Annulée - Politique sur l'autorisation et l'authentification électroniques
Cette page a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
1. Date d'entrée en vigueur
La présente politique entre en vigueur le 15 juillet 1996 et remplace l'ancienne version datée du 1er octobre 1994.
2. Avant-propos
- Le processus d'autorisation et d'authentification électroniques permet d'associer une preuve d'autorisation à une opération, de faciliter la protection de l'intégrité des données et d'identifier le signataire autorisé. Conjugué à des pratiques de gestion adéquates, il aboutira à des mécanismes de contrôle de la responsabilité quant à la conduite des opérations commerciales électroniques.
- De saines pratiques de gestion exigent des ministères qu'ils exercent des contrôles leur permettant de garantir l'intégralité, l'exactitude et la validité de leurs opérations. Ces contrôles sont de plus indispensables à un contrôle de gestion adéquat et à une responsabilisation efficace.
- Les progrès technologiques, la disponibilité de postes de travail et de réseaux informatiques puissants ainsi que la nécessité d'optimiser l'efficacité des opérations ont amené l'administration fédérale à privilégier les systèmes de télétraitement et l'information électronique.
- Les mécanismes de contrôle sont manuels dans un système reposant sur le support papier. Ainsi, une signature a toujours été le meilleur moyen de prouver que les travaux sont autorisés ou de confirmer qu'ils ont été exécutés. Elle indique clairement le responsable de chaque fonction de contrôle, et elle convient à tous les niveaux de responsabilité.
- Ces mécanismes de contrôle sont essentiels si l'on veut s'assurer que les opérations sont consignées et traitées de façon précise et que l'information est dûment autorisée. En général, les normes d'exactitude et de validité établies pour les données sur les opérations sont les mêmes que celles qui s'appliquent aux données financières, opérationnelles et administratives.
- Dans un milieu informatisé, on se doit de disposer d'une solution de remplacement électronique à la signature sur papier. Des mécanismes de contrôle assureraient à la signature électronique une unicité comparable à celle d'une signature normale ainsi que pour préserver l'intégrité de cette signature, ce qui est nécessaire tant pour protéger la personne responsable d'une opération que pour l'obliger à assumer la responsabilité de cette opération.
- La politique vise à assurer la mise en place de ces mécanismes de contrôle et l'intégrité des opérations et des autorisations qui s'y rattachent tout au long du processus.
- Une autre caractéristique importante des systèmes automatisés réside dans le fait que la délégation des pouvoirs pourrait aussi se faire par voie électronique. Les matrices électroniques de délégation qui délimitent l'autorité de chaque utilisateur pourraient aussi remplacer les tableaux de délégation des pouvoirs. Une combinaison de codes d'identification de l'utilisateur, de mots de passe, de numéros d'autorisation personnels, de codes d'accès spéciaux, de vérifications de certaines caractéristiques physiques pourraient remplacer les signatures et des processus de validation et d'authentification les cartes de spécimen de signature.
- Cette politique vise à assurer le maintien de l'intégrité des processus électroniques de délégation de pouvoirs et d'authentification.
- Le Centre de la sécurité des télécommunications (CST) est chargé de mettre en place, dans les ministères, des mécanismes d'homologation ou d'approbation du matériel cryptographique et de gestion des clés pour assurer la protection des renseignements classifiés et des renseignements désignés. Le CST est l'organisme chargé d'approuver le cryptage, les algorithmes de signature numérique et les algorithmes de gestion de clés utilisés dans les processus d'autorisation et d'authentification électroniques. Les ministères peuvent également consulter le CST sur les besoins en dispositifs de sécurité non cryptographiques pour la mise en oeuvre des processus d'autorisation et d'authentification électroniques, de même que sur la puissance de ces dispositifs.
- Les responsabilités des autres organismes centraux en matière de sécurité sont énoncées dans la Politique sur la sécurité (chapitre 11 du volume «Sécurité» du Manuel du Conseil du Trésor).
3. Définitions
Pour l'application de cette politique :
- Opération commerciale (business transaction)
- s'entend de tout événement, condition, action ou engagement dont le résultat est l'acquisition, l'aliénation ou l'utilisation de biens ou de ressources; l'augmentation ou la réduction d'un passif; la réception ou le versement de fonds; ou encore la prestation de services facturés à un client. Les opérations commerciales se déroulent souvent, mais sans s'y limiter, dans des domaines divers tels que les finances, l'administration, le personnel, les marchés et la gestion de programmes. Les opérations commerciales peuvent aussi englober des mécanismes formels d'approbation ou d'autorisation comme la correspondance.
- Autorisation électronique (electronic authorization)
- s'entend du processus par lequel une signature numérique est associée à une opération commerciale électronique pour indiquer que le traitement des données a été autorisé par une personne habilitée à le faire et pour assurer que cette personne ne puisse, de façon crédible, nier avoir accordé cette autorisation.
- Authentification électronique (electronic authentication)
- s'entend du processus par lequel on vérifie l'autorisation électronique avant de déterminer si le signataire autorisé peut être identifié, si l'intégrité des données autorisées est préservée et s'il s'agit des données d'origine.
- Confidentialité (confidentiality)
- se rapporte à l'information divulguée ou mise uniquement à la disposition de personnes, d'entités ou de processus autorisés à consulter ou à utiliser cette information.
- Intégrité des données (data integrity)
- s'entend de la qualité ou du caractère exact et complet ainsi que de la non-modification ou destruction des données sans autorisation.
- Signature numérique (digital signature)
- s'entend de la transformation cryptographique des données qui, lorsqu'elle est réalisée sur un message, permet au destinaire de vérifier qui est le signataire et de déterminer si le message a été changé ou si la signature a été forgée après que la transformation ait été établie.
- Cryptage (encryption)
- s'entend de l'opération par laquelle on transforme des données en clair de manière à les rendre inintelligibles et pour en assurer l'intégrité. Il s'agit d'un processus réversible nécessitant le recours à un algorithme cryptographique et à une clé.
- Gestion des clés (key management)
- s'entend d'un processus par lequel les clés et le matériel de cryptage utilisés pour autoriser et authentifier des opérations sont gérés conformément à une politique de sécurité. Ce processus comprend la production, la distribution, l'application, la certification, la conservation, l'archivage et l'élimination des clés. Une clé est une séquence symboles qui contrôle l'opération de cryptage ou de décryptage.
4. Objectif de la politique
Veiller à ce que les opérations commerciales électroniques soient dûment autorisées et authentifiées, de façon à en assurer adéquatement le contrôle et la protection.
5. Énoncé de la politique
Le gouvernement du Canada a pour politique de veiller à ce que les opérations commerciales électroniques soient dûment autorisées, validées et protégées contre la perte, l'altération et la duplication, la substitution ou la destruction.
6. Application
- Cette politique s'applique à toutes les organisations considérées comme des ministères en vertu de l'article 2 de la Loi sur la gestion des finances publiques (LGFP).
- Cette politique s'applique à tous les systèmes électroniques commerciaux dont les opérations sont autorisées par voie électronique.
- Dans le cas des systèmes en voie d'élaboration, la présente politique s'applique dans les deux ans suivant son entrée en vigueur. Les disposition de la présente politique ne s'appliquent pas aux systèmes actuels, sauf si une nouvelle évaluation de la menace et des risques indique qu'une autorisation et une authentification électroniques s'imposent.
- Les systèmes actuels qui ont recours aux signatures numériques doivent être conformes à la présente politique d'ici les deux prochaines années.
7. Exigences de la politique
- L'intégrité des opérations commerciales électroniques doit être préservée en tout temps.
- L'autorisation des opérations commerciales électroniques doit s'effectuer au moyen d'une signature numérique.
- La méthode employée pour produire cette signature requiert tout à la fois la possession d'un renseignement particulier (comme un mot de passe) et d'un objet (comme une disquette, un jeton ou une carte.
- Pour chaque système où une signature numérique est utilisée, l'évaluation de la menace et des risques déterminera la nécessité d'utiliser un objet pour la produire. Pour les systèmes actuels et les systèmes en cours d'élaboration, les ministères bénéficient d'une période de deux ans à compter de la date d'entrée en vigueur de la présente politique pour effectuer l'évaluation de la menace et des risques et se conformer aux dispositions de la politique.
- Lorsqu'on utilise des objets tels que des disquettes, des jetons ou des cartes, les ministères doivent veiller à ce que tout détenteur d'objet connaisse et accepte les restrictions et les responsabilités qui lui incombent quant à l'utilisation de ces objets. Les objets doivent servir de mécanismes d'accès personnel liant un objet à une seule personne.
- Les autorisations électroniques d'opérations commerciales électroniques doivent être authentifiées.
- Le processus d'authentification électronique doit permettre d'identifier hors de tout doute la personne qui a autorisé l'opération, de manière à ce que celle-ci ne puisse nier l'avoir autorisée.
- Il faut tenir une piste de vérification complète des opérations commerciales électroniques, y compris de l'autorisation et de l'authentification électroniques.
- L'intégrité et la confidentialité du système et des processus d'autorisation et d'authentification électroniques doivent être préservées en tout temps.
- Au besoin, on assurera la confidentialité des opérations en procédant au cryptage d'une partie ou de la totalité des données ou de l'opération.
- Les ministères doivent procéder à une évaluation de la menace et des risques afin d'évaluer la menace dont le système des opérations commerciales électroniques et le processus d'authentification et d'autorisation électroniques pourraient faire l'objet et de déterminer le degré de contrôle nécessaire pour réduire les risques au minimum en tenant compte des coûts.
- Les ministères doivent établir des politiques et des procédures qui leur permettront d'exercer un contrôle adéquat sur tous les processus d'autorisation et d'authentification électroniques de données commerciales.
- Les ministères doivent établir des politiques et des procédures qui leur permettront de veiller à ce que la protection de l'attribution et de la communication des pouvoirs ainsi que du processus de délégation en tant que tel, lorsqu'ils se font sous forme électronique, soit assurée par un dispositif approuvé de signatures numériques et de gestion de clés. Les procédés de cryptage et de gestion de clés afférents à l'autorisation et à l'authentification électroniques doivent être homologués ou approuvés par le CST.
8. Surveillance
- Les ministères feront évaluer par leur service de vérification interne la façon dont ils observent et appliquent cette politique.
- Le Secrétariat du Conseil du Trésor se servira des rapports de vérification interne pour déterminer si la politique est respectée.
- En outre, le Secrétariat du Conseil du Trésor, de concert avec les ministères, procédera à des examens opérationnels pour vérifier l'efficacité de la politique.
9. Indicateurs de rendement
Les ministères sont chargés d'appliquer cette politique avec efficacité et efficience. Les indicateurs de rendement doivent principalement porter sur :
- l'efficacité du processus d'autorisation et d'authentification des opérations commerciales électroniques;
- la pertinence des évaluations de la menace et des risques, pour confirmer périodiquement que le degré de contrôle est suffisant;
- l'efficience de la documentation (p. ex., des politiques, des procédures et des documents de formation) et des systèmes, afin de veiller à l'efficacité de l'autorisation et de l'authentification des opérations électroniques.
10. Références
10.1 Autorisation
Cette politique est établie en vertu de la Loi sur la gestion des finances publiques.
10.2 Publications du Secrétariat du Conseil du Trésor
- Plan directeur pour le renouvellement des services gouvernementaux à l'aide des technologies de l'information.
- Normes sur les technologies de l'information, NCTTI 10.1, Ligne directrice du gouvernement du Canada sur la mise en oeuvre de l'échange électronique de données, Spécifications techniques.
- Politique sur la sécurité, chapitre 11 du volume «Sécurité» du Manuel du Conseil du Trésor.
- Normes de sécurité relative aux technologies de l'information, chapitre 23 du volume «Sécurité» du Manuel du Conseil du Trésor.
10.3 Autres publications
- Centre de la sécurité des télécommunications, Sécurité du gouvernement du Canada, Lignes directrices sur l'autorisation et l'authentification électroniques, CID/01/15.
- Centre de la sécurité des télécommunications, Guide de la gestion des risques d'atteinte à la sécurité des technologies de l'information.
- Gendarmerie royale du Canada, Guide d'évaluation de la menace et des risques pour les technologies de l'information.
11. Demandes de renseignements
Les demandes de renseignements relatives à cette politique doivent être adressées à l'agent de sécurité, à l'administration centrale de votre ministère. Pour toute question d'interprétation de cette politique, les administrations centrales des ministères doivent communiquer avec:
Division de la gestion des finances et des marchés
Direction de la gestion des finances et de l'information
Secrétariat du Conseil du Trésor
Ottawa (Ontario)
K1A 0R5
Téléphone : (613) 9577233;
Télécopieur : (613) 9529613Pour obtenir des évaluations, des avis et des conseils sur la mise en oeuvre des dispositions concernant l'autorisation et l'authentification électroniques, en particulier le cryptage, les algorithmes de signatures numériques et les systèmes de gestion de clés, communiquez avec :
Services à la clientèle , STI
Centre de la sécurité des télécommunications
C.P. 9703, Terminus postal d'Ottawa
Ottawa (Ontario)
K1G 3Z4
Téléphone : (613) 9917532;
Télécopieur : (613) 9917411
Appendice A - Lignes directrices
- L'évaluation de la menace et des risques est un processus permettant de définir les opérations et les données dont la protection est indispensable ainsi que de déterminer le niveau approprié et l'ampleur des contrôles requis. La fréquence des évaluations de la menace et des risques dépendra de facteurs tels que la possibilité de pertes financières ou de données, ou encore de situations embarrassantes pour le ministre ou le gouvernement. Les changements apportés à des facteurs externes pouvant rendre inefficients les contrôles actuels devraient aussi déclencher des évaluations de la menace et des risques. Ces changements peuvent comprendre, par exemple, l'implantation de nouveaux programmes logiciels conçus pour neutraliser des dispositifs de protection électroniques et qui seraient susceptibles d'être utilisés pour obtenir un accès non autorisé. Il convient donc d'évaluer périodiquement la menace et les risques ainsi que d'établir des mécanismes de contrôle permettant de protéger l'intégrité des opérations commerciales, d'en préserver la confidentialité et de veiller à ce qu'elles soient dûment authentifiées.
- Un cadre de contrôle adéquat pour l'autorisation et l'authentification électroniques
comprendra les éléments suivants :
- Contrôle d'accès
- Le contrôle d'accès permet de veiller à ce que seules les personnes autorisées aient accès aux données (avant et après l'autorisation), aux fichiers des programmes d'application, aux fichiers des données et des programmes d'autorisation et d'authentification électroniques et aux installations de télécommunications. Le contrôle d'accès comprend à la fois le contrôle d'accès logique et le contrôle d'accès physique.
- Le contrôle d'accès logique devrait notamment comprendre l'identification de l'utilisateur, un mot de passe et un dispositif de sécurité portatif, par exemple un jeton à mémoire, une disquette, une carte à mémoire ou un disque à mémoire, utilisés en combinaison avec des profils d'utilisateur, des matrices électroniques de délégation et un logiciel de sécurité.
- Le contrôle d'accès physique devrait comprendre notamment l'établissement de zones d'accès réservé, des salles fermées à clé ou des dispositifs de sécurité rattachés à l'ordinateur. Le nombre et la nature des mécanismes de contrôle d'accès des divers éléments du système reposent sur les résultats des évaluations de la menace et des risques.
- Il faudrait aussi tenir des registres de contrôle d'accès logique et physique et établir des procédures en matière de rapport pour pouvoir cerner les problèmes rapidement et prendre immédiatement les mesures correctives qui s'imposent.
- Gestion de clés
- Il faut établir des politiques et des procédures de gestion de clés afin de protéger les clés (comme les mots de passe, les codes d'authentification et autres dispositifs de sécurité) utilisées pour autoriser et authentifier des opérations, de même que les clés ayant servi à produire d'autres clés, les algorithmes cryptographiques, les fichiers et les programmes d'autorisation et d'authentification ainsi que les dispositifs de sécurité.
- La gestion de clés vise également le cycle de vie complet du matériel de cryptage : création, distribution, application, homologation, entreposage, archivage et destruction des certificats et des clés.
- Vérification
- Le système et les processus d'autorisation et d'authentification électroniques devraient pouvoir faire l'objet d'une vérification complète. La piste de vérification devrait comprendre les matrices de délégation, les profils d'utilisateur et l'ensemble des données et des fichiers d'autorisation et d'authentification électroniques nécessaires pour reconstituer dans l'ordre les événements et les opérations traitées.
- Contrôle d'accès
- Lorsqu'un ministère envisage de mettre en place un système d'autorisation et d'authentification électroniques, l'équipe de projet devrait comprendre des représentants des groupes de la vérification et de la sécurité des technologies de l'information.
- Les besoins en matière d'autorisation et d'authentification électroniques doivent être envisagés au début du cycle de vie des systèmes d'application.
- Les ministères ne doivent pas exiger des documents sur papier signés lorsque ceux-ci ont été remplacés par un processus et des signatures électroniques. Parallèlement, les ministères peuvent décider qu'un système reposant sur le support papier est une solution viable lorsque le traitement électronique n'est pas possible, efficace ou rentable. Cette décision devrait être prise à la suite d'une évaluation de la menace et des risques et, s'il y a lieu, d'une étude de rentabilisation.