Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

IA-02(13) - Authentification hors bande   (PcE-)


Énoncés :

Mettre en oeuvre les mécanismes d’authentification hors bande suivants en vertu des [Affectation : conditions définies par l’organisation] : [Affectation : authentification hors bande définie par l’organisation].

Paramètres :

Responsable : Aucun

Discussion :

Par authentification hors bande, on entend l’utilisation de deux chemins de communication distincts pour identifier et authentifier les utilisatrices et utilisateurs ou les dispositifs auprès d’un système d’information. Le premier chemin (c’est-à-dire le chemin en bande) sert à identifier et authentifier les utilisatrices et utilisateurs ou les dispositifs, et est généralement le chemin par lequel est transmise l’information. Le deuxième chemin (c’est-à-dire le chemin hors bande) sert à vérifier l’authentification de manière indépendante et à demander une action. Par exemple, une utilisatrice ou un utilisateur est authentifié au moyen d’un ordinateur portatif auprès d’un serveur à distance auquel l’utilisateur veut accéder et auquel il transmet une demande d’action en employant le même chemin de communication. Le serveur communique ensuite avec l’utilisatrice ou utilisateur au moyen de son téléphone cellulaire afin de confirmer que l’action demandée provenait de l’utilisateur. L’utilisatrice ou utilisateur peut confirmer l’action demandée directement à la personne l’ayant appelé, ou il peut fournir un code d’authentification au téléphone. Ce type d’authentification hors bande peut être utilisé pour atténuer les attaques par interception réelles ou soupçonnées. Les conditions ou critères d’activation peuvent inclure des activités suspectes, de nouveaux indicateurs de menace, des niveaux de menace élevés, l’incidence d’une divulgation ou le niveau de classification de l’information transmise par les transactions.