.

AC 4
SC 37
X X X
PAZ OBJ 107 PAZ TC 106

La ZAP est en mesure de réagir rapidement au renforcement du niveau de sécurité en cas d’urgence ou d’accroissement de la menace, quand et comment il est autorisé à le faire. Par exemple, une ZAP peut rehausser le niveau de sécurité du réseau en ajoutant des mesures de sécurité, comme :

  • le filtrage à chaque interface de la ZAP;
  • la surveillance (active et passive);
  • une protection visant à assurer la prestation continue des services essentiels (p. ex. reconfigurer ou bloquer les services non essentiels au besoin);
  • la vérification.

La mise en œuvre de ces mesures de sécurité fait l’objet de tests rigoureux pour s’assurer que les capacités en question ne peuvent pas être utilisées pour causer une attaque par déni de service.

Le personnel autorisé a reçu la formation nécessaire pour lancer de telles mesures.

AC 4
IR 4
SC 7
SI 4
AU 6
X X X
PAZ OBJ 108 PAZ TC 107

L’autorité de zones de sécurité de réseau de la ZAP définit la stratégie de contrôle d’accès propre à la ZAP de la façon suivante :

  • la stratégie de contrôle d’accès favorise la séparation des communautés d’intérêts (c’est-à-dire, lorsque le trafic de réseau est divisé en communautés d’intérêts naturelles, la stratégie de contrôle d’accès impose ces trafics naturels);
  • la stratégie de contrôle d’accès restreint les chemins réseau menant aux systèmes d’extrémité vulnérables ou sensibles (p. ex. les sous-réseaux de test et de développement et les serveurs d’applications prenant en charge des applications publiques);
  • la stratégie de contrôle d’accès limite les chemins d’accès aux réseaux disponibles pour les systèmes d’extrémité accessibles depuis l’extranet;
  • la stratégie de contrôle d’accès interdit tout trafic qui n’est pas explicitement autorisé;
  • le trafic en provenance et en direction des serveurs d’applications est limité aux adresses et aux protocoles nécessaires pour prendre en charge les communications vers ces serveurs;
  • la stratégie de contrôle d’accès limite l’accès aux autres systèmes d’extrémité par l’intermédiaire des hôtes d’accès distants si une autorité de zone de sécurité de réseau de la ZAP autorise la connexion à une ZAP par l’intermédiaire d’hôtes d’accès distants exécutant un système d’exploitation qui ne fait pas la distinction entre les rôles des utilisateurs et des administrateurs.
AC-2
AC-3
AC-4
AC-17
SC-7
SC-7 (5) SC-7 (11)
X X X
PAZ OBJ 108 PAZ TC 108 Si la ZAP offre plus d’une classe de service, les interréseaux comportent des mécanismes visant à empêcher que les classes de service n’interfèrent les unes avec les autres. AC-4 - X -
PAZ OBJ 108 PAZ TC 109 Les interréseaux utilisent un modèle d’adressage qui détecte et analyse le trafic malveillant. CA 3
SC 7
SI 3
- X -

PAZ OBJ 109
PAZ OBJ 110

PAZ TC 110 Une ZAP prend en charge le trafic IPSec entre toute paire d’interfaces périphériques. SC-8 X X X
PAZ OBJ 100 PAZ TC 111 Tous les chemins réseau entre les hôtes d’une ZP et ceux d’une zone interne transitent par un PIZ et par les services de sécurité situés dans une ZAP. SC-7 X X -
PAZ OBJ 108 PAZ TC 112 Toute l’information relative au contrôle du trafic et au flux de données jugée pertinente aux fins de vérification est enregistrée dans le journal de vérification de sécurité conformément aux exigences en matière de service de vérification de la sécurité. AU 1
AU 2
- X X
PAZ OBJ 100 PAZ TC 113 Toutes les connexions à une ZAP en provenance d’un PIZ de ZP ou d’un PIZ de ZT aboutissent dans la ZD. SC-7 - X X
PAZ OBJ 100 PAZ TC 114

Dans la ZD, le trafic est séparé de façon à ne pouvoir circuler qu’entre les nœuds associés.

La séparation dans la ZD limite l’incidence de la compromission d’un hôte de la ZD. Par exemple, un auteur de menace ne devrait pas être en mesure d’utiliser un serveur Web compromis pour attaquer d’autres hôtes dans la ZD.

SC 7
AC 4
- X X
PAZ OBJ 108 PAZ TC 115 Le trafic associé à différentes classes de service est strictement séparé et toute communication demandée entre les classes de service se fait par des interfaces bien définies. SC-7 X X X
PAZ OBJ 100 PAZ TC 116

Une ZD qui offre plus d’une fonction (selon la définition donnée à la section A.2.1), ou qui comporte plus d’un domaine de sécurité, assure une séparation entre les fonctions et les domaines de sécurité afin :

  • de prévenir les interférences entre les domaines de sécurité;
  • de refléter les stratégies d’accès spécifiques;
  • de protéger les fonctions sensibles ou essentielles sur des hôtes spécialisés;
  • d’assurer la prestation continue des services essentiels;
  • de veiller à ce que toute compromission d’un système d’extrémité de la ZD soit contenue dans les limites de la ZD.
SC 7
AC 4
X X X
PAZ OBJ 101 PAZ TC 117 Il n’y a pas de possibilités de conflit entre les règles de trafic. Si un conflit potentiel existe, il pourrait être nécessaire de diviser physiquement les fonctions ou les domaines de sécurité, ainsi que les SFI associés, en grappes spécialisées à l’intérieur de la ZD. SC-7 X X -
PAZ OBJ 112 PAZ TC 119

Pour fournir aux employés l’accès au Web, la fonctionnalité permet de traiter le trafic HTTP, HTTPS et FTP à l’intérieur du réseau de la ZAP.

Bien que les employés puissent avoir besoin d’accéder au Web pour accomplir leurs tâches, il faut appliquer les limites normales aux protocoles disponibles. Certaines organisations peuvent imposer des contrôles d’accès supplémentaires fondés sur les tâches, mais la ZAP accepte les protocoles ci-dessus pour répondre aux exigences communes de mise en œuvre.

SC-7 X X -
PAZ OBJ 112 PAZ TC 120

Tout le trafic causé par l’accès des employés au Web est traité par un service mandataire. Ces services mandataires prennent en charge les fonctions suivantes :

  • balayage et filtrage du contenu;
  • gestion de l’accès Web (c.-à-d. filtrage des URL);
  • mise en quarantaine ou élimination du trafic illicite;
  • notification;
  • journaux et vérifications.
AC 4
SC 7 (8)
AU 2
AU-3
X X -
PAZ OBJ 112 PAZ TC 122 La ZD permet la détection et le blocage des programmes malveillants et des codes mobiles. SI-3 X X -
PAZ OBJ 112 PAZ TC 123 L’autorité de zone de sécurité réseau de la ZAP administre la détection des programmes malveillants et le filtrage du contenu. SI-4 X X -
PAZ OBJ 111 PAZ TC 124 La surveillance et le filtrage du contenu respectent la Politique sur les services et le numérique et la Directive sur les services et le numérique [1]. SI-4 X X -
PAZ OBJ 111 PAZ TC 128 Tout le trafic de courrier entrant et sortant est négocié et traité dans une ZD par l’entremise du serveur mandataire. AC 4
SC 7
X X -
PAZ OBJ 111 PAZ TC 129 Tout le trafic de courrier est négocié et traité par une passerelle de messagerie capable d’assurer le filtrage du contenu et la protection contre les codes mobiles et les maliciels.note de bas de page 8 SC 7
SI 3
SI 4
X X -
PAZ OBJ 111 PAZ TC 131 Le trafic de courrier entrant n’est acheminé que vers une liste restreinte de serveurs de messagerie homologues. AC 4 X X -
PAZ OBJ 111 PAZ TC 132 Le trafic de courrier entrant et sortant et les pièces jointes sont analysés aux fins de détection de maliciels à moins que le chiffrement de bout en bout ait été utilisé. SI 3
SI 15
X X -
PAZ OBJ 111 PAZ TC 134

En s’appuyant sur la Politique sur les services et le numérique et la Directive sur les services et le numérique, l’autorité de zone de sécurité réseau de la ZAP détermine ce qui suit :

  • s’il y a lieu d’utiliser un dispositif de balayage de contenu dans la ZAP pour détecter, mettre en quarantaine et supprimer des courriers électroniques qui contiennent des données sensibles, du contenu répréhensible ou des propos illicites;
  • s’il y a lieu de bloquer les pièces jointes qui contiennent, par exemple, des fichiers audio ou vidéo ou des programmes exécutables;
  • s’il y a lieu de stocker les courriers électroniques très volumineux pour les livrer durant les périodes de faible trafic;
  • s’il y a lieu de bloquer les pourriels.
AC 4
SI 3
SI 4
SI 8
X X -
PAZ OBJ 111 PAZ TC 135

Le trafic de courrier entrant (en provenance d’une autre zone) dont le champ de l’expéditeur contient une adresse appartenant à une entité à l’intérieur de la zone est bloqué.

-

Le trafic de courrier sortant (à destination d’une autre zone) dont le champ de l’expéditeur contient une adresse appartenant à une entité à l’extérieur de la zone est bloqué.

-

Des mesures sont prises pour vérifier la légitimité des adresses de provenance et de destination des courriers électroniques (p. ex., signature numérique). Ces mesures empêcheront l’usurpation des adresses de courrier électronique.

-

SI 15 X X -
PAZ OBJ 115 PAZ TC 136 Pour permettre aux employés d’accéder aux ressources internes situées dans une ZT ou une ZAR, l’accès à distance est autorisé à partir de la ZP par l’intermédiaire d’interfaces rigoureusement contrôlées dans la ZAP. SC-7 X X -
PAZ OBJ 115 PAZ TC 137

L’accès à distance est limité au trafic en provenance d’entités de réseau autorisées et authentifiées. Les services de sécurité réseau suivants sont utilisés au niveau de la couche réseau :

  • l’authentification de l’entité homologue, avec authentification forte, est appliquée dans la ZAP. Cela inclut le soutien de la mobilité de l’hôte et de l’utilisateur;
  • l’authentification de l’origine des données.
Pour des exigences additionnelles sur l’authentification, se reporter à l’ITSG-31, Guide sur l’authentification des utilisateurs pour les systèmes TI

-

[12].
IA 2 (11)
AC 17
X X X
PAZ OBJ 115 PAZ TC 138 L’authentification forte de l’entité homologue se fait au moyen de l’ICP (les ministères du GC utilisent l’ICP du GC). SC 12
IA 2
- - X
PAZ-OBJ-115 PAZ-TC-139 Les contrôles d’accès à une autre zone de l’organisation sont appliqués en fonction de l’identité authentifiée du client distant. IA-2 X X X
PAZ-OBJ-115 PAZ-TC-140

Tout le trafic d’accès RPVS mobile en provenance de la ZP aboutit sur une passerelle RPVS. La passerelle du RPVS est située dans une ZAP. Il est recommandé que ce trafic soit déchiffré à la passerelle RPVS.

Le trafic d’accès à distance ou mobile permet aux employés d’accéder aux zones internes. Dans la plupart des cas, ce trafic n’a pas besoin d’être chiffré à l’intérieur de la zone de destination. Il est donc recommandé que ce trafic soit déchiffré à la passerelle RPVS afin d’appliquer les contrôles de trafic dans la ZAP.

Le chiffrement de bout en bout peut être nécessaire dans certaines situations. Pour ce faire, il convient d’acheminer le trafic par des tunnels imbriqués de façon à ce que l’authentification se fasse dans la ZAP. L’exigence suivante concerne les points d’accès à distance ou mobiles permettant d’établir des tunnels imbriqués.

SC-8
SC-13
X X X
PAZ-OBJ-115 PAZ-TC-141 Sous réserve des exigences ci-dessus, les points d’accès à distance ou mobiles permettent des communications sécurisées de bout en bout par des tunnels imbriqués entre le client et l’hôte de destination qui se trouve dans une autre zone. AC-17 (2) - X X
PAZ-OBJ-115 PAZ-TC-142 Les services parrainés par l’organisation, comme les serveurs de service d’accès distant, sont mis en œuvre dans la ZAP. AC-17 (3) X X X
PAZ-OBJ-116 PAZ-TC-143 Tout le trafic de prestation de services, entrant comme sortant, aboutit dans la ZAP. AC-4
SC-7
X X X
PAZ-OBJ-116 PAZ-TC-144 Les associations de sécurité entre les systèmes d’extrémité de prestation de services et les composants d’applications installés dans la ZD et les serveurs ou bases de données dorsaux sont rigoureusement contrôlées. Ces associations de sécurité sont établies en utilisant une authentification forte de l’entité homologue. IA-3 - - X
PAZ-OBJ-116 PAZ-TC-145 Tout le trafic de prestation de services est négocié et traité par des processus d’application résidant dans la ZD. SC-7 X X X
PAZ-OBJ-108 PAZ-TC-146 La ZD permet la détection et le blocage des programmes malveillants et des codes mobiles. SI-3 X X X
PAZ-OBJ-114 PAZ-TC-147 L’accès à distance est limité au trafic extranet en provenance d’entités de réseau autorisées et authentifiées. AC-3
IA-3
SC-7
X X X
PAZ-OBJ-114 PAZ-TC-148 Une authentification forte de l’entité homologue est assurée, au minimum, sur la couche réseau entre le point de présence (PDP) extranet du partenaire extérieur et la ZAP. IA-3 - - X
PAZ-OBJ-110 PAZ-TC-150 L’authentification forte de l’entité homologue se fait au moyen de l’ICP (les ministères du GC utilisent l’ICP du GC). Pour de plus amples renseignements sur l’authentification, se reporter à l’ITSG-31, Guide sur l’authentification des utilisateurs pour les systèmes TI [18]. SC-12
IA-3
- - X
PAZ-OBJ-114 PAZ-TC-151

Les contrôles d’accès à une autre zone de l’organisation sont appliqués en fonction de l’identité du PDP extranet.

Remarque: Dans une entente extranet, le partenaire s’engage à restreindre l’accès aux hôtes autorisés au sein de son propre réseau.

AC-3
IA-3
- X X
PAZ-OBJ-114 PAZ-TC-152

Tout le trafic RPVS extranet en provenance de la ZP aboutit sur une passerelle RPVS. Cette dernière est située dans la ZD (c.-à-d., derrière un réseau d’accès externe [RAE] ou un système de frontière de ZD), ou la passerelle RPVS devrait constituer elle-même un RAE ou un système de frontière de ZD.

La passerelle RPVS se trouve dans la ZD pour éviter les connexions non autorisées à une ZT ou à une ZAR.

SC-8
SC-13
X X X
PAZ-OBJ-114 PAZ-TC-153

Sous réserve des exigences ci-dessus, les points d’accès à distance permettent des communications sécurisées de bout en bout par des tunnels imbriqués entre le client et l’hôte de destination qui se trouve dans une autre zone de l’organisation.

Remarque: Les exigences ci-dessus limitent les possibilités de la ZAP en matière d’identification des trafics et des programmes malveillants. Les hôtes de l’organisation qui participent à un extranet ont besoin de moyens supplémentaires de détection des intrusions et des programmes malveillants.

AC-20
CA-3
- - X
PAZ-OBJ-113 PAZ-TC-154 L’instance du service de nommage de la ZAP sépare logiquement l’information de nommage interne de l’organisation de l’information de nommage de la ZP. SC-22 X X X
PAZ-OBJ-113 PAZ-TC-155 Tout le trafic du service de nommage de la ZP est dirigé vers l’instance du service de nommage de frontière qui se trouve dans la ZAP. SC-22 X X X
PAZ-OBJ-113 PAZ-TC-156 Les transferts des configurations internes du service de nommage de l’organisation à une ZP sont autorisés. SC-22 X X X
PAZ-OBJ-113 PAZ-TC-157 Les transferts de configurations de nommage de l’organisation à l’instance du service de nommage de frontière de la ZAP ne sont permis qu’à partir des services de nommage homologues de l’organisation. < SC-22 X X X
PAZ-OBJ-113 PAZ-TC-158 Les transferts de configurations de nommage de la ZP ne sont permis qu’à partir des services de nommage du fournisseur de services de la ZP. SC-22 X X X
PAZ-OBJ-113 PAZ-TC-159 L’instance du service de temps de la ZAP isole logiquement le service de temps interne de l’organisation de celui de la ZP. AU-8 X X X
PAZ-OBJ-113 PAZ-TC-160 Tout transfert du protocole NTP de la ZP est dirigé vers l’instance du service de temps situé dans la ZAP. AU-8 X X X
PAZ-OBJ-108 PAZ-TC-162 L’autorité de zone de sécurité réseau de la ZAP veille à autoriser seulement les types de trafic (c.-à-d., les ports et les services associés) qui sont essentiels à l’organisation et à ses activités. SC-7 (5) X X X
PAZ-OBJ-108 PAZ-TC-163

Le filtrage de tous les paquets IP en provenance d’une ZP est fait par la ZAP pour s’assurer que seuls les types de paquets appropriés et les paquets ayant des points d’accès de service et des adresses de destination appropriés sont admis dans la ZAP. Au minimum, le trafic en provenance d’une ZAP est filtré de manière à bloquer ce qui suit :

  • tout trafic contenant des adresses de diffusion générale dirigée;
  • tout trafic contenant des adresses de bouclage du réseau;
  • le trafic destiné à une adresse réservée RFC 1918 [13];
  • le trafic de réseau dont l’adresse source ou de destination est 0.0.0.0;
  • le trafic entrant dont l’adresse IP source est interne;
  • tout trafic contenant de l’information de routage IP source;
  • tout trafic de gestion (p. ex. protocole SNMP [Simple Network Management Protocol]);
  • les diffusions de messages de contrôle Internet (protocole ICMP);
  • tout trafic malveillant détecté qui vise une ZAP.

Ce filtrage permettra de protéger la ZAP contre les attaques par déni de service et la mystification.

SC-7 X X X
PAZ-OBJ-101 PAZ-TC-164 Après filtrage, le trafic en provenance d’une ZP est acheminé vers l’interface de la ZD qui correspond à sa destination et à son service spécifique. SC-7 X X X
PAZ-OBJ-108 PAZ-TC-165 Les paquets IP destinés à la ZP sont filtrés pour interdire à tout paquet contenant des adresses non valides ou incorrectes de sortir d’une ZAP. SC-5 X X X
PAZ-OBJ-108 PAZ-TC-166 Les paquets IP destinés à la ZP sont filtrés pour bloquer les paquets qui contiennent une adresse privée de l’organisation comme source IP. SC-22 X X X
PAZ-OBJ-101 PAZ-TC-167 Sauf lorsqu’une application l’exige expressément, la ZAP n’accepte que les protocoles pouvant être examinés par un service mandataire. SC-7 X X X
PAZ-OBJ-116 PAZ-TC-168 La ZAP peut négocier et examiner les paquets entrants et sortants, jusqu’au niveau de la couche application (c.-à-d. jusqu’à la couche 7) du modèle OSI (Open System Interconnection). SI-4 X X X
PAZ-OBJ-104 PAZ-TC-170 Une ZAP peut rejeter toute demande de service mal formulée. SI-4 X X X
PAZ-OBJ-108 PAZ-TC-176

Le filtrage de tous les paquets IP en provenance d’une zone interne est effectué pour s’assurer que seuls les types de paquets appropriés et les paquets ayant des points d’accès de service et des adresses de destination appropriés sont admis dans la ZAP. Au minimum, le filtrage du trafic bloque ce qui suit :

  • tout trafic contenant des adresses de diffusion générale dirigée;
  • tout trafic contenant des adresses de bouclage du réseau;
  • le trafic destiné à une adresse réservée RFC 1918 [20];
  • le trafic de réseau dont l’adresse source ou de destination est 0.0.0.0;
  • tout trafic contenant de l’information de routage IP source;
  • toute diffusion générale ICMP;
  • tout trafic malveillant détecté qui vise le réseau d’accès interne (RAI).
SC-7 X X X
PAZ-OBJ-116 PAZ-TC-177

Sauf lorsqu’une application l’exige expressément, la ZAP n’accepte que les protocoles pouvant être examinés par un mandataire d’application. Tout le trafic sortant (en provenance d’une ZAR ou d’une ZT) est négocié et traité par les mandataires d’application.

AC-4 - X -
PAZ-OBJ-101 PAZ-TC-179 Le trafic en provenance d’une zone interne est dirigé vers l’interface appropriée de la ZD, en fonction de la destination et du service. SC-7 - X -
Configuration de réseau
PAZ-OBJ-103 PAZ-NC-100 La configuration réseau de la ZAP est surveillée afin de détecter les ajouts, les suppressions ou les changements apportés aux interfaces de bordure. Tout changement non autorisé sera signalé à l’autorité de la zone de sécurité de réseau de la ZAP. CM-2
CM-3
SI-4
X X X
PAZ-OBJ-103 PAZ-NC-101 Toutes les interfaces de bordure sont enregistrées et approuvées par l’autorité de zone de sécurité de réseau de la ZAP avant leur connexion à cette zone. CM-8 X X X
PAZ-OBJ-103 PAZ-NC-102 Les interfaces de bordure de la ZAP sont enregistrées auprès de l’autorité de la zone de sécurité de réseau de la ZAP. CM-8 X X X
PAZ-OBJ-103 PAZ-NC-103 L’autorité de la zone de sécurité de réseau de la ZAP évalue périodiquement la topologie de réseau. CM-2
CM-9
X X X
PAZ-OBJ-103 PAZ-NC-104 L’autorité de la zone de sécurité de réseau de la ZAP évalue périodiquement la configuration du réseau pour relever les interfaces externes non autorisées. SI-4 (4) X X -
PAZ-OBJ-108 PAZ-NC-105 La ZAP applique les contraintes suivantes aux espaces d’adressage des interfaces :
  • les adresses des interfaces de bordure sont distinctes et dédiées, mais pas nécessairement privées;
  • les adresses d’interface ZD sont distinctes et assignées à partir d’un espace d’adressage privé non routable.
SC-7 X X -

PAZ-OBJ-109
PAZ-OBJ-110

PAZ-NC-106

Les interfaces de bordure établissent des associations de sécurité avec d’autres interfaces de bordure, et toutes les communications entre elles sont authentifiées (explicitement ou implicitement) dans le contexte de ces associations de sécurité. Les associations de sécurité permises sont déterminées par les exigences de contrôle du trafic.

Le type et la robustesse de l’authentification dépendent de la mise en œuvre. Le but est d’empêcher qu’un auteur de menace connecte une entité de couche réseau au noyau et se fasse passer pour une interface de bordure.

IA-3
AC-4
- X -
PAZ-OBJ-103 PAZ-NC-109 L’entente de niveau de service comporte une clause exigeant du fournisseur de services réseau qu’il assure le contrôle des modifications des interfaces du noyau et avertisse l’autorité de zone de sécurité du réseau de tout changement susceptible d’influer sur l’association de sécurité entre les dispositifs de bordure. CM-8 X X -
PAZ-OBJ-108 PAZ-NC-110

L’entente de niveau de service comporte une clause exigeant du fournisseur de services réseau qu’il fasse la preuve de l’efficacité des contrôles de sécurité appliqués au niveau du noyau de l’interréseau. Elle exige également que tous les incidents de sécurité ayant une incidence sur une ZAP soient signalés à l’autorité de la zone de sécurité de réseau de la ZAP.

Un fournisseur de services réseau doit permettre à l’autorité de zone de sécurité de réseau de la ZAP de vérifier l’efficacité des contrôles de sécurité au minimum tous les trois mois.

CA-1
CA-2
X X -
PAZ-OBJ-103 PAZ-NC-111 Toutes les interfaces de bordure dans une ZD sont enregistrées et approuvées par l’autorité de zone de sécurité de réseau de la ZAP avant leur connexion à cette zone. CM-1 - X X
PAZ-OBJ-103 PAZ-NC-112

Toute modification des adresses attribuées aux interfaces de la ZD est considérée comme un changement de configuration sujet à approbation.

L’approbation peut être donnée à l’avance pour permettre la reconfiguration dynamique. Cependant, les conditions dans lesquelles un tel changement peut être effectué doivent être clairement définies.

CM-3 - X X
PAZ-OBJ-108 PAZ-NC-113 Seuls les administrateurs authentifiés et autorisés peuvent gérer les nœuds de la ZAP et uniquement ceux de la ZAP-ZG. AC-5
IA-5
- - X
PAZ-OBJ-103 PAZ-NC-114 Les adresses des interfaces de bordure sont visibles dans les autres zones de l’organisation, mais invisibles à partir de la ZP. SC-7 X X -
PAZ-OBJ-103 PAZ-NC-115 Tout changement apporté à l’attribution de l’adresse d’une interface de bordure dans une ZAP constitue un changement de configuration exigeant l’approbation d’une autorité de zone de sécurité de réseau de la ZAP. CM-3
CM-9
- X -
PAZ-OBJ-103 PAZ-NC-116 L’autorité de zone de sécurité de réseau de la ZAP tient à jour l’information de configuration de toutes les interfaces de bordure. CM-2
CM-6
- X -
PAZ-OBJ-103 PAZ-NC-117 Toutes les interfaces de bordure dans une ZAP sont enregistrées et approuvées par l’autorité de zone de sécurité de réseau de la ZAP avant leur mise en œuvre. CM-3 (4)
CM-9
X X X
PAZ-OBJ-110 PAZ-NC-118 Les connexions dans la ZAP ont établi des associations de sécurité. Toutes les communications sont authentifiées (que ce soit explicitement ou implicitement) dans le contexte de ces associations de sécurité. Les associations de sécurité permises sont déterminées par les exigences en matière de contrôle de trafic. AC-4
IA-3
SC-23
X X -
PAZ-OBJ-110 PAZ-NC-119 Les interfaces de bordure de l’interréseau sont authentifiées entre elles au moyen de mécanismes d’authentification cryptographique. IA-3 (1) - X -
PAZ-OBJ-103 PAZ-NC-120

Les systèmes d’extrémité maintiennent l’intégrité de leurs interfaces de bordure avec les autres zones de l’organisation quand ils sont connectés à une ZAP.

Les systèmes d’extrémité de la ZAP ne sont pas autorisés à faire appel à des bastions à doubles interfaces, à la tunnellisation partagée ou à d’autres chemins réseau partagés avec une ZP.

SC-7 (7) - - X
Contrôle de l’hôte
PAZ-OBJ-108 PAZ-HC-100 Tous les nœuds d’une ZAP sont configurés de manière à offrir une protection optimale contre les intrusions et ont recours, notamment, aux fonctions suivantes :
  • la limitation stricte du nombre de comptes d’accès au système d’exploitation;
  • l’application du principe de sécurité d’attribution du « droit d’accès minimal » nécessaire à chaque compte du système d’exploitation;
  • l’assurance que l’authentification sélectionnée est la plus appropriée pour tous les comptes, selon les besoins opérationnels de l’organisation et l’évaluation des risques (se reporter à l’ITSG 31 [12] pour les exigences en matière d’authentification);
  • la désactivation des services inutiles (l’option « configuration de chargement du logiciel » est le minimum nécessaire pour fournir les fonctions requises);
l’assurance que seuls les administrateurs autorisés ont des comptes utilisateurs pour les nœuds de périmètre ou de frontière (p. ex. les dispositifs d’accès ZD, les routeurs, les systèmes de détection des intrusions), conformément au principe du besoin de connaître.
- - - -
PAZ-OBJ-103 PAZ-HC-101

L’autorité de la zone de sécurité de réseau de la ZAP maintient une stratégie de configuration des nœuds et des hôtes qui respecte les exigences de base en matière de sécurité, les normes et les directives applicables.

Cette politique s’applique à tous les hôtes associés à la zone.

- - - -
PAZ-OBJ-103 PAZ-HC-102 L’hôte est configuré de manière à appliquer les stratégies suivantes :
  • une spécification des configurations logicielles et matérielles interdites et autorisées;
  • les procédures de maintenance minimale pour tous les logiciels;
  • les procédures de maintenance propres au logiciel qui offre un accès client aux ressources Internet et au logiciel qui offre les services dorsaux accessibles au public (p. ex. service de courrier électronique).
- - - -
PAZ-OBJ-108 PAZ-HC-105

Tous les nœuds font l’objet d’évaluations régulières des vulnérabilités. L’autorité de zone de sécurité de réseau détermine la fréquence de ces vérifications et la documente dans les procédures d’évaluation des vulnérabilités de la zone.

Les procédures d’évaluation des vulnérabilités d’une ZAP sont adaptées aux hôtes essentiels exposés à des risques élevés. Les résultats de toutes les évaluations des vulnérabilités sont gérés dans le cadre de la gestion continue des risques et fournissent une rétroaction au processus d’évaluation et d’autorisation de sécurité (EAS) décrit dans l’ITSG-33 [4].

Les nœuds de la ZAP sont exposés à des menaces importantes en provenance d’Internet. Les évaluations régulières des vulnérabilités permettent de réduire la fenêtre d’exposition créée par les erreurs de configuration et les nouveaux exploits.

La fréquence de ces évaluations des vulnérabilités est suffisante pour permettre l’analyse des tendances.

Les résultats de toutes les évaluations des vulnérabilités sont gérés dans le cadre de la gestion continue des risques et fournissent une rétroaction au processus d’évaluation et d’autorisation de sécurité (EAS).

Les nœuds individuels font l’objet d’une évaluation des vulnérabilités après un changement de configuration.

- - - -
PAZ-OBJ-108 PAZ-HC-109 Tous les hôtes appellent, au démarrage, des contrôles qui mettent en œuvre une protection continue contre les maliciels. SI-3
SI-7
X X X
PAZ-OBJ-108 PAZ-HC-110 Tous les hôtes dont les applications permettent l’accès client aux ressources publiques (comme les navigateurs Web et les clients de courrier électronique en usage sur Internet) utilisent des systèmes d’exploitation qui assurent la séparation des tâches et une administration distincte Ces hôtes sont configurés de manière à exécuter des applications qui fournissent l’accès aux ressources publiques en mode utilisateur. AC-5
AC-6
X X X
PAZ-OBJ-103 PAZ-HC-111 Un système d’extrémité partagé, en permanence ou périodiquement, est conforme aux exigences suivantes :
  • il devrait employer un système d’exploitation assurant la séparation des utilisateurs et des administrateurs (c. à d. appliquer les principes de séparation des tâches et du droit d’accès minimal);
  • les changements apportés à la configuration du réseau exigent des privilèges administratifs;
  • la configuration du système d’extrémité et les procédures relatives au maintien de cette configuration sont approuvées par une autorité de zone de sécurité de réseau de la ZAP.
Le système d’extrémité est sujet à des évaluations des vulnérabilités régulières et les résultats sont fournis dans le cadre du processus d’EMR. L’autorité de zone de sécurité de réseau de la ZAP détermine la fréquence de ces vérifications et la documente dans les procédures d’évaluation des vulnérabilités de la zone.
AC-5
AC-6
CM-3
RA-5
- - X
PAZ-OBJ-103 PAZ-HC-114 Un système d’extrémité comprend un pare-feu personnel et un mécanisme d’intégrité de la configuration capable de relever les changements apportés à la configuration et de notifier l’administrateur du système d’extrémité. SC-7 (12)
SI-7
- - X
PAZ-OBJ-108 PAZ-HC-115 La sécurité des systèmes d’exploitation de tous les nœuds (c.-à-d., les dispositifs du noyau et de bordure de l’interréseau) est renforcée selon les pratiques exemplaires documentées. CM-6
CM-7
X X -
PAZ-OBJ-109
PAZ-OBJ-110
PAZ-HC-116 Les produits RPV, s’ils sont installés, sont validés au moins au niveau de sécurité 2 de la norme FIPS 140-2 (ou la norme FIPS 140-2 subséquente) au moyen du Programme de validation des modules cryptographiques (PVMC). SC-13 X X X
PAZ-OBJ-108 PAZ-HC-117 Les dispositifs d’interréseau sont sécurisés physiquement de manière à restreindre l’accès au personnel autorisé ayant besoin d’accéder à l’équipement selon les principes du droit d’accès minimal et du besoin de connaître. PE-2
PE-3 (1)
X X -
PAZ-OBJ-108 PAZ-HC-118 Un système d’extrémité complexe est soumis au processus d’EAS avant d’être connecté à une interface de bordure. CA-1
CA-6
- - X
PAZ-OBJ-108 PAZ-HC-119 Un processus complet de gestion des versions logicielles est mis en place pour assurer l’application des correctifs approuvés les plus récents et des mises à niveau approuvées sur tous les logiciels autorisés sur les nœuds. SI-2 X X X
PAZ-OBJ-108 PAZ-HC-120 Une capacité de détection des intrusions a été mise en œuvre sur tous les hôtes essentiels. SI-4 X X X
PAZ-OBJ-103 PAZ-HC- 121

Chaque nœud de la ZAP fait régulièrement l’objet de vérifications de configuration. La fréquence de ces vérifications est déterminée par l’autorité de zone de réseau et documentée dans les procédures de gestion des configurations de la ZAP.

La fréquence de ces vérifications de configuration est suffisante pour détecter les erreurs de configuration. Une vérification de configuration comprend ce qui suit, sans s’y limiter :

  • une vérification de la configuration des nœuds par rapport à la topologie du réseau;
  • une vérification des dispositifs matériels et des interfaces physiques;
  • une vérification de la configuration de contrôle du trafic, y compris les permissions et les contrôles d’accès;
  • une vérification de la conformité des logiciels autorisés et des fonctions permises.
Les erreurs de configuration sont une source importante de vulnérabilités exploitables. Des vérifications régulières permettent de minimiser la fenêtre d’exposition aux risques représentés par les erreurs de configuration.
AU-1
AU-6
X X X
PAZ-OBJ-103 PAZ-HC-122 Les processus et les technologies de gestion des systèmes et des réseaux sont mis en œuvre dans la ZAP pour détecter les changements apportés aux configurations de nœud. CM-1
CM-2
X X X
PAZ-OBJ-108 PAZ-HC-123 Les nœuds de la ZAP peuvent générer et tenir à jour les journaux de vérification selon les exigences du service de vérification de sécurité. AU-2 X X X
PAZ-OBJ-108 PAZ-HC-124 Les fichiers des journaux de vérification sont protégés contre l’écrasement (ce qui détruirait des preuves potentielles) avant d’être copiés sur un dispositif de stockage sécurisé. AU-9 X X X
PAZ-OBJ-108 PAZ-HC-125 Les nœuds de la ZAP fournissent aux administrateurs responsables des vérifications de sécurité un accès local aux journaux de vérification selon les exigences du service de vérification de sécurité. AU-9 X X X
PAZ-OBJ-108 PAZ-HC-126 Les nœuds de la ZAP enregistrent l’estampille temporelle dans les enregistrements de vérification et les horloges système internes de la ZAR sont synchronisées avec une source de temps de référence. AU-8 (1) X X X
PAZ-OBJ-108 PAZ-HC-127 Des sauvegardes régulières des fichiers système et des paramètres de configuration du système sont effectuées pour chaque nœud de la ZAP. La fréquence et la période de conservation des documents relatives à ces sauvegardes répondent aux besoins de l’organisation. CP-9 X X X
PAZ-OBJ-108 PAZ-HC-128 Tous les nœuds de la ZAP se trouvent dans une zone qui satisfait, au minimum, aux exigences de sécurité physique d’une ZT, telles qu’elles sont définies dans la publication G1 026 de la GRC, Guide pour l’établissement des zones de sécurité micrologicielle [14]. Des exceptions peuvent être permises si les dispositifs du noyau sont la propriété de fournisseurs de services réseau public. PE-3 X X X
PAZ-OBJ-110 PAZ-DP-100 Les interréseaux peuvent prendre en charge les connexions du trafic de données RPV entre les interfaces de bordure. SC-8 - X -
PAZ-OBJ-108 PAZ-DP-101

Bien que la ZAP soit capable d’acheminer le trafic à tous les niveaux de sensibilité, la catégorisation de la sécurité et les résultats de l’EMR pourraient exiger la mise en place de mesures de protection des données.

Les services de protection des données peuvent être appliqués soit à la couche réseau, soit aux couches supérieures, selon les besoins de la mise en œuvre.

SC-8 X X -
PAZ-OBJ-109
PAZ-OBJ-110
PAZ-DP-102 Là où le chiffrement ou une signature numérique est obligatoire, les produits (logiciels, microgiciels ou dispositifs matériels) doivent intégrer un algorithme et des processus de gestion des clés approuvés par le CCC, comme les produits validés d’après la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13 X X X
PAZ-OBJ-109
PAZ-OBJ-110
PAZ-DP-103 Pour éviter la divulgation et la modification des données sensibles, il convient de tenir compte de ce qui suit :
  • on fait appel au chiffrement de données lorsque de l’information partiellement sensible (c.-à-d. PROTÉGÉ B) est transmise aux systèmes d’extrémité des autres zones, ou lorsque des parties de l’interréseau sont imparties à un fournisseur de services réseau;
  • on fait appel au chiffrement des données lorsque des supports sans fils sont utilisés.
SC-8
AC-18 (1)
X X X
PAZ-OBJ-108 PAZ-DP-108 La ZAP met en place des contrôles permettant d’interdire l’enregistrement et la réutilisation des données d’authentification de l’utilisateur. IA-2 - X X
PAZ-OBJ-112 PAZ-DP-110 La ZD autorise l’utilisation des mécanismes de sécurité des couches supérieures (comme les protocoles TLS et SSL) pour permettre aux employés d’accéder au Web. SC-13 - X -
PAZ-OBJ-110 PAZ-DP-111 Le chiffrement de la couche réseau est utilisé entre un client d’accès distant et mobile et une ZAP pour permettre l’accès distant et mobile par l’entremise d’une ZP. SC-13 - X -
PAZ-OBJ-110 PAZ-DP-112 Les utilisateurs distants sont authentifiés par les dispositifs RPVS avant l’établissement d’une connexion à une zone interne (ZT ou ZAR). IA-2
IA-3
AC-17
- X -
PAZ-OBJ-115 PAZ-DP-113 L’accès à distance par la ZP s’effectue au moyen d’une authentification forte permise par l’ICP (les ministères du GC utilisent l’ICP du GC). Se reporter à l’ITSG-31 [12[] pour des exigences additionnelles en matière d’authentification. AC-17
IA-2
- X X
PAZ-OBJ-110 PAZ-DP-114 Les données qui circulent dans le tunnel RPVS entre l’ordinateur de l’utilisateur à distance et le dispositif RPVS sont chiffrées. SC-13 - X -
PAZ-OBJ-110 PAZ-DP-115 Les certificats d’ICP de l’utilisateurs et du RPVS sont conformes à toutes les politiques et pratiques applicables. SC-12
IA-3
X X X
PAZ-OBJ-115 PAZ-DP-116 Les privilèges d’accès de sécurité des utilisateurs à distance ou mobiles à une autre zone de l’organisation (telle qu’une ZT ou une ZAR) doivent être approuvés par l’autorité de zone de sécurité de réseau de chaque zone. SC-7 X X X
PAZ-OBJ-110 PAZ-DP-117 Les données d’accès à distance sont chiffrées entre l’hôte et le serveur d’accès à distance. Ces données sont configurées conformément aux normes applicables à l’accès à distance. SC-13 - - X
PAZ-OBJ-110 PAZ-DP-118 Pour éviter la divulgation et la modification des données sensibles, il convient d’utiliser le chiffrement des données dans les scénarios suivants :
  • lorsque les données protégées sont transmises entre les systèmes d’extrémité d’une ZAP à ceux d’une ZD;
  • lorsqu’un support sans fil est utilisé pour transmettre les données protégées;
  • lorsque les données PROTÉGÉ B sont transmises entre les systèmes d’extrémité publics et une ZD, ou entre une ZD et les serveurs dorsaux.

Si les deux scénarios mentionnés précédemment ne s’appliquent pas à l’information transmise, il conviendra d’adopter une approche de gestion continue des risques.

On peut faire appel au chiffrement de données lorsque des données transmises à des systèmes d’extrémité qui se trouvent dans autres zones, ou lorsque des parties de l’interréseau sont imparties à un fournisseur de services réseau.

SC-13 - X X
PAZ-OBJ-114 PAZ-DP-119 Des services de sécurité au niveau de la couche réseau sont employés dans le cas de services extranet :
  • authentification de l’entité homologue;
  • authentification de l’origine des données;
  • confidentialité des données;
  • intégrité des données;
  • disponibilité des données.
IA-2
IA-3
- - X
PAZ-OBJ-114 PAZ-DP-120 Les services de confidentialité des données assurent l’isolement des partenaires qui utilisent un extranet. SC-13 - - X
PAZ-OBJ-110 PAZ-DP-121 Il convient de tenir compte des considérations suivantes si la télégestion est autorisée :
  • faire appel à une authentification forte et à des mécanismes solides de protection de l’intégrité;
  • assurer le chiffrement de tout trafic de réseau lié à la télégestion des hôtes ZAP, y compris le trafic d’identification et d’authentification.
IA-2
IA-3
SC-13
- - X
PAZ-OBJ-113 PAZ-DP-122 Les transferts de configurations d’un service de nommage à un autre font appel à l’authentification forte de l’entité homologue. SC-23 X X X
PAZ-OBJ-108 PAZ-DP-123 L’accès aux agents de gestion sur les dispositifs de la ZAP n’est permis qu’à partir d’hôtes authentifiés de l’organisation. IA-2 - - X

Annexe B : Exigences de base en matière de sécurité pour le Zone de travail

Avant-propos

L’ITSP.80.022, Exigences de base en matière de sécurité pour les zones de sécurité de réseau, version 2, Annexe B – Zone de travail, est une publication NON CLASSIFIÉ.

La présente version de l’Annexe B de l’ITSP.80.022, version 2, remplace les versions précédentes.

Date d'entrée en vigueur

Le présent document entre en vigueur le 12 janvier 2021.

Historique des modifications

Version Modifications Date
1 Publication de la version 2. 12 janvier 2021.

1 Introduction

Cette annexe présente les exigences de base en matière de sécurité qui s’appliquent à la zone de travail (ZT). Une ZT est l’environnement standard pour les activités courantes et le principal environnement dans lequel sont installés les systèmes à l’intention des utilisateurs finaux. Avec des contrôles de sécurité appropriés au niveau des systèmes d’extrémité, cette zone peut convenir au traitement de l’information sensible. Toutefois, elle ne convient généralement pas aux grands dépôts de données sensibles ni aux applications essentielles. En adoptant une approche de défense en profondeur pour assurer la sécurité de la ZT, il sera possible d’atténuer les menaces allant jusqu’au niveau Md4 inclusivement .Note de bas de page 9

Dans une ZT, le trafic n’est généralement pas restreint et peut provenir de sources internes, à savoir d’une ZEAR, ou d’autres sources externes autorisées par l’intermédiaire de la ZAP. Parmi les exemples de sources de trafic externes, on retrouve l’accès distant, l’accès mobile et les extranets. Le trafic malveillant peut également provenir de sources hostiles internes, de codes hostiles importés de la zone publique ou de nœuds malveillants sur le réseau (p. ex. un hôte compromis, une connexion non autorisée à la zone).

B.2 Modèle de référence de la ZT

La présente section décrit le modèle de référence d’une ZT. Se reporter à la section 4.2 pour plus de renseignements sur le modèle de référence générique d’une zone et de ses composants.

Une ZT offre un environnement de réseau privé non spécialisé sous le contrôle direct ou partagé de votre organisation. La ZT est généralement la zone dans laquelle se trouve la majeure partie des ressources de technologies de l’information. Une ZT permet aux employés d’accéder aux services privés de votre organisation.

En règle générale, une ZT procure des points de connexion pour les stations de travail utilisées par les employés et les entrepreneurs de l’organisation pour accéder aux services privés dans les zones internes, et aux services publics dans la zone publique. La ZT peut également fournir des points de connexion pour les serveurs qui fournissent des services dorsaux à la ZAP et des services privés à une organisation.

Une ZT peut prendre en charge les fonctions indiquées dans le tableau 8. Ces dernières ont des objectifs et des exigences qui leur sont propres.

Tableau 8 : Fonctions prises en charge par une ZT

Fonction Description
Applications organisationnelles internes Donnent accès aux services et aux applications internes d’une organisation
Services de fichiers et d’impression pour les employés Fournissent aux employés et aux entrepreneurs un accès aux fichiers et aux ressources d’impression privés de l’organisation
Accès des employés au Web simple et aux médias enrichis Permettent aux employés et aux entrepreneurs d’accéder aux sites Web privés de l’organisation, aux sites Web publics et à la diffusion de médias en temps réel par l’intermédiaire de la ZAP
Accès au courrier électronique Offre aux employés des outils de communication communs, comme le courrier électronique
Applications interorganisationnelles Permettent aux employés d’accéder à l’information interorganisationnelle et aux services d’autres organisations
Accès mobile et à distance pour les employés (Comprend l’accès mobile et à distance sans fil, et les réseaux privés virtuels sécurisés [RPVS]) Fournissent aux employés l’accès à certaines des ressources de la ZT par l’intermédiaire de la ZAP
Services extranet Fournissent un moyen sécurisé de communiquer avec des organisations partenaires externes
Applications de prestation de services Fournissent des services dorsaux à l’interface Web hébergée dans la PAZ et accessible au public pour les services de l’organisation
Services de soutien communs Fournissent les services communs nécessaires à l’exploitation d’un réseau moderne et sécurisé (p. ex. système d’adresse par domaines [DNS], agent de système d’annuaire [DSA], protocole de synchronisation réseau [NTP pour Network Time Protocol])

La ZT convient aux services d’information organisationnelle peu sensibles et courants. Cependant, avec des mesures de sécurité supplémentaires, une ZT peut traiter et distribuer de l’information organisationnelle sensible en utilisant des hôtes configurés à cet effet, des protocoles de sécurité sur les couches supérieures et des contrôles de sécurité au niveau des applications.

En général, les dépôts d’information sensible (p. ex. grandes bases de données d’entreprise ou bases de données contenant de l’information sensible) ne devraient pas être gérés dans la ZT.

Les applications à haute disponibilité sur des systèmes d’extrémité essentiels devraient être situées dans une ZAR ou dans une ZATR pour limiter leur susceptibilité aux attaques par déni de service (DoS). De plus, comme les services réseau de la ZT ne sont généralement pas conçus pour assurer une disponibilité élevée, on ne devrait pas les utiliser comme seule voie de communication pour les applications à disponibilité élevée. Cela n’empêche toutefois pas d’utiliser une ZT comme voie de communication principale pour les applications à disponibilité élevée, dans la mesure où les exigences de disponibilité globale du système sont respectées (p. ex. en prévoyant des voies de communication secondaires).

Les interfaces de tous les services publics sont mises en œuvre au moyen d’une ZAP. Les accès externes d’une ZT à Internet s’effectuent par l’intermédiaire d’une interface entre la ZT et la ZAP. Les interfaces des services et dépôts sensibles sont mises en œuvre au moyen de PIZ rigoureusement contrôlés entre les ZAR et les ZATR.

Remarque : En ce qui concerne les ministères ou organismes du GC, l’accès aux autres ministères s’effectue par l’intermédiaire des PIZ entre les ZT ou les ZAR homologues.

La structure d’une ZT est celle d’une zone générique (voir la figure 9 ci-dessous). Elle se compose des trois classes de composants décrits dans le tableau 9.

Tableau 9 : Composants de la ZT

Composant Description
Interréseau L’interréseau de la ZT achemine le trafic entre les systèmes d’extrémité et les PIZ.
SFI Les SFI contrôlent et surveillent le trafic entre les interréseaux connectés (si plus d’un interréseau a été mis en place).
Systèmes d’extrémité Les systèmes d’extrémité assurent le traitement et le stockage sur place de l’information de l’organisation.

La figure 9 présente une vue logique de la ZT et de l’interconnexion de ses composants. Elle offre également une vue de haut niveau de ses interconnexions avec les autres zones. Dans un souci de simplicité, le graphique ne fait pas mention de la ZG et de ses interconnexions. Se reporter à l’Annexe E pour les exigences relatives à la ZG et les recommandations de connexion.

Lorsque deux zones partagent un nœud (comme le système d’extrémité partagé illustré à la figure 9), les deux autorités de zones de sécurité devraient s’entendre sur la gestion et la supervision de ce nœud. Les entités de la ZT communiquent avec les autres zones par l’intermédiaire des PIZ, qui contrôlent les flux de trafic entrants et sortants.

Figure 9 : Topologie logique de la ZT

Description détaillée suit immédiatement
Description détaillée

La figure 9 présente une vue logique de la ZT et de l’interconnexion de ses composants. Elle offre également une vue de haut niveau de ses interconnexions avec les autres zones. Dans un souci de simplicité, le graphique ne fait pas mention de la ZG et de ses interconnexions.

B.3 Objectifs de sécurité de la ZT

En général, l’état de sécurité ciblée de la ZT est un environnement réseau qui empêche (c.-à-d. élimine la susceptibilité) les attaques provenant des réseaux, qui sont menées par des auteurs de menace de niveau Md4. L’état de sécurité ciblée de la ZT vise également à éviter que des auteurs de menace de niveau Md5 et supérieurs arrivent à exploiter les vulnérabilités de cette zoneNote de bas de page 10. On ne peut écarter l’hypothèse qu’un auteur de menace de niveau Md5 puisse contourner les mesures de sécurité d’une ZT. Il est donc nécessaire de prendre des mesures de sécurité supplémentaires pour protéger les biens sensibles se trouvant dans une ZT.

Chaque objectif ou exigence de sécurité mentionné dans la présente annexe est identifié suivant les règles de notation suivantes :

  • le premier groupe de lettres (OZ pour Operation Zone) désigne la ZT;
  • le second groupe de lettres précise s’il s’agit d’un objectif (OBJ) ou d’une exigence (REQ pour Requirement);
  • les exigences (REQ) sont regroupées dans les catégories suivantes, le cas échéant :
    • Interface réseau (NI pour Network Interface);
    • Contrôle du trafic (TC pour Traffic control);
    • Configuration de réseau (NC pour Network Configuration);
    • Configuration d’hôte (HC pour Host Configuration);
    • Protection des données (DP pour Data Protection).
  • chaque objectif ou exigence est numéroté en séquence dans son groupe, à partir de 100.
    Remarque : Les objectifs et les exigences ne sont pas indiqués en ordre séquentiel; certaines exigences ont été supprimées ou modifiées comparativement aux précédentes versions du présent document.

B.3.1 Objectifs de contrôle du trafic

[OZ-OBJ-100] Une ZT devrait protéger l’intégrité et la disponibilité des systèmes d’extrémité qui y sont connectés. Ses buts sont les suivants :

  • empêcher les auteurs de menace de niveau Md4 de mener des attaques par déni de service (p. ex. inondation de messages SYN, attaque par DdoS) sur les systèmes d’extrémité;
  • réduire sensiblement les attaques par déni de service sur les systèmes d’extrémité qui sont menées par toutes les autres sources;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs de s’introduire dans le réseau (p. ex. en connectant un dispositif non autorisé à une interface existante, en ajoutant une interface de bordure non autorisée) pour accéder aux systèmes d’extrémité;
  • réduire l’incidence des intrusions réalisées par toutes les autres sources dans le réseau;
  • contenir l’incidence de la compromission d’un système d’extrémité;
  • empêcher les auteurs de menace jusqu’au niveau Md4 d’utiliser les systèmes d’extrémité comme base de lancement d’attaques contre d’autres systèmes;
  • empêcher les autres sources de menace d’exploiter les systèmes d’extrémité comme base de lancement pour attaquer les autres systèmes;
  • empêcher la propagation de trafic malveillant dans une ZT depuis d’autres zones;
  • prévenir la propagation des maliciels.

[OZ-OBJ-102] Une ZT devrait permettre de renforcer les mesures de sécurité en réponse à un accroissement du niveau de la menace (période de crise), notamment :

  • au moyen de contrôles de trafic souples et dynamiques;
  • en s’assurant que les fournisseurs de services réseau accroissent leur surveillance de l’infrastructure réseau impartie.

Remarque: Les mesures de sécurité réseau ont une efficacité limitée pour la protection des systèmes d’extrémité contre les compromissions à partir d’interfaces d’applications valides. Il convient de mettre en place des mesures visant les plateformes, les applications et la sécurité opérationnelle en vue d’atténuer les risques associés à ce type de menace.

[OZ-OBJ-103] La ZAP met en œuvre des mesures de protection visant à assurer une protection efficace contre le trafic malveillant en provenance des réseaux publics, mais cette protection n’est pas complètement étanche et les risques résiduels devraient être pris en compte au niveau de la ZT. L’objectif de la ZT consiste donc à réduire :

  • la vulnérabilité aux attaques découlant de la compromission d’un accès distant et provenant des systèmes d’extrémité sur l’extranet;
  • les attaques en provenance d’un hôte compromis qui se trouve dans une ZAP et les lacunes émanant des mesures de contrôle du trafic dans la ZAP;
  • le trafic malveillant en provenance des serveurs d’applications compromis qui assurent la prestation de services dans une ZAP.

Remarque : Il est possible d’atténuer la menace d’une piste malveillante émanant de services d’applications utilisés aux fins de prestation de services en limitant l’accès des services aux ressources et aux protocoles désignés.

B.3.2 Objectifs de la disponibilité et l’intégrité du réseau

[OZ-OBJ-104] Une ZT devrait protéger l’intégrité et la disponibilité des services réseau en réduisant leur susceptibilité à divers types d’attaques. Les buts particuliers de la ZT devraient être les suivants :

  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs de mener des attaques par DoS en provenance des réseaux (p. ex. inondation de messages SYN, attaque par DDoS) dans les systèmes d’extrémité;
  • réduire l’incidence des attaques par déni de service sur les systèmes d’extrémité qui sont menées par toutes les autres sources;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs de s’introduire dans le réseau (p. ex. en connectant un dispositif non autorisé à une interface existante, en ajoutant une interface de bordure non autorisée) pour accéder aux systèmes d’extrémité;
  • réduire l’incidence des attaques par déni de service sur les systèmes d’extrémité qui sont menées par toutes les autres sources;
  • contenir l’incidence de la compromission d’un système d’extrémité;
  • empêcher les auteurs de menace jusqu’au niveau Md4 d’utiliser les systèmes d’extrémité comme base de lancement d’attaques contre d’autres systèmes;
  • empêcher les autres sources de menace d’utiliser les systèmes d’extrémité comme base de lancement d’attaques contre d’autres systèmes;
  • empêcher la propagation de trafic malveillant dans une ZT depuis d’autres zones;
  • prévenir la propagation des maliciels.

B.3.3 Objectifs de la protection des données

[OZ-OBJ-105] Une ZT devrait empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs d’intercepter le trafic dans la zone et être en mesure de réduire la susceptibilité aux interceptions non détectées de toutes les autres sources.

[[OZ-OBJ-106] Une ZT devrait prendre en charge les mesures suivantes pour protéger la confidentialité et l’intégrité des données :

  • RPVS dans l’interréseau;
  • RPVS en tant que service de données facultatif;
  • protocoles de sécurité de la couche supérieure.

Remarque : Les employés d’une autre organisation pourraient être tenus d’accéder de façon sécurisée aux services réseau et à leurs réseaux domestiques. Dans de tels cas, il pourrait être nécessaire de fournir un accès temporaire par l’entremise d’un point d’accès situé dans une salle de conférence, ou un accès permanent, aux employés désignés de l’organisation hôte.

B.4 Exigences de base en matière de sécurité de la ZT

Le tableau 10 décrit les exigences de base en matière de sécurité d’une ZT. Elles sont classées en fonction des exigences opérationnelles (c.-à-d. selon les catégories interface réseau, contrôle du trafic, configuration réseau, configuration d’hôte et protection des données). Pour satisfaire à tous les objectifs de sécurité pour cette zone, il faut mettre en œuvre l’ensemble des exigences de base en matière de sécurité.

Au minimum, il est recommandé de mettre en œuvre les exigences de base en matière de sécurité. Vous devriez toutefois consulter les contrôles mentionnés dans l’ITSG-33 [4] pour déterminer s’il est nécessaire de mettre en place des mécanismes techniques, opérationnels et de gestion additionnels pour atténuer les menaces de niveau Md4 prévues.

Tableau 1 : Exigences de base en matière de sécurité de la ZT

Numéro de l’objectif Numéro de l’exigence Exigence de la zone Contrôle de l’ITSG 33 connexe SFI Interréseau Système d’extrémité
Interface réseau
OZ OBJ 100 OZ NI 100 Tous les chemins d’accès réseau entre une ZT et les autres zones transitent par un PIZ. SC 7 X X -
OZ OBJ 103 OZ NI 102

Tous les chemins d’accès réseau à destination ou en provenance d’une ZP (p. ex. Internet) transitent par une ZAP.
Une ZT n’a pas de connexions réseau directes à une ZP.

SC 7 (8)
SC 7 (C)
X X -
OZ OBJ 104 OZ NI 103

Un interréseau de ZT est un réseau logiquement séparé. Il veille à ce que le trafic interface avec les composants suivants seulement :

  • les PIZ;
  • les SFI vers d’autres interréseaux;
  • les systèmes d’extrémité de la ZT.
AC 4 - X -
OZ OBJ 103 OZ NI 105 Les composants des SFI et des interréseaux prennent en charge les dispositifs de détection d’intrusion installés sur le réseau (p. ex. moniteurs) et la collecte de données depuis ces dispositifs. SI 4 (4) X X -
Contrôle du trafic
OZ OBJ 102 OZ TC 102

La ZT est en mesure de réagir rapidement au renforcement du niveau de sécurité en cas d’urgence ou d’accroissement de la menace, quand et comment elle est autorisée à le faire. Par exemple, une ZT a la capacité de rehausser le niveau de sécurité du réseau en ajoutant des mesures de sécurité, comme :

  • le filtrage;
  • la surveillance (active et passive);
  • une protection visant à assurer la prestation continue des services essentiels (p. ex. reconfigurer ou bloquer les services non essentiels au besoin);
  • la vérification.

Le personnel autorisé a reçu la formation nécessaire pour lancer de telles mesures.

La mise en œuvre de ces mesures de sécurité est testée pour s’assurer que les capacités en question ne peuvent pas être utilisées pour causer un déni de service.

AC-4
AU-6
IR-4
SC-7
SC-10
SI-4
X X X
OZ-OBJ-103 OZ-TC-103 L’identité des deux zones est authentifiée avant que la connexion puisse être établie entre les deux zones. IA-3 X X -
OZ-OBJ-100 OZ-TC-104 L’interréseau fournit un service de contrôle d’accès capable d’appliquer une stratégie de contrôle d’accès entre les interfaces de bordure. Ce service est appliqué en fonction de la source de la couche réseau, la destination de la couche réseau, le protocole de transport et l’interface de service de la couche transport. AC-3
AC-4
SC-10
- X -
OZ-OBJ-100 OZ-TC-105

L’autorité de la zone de sécurité de réseau de la ZT définit les exigences pour un service de contrôle d’accès à l’interréseau de la ZT. Ces exigences devraient être basées sur les principes suivants :

  • la stratégie de contrôle d’accès interdit tout trafic qui n’est pas explicitement autorisé;
  • la stratégie de contrôle d’accès favorise la séparation des communautés d’intérêts (c.-à-d., lorsque le trafic de réseau est divisé en communautés d’intérêts naturelles, la stratégie de contrôle d’accès devrait imposer ces trafics naturels);
  • la stratégie de contrôle d’accès restreint les chemins réseau menant aux systèmes d’extrémité vulnérables ou sensibles (p. ex. les sous-réseaux de test et de développement et les serveurs d’applications prenant en charge des applications publiques);
  • la stratégie de contrôle d’accès limite les chemins d’accès aux réseaux disponibles pour les systèmes d’extrémité accessibles depuis l’extranet;
  • la stratégie de contrôle d’accès limite l’accès aux autres systèmes d’extrémité par l’intermédiaire des hôtes d’accès distants si une autorité de zone de sécurité de réseau de la ZT autorise la connexion à une ZT par l’intermédiaire d’hôtes d’accès distants exécutant un système d’exploitation qui ne fait pas la distinction entre les rôles des utilisateurs et des administrateurs;
  • la stratégie de contrôle d’accès prend en charge la séparation des classes de service si l’interréseau offre plus d’une classe de service.
AC-2
AC-3
AC-4
AC-17
IA-3
SC-7 (11)
X X X
OZ-OBJ-104 OZ-TC-106 Si la ZT offre plus d’une classe de service, l’interréseau comporte des mécanismes visant à empêcher que les classes de service n’interfèrent les unes avec les autres. AC-4 - X -
OZ-OBJ-103 OZ-TC-107 L’interréseau utilise un modèle d’adressage qui détecte et analyse le trafic malveillant. CA-3
SC-7
SI-3
- X -
OZ-OBJ-105 OZ-TC-108 Une ZT prend en charge le trafic des RPVS entre toute paire d’interfaces périphériques. SC-8 X X -
obj req

L’autorité de la zone de sécurité de réseau définit une stratégie de contrôle d’accès qui sera appliquée par le service de contrôle d’accès en fonction des principes suivants :

  • la stratégie de contrôle d’accès interdit tout trafic qui n’est pas explicitement autorisé;
  • le trafic sortant est limité aux adresses de destination qui correspondent aux serveurs mandataires dans une ZAP;
  • les hôtes extranet sont limités à un ensemble défini d’adresses internes contenant les ressources dont l’extranet a besoin;
  • si l’autorité de la zone de sécurité de réseau autorise les hôtes d’accès à distance à configuration ouverte (voir configuration d’hôte), alors les clients d’accès à distance sont limités à un ensemble défini d’adresses et aux protocoles nécessaires pour prendre en charge la communication avec les services.

le trafic en provenance et en direction des serveurs est limité aux adresses et aux protocoles nécessaires pour prendre en charge les communications vers ces serveurs.

AC-4
SC-7 (5)
SC-7 (8)
SC-7 (11)
X X X
OZ-OBJ-100 OZ-TC-121 L’information relative au contrôle du trafic et au flux de données jugée pertinente aux fins de vérification est enregistrée dans le journal de vérification de sécurité conformément aux exigences en matière de service de vérification de la sécurité. AU-1
AU-2
X X -
Configuration de réseau
OZ-OBJ-104 OZ-NC-100 La configuration réseau de la ZT est surveillée afin de détecter les ajouts, les suppressions ou les changements apportés aux interfaces de bordure. Tout changement non autorisé sera signalé à l’autorité de la zone de sécurité de réseau. AU-1
CM-2
CM-3
SI-4
X X -
OZ-OBJ-104 OZ-NC-101 Les interfaces de bordure de la ZT sont enregistrées auprès de l’autorité de la zone de sécurité de réseau. CM-8 - X -
OZ-OBJ-104 OZ-NC-103 L’autorité de la zone de sécurité de réseau de la ZT évalue périodiquement la topologie de réseau. AU-1
CM-2
CM-9
X X -
OZ-OBJ-105 OZ-NC-104 L’autorité de la zone de sécurité de réseau de la ZT évalue périodiquement la configuration du réseau pour relever les interfaces externes non autorisées. AU-1
SI-4 (4)
X X -
OZ-OBJ-104 OZ-NC-105 Seuls les administrateurs authentifiés et autorisés peuvent gérer les nœuds de la ZT et uniquement ceux de la ZT-ZG. AC-5
IA-5
- - X
OZ-OBJ-104 OZ-NC-106 Les adresses des interfaces de bordure sont distinctes et dédiées. SC-7 - X -
OZ-OBJ-105 OZ-NC-107 Les adresses des interfaces de bordure sont visibles dans les autres zones de l’organisation, mais invisibles à partir d’une ZP. SC-7 - X -
OZ-OBJ-104 OZ-NC-108 Tout changement apporté à l’attribution de l’adresse d’une interface de bordure dans une ZT constitue un changement de configuration exigeant l’approbation d’une autorité de zone de sécurité de réseau de la ZT. CM-3
CM-9
- X /td>
OZ-OBJ-104 OZ-NC-109 L’autorité de zone de sécurité de réseau de la ZT tient à jour l’information de configuration de toutes les interfaces périphériques à l’intérieur de l’interréseau. CM-2
CM-6
- X -
OZ-OBJ-104 OZ-NC-110 Les changements apportés à une ZT sont approuvés par une autorité de zone de sécurité de réseau avant leur mise en œuvre. CM-3 (4)
CM-9
X X X
OZ-OBJ-104 OZ-NC-111 Les connexions dans la ZT ont établi des associations de sécurité. Toutes les communications sont authentifiées (que ce soit explicitement ou implicitement) dans le contexte de ces associations de sécurité. Les associations de sécurité permises sont déterminées par les exigences en matière de contrôle de trafic. AC-4
IA-3
SC-23
X X X
OZ-OBJ-104 OZ-NC-112 Les interfaces de bordure de l’interréseau sont authentifiées entre elles au moyen de mécanismes d’authentification cryptographique approuvés par le CST. IA-3 (1) - X -
OZ-OBJ-104 OZ-NC-121 Les accords de niveau de service des réseaux impartis exigent que l’autorité de zone de sécurité de réseau de la ZT approuve tout changement apporté aux interfaces de l’interréseau contrôlées par le fournisseur de services réseau. CP-8 X X X
OZ-OBJ-104 OZ-NC-122

Les accords de niveau de services pour les réseaux impartis doivent comporter une clause faisant mention des exigences suivantes :

  • un fournisseur de services réseau doit faire la preuve de l’efficacité des contrôles de sécurité appliqués au niveau du noyau de l’interréseau;
  • tous les incidents de sécurité ayant une incidence sur une ZT sont signalés à l’autorité de la zone de sécurité de réseau de la ZT;
  • un fournisseur de services réseau permet à l’autorité de zone de sécurité de réseau de la ZT de vérifier l’efficacité des contrôles de sécurité.
CP-8 X X X
OZ-OBJ-104 OZ-NC-123

E Les systèmes d’extrémité maintiennent l’intégrité de leurs interfaces réseau avec les zones de l’organisation quand ils sont connectés à une ZT.
Les systèmes d’extrémité de la ZT ne sont pas autorisés à faire appel à des bastions à doubles interfaces, à la tunnellisation partagée ou à d’autres chemins réseau partagés avec une ZP.

SC-7 (7) - - X
Configuration d’hôte
OZ-OBJ-104 OZ-HC-100 L’autorité de la zone de sécurité de réseau de la ZT maintient une stratégie de configuration des nœuds et des hôtes qui respecte les exigences de base en matière de sécurité, les normes et les directives applicables. Cette politique s’applique à tous les hôtes associés à la zone. CM-1
CM-2
X X X
OZ-OBJ-104 OZ-HC-101

La stratégie de configuration réseau des nœuds et des hôtes devrait contenir ce qui suit :

  • une spécification des configurations logicielles et matérielles interdites et autorisées applicables aux réseaux;
  • les procédures de maintenance minimale pour tous les logiciels de réseautage.
CM-1
CM-6
CM-7
MA-2
MA-6
SI-2
X X X
OZ-OBJ-104 OZ-HC-103

Des évaluations régulières des vulnérabilités portant sur tous les nœuds et les hôtes du réseau sont effectuées pour évaluer les tendances en matière d’efficacité de la stratégie de configuration des hôtes.

La fréquence de ces évaluations des vulnérabilités est suffisante pour permettre l’analyse des tendances.

Tous les résultats des évaluations des vulnérabilités sont gérés dans le cadre de la gestion continue des risques et fournissent une rétroaction au processus d’évaluation et d’autorisation de sécurité (EAS).

CA-7
RA-5
X X X
OZ-OBJ-104 OZ-HC-104 Tous les nœuds appellent, au démarrage, des contrôles qui mettent en œuvre une protection continue contre les maliciels. SI-3
SI-7 (1)
X X -
OZ-OBJ-104 OZ-HC-105 Tous les hôtes dont les applications permettent l’accès client aux ressources publiques (comme les navigateurs Web et les clients de courrier électronique en usage sur Internet) utilisent des systèmes d’exploitation qui assurent la séparation des tâches et une administration distincte et sont configurés de manière à exécuter des applications qui fournissent l’accès aux ressources publiques en mode utilisateur. AC-5
AC-6
X X X
OZ-OBJ-104 OZ-HC-106 Les processus et les technologies de gestion des systèmes et des réseaux sont mis en œuvre dans une ZT pour détecter les changements apportés aux configurations de nœud. SI-7 (7) X X -
OZ-OBJ-104 OZ-HC-107 Des sauvegardes régulières des fichiers système et des paramètres de configuration du système sont effectuées pour chaque nœud de la ZT. La fréquence et la période de conservation des documents relatives à ces sauvegardes répondent aux besoins de l’organisation. CP-9 X X -
OZ-OBJ-104 OZ-HC-108 La panne d’un nœud de la ZT ne compromet pas la sécurité de ses ressources ni de celles de tout réseau connecté. SC-24 X X -
OZ-OBJ-104 OZ-HC-109 Les nœuds et les hôtes de la ZT se trouvent dans une zone conforme aux exigences de sécurité physique définies par le PASSI. Pour les exigences des ministères du GC, se reporter à la Norme opérationnelle sur la sécurité matérielle [16]. PE-18 X X X
OZ-OBJ-104 OZ-HC-111 La sécurité des systèmes d’exploitation et des applications nécessaires à tous les nœuds est renforcée selon les pratiques exemplaires documentées. CM-6
CM-7
X X -
OZ-OBJ-106 OZ-HC-112 Le cas échéant, les produits RPVS sont validés au moins au niveau de sécurité 2 de la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13 X X X
OZ-OBJ-104 OZ-HC-113 Les nœuds sont sécurisés physiquement de manière à restreindre l’accès au personnel autorisé ayant besoin d’accéder à l’équipement selon les principes du droit d’accès minimal et du besoin de connaître. PE-2
PE-3 (1)
PE-18
X X -
OZ-OBJ-100 OZ-HC-114 Un système d’extrémité comprend un pare-feu personnel et un mécanisme d’intégrité de la configuration capable de relever les changements apportés à la configuration et de notifier l’administrateur du système d’extrémité. SC-7 (12)
SI-7
- - X
OZ-OBJ-104 OZ-HC-115

Un système d’extrémité partagé, en permanence ou périodiquement, est conforme aux exigences suivantes :

  • il devrait employer un système d’exploitation assurant la séparation des utilisateurs et des administrateurs (c.-à-d. appliquer les principes de séparation des tâches et du droit d’accès minimal);
  • les changements apportés à la configuration du réseau exigent des privilèges administratifs;
  • la configuration du système d’extrémité et les procédures relatives au maintien de cette configuration sont approuvées par une autorité de zone de sécurité de réseau de la ZT;
  • le système d’extrémité est sujet à des évaluations des vulnérabilités régulières et les résultats sont fournis dans le cadre du processus d’EMR. L’autorité de zone de sécurité de réseau de la ZT détermine la fréquence de ces vérifications et la documente dans les procédures d’évaluation des vulnérabilités de la zone.
AC-5
AC-6 (1)
AC-6 (5)
CM-3
- - X
OZ-OBJ-104 OZ-HC-116 Un système d’extrémité complexe est soumis au processus d’EAS avant d’être connecté à une interface de bordure. CA-1
CA-6
- - X
OZ-OBJ-105 OZ-HC-122 Des détecteurs d’intrusion au niveau de l’hôte sont placés sur tous les hôtes critiques. SC-7(12) - - X
OZ-OBJ-105 OZ-HC-123 Les nœuds de la ZT génèrent et tiennent à jour les journaux de vérification selon les exigences du service de vérification de sécurité. AU-2 X X X
OZ-OBJ-105 OZ-HC-124 Les nœuds de la ZT fournissent aux administrateurs responsables des vérifications de sécurité un accès local aux journaux de vérification selon les exigences du service de vérification de sécurité. AU-6(3)
AU-6(4)
X X X
OZ-OBJ-105 OZ-HC-125

Chaque nœud de la ZT fait régulièrement l’objet de vérifications de configuration. L’autorité de zone de sécurité de réseau détermine la fréquence de ces vérifications et la documente dans les procédures de gestion des configurations de la zone.

La fréquence des vérifications des configurations est suffisante pour relever les erreurs de configuration. Une vérification de configuration comprend ce qui suit, sans s’y limiter :

  • une vérification de la configuration des nœuds par rapport à la topologie du réseau;
  • une vérification des dispositifs matériels et des interfaces physiques;
  • une vérification de la configuration de contrôle du trafic, y compris les permissions et les contrôles d’accès;
  • une vérification de la conformité des logiciels autorisés et des fonctions permises.
AU-1
AU-6
AU-6(1)
AU-6(2)
AU-6(3)
AU-6(4)
AU-6(7)
X X X
OZ-OBJ-105 OZ-HC-126 Les nœuds de la ZT enregistrent l’estampille temporelle dans les enregistrements de vérification. Les horloges système internes de la ZT sont synchronisées avec une source de temps de référence. AU-8 (1) X X X
Protection des données
OZ-OBJ-106 OZ-DP-100 L’interréseau prend en charge les connexions du trafic de données SVPN entre les interfaces de bordure. SC-8 - X -
OZ-OBJ-106 OZ-DP-101 Une ZT prend en charge les connexions du trafic des données des RPVS entre les PIZ. SC-8 X X -
OZ-OBJ-106 OZ-DP-103

Bien que la ZT soit capable d’acheminer le trafic à tous les niveaux de sensibilité, la catégorisation de la sécurité et les résultats de l’EMR pourraient exiger la mise en place de mesures de protection des données.

Les services de protection des données peuvent être appliqués soit à la couche réseau, soit aux couches supérieures, selon les besoins de la mise en œuvre.

SC-8 X X -
OZ-OBJ-106 OZ-DP-104 Là où le chiffrement ou une signature numérique est obligatoire, les produits (logiciels, microgiciels ou dispositifs matériels) doivent intégrer un algorithme et des processus de gestion des clés approuvés par le Centre pour la cybersécurité, comme les produits validés par le Centre pour la cybersécurité d’après la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13 X X X
OZ-OBJ-106 OZ-DP-105 On fait appel au chiffrement de données lorsque de l’information partiellement sensible (c.-à-d. PROTÉGÉ B) est transmise aux systèmes d’extrémité des autres zones, ou lorsque des parties de l’interréseau sont imparties à un fournisseur de services réseau. AC-18 (1)
SC-8
X X X

Annexe C : Exigences de base en matière de sécurité pour le Zone d’accès restreint

Avant-propos

L’ITSP.80.022, Exigences de base en matière de sécurité pour les zones de sécurité de réseau, version 2 : Annexe C – Zone d’accès restreint est une publication NON CLASSIFIÉ.

La présente version de l’annexe C remplace toutes les versions antérieures du document.

Date d'entrée en vigueur

Le présent document entre en vigueur le 12 janvier 2021.

Historique des modifications

Version Modifications Date
1 Publication de la version 2. Janvier 12, 2021.

Annexe C - Exigences de sécurité de base pour la zone d’accès restreint (ZAR)

Introduction

La présente annexe fait mention des exigences de base en matière de sécurité d’une ZAR, à savoir l’environnement standard pour un ensemble de systèmes d’extrémité. Les parcs de serveurs, les réseaux de stockage et les serveurs de gestion sont principalement installés dans une ZAR. Cette zone peut également comporter des enclaves de systèmes d’extrémité exigeant des niveaux de protection plus élevés que ceux offerts dans une ZT.

La ZAR convient au traitement des informations sensibles, au stockage dans des référentiels volumineux de données sensibles et à l’exécution d’applications essentielles. En adoptant une approche à la sécurité axée sur la défense en profondeur et en renforçant la robustesse des mécanismes de sécurité dans la zone, on peut s’attendre à ce qu’une ZAR arrive à atténuer les menaces correspondant à un niveau pouvant aller jusqu’à Md4 inclusivement Note de bas de page 11.

Une ZAR prend en charge des interfaces pour des zones contrôlées par l’organisation, des ZT et des ZATR. Les systèmes d’extrémité d’une ZAR peuvent servir aux applications publiques (atténuées par l’intermédiaire d’une ZT et d’une ZAP). Au sein de la ZAR, le trafic devrait être restreint pour limiter les éventuels chevauchements entre les domaines de sécurité de la plateforme et des applications. Il convient de passer en revue les résultats du PASSI pour déterminer s’il est nécessaire d’ajouter des contrôles de sécurité supplémentaires et d’accroître les niveaux de robustesse des dispositifs sélectionnés pour la mise en œuvre de ces contrôles.

C.2 Modèle de référence d’une ZAR

Une ZAR offre un environnement réseau privé et polyvalent, qui relève du contrôle unique ou partagé d’une organisation. Pour plusieurs organisations, une grande partie des ressources TI sensibles seront stockées dans une ZAR.

L’environnement réseau d’une ZAR prend en charge le déploiement d’applications à disponibilité élevée et offre une protection suffisante pour contrer les attaques par déni de service. Toutefois, les conseils formulés dans la présente annexe n’exigent pas que la ZAR soit conçue de manière à assurer une disponibilité ou une intégrité élevée.

Les interfaces de tous les services publics sont mises en œuvre au moyen d’une ZT et d’une ZAP. L’accès externe d’une ZAR par l’intermédiaire d’Internet est fourni par une interface qui achemine le trafic de la ZAR à la ZAP par l’intermédiaire d’une ZT. L’accès à une ZAR à partir d’une autre organisation est assuré par des interfaces entre zones homologues (c.-à-d., ZT, ZAR et ZATR). Les interfaces aux services et dépôts sensibles sont mises en œuvre au moyen d’interfaces rigoureusement contrôlées.

La structure d’une ZAR est similaire à celle d’une zone générique; elle comprend les trois classes de composants décrits dans le tableau 11.

Tableau 11 : Composants de la ZAR

Composant Description
Interréseau fournit le réseau interne qu’une ZAR utilise pour acheminer le trafic entre les systèmes d’extrémité et les PIZ.
SFI procure les mécanismes nécessaires pour contrôler et surveiller le trafic entre les interréseaux connectés si plus d’un interréseau est mis en œuvre.
Systèmes d’extrémité traitent et stockent localement l’information de l’organisation.

La figure 10 offre une vue logique d’une ZAR et de ses connexions aux autres zones. Pour simplifier le diagramme, la ZG et les connexions à la ZG ne sont pas illustrées à la figure 10. Se reporter à l’annexe E pour les exigences de la ZG et des recommandations concernant les connexions.

Si un nœud chevauche deux zones, comme c’est le cas pour le système d’extrémité partagé illustré à la figure 10, les autorités de ces deux zones de sécurité réseau devront convenir de la façon d’assurer la gestion et la surveillance du nœud en question.

Tel qu’il est décrit à l’annexe F, un PIZ permet aux entités d’une ZAR d’interfacer avec les autres zones. Les PIZ contrôlent les flux de trafic entrants et sortants aux points où la ZAR est connectée avec les autres zones.

Figure 10 : Topologie logique de la ZAR

Description détaillée suit immédiatement
Description détaillée

La figure 10 offre une vue logique d’une ZAR et de ses connexions aux autres zones. Pour simplifier le diagramme, la ZG et les connexions à la ZG ne sont pas illustrées à la figure 10.

C.3 Objectifs de sécurité

L’état de sécurité ciblée d’une ZAR est de fournir un environnement réseau contrôlé qui convient aux fonctions suivantes :

  • les services de plateforme et d’application d’entreprise;
  • les enclaves de clients qui exigent des niveaux de protection plus élevés.

Une ZAR se caractérise par des mesures de contrôle plus strictes en ce qui a trait à la configuration de réseau et par une surveillance minutieuse du trafic. Les mesures de contrôle du trafic mises en œuvre dans la ZAR sont conçues pour contenir les défaillances de sécurité.

L’état de sécurité ciblée d’une ZAR vise également à atténuer les menaces posées par des auteurs de menace appartenant aux catégories de niveau Md4 et inférieurs. On suppose toutefois que des auteurs de menace de niveau Md5Note de bas de page12 pourraient arriver à contourner les contrôles de sécurité réseau d’une ZAR. Une ZATR peut être mise en œuvre pour atténuer les menaces posées par des auteurs de menace appartenant aux catégories de menace de niveau Md5 et inférieurs.

Chaque objectif ou exigence mentionné dans la présente annexe est identifié suivant les règles de notation suivantes :

  • le premier groupe de lettres (RZ pour Restrictive Zone) désigne la ZAR;
  • le second groupe de lettres précise s’il s’agit d’un objectif (OBJ) ou d’une exigence (REQ pour Requirement).
  • Les exigences sont regroupées selon les catégories suivantes, le cas échéant :
    • Interface réseau (NI pour Network Interface);
    • Contrôle du trafic (TC pour Traffic control);
    • Configuration réseau (NC pour Network Configuration);
    • Configuration d’hôte (HC pour Host Configuration);
    • Protection des données (DP pour Data Protection).
  • Chaque objectif ou exigence est numéroté en ordre séquentiel dans son groupe, à partir de 100.
    Remarque : Les objectifs et les exigences ne sont pas indiqués en ordre séquentiel; certaines exigences ont été supprimées ou modifiées comparativement aux précédentes versions du présent document.

C.3.1 Objectifs de contrôle du trafic

[RZ-OBJ-100] Une ZAR devrait protéger l’intégrité et la disponibilité des systèmes d’extrémité qui y sont connectés. Une ZAR devrait réaliser les objectifs suivants :

  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs de mener des attaques par DoS en provenance des réseaux (p. ex. inondation de messages SYN, attaque par DDoS) dans les systèmes d’extrémité;
  • limiter l’incidence des attaques sur les systèmes d’extrémité lorsque des attaques par déni de service sont menées par d’autres sources de menace ;Note de bas de page 13;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs de s’introduire dans le réseau (p. ex. en connectant un dispositif non autorisé à une interface existante, en ajoutant une interface de bordure non autorisée) pour accéder aux systèmes d’extrémité;
  • réduire l’incidence des intrusions dans le réseau réalisées par toutes les autres sources de menace;
  • contenir l’incidence d’un système d’extrémité compromis;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs d’exploiter les systèmes d’extrémité comme base de lancement pour attaquer les autres systèmes;
  • empêcher les autres sources de menace d’exploiter les systèmes d’extrémité comme base de lancement pour attaquer les autres systèmes;
  • éviter que le trafic malveillant en provenance d’autres zones se propage dans une ZAR;
  • prévenir la propagation des maliciels.

[RZ-OBJ-102] Une ZAR devrait permettre de renforcer les mesures de sécurité en réponse à un accroissement du niveau de la menace (p. ex. en temps de crise) en faisant appel, notamment :

  • à des contrôles de trafic souples et dynamiques;
  • à une surveillance renforcée de l’état de la ZAR.

[RZ-OBJ-103] Les zones et les PIZ mettent en œuvre les mesures de protection visant à assurer une protection contre le trafic malveillant en provenance des réseaux publics. La ZAR devrait toutefois tenir compte de tout risque résiduel en vue de réaliser les objectifs suivants :

  • réduire la vulnérabilité aux attaques découlant de la compromission d’un accès distant et provenant des systèmes d’extrémité sur l’extranet;
  • réduire la vulnérabilité au trafic malveillant découlant de la compromission des serveurs d’application de prestation de services dans les zones en mettant en place les mesures de protection nécessaires (p. ex. limiter l’accès de ces serveurs aux ressources et protocoles désignés);
  • réduire la vulnérabilité aux attaques découlant de la compromission des hôtes, autres qu’un serveur d’application de prestation de services, dans la ZT ou la ZAP;
  • réduire la vulnérabilité aux défaillances des mesures de contrôle du trafic dans la ZAR, notamment les intrusions depuis les interréseaux des autres zones.

C.3.2 Objectifs de la disponibilité et de l’intégrité du réseau

[RZ-OBJ-104] Une ZAR devrait protéger l’intégrité et la disponibilité des services réseau en réduisant leur susceptibilité à divers types d’attaques, et permettre de réaliser les objectifs suivants :

  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs de mener des attaques par déni de service en provenant des réseaux en filtrant les attaques malveillantes depuis l’extérieur de la ZAR;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs de s’introduire dans le réseau (p. ex. en connectant un dispositif non autorisé à une interface existante, en ajoutant une interface de bordure non autorisée ou en compromettant un système d’extrémité connecté à la zone);
  • rendre les réseaux moins vulnérables aux intrusions menées depuis d’autres sources;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs d’exploiter les systèmes d’extrémité comme base de lancement pour attaquer les services du réseau;
  • empêcher les autres sources de menace d’exploiter les systèmes d’extrémité comme base de lancement pour attaquer les services du réseau.

C.3.3 Objectifs de la protection des données

[RZ-OBJ-105] Une ZAR devrait empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md4 et inférieurs d’intercepter le trafic dans la zone et de détecter toute interception du trafic par d’autres sources.

[RZ-OBJ-106] Une ZAR devrait prendre en charge les mesures suivantes pour protéger la confidentialité et l’intégrité des données :

  • RPVS dans l’interréseau;
  • RPVS en tant que service de données facultatif;
  • protocoles de sécurité de la couche supérieure.

C.4 Exigences de base en matière de sécurité

Cette section décrit les exigences de base en matière de sécurité d’une ZAR. Elles sont classées en fonction des exigences opérationnelles (c.-à-d., selon les catégories interface réseau, contrôle du trafic, configuration réseau, configuration d’hôte et protection des données).

Pour satisfaire à tous les objectifs de sécurité pour cette zone, il faut mettre en œuvre l’ensemble complet des exigences de base en matière de sécurité mentionnées dans le tableau 12. Bien qu’il s’agisse d’exigences de base minimales pour une ZAR, vous devriez consulter les contrôles mentionnés dans l’ITSG-33 [4] afin de déterminer s’il convient de mettre en place des mécanismes techniques, opérationnels et de gestion additionnels pour atténuer les menaces correspondant au niveau Md4 prévu.

Tableau 12 : Exigences de base en matière de sécurité des ZAR

Numéro de l’objectif Numéro de l’exigence Exigence de la zone Contrôle de l’ITSG 33 connexe SFI Interréseau Système d’extrémité
Interface réseau
RZ OBJ 100 RZ NI 100 Tous les chemins d’accès réseau entre la ZAR et les autres zones transitent par un PIZ. SC 7 X X -
RZ OBJ 103 RZ NI 102

Une ZAR n’a aucune connexion réseau directe à une ZP.

Tous les chemins réseau à destination ou en provenance d’une ZP (p. ex. Internet) transitent par une ZAP.

SC 7 (8) X X -
RZ OBJ 104 RZ NI 103

L’interréseau d’une ZAR est un réseau séparé de manière logique. Il veille à ce que le trafic interface avec les composants suivants seulement :

  • les PIZ;
  • les SFI vers d’autres interréseaux;
  • les systèmes d’extrémité de la ZAR.
AC 4 - X -
RZ-OBJ-103 RZ-NI-105 Les composants des SFI et des interréseaux prennent en charge les dispositifs de détection d’intrusion installés sur le réseau (p. ex. moniteurs) et la collecte de données depuis ces dispositifs. SI-4 (4) X X -
Traffic Control
RZ-OBJ-102 RZ-TC-102

Une ZAR est en mesure de réagir rapidement au renforcement du niveau de sécurité (p. ex. en cas d’urgence ou d’accroissement de la menace) quand et comment il est autorisé à le faire. Par exemple, une ZAR a la capacité de rehausser le niveau de sécurité du réseau en ajoutant des mesures de sécurité, comme :

  • le filtrage;
  • la surveillance (active et passive);
  • une protection visant à assurer la prestation continue des services essentiels (p. ex., reconfigurer ou bloquer les services non essentiels au besoin);
  • la vérification.

La mise en œuvre de ces mesures de sécurité est testée pour s’assurer que les capacités en question ne peuvent pas être utilisées pour causer un déni de service.

Le personnel autorisé a reçu la formation nécessaire pour intervenir et accroître les niveaux de sécurité.

AC-4
AU-6
IR-4
SC-7
SC-10
SI-4

X X X
RZ-OBJ-103 RZ-TC-103 L’identité des deux zones est authentifiée avant que la communication soit établie entre les zones. IA-3 X X -
RZ-OBJ-100 RZ-TC-104 L’interréseau fournit un service de contrôle d’accès capable d’appliquer une stratégie de contrôle d’accès entre les interfaces de bordure. Ces stratégies sont basées sur la source de la couche réseau, la destination de la couche réseau, le protocole de transport et l’interface de service de la couche transport. AC-3
AC-4
SC-10
- X -
RZ-OBJ-100 RZ-TC-105

L’autorité de la zone de sécurité de réseau d’une ZAR définit les exigences qui sera appliquées par le service de contrôle d’accès de l’interréseau de la ZAR en fonction des principes suivants :

  • • la stratégie de contrôle d’accès interdit tout trafic qui n’est pas explicitement autorisé;
  • • la stratégie de contrôle d’accès favorise la séparation des communautés d’intérêts (c’est-à-dire, lorsque le trafic de réseau est divisé en communautés d’intérêts naturelles, la stratégie de contrôle d’accès devrait imposer ces trafics naturels);
  • • la stratégie de contrôle d’accès restreint les chemins réseau menant aux systèmes d’extrémité vulnérables ou sensibles (p. ex. les sous-réseaux de test et de développement et les serveurs d’applications prenant en charge des applications publiques);
  • • la stratégie de contrôle d’accès limite les chemins d’accès aux réseaux disponibles pour les systèmes d’extrémité accessibles depuis l’extranet;
  • • la stratégie de contrôle d’accès limite l’accès aux autres systèmes d’extrémité par l’intermédiaire des hôtes d’accès distants si une autorité de zone de sécurité de réseau de la ZAR autorise la connexion à une ZAR par l’intermédiaire d’hôtes d’accès distants exécutant un système d’exploitation qui ne fait pas la distinction entre les rôles des utilisateurs et des administrateurs.

La stratégie de contrôle d’accès prend en charge la séparation des classes de service si l’interréseau offre plus d’une classe de service.

AC-2
AC-3
AC-4
AC-17
IA-3
SC-7 (11)
X X X
RZ-OBJ-104 RZ-TC-106 Si la ZAR offre plus d’une classe de service, elle comporte des mécanismes visant à empêcher que les classes n’interfèrent les unes avec les autres. AC-4 - X -
RZ-OBJ-103 RZ-TC-107 L’interréseau utilise un modèle d’adressage qui détecte et analyse le trafic malveillant. CA-3
SC-7
SI-3
- X -
RZ-OBJ-105 RZ-TC-108 La ZAR prend en charge le trafic SVPN entre toute paire d’interfaces de bordure. SC-8 X X -
RZ-OBJ-104 RZ-TC-110

L’autorité de la zone de sécurité de réseau définit une stratégie de contrôle d’accès qui sera appliquée par le service de contrôle d’accès en fonction des principes suivants :

  • la stratégie de contrôle d’accès interdit tout trafic qui n’est pas explicitement autorisé;
  • le trafic sortant est limité aux adresses de destination qui correspondent aux serveurs mandataires dans la ZAP;
  • les hôtes extranet sont limités à un ensemble défini d’adresses internes contenant les ressources dont l’extranet a besoin;
  • si l’autorité de zone de sécurité de réseau autorise les hôtes d’accès à distance à configuration ouverte (voir configuration d’hôte), alors les clients d’accès à distance sont limités à un ensemble défini d’adresses internes;

Traffic to and from servers is restricted to addresses and protocols that are necessary to support communication with the servers.

AC-4
SC-7 (5)
SC-7 (8)
SC-7 (11)
X X X
RZ-OBJ-100 RZ-TC-121 Toute l’information relative au contrôle du trafic et au flux de données jugée pertinente aux fins de vérification est enregistrée dans le journal de vérification de sécurité conformément aux exigences en matière de service de vérification de la sécurité. AU-1
AU-2
X X -
Configuration réseau
RZ-OBJ-104 RZ-NC-100

La configuration réseau de la ZAR est surveillée afin de détecter les ajouts, les suppressions ou les changements apportés aux interfaces de bordure.

Tout changement non autorisé sera signalé à l’autorité de la zone de sécurité de réseau.

AU-1
CM-2
CM-3
SI-4
X X -
RZ-OBJ-104 RZ-NC-101 Les interfaces de bordure de la ZAR sont enregistrées auprès de l’autorité de la zone de sécurité de réseau. CM-8 - X -
RZ-OBJ-104 RZ-NC-103 L’autorité de la zone de sécurité de réseau de la ZAR évalue périodiquement la topologie de réseau. AU-1
CM-2
CM-9
X X -
RZ-OBJ-105 RZ-NC-104 L’autorité de la zone de sécurité de réseau de la ZAR évalue périodiquement la configuration du réseau pour relever les interfaces externes non autorisées. AU-1
SI-4 (4)
X X -
RZ-OBJ-104 RZ-NC-105 Seuls les administrateurs authentifiés et autorisés peuvent gérer les nœuds de la ZAR et uniquement ceux de la ZAR-ZG. AC-5
IA-5
- - X
RZ-OBJ-104 RZ-NC-106 Les adresses des interfaces de bordure sont distinctes et dédiées. SC-7 - X -
RZ-OBJ-105 RZ-NC-107 Les adresses des interfaces de bordure sont visibles dans les autres zones, mais invisibles à partir d’une ZP. SC-7 - X -
RZ-OBJ-104 RZ-NC-108 Tout changement apporté à l’attribution de l’adresse d’une interface de bordure dans une ZAR constitue un changement de configuration exigeant l’approbation d’une autorité de zone de sécurité de réseau de la ZAR. CM-3
CM-9
- X -
RZ-OBJ-104 RZ-NC-109 L’autorité de zone de sécurité de réseau de la ZAR tient à jour l’information de configuration de toutes les interfaces de bordure dans l’interréseau. CM-2
CM-6
- X -
RZ-OBJ-104 RZ-NC-110 Les changements apportés à une ZAR sont approuvés par une autorité de zone de sécurité de réseau avant leur mise en œuvre. CM-3 (4)
CM-9
X X X
RZ-OBJ-104 RZ-NC-111

Les connexions dans la ZAR ont établi des associations de sécurité.

Toutes les communications sont authentifiées (que ce soit explicitement ou implicitement) dans le contexte de ces associations de sécurité.

Les associations de sécurité permises sont déterminées par les exigences en matière de contrôle de trafic.

AC-4
IA-3
SC-23
X X -
RZ-OBJ-104 RZ-NC-112 Les interfaces de bordure de l’interréseau sont authentifiées entre elles au moyen de mécanismes d’authentification cryptographique approuvés par le CST. IA-3 (1) - X -
RZ-OBJ-104 RZ-NC-121 Les accords de niveau de service des réseaux impartis exigent que des changements soient d’abord apportés aux interfaces de l’interréseau contrôlées par le fournisseur de services réseau avec l’approbation de l’autorité de zone de sécurité de réseau de la ZAR. CP-8 X X X
RZ-OBJ-104 RZ-NC-122

Les accords de niveau de services pour les réseaux impartis devraient comporter une clause faisant mention des exigences suivantes :

  • un fournisseur de services réseau doit faire la preuve de l’efficacité des contrôles de sécurité appliqués au niveau du noyau de l’interréseau;
  • tous les incidents susceptibles d’avoir une incidence sur la ZAR doivent être signalés à l’autorité de la zone de sécurité de réseau.
  • Le fournisseur de services réseau doit permettre à l’autorité de zone de sécurité de réseau de la ZAR de vérifier l’efficacité des contrôles de sécurité.
CP-8 X X X
RZ-OBJ-104 RZ-NC-123 Les systèmes d’extrémité maintiennent l’intégrité de leurs interfaces réseau avec les zones de l’organisation lorsqu’ils sont connectés à une ZAR. Les systèmes d’extrémité de la ZAR ne sont pas autorisés à faire appel à des bastions à doubles interfaces, à la tunnellisation partagée ou à d’autres chemins réseau partagés avec une ZP. SC-7 (7) - - X
Configuration d’hôte
RZ-OBJ-104 RZ-HC-100 L’autorité de la zone de sécurité de réseau maintient une stratégie de configuration des nœuds et des hôtes qui respecte les exigences de base en matière de sécurité, les normes et les directives applicables. La stratégie s’applique à tous les hôtes connectés à la zone. CM-1
CM-2
X X X
RZ-OBJ-104 RZ-HC-101

La stratégie de configuration réseau des nœuds et des hôtes tient compte des points suivants :

  • une spécification des configurations logicielles et matérielles interdites et autorisées applicables aux réseaux;
  • les procédures de maintenance minimale pour tous les logiciels de réseautage.
CM-1
CM-6
CM-7
MA-2
MA-6
SI-2
X X X
RZ-OBJ-104 RZ-HC-103

Des évaluations régulières des vulnérabilités du réseau portant sur tous les nœuds et les hôtes sont effectuées pour évaluer les tendances en matière d’efficacité de la stratégie de configuration des hôtes.

La fréquence de ces évaluations des vulnérabilités est suffisante pour permettre l’analyse des tendances.

Les résultats de toutes les évaluations des vulnérabilités sont gérés dans le cadre de la gestion continue des risques et fournissent une rétroaction au processus d’évaluation et d’autorisation de sécurité (EAS).

CA-7
RA-5
X X X
RZ-OBJ-104 RZ-HC-104 Tous les nœuds appellent, au démarrage, des contrôles qui mettent en œuvre une protection continue contre les maliciels. SI-3
SI-7 (1)
X X -
RZ-OBJ-104 RZ-HC-105 Tous les hôtes dont les applications permettent l’accès client aux ressources publiques (comme les navigateurs Web et les clients de courrier électronique en usage sur Internet) utilisent des systèmes d’exploitation qui assurent la séparation des tâches et une administration distincte. Ces hôtes sont configurés de manière à exécuter des applications qui fournissent l’accès aux ressources publiques en mode utilisateur. AC-5
AC-6
X X X
RZ-OBJ-104 RZ-HC-106 Les processus et les technologies de gestion des systèmes et des réseaux sont mis en œuvre dans une ZAR pour détecter les changements apportés aux configurations de nœud. SI-7 (7) X X -
RZ-OBJ-104 RZ-HC-107

Des sauvegardes régulières des fichiers système et des paramètres de configuration du système sont effectuées pour chaque nœud de la ZAR.

La fréquence et la période de conservation des documents relatives à ces sauvegardes répondent aux besoins de l’organisation.

CP-9 X X -
RZ-OBJ-104 RZ-HC-108 La panne d’un nœud de la ZAR ne compromet pas la sécurité de ses ressources ni de celles de tout réseau connecté. SC-24 X X -
RZ-OBJ-104 RZ-HC-109 Les nœuds et les hôtes de la ZAR se trouvent dans une zone conforme aux exigences de sécurité physique définies par le PASSI. Les ministères du GC doivent se conformer à la Norme opérationnelle sur la sécurité matérielle [16]. PE-18 X X X
RZ-OBJ-104 RZ-HC-111 La sécurité des systèmes d’exploitation et des applications nécessaires à tous les nœuds est renforcée selon les pratiques exemplaires documentées. CM-6
CM-7
X X -
RZ-OBJ-106 RZ-HC-112 Le cas échéant, les produits RPVS sont validés par le CCC au moins au niveau de sécurité 2 de la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13 X X X
RZ-OBJ-104 RZ-HC-113 Les nœuds sont sécurisés physiquement de manière à restreindre l’accès au personnel autorisé ayant besoin d’accéder à l’équipement selon les principes du droit d’accès minimal et du besoin de connaître. PE-2
PE-3 (1)
PE-18
X X -
RZ-OBJ-100 RZ-HC-114 Un système d’extrémité devrait comprendre un pare-feu personnel, un mécanisme d’intégrité de la configuration capable de relever les changements apportés à la configuration et de notifier l’administrateur du système d’extrémité. SC-7 (12)
SI-7
- - X
RZ-OBJ-104 RZ-HC-115

Un système d’extrémité partagé, en permanence ou périodiquement, devrait se conformer aux exigences suivantes :

  • il devrait employer un système d’exploitation assurant la séparation des utilisateurs et des administrateurs (c.-à-d. appliquer les principes de séparation des tâches et du droit d’accès minimal);
  • les changements apportés à la configuration du réseau exigent des privilèges administratifs;
  • la configuration du système d’extrémité et les procédures relatives au maintien de cette configuration sont approuvées par une autorité de zone de sécurité de réseau de la ZAR;
  • Le système d’extrémité est sujet à des évaluations des vulnérabilités régulières et les résultats sont fournis dans le cadre du processus d’EMR.

L’autorité de zone de sécurité de réseau détermine la fréquence de ces vérifications et la documente dans les procédures d’évaluation des vulnérabilités de la zone.

AC-5
AC-6 (1)
AC-6 (5)
CM-3
- - X
RZ-OBJ-104 RZ-HC-116 Un système d’extrémité complexe est soumis au processus d’EAS avant d’être connecté à une interface de bordure. CA-1
CA-6
- - X
RZ-OBJ-105 RZ-HC-122 Des détecteurs d’intrusion au niveau de l’hôte sont placés sur tous les hôtes critiques. SC-7(12) - - X
RZ-OBJ-105 RZ-HC-123 Les nœuds de la ZAR peuvent générer et tenir à jour les journaux de vérification selon les exigences du service de vérification de sécurité AU-2 X X X
RZ-OBJ-105 RZ-HC-124 Les nœuds de la ZAR fournissent aux administrateurs responsables des vérifications de sécurité un accès local aux journaux de vérification selon les exigences du service de vérification de sécurité AU-6(3)
AU-6(4)
X X X
RZ-OBJ-105 RZ-HC-125

Chaque nœud de la ZAR fait régulièrement l’objet de vérifications de configuration. L’autorité de zone de sécurité de réseau détermine la fréquence de ces vérifications et la documente dans les procédures de gestion des configurations de la ZAR.

La fréquence de ces évaluations des vulnérabilités est suffisante pour détecter les erreurs de configuration. Une vérification de configuration comprend ce qui suit, sans s’y limiter :

  • une vérification de la configuration des nœuds par rapport à la topologie du réseau;
  • une vérification des dispositifs matériels et des interfaces physiques;
  • une vérification de la configuration de contrôle du trafic, y compris les permissions et les contrôles d’accès;
  • une vérification de la conformité des logiciels autorisés et des fonctions permises.
AU-1
AU-6
AU-6(1)
AU-6(2)
AU-6(3)
AU-6(4)
AU-6(7)
X X X
RZ-OBJ-105 RZ-HC-126 Les nœuds de la ZAR enregistrent l’estampille temporelle dans les enregistrements de vérification et les horloges système internes de la ZAR sont synchronisées avec une source de temps de référence. AU-8 (1) X X X
Protection des données
RZ-OBJ-106 RZ-DP-100

L’interréseau prend en charge les connexions du trafic de données SVPN entre les interfaces de bordure.

SC-8 - X -
RZ-OBJ-106 RZ-DP-101

Une ZAR prend en charge les connexions du trafic de données SVPN entre les PIZ.

SC-8 X X -
RZ-OBJ-106 RZ-DP-103

Une ZAR peut traiter le trafic de tous les niveaux de sensibilité. Toutefois, la catégorisation de la sécurité et les résultats de l’EMR pourraient exiger la mise en place de mesures de protection des données.

Les services de protection des données peuvent être appliqués soit à la couche réseau, soit aux couches supérieures, selon les besoins de la mise en œuvre.

SC-8 X X -
RZ-OBJ-106 RZ-DP-104 Là où le chiffrement ou une signature numérique est obligatoire, les produits (logiciels, microgiciels ou dispositifs matériels) doivent intégrer un algorithme et des processus de gestion des clés approuvés par le CCC, comme les produits validés par le CCC d’après la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13 X X X
RZ-OBJ-106 RZ-DP-105 On fait appel au chiffrement de données lorsque de l’information partiellement sensible (c.-à-d. Protégé B) est transmise aux systèmes d’extrémité des autres zones, ou lorsque des parties de l’interréseau sont imparties à un fournisseur de services réseau. AC-18 (1)
SC-8
X X

Annexe D : Exigences de base en matière de sécurité pour le Zone d’accès très restreint

Avant-propos

Le document ITSP.80.022, Exigences de base en matière de sécurité pour les zones de sécurité de réseau (Version 2), Annexe D – Zone d’accès très restreint est une publication NON CLASSIFIÉ.

La présente version remplace toutes les versions précédentes de l’annexe D.

Date d'entrée en vigueur

Le présent document entre en vigueur le 12 janvier 2021.

Historique des modifications

Version Modifications Date
1 Publication de la version 2. 12 janvier 2021.

Annexe D Exigences de sécurité de base pour la zone d’accès très restreint (ZATR)

D.1 Introduction

La présente annexe décrit les exigences de base en matière de sécurité d’une ZATR. La ZATR est conçue pour les services de plateforme et d’application d’entreprise et pour les enclaves clients nécessitant les plus hauts niveaux de sécurité.

Elle procure un environnement de réseau rigoureusement contrôlé adapté aux trois types de services suivants :

  1. les applications essentielles à la sécurité (c.-à-d., les applications dont les exigences en matière de disponibilité et d’intégrité sont élevées, puisque la compromission des systèmes informatiques pourrait entraîner des risques pour la santé humaine et la sécurité);
  2. l’information partiellement sensible (c.-à-d., l’information personnelle ou opérationnelle jusqu’au niveau PROTÉGÉ B) et l’information non classifiée qui est recueillie dans un vaste dépôt dont la compromission pourrait entraîner des risques élevés;
  3. l’information hautement sensible (c.-à-d., l’information personnelle ou opérationnelle jusqu’au niveau PROTÉGÉ C) et l’information classifiée (p. ex. l’information de niveau CONFIDENTIEL, SECRET ou TRÈS SECRET d’intérêt national pour le Canada.

La présente annexe fait mention des exigences applicables à une ZATR pour les deux premiers types de services mentionnés précédemment. Pour de l’orientation sur les exigences applicables à une ZATR qui traitent de l’information classifiée et de l’information de nature très sensible (PROTÉGÉ C), prière de communiquer avec le Centre de contact par courriel ou par téléphone.

D.2 Modèle de référence d’une ZATR

Une ZATR offre un environnement de réseau privé non spécialisé sous le contrôle direct ou partagé d’une organisation. Les contrôles de sécurité de réseau d’une ZATR doivent être en mesure de protéger adéquatement les applications à disponibilité élevée contre les attaques par DoS. En adoptant une approche à la sécurité axée sur la défense en profondeur et en renforçant la robustesse des mécanismes de sécurité dans la zone, une ZATR peut atténuer les menaces correspondant à un niveau pouvant aller jusqu’à Md5 inclusivement .Note de bas de page14

Les interfaces de tous les services publics devraient être justifiées par les résultats du PASSI et mises en œuvre au moyen d’une ZAR, puis d’une ZT et d’une ZAP. L’accès aux autres organisations pourrait être fourni par l’entremise d’interfaces vers des ZATR ou ZAR homologues. Les interfaces aux services et dépôts sensibles devraient être mises en œuvre au moyen des interfaces rigoureusement contrôlées fournies par les PIZ.

La présente section décrit le modèle de référence de la ZATR, lequel découle du modèle de référence générique. Une ZATR comprend les composants mentionnés au tableau 13.

Tableau 13 : Composants de la ZATR

Composant Description
Interréseau L’interréseau de la ZATR achemine le trafic entre les systèmes d’extrémité et les PIZ.
SFI Les SFI contrôlent et surveillent le trafic entre les interréseaux connectés (si plus d’un interréseau a été mis en place).
Systèmes d’extrémité Les systèmes d’extrémité assurent le traitement et le stockage locaux de l’information organisationnelle.

La figure 11 offre une vue logique d’une ZATR et de ses connexions aux autres zones. Dans un souci de simplicité, le graphique ne fait pas mention de la ZG et de ses interconnexions. Se reporter à l’Annexe E pour les exigences relatives à la ZG et les recommandations de connexion.

Lorsque deux zones partagent un nœud (comme le système d’extrémité partagé illustré à la figure 11), les deux autorités de zones de sécurité devraient s’entendre sur la gestion et la supervision de ce nœud.

Tel qu’il est décrit à l’annexe F, un PIZ permet aux entités d’une ZATR d’interfacer avec les autres zones. Les PIZ contrôlent les flux de trafic entrants et sortants aux points où la ZATR est connectée avec les autres zones.

Figure 11 : Topologie logique de la ZATR

Description détaillée suit immédiatement
Description détaillée

La figure 11 offre une vue logique d’une ZATR et de ses connexions aux autres zones. Dans un souci de simplicité, le graphique ne fait pas mention de la ZG et de ses interconnexions.

D.3 Objectifs de sécurité de la ZATR

En règle générale, l’état de sécurité ciblée d’une ZATR est de fournir un environnement réseau contrôlé qui convient aux services de plateforme et d’application d’entreprise et aux enclaves clients nécessitant les plus hauts niveaux de sécurité. Ces objectifs s’appliquent aux deux types de services suivants :

  • les applications essentielles à la sécurité (c.-à-d., les applications dont les exigences en matière de disponibilité et d’intégrité sont élevées, puisque la compromission des systèmes informatiques pourrait entraîner des risques pour la santé humaine et la sécurité);
  • l’information partiellement sensible (c.-à-d., l’information personnelle ou opérationnelle jusqu’au niveau PROTÉGÉ B) et l’information non classifiée qui est recueillie dans un vaste dépôt dont la compromission pourrait entraîner des risques élevés.

Une ZATR se caractérise par des contrôles de configuration de réseau et d’hôte plus rigoureux et par un flux de trafic soigneusement contrôlé. Les mesures de contrôle du trafic mises en œuvre dans la ZATR sont conçues pour contenir les défaillances de sécurité.

Chaque objectif ou exigence mentionné dans la présente annexe est identifié suivant les règles de notation suivantes :

  • le premier groupe de lettres (HRZ pour Highly Restricted Zone) désigne la ZATR;
  • le second groupe de lettres précise s’il s’agit d’un objectif (OBJ) ou d’une exigence (REQ pour Requirement);
  • les exigences (REQ) sont regroupées dans les catégories suivantes, le cas échéant :
    • Interface réseau (NI pour Network Interface);
    • Contrôle du trafic (TC pour Traffic control);
    • Configuration de réseau (NC pour Network Configuration);
    • Configuration d’hôte (HC pour Host Configuration);
    • Protection des données (DP pour Data Protection).
  • chaque objectif ou exigence est numéroté en séquence dans son groupe.

Remarque : Les objectifs et les exigences ne sont pas indiqués en ordre séquentiel; certaines exigences ont été supprimées ou modifiées comparativement aux précédentes versions du présent document.

D.3.1 Objectifs de contrôle du trafic

[HRZ-OBJ-100] Une zone d’accès très restreint (ZATR) devrait protéger l’intégrité et la disponibilité des systèmes d’extrémité qui lui sont rattachés en empêchant le transit de trafic réseau malveillant, y compris le trafic réseau provenant d’un petit nombre de membres du personnel responsable du système ou provenant d’applications compromises. Ses buts sont les suivants :

  • empêcher les auteurs de menace jusqu’au niveau Md5 de mener des attaques par déni de service (p. ex. inondation de messages SYN, attaque par DdoS) sur les systèmes d’extrémité;
  • réduire sensiblement les attaques par déni de service sur les systèmes d’extrémité qui sont menées par toutes les autres sourcesNote de bas de page15;
  • interdire l’accès aux systèmes d’extrémité à la suite d’une intrusion dans le réseau (comme le raccordement d’un dispositif non autorisé à une interface existante ou l’ajout non autorisé d’une interface périphérique) par des auteurs de menace jusqu’au niveau Md5;
  • réduire la vulnérabilité des systèmes d’extrémité aux intrusions réalisées par toutes les autres sources;
  • contenir l’incidence de la compromission d’un système d’extrémité;
  • empêcher les auteurs de menace jusqu’au niveau Md5 d’utiliser les systèmes d’extrémité comme base de lancement d’attaques contre d’autres systèmes;
  • empêcher les autres sources de menace d’utiliser les systèmes d’extrémité comme base de lancement d’attaques contre d’autres systèmes;
  • empêcher la propagation de trafic malveillant dans une ZATR depuis d’autres zones;
  • prévenir la propagation des maliciels.

Les mesures de sécurité réseau ont une efficacité limitée pour ce qui est de protéger les systèmes d’extrémité contre les compromissions à partir d’interfaces d’applications valides. Les mesures de sécurité liées aux plateformes, aux applications et aux opérations peuvent limiter les risques associés à ces types de menaces. Le seul trafic réseau malveillant pouvant transiter par une ZATR proviendrait des membres du personnel ou d’applications compromises.

[HRZ-OBJ-101] Une ZATR devrait permettre l’évaluation continue du trafic d’interface avec les autres zones (p. ex. autres ZATR, ZAR et ZG) et valider les hypothèses sur l’environnement de sécurité que constituent les zones adjacentes.

[HRZ-OBJ-102] Une ZATR devrait permettre de renforcer les mesures de sécurité en réponse à un accroissement du niveau de la menace (période de crise), notamment :

  • à des contrôles de trafic souples et dynamiques basés sur les communautés d’intérêt;
  • à une surveillance renforcée de l’état de la ZATR.

[HRZ-OBJ-103] La ZT et la ZAR comportent des mesures de protection visant à assurer une protection efficace contre le trafic réseau malveillant en provenance des réseaux publics. Les risques résiduels émanant des autres zones devraient toutefois être atténués dans la ZATR en tenant compte des objectifs suivants :

  • réduire la vulnérabilité aux attaques découlant de la compromission d’un accès distant et provenant des systèmes d’extrémité sur l’extranet;
  • réduire la vulnérabilité au trafic malveillant découlant de la compromission des serveurs d’application de prestation de services dans les zones en limitant l’accès de ces serveurs aux ressources et protocoles désignés;
  • réduire la vulnérabilité aux attaques découlant de la compromission des hôtes dans d’autres zones;
  • réduire la vulnérabilité aux défaillances des mesures de contrôle du trafic dans les autres zones, notamment les intrusions depuis les interréseaux.

D.3.2 Objectifs de la disponibilité et l’intégrité du réseau

[HRZ-OBJ-104] Une ZATR devrait protéger l’intégrité et la disponibilité des services réseau en réduisant leur susceptibilité à divers types d’attaques, et permettre de réaliser les objectifs suivants :

  • filtrer les attaques malveillantes provenant de l’extérieur d’une ZATR afin de réduire la vulnérabilité des services réseau aux attaques par DoS qui sont menées par des sources de menace;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md5 et inférieurs de s’introduire dans le réseau (p. ex. en connectant un dispositif non autorisé à une interface existante, en ajoutant une interface de bordure non autorisée ou en compromettant un système d’extrémité connecté à la zone);
  • rendre les services réseau moins vulnérables aux intrusions menées depuis d’autres sources de menace;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md5 et inférieurs d’utiliser les systèmes d’extrémité comme base de lancement d’attaques contre les services réseau;
  • empêcher les autres sources de menace d’utiliser les systèmes d’extrémité comme base de lancement d’attaques contre les services réseau.

D.3.3 Objectifs de la protection des données

[HRZ-OBJ-105] Une ZATR devrait empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md5 et inférieurs d’intercepter le trafic de la zone. Elle devrait également détecter l’interception du trafic par d’autres sources de menace.

[HRZ-OBJ-106] Une ZATR devrait prendre en charge les mesures suivantes pour protéger la confidentialité et l’intégrité des données :

  • RPVS dans l’interréseau;
  • RPVS en tant que service de données facultatif;
  • protocoles de sécurité de la couche supérieure.

Les employés d’une autre organisation pourraient être tenus d’accéder de façon sécurisée aux services réseau et à leurs réseaux domestiques. Dans de tels cas, il pourrait être nécessaire de fournir un accès temporaire par l’entremise d’un point d’accès situé dans une salle de conférence, ou un accès permanent, aux employés désignés de l’organisation hôte.

D.4 Exigences de base en matière de sécurité de la ZATR

Cette section décrit les exigences de base en matière de sécurité d’une ZATR. Elles sont classées dans le tableau 14 en fonction des exigences opérationnelles (c.-à-d., selon les catégories interface réseau, contrôle du trafic, configuration réseau, configuration d’hôte et protection des données). Pour satisfaire à tous les objectifs de sécurité d’une ZATR, tel qu’il est décrit précédemment, il faut mettre en œuvre l’ensemble des exigences de base en matière de sécurité.

Il s’agit des exigences de sécurité minimales pour cette zone. Vous devriez consulter les contrôles mentionnés dans l’ITSG 33 [4] afin de déterminer s’il convient de mettre en place des mécanismes techniques, opérationnels et de gestion additionnels pour atténuer les menaces correspondant au niveau Md5 prévu.

Tableau 14 : Exigences de base en matière de sécurité de la ZATR

Numéro de l’objectif Numéro de l’exigence Exigence de la zone Contrôle de l’ITSG 33 connexe SFI Interréseau Système d’extrémité
Interfaces réseau
HRZ-OBJ-100 HRZ-NI-100 Tous les chemins d’accès réseau entre la ZATR et les autres zones transitent par un PIZ. SC-7 X X -
HRZ-OBJ-103 HRZ-NI-102

Une ZATR n’a aucune connexion réseau directe à une ZP.

Tous les chemins réseau à destination ou en provenance d’une ZP (p. ex. Internet) transitent par une ZAP.

SC-7 (8) X X -
HRZ-OBJ-103 HRZ-NI-103

L’interréseau d’une ZATR est un réseau séparé de manière logique qui veille à ce que le trafic interface avec les composants suivants seulement :

  • les PIZ;
  • les SFI vers d’autres interréseaux;
  • les systèmes d’extrémité de la ZATR.
AC-4 - X -
HRZ-OBJ-103 HRZ-NI-105 Les composants des SFI et des interréseaux prennent en charge les dispositifs de détection d’intrusion installés sur le réseau (p. ex. moniteurs) et la collecte de données depuis ces dispositifs. SI-4 (4) X X -
Contrôle du trafic
HRZ-OBJ-102 HRZ-TC-102

La ZATR devrait être en mesure de réagir rapidement au renforcement du niveau de sécurité en cas d’urgence ou d’accroissement de la menace, quand et comment il est autorisé à le faire. Par exemple, une ZATR a la capacité de rehausser le niveau de sécurité du réseau en ajoutant des mesures de sécurité, comme :

  • le filtrage;
  • la surveillance (active et passive);
  • une protection visant à assurer la prestation continue des services essentiels (p. ex. reconfigurer ou bloquer les services non essentiels au besoin);
  • la vérification.

La mise en œuvre de ces mesures de sécurité est testée pour s’assurer que les capacités en question ne peuvent pas être utilisées pour causer un déni de service.

Le personnel autorisé a reçu la formation nécessaire pour intervenir et accroître les niveaux de sécurité.

AC-4
AU-6
IR-4
SC-7
SC-10
SI-4
X X X
HRZ-OBJ-103 HRZ-TC-103 L’identité des deux zones est authentifiée avant que la communication soit établie entre elles. IA-3 X X -
HRZ-OBJ-100 HRZ-TC-104 L’interréseau fournit un service de contrôle d’accès capable d’appliquer une stratégie de contrôle d’accès entre les interfaces de bordure. Ce service est appliqué en fonction de la source de la couche réseau, la destination de la couche réseau, le protocole de transport et l’interface de service de la couche transport. AC-3
AC-4
SC-10
- X -
HRZ-OBJ-100 HRZ-TC-105

L’autorité de la zone de sécurité de réseau d’une ZATR définit les exigences qui seront appliquées par le service de contrôle d’accès interréseau en fonction des principes suivants :

  • la stratégie de contrôle d’accès interdit tout trafic qui n’est pas explicitement autorisé;
  • la stratégie de contrôle d’accès favorise la séparation des communautés d’intérêts (c.-à-d., lorsque le trafic de réseau est divisé en communautés d’intérêts naturelles, la stratégie de contrôle d’accès devrait imposer ces trafics naturels);
  • la stratégie de contrôle d’accès restreint les chemins réseau menant aux systèmes d’extrémité vulnérables ou sensibles (p. ex. les sous-réseaux de test et de développement et les serveurs d’applications prenant en charge des applications publiques);
  • la stratégie de contrôle d’accès limite les chemins d’accès aux réseaux disponibles pour les systèmes d’extrémité accessibles depuis l’extranet;
  • la stratégie de contrôle d’accès limite l’accès aux autres systèmes d’extrémité par l’intermédiaire des hôtes d’accès distants si une autorité de zone de sécurité de réseau de la ZATR autorise la connexion à une ZAR par l’intermédiaire d’hôtes d’accès distants exécutant un système d’exploitation qui ne fait pas la distinction entre les rôles des utilisateurs et des administrateurs;
  • la stratégie de contrôle d’accès prend en charge la séparation des classes de service si l’interréseau offre plus d’une classe de service.
AC-2
AC-3
AC-4
AC-17
IA-3
SC-7
X X X
HRZ-OBJ-104 HRZ-TC-106 Si la ZATR offre plus d’une classe de service, elle comporte des mécanismes visant à empêcher que les classes n’interfèrent les unes avec les autres. AC-4 - X -
HRZ-OBJ-103 HRZ-TC-107 L’interréseau utilise un modèle d’adressage qui détecte et analyse le trafic malveillant. CA-3
SC-7
SI-3
- X -
HRZ-OBJ-105 HRZ-TC-108 La ZATR prend en charge le trafic SVPN entre toute paire d’interfaces de bordure. SC-8 X X -
HRZ-OBJ-104 HRZ-TC-110

L’autorité de la zone de sécurité de réseau définit une stratégie de contrôle d’accès qui sera appliquée par le service de contrôle d’accès en fonction des principes suivants :

  • la stratégie de contrôle d’accès interdit tout trafic qui n’est pas explicitement autorisé;
  • le trafic sortant est limité aux adresses de destination qui correspondent aux serveurs mandataires dans une ZAP;
  • les hôtes extranet devraient être limités à un ensemble défini d’adresses internes contenant les ressources dont l’extranet a besoin;
  • si l’autorité de zone de sécurité réseau permet des hôtes d’accès à distance à configuration ouverte (voir configuration d’hôte), alors les clients d’accès à distance sont limités à un ensemble défini d’adresses internes;
  • le trafic en provenance et en direction des serveurs est limité aux adresses et aux protocoles nécessaires pour prendre en charge les communications vers ces serveurs.
AC-4
SC-7 (5)
SC-7 (8)
SC-7 (11)
X X X
HRZ-OBJ-100 HRZ-TC-121 Toute l’information relative au contrôle du trafic et au flux de données jugée pertinente aux fins de vérification est enregistrée dans le journal de vérification de sécurité conformément aux exigences en matière de service de vérification de la sécurité. AU-1
AU-2
X X -
Configuration de réseau
HRZ-OBJ-104 HRZ-NC-100 La configuration réseau de la ZATR est surveillée afin de détecter les ajouts, les suppressions ou les changements apportés aux interfaces de bordure. Tout changement non autorisé sera signalé à l’autorité de la zone de sécurité de réseau. AU-1
CM-2
CM-3
SI-4
X X -
HRZ-OBJ-104 HRZ-NC-101 Les interfaces de bordure de la ZATR sont enregistrées auprès de l’autorité de la zone de sécurité de réseau. CM-8 - X -
HRZ-OBJ-104 HRZ-NC-103 L’autorité de la zone de sécurité de réseau de la ZATR évalue périodiquement la topologie de réseau. AU-1
CM-2
CM-9
X X -
HRZ-OBJ-105 HRZ-NC-104 L’autorité de la zone de sécurité de réseau de la ZATR évalue périodiquement la configuration du réseau pour relever les interfaces externes non autorisées. AU-1
SI-4 (4)
X X -
HRZ-OBJ-104 HRZ-NC-105 Seuls les administrateurs authentifiés et autorisés peuvent gérer les nœuds de la ZATR et uniquement ceux de la ZATR-ZG. AC-5
IA-5
- - X
HRZ-OBJ-104 HRZ-NC-106 Les adresses des interfaces de bordure sont distinctes et dédiées. SC-7 - X -
HRZ-OBJ-105 HRZ-NC-107 Les adresses des interfaces de bordure sont visibles dans les autres zones internes, mais invisibles à partir d’une ZP. SC-7 - X -
HRZ-OBJ-104 HRZ-NC-108 Tout changement apporté à l’attribution de l’adresse d’une interface de bordure dans une ZATR constitue un changement de configuration exigeant l’approbation d’une autorité de zone de sécurité de réseau de la ZATR. CM-3
CM-9
- X -
HRZ-OBJ-104 HRZ-NC-109 L’autorité de zone de sécurité de réseau de la ZATR tient à jour l’information de configuration de toutes les interfaces de bordure dans l’interréseau. CM-2
CM-6
- X -
HRZ-OBJ-104 HRZ-NC-110 Les changements apportés à une ZATR sont approuvés par une autorité de zone de sécurité de réseau avant leur mise en œuvre. CM-3 (4)
CM-9
X X X
HRZ-OBJ-104 HRZ-NC-111 Les connexions dans la ZATR ont établi des associations de sécurité. Toutes les communications sont authentifiées (que ce soit explicitement ou implicitement) dans le contexte de ces associations de sécurité. Les associations de sécurité permises sont déterminées par les exigences en matière de contrôle de trafic. AC-4
IA-3
SC-23
X X -
HRZ-OBJ-104 HRZ-NC-112

Les interfaces de bordure de l’interréseau sont authentifiées entre elles au moyen d’un des mécanismes suivants :

  • des mécanismes d’authentification cryptographique approuvés par le CST;
  • des contrôles physiques sur les interfaces de bordure et sur tous les supports qui relient ces interfaces.
IA-3 (1) - X -
HRZ-OBJ-104 HRZ-NC-121 Les accords de niveau de service des réseaux impartis exigent que l’autorité de zone de sécurité de réseau de la ZATR approuve tout changement apporté aux interfaces de l’interréseau contrôlées par le fournisseur de services réseau. CP-8 X X X
HRZ-OBJ-104 HRZ-NC-122

Les accords de niveau de services pour les réseaux impartis devraient comporter une clause faisant mention des exigences suivantes :

  • un fournisseur de services réseau doit faire la preuve de l’efficacité des contrôles de sécurité appliqués au niveau du noyau de l’interréseau;
  • tous les incidents susceptibles d’avoir une incidence sur la ZATR sont signalés à l’autorité de la zone de sécurité de réseau;
  • le fournisseur de services réseau permet à l’autorité de zone de sécurité de réseau de la ZATR de vérifier l’efficacité des contrôles de sécurité.
CP-8 X X X
HRZ-OBJ-104 HRZ-NC-123 Les systèmes d’extrémité maintiennent l’intégrité de leurs interfaces réseau avec les zones de l’organisation quand ils sont connectés à une ZATR. Les systèmes d’extrémité de la ZATR ne sont pas autorisés à faire appel à des bastions à doubles interfaces, à la tunnellisation partagée ou à d’autres chemins réseau partagés avec une ZP. SC-7 (7) - - X
Configuration d’hôte
HRZ-OBJ-104 HRZ-HC-100 L’autorité de la zone de sécurité de réseau de la ZATR maintient une stratégie de configuration des nœuds et des hôtes qui respecte les exigences de base en matière de sécurité, les normes et les directives applicables. La stratégie s’applique à tous les hôtes connectés à la zone. CM-1
CM-2
X X X
HRZ-OBJ-104 HRZ-HC-101

La stratégie de configuration réseau des nœuds et des hôtes tient compte des exigences suivantes :

  • une spécification des configurations logicielles et matérielles interdites et autorisées applicables aux réseaux;
  • les procédures de maintenance minimale pour tous les logiciels de réseautage.
CM-1
CM-6
CM-7
MA-2
MA-6
SI-2
X X X
HRZ-OBJ-104 HRZ-HC-103

Des évaluations régulières des vulnérabilités portant sur tous les nœuds et les hôtes sont effectuées pour évaluer les tendances en matière d’efficacité de la stratégie de configuration des hôtes. La fréquence de ces évaluations des vulnérabilités est suffisante pour permettre l’analyse des tendances.

Tous les résultats des évaluations des vulnérabilités sont gérés dans le cadre de la gestion continue des risques et fournissent une rétroaction au processus d’évaluation et d’autorisation de sécurité (EAS).

CA-7
RA-5
X X X
HRZ-OBJ-104 HRZ-HC-104 Tous les nœuds appellent, au démarrage, des contrôles qui mettent en œuvre une protection continue contre les maliciels. SI-3
SI-7 (1)
X X -
HRZ-OBJ-104 HRZ-HC-105 Tous les hôtes dont les applications permettent l’accès client aux ressources publiques (comme les navigateurs Web et les clients de courrier électronique en usage sur Internet) utilisent des systèmes d’exploitation qui assurent la séparation des tâches et une administration distincte et sont configurés de manière à exécuter des applications qui fournissent l’accès aux ressources publiques en mode utilisateur. AC-5
AC-6
X X X
HRZ-OBJ-104 HRZ-HC-106 Les processus et les technologies de gestion des systèmes et des réseaux sont mis en œuvre dans une ZATR pour détecter les changements apportés aux configurations de nœud. SI-7 (7) X X -
HRZ-OBJ-104 HRZ-HC-107

Des sauvegardes régulières des fichiers système et des paramètres de configuration du système sont effectuées pour chaque nœud de la ZATR.

La fréquence et la période de conservation des documents relatives à ces sauvegardes répondent aux besoins de l’organisation.

CP-9 X X -
HRZ-OBJ-104 HRZ-HC-108 La panne d’un nœud de la ZATR ne compromet pas la sécurité de ses ressources ni de celles de tout réseau connecté. SC-24 X X -
HRZ-OBJ-104 HRZ-HC-109 Les nœuds et les hôtes de la ZATR se trouvent dans une zone conforme aux exigences de sécurité physique définies par le PASSI. Les ministères et organismes du GC doivent également se conformer aux Norme opérationnelle sur la sécurité matérielle [16]. PE-18 X X X
HRZ-OBJ-104 HRZ-HC-111 La sécurité des systèmes d’exploitation et des applications nécessaires à tous les nœuds est renforcée selon les pratiques exemplaires documentées. CM-6
CM-7
X X -
HRZ-OBJ-106 HRZ-HC-112 Le cas échéant, les produits RPVS sont validés au moins au niveau de sécurité 2 de la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13 X X X
HRZ-OBJ-104 HRZ-HC-113 Les nœuds sont sécurisés physiquement de manière à restreindre l’accès au personnel autorisé ayant besoin d’accéder à l’équipement selon les principes du droit d’accès minimal et du besoin de connaître. PE-2
PE-3 (1)
PE-18
X X -
HRZ-OBJ-100 HRZ-HC-114 Un système d’extrémité comprend un pare-feu personnel et un mécanisme d’intégrité de la configuration capable de relever les changements apportés à la configuration et de notifier l’administrateur du système d’extrémité. SC-7 (12)
SI-7
- - X
HRZ-OBJ-104 HRZ-HC-115

Un système d’extrémité partagé, en permanence ou périodiquement, se conforme aux exigences suivantes :

  • il devrait employer un système d’exploitation assurant la séparation des utilisateurs et des administrateurs (c.-à-d. appliquer les principes de séparation des tâches et du droit d’accès minimal);
  • tout changement de la configuration de réseau devrait nécessiter des privilèges d’administrateur;
  • la configuration du système d’extrémité et les procédures relatives au maintien de cette configuration sont approuvées par une autorité de zone de sécurité de réseau de la ZATR;
  • le système d’extrémité est sujet à des évaluations des vulnérabilités régulières et les résultats sont fournis dans le cadre du processus d’EMR. L’autorité de zone de sécurité de réseau de la ZATR détermine la fréquence de ces vérifications et la documente dans les procédures d’évaluation des vulnérabilités de la zone.
AC-5
AC-6 (1)
AC-6 (5)
CM-3
- - X
HRZ-OBJ-104 HRZ-HC-116 Un système d’extrémité est soumis au processus d’EAS avant d’être connecté à une interface de bordure. CA-1
CA-6
- - X
HRZ-OBJ-105 HRZ-HC-122 Des détecteurs d’intrusion au niveau de l’hôte sont placés sur tous les hôtes critiques. SC-7(12) - - X
HRZ-OBJ-105 HRZ-HC-123 Les nœuds de la ZATR génèrent et tiennent à jour les journaux de vérification selon les exigences du service de vérification de sécurité. AU-2 X X X
HRZ-OBJ-105 HRZ-HC-124 Les nœuds de la ZATR fournissent aux administrateurs responsables des vérifications de sécurité un accès local aux journaux de vérification selon les exigences du service de vérification de sécurité. AU-6(3)
AU-6(4)
X X X
HRZ-OBJ-105 HRZ-HC-125

Chaque nœud de la ZATR fait régulièrement l’objet de vérifications de configuration. L’autorité de zone de sécurité de réseau détermine la fréquence de ces vérifications et la documente dans les procédures de gestion des configurations de la ZATR.

La fréquence de ces évaluations des vulnérabilités est suffisante pour détecter les erreurs de configuration. Une vérification de configuration comprend ce qui suit, sans s’y limiter :

  • une vérification de la configuration des nœuds par rapport à la topologie du réseau;
  • une vérification des dispositifs matériels et des interfaces physiques;
  • une vérification de la configuration de contrôle du trafic, y compris les permissions et les contrôles d’accès.

une vérification de la conformité des logiciels autorisés et des fonctions permises.

AU-1
AU-6
AU-6(1)
AU-6(2)
AU-6(3)
AU-6(4)
AU-6(7)
X X X
HRZ-OBJ-105 HRZ-HC-126 Les nœuds de la ZATR enregistrent l’estampille temporelle dans les enregistrements de vérification. Les horloges système internes de la ZATR sont synchronisées avec une source de temps de référence. AU-8 (1) X X X
Protection des données
HRZ-OBJ-106 HRZ-DP-100 L’interréseau peut prendre en charge les connexions du trafic de données SVPN entre les interfaces de bordure. SC-8 - X -
HRZ-OBJ-106 HRZ-DP-101 Une ZATR peut prendre en charge les connexions du trafic de données SVPN entre les PIZ. SC-8 X X -
HRZ-OBJ-106 HRZ-DP-103 Bien que la ZATR soit capable d’acheminer le trafic à tous les niveaux de sensibilité, la catégorisation de la sécurité et les résultats de l’EMR pourraient exiger la mise en place de mesures de protection des données. Les services de protection des données peuvent être appliqués soit à la couche réseau, soit aux couches supérieures, selon les besoins de la mise en œuvre. SC-8 X X -
HRZ-OBJ-106 HRZ-DP-104 Là où le chiffrement ou une signature numérique est obligatoire, les produits (logiciels, microgiciels ou dispositifs matériels) doivent intégrer un algorithme et des processus de gestion des clés approuvés par le Centre pour la cybersécurité, comme les produits validés par le Centre pour la cybersécurité d’après la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13 X X X
HRZ-OBJ-106 HRZ-DP-105 On fait appel au chiffrement de données lorsque de l’information personnelle ou opérationnelle partiellement sensible (c.-à-d. PROTÉGÉ B) est transmise aux systèmes d’extrémité des autres zones, ou lorsque des parties de l’interréseau sont imparties à un fournisseur de services réseau. AC-18 (1)
SC-8
X X X

Annexe E : Exigences de base en matière de sécurité pour le Zone de gestion

Avant-propos

L’ITSP.80.022, Exigences de base en matière de sécurité pour les zones de sécurité de réseau, version 2, Annexe E – Zone de gestion, est une publication NON CLASSIFIÉ.

La présente version remplace toutes les versions précédentes de l’annexe E.

Date d'entrée en vigueur

Le présent document entre en vigueur le 12 janvier 2021.

Historique des modifications

Version Modifications Date
1 Publication de la version 2. 12 janvier 2021

Annexe E Exigences de sécurité de base pour la zone de gestion (ZG)

E.1 Introduction

La présente annexe fait mention des exigences de base en matière de sécurité d’une ZG), à savoir l’environnement propre à un ensemble de systèmes de gestion d’extrémité. Cette zone sert à séparer les activités et les services de gestion de ceux de l’organisation.

Une ZG est une zone isolée physiquement dont la robustesse est équivalente à celle d’une ZAR ou d’une ZATR, selon ce qui a été déterminé dans le cadre du PASSI. La ZG offre aux administrateurs de TI et de la sécurité un réseau d’administration dédié et isolé au moyen duquel ils peuvent configurer et surveiller les infrastructures et les services informatiques du réseau. Elle procure également l’infrastructure, la plateforme et les applications nécessaires pour que les administrateurs et opérateurs de la sécurité puissent gérer les réseaux connexes de manière à atténuer le risque que survienne une éventuelle interception ou compromission.

La présente annexe décrit les deux approches architecturales à la mise en place d’une ZG :

  • Approche de la ZG isolée : Mise en place de plusieurs ZG, chacune d’entre elles étant dédiée à la gestion d’une zone donnée et n’ayant aucune connexion directe aux autres ZG;
  • Approche de la ZG consolidée : Mise en place d’une seule ZG qui permet de gérer plusieurs zones.

Les résultats du PASSI permettront de déterminer s’il est préférable d’utiliser une architecture isolée ou consolidée pour la ZG. Selon les résultats, les instances de la ZG pourraient être virtualisées si les deux conditions suivantes sont satisfaites :

  • le niveau d’assurance offert par la séparation logique est satisfaisant;
  • les intervenants reconnaissent et acceptent les risques associés à la possible compromission des ZG virtualisées.

Une ZG offre un environnement de réseau unique et isolé sous le contrôle direct ou partagé d’une organisation ou d’une entité contractuelle.

Une ZG procure un environnement de sécurité réseau offrant une protection suffisante pour prendre en charge le déploiement de services de gestion à disponibilité élevée.

E.2 Modèle de référence de la ZG

La présente section décrit le modèle de référence de la ZG, lequel découle du modèle de référence générique. Une ZG sépare les activités et les services de gestion de ceux de l’organisation. L’exécution des activités de gestion dans un environnement distinct donne lieu aux avantages suivants :

  • il y moins de risque que des vulnérabilités (y compris les menaces internes) mènent à la compromission de la ZG;
  • les autorités de zone de sécurité de réseau peuvent détecter plus facilement les compromissions sur le réseau, ce qui simplifie les enquêtes subséquentes;
  • les administrateurs de TI peuvent maintenir, récupérer et rétablir les services de TI plus rapidement.

Une ZG se compose des trois classes de composants mentionnés dans le tableau 15.

Tableau 15 : Composants de la ZG

Composant Description
Composants de l’interréseau Les composants fournissent les services de réseautage que la ZG utilise pour acheminer le trafic entre les systèmes d’extrémité de la zone.
SFI Les SFI contrôlent et surveillent le trafic entre les interréseaux connectés (si plus d’un interréseau a été mis en place). Par exemple, si plusieurs ZAR sont mises en place, il conviendra de mettre en œuvre plusieurs interréseaux dans la ZAR-ZG pour interfacer avec les ZAR qui y sont associées.
Systèmes d’extrémité de la ZG Les systèmes traitent et stockent localement l’information relative à la gestion des TI et de la sécurité pour une zone en particulier.

E.3 Approches architecturales de la ZG

La présente section décrit les deux approches architecturales liées à la mise en œuvre d’une ZG :

  • approche de la ZG isolée :
  • approche de la ZG consolidée.

Selon l’approche de la ZG isolée, plusieurs ZG sont mises en œuvre et chacune d’entre elles gère un type de zone. Cette approche est recommandée pour les secteurs d’une organisation qui sont tenus de traiter de l’information sensible dans le cadre de leurs activités opérationnelles. Selon l’approche de la ZG consolidée, une ZG est mise en œuvre pour gérer plusieurs zones dans un environnement de TI. Vous devriez utiliser les résultats du PASSI pour déterminer s’il convient d’adopter l’approche de la ZG consolidée.

Figure 12 : Approches architecturales de la ZG

Description détaillée suit immédiatement
Description détaillée

Figure 12 illustre les deux approches architecturales liées à la mise en œuvre d’une ZG : approche de la ZG isolée et approche de la ZG consolidée. Selon l’approche de la ZG isolée, plusieurs ZG sont mises en œuvre et chacune d’entre elles gère un type de zone. Selon l’approche de la ZG consolidée, une ZG est mise en œuvre pour gérer plusieurs zones dans un environnement de TI.

E.3.1 Architecture de la zone de gestion isolée

Le modèle de ZG isolée est l’approche recommandée pour assurer la sécurité des systèmes d’information qui traitent l’information sensible. En règle générale, le niveau de robustesse d’une ZG isolée est plus élevé que celui d’une ZG consolidée.

Selon l’approche de la ZG isolée, des instances distinctes de la ZG sont mises en œuvre pour gérer la sécurité du réseau. Les ZG distinctes interagissent avec les zones (c.-à-d., la ZAP, la ZT, la ZAR ou la ZATR) par l’entremise des PIZ qui ont été déployés pour soutenir les fonctions de gestion. Par exemple, la ZT-ZG communique avec la ZT par l’entremise du PIZ de la ZT-ZG, et la ZAR-ZG communique avec la ZAR par l’entremise du PIZ de la ZAR-ZG. Ces PIZ connectés à la ZG ne sont pas les mêmes que les déploiements de PIZ qui prennent en charge les communications entre les zones de sécurité de réseau (p. ex. PIZ de la ZT-ZAP, PIZ de la ZAR-ZT). Les PIZ connectés à la ZG contrôlent les flux de trafic entrants et sortants aux points où les ZG sont connectées avec leurs zones respectives.

Le trafic de gestion entre les ZG et les autres zones devrait être isolé physiquement du trafic de données (c.-à-d., avoir recours à une infrastructure réseau distincte et à la gestion hors bande). Les ZG ne devraient jamais avoir un accès direct à la connectivité réseau d’une ZP.

La figure 13 illustre les ZG, et les PIZ respectifs, dans une approche isolée. Par exemple, la ZAP-ZG interface avec une ZAP par l’entremise du PIZ de la ZAP-ZG. La ZAR interface avec une ZT par l’entremise du PIZ de la ZAR-ZT.

Figure 13 : Approche de la ZG isolée

Description détaillée suit immédiatement
Description détaillée

La figure 13 illustre les ZG, et les PIZ respectifs, dans une approche isolée. Par exemple, la ZAP-ZG interface avec une ZAP par l’entremise du PIZ de la ZAP-ZG. La ZAR interface avec une ZT par l’entremise du PIZ de la ZAR-ZT.

Selon l’approche de la ZG isolée, la virtualisation des ZG (p. ex. ZAP-ZG, ZT-ZG et ZAR-ZG), tel qu’il est illustré à la figure 14, devrait être envisagée si l’assurance d’une séparation logique offerte par la plateforme sous-jacente répond au niveau d’assurance déterminé lors du PASSI.

Les PIZ connectés à la ZG devraient être virtualisés selon les résultats du PASSI. Les PIZ des chemins de données devraient également être virtualisés. La virtualisation des PIZ connectés à la ZG et les PIZ des chemins de données devrait toutefois être effectuée sur des plateformes séparées physiquement (voir l’annexe F pour des conseils détaillés sur les PIZ).

Figure 14 : Virtualisation de la ZG

Description détaillée suit immédiatement
Description détaillée

Figure 14 illustre la virtualisation des ZG selon l’approche de la ZG isolée.

E.4 Séparation des rôles administratifs

L’approche de la ZG consolidée consiste à mettre en place une ZG qui s’étend sur plusieurs zones (voir la partie gauche de la figure 14 ci-dessus).

La ZAP contient les services Internet et est la zone la plus vulnérable pour ce qui est de l’établissement des zones de sécurité dans un réseau. La ZAP est plus susceptible d’être compromise par des auteurs de menace délibérée. Ces auteurs de menace pourraient obtenir accès à la zone et compromettre les services de gestion de la ZG consolidée en vue de prendre le contrôle des autres zones. L’examen des résultats du PASSI permettra de déterminer s’il convient d’utiliser une architecture de ZG consolidée.

E.4 Séparation des rôles administratifs

La gestion des réseaux, la virtualisation, les bases de données et les applications soulèvent des préoccupations particulières en matière de sécurité, puisqu’elles pourraient accorder un accès sans précédent à de grandes quantités de données sensibles et de privilèges administratifs. Les auteurs de menace sophistiqués qui ne peuvent obtenir un accès logique (p. ex. par l’entremise d’Internet) cherchent à exploiter d’autres modes d’accès, notamment les représentants de la direction et les réseaux de gestion.

Les rôles de gestion devraient être identifiés, et la portée de leur contrôle et des accès devrait être limitée, particulièrement s’ils permettent d’accéder à de grandes quantités de données sensibles. La séparation des rôles et des tâches prévient l’abus des privilèges autorisés et réduit le risque que survienne une activité malveillante. Le principe du droit d’accès minimal devrait également être considéré pour veiller à ce que les rôles, les comptes système et les processus ne disposent que des niveaux de privilège nécessaires à l’exercice de leurs fonctions.

Figure 15 : Rôles de gestion

Description détaillée suit immédiatement
Description détaillée

La figure 15 décrit certains des rôles clés qui exigent un accès de gestion à l’environnement de TI. Les rôles de gestion de l’infrastructure, gestion des applications et des systèmes d’exploitation, gestion de la sécurité, et gestion des hyperviseurs.

La figure 15 décrit certains des rôles clés qui exigent un accès de gestion à l’environnement de TI. Ces rôles sont décrits dans le tableau 16.

Tableau 16 : Rôles de gestion

Rôle Description
Gestion de l’infrastructure Configurer le routage des nœuds et l’infrastructure de commutation, mettre en place et surveiller les plateformes matérielles.
Gestion des applications et des systèmes d’exploitation Configurer, mettre en place et gérer le système d’exploitation, le répertoire et la gestion des services, ainsi que la gestion des applications et des bases données.
Gestion de la sécurité Configurer et maintenir les appliances et applications de sécurité, ainsi que recueillir, analyser et protéger les journaux d’événements de sécurité.
Gestion des hyperviseurs Configurer, mettre en place et gérer les plateformes virtuelles, ce qui peut comprendre l’approvisionnement des systèmes d’exploitation et applications internes de référence (p. ex. bases de données, serveurs Web).

L’interface de gestion des hyperviseurs est l’une des interfaces les plus essentielles à l’infrastructure virtualisée. En utilisant cette interface et le logiciel de gestion qui lui associé, il est possible d’arrêter physiquement et virtuellement les serveurs, de migrer les machines virtuelles, de prendre un instantané de ces dernières et d’ajouter des machines virtuelles aux opérations de TI. Comparativement aux opérations de TI traditionnellement basées sur le matériel, le déploiement d’une infrastructure virtuelle peut s’effectuer rapidement et facilement. Cela dit, ces caractéristiques font également de la fonction administrative des hyperviseurs une cible de choix pour les auteurs de menace, et peuvent faire en sorte qu’il est difficile de détecter les accès non autorisés à l’information ou l’insertion de contenu malveillant.

La gestion des hyperviseurs devrait être un rôle strictement séparé (c.-à-d., un seul système de gestion des hyperviseurs dédié par zone de gestion de sécurité de réseau). Une séparation plus rigoureuse des rôles pourrait également être nécessaire. La séparation des rôles permet de limiter le contrôle exercé par chaque système de gestion des hyperviseurs. Chacune des autorités de zone de sécurité de réseau correspondante doit approuver les activités de gestion des hyperviseurs dans plusieurs zones.

On retrouve également des rôles de gestion additionnels, notamment ceux associés à la gestion du stockage, des services et des comptes. Votre organisation devrait définir les rôles de gestion en fonction de ses besoins en matière de sécurité et de sa reconnaissance des menaces et des risques qui pèsent sur ses environnements de TI. Les rôles de gestion identifiés devraient être attribués à des entités distinctes qui ont les privilèges nécessaires pour effectuer leurs tâches administratives conformément aux limites de responsabilités clairement imposées par l’environnement de TI.

E.5 Isolation des ZG

Pour assurer la disponibilité des services de gestion et mieux protéger les ZG des tentatives d’interférence et de trafiquage qui émanent des zones qu’elles gèrent, il convient de tenir compte des facteurs suivants :

  • les ZG ne devraient pas partager leur infrastructure de couche réseau avec les autres zones, y compris celles qu’elles gèrent;
  • les ZG ne devraient pas partager leur infrastructure de couche liaison de données avec les autres zones, y compris celles qu’elles gèrent;
  • les ZG ne devraient pas partager leur infrastructure de couche physique avec les autres zones.

Les ZG devraient être mises en œuvre sur une infrastructure qui est séparée physiquement des zones gérées et des autres ZG (c.-à-d., chaque ZG se trouve sur une infrastructure physique distincte). Par contre, selon les résultats du PASSI, les architectes de sécurité pourraient choisir de mettre en place des ZG, autres que les ZAP-ZG, sur la même infrastructure physique et avoir recours à des technologies de virtualisation pour les séparer.

Selon l’approche de la ZG isolée (voir la figure 12), la ZAP-ZG est toujours séparée physiquement des autres ZG en raison de sa proximité avec la ZP.

Dans le cas des architectures de ZG qui utilisent des technologies de virtualisation pour séparer les ZG, les évaluations de la sécurité doivent démontrer que la robustesse des mécanismes de séparation est suffisante.

Que les ZG soient séparées physiquement ou logiquement, chaque ZG propre à la zone ne devrait communiquer qu’avec la zone dont elle assure la gestion et n’accepter que les connexions en provenance de celle-ci. Par exemple, une ZT-ZG peut communiquer avec sa ZG, mais pas avec une ZAR ou une ZAP. Une ZT-ZG accepte les communications en provenance de sa ZG, mais pas celles provenant d’une ZAR ou d’une ZAP.

E.6 Approches à la gestion

La présente section traite des différentes approches à la gestion décrites dans la figure 16.

Figure 16 : Approches à la gestion

Description détaillée suit immédiatement
Description détaillée

Figure 16 illustre des différentes approches à la gestion, gestion intrabande, gestion hors bande, gestion directe de la console, et télégestion.

E.6.1 Gestion intrabande

La gestion de l’infrastructure du réseau est effectuée à partir du réseau de données. Le trafic de gestion traverse le même réseau que le trafic de données opérationnelles, et se rend jusqu’aux cartes réseau qui sont configurées pour les données opérationnelles. On peut faire appel au chiffrement pour protéger la confidentialité et l’intégrité du trafic de gestion. Toutefois, si des problèmes surviennent sur le réseau, la disponibilité du trafic de gestion jusqu’à l’infrastructure pourrait être touchée. Par exemple, advenant un problème de congestion sur le réseau provoqué par une erreur de configuration ou une attaque par DoS, il pourrait être difficile d’intervenir et de reconfigurer l’infrastructure du réseau, puisque les composants de ce dernier sont occupés et la bande passante est saturée. Le trafic de gestion est essentiellement bloqué. Les administrateurs n’arrivent plus à se connecter à l’infrastructure du réseau afin d’en faire la gestion.

E.6.2 Gestion hors bande

Des infrastructures de réseau de gestion séparées et des cartes réseau dédiées devraient être mises en œuvre pour permettre la gestion hors bande de l’infrastructure de réseau dans les zones. Le trafic de gestion du réseau et de la sécurité lancé provenant des ZG est acheminé vers les zones depuis les infrastructures des réseaux de gestion distinctes et se rend jusqu’aux cartes réseau dédiées qui sont configurées aux fins de gestion. En ce qui concerne les environnements virtualisés au sein desquels aucune carte réseau dédiée n’est disponible, l’isolation de la gestion devrait être appliquée logiquement dans la pile réseau. La disponibilité du trafic de gestion pourrait toutefois être à risque.

La gestion hors bande ne dépend pas du réseau de données lié aux activités opérationnelles. Les systèmes de gestion hors bande ne sont pas touchés par les défaillances des réseaux de données ou la congestion de ces derniers. Ces systèmes sont moins vulnérables aux compromissions provenant des réseaux non liés à la gestion. Des autorités de zone de sécurité de réseau sont ajoutées à ces réseaux pour détecter plus facilement les compromissions sur le réseau et simplifier les enquêtes subséquentes. Ils permettent également aux administrateurs de TI d’assurer plus efficacement la maintenance, la récupération et le rétablissement des services de TI.

E.6.3 Gestion directe de la console

La gestion directe de la console, parfois appelée l’accès au terminal de la console, consiste à assurer la gestion des ressources par l’entremise d’une connexion directe plutôt qu’un réseau. La connexion directe peut être effectuée par l’intermédiaire d’un port KVM (Keyboard-Video-Mouse), d’un commutateur KVM, d’un port série, du port de la console ou de la carte réseau des systèmes informatiques au moyen d’un câble croisé.

La gestion directe de la console peut être effectuée depuis une console ou une station de travail administrative pleinement fonctionnelle. Cette approche exige un accès physique aux systèmes de TI qui se trouvent dans les zones. La gestion directe de la console peut servir de mécanisme de gestion de rechange si le réseau de données ou les réseaux de gestion ne sont pas accessibles. La sécurité physique devrait également être prise en compte pour empêcher les auteurs de menace d’utiliser la gestion directe de la console pour compromettre des systèmes TI essentiels.

E.6.4 Télégestion

Par télégestion, on entend la gestion hors site des systèmes TI. La télégestion devrait être effectuée de manière à ce que les hôtes de gestion approuvés, dédiés et renforcés s’authentifient sur une ZG (c.-à-d., par l’authentification de dispositifs et des rôles administratifs) depuis des emplacements approuvés et par des moyens autorisés. Les décisions quant aux systèmes de télégestion à utiliser devraient être basées sur les résultats du PASSI.

Les hôtes de télégestion devraient se connecter et s’authentifier par l’entremise d’une ZAT, tel qu’il est illustré dans la figure 17 ci-dessous. Une ZAT comporte les mêmes composants réseau et les mêmes caractéristiques qu’une ZAP, mais elle s’exécute sur une infrastructure isolée physiquement. Les services compris dans la ZAT sont dédiés à l’authentification et à la gestion des connexions à une ZG. Si la télégestion est utilisée dans plus d’une zone, on devra mettre en place une ZAT distincte pour chaque zone gérée.

Figure 17 : Architecture logique de la ZG avec télégestion de la ZAP

Description détaillée suit immédiatement
Description détaillée

Figure 17 illustre architecture logique de la ZG avec télégestion de la ZAP. Les icônes et les couleurs sont utilisées pour distinguer les différents déploiements physiques des ZIP.

E.7 Objectifs de sécurité d’une ZG

Une ZG est une zone isolée physiquement qui forme un environnement unique pour l’ensemble des systèmes de gestion d’extrémité. Une ZG se caractérise par des mesures de contrôle plus strictes en ce qui a trait à la configuration de réseau et par une surveillance minutieuse du trafic. L’état de la sécurité ciblée pour toutes les instances de la ZG (c.-à-d., ZAP-ZG, ZT ZG, ZAR-ZG et ZATR-ZG) est de limiter les attaques menées par les auteurs de menace appartenant aux catégories de menace de niveau Md5 et inférieurs.Note de bas de page 16 Les mesures de sécurité des ZG devraient également réduire l’incidence des attaques menées par les auteurs de menace appartenant aux catégories de menace de niveau Md6 Note de bas de page 17 et supérieurs.

Chaque objectif ou exigence mentionné dans la présente annexe est identifié suivant les règles de notation suivantes :

  • le premier groupe de lettres (MZ pour Management Zone) désigne la ZG;
  • le second groupe de lettres précise s’il s’agit d’un objectif (OBJ) ou d’une exigence (REQ pour Requirement);.
  • les exigences sont regroupées selon les catégories suivantes, le cas échéant :
    • Interface réseau (NI pour Network Interface);
    • Contrôle du trafic (TC pour Traffic control);
    • Configuration réseau (NC pour Network Configuration);
    • Configuration d’hôte (HC pour Host Configuration);
    • Protection des données (DP pour Data Protection).
  • chaque objectif ou exigence est numéroté en séquence dans son groupe, à partir de 100.

Remarque : Les objectifs et les exigences ne sont pas indiqués en ordre séquentiel; certaines exigences ont été supprimées ou modifiées comparativement aux précédentes versions du présent document.

E.7.1 Objectifs de contrôle du trafic

[MZ-OBJ-100] Une ZG devrait protéger l’intégrité et la disponibilité des systèmes de gestion d’extrémité connectés à la zone en réduisant le trafic malveillant sur le réseau. Ses objectifs en ce qui a trait au contrôle du trafic sont les suivants :

  • empêcher les auteurs de menace jusqu’au niveau Md5 de mener des attaques par déni de service (p. ex., inondation de messages SYN, attaque par DdoS) sur les systèmes de gestion d’extrémité;
  • réduire la vulnérabilité des systèmes de gestion d’extrémité aux attaques par DoS à commande réseau réalisées par toutes les autres sources Note de bas de page 18;
  • interdire l’accès aux systèmes de gestion d’extrémité à la suite d’une intrusion dans le réseau (comme le raccordement d’un dispositif non autorisé à une interface existante ou l’ajout non autorisé d’une interface périphérique) par des auteurs de menace jusqu’au niveau Md5;
  • réduire la vulnérabilité des systèmes de gestion d’extrémité aux intrusions réalisées par toutes les autres sources;
  • contenir l’incidence de la compromission d’un système de gestion d’extrémité;
  • empêcher les auteurs de menace jusqu’au niveau Md5 d’utiliser les systèmes de gestion d’extrémité comme base de lancement d’attaques contre d’autres systèmes;
  • empêcher les autres sources de menace d’utiliser les systèmes de gestion d’extrémité comme base de lancement d’attaques contre d’autres systèmes;
  • prévenir la propagation des maliciels.

Les mesures de sécurité réseau ont une efficacité limitée pour la protection des systèmes d’extrémité contre les compromissions à partir d’interfaces d’applications valides. Il convient de mettre en place des mesures de sécurité visant les plateformes, les applications et les opérations en vue d’atténuer les risques associés à ces types de menaces.

[MZ-OBJ-102] Une ZG devrait permettre de renforcer les mesures de sécurité en réponse à un accroissement du niveau de la menace (p. ex. en temps de crise) en faisant appel, notamment :

  • à de contrôles de trafic souples et dynamiques;
  • à une surveillance renforcée de l’état de la ZATR.

[MZ-OBJ-103] Les zones et les PIZ mettent en œuvre les mesures de protection visant à assurer une protection contre le trafic malveillant en provenance des réseaux publics. La ZG devrait toutefois tenir compte de tout risque résiduel en vue de réaliser les objectifs suivants :

  • réduire la vulnérabilité aux attaques découlant de la compromission d’un accès distant et provenant des systèmes d’extrémité sur l’extranet;
  • réduire la vulnérabilité au trafic malveillant découlant de la compromission des serveurs d’application de prestation de services dans les zones en limitant l’accès de ces serveurs aux ressources et protocoles désignés;
  • réduire les vulnérabilités aux attaques résultant de la compromission des hôtes dans les zones et aux défaillances des mesures de contrôle du trafic, notamment les intrusions depuis les interréseaux des autres zones.

E.7.2 Objectifs de la disponibilité et l’intégrité du réseau

[MZ-OBJ-104] Une ZG devrait protéger l’intégrité et la disponibilité des services de gestion en réduisant leur susceptibilité à divers types d’attaques. Elle devrait avoir les objectifs suivants en ce qui concerne la disponibilité et l’intégrité du réseau :

  • réduire la vulnérabilité des services de gestion aux attaques par DoS réalisées par toutes les sources de menace (p. ex. des adversaires sophistiqués, des initiés de l’infrastructure et des utilisateurs du réseau) en filtrant les attaques malveillantes depuis l’extérieur de la ZG;
  • empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md5 et inférieurs de s’introduire dans le réseau (p. ex. en connectant un dispositif non autorisé à une interface existante, en ajoutant une interface de bordure non autorisée ou en compromettant un système de gestion d’extrémité connecté à la zone);
  • rendre les réseaux moins vulnérables aux intrusions menées depuis d’autres sources de menace;
  • empêcher les auteurs de menace jusqu’au niveau Md5 d’utiliser les systèmes de gestion d’extrémité comme base de lancement d’attaques contre d’autres systèmes de gestion;
  • empêcher les autres sources de menace d’utiliser les systèmes de gestion d’extrémité comme base de lancement d’attaques contre d’autres systèmes de gestion;
  • prévenir la propagation des maliciels.

E.7.3 Objectifs de la protection des données

[MZ-OBJ-105] Une ZG devrait empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md5 et inférieurs d’intercepter le trafic de la zone. Elle devrait également détecter l’interception du trafic par d’autres sources de menace.

[MZ-OBJ-106] Une ZG devrait prendre en charge les mesures suivantes pour protéger la confidentialité et l’intégrité des données :

  • RPVS dans l’interréseau;
  • RPVS en tant que service de données facultatif;
  • protocoles de sécurité de la couche supérieure.

E.8 Exigences de base en matière de sécurité de la ZG

Cette section décrit les exigences de base en matière de sécurité d’une ZG. Elles sont classées en fonction des exigences opérationnelles (c.-à-d. selon les catégories interface réseau, contrôle du trafic, configuration réseau, configuration d’hôte et protection des données).

Pour satisfaire à tous les objectifs de sécurité pour cette zone, il faut mettre en œuvre l’ensemble complet des exigences de sécurité mentionnées dans le tableau 17. Vous devriez toutefois consulter les contrôles mentionnés dans l’ITSG-33 [4] pour déterminer s’il est nécessaire de mettre en place des mécanismes techniques, opérationnels et de gestion additionnels pour atténuer les menaces de niveau Md5 prévues.

Tableau 17 : Exigences de base en matière de sécurité de la ZG

Numéro de l’objectif Numéro de l’exigence Exigence de la zone Contrôle de l’ITSG-33 connexe SFI Interréseau Système d’extrémité
Interface réseau
MZ OBJ 100 MZ-NI-100 Tous les chemins d’accès réseau entre une ZG et les zones gérées par cette dernière transitent par des PIZ. SC-7 X X -
MZ-OBJ-103 MZ-NI-102 Une ZG n’a pas de connexion réseau directe à une ZP. SC-7 X X X
MZ-OBJ-103 MZ-NI-103

Pour protéger une ZG contre les interférences et le trafiquage, l’infrastructure de la ZG est séparée de l’infrastructure réseau des chemins de données.

Une ZG ne partage pas les infrastructures suivantes :

  • une infrastructure de couche réseau avec une autre zone;
  • une infrastructure de couche liaison de données avec une autre zone;
  • une infrastructure de couche physique avec une autre zone.
AC-4
SC-32
X X -
MZ-OBJ-104 MZ-NI-105 Les composants des SFI et des interréseaux prennent en charge les dispositifs de détection d’intrusion installés sur le réseau (p. ex. moniteurs) et la collecte de données depuis ces dispositifs. SI-4 (4) X X -
MZ-OBJ-100 MZ-NI-106 Les ZG propres aux zones n’ont en commun aucune connexion réseau (p. ex. la ZAP-ZG ne communique pas avec la ZT-ZG). AC-4 X X X
MZ-OBJ-100 MZ-NI-107 Les instances des ZG propres aux zones sont mises en œuvre sur des infrastructures distinctes avec des mécanismes de séparation physiques ou logiques, selon les résultats du PASSI. AC-4
SC-7
SC-39
X X X
Contrôle du trafic
MZ-OBJ-102 MZ-TC-102

La ZG peut réagir rapidement au renforcement du niveau de sécurité en cas d’urgence ou d’accroissement de la menace, quand et comment il est autorisé à le faire. Par exemple, une ZG peut rehausser le niveau de sécurité du réseau en ajoutant des mesures de sécurité, comme :

  • le filtrage;
  • • la surveillance (active ou passive);
  • une protection visant à assurer la prestation continue des services essentiels (p. ex. reconfigurer ou bloquer les services non essentiels au besoin);
  • la vérification.

La mise en œuvre de ces mesures de sécurité est testée pour s’assurer que les capacités en question ne peuvent pas être utilisées pour causer un déni de service.

Le personnel autorisé a reçu la formation nécessaire pour intervenir et accroître les niveaux de sécurité.

AC-4
AU-6
IR-4
SC-7
SC-10
SI-4
X X X
MZ-OBJ-103 MZ-TC-103 L’identité des deux zones est authentifiée avant que la communication soit établie entre les zones. IA-3 - X -
MZ-OBJ-100 MZ-TC-104 L’interréseau fournit un service de contrôle d’accès qui applique les exigences en matière de contrôle d’accès entre les interfaces de bordure. Ce service est basé sur la source de la couche réseau, la destination de la couche réseau, le protocole de transport et l’interface de service de la couche transport. AC-3
AC-4
SC-10
- X -
MZ-OBJ-100 MZ-TC-105

L’autorité de la zone de sécurité de réseau d’une ZG définit les exigences qui seront appliquées par le service de contrôle d’accès interréseau en fonction des principes suivants :

  • la stratégie de contrôle d’accès interdit tout trafic qui n’est pas explicitement autorisé;
  • la stratégie de contrôle d’accès favorise la séparation des communautés d’intérêts (c’est-à-dire, lorsque le trafic de réseau est divisé en communautés d’intérêts naturelles, la stratégie de contrôle d’accès devrait imposer ces trafics naturels);
  • la stratégie de contrôle d’accès limite les chemins d’accès aux réseaux disponibles pour les systèmes de gestion d’extrémité;
  • l’autorité de la zone de sécurité de réseau de la ZG refuse toutes les connexions à une ZG effectuées depuis des hôtes d’accès distant s’ils ne se trouvent pas dans une ZAT;
  • la stratégie de contrôle d’accès prend en charge la séparation des classes de service si l’interréseau offre plus d’une classe de service.
AC-2
AC-3
AC-4
AC-17
IA-3
SC-5 (3)
SC-7 (5)
SC-7 (11)
X X -
MZ-OBJ-104 MZ-TC-106 Si la ZG gère plus d’une classe de service, l’interréseau comporte des mécanismes visant à empêcher que les classes de service n’interfèrent les unes avec les autres. AC-4
SC-5 (2)
- X -
MZ-OBJ-103 MZ-TC-107 L’interréseau utilise un modèle d’adressage qui détecte et analyse le trafic malveillant.
  • word
CA-3
SC-7
SI-3
- X -
MZ-OBJ-105 MZ-TC-108 Une ZG prend en charge le trafic des RPVS entre toute paire d’interfaces périphériques. SC-8 X X -
MZ-OBJ-104 MZ-TC-110

L’autorité de la zone de sécurité de réseau de la ZG définit une stratégie de contrôle d’accès qui sera appliquée par le service de contrôle d’accès en fonction des principes suivants :

  • la stratégie de contrôle d’accès interdit tout trafic qui n’est pas explicitement autorisé;
  • le trafic de gestion sortant se limite aux adresses de destination de l’infrastructure de la zone gérée par la ZG.
AC-4
SC-7 (5)
SC-7 (8)
SC-7 (11)
X X X
MZ-OBJ-100 MZ-TC-121 Toute l’information relative au contrôle du trafic et au flux de données jugée pertinente aux fins de vérification est enregistrée dans le journal de vérification de sécurité conformément aux exigences en matière de service de vérification de la sécurité. AU-1
AU-2
- X -
Configuration de réseau
MZ-OBJ-104 MZ-NC-100 La configuration réseau de la ZG est surveillée afin de détecter les ajouts, les suppressions ou les changements apportés aux interfaces de bordure. Tout changement non autorisé sera signalé à l’autorité de la zone de sécurité de réseau. AU-1
CM-2
CM-3
SI-4
X X -
MZ-OBJ-104 MZ-NC-101 Les interfaces de bordure de la ZG sont enregistrées auprès de l’autorité de la zone de sécurité de réseau. CM-8 - X -
MZ-OBJ-104 MZ-NC-103 L’autorité de la zone de sécurité de réseau de la ZG évalue périodiquement la topologie de réseau. AU-1
CM-2
CM-2 (1)
CM-9
X X -
MZ-OBJ-105 MZ-NC-104 L’autorité de la zone de sécurité de réseau de la ZG évalue périodiquement la configuration du réseau pour relever les interfaces externes non autorisées. AU-1
SI-4 (4)
X X -
MZ-OBJ-104 MZ-NC-106 Les adresses des interfaces de bordure sont distinctes et dédiées. SC-7 - X -
MZ-OBJ-105 MZ-NC-107 Les adresses de l’interface de bordure de la ZG ne sont visibles que dans la zone responsable de la ZG propre à la zone. SC-7 - X -
MZ-OBJ-104 MZ-NC-108 Tout changement apporté à l’attribution de l’adresse d’une interface de bordure dans une ZG constitue un changement de configuration exigeant l’approbation d’une autorité de zone de sécurité de réseau de la ZG. CM-3
CM-9
- X -
MZ-OBJ-104 MZ-NC-109 L’autorité de zone de sécurité de réseau de la ZG tient à jour l’information de configuration de toutes les interfaces périphériques à l’intérieur de l’interréseau. CM-2
CM-6
- X -
MZ-OBJ-104 MZ-NC-110 Les changements apportés à une ZG sont approuvés par une autorité de zone de sécurité de réseau avant leur mise en œuvre. CM-3 (4)
CM-9
X X X
MZ-OBJ-104 MZ-NC-111 Les connexions dans la ZG ont établi des associations de sécurité. Toutes les communications sont authentifiées (que ce soit explicitement ou implicitement) dans le contexte de ces associations de sécurité. Les associations de sécurité permises sont déterminées par les exigences en matière de contrôle de trafic. AC-4
IA-3
SC-23
X X -
MZ-OBJ-104 MZ-NC-112 Les interfaces de bordure de l’interréseau sont authentifiées entre elles au moyen de mécanismes d’authentification cryptographique approuvés par le CST. IA-3 (1)
SC-23 (5)
- X -
MZ-OBJ-104 MZ-NC-121 Les accords de niveau de service des réseaux impartis exigent que l’autorité de zone de sécurité de réseau de la ZG approuve tout changement apporté aux interfaces de l’interréseau contrôlées par le fournisseur de services réseau. CP-8 X X X
MZ-OBJ-104 MZ-NC-122

Les accords de niveau de services pour les réseaux impartis comportent une clause faisant mention des exigences suivantes :

  • un fournisseur de services réseau doit faire la preuve de l’efficacité des contrôles de sécurité appliqués au niveau du noyau de l’interréseau;
  • tous les incidents de sécurité ayant une incidence sur une ZG sont signalés à l’autorité de la zone de sécurité de réseau de la ZG;
  • un fournisseur de services réseau permet à l’autorité de zone de sécurité de réseau de la ZG de vérifier l’efficacité des contrôles de sécurité.
CP-8 X X X
MZ-OBJ-104 MZ-NC-123

Seuls les administrateurs autorisés d’une ZG peuvent se connecter à distance aux systèmes de gestion d’extrémité de la ZG depuis une zone contrôlée par l’organisation (c.-à-d., une ZAT) si la télégestion est permise.

L’accès est contrôlé et protégé. L’accès est limité en fonction de l’adresse IP, du port et du protocole.

AC-2
AC-3
AC-17
IA-3
IA-5
X X X
Configuration d’hôte
MZ-OBJ-104 MZ-HC-100 L’autorité de la zone de sécurité de réseau de la ZG maintient une stratégie de configuration réseau des nœuds et des hôtes qui respecte les exigences de base en matière de sécurité, les normes et les directives applicables. La stratégie s’applique à tous les nœuds et hôtes connectés à la zone. CM-1
CM-2
X X X
MZ-OBJ-104 MZ-HC-101

La stratégie de configuration réseau des nœuds et des hôtes contient les points suivants :

  • une spécification des configurations logicielles et matérielles interdites et autorisées applicables aux réseaux;
  • les procédures de maintenance minimale pour tous les logiciels de réseautage.
CM-1
CM-6
CM-7
MA-2
MA-6
SI-2
X X X
MZ-OBJ-104 MZ-HC-103

Des évaluations régulières des vulnérabilités du réseau portant sur tous les nœuds et les hôtes sont effectuées pour évaluer les tendances en matière d’efficacité de la stratégie de configuration des nœuds et des hôtes.

La fréquence de ces évaluations des vulnérabilités est suffisante pour permettre l’analyse des tendances. Les résultats de toutes les évaluations des vulnérabilités sont gérés dans le cadre de la gestion continue des risques et fournissent une rétroaction au processus d’évaluation et d’autorisation de sécurité (EAS).

CA-7
RA-5
X X X
MZ-OBJ-104 MZ-HC-104 Tous les nœuds appellent, au démarrage, des contrôles qui mettent en œuvre une protection continue contre les maliciels. SI-3
SI-7 (1)
X X -
MZ-OBJ-104 MZ-HC-106 Les processus et les technologies de gestion des systèmes et des réseaux sont mis en œuvre pour détecter les changements apportés aux configurations de nœud. SI-7 (7) X X -
MZ-OBJ-104 MZ-HC-107 Des sauvegardes régulières des fichiers système et des paramètres de configuration du système sont effectuées pour chaque nœud de la ZG. La fréquence et la période de conservation des documents relatives à ces sauvegardes répondent aux besoins de l’organisation. CP-9 X X -
MZ-OBJ-104 MZ-HC-108 La panne d’un nœud de la ZG ne compromet pas la sécurité de ses ressources ni de celles de tout réseau connecté. SC-24 X X -
MZ-OBJ-104 MZ-HC-109 Les nœuds et les hôtes de la ZG se trouvent dans une zone conforme aux exigences de sécurité physique définies par le PASSI. Les ministères et organismes du GC doivent également se conformer à la Norme opérationnelle sur la sécurité matérielle [16]. PE-18 X X X
MZ-OBJ-104 MZ-HC-111 La sécurité des systèmes d’exploitation et des applications nécessaires à tous les nœuds est renforcée selon les pratiques exemplaires documentées. CM-6
CM-7
X X X
MZ-OBJ-106 MZ-HC-112 Le cas échéant, les produits RPVS sont validés par le CCC au moins au niveau de sécurité 2 de la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13 X X X
MZ-OBJ-104 MZ-HC-113 Les nœuds sont sécurisés physiquement de manière à restreindre l’accès au personnel autorisé ayant besoin d’accéder à l’équipement selon les principes du droit d’accès minimal et du besoin de connaître. PE-2
PE-3 (1)
PE-18
X X -
MZ-OBJ-100 MZ-HC-114 Un système d’extrémité comprend un pare-feu personnel et un mécanisme d’intégrité de la configuration capable de relever les changements apportés à la configuration et de notifier l’administrateur du système d’extrémité. SC-7 (12)
SI-7
- - X
MZ-OBJ-104 MZ-HC-115 Un système d’extrémité est soumis au processus d’EAS avant d’être connecté à une interface de bordure. CA-1
CA-6
- - X
MZ-OBJ-105 MZ-HC-116 Des détecteurs d’intrusion au niveau de l’hôte sont placés sur tous les hôtes critiques. SC-7 (12) - - X
MZ-OBJ-105 MZ-HC-117 Les nœuds de la ZG génèrent et tiennent à jour les journaux de vérification selon les exigences du service de vérification de sécurité. AU-2 X X X
MZ-OBJ-105 MZ-HC-118 Les nœuds de la ZG fournissent aux administrateurs responsables des vérifications de sécurité un accès local aux journaux de vérification selon les exigences du service de vérification de sécurité. AU-6 (3)
AU-6 (4)
X X X
MZ-OBJ-105 MZ-HC-119

Chaque nœud de la ZG fait régulièrement l’objet de vérifications de configuration. L’autorité de zone de sécurité de réseau détermine la fréquence de ces vérifications et la documente dans les procédures de gestion des configurations de la ZG. La fréquence des vérifications des configurations est suffisante pour relever les erreurs de configuration.

Une vérification de configuration comprend ce qui suit, sans s’y limiter :

  • une vérification de la configuration des nœuds par rapport à la topologie du réseau;
  • une vérification des dispositifs matériels et des interfaces physiques;
  • une vérification de la configuration de contrôle du trafic, y compris les permissions et les contrôles d’accès;
  • une vérification de la conformité des logiciels autorisés et des fonctions permises.
AU-1
AU-6
AU-6(1)
AU-6(2)
AU-6(3)
AU-6(4)
AU-6(7)
X X X
MZ-OBJ-105 MZ-HC-120 Les nœuds de la ZG enregistrent l’estampille temporelle dans les enregistrements de vérification. Les horloges système internes de la ZG sont synchronisées avec une source de temps de référence. AU-8 (1) X X X
Protection des données

MZ-OBJ-105
MZ-OBJ-106

MZ-DP-100 L’interréseau peut prendre en charge les connexions du trafic de données SVPN entre les interfaces de bordure. SC-8 - X -

MZ-OBJ-105
MZ-OBJ-106

MZ-DP-102 Une ZG peut prendre en charge les services de protection de données sur la couche réseau ou supérieure. SC-8 X X -

MZ-OBJ-105
MZ-OBJ-106

MZ-DP-104 Là où le chiffrement ou une signature numérique est obligatoire, les produits (logiciels, microgiciels ou dispositifs matériels) intègrent un algorithme et des processus de gestion des clés approuvés par le CCC, comme les produits validés par le CCC d’après la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13 X X X

Annexe F : Exigences de base en matière de sécurité pour les Points d’interface de zone

Avant-propos

L’ITSP.80.022, Exigences de base en matière de sécurité pour les zones de sécurité de réseau, version 2, Annexe F – Point d’interface de zone, est une publication NON CLASSIFIÉ.

La présente version de l’annexe F remplace toutes les versions antérieures du document.

Date d'entrée en vigueur

Le présent document entre en vigueur le 12 janvier, 2021.

Historique des modifications

Version Modifications Date
1 Publication de la version 2. 12 janvier, 2021.

F.1 introduction

La présente annexe comprend un modèle de référence, les objectifs de sécurité et un ensemble d’exigences de base en matière de sécurité pour les points d’interface de zone (PIZ), à savoir les systèmes qui appliquent les stratégies de communication entre deux zones. Un PIZ est un système bidirectionnel entre deux zones qui contient les systèmes de frontière. Il peut se trouver dans une zone adjacente ou dans un emplacement distant, selon les ententes avec les autorités de zone de sécurité de réseau des zones adjacentes.

Comme deux zones sont connectées au moyen d’un PIZ partagé, la gestion du PIZ incombe aux autorités de zone de sécurité de réseau de ces zones. Dans la présente, cette responsabilité commune est désignée en tant qu’autorité conjointe des PIZ (ACP).

Le nom des PIZ est déterminé en fonction des zones auxquelles ils se connectent. Par exemple, un PIZ qui connecte la ZT à la ZAP portera le nom PIZ de la ZT-ZAP.

F.2 Modèle de référence d’un PIZ

Le PIZ est le concept logique servant à décrire l’interface contrôlée qui relie deux zones. Il procure une interface réseau et la sécurité du périmètre entre les zones. Un PIZ applique également les stratégies de communication interzones; toutes les communications entre les zones doivent transiter par un PIZ.

Un PIZ est un système (composé d’au moins un sous-système) qui implémente les services de protection à la frontière. Les routeurs de filtrage, les pare-feux, les gardiens et les systèmes de détection des intrusions sont des exemples de sous-systèmes.

Un PIZ filtre les paquets de données selon des caractéristiques définies. Il assure les services de mandataire et devrait rejeter toute demande de service mal formulée. Le PIZ doit offrir uniquement les services nécessaires à la communication entre les deux zones.

La figure 18 ci-dessous illustre deux chemins d’accès distincts entre la zone A et la zone B. Ces deux chemins d’accès sont requis pour gérer les différentes stratégies de sécurité entrantes et sortantes entre les zones connectées. Par exemple, la prévention de la perte de données peut être réservée au trafic sortant, alors que le trafic entrant est soumis à des listes d’applications interdites.

Figure 18 : Représentation logique d’un PIZ

Description détaillée suit immédiatement
Description détaillée

Figure 18 illustre deux chemins d’accès distincts entre la zone A et la zone B. Ces deux chemins d’accès sont requis pour gérer les différentes stratégies de sécurité entrantes et sortantes entre les zones connectées. Par exemple, la prévention de la perte de données peut être réservée au trafic sortant, alors que le trafic entrant est soumis à des listes d’applications interdites.

Le tableau 18 donne des exemples des fonctions de sécurité d’un PIZ.

Tableau 18 : Fonctions de sécurité d’un PIZ

Fonction de sécurité Description
Contrôle d’accès contrôle le trafic en fonction des adresses source et de destination et le type de service.
Authentification de l’entité valide l’authenticité des entités et établit une association de sécurité entre elles.
Authentification de l’origine des données valide l’authenticité des entités prenant part à l’association de sécurité.
Vérification de l’intégrité des données vérifie que le trafic du réseau n’a pas été altéré ni répété.
Filtres de trafic filtrent ou bloquent le trafic d’après les propriétés du flux de données transmis, notamment sur le plan de l’état du protocole TCP, de la source et de la destination, de la conformité aux protocoles de communication autorisés, des types de données intégrés dans le flux de données et le contenu du flux de données.
Soutien à la détection des intrusions et à la vérification fournit les services et les attributs nécessaires pour soutenir la mise en œuvre de fonctions de sécurité comme la détection des intrusions, la vérification et la réaction aux incidents.
Encapsulation des ressources désigne les mécanismes permettant à la zone de masquer sa structure interne. Ces mécanismes comprennent la traduction d’adresses réseau, la traduction d’adresses de port et le mappage des services. L’encapsulation des ressources prend en charge le contrôle de l’accès et la survivance.

La conception du déploiement d’un PIZ entre une ZP et une ZAP diffère légèrement de celle d’une zone interne vers un PIZ de zone interne. Ces différences reposent sur des exigences uniques qui permettent d’obscurcir la structure du réseau interne et l’adressage (voir la section 2.1 de l’annexe F pour plus de détails).

F.2.1 PIZ de ZP

Un PIZ de ZP contrôle tous les types de trafic entre la ZP et la ZAP. Un PIZ de ZP devrait filtrer les paquets de données selon les caractéristiques déterminées. Il dissimule le détail des services réseau de la ZP pour ne présenter que les services requis aux fins des communications avec la ZP.

F.2.2 PIZ de zone interne

On utilise un PIZ de zone interne pour contrôler et filtrer tous les types de trafic entre la ZAP et les zones internes. Un PIZ de zone interne devrait filtrer les paquets de données selon les caractéristiques déterminées et prendre en charge la mise en œuvre des services de mandataire. Il devrait également être capable de rejeter toute demande de service mal formulée. Il dissimule le détail des services réseau des zones internes pour ne présenter que les services requis aux fins des communications avec les zones internes.

F.3 Considérations liées à la mise en œuvre d’un PIZ

Il existe deux types de déploiement de PIZ (voir la figure 19) :

  • les PIZ sont déployés dans le chemin d’accès aux données de manière à prendre en charge la communication entre les zones;
  • les PIZ sont déployés dans le chemin de gestion de manière à prendre en charge les fonctions administratives.

Figure 19 : Options de déploiement du PIZ

Description détaillée suit immédiatement
Description détaillée

Il existe deux types de déploiement de PIZ illustre dans figure 19 : les PIZ sont déployés dans le chemin d’accès aux données de manière à prendre en charge la communication entre les zones et les PIZ sont déployés dans le chemin de gestion de manière à prendre en charge les fonctions administratives. La figure 19 illustre la distinction entre les PIZ connectés à la ZG et les PIZ des chemins d’accès aux données. Par exemple, une ZG interfacerait avec une ZAP par l’intermédiaire du PIZ de la ZAP-ZG, tandis qu’une ZAR interfacerait avec une ZT par l’intermédiaire du PIZ de la ZAR-ZT.

La figure 19 illustre la distinction entre les PIZ connectés à la ZG et les PIZ des chemins d’accès aux données. Par exemple, une ZG interfacerait avec une ZAP par l’intermédiaire du PIZ de la ZAP-ZG, tandis qu’une ZAR interfacerait avec une ZT par l’intermédiaire du PIZ de la ZAR-ZT.

Les PIZ connectés à la ZG sont gérés depuis leur ZG respective, tel qu’il est décrit dans les exemples suivants :

  • la ZAR-ZG gère le PIZ de la ZAR-ZG;
  • la ZT-ZG gère le PIZ de la ZT-ZG;
  • la ZAP-ZG gère le PIZ de la ZAP-ZG.

Les PIZ des chemins d’accès aux données devraient être gérés par la ZG de la zone de sécurité la plus élevée ou comme entendu avec l’ACP des zones connectées, tel qu’il est expliqué dans les exemples suivants :

  • la ZT-ZAP gère les PIZ de la ZT-ZAP et de la ZT-ZT;
  • la ZAR-ZG gère les PIZ de la ZAR-ZT et de la ZAR-ZAR.

Comme illustré à la figure 19, la séparation des diverses fonctions du PIZ pourrait être virtualisée. Une instance virtualisée unique ne devrait pas contenir à la fois les PIZ connectés à la ZG et les PIZ des chemins de données. On peut envisager de procéder à la virtualisation des PIZ connectés à la ZG ou des PIZ des chemins de données si l’assurance offerte par les mécanismes de séparation, qui sont fournis par la plateforme sous-jacente, répond aux exigences indiquées dans le PASSI.

Un PIZ devrait être conçu et mis en œuvre de manière à fournir, à tout le moins, un niveau d’assurance de la sécurité équivalent au niveau d’assurance le plus élevé des deux zones qu’il connecte.

F.4 Objectifs de sécurité d’un PIZ

Un PIZ est une collection de mécanismes de sécurité visant à empêcher les attaques provenant des réseaux (c.-à-d., réduire les vulnérabilités à de telles attaques) de se propager d’une zone à l’autre.

On ne peut écarter l’hypothèse qu’un auteur de menace sophistiqué puisse contourner les mesures de sécurité d’un PIZ. Il est donc nécessaire de prendre des mesures de sécurité supplémentaires pour protéger les biens sensibles se trouvant dans de telles zones.

Le niveau de menace que chaque PIZ doit atténuer varie selon les résultats du PASSI.

Chaque objectif ou exigence de sécurité mentionné dans la présente annexe est identifié suivant les règles de notation suivantes :

  • le premier groupe de lettres (ZIP pour Zone Interface Point) désigne le PIZ;
  • le second groupe de lettres précise s’il s’agit d’un objectif (OBJ) ou d’une exigence (REQ pour Requirement).
  • Les exigences sont regroupées selon les catégories suivantes, le cas échéant :
    • Interface réseau (NI pour Network Interface);
    • Contrôle du trafic (TC pour Traffic control);
    • Configuration réseau (NC pour Network Configuration);
    • Configuration d’hôte (HC pour Host Configuration);
    • Protection des données (DP pour Data Protection).
  • Chaque objectif ou exigence est numéroté en ordre séquentiel dans son groupe, à partir de 100.
    Remarque : Les objectifs et les exigences ne sont pas indiqués en ordre séquentiel; certaines exigences ont été supprimées ou modifiées comparativement aux précédentes versions du présent document.

F.4.1 Objectifs de contrôle du trafic

[ZIP-OBJ-100] Un ZIP devrait protéger l’intégrité et la disponibilité du trafic réseau en réduisant le trafic malveillant. Ses objectifs en ce qui a trait au contrôle du trafic sont les suivants :

  • empêcher les sources de menace d’accéder aux zones en cas d’intrusion dans le réseau;
  • empêcher les sources de menace d’exploiter les PIZ comme bases de lancement pour attaquer les zones;
  • prévenir la propagation des maliciels.

[ZIP-OBJ-102] Un PIZ devrait permettre de renforcer les mesures de sécurité en réponse à un accroissement du niveau de la menace (p. ex. en temps de crise) en faisant appel, notamment :

  • à des contrôles de trafic souples et dynamiques;
  • à une surveillance renforcée de l’état des PIZ.

[ZIP-OBJ-103] Un PIZ devrait mettre en œuvre les mesures de protection suivantes pour empêcher le trafic réseau malveillant de passer d’une zone à l’autre :

  • réduire la vulnérabilité d’une zone au trafic malveillant provenant d’hôtes et de nœuds compromis dans les zones adjacentes;
  • réduire la vulnérabilité d’une zone à la défaillance des mesures de contrôle du trafic appliquées à celle-ci.

F.4.2 Objectifs de la disponibilité et de l’intégrité du réseau

[ZIP-OBJ-104] Un PIZ devrait protéger l’intégrité et la disponibilité des services réseau en réduisant leur susceptibilité à divers types d’attaques, et permettre de réaliser les objectifs suivants :

  • réduire les attaques par DoS provenant des réseaux (p. ex. inondation de messages SYN, attaque par DDoS) dans les zones;
  • réduire les vulnérabilités aux intrusions touchant les services du réseau (p. ex. connecter un dispositif non autorisé à une interface existante);
  • empêcher les sources de menace d’exploiter les zones comme bases de lancement pour attaquer les autres services du réseau.

F.4.3 Objectifs de la protection des données

[ZIP-OBJ-105] Un PIZ devrait empêcher les auteurs de menace appartenant aux catégories de menace de niveau Md3Note de bas de page 19 et inférieurs d’intercepter le trafic d’une zone. Un PIZ devrait également détecter si d’autres sources de menace interceptent le trafic.

[ZIP-OBJ-105] Un PIZ empêche les adversaires d’intercepter le trafic d’une zone.

[ZIP-OBJ-106] Un PIZ devrait prendre en charge les mesures suivantes pour protéger la confidentialité et l’intégrité des données :

  • RPVS dans le PIZ;
  • protocoles de sécurité de la couche supérieure.

F.5 Exigences de base en matière de sécurité des PIZ

La présente section décrit les exigences de base en matière de sécurité des PIZ. Elles sont classées en fonction des exigences opérationnelles (c.-à-d., selon les catégories interface réseau, contrôle du trafic, configuration réseau, configuration d’hôte et protection des données). Pour satisfaire à tous les objectifs de sécurité pour cette zone, il faut mettre en œuvre l’ensemble complet des exigences de sécurité mentionnées dans le tableau 19.

Tableau 19 : Exigences de base en matière de sécurité des PIZ

Numéro de l’objectif Numéro de l’exigence Exigence du PIZ Contrôle de l’ITSG-33 connexe
Interface réseau
ZIP-OBJ-103 ZIP-NI-100 Tous les chemins d’accès réseau entre les zones devraient transiter par un PIZ. SC-7 (C)
ZIP-OBJ-103 ZIP-NI-101 Le nombre de PIZ entre deux zones quelconques devrait être limité. SC-7
ZIP-OBJ-100 ZIP-NI-105 Un PIZ devrait permettre la mise en place de dispositifs de détection d’intrusion installés sur le réseau (p. ex., moniteurs). Il devrait fournir les interfaces nécessaires à la collecte de données de ces détecteurs. SI-4 (4)
Contrôle du trafic
ZIP-OBJ-102 ZIP-TC-101 Le trafic de gestion du PIZ, autre que le trafic se rapportant exclusivement à l’état du dispositif, devrait être séparé du trafic opérationnel. AC-4
SC-37
ZIP-OBJ-102 ZIP-TC-102

Le PIZ devrait être en mesure de réagir rapidement au renforcement du niveau de sécurité en cas d’urgence ou d’accroissement de la menace, quand et comment il est autorisé à le faire. Le personnel autorisé devrait avoir reçu la formation nécessaire pour lancer de telles mesures. Par exemple, un PIZ devrait avoir la capacité de rehausser le niveau de sécurité du réseau en ajoutant des mesures de sécurité, comme :

  • le filtrage;
  • la surveillance (active et passive);
  • une protection visant à assurer la prestation continue des services essentiels (p. ex., reconfigurer ou bloquer les services non essentiels au besoin);
  • la vérification.

La mise en œuvre de ces mesures de sécurité devrait être testée pour s’assurer que les capacités en question ne peuvent pas être utilisées pour causer un déni de service.

Le personnel autorisé devrait avoir reçu la formation nécessaire pour intervenir et accroître les niveaux de sécurité.

AC-4
AU-6
IR-4
SC-7
SI-4
SC-5
ZIP-OBJ-104 ZIP-TC-103 Un PIZ authentifie les interfaces de bordure des zones auxquelles il se connecte. L’authentification peut être effectuée au moyen d’un contrôle physique par l’intermédiaire du support situé entre les interfaces de bordure. IA-3
ZIP-OBJ-100 ZIP-TC-105

Une ACP devrait définir les exigences du service de contrôle d’accès de son PIZ en se basant sur les principes suivants :

  • restreindre les chemins d’accès aux systèmes d’extrémité vulnérables dans les zones adjacentes;
  • limiter les chemins d’accès aux réseaux disponibles pour les systèmes d’extrémité accessibles depuis l’extranet;
  • appliquer le service de contrôle en fonction de la source de la couche réseau, la destination de la couche réseau, le protocole de transport et l’interface de service de la couche transport.
AC-4
SC-7
SC-7 (5)
ZIP-OBJ-102 ZIP-TC-106 Si le PIZ offre plus d’une classe de service, il devrait comporter des mécanismes visant à empêcher que les classes n’interfèrent les unes avec les autres. AC-4
ZIP-OBJ-100 ZIP-TC-107 Un PIZ utilise un modèle d’adressage qui détecte et analyse le trafic malveillant. CA-3
SC-7
SI-3
ZIP-OBJ-103 ZIP-TC-110

L’ACP devrait définir une stratégie de contrôle d’accès qui sera appliquée par le service de contrôle d’accès en fonction des principes suivants :

  • la stratégie de contrôle d’accès interdit tout trafic qui n’est pas explicitement autorisé;
  • les hôtes extranet devraient être limités à un ensemble défini d’adresses internes contenant les ressources dont l’extranet a besoin;
  • les hôtes d’accès à distance sont limités à un ensemble défini d’adresses internes contenant les ressources dont l’hôte a besoin dans la mesure où l’accès à distance est autorisé par l’ACP;
  • le trafic chiffré est autorisé vers les adresses désignées.
AC-4
SC-7 (5)
SC-7 (8)
SC-7 (11)
ZIP-OBJ-103 ZIP-TC-111

Un PIZ peut filtrer les paquets de données en fonction des caractéristiques suivantes et du PASSI :

  • inspection dynamique;
  • protocoles;
  • adresse source et de destination (p. ex. adresse IP, MAC);
  • ports de la source et de la destination;
  • adresse source du paquet.
AC-4
ZIP-OBJ-100 ZIP-TC-112 Un détecteur d’intrusion devrait être installé au niveau du PIZ. Ce détecteur devrait être configuré de manière à fournir une alarme si le trafic contient un maliciel ou présente un comportement malveillant. SI-4 (4)
SI-4 (5)
ZIP-OBJ-103 ZIP-TC-113 Un filtre de contenu est ajouté au PIZ de la ZAP-ZT pour appliquer la politique d’utilisation d’Internet. AC-4 (8)
SC-7 (8)
ZIP-OBJ-104 ZIP-TC-120 L’interface du PIZ avec l’infrastructure commune peut avoir la même fonctionnalité de contrôle du trafic qu’un fournisseur de services. Un accord sur les niveaux de service comprend les exigences de base pour les deux aspects de l’interface. CA-3
ZIP-OBJ-104 ZIP-TC-122 Le PIZ devrait être capable de rejeter toute demande de service mal formulée. AC-4 (1)
ZIP-OBJ-104 ZIP-TC-123 Le PIZ utilise les contrôles de la couche réseau et la couche supérieure pour protéger les hôtes contre le trafic malveillant qui provient de la zone connectée. AC-4 (1)
SC-7
ZIP-OBJ-104 ZIP-TC-124
(PZ PAZ ZIP only)

Tous les paquets IP provenant de la ZP sont filtrés au PIZ de la ZP-ZAP et devraient bloquer :

  • tout trafic contenant des adresses de diffusion générale dirigée;
  • tout trafic contenant une adresse de bouclage du réseau;
  • le trafic destiné à une adresse réservée RFC 1918;
  • le trafic de réseau dont l’adresse source ou de destination est 0.0.0.0;
  • le trafic entrant dont l’adresse IP source est interne;
  • tout trafic contenant de l’information de routage IP source;
  • tout trafic de gestion (c.-à-d., SNMP);
  • toute diffusion générale ICMP;
  • tout trafic malveillant détecté.
AC-4
SC-7
ZIP-OBJ-103 ZIP-TC-125
(PZ PAZ ZIP only)

L’ACP du PIZ de la ZP-ZAP définit une stratégie de contrôle d’accès qui sera appliquée par le service de contrôle d’accès en fonction des principes suivants :

  • le trafic sortant est limité aux adresses de destination qui correspondent aux serveurs mandataires dans la ZAP;
  • le trafic en provenance et en direction des serveurs d’application est limité aux adresses qui correspondent aux serveurs frontaux dans la ZAP et aux protocoles nécessaires pour prendre en charge les communications vers ces serveurs.
AC-4
Configuration réseau
ZIP-OBJ-104 ZIP-NC-100 La configuration réseau du PIZ est surveillée afin de détecter les ajouts, les suppressions ou les changements apportés à la configuration. Tout changement non autorisé sera signalé à l’ACP. CM-2
CM-3
SI-4
ZIP-OBJ-104 ZIP-NC-103 L’ACP vérifie périodiquement la topologie de réseau. L’ACP détermine la fréquence de ces vérifications et la documente dans les procédures de gestion de la configuration du PIZ. CM-2
CM-9
ZIP-OBJ-104 ZIP-NC-104 L’ACP évalue périodiquement la configuration du réseau pour relever les interfaces externes non autorisées. L’ACP détermine la fréquence de ces vérifications et la documente dans les procédures de gestion de la configuration du PIZ. SI-4 (4)
ZIP-OBJ-104 ZIP-NC-105 Seuls les administrateurs authentifiés et autorisés peuvent gérer les nœuds du PIZ. Le PIZ est géré depuis la ZG de la zone connectée dont les exigences en matière de sécurité sont les plus élevées. Par exemple, si un PIZ connecte la ZT à la ZAR, il est géré par la ZG de la ZAR. AC-5
IA-5
ZIP-OBJ-104 ZIP-NC-109 L’ACP maintient à jour l’information relative à la configuration du PIZ. CM-2
CM-6
ZIP-OBJ-104 ZIP-NC-110 L’ACP approuve tout changement apporté au PIZ avant sa mise en œuvre. CM-3 (4)
CM-9
Configuration d’hôte
ZIP-OBJ-104 ZIP-HC-100 L’ACP maintient une stratégie de configuration des nœuds et des hôtes qui respecte les exigences de base en matière de sécurité, les normes et les directives applicables. Cette stratégie s’applique à l’ensemble des nœuds et des hôtes contenus dans le PIZ. CM-1
CM-2
ZIP-OBJ-104 ZIP-HC-101

La stratégie de configuration réseau des nœuds et des hôtes devrait contenir les points suivants :

  • une spécification des configurations logicielles et matérielles interdites et autorisées applicables aux réseaux;
  • les procédures de maintenance minimale pour tous les logiciels.
CM-1
CM-6
CM-7
MA-2
MA-6
SI-2
ZIP-OBJ-104 ZIP-HC-103

Des évaluations régulières des vulnérabilités du réseau portant sur tous les nœuds et les hôtes devraient être effectuées pour évaluer les tendances en matière d’efficacité de la stratégie de configuration des nœuds et des hôtes.

La fréquence de ces évaluations des vulnérabilités est suffisante pour permettre l’analyse des tendances. Les résultats des évaluations des vulnérabilités sont gérés dans le cadre de la gestion continue des risques et fournissent une rétroaction au processus d’évaluation et d’autorisation de sécurité (EAS).

CA-7
RA-5
ZIP-OBJ-100 ZIP-HC-104 Tous les nœuds devraient, au démarrage, appeler des contrôles qui mettent en œuvre une protection continue contre les maliciels. SI-3
SI-7 (1)
ZIP-OBJ-100 ZIP-HC-105 La sécurité des systèmes d’exploitation et des applications nécessaires à tous les nœuds devrait être renforcée selon les pratiques exemplaires documentées. CM-6
CM-7
ZIP-OBJ-104 ZIP-HC-106 Les processus et les technologies de gestion des systèmes et des réseaux devraient être mis en œuvre pour détecter les changements apportés aux configurations de nœud. SI-7 (7)
ZIP-OBJ-104 ZIP-HC-111 La sécurité des systèmes d’exploitation de tous les nœuds devrait être renforcée selon les pratiques exemplaires documentées. CM-6
CM-7
ZIP-OBJ-106 ZIP-HC-112 Le cas échéant, les produits VPN sont validés par le CCC au moins au niveau de sécurité 2 de la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13
Protection des données
OZ-OBJ-106 ZIP-DP-101 Un PIZ peut prendre en charge les connexions du trafic de données chiffrées entre les zones. SC-8
ZIP-OBJ-106 ZIP-DP-103 La catégorisation de la sécurité du PIZ et les résultats du PASSI pourraient exiger la mise en place de mesures de protection des données. Les services de protection des données peuvent être appliqués soit à la couche réseau, soit aux couches supérieures, selon les besoins de la mise en œuvre. SC-8
ZIP-OBJ-106 ZIP-DP-104 Là où le chiffrement ou une signature numérique est obligatoire, les produits (logiciels, microgiciels ou dispositifs matériels) doivent intégrer un algorithme et des processus de gestion des clés approuvés par le CCC, comme les produits validés par le CCC d’après la norme FIPS 140-2 (ou une version ultérieure) dans le cadre du PVMC. SC-13
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :