Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.
78 mesures ou améliorations.
Télécharger le référentiel
a. Développer, documenter et diffuser à : 1. une politique d’identification et d’authentification qui : (a) définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité (b) est conforme aux lois, à la jurisprudence, aux décrets, aux directives, à...
Lire la suite
Identifier de façon unique et authentifier les utilisatrices et utilisateurs organisationnels, puis associer cet identifiant unique aux processus agissant en leur nom.
Lire la suite
Appliquer des AMF robustes pour l’accès à des comptes privilégiés.
Lire la suite
Appliquer l’AMF pour l’accès à des comptes non privilégiés.
Lire la suite
Annulé : Intégré au contrôle IA-02(01).
Lire la suite
Annulé : Intégré au contrôle IA-02(02).
Lire la suite
Lorsque des authentifiants ou des comptes partagés sont utilisés, il faut que les utilisatrices et utilisateurs soient authentifiés individuellement avant d’obtenir l’accès aux ressources ou aux comptes partagés.
Lire la suite
Mettre en oeuvre l’AMF pour l’accès aux de façon à ce que : a. l’un des facteurs soit fourni par un dispositif distinct du système qui obtient un accès b. le dispositif satisfasse
Lire la suite
Annulé : Intégré au contrôle IA-02(06).
Lire la suite
Mettre en oeuvre des mécanismes d’authentification résistant à la réinsertion pour l’accès aux .
Lire la suite
Annulé : Intégré au contrôle IA-02(08).
Lire la suite
Offrir une fonctionnalité d’authentification unique des .
Lire la suite
Annulé : Intégré au contrôle IA-02(06).
Lire la suite
Accepter et vérifier électroniquement le jeton matériel basé sur des justificatifs d’identité d’ICP.
Lire la suite
Mettre en oeuvre les mécanismes d’authentification hors bande suivants en vertu des : .
Lire la suite
Annulé : Intégré aux contrôles IA-02(01) et IA-02(06).
Lire la suite
Identifier et authentifier, de manière unique avant d’établir une connexion .
Lire la suite
Authentifier avant d’établir une connexion utilisant l’authentification bidirectionnelle reposant sur la cryptographie.
Lire la suite
Annulé : Intégré au contrôle IA-03(01).
Lire la suite
a. Où les adresses sont attribuées de manière dynamique, l’information de location de l’attribution dynamique des adresses ainsi que la durée de la location attribuée aux dispositifs conformément à b. Vérifier l’information de location lorsqu’elle est attribuée à un dispositif
Lire la suite
Traiter l’identification et l’authentification des dispositifs conformément à une attestation au moyen .
Lire la suite
Gérer les identifiants de système des façons suivantes : a. recevoir une autorisation de pour attribuer un identifiant à une personne, à un groupe, à un rôle, à un service ou à un dispositif b. sélectionner et déterminer un identifiant qui identifie une personne, un groupe, un rôle, un service ou un dispositif c. attribuer l’identifiant à la perso...
Lire la suite
Interdire l’utilisation d’identifiants de compte du système qui sont les mêmes que les identifiants publics pour les comptes individuels.
Lire la suite
Annulé : Intégré au contrôle IA-12(01).
Lire la suite
Annulé : Intégré au contrôle IA-12(02).
Lire la suite
Gérer les identifiants personnels en identifiant de façon unique chaque personne à titre de .
Lire la suite
Gérer de manière dynamique les identifiants conformément à la .
Lire la suite
Collaborer avec les organisations externes suivantes pour la gestion interorganisationnelle des identifiants : .
Lire la suite
Annulé : Intégré au contrôle IA-12(04).
Lire la suite
Générer des identifiants pseudonymes par paires.
Lire la suite
Maintenir les attributs de chaque personne, dispositif ou service identifié de manière unique dans .
Lire la suite
Maintenir une protection adéquate pour la biométrie conformément aux règlements sur la protection des renseignements personnels.
Lire la suite
Assurer l’intégrité de la biométrie recueillie.
Lire la suite
Gérer les authentifiants de système des façons suivantes : a. vérifier, au moment de la distribution initiale d’un authentifiant, l’identité de l’utilisatrice ou utilisateur, du groupe, du rôle, du service ou du dispositif recevant l’authentifiant b. établir le contenu de l’authentifiant initial pour les authentifiants émis par l’organisation c. s’...
Lire la suite
Pour l’authentification basée sur mot de passe : a. créer une liste des mots de passe couramment utilisés, attendus ou compromis et la mettre à jour tous les et lorsque l’on soupçonne que les mots de passe de l’organisation ont été compromis, directement ou indirectement b. lorsque les utilisatrices et utilisateurs créent ou mettent à jour des mot...
Lire la suite
a. Pour une authentification basée sur clé publique : 1. appliquer la procédure d’accès autorisé à la clé privée correspondante 2. associer l’identité authentifiée au compte d’une personne ou d’un groupe b. Lorsque l’infrastructure à clé publique (ICP) est utilisée : 1. valider les certificats en créant un chemin de certification avec l’information...
Lire la suite
Annulé : Intégré au contrôle IA-12(04).
Lire la suite
Annulé : Intégré au contrôle IA-05(01).
Lire la suite
Exiger des développeuses et développeurs ou des installatrices et installateurs des fabricants des composants de système qu’ils fournissent des authentifiants uniques ou qu’ils changent les authentifiants par défaut avant la livraison ou l’installation.
Lire la suite
Protéger les authentifiants au niveau de sécurité qui correspond à la catégorie de sécurité de l’information à laquelle l’authentifiant permet l’accès.
Lire la suite
S’assurer que les authentifiants statiques non chiffrés ne sont pas intégrés dans les applications ou autres formes de stockage statique.
Lire la suite
Mettre en oeuvre pour gérer le risque de compromission que posent les utilisatrices et utilisateurs qui possèdent des comptes dans plusieurs systèmes.
Lire la suite
Utiliser les organisations externes suivantes pour fédérer les justificatifs d’identité : .
Lire la suite
Lier les identités et les authentifiants de manière dynamique au moyen des règles suivantes : .
Lire la suite
Annulé : Intégré aux contrôles IA-02(01) et IA-02(02).
Lire la suite
Pour l’authentification fondée sur la biométrie, utiliser des mécanismes qui répondent .
Lire la suite
Interdire l’utilisation d’authentifiants en mémoire cache après .
Lire la suite
Pour l’authentification fondée sur l’ICP, utiliser une méthodologie de gestion du contenu des magasins de confiance d’ICP installés sur toutes les plateformes, y compris les réseaux, les systèmes d’exploitation, les navigateurs et les applications.
Lire la suite
Utiliser uniquement des produits et des services pour la gestion de l’identité, des justificatifs et de l’accès qui sont conformes aux niveaux d’assurance requis.
Lire la suite
Exiger que l’émission soit effectuée auprès avec l’autorisation de .
Lire la suite
Utiliser des mécanismes de détection des attaques pour l’authentification fondée sur la biométrie.
Lire la suite
a. Utiliser pour générer et gérer les mots de passe b. Protéger les mots de passe au moyen de
Lire la suite
Obscurcir les rétroactions d'information lors du processus d’authentification afin de protéger l’information contre de possibles exploitations ou utilisations par des personnes non autorisées.
Lire la suite
Mettre en place des mécanismes pour l’authentification auprès d’un module cryptographique qui répond aux exigences imposées par les lois, les décrets, les directives, les politiques, la réglementation, les normes et les lignes directrices applicables, pour une telle authentification.
Lire la suite
Identifier de façon unique et authentifier les utilisatrices et utilisateurs non organisationnels ou les processus exécutés en leur nom.
Lire la suite
Accepter et vérifier électroniquement les justificatifs d’identité d’ICP d’autres ministères et organismes.
Lire la suite
a. Accepter uniquement des authentifiants externes qui sont conformes aux règles relatives à l'assurance de l'identité numérique selon le niveau d'assurance b. Consigner et maintenir une liste d’authentifiants externes acceptés
Lire la suite
Annulé : Intégré au contrôle IA-08(02) et propre aux États-Unis.
Lire la suite
Se conformer aux profils suivants pour la gestion des identités .
Lire la suite
Accepter et vérifier les justificatifs fédérés ou d’ICP qui satisfont .
Lire la suite
Mettre en oeuvre les mesures suivantes pour dissocier les attributs d’utilisatrice ou utilisateur ou les relations d’assertion d’identificateur parmi les personnes, les fournisseurs de justificatifs d’identité et les parties de confiance : .
Lire la suite
Annulé : Intégré au contrôle IA-05(15).
Lire la suite
Identifier de façon unique et authentifier les avant d’établir des communications avec des dispositifs, des utilisatrices, des utilisateurs ou d’autres services ou applications.
Lire la suite
Annulé : Intégré au contrôle IA-09.
Lire la suite
Annulé : Intégré au contrôle IA-09.
Lire la suite
Exiger que les personnes accédant au système utilisent pour certaines situations particulières, dont notamment .
Lire la suite
Exiger la réauthentification des utilisatrices et utilisateurs lors de .
Lire la suite
a. Des utilisatrices et utilisateurs du processus de confirmation de l’identité qui ont besoin de comptes pour un accès logique aux systèmes en fonction d’exigences adéquates en matière de niveau d’assurance de l’identité comme il est précisé dans les normes et les lignes directrices applicables b. Régler les identités d’utilisatrices et utilisateu...
Lire la suite
Exiger que le processus d’enregistrement permettant de recevoir un compte pour l’accès logique comprenne une autorisation de superviseure ou superviseur ou d’autorité qui parraine.
Lire la suite
Exiger qu’une preuve d’identification d’une personne soit présentée à l’autorité d’enregistrement.
Lire la suite
Exiger que la preuve d’identité présentée soit validée et vérifiée au moyen de .
Lire la suite
Exiger que la validation et la vérification d’une preuve d’identité soient effectuées en personne auprès d’une autorité d’enregistrement désignée.
Lire la suite
Exiger que soit transmis par l’entremise d’une voie d’acheminement hors bande pour vérifier l’adresse de l’utilisatrice ou utilisateur (physique ou numérique) pour le dossier.
Lire la suite
Accepter les identités confirmées externes au .
Lire la suite
Avoir recours à des fournisseurs d’identité et à des serveurs d’autorisation pour gérer les identités, les attributs et les droits d’accès des personnes, des dispositifs et des entités qui ne sont pas des personnes (NPE pour Non-Person Entity) de manière à soutenir les décisions en matière d’authentification et d’autorisation conformément à la fai...
Lire la suite
Les clés cryptographiques qui protègent les jetons d’accès sont générées, gérées et protégées contre toute divulgation et utilisation inappropriée.
Lire la suite
La source et l’intégrité des assertions d’identité et des jetons d’accès sont vérifiées avant d’accorder l’accès au système et aux ressources d’information.
Lire la suite
Conformément à la , les assertions et les jetons d’accès sont : a. générés b. diffusés c. actualisés d. révoqués e. limités dans le temps f. limités selon le public cible
Lire la suite