Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.
151 mesures ou améliorations.
Télécharger le référentiel
a. Développer, consigner et diffuser à 1. une politique de contrôle d’accès qui : (a) définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité (b) est conforme aux lois, aux décrets, à la jurisprudence, aux directives, à la réglementation, au...
Lire la suite
a. Définir et consigner les types de comptes permis et dont l’utilisation est interdite dans le système b. Affecter des gestionnaires de comptes et des responsables des données c. Exiger en ce qui concerne l’appartenance au groupe et au rôle d. Préciser : 1. les utilisatrices et utilisateurs autorisés du système; 2. les membres des groupes et des...
Lire la suite
Appuyer la gestion des comptes système au moyen de .
Lire la suite
Automatiquement, le système les comptes temporaires et d’urgence après .
Lire la suite
Désactiver les comptes dans lorsque les comptes : a. ont expiré b. ne sont plus associés à une utilisatrice ou un utilisateur, ou à une personne c. contreviennent à une politique organisationnelle d. sont inactifs depuis
Lire la suite
Vérification automatique des activités de création, de modification, d’activation, de désactivation et de retrait des comptes.
Lire la suite
Exiger des utilisatrices et utilisateurs qu’ils ferment leur session après .
Lire la suite
Mettre en œuvre des .
Lire la suite
a. Établir et administrer des comptes d’utilisateur privilégiés conformément à un b. Surveiller les attributions de rôles privilégiés ou d’attributs c. Surveiller les changements aux rôles ou aux attributs d. Révoquer l’accès lorsque les attributions de rôles privilégiés ou d’attributs ne conviennent plus
Lire la suite
Créer, activer, gérer et désactiver de manière dynamique.
Lire la suite
Autoriser uniquement l’utilisation des comptes partagés et de groupe qui répondent aux .
Lire la suite
Annulé : Intégré au contrôle AC-02.
Lire la suite
Appliquer aux .
Lire la suite
a. Surveiller les comptes de système afin de détecter b. Signaler une utilisation irrégulière des comptes de système à
Lire la suite
Désactiver des comptes du personnel dans les après la découverte des .
Lire la suite
Appliquer les autorisations approuvées pour l’accès logique à l’information et aux ressources système conformément aux stratégies de contrôle d’accès applicables.
Lire la suite
Annulé : Intégré au contrôle AC-06.
Lire la suite
Appliquer une double autorisation pour .
Lire la suite
Appliquer la à l’ensemble de sujets et objets couverts qui sont définis dans la stratégie, quand la stratégie : a. est appliquée de façon uniforme pour tous les sujets et objets dans le système b. précise qu’un sujet ayant reçu l’accès à l’information est contraint : 1. d’acheminer l’information à des sujets ou à des objets non autorisés 2. d’octr...
Lire la suite
Appliquer la aux ensembles de sujets et d’objets couverts qui ont été précisés dans la stratégie, et quand la stratégie précise qu’un sujet à qui l’accès à l’information a été accordé peut réaliser l’un ou l’autre des aspects suivants : a. acheminer l’information à d’autres sujets ou objets b. octroyer ses droits d’accès à d’autres sujets c. chang...
Lire la suite
Empêcher l’accès à sauf lorsque le système est en état de non-fonctionnement sécurisé.
Lire la suite
Annulé : Intégré aux contrôles MP-04 et SC-28.
Lire la suite
Appliquer une stratégie de contrôle d’accès basé sur les rôles à des sujets et objets définis, et il contrôle l’accès en fonction des .
Lire la suite
Appliquer la révocation des autorisations d’accès à la suite de changements apportés aux attributs de sécurité des sujets et des objets en fonction des .
Lire la suite
Diffuser de l’information hors du système uniquement si : a. le destinataire fournit les b. les sont utilisés pour valider la pertinence de l’information désignée à des fins de diffusion
Lire la suite
Utiliser une dérogation vérifiée aux mécanismes automatisés de contrôle d’accès en vertu des par les .
Lire la suite
Accès restreint à des référentiels contenant des .
Lire la suite
a. Exiger des applications pour assurer, dans le cadre du processus d’installation, l’accès nécessaire aux applications et fonctions de systèmes suivantes : b. Fournir un mécanisme d’application de l’accès pour empêcher les accès non autorisés c. Approuver les changements d’accès après l’installation initiale de l’application
Lire la suite
Appliquer une stratégie de contrôle d’accès basé sur les attributs des sujets et objets définis, et contrôler l’accès en fonction des .
Lire la suite
Fournir les pour permettre aux personnes d’avoir accès aux éléments suivants des renseignements personnels : .
Lire la suite
a. Appliquer la à l’ensemble de sujets et objets couverts qui sont définis dans la stratégie b. Appliquer la à l’ensemble de sujets et objets couverts qui sont définis dans la stratégie
Lire la suite
Appliquer des autorisations approuvées pour contrôler le flux d’information dans le système et entre les systèmes reconnectés en fonction des .
Lire la suite
Utiliser des associés aux pour appliquer les comme base pour les décisions concernant le contrôle de flux.
Lire la suite
Utiliser des domaines de traitement protégés pour appliquer les comme base pour les décisions concernant le contrôle de flux.
Lire la suite
Appliquer les .
Lire la suite
Le système empêche l’information chiffrée de contourner les en .
Lire la suite
Appliquer concernant l’intégration de types de données dans d’autres types de données.
Lire la suite
Appliquer le contrôle de flux d’information en fonction des .
Lire la suite
Appliquer des flux unidirectionnels d’information par des mécanismes de contrôle de flux matériel.
Lire la suite
a. Appliquer le contrôle de flux d’information en utilisant des comme base pour les décisions de contrôle de flux pour les b. les données après l’échec d’un traitement de filtre conformément à
Lire la suite
Appliquer l’utilisation de vérifications manuelles pour les selon les modalités suivantes : .
Lire la suite
Permettre à une administratrice ou à un administrateur privilégié d’activer ou de désactiver les selon les modalités suivantes : .
Lire la suite
Permettre à des administratrices et administrateurs privilégiés de configurer pour appuyer les différentes stratégies de sécurité ou de protection de la vie privée.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, utiliser des pour valider les données essentielles aux décisions liées au flux d’information.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, décomposer l’information en pour la présenter aux mécanismes d’application de la stratégie.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, appliquer des qui exigent des formats entièrement énumérés limitant le contenu et la structure des données.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, examiner l’information afin de détecter la présence de et interdire le transfert de cette information, conformément à la .
Lire la suite
Annulé : Intégré au contrôle AC-04.
Lire la suite
Identifier de façon unique et authentifier les points source et destination par à des fins de transfert d’information.
Lire la suite
Annulé : Intégré au contrôle AC-16.
Lire la suite
Lors du transfert de l’information entre différents domaines de sécurité, mettre en oeuvre les en fonction des métadonnées.
Lire la suite
Utiliser des pour contrôler le flux de dans les domaines de sécurité.
Lire la suite
Séparer les flux d’information de façon logique ou physique au moyen de pour accomplir les .
Lire la suite
Fournir à un seul dispositif l’accès aux plateformes informatiques, aux applications ou aux données contenues dans des domaines de sécurité différents tout en empêchant le flux d’information entre les différents domaines de sécurité.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, modifier l’information non communicable en mettant en oeuvre une .
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, analyser des données entrantes dans un format normalisé interne et régénérer les données pour qu’elles soient conformes aux spécifications prévues.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, nettoyer les données pour minimiser la conformément à la .
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, enregistrer et vérifier les mesures de filtrage de contenu ainsi que les résultats pour l’information faisant l’objet du filtrage.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, mettre en oeuvre des solutions de filtrage de contenu qui offrent des mécanismes de filtrage de contenu redondants et indépendants pour chaque type de données.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, mettre en oeuvre un pipeline de filtre de contenu linéaire qui est appliqué avec contrôle d’accès discrétionnaire et obligatoire.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, utiliser des moteurs d’orchestration de filtre de contenu pour s’assurer de ce qui suit : a. les mécanismes de filtrage de contenu ont réussi l’exécution sans présenter d’erreurs b. les opérations de filtrage de contenu sont exécutées dans le bon ordre et sont conforment à la
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, mettre en oeuvre des mécanismes de filtrage de contenu à l’aide de plusieurs processus.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, prévenir l’échec d’un transfert de contenu vers le domaine destinataire.
Lire la suite
Lors du transfert d’information entre différents domaines de sécurité, le processus qui transfert l’information entre les pipelines de filtre : a. ne filtre pas le contenu du message b. valide les métadonnées de filtration c. assure que le contenu associé aux métadonnées de filtrage a effectué avec succès le filtrage d. transfert le contenu au pipe...
Lire la suite
a. Identifier et consigner les b. Définir les autorisations d’accès au système afin d’appuyer la séparation des tâches
Lire la suite
Utiliser le principe du droit d’accès minimal, ce qui autorise l’accès uniquement aux utilisatrices et utilisateurs (ou aux processus exécutés en leur nom) qui en ont besoin pour accomplir les tâches qui leur ont été assignées par l’organisation.
Lire la suite
Autoriser l’accès à pour : a. les b.
Lire la suite
Exiger que les utilisatrices et utilisateurs de comptes ou de rôles de système qui ont accès aux utilisent des comptes ou des rôles non privilégiés pour accéder à des fonctions qui ne sont pas liées à la sécurité.
Lire la suite
Autoriser l’accès réseau aux seulement pour et consigner les motifs d’un tel accès dans le plan de sécurité pour le système.
Lire la suite
Fournir des domaines de traitement séparés pour permettre une granularité plus fine dans l’attribution des droits d’accès d’utilisatrice et utilisateur.
Lire la suite
Restreindre les comptes privilégiés sur le système à .
Lire la suite
Interdire tout accès privilégié au système aux utilisatrices et utilisateurs ne faisant pas partie de l’organisation.
Lire la suite
a. Examiner les droits d’accès attribués aux tous les pour valider la nécessité de détenir ces droits d’accès; b. Réattribuer ou retirer les droits d’accès, au besoin, pour bien refléter les besoins organisationnels liés à la mission et aux opérations.
Lire la suite
Empêcher les logiciels d’être exécutés à des niveaux de droits d’accès plus élevés que ceux des utilisatrices et utilisateurs qui exécutent les logiciels : .
Lire la suite
Journaliser l’exécution de fonctions privilégiées.
Lire la suite
Empêcher les utilisatrices et utilisateurs non privilégiés d’exécuter des fonctions privilégiées.
Lire la suite
a. Appliquer une limite de tentatives d’ouverture de session non valides consécutives par l’utilisatrice ou utilisateur sur une période de ; b. automatiquement lorsque le nombre maximal de tentatives infructueuses est dépassé.
Lire la suite
Annulé : Intégré au contrôle AC-07.
Lire la suite
Le système purge ou nettoie l’information des en fonction des après tentatives infructueuses d’ouverture de session consécutives sur les appareils.
Lire la suite
Limiter le nombre de tentatives d’ouvertures de session infructueuses par biométrie à .
Lire la suite
a. Permettre l’utilisation de qui sont différents des facteurs d’authentification principaux après que le nombre de tentatives d’ouverture de session non valides consécutives définies par l’organisation ait été dépassé b. Appliquer une limite de tentatives d’ouverture de session non valides consécutives au moyen d’autres facteurs par l’utilisatri...
Lire la suite
a. Afficher aux utilisatrices et utilisateurs , qui comprend des énoncés de protection de la vie privée et de sécurité conformément aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables, et stipule ce qui suit : 1. les utilisatrices et utilisateurs qui accèdent à un système gouv...
Lire la suite
Indiquer à l’utilisatrice ou utilisateur qui vient d’ouvrir une session sur le système la date et l’heure de sa dernière ouverture de session.
Lire la suite
Indiquer à l’utilisatrice ou utilisateur qui vient d’ouvrir une session le nombre de tentatives d’ouverture de session infructueuses depuis sa dernière tentative réussie.
Lire la suite
Indiquer à l’utilisatrice ou utilisateur qui vient d’ouvrir une session le nombre de pendant .
Lire la suite
Aviser l’utilisatrice ou utilisateur qui vient d’ouvrir une session des changements apportés aux pendant .
Lire la suite
Aviser l’utilisatrice ou utilisateur qui vient d’ouvrir une session de l’information supplémentaire suivante : .
Lire la suite
Limiter le nombre de sessions simultanées pour chaque à .
Lire la suite
a. Empêcher d’autres accès au système b. Préserver le verrouillage d’appareil jusqu’à ce que l’utilisatrice ou utilisateur rétablisse l’accès au moyen des procédures d’identification et d’authentification établies
Lire la suite
Masquer, au moyen d’un verrouillage d’appareil, l’information auparavant visible à l’écran en utilisant une image visible.
Lire la suite
Mettre automatiquement fin à une session utilisateur après .
Lire la suite
Fournir une capacité de fermeture de session pour les sessions de communication lancées par les utilisatrices et utilisateurs lorsque l’authentification est utilisée pour accéder aux .
Lire la suite
Afficher un message explicite de fermeture de session pour indiquer aux utilisatrices et utilisateurs l’interruption des sessions de communication authentifiées.
Lire la suite
Afficher un message explicite aux utilisatrices et utilisateurs pour indiquer que la session prendra fin .
Lire la suite
Annulé : Intégré aux contrôles AC-02 et AU-06.
Lire la suite
a. Identifier les que l’utilisatrice ou utilisateur peut exécuter dans le système sans devoir s’identifier ni s’authentifier, conformément aux fonctions opérationnelles et à la mission de l’organisation b. Consigner et expliquer dans le plan de sécurité du système la logique sous-jacente qui permet à l’utilisatrice ou utilisateur d’effectuer des o...
Lire la suite
Annulé : Intégré au contrôle AC-14.
Lire la suite
Annulé : Intégré au contrôle MP-03.
Lire la suite
a. Fournir les moyens permettant d’associer les avec les pour l’information pendant qu’elle est stockée, traitée et/ou transmise b. S’assurer que toutes les associations d’attribut de sécurité sont effectuées et conservées avec l’information c. Établir les attributs de sécurité et de protection de la vie privée autorisés suivants à partir des att...
Lire la suite
Associer de manière dynamique les attributs de sécurité et de protection de la vie privée aux conformément aux stratégies de sécurité et de protection de la vie privée suivantes au moment où l’information est créée et combinée : .
Lire la suite
Fournir à des personnes autorisées (ou à des processus exécutés au nom des personnes) la capacité de définir ou de changer la valeur des attributs de sécurité et de protection de la vie privée connexes.
Lire la suite
Maintenir l’intégrité des et l’association de ceux-ci aux .
Lire la suite
Fournir les moyens d’associer des aux effectuée par des personnes autorisées (ou par des processus exécutés en leur nom).
Lire la suite
Afficher sous forme lisible les attributs de sécurité et de protection de la vie privée de chaque objet que le système transmet à des dispositifs de sortie afin d’identifier les conformément aux .
Lire la suite
Permettre au personnel d’associer les aux et de maintenir cette association, conformément aux .
Lire la suite
Fournir une interprétation uniforme des attributs de sécurité et de protection de la vie privée transmis entre les composants du système distribués.
Lire la suite
Mettre en oeuvre des en associant des attributs de sécurité et de protection de la vie privée à l’information.
Lire la suite
Changer les attributs de sécurité et de protection de la vie privée associés à l’information uniquement par des mécanismes remaniés validés au moyen de .
Lire la suite
Fournir aux personnes autorisées la capacité de définir ou de changer le type et la valeur des attributs de sécurité et de protection de la vie privée disponibles pouvant être associés à des sujets et à des objets.
Lire la suite
a. Définir et consigner les restrictions d’utilisation, les exigences en matière de configuration et de connexion, ainsi que les directives de mise en oeuvre de chaque type d’accès à distance autorisé; b. Autoriser chaque type d’accès à distance au système avant d’autoriser de telles connexions.
Lire la suite
Utiliser des mécanismes automatisés pour faciliter la surveillance et le contrôle des méthodes d’accès à distance.
Lire la suite
Mettre en oeuvre des mécanismes cryptographiques pour protéger la confidentialité et l’intégrité des sessions d’accès à distance.
Lire la suite
Acheminer l’accès distant au moyen de points de contrôle d’accès réseau autorisés et gérés.
Lire la suite
a. Autorise l’exécution de commandes privilégiées et de l’accès à l’information liée à la sécurité au moyen de l’accès à distance seulement dans un format qui fournit des preuves justificatives de confiance, et ce, pour les besoins suivants : b. Consigner la justification pour cet accès dans le plan de sécurité du système
Lire la suite
Annulé : Intégré au contrôle SI-04.
Lire la suite
Protéger l’information sur les mécanismes d’accès à distance contre toute utilisation et divulgation non autorisée.
Lire la suite
Annulé : Intégré au contrôle AC-03(10).
Lire la suite
Annulé : Intégré au contrôle CM-07.
Lire la suite
Fournir la capacité de déconnecter ou de désactiver l’accès à distance au système dans un délai de .
Lire la suite
Mettre en place les pour authentifier .
Lire la suite
L’accès à distance à des comptes privilégiés s’effectue à partir de consoles de gestion spécialisées utilisées exclusivement à cette fin.
Lire la suite
a. Établir les restrictions d’utilisation, les exigences en matière de configuration et de connexion, ainsi que les directives de mise en oeuvre pour chaque type d’accès sans fil b. Autoriser chaque type d’accès sans fil au système avant d’autoriser de telles connexions
Lire la suite
Protéger l’accès sans fil au système au moyen de l’authentification des et du chiffrement.
Lire la suite
Annulé : Intégré au contrôle SI-04.
Lire la suite
Désactiver, lorsqu’on ne prévoit pas les utiliser, les capacités de réseautage sans fil intégrées aux composants du système avant leur remise et leur déploiement.
Lire la suite
Identifier les utilisatrices et utilisateurs et les autoriser explicitement à configurer eux-mêmes les capacités de réseautage sans fil.
Lire la suite
Sélectionner des antennes radio et calibrer la puissance de transmission afin de réduire la probabilité que les signaux puissent être reçus en dehors des frontières que contrôle l’organisation.
Lire la suite
a. Établir les exigences en matière de configuration et de connexion, ainsi que les directives de mise en oeuvre des appareils mobiles contrôlés par l’organisation à inclure lorsque ces appareils se trouvent à l’extérieur des zones contrôlées b. Autoriser les connexions d’appareils mobiles aux systèmes organisationnels
Lire la suite
Annulé : Intégré au contrôle MP-07.
Lire la suite
Annulé : Intégré au contrôle MP-07.
Lire la suite
Annulé : Intégré au contrôle MP-07.
Lire la suite
a. Interdire l’utilisation d’appareils mobiles non classifiés dans les installations qui hébergent des systèmes qui traitent, stockent ou transmettent de l’information classifiée, sauf si l’autorité responsable le permet b. Appliquer par le biais de l’autorité responsable les restrictions ci-après aux personnes autorisées à utiliser des appareils m...
Lire la suite
Employer le pour protéger la confidentialité et l’intégrité de l’information sur les .
Lire la suite
Annulé : Transféré sous le contrôle SC-42(400).
Lire la suite
a. , conformément aux relations d’approbation établies avec les autres organisations qui possèdent, exploitent et/ou maintiennent les systèmes externes, de manière à ce que les personnes autorisées puissent faire ce qui suit : 1. accéder au système à partir des systèmes externes 2. traiter, stocker ou transmettre de l’information contrôlée par l’or...
Lire la suite
Permettre aux personnes autorisées d’utiliser un système externe afin d’accéder au système ou afin de traiter, de stocker ou de transmettre de l’information contrôlée par l’organisation seulement après les opérations suivantes : a. vérifier que les contrôles ont été mis en oeuvre dans le système externe tel qu’il est stipulé dans les stratégies de ...
Lire la suite
Restreindre l’utilisation de dispositifs de stockage portatifs contrôlés par l’organisation aux personnes autorisées pour les systèmes externes conformément aux .
Lire la suite
Limiter l’utilisation de systèmes ne faisant pas partie de l’organisation ou de composants de systèmes qui traitent, stockent ou transmettent de l’information de l’organisation au moyen de .
Lire la suite
Interdire l’utilisation de dans des systèmes externes.
Lire la suite
Interdire l’utilisation de dispositifs de stockage portatifs contrôlés par l’organisation aux personnes autorisées pour les systèmes externes.
Lire la suite
a. Permettre aux utilisatrices et utilisateurs autorisés de déterminer si les autorisations d’accès accordées aux partenaires d’échange respectent les restrictions d’accès à l’information et d’utilisation en tenant compte de b. Employer des pour aider les utilisatrices et utilisateurs à prendre des décisions concernant l’échange d’information et ...
Lire la suite
Utiliser des pour appliquer des décisions sur l’échange d’information par une utilisatrice ou un utilisateur autorisé en fonction des autorisations d’accès des partenaires d’échange et des restrictions d’accès à l’information à échanger.
Lire la suite
Le système d’information met en oeuvre des services de recherche et de récupération de l’information qui appliquent des .
Lire la suite
Veiller, à la suite des accords écrits, à prendre les mesures de protection appropriées de l’information sensible échangée avec des entités du secteur public externes et des organisations.
Lire la suite
Veiller, à la suite des ententes écrites, à prendre les mesures de protection appropriées de l’information sensible échangée entre et au sein des institutions gouvernementales.
Lire la suite
a. Désigner les personnes qui sont autorisées à rendre l’information accessible au public b. Former les personnes autorisées afin de s’assurer que l’information accessible au public ne contient pas d’information non publique c. Examiner le contenu d’information proposé avant de l’afficher sur le système accessible au public pour s’assurer qu’il ne ...
Lire la suite
Employer des pour les pour détecter l’exploration de données et protéger les systèmes contre celle-ci.
Lire la suite
sont appliquées à chacune des demandes d’accès avant l’application de l’accès.
Lire la suite
Transmettre au moyen de aux qui appliquent les décisions de contrôle d’accès.
Lire la suite
Le système applique les décisions de contrôle d’accès en fonction des qui ne contiennent pas l’identité d’utilisatrices ou utilisateurs ni le processus exécuté en leur nom.
Lire la suite
Mettre en oeuvre un moniteur de référence pour les qui est résistant aux intrusions, systématiquement appelé et suffisamment simple pour faire l’objet d’une analyse et de tests dont l’exhaustivité peut être assurée.
Lire la suite