Vous êtes sur la page 1sur 20

Rapport de vrification interne

du cadre de contrle de laccs


aux rseaux informatiques

Janvier 2010

2010 January - French - Information Technology - Security Access - FINAL.doc

SVC

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Table des matires


Contexte .........................................................................................................................3
Introduction .............................................................................................................3
Architecture du cadre de contrle de laccs aux rseaux informatiques
(diagramme 1)..........................................................................................4
Terminologie ...........................................................................................................5
Fournir des garanties..............................................................................................7
Objet de la vrification...................................................................................................7
Porte de la vrification .................................................................................................7
Approche en matire de vrification..............................................................................8
Cadre de contrle interne ...............................................................................................8
Observations, valuation et recommandations ..............................................................9
Gestion du cadre de contrle de laccs aux rseaux informatiques
(diagramme 2)........................................................................................10
Conclusion....................................................................................................................17
Aperu 17
Conclusion.............................................................................................................17
Rponse de la direction ................................................................................................18
Annexe A Critres de contrle interne ...............................................................19

Page 2 de 20

SVC

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Contexte
Introduction
Le Comit de vrification et le surintendant ont accept que linfrastructure, les applications, les
systmes et les mcanismes au moyen desquels les BSIF gre laccs ses rseaux informatiques (le
Cadre de contrle de laccs aux rseaux informatiques), ainsi que les mesures dapplication ce cadre,
soient inscrits dans le Plan de vrification interne 2009-2010 du BSIF.
Lors de la prparation de ce plan de vrification, nous avons examin les politiques, les directives et
les pratiques de scurit en insistant sur laccs linformation lectronique et sa protection, et sur les
pratiques, mesures et outils connexes 1 . En outre, nous avons rencontr le surintendant auxiliaire,
Services intgrs, et les directeurs de la Scurit et de la Division des services dinfrastructure
technologique Gestion de linformation et Technologie de linformation (GI-TI).
Comme on peut le voir au diagramme 1, larchitecture du cadre de contrle de laccs aux rseaux
informatiques, trs labore, permet den restreindre laccs aux seules personnes qui doivent pouvoir
les consulter pour effectuer leur travail. Larchitecture du cadre de contrle de laccs aux rseaux
informatiques compte deux zones de scurit distinctes : publique, rseau intgr, site de reprise
non quip, et entreposage de bandes hors site.
La zone publique est situe lextrieur du rseau intgr du BSIF. Grce Internet, les employs 2 ont
accs au rseau du BSIF laide dordinateurs portables, de blackberries et dordinateurs personnels.
Les services de la zone publique comprennent laccs au site Web public et aux bases de donnes du
BSIF, ainsi que laccs distance aux documents lectroniques, au service de courrier lectronique
externe et aux services du Rseau intgr.
Parmi les mesures de scurit utilises, mentionnons lauthentification deux facteurs (carte puce),
des pare-feu, la prvention et la dtection des intrusions, la surveillance dynamique et les appareils de
Rseau priv virtuel (les services de RPV utilisent du matriel spcial pour constituer un rseau priv
empruntant les lignes du rseau public). Les appareils de RPV offrent une connexion protge entre
deux points de TI (poste de travail serveur ou serveur serveur) en chiffrant toutes les donnes
changes au moyen de cette connexion.
La zone Rseau intgr comporte deux domaines, un pour le dveloppement et lautre pour la
production. Les employs travaillant dans les bureaux du BSIF ont accs aux services du rseau
intgr au moyen de lignes chiffres dun rseau local ou dun rseau tendu. Parmi les mesures de
scurit utilises, citons lauthentification deux facteurs (carte puce), les appareils de RPV, les
pare-feu, lautorit de certification et les profils de contrleurs et dutilisateurs, de mme que la
surveillance des incidents de scurit.

Norme oprationnelle de scurit du SCT : Gestion de la scurit des technologies de linformation (GSTI); Politique du
SCT sur la scurit du gouvernement (PSG); Objectifs de contrle de linformation et des technologies connexes (COBIT)
2
Y compris les personnes ne faisant pas partie de leffectif qui possdent une cote de scurit.

Page 3 de 20

SVC

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

Architecture du cadre de contrle de laccs aux rseaux informatiques

SVC

Diagramme 1

Page 4 de 20

SVC

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Terminologie
Composantes
physiques du cadre
de contrle de
laccs aux rseaux
informatiques

Mesure de scurit SafeNet (carte puce), larchitecture du cadre de contrle de laccs aux
rseaux informatiques, etc. Se reporter au diagramme 2, la page 9.

Biens de TI

Applications oprationnelles, infrastructure de la TI, et logiciels et matriel connexes,


appareils de TI personnels, p. ex. les blackberries, etc. Se reporter au diagramme 1, la
page 4.

BITI

Bibliothque dinfrastructure des technologies de linformation, R.-U. (normes de facto,


pratiques exemplaires pour la gestion des services de TI)

Contrle de laccs
aux rseaux
informatiques

Politiques, directives, processus, activits, mesures et outils de scurit, et de SIT lis


laccs linformation lectronique du BSIF et sa protection.

CCC

Comit consultatif du changement (fait partie du processus de gestion du changement de la


GI-TI)

COBIT

Objectifs de contrle dans les domaines de linformation et des technologies connexes (Cadre
de contrle de la gouvernance et de la gestion de la GI-TI)

COSO

Cadre du Committee Of Sponsoring Organizations de la Treadway Commission (cadre de


contrle)

DPI

Dirigeant principal de linformation, GI-TI

EMR

valuation de la menace et des risques

GCE

Groupe de la consultation et de lvaluation (fait partie du processus de gestion du


changement de la GI-TI)

GGP

Groupe de la gestion des projets (groupe charg de llaboration de systmes de GI-TI)

GI-TI

Division de la gestion de linformation / de la technologie de linformation

GSTI

Norme oprationnelle du SCT : Gestion de la scurit de la technologie de linformation

PGC

Processus de gestion du changement, processus de GI-TI pour la gestion des demandes de


changement formules par les utilisateurs. Le PGC comprend les groupes du CCC et le GCE

PSG

Politique du SCT sur la scurit du gouvernement

RACI

Modle de rles et responsabilits : personne Responsable, Avise, Consulte et Informe

RE

Rseau tendu

RL

Rseau local

RPV

Rseau priv virtuel

SafeNet

Technologie / logiciel de carte puce donnant un accs limite des ordinateurs et


linformation lectronique grce un identifiant et un mot de passe spcifiques et contrls.

SIT

Services dinfrastructure technologique, groupe des oprations de TI (GI-TI)

SS

Services de scurit (groupe de la scurit au BSIF)

Utilisateurs

Secteurs de la surveillance, de la rglementation et des Services intgrs, Division des

Page 5 de 20

SVC

(Applications)

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

rgimes de retraite et Bureau de lactuaire en chef (applications)

Page 6 de 20

SVC

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Fournir des garanties


Afin de pouvoir grer ses travaux dans un contexte complexe et en constante volution, le BSIF
labore et met en place des politiques, des directives et des processus spciaux que lon qualifie
gnralement de cadres de contrle interne . Ces cadres donnent au surintendant et la haute
direction lassurance que la nature et la porte des tches requises pour mener bien les activits du
BSIF sont bien dfinies et que la cohrence et la qualit des travaux sont assures.
Ces cadres et leur application sont essentiels pour le surintendant et le Comit de vrification, car ils
leur permettent de sacquitter de leurs responsabilits aux termes de la Politique de vrification interne
du Conseil du Trsor en ce qui touche les processus de gouvernance, de contrle et de gestion des
risques du BSIF. En vertu de cette politique, les Services de vrification et de consultation doivent
procder des vrifications dassurance relativement la qualit de la conception des activits du
BSIF et des rapports intgrs connexes (structure du cadre de contrle interne) et leur
fonctionnement (lapplication des cadres pour respecter les objectifs oprationnels).

Objet de la vrification
La vrification a pour objet :

de produire une valuation du cadre de contrle interne (Cadre de contrle de laccs aux rseaux
informatiques) en vertu duquel la scurit du BSIF et linfrastructure de contrle de laccs aux
rseaux informatiques donnent un accs limit linformation lectronique et la protgent;

dvaluer la qualit et le niveau dapplication des mesures de scurit du rseau accessible au


moyen de la carte puce SafeNet;

de dterminer les possibilits damlioration, sil y a lieu.

Porte de la vrification
La vrification porte sur le Contrle de laccs aux rseaux informatiques (politiques, directives et
pratiques de scurit et de SIT associs laccs limit linformation lectronique du BSIF et sa
protection) pour lexercice 2009-2010 au mois de dcembre 2009, de mme que les amliorations en
cours au troisime trimestre de 2009-2010 et prvus. Les travaux comprendront la mise lessai des
mesures de scurit SafeNet, entre le premier trimestre de 2009 et la fin du deuxime trimestre, la fin
de septembre 2009.
Le prsent examen ne porte pas sur :

le niveau dapplication des mesures de contrle de laccs aux rseaux informatiques au BSIF,
exception faite de la rcapitulation des structures, activits, processus et outils existants et prvus
qui ont trait au contrle de laccs aux rseaux informatiques, et des tests dtaills appliqus la
scurit du rseau, comme il a t susmentionn;

larchitecture de linfrastructure technologique du BSIF, sauf si elle sapplique larchitecture du


cadre de contrle de laccs aux rseaux informatiques;

llaboration des application/systmes, sauf en ce qui touche ladministration de leur accs limit
au contrle de laccs aux rseaux informatiques;

les mesures de protection non lies la TI, notamment les locaux et installations, la classification
de linformation, et les vrifications de scurit des employeurs et des entrepreneurs.

Page 7 de 20

SVC

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Approche en matire de vrification


La vrification a t effectue conformment aux Normes internationales pour la pratique
professionnelle de la vrification interne de lInstitut des vrificateurs internes, conformment la
politique du Conseil du Trsor sur la vrification interne, pour en confirmer les constatations,
lanalyse, les observations et les recommandations.
Les travaux de vrification du contrle de laccs aux renseignements lectroniques :

examen et rcapitulation des structures, activits, processus et mesures/outils existants, en


application et prvus par rapport la structure du contrle de laccs du contrle de laccs aux
rseaux informatiques, y compris la surveillance, lanalyse, lvaluation et la dclaration en
matire de scurit, notamment le suivi par impartition du primtre de rseau et la raction aux
incidents;

examen et rcapitulation de larchitecture du cadre du contrle de laccs aux rseaux


informatiques et des structures, activits, processus et mesures/outils connexes;

examen et rcapitulation des structures, activits, processus et mesures/outils existants, en


application et prvus de lutilisation de SafeNet la grandeur du BSIF, de mme que des essais
relatifs lutilisation de SafeNet par les employs dans lexercice de leurs fonctions. Un
chantillon reprsentatif de 20 40 utilisateurs du BSIF et des services de TI sera tabli pour
examiner lutilisation de SafeNet;

entrevues avec les membres de la direction et le personnel des Services de scurit et des SIT, de
mme quun chantillon dutilisateurs des services de TI du BSIF et des services de TI.

recensement et application de pratiques et mthodes comparables relatives laccs du contrle de


laccs aux rseaux informatiques linformation lectronique, sa protection, y compris la GSTI,
la PSG, le BITI, lInstitut de la gestion de projets Manuel de connaissance de la gestion de projet,
et linformation et les valuations offertes par le biais dassociations responsables, comme
lISACA.

Cadre de contrle interne


Le cadre de contrle interne de laccs aux rseaux informatiques (lments de critres et composantes
connexes) nonc lAnnexe A Cadre de contrle interne a t utilis pour valuer la politique, les
directives, les processus, les activits, les mesures/outils de contrle interne de laccs protg la TI.
Les critres ont t labors partir de sources diverses de politique et directives de scurit et de
contrle de laccs aux rseaux informatiques, et de pratiques exemplaires 3 , aprs consultation du
directeur de la Scurit, du DPI et du directeur des Services dinfrastructure technologique, GI-TI. La
porte et la complexit du contexte de la TI au BSIF, de mme que linformation qui le caractrise et
les risques quil comporte, ont t prises en compte aux fins de llaboration des critres de contrle
interne.
Les critres de contrle interne ont t accepts par le surintendant auxiliaire, Services intgrs, aux
fins dvaluation et de rapport concernant laccs protg de la TI linformation lectronique.

Ces critres proviennent des cadres de contrle et y correspondent : COSO (Committee of Sponsoring Organizations of
Treadway Commission, GSTI (Norme oprationnelle du SCT en matire de scurit : Gestion de la scurit de la
technologie de linformation), et COBIT (Objectifs de contrle dans les domaines de linformation et des technologies
connexes).

Page 8 de 20

Bureau du surintendant des institutions financires Canada

SVC

Services de vrification et de consultation


Contrle de laccs aux rseaux informatiques

SVC

Observations, valuation et recommandations


Aperu

Notre vrification a port sur le cadre interne de gestion de laccs aux renseignements
lectroniques en date de dcembre 2009 et sur les amliorations qui ont t apportes
pendant le troisime trimestre de 2009-2010, de mme que sur lexamen de lapplication
de la mesure de scurit SafeNet (accs limit linformation de TI du BSIF) entre avril
et la fin de septembre 2009.
Les travaux ont t effectus en collaboration, car lamlioration de la TI et de la scurit
avait dj eu lieu, ou tait dj en cours pendant ces travaux. Des discussions continues
se sont droules avec le directeur des Services de linfrastructure technologique, GI-TI,
et avec les principaux employs qui tiennent jour et fournissent les services de scurit
et de contrle de laccs aux rseaux informatiques.
Nous avons scrut et examin toutes les composantes du cadre interne de gestion de
laccs aux rseaux informatiques. Pour suivre le cours des observations issues de la
vrification, veuillez consulter le Diagramme 2 Gestion du contrle de laccs aux
rseaux informatiques, qui prsente linteraction du Groupe des services de scurit et
des principaux groupes du BSIF, de mme que les cadres et activits portant sur la
gestion du contrle de laccs aux rseaux informatiques. Le cas chant, nous avons
tenu compte du nombre damliorations apportes et lances pendant notre vrification.
Ces mesures exigeront un effort de coordination cibl entre les Services de scurit et la
GI-TI, les gestionnaires axiaux et fonctionnels, et la direction.
Mme si nous avons dgag les principales composantes dun cadre de contrle interne
efficace, nous avons dcel dautres lments amliorer. Nos observations et
recommandations portent plus particulirement sur :

lofficialisation et le raffermissement des politiques et procdures inhrentes


affrentes au programme global daccs aux rseaux informatiques;

la mise au point dun processus de gestion du risque de scurit au niveau


oprationnel;
le raffermissement du contrle de laccs aux renseignements dcoulant dun
exercice de concertation de Services de scurit, de Services dinfrastructure
technologique et dautres groupes chargs de la GI-TI.

Page 9 de 20

SVC

Bureau du surintendant des institutions financires Canada


Services de vrification et conseils
Accs de la Scurit des TI linformation lectronique

Gestion du contrle de laccs aux rseaux informatiques

SVC

Diagramme 2

Page 10 de 20

SVC

lments/composantes
du contrle interne

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Observations, valuation et recommandations

Gouvernance : tablissement des objectifs et contexte oprationnel

Lobligation de rendre
compte de la
supervision existe
Les rles et
responsabilits sont
dfinis, communiqus et
compris
La politique et les
pratiques daccs
protg la TI sont
bien tablis

Recommandation
Officialiser et raffermir
les politiques et
procdures de contrle de
laccs aux rseaux
informatiques dans le
cadre dun programme
fondamental de gestion
de laccs aux rseaux
informatiques englobant
la Politique sur la scurit
du gouvernement et les
normes, directives
exigences de pratique de
GSTI.

Les groupes des Services de scurit (SS) et des Services dinfrastructure technologique
(SIT) grent et offrent des services de scurit lchelle du BSIF. Selon la Politique sur
la scurit du gouvernement (PSG) et les directives concernant la Gestion de la scurit
de la technologie de linformation (GSTI), les rles et responsabilits respectifs en
matire de contrle de laccs aux rseaux informatiques ont t tablis laide dun
modle de responsabilit conforme au RACI1 reposant sur la PSG et les directives sur la
GSTI, selon le contexte de TI du BSIF. Daprs lanalyse du RACI, les groupes respectifs
mettent en place de faon prioritaire les politiques, directives et processus oprationnels
ncessaires pour intgrer et coordonner les travaux lis au contrle de laccs aux rseaux
informatiques.
Note 1 : RACI: personne Responsable, Avise, Consulte et Informe. Une matrice RACI est un type doutil
daffectation de responsabilit qui indique le lien entre les activits et les employs. La description intgrale
de cet outil figure la rubrique Organization Charts and Position Descriptions du PMBOK (quatrime
dition) Develop Human Resource Plan process.

titre de membre du Comit consultatif du changement (CCC) et du Groupe de la


consultation et de lvaluation (GCE), les Services de scurit font partie intgrante du
processus de gestion du changement (PGC) de la GI-TI. Un de les principaux rles ce
titre consiste grer lvaluation et lacheminement des demandes de changement (DC)
au processus de changement ou dlaboration pertinent un changement standard mineur,
un changement important, un projet dlaboration de systme ou un projet oprationnel de
TI. Une DC relative llaboration dun systme ou un projet oprationnel de TI est
gre au moyen de processus distincts. Les Services de scurit sont membres signataires
de projets dlaboration de systmes en ce qui a trait la scurit et au contrle de laccs
aux rseaux informatiques. Le PGC doit informer les Services de scurit des projets
oprationnels de TI, de sorte que les besoins en matire en scurit puissent tre
dtermins ds que possible.
la suite de lexamen externe de la gouvernance de la scurit au sein du BSIF, on a
recommand de mettre sur pied une tribune de gestion de la scurit. Les Services de
scurit ont indiqu que la cration dune telle tribune est ltude. Nous appuyons
fermement cette initiative. Une tribune permet dadapter la PSG et les exigences de GSTI
en fonction des besoins du BSIF, de la structure du programme de scurit du BSIF, y
compris les exigences et mesures de scurit des applications oprationnelles, et de
llaboration de plans de scurit pour lensemble de lorganisme.
Les directives du SCT concernant la planification de la scurit, qui seront diffuses
bientt, prvoient llaboration, la mise en uvre et la tenue jour de plans de scurit
ministriels (BSIF) qui renferment des dtails sur les dcisions de gestion des risques de
scurit et qui noncent les stratgies, les buts, les objectifs, les priorits et les chances
qui permettront de resserrer la scurit au BSIF. Il est important que tous les intervenants,
secteurs et divisions participent directement llaboration et la tenue jour de
politiques, de directives et de programmes de scurit (et de contrle de laccs aux
rseaux informatiques).
Les documents de gestion de laccs aux rseaux informatiques que nous utilisons
prsentement renferment des lments de la politique, des normes et des procdures, mais
ils ne sont pas toujours complets. Par exemple, une analyse interne des lacunes de la
politique a rvl que nous avions besoin de politiques et de directives en matire de
gestion des biens, de gestion de la vulnrabilit et des incidents, de normes de scurit des
Page 11 de 20

SVC

lments/composantes
du contrle interne

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Observations, valuation et recommandations


applications, et de planification de la reprise aprs une catastrophe. La politique et les
directives en matire de gestion de laccs aux rseaux informatiques existent et sont
communiques linterne. Aucun programme essentiel de scurit (et de contrle de
laccs aux rseaux informatiques) nest li la PSG, la GSTI et aux besoins internes de
scurit lintrieur dun ensemble intgr de politiques, de directives, de processus et
doutils. dfaut dune telle structure globale, il serait difficile de savoir si les activits
courantes dcrites jusquici seront excutes de faon coordonne et consolide.
Nous recommandons au BSIF dofficialiser et de raffermir en priorit les politiques et
procdures de contrle de laccs aux rseaux informatiques lintrieur dun
programme fondamental de scurit englobant la Politique de scurit du gouvernement
et les normes, pratiques et exigences de la GSTI adaptes au contexte de TI du BSIF.

Gestion des risques

Le risque et la tolrance
au risque est conforme
aux pratiques de GRE
La dtermination des
exigences en matire de
risque de TI repose sur
lvaluation du contexte
de la TI
Les risques relatifs au
contrle de laccs aux
rseaux informatiques
sont dtects et valus,
et des contrles
dattnuation sont
effectus.

Recommandation
tablir un processus de
gestion du risque de
scurit un niveau
oprationnel qui englobe
les exigences de TI, la
dtermination et
lvaluation du risque
relatif au contrle de
laccs aux rseaux
informatiques, la gestion
et les rapports sur le
risque de scurit
conforme aux pratiques
de GRE

Au BSIF, la politique et les processus de gestion du risque global sont utiliss pour
dterminer, valuer et attnuer les risques quencourent les secteurs et des groupes. Au
Secteur des services intgrs, les risques affrents la scurit et laccs aux rseaux
informatiques sont dtermins, valus et, le cas chant, intgrs aux plans daction de la
GRE.
Mme si les risques de scurit sont intgrs aux valuations de la GRE du BSIF, il
nexiste pas de processus propre la gestion du risque de scurit pour dterminer,
valuer, attnuer et grer les risques oprationnels affrents la scurit et laccs aux
rseaux informatiques. Un processus de gestion du risque affrent la scurit tabli en
vertu de la PSG et de la GSTI, conformment la GRE, est essentiel pour la
dtermination, lvaluation des exigences en matire de scurit et le signalement des
risques affrents laccs aux rseaux informatiques aux responsables de la GRE et la
direction. Un processus de gestion des risques de ce type correspondrait aux fonctions et
processus principaux de GI-TI, notamment la gestion de portefeuille, llaboration de
systmes, les oprations de TI, les versions dapplications et de systmes, et la gestion de
la mise jour des incidents et versions/correctifs.
Les Services de scurit valuent priodiquement les risques affrents laccs aux
rseaux informatiques (vulnrabilit, menaces et risques), de mme que des rapports
destins la direction au sujet des principaux facteurs de risques et de principales sources
de proccupations. Les rsultats de ces valuations sont analyss sous langle de limpact
sur le BSIF, et des mesures et des recommandations sont proposes. Les mesures sont
places en ordre de priorit et des ressources sont dtermines. En outre, les SIT
surveillent de faon continue les contextes interne et externe, et ils excutent des
valuations quotidiennes des menaces et des risques. Le processus de partage des rsultats
de ces valuations doit tre officialis.
Les Services de scurit formulent des demandes de renseignements et assurent le suivi de
leurs valuations et des valuations des SIT au chapitre du risque des oprations de TI,
notamment le refus ventuel de service et des attaques de pntration. Il nexiste pas de
processus de rpertoriage, de suivi et de rapport pour dterminer si ces problmes de
scurit ont t abords. Ce processus de suivi des valuations et recommandations
relatives au contrle de laccs aux rseaux informatiques est essentiel pour maintenir le
contexte du contrle de laccs aux rseaux informatiques au BSIF.
Selon de rcentes valuations du contrle de laccs aux rseaux informatiques, les
risques externes sont contrls pas de rigoureux contrles primtriques. Les processus
Page 12 de 20

SVC

lments/composantes
du contrle interne

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Observations, valuation et recommandations


internes de surveillance du contrle de laccs aux rseaux informatiques sont toutefois
moins stricts. Il sagit de processus informels et de pratiques non conformes se rapportant
aux versions et correctifs de scurit, la vulnrabilit et la gestion des incidents. Les
SIT ont amorc le processus de mise en uvre des correctifs de scurit des systmes
oprationnels.
Paralllement notre recommandation pour que le BSIF officialise et raffermisse les
politiques et procdures de contrle de laccs aux rseaux informatiques afin de les
intgrer un programme fondamental de scurit relevant de la section Gouvernance et
responsabilit, nous recommandons aux Services de scurit dtablir un processus de
gestion du risque de scurit pour enchsser la gestion du risque de TI et les politiques et
mesures sous-jacentes de scurit et de contrle de laccs aux rseaux informatiques
dans un programme de contrle de laccs aux rseaux informatiques. Le processus de
gestion du risque de scurit fournirait de prcieux renseignements et des valuations du
contrle de laccs aux rseaux informatiques servant dterminer la tolrance globale du
BSIF au risque, la structure du contexte de la TI au BSIF, de mme que celle des
politiques et mesures de scurit des applications oprationnelles.
Nous recommandons ltablissement dun processus de gestion du risque de scurit au
niveau oprationnel qui intgre les mesures de scurit du contrle de laccs aux
rseaux informatiques, lidentification et lvaluation des risques auxquels le contrle de
laccs aux renseignements lectronique est expos, et la gestion et le signalement du
risque de scurit, conformment aux pratiques de GRE.

Processus de contrle

La planification et les
ressources de scurit
englobent les mesures
de scurit du contrle
de laccs aux rseaux
informatiques
tablissement dun
programme de
protection qui
comprend les mesures
du contrle de laccs
aux rseaux
informatiques
Il existe une fonction de
gestion des incidents
Llaboration des
systmes et la gestion
du changement
renferment les
exigences de contrle
de laccs aux rseaux
informatiques
La planification de la
continuit et de la
reprise renferment les

La norme de gestion du contrle de laccs aux rseaux informatiques (GSTI), qui relve
du SCT, invite spcifiquement les ministres et organismes adopter une stratgie de
dfense active qui comprend des activits de prvention, de dtection, de raction et de
reprise. Il existe un programme de protection de la scurit au BSIF, ainsi quune
architecture solide daccs aux rseaux informatiques, (Diagramme 1 Architecture du
cadre du contrle de laccs aux rseaux informatiques). Cette architecture prvoit laccs
limit linformation lectronique du BSIF grce des mesures de scurit qui englobent
lauthentification deux facteurs dans le contexte interne de la TI au BSIF (rseau
intgr), les communications chiffres du rseau priv virtuel, les pare-feu, lautorisation
de certification et les privilges daccs, de mme que le chiffrement complet des donnes
sur ordinateurs personnels et portables. Des mesures actives de surveillance des risques et
de sauvegarde sont en place. Le personnel responsable de la TI dispose de deux comptes
daccs, un compte utilisateurs pour les tches administratives normales et un compte de
surveillance et dadministration distinct pour les tches oprationnelles.
Le BSIF a mis en place nombre de composantes dun cadre de procdure de la scurit.
Ce cadre est toutefois informel et de porte limite, et les travaux des Services de scurit
et des SIT ne sont pas bien intgrs pour constituer une architecture du cadre de contrle
de laccs aux rseaux informatiques. Par exemple, mme si le rseau est surveill par le
personnel de la TI, linformation, les enjeux et les valuations touchant la scurit sont
transmis de faon informelle aux Services de scurit. Daprs le RACI, les groupes
mettent en place des politiques, des directives et des processus oprationnels sous-jacents
qui rpartissent les rles et responsabilit affrentes au contrle de laccs aux rseaux
informatiques entre les deux groupes. Les critres dvaluation du contrle de laccs aux
rseaux informatiques et linformation transmise aux Services de scurit au sujet des
Page 13 de 20

SVC

lments/composantes
du contrle interne
exigences de contrle
de laccs aux rseaux
informatiques

Recommandation
Raffermir le cadre de
procdure du contrle de
laccs aux rseaux
informatiques pour y
intgrer des procdures
concernant la gestion des
incidents, les mises jour
des version et des
correctifs, la certification
et laccrditation de la
technologie, et la
planification de la
continuit et de la reprise,
de mme que la
planification connexe de
la scurit et des
ressources

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Observations, valuation et recommandations


enjeux et des valuations touchant la contrle de laccs aux rseaux informatiques sont
mis au point par les deux groupes qui uvrent cte cte.
Une nouvelle politique anticipe du SCT sur la planification de la scurit insiste sur le
regroupement de toutes les composantes de la scurit (y compris la contrle de laccs
aux rseaux informatiques) dans un plan de scurit global aux fins de la planification
intgre et de la dtermination des ressources. Ce plan engloberait des politiques, des
exigences de scurit, des directives et un soutien administratif et de la TI, la
sensibilisation des employs et la formation technique applique la scurit globale et
sa composante, la contrle de laccs aux rseaux informatiques. Il faudra intgrer les
plans de scurit aux plans oprationnels et de TI, et aux activits et aux fonctions
dappui. Ltablissement dun processus de gestion du risque de scurit (se reporter la
section Gestion du risque des observations) et la mise au point dun cadre de
procdure de la scurit sont des lments essentiels pour favoriser un tel effort de
planification. titre de membre du groupe charg de llaboration au SCT, les Services
de scurit connaissent dj ces exigences et ils sont donc bien placs pour concevoir et
mettre en uvre la nouvelle politique de planification. Le BSIF prvoit dappliquer la
nouvelle politique en 2010-2011.
Une composante cl de la mise en place dun programme de gestion de la scurit,
nonce la section Gouvernance et responsabilit, consiste dterminer la proprit et la
responsabilit des biens de TI (applications oprationnelles, infrastructure de TI, appareils
personnels de TI, notamment des blackberries, etc.). Puisque quenviron la moiti
seulement des applications oprationnelles ont un propritaire dsign , il est difficile
de savoir si la politique et les mesures de scurit satisfont aux besoins oprationnels et
sil y a juste quilibre entre le risque de TI et les besoins oprationnels. La participation
insuffisante des propritaires la politique de TI, la tolrance de la TI au risque et la
slection des mesures de scurit pourrait influer sur la conception des applications
oprationnelles et la convivialit des mesures.
En vertu de linitiative RACI, les Services de scurit sont actuellement le propritaire
dsign des biens de contrle de laccs aux rseaux informatiques du BSIF, notamment
la mesure de scurit de carte puce SafeNet, et la structure de larchitecture du cadre de
contrle de laccs aux rseaux informatiques. titre de propritaire de linfrastructure de
TI, les SIT offriront un soutien technique en matire de conception de la scurit, de
mme que des services lis aux activits de TI.
Par exemple, la carte puce constitue la pierre angulaire de larchitecture du cadre du
contrle de laccs aux rseaux informatiques du BSIF, au sein de laquelle laccs
linformation lectronique se retreint aux personnes autorises selon un systme
dauthentification deux facteurs (une carte puce (loutil) et un mot de passe (le
savoir)). Les composantes cls de cette mesure de scurit sont en place. Toutefois, elles
doivent tre fusionnes sur le plan de la surveillance et des noncs de responsabilit, de
politique et dorientation manant de la gestion, des exigences des utilisateurs et en
matire de TI, et de la sensibilisation et de la formation technique des employs.
Dautres composantes essentielles dun programme de gestion de la scurit sont la
gestion du changement, llaboration de systmes et le passage de logiciels au stade de
production (gestion de la transition). Lun des dfis de la scurit consiste dfinir son rle
et ses responsabilits dans la gestion de la transition (passage des applications et systmes
au stade de la production de la TI). En se joignant au CCC et au GCE GI-TI (se reporter
la section Gouvernance et responsabilit des observations), les Services de scurit
Page 14 de 20

SVC

lments/composantes
du contrle interne

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Observations, valuation et recommandations


participent maintenant directement la discussion portant sur la scurit et la contrle de
laccs aux rseaux informatiques qui relvent dune demande de changement de la part
des utilisateurs. Ainsi, les exigences du contrle de laccs aux rseaux informatiques, les
risques et les exigences de scurit sont identifis et pris en compte dans un contexte
proactif. Mme si les Services de scurit participent lexamen et la diffusion
dapplications nouvelles et de changement dapplications existantes, le processus de
gestion de la transition de la GI-TI ne rclame pas un examen officiel et une approbation
dfinitive par les Services de scurit avant que les applications et les systmes passent au
stade de la production dans le cadre dune vrification de certification et daccrditation.
Cette vrification doit tre intgre aux listes de vrification et aux pratiques actuelles de
gestion de la transition.
En vertu de linitiative RACI, le rle des Services de scurit aux fins de lvaluation de
limpact et de la priorit des mises jour du contrle de laccs aux rseaux informatiques
(correctifs) a t intgr la gestion des versions et des correctifs. Un ordre de priorit des
correctifs de scurit est tabli et des plans de mise en uvre sont appliqus.
La planification de la continuit des activits (PCA) est reconnue comme prioritaire. La
mise jour du plan de continuit des activits et du plan de reprise des activits (PRA) est
en cours. Il est ncessaire dtablir un processus officiel raffermi de PCA afin de
lintgrer la planification de la reprise des activits.
Nous recommandons de raffermir le contrle de laccs aux rseaux informatiques en y
intgrant des procdures de gestion des incidents, des mises jour des version et des
correctifs, la certification et laccrditation de la technologie, et la planification de la
continuit et de la reprise, de mme que la planification connexe de la scurit et des
ressources.

Gouvernance : Information, communication et signalement

Linformation sur
laccs aux rseaux
informatiques est :
dfinie, recueillie,
value et intgre
des rapports
communique de
faon continue entre
les autorits de la
scurit et les
intervenants
intgre la
sensibilisation la
scurit des employs
et la formation du
personnel de la
scurit et de la TI

Recommandations
Raffermir le cadre de
procdure du contrle de

Comme on la vu la section Gestion des risques, les Services de scurit valuent les
menaces et les risques et les SIT surveillent en permanence les contextes interne et
externe de la TI. Linformation et les valuations sont partages de faon informelle et
officieuse. Par consquent, les rapports concernant la scurit ou la constance de la
communication de linformation, de ses destinataires et des chances ne sont pas dposs
de faon routinire. Il est essentiel que linformation de scurit exacte soit communique
aux bons intervenants au bon moment.
Jusqu ce que les principaux processus oprationnels et de scurit, notamment la gestion
des incidents, la gestion des versions et des correctifs et la diffusion des logiciels soient
compltement tablis, linformation sur la contrle de laccs aux rseaux informatiques
ne sera pas divulgue aux fins des valuations et des rapports priodiques. Les rapports
sur les risques lis au contrle de laccs aux rseaux informatiques, sur la vulnrabilit,
sur les incidents, sur les vnements et sur les mesures dattnuation destines aux
personnes comptentes et qui doivent prendre des mesures, ne sont pas garantis; il nest
pas non plus certain si linformation sera reue temps.
Il existe des pratiques oprationnelles informelles en matire de contrle de laccs aux
rseaux informatiques aux Services de scurit et aux SIT dans les domaines de lEMR,
de la surveillance rseau et de la gestion des versions et des correctifs. En outre, on note
des lacunes su plan des directives et procdures de contrle de laccs aux rseaux
informatiques, comme il est prcis la section Processus de contrle. En vertu de
Page 15 de 20

SVC

lments/composantes
du contrle interne
laccs aux rseaux
informatiques qui
englobe des procdures
touchant linformation, la
communication et les
rapports de contrle de
laccs aux rseaux
informatiques.
Officialiser et raffermir
les politiques et
procdures de contrle de
laccs aux rseaux
informatiques pour les
intgrer un programme
fondamental de scurit
prvoyant la formation
la sensibilisation des
employs et la formation
du personnel de la
scurit et de la GI-TI.

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Observations, valuation et recommandations


linitiative RACI, les Services de scurit et les SIT saffairent classer ces lacunes en
donnant la priorit la dfinition de linformation sur la contrle de laccs aux rseaux
informatiques, et la nature, la porte et la prsentation des rapports sur la contrle de
laccs aux rseaux informatiques, y compris la transmission des questions de contrle de
laccs aux rseaux informatiques la haute direction. Il importe que ces amliorations
soient apportes au cadre de gestion de la scurit de laccs aux rseaux informatiques.
Les entrevues rvlent que la politique et les exigences de scurit, en particulier du
contrle de laccs aux rseaux informatiques, ne sont pas toujours bien communiques.
Les entrevues avec les utilisateurs de la carte puce SafeNet indiquent une variation
considrable de la connaissance des mesures de scurit observer, de limportance de
ranger la carte en lieu sr lorsquils sabsentent de leur poste de travail et des
consquences que pourrait devoir essuyer les BSIF si une carte devait tre utilise
mauvais escient.
En 2009, les Services de scurit ont appliqu un programme de sensibilisation destin
tous les employs. Tous les employs devraient suivre une sance de sensibilisation la
scurit informatique dans le cadre dun programme global de formation en gestion de
linformation lectronique, de mme que des sances sur leurs rles et responsabilits au
titre de laccs aux rseaux informatiques et de lutilisation de SafeNet, des portables, des
blackberries, du courrier lectronique et des rseaux.
Du point de vue technique et du contrle de laccs aux rseaux informatiques, nous
encourageons la formation interdisciplinaire, de sorte que les analystes de laccs aux
rseaux informatiques soient laise avec le BITI et que les analystes de la TI soient
laise avec le contrle de laccs aux rseaux informatiques et les exigences connexes de
la GSTI en matire de scurit. Il est essentiel que les Services de scurit et le personnel
de la GI-TI partagent une mme vision.
Nous recommandons de raffermir le contrle de laccs aux rseaux informatiques qui
englobe des procdures touchant linformation, la communication et les rapports de
contrle de laccs aux rseaux informatiques.
Nous recommandons dofficialiser et de raffermir les politiques et procdures daccs aux
rseaux informatiques pour les intgrer un programme global de scurit prvoyant la
formation la sensibilisation des employs et la formation du personnel de la scurit et
de la GI-TI.

Page 16 de 20

Bureau du surintendant des institutions financires Canada

SVC

Services de vrification et de consultation


Contrle de laccs aux rseaux informatiques

SVC

Conclusion
Aperu
Notre vrification a port sur le contrle de laccs aux rseaux informatiques (dcembre 2009), sur les
amliorations qui lui ont t apportes pendant le troisime trimestre de 2009-2010, et sur la carte puce
SafeNet (accs restreint linformation du BSIF sur la TI) pour la priode comprise entre avril 2009 et la fin
de septembre 2009.
Les vrifications ont t effectues en collaboration, y compris la collecte des renseignements et les
valuations, les entrevues auprs des cadres et du personnel des Services de scurit et des Services
dinfrastructure technologique, GI-TI, et lutilisation de SafeNet dans lensemble du BSIF. Nous avons
constat un engagement global et concert envers ltablissement dun vaste cadre de contrle interne de
laccs aux rseaux informatiques.
Conclusion
Daprs notre valuation du contrle de laccs aux rseaux informatiques, nous avons conclu
que :
Bien des composantes du cadre de contrle interne sont en place; toutefois,
lamlioration dlments cls simpose. Le BSIF a lanc des initiatives et pris des
mesures en vue dtablir un vaste cadre de contrle interne de laccs aux rseaux
informatiques. Nous reconnaissons les efforts dploys cette fin.
Pour apporter les amliorations ncessaires, il est ncessaire de compter sur la
participation des gestionnaires et de la direction dans lensemble du BSIF, car les
amliorations influent sur tous les secteurs et divisions.
Un effort cibl devra tre dploy pour :

officialiser et raffermir les politiques et procdures de contrle de laccs aux


rseaux informatiques dans le cadre dun programme global daccs aux rseaux
informatiques;

tablir un processus de gestion des risques de scurit au niveau oprationnel,


conformment aux pratiques de GRE;
raffermir les procdures inhrentes au contrle de laccs aux rseaux
informatiques entre les Services de scurit, le Services de linfrastructure
technologique et dautres groupes de la GI-TI.

Lquipe charge de la vrification tient souligner la qualit des changes et de lappui


quelle a reu durant cet exercice.

_____________________________
Directeur principal,
Services de vrification et de consultation

_______________________________
Date

Page 17 de 20

SVC

Bureau du surintendant des institutions financires Canada


Services de vrification et de consultation
Contrle de laccs aux rseaux informatiques

SVC

Rponse de la direction
Les Services de scurit et les SIT estiment tous deux que cette vrification a contribu positivement nos
mandats. Nous remercions lquipe charge de la vrification de son approche de collaboration et de la
rigueur dont elle a fait preuve. Nous sommes entirement daccord avec les constatations issues de cet
exercice. Elles attestent fidlement des progrs raliss jusqu prsent et du chemin quil nous reste
parcourir. Bien quils soient dores et dj encadrs par de solides mcanismes et protocoles de protection, la
direction reconnat que certaines amliorations devront tre apportes au cadre interne de contrle de laccs
ses rseaux informatiques.
Comme nous lavons vu ici et en tmoigne le diagramme 1, larchitecture du cadre de contrle de laccs
aux rseaux informatiques du BSIF est trs labore. Elle procde de mesures de scurit, telles que le
contrle en deux volets de lidentit de lutilisateur (c.--d. la carte puce SafeNet) et le chiffrement
lectronique des communications et de la totalit des donnes qui se trouvent dans les ordinateurs de bureau
et les portables pour restreindre laccs aux renseignements lectroniques. Cest dailleurs ce que confirment
des valuations indpendantes des menaces et des risques, le programme de surveillance continue des
rseaux informatiques du BSIF et nos valuations quotidiennes des risques et de la vulnrabilit. la
lumire de ce qui prcde et du fait qu ce que nous sachions, personne ne soit parvenu consulter nos
renseignements lectroniques sans autorisation ce jour, la direction estime que les mesures de scurit
entourant ses rseaux informatiques sont efficaces.
Nous notons galement que les recommandations qui se trouvent dans ce rapport font tat des dfis qui
attendent le BSIF au chapitre du raffermissement du cadre de contrle interne de laccs aux rseaux
informatiques. Nombre dinitiatives sont dj en cours pour relever ces dfis. Cest dailleurs dans cette
dmarche que sinscrit notre groupe de travail sur le perfectionnement de la matrice RACI et lamlioration
du cadre de contrle interne partir de ses composantes actuelles.
Nous nous engageons tablir une approche quilibre pour raffermir le programme de scurit du BSIF,
selon un niveau de risque acceptable, de sorte que notre organisme puisse devenir un modle defficience et
defficacit pour les autres organismes fdraux. Toutes les recommandations comprises dans le rapport
seront prises en compte dans les quatorze mois qui nous sparent de la fin de lexercice 2010-2011.

Page 18 de 20

Bureau du surintendant des institutions financires Canada

SVC

Services de vrification et de consultation


Contrle de laccs aux rseaux informatiques

SVC

Annexe A Critres de contrle interne


Critres de contrle interne
(utiliss pour valuer la vrification)
lments
Gouvernance :
tablissement des
objectifs et du
contexte
oprationnel

Gestion des
risques

Processus de
contrle

Composantes

Les responsabilits en matire de gouvernance, dobjectifs et de supervision, de mme


que les structures organisationnelles, existent dj au BSIF.

Les rles et responsabilits conformes aux comptences sous-jacentes, et les


interactions des intervenants (haute direction, GRE, secteurs/divisions, vrification et
examen, et ceux qui fournissent et appuient les services de scurit) sont dfinis,
communiqus et compris.

Les politiques et pratiques de scurit au BSIF renferment une politique sur la scurit
du gouvernement (PSG), et des normes sur la gestion de la scurit de la technologie
de linformation (GSTI) adaptes pour tenir compte de la situation du BSIF.

La politique et les directives de scurit en place prvoient laccs limit


linformation lectronique et la protection de cette dernire (dfinie, documente et
communique); ces instruments sont examins et modifis au besoin, daprs la PSG,
les exigences et les normes de scurit sur la GSTI.

La politique et les directives de scurit portant sur linformation lectronique


correspondent bien et appuient la mise en uvre de plans et priorits intgrs

Les risques internes et externes relatifs laccs aux rseaux informatiques et leur
protection sont dtermins, valus, attnus et intgrs la politique et aux directives
de scurit.

La dtermination des exigences en matire de scurit et de TI, et le choix, la


vrification et la mise en uvre de mesures et doutils de scurit reposent sur
lidentification et lvaluation des risques.

Le contexte interne et externe de la TI est continuellement surveill et valu pour


dtecter les menaces et la vulnrabilit, et il est intgr la gestion du risque de
scurit.

La gestion du risque au BSIF et les directives touchant la tolrance au risque sont


intgres la gestion du risque de scurit.

La planification et les ressources de scurit la grandeur du BSIF renferment des


exigences pour donner la scurit laccs linformation lectronique et en assurer
la protection.

Il existe un programme de protection de la scurit qui renferme la surveillance et


lappui des mesures et outils de scurit, notamment des cartes puce, des pare-feu, le
chiffrement, la scurit des applications, et la protection antivirus et contre les codes
malveillants, lautovaluation et les vrifications indpendantes de la scurit, le
contrle de laccs et les mesures de scurit physique.

Il existe des mesures de gestion des incidents servant dtecter et grer les incidents
de scurit de TI qui donnent accs aux mesures de scurit, les modifient, les
dsorganisent ou les contournent.

Page 19 de 20

Bureau du surintendant des institutions financires Canada

SVC

Gouvernance :
Information,
communications et
rapports

Services de vrification et de consultation


Contrle de laccs aux rseaux informatiques

SVC

Les exigences de scurit sont intgres llaboration des systmes et couvrent le


cycle de vie des applications et des systmes, ou des services.

La planification continue de la reprise et les plans comprennent les exigences pour


donner la scurit laccs linformation lectronique et en assurer la protection.

Linformation sur la scurit touchant laccs linformation lectronique et sa


protection est dfinie, recueillie, value et intgre dans la gestion, la scurit et les
rapports sur les activits.

Linformation sur la scurit traitant de la surveillance, les valuations des risques et


de la vulnrabilit, la gestion des incidents et les mesures dattnuation sont
communiques de faon continue aux services de scurit et aux intervenants dune
manire conforme aux obligations respectives en matire de gouvernance et de
supervision.

La sensibilisation et la formation des employs (et des intervenants du domaine de la


scurit) en matire de scurit sont dtermines, tablies et communiques.

Page 20 de 20