Gestion de l’identité, des justificatifs d’identité et de l’accès (GIJIA) - ITSAP.30.018

Que comprend la GIJIA?

Le modèle de GIJIA de votre organisation aura une incidence sur les trois composantes suivantes de vos processus de sécurité des TI :

• Gestion de l’identité : identifie un sujet et établit s’il est bien celui qu’il prétend être au moment d’autoriser l’accès à un système (c'est-à-dire, entité physique, entité numérique).
• Gestion des justificatifs d’identité : lie l’identité à un authentifiant, ce qui permet au système d’identifier l’utilisateur au moment de l’ouverture de session (c'est-à-dire, authentification de l’utilisateur, carte d’identité, nom d’utilisateur et mot de passe).
• Gestion de l’accès : accorde des autorisations aux utilisateurs pour ce qu’ils peuvent faire et voir sur un système (p. ex. au moyen de groupes et de rôles précis, aux fins de séparation). La gestion de l’accès détermine les rôles ou les utilisateurs qui peuvent accéder à différents processus et à différentes informations à des moments et à des niveaux de sécurité précis (c'est-à-dire, restreindre l’accès à une base de données à moins que l’utilisateur soit authentifié et détienne un rôle auquel l’accès à la ressource a été accordé).

Quels sont les avantages d’utiliser la GIJIA?

La mise en place d’un programme de GIJIA bien structuré présente les avantages suivants :

• améliorer la cybersécurité de votre organisation en limitant l’accès aux utilisateurs autorisés;
• simplifier la gestion des utilisateurs de votre organisation;
• sécuriser l’accès à l’information;
• assurer le suivi de l’accès à l’information sensible en augmentant l’efficacité de la gestion;
• aider à prévenir la fraude d’identité.

Quels sont les risques en l’absence de la GIJIA?

Les auteurs de menace cherchent à voler l’identité et les justificatifs d’identité des utilisateurs afin d’accéder à des réseaux, à des systèmes et à des données. Ces types de cyberattaques exposent votre organisation à des risques considérables, y compris les suivants :

• la compromission d’informations sensibles;
• la propagation de fausses informations;
• la perturbation du bon fonctionnement des processus et de l’équipement;
• l’atteinte à l’intégrité et à la disponibilité des systèmes et de l’information;
• l’atteinte à la réputation et à la crédibilité de l’organisation;
• la compromission de l’exécution des processus d’urgence;
• le risque de conséquences pour la sécurité nationale.

Ces risques découlent généralement de menaces liées aux maliciels et aux attaques par hameçonnage qui ont exposé des justificatifs d’identité et de l’information relative à l’accès aux auteurs de menace. La compromission de l’accès est un risque élevé pour les organisations qui traitent de l’information sensible, des ressources essentielles et des processus d’urgence.

Quels sont les facteurs à considérer dans la mise en œuvre de la GIJIA?

Plusieurs éléments doivent être pris en compte lors de la mise en œuvre de la GIJIA pour assurer la sécurité de l’information de votre organisation. Vous devriez envisager les outils de sécurité suivants lors de la création de votre cadre de GIJIA :

Mots de passe et phrases de passe

L’application de pratiques exemplaires relatives à la création de phrases de passe et de mots de passe est une mesure de sécurité importante pour la GIJIA. Vous devez protéger tous les comptes et toutes les zones d’accès à l’aide de mots de passe ou de phrases de passe complexes afin d’assurer la sécurité de votre information.

Biométrie

La biométrie est une forme d’authentification pratique qui utilise vos caractéristiques corporelles uniques à titre d’identification. Elle peut servir à remplacer ou à renforcer un numéro d’identification personnel (NIP), un mot de passe ou une phrase de passe.

Authentification multifacteur (MFA)

L’authentification multifacteur offre deux facteurs d’authentification distincts ou plus pour déverrouiller un appareil ou un compte. L’imposition de l’authentification multifacteur sur les appareils et les comptes de votre organisation ajoutera une couche de protection supplémentaire aux données personnelles et organisationnelles.

Intégrité par deux personnes (TPI)

Le principe d’intégrité par deux personnes (TPI pour Two-Person Integrity) exige qu’au moins deux personnes soient présentes pour accéder à une zone sécurisée d’un système. Ce principe permet de réduire le risque lié à l’utilisation de justificatifs d’identité volés pour accéder à vos processus ou à votre information sensible. Il permet également de garantir que seules les personnes ayant un besoin de connaître peuvent accéder à l’information sensible.

Principe du droit d’accès minimal

L’application du principe du droit d’accès minimal permet de créer des groupes et des rôles qui sont accordés uniquement aux utilisateurs qui ont besoin d’accéder à de l’équipement et à de l’information précis.

Formation en matière de cybersécurité

La formation en matière de cybersécurité axée sur la sensibilisation et l’utilisation appropriée de l’information et des outils de sécurité organisationnels est essentielle à la création d’un environnement sécurisé. Il est important pour votre structure de GIJIA que les utilisateurs connaissent bien les pratiques de sécurité à adopter en ce qui a trait aux justificatifs d’identité et à l’accès.