MA-04 - Maintenance non locale (PaF-)
Énoncés :
a. Approuver et surveiller les activités de maintenance et de diagnostic non locales
b. Permettre l’utilisation des outils de télémaintenance et de télédiagnostic seulement si elle est conforme à sa politique et documentée dans le plan de sécurité du système
c. Utiliser une authentification robuste lors de l’établissement des sessions de maintenance non locale
d. Tenir à jour des dossiers des activités de maintenance non locale et de télédiagnostic
e. Mettre fin aux sessions et aux connexions réseau lorsque la maintenance non locale est terminée
Les activités de maintenance et de diagnostic non locales sont menées par des personnes qui communiquent à partir de réseaux externes ou internes. Les activités de maintenance et de diagnostic locales sont menées par des personnes qui se trouvent physiquement à l’emplacement du système et qui ne communiquent pas au moyen d’une connexion réseau.
Les techniques d’authentification utilisées pour établir des sessions de maintenance non locale et de télédiagnostic reflètent les exigences d’accès aux réseaux énoncées dans le contrôle IA-
02. Une authentification robuste exige des authentifiants résistant aux attaques par réinsertion et l’utilisation de l’AMF. Les authentifiants robustes comprennent l’ICP dont les certificats sont stockés dans un jeton protégé par mot de passe, une phrase passe ou des données biométriques. L’application des exigences énoncées dans le contrôle MA-04 est effectuée en partie par d’autres contrôles. Le Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information du Centre pour la cybersécurité (ITSP.30.03) donne des conseils supplémentaires sur une authentification et des authentifiants robustes.