Norme de sécurité d'authentification

Date de publication originale - 2 janvier 2019

Aperçu

Cette norme établit les exigences minimales relatives à l’authentification pour les systèmes et applications informatiques des organismes participants.

But

L'État de l'Iowa conserve diverses données et informations dans ses systèmes informatiques, notamment des informations confidentielles, des informations personnelles identifiables et d'autres informations sensibles ou réglementées. Afin de protéger ces données, informations et systèmes, il est nécessaire d'authentifier correctement les personnes avant de leur accorder l'accès à ces systèmes et applications. Cela garantit que ces personnes sont bien les personnes autorisées à accéder aux systèmes et applications de l'État, ainsi qu'aux données et informations stockées, traitées et consultées par leur intermédiaire.

Portée/Application

La présente Norme s'applique à tous les organismes participants et à tout personnel de l'État concerné. Les organismes non participants sont encouragés à se conformer à la présente Norme et aux autres documents de gouvernance des TI d'entreprise. La présente Norme est réputée adoptée par tous les organismes participants. Les organismes participants peuvent adopter des documents de gouvernance complétant la présente Norme, sans toutefois la diminuer. En cas de conflit ou d'incohérence entre la présente Norme et un document de gouvernance adopté par un organisme participant, la présente Norme prévaut.

Définitions

Les termes commençant par une majuscule et non définis dans le présent document ont la même signification que le terme défini correspondant dans les sources suivantes, telles que modifiées périodiquement, selon l'ordre de priorité suivant : chapitre 8B du Code de l'Iowa, chapitre 129 du Code administratif de l'Iowa et taxonomie des documents de gouvernance des technologies de l'information (la « taxonomie »). Outre les autres termes spécifiquement définis ailleurs dans la présente norme, certains termes utilisés dans la présente norme sont définis comme suit :

• « Compte(s) administrateur » désigne un compte doté de privilèges complets et élevés sur un ordinateur, un appareil, un système ou une application.
• « Authentification » désigne le processus d’établissement de la confiance dans l’identité des utilisateurs des systèmes d’information par l’une des méthodes suivantes :
  • Quelque chose que l’utilisateur connaît (par exemple, un mot de passe) ;
  • Quelque chose que l'utilisateur possède (par exemple, un téléphone) ; ou
  • Quelque chose que l'utilisateur est (par exemple, une empreinte digitale).
    Collectivement appelés « Méthodes ».
• « Certificat(s) numérique(s) » désigne un jeton logiciel contenant la clé privée de l'utilisateur et les contrôles de sécurité de l'organisation. Tout échange via Internet est considéré comme distant.
• « Authentification multifacteur » désigne l'authentification utilisant deux méthodes ou plus, par exemple l'authentification à deux facteurs de Google.
• « À distance » désigne un échange d'informations entre des appareils connectés à un réseau, lorsque les informations ne peuvent être protégées de manière fiable de bout en bout par les contrôles de sécurité d'une seule organisation. Tout échange via Internet est considéré comme à distance.
• « Compte(s) système » désigne un compte qui permet la connexion directe de deux ou plusieurs systèmes ou applications informatiques dans le but de partager des données et d’autres ressources d’information.
• « Compte(s) utilisateur » désigne un compte avec des privilèges limités sur un ordinateur/appareil, un système ou une application.

Éléments

1. Partage/Affichage

• Les comptes d’utilisateurs doivent être attribués à une seule personne, et non à un groupe ou à une entité.
• Les informations d'authentification, y compris, mais sans s'y limiter, les mots de passe, ne doivent pas être partagées avec d'autres membres du personnel de l'État (y compris, mais sans s'y limiter, les collègues, les responsables ou le personnel du service d'assistance), le personnel ou tout autre tiers.
• Les informations d'authentification, y compris, mais sans s'y limiter, les mots de passe, pour les comptes d'utilisateurs ne doivent pas être affichées ouvertement, et les systèmes et applications doivent être configurés pour masquer les mots de passe lors de la saisie.

2. Noms d'utilisateur/Mots de passe

• Les mots de passe administratifs et initiaux par défaut pour tous les ordinateurs/appareils, systèmes et applications doivent être modifiés lors de la configuration/utilisation initiale.
• Les numéros de sécurité sociale ou autres numéros d’identification similaires ne doivent pas être utilisés comme identifiant d’utilisateur ou mot de passe.
• Les mots de passe doivent être :
  • Au moins huit (8) caractères pour les comptes d'utilisateur (sauf pour les appareils mobiles, voir Enterprise Mobile Device Security Standard).
  • Au moins dix (10) caractères pour les comptes avec des privilèges élevés, tels que les comptes administrateur ou les comptes système.
  • Composé d'un mélange de chiffres, de lettres majuscules et minuscules, avec au moins un caractère spécial.
• Les mots de passe NE DOIVENT PAS être :
  • Composé d'une seule instance d'un mot du dictionnaire. La concaténation de plusieurs mots du dictionnaire (trois (3) ou plus recommandés) est acceptable.
  • Constitué ou incluant, en tout ou en partie, le nom d'utilisateur ou le nom d'utilisateur/identifiant de connexion d'un utilisateur.
  • Le même mot de passe est utilisé par l'utilisateur sur tous les systèmes/applications personnels (par exemple, services bancaires, achats, réseaux sociaux).
  • Affiché lors de la saisie.
• Modifications de mot de passe.
  • Modifications du mot de passe : les mots de passe doivent être modifiés chaque fois que l'utilisateur a des raisons de croire que son mot de passe a été compromis.
    Par exemple, si :
    • L'utilisateur, que ce soit dans le cadre de son travail ou dans sa vie personnelle, a récemment été victime d'une attaque de phishing ou d'un autre cyberévénement ;
    • L'utilisateur a perdu un appareil, qu'il soit délivré par l'État ou personnel, sur lequel son mot de passe ou d'autres mots de passe similaires étaient stockés, ou qui contenait des informations qui pourraient autrement être utilisées pour discerner un mot de passe ;
    • Le mot de passe a été ou peut raisonnablement avoir été volé.
  • Comptes système et administrateur. Les mots de passe des comptes système et administrateur doivent être modifiés au moins tous les quatre-vingt-dix (90) jours.
  • Réutilisation. Si un mot de passe est modifié, le nouveau mot de passe doit être sensiblement différent des six (6) mots de passe précédents utilisés pour ce compte.

3. Authentification multifacteur

• L'authentification multifacteur doit être utilisée pour les connexions réseau à distance (par exemple, VPN ou bureau à distance) et les tâches d'administrateur à distance.
• L'authentification multifacteur doit être utilisée pour tous les comptes de messagerie basés sur le cloud, car elle concerne tous les utilisateurs disposant d'un téléphone portable délivré par l'État.
• L'authentification multifacteur doit inclure un identifiant utilisateur et un mot de passe/code PIN ainsi qu'un ou plusieurs des éléments suivants :
  • Certificat numérique;
  • Jeton/Carte à puce ;
  • Biométrie; ou
  • Code d'autorisation à usage unique (par exemple, codes pré-imprimés, codes envoyés par SMS, Google 2-step, e-mail ou appel téléphonique).

4. Cryptage

Les mots de passe et les informations de récupération de mot de passe doivent être cryptés au repos et en transit à l'intérieur et à l'extérieur de l'agence participante.

5. Tentatives de connexion infructueuses

Les comptes utilisateurs et administrateurs seront verrouillés après cinq (5) tentatives de connexion infructueuses consécutives. Ces comptes resteront verrouillés jusqu'à leur réinitialisation par une personne autorisée via un compte administrateur.

6. Réinitialisation/récupération du compte

Avant qu'un administrateur puisse réinitialiser/récupérer un compte/mot de passe au nom d'un utilisateur ou d'un autre administrateur, l'utilisateur ou l'administrateur pour lequel la récupération/réinitialisation du compte est demandée doit être vérifié comme étant la personne autorisée à accéder/utiliser ce compte.

• Les administrateurs de compte ne doivent PAS demander les informations suivantes comme informations de vérification :
  • Numéro de sécurité sociale.
  • Numéro d'identification de l'employé.
  • Le nom de jeune fille de la mère ou les réponses à des questions personnelles, telles que « quelle était votre première voiture ? », réponses qui peuvent être facilement trouvées via les réseaux sociaux ou l'ingénierie sociale.
• Les administrateurs de compte peuvent demander et confirmer les éléments suivants ou déployer les méthodes suivantes pour vérifier l'identité d'un utilisateur. Ils doivent utiliser au moins deux (2) méthodes de vérification, notamment, à titre d'exemple uniquement :
  • Demander à l'utilisateur d'envoyer un message texte à partir d'un téléphone portable fourni par l'État et mis à disposition de cet utilisateur spécifique ;
  • Demander à l'utilisateur de passer un appel à partir d'un téléphone fourni par l'État et mis à disposition de cet utilisateur spécifique ;
  • Demander à l'utilisateur d'envoyer un courrier électronique à partir d'un compte de messagerie électronique émis par l'État et fourni à cet utilisateur spécifique ;
  • Demander à l'utilisateur que son superviseur/gestionnaire effectue l'une des actions susmentionnées et, par cette communication, confirmer l'identité de l'utilisateur à l'origine de la demande ;
  • Demandez à l'utilisateur de fournir une réponse à un secret de recherche (quelque chose qu'un utilisateur possède) précédemment distribué à l'utilisateur.

7. Formation

Le personnel de l'État, y compris, mais sans s'y limiter, les directeurs, les dirigeants, les employés, les stagiaires et les membres du conseil d'administration et des commissions, ainsi que le personnel du fournisseur, doivent recevoir une formation de sensibilisation à la sécurité couvrant les mots de passe, l'ingénierie sociale/le phishing, les menaces de logiciels malveillants et le signalement des incidents.

8. Stockage

• Les cartes à puce et les jetons ne doivent pas être stockés avec l'ordinateur/l'appareil mobile correspondant auquel ils déverrouillent/permettent l'accès.
• Les jetons/cartes à puce doivent être sécurisés lorsqu'ils ne sont pas utilisés
• À l'exception des informations d'authentification du compte administrateur d'urgence sur papier, qui doivent être stockées dans une zone verrouillée/sécurisée et réservées aux personnes autorisées, les informations d'authentification ne doivent pas être écrites.
• Les utilisateurs ne doivent pas utiliser la fonction « mémoriser le mot de passe » ou toute autre fonction similaire dans un navigateur Web ou tout autre système ou application.
• Les utilisateurs ne doivent pas utiliser de « gestionnaire de mots de passe », de « portefeuille de mots de passe » ou d’autres logiciels ou applications similaires, à moins que ces logiciels n’aient été pré-approuvés par le Département de la gestion, Division des technologies de l’information (DoIT) pour être utilisés par les agences participantes.

9. Cookies

Dans la mesure du possible, les cookies doivent être configurés pour expirer.

10. Désactivation des comptes

Les comptes d'utilisateur et les comptes d'administrateur doivent être désactivés lorsque :

• L'utilisateur quitte son emploi ou a été placé en congé administratif.
• Les comptes sont inactifs depuis plus de quatre-vingt-dix (90) jours.

11. Délai d'inactivité

• Les comptes d'utilisateur expireront après quinze (15) minutes d'inactivité, obligeant l'utilisateur à se réauthentifier pour accéder au compte.
• Les comptes d'administrateur expireront après cinq (5) minutes d'inactivité, obligeant l'utilisateur à réauthentifier son mot de passe pour accéder au compte.

12. Journalisation

La journalisation des tentatives d'authentification, qu'elles soient réussies ou échouées, doit être conforme à la norme de journalisation d'entreprise.

13. Fournisseurs/Entrepreneurs

Les agences faisant appel à des sous-traitants ou à du personnel de fournisseurs doivent veiller au respect des obligations contractuelles standard de ces sous-traitants ou de ce personnel de fournisseurs.

Amendement

La présente norme sera révisée au moins tous les deux (2) ans et modifiée si nécessaire. Elle peut être modifiée à la seule discrétion du DSI, en tenant compte des avis et contributions du TLG et de ses différents sous-comités.

Application de la loi

La présente norme est appliquée conformément aux règles 11-25.11 et 11-117.11 du Code administratif de l'Iowa et aux articles 8B.21(1)(d), (f) et (h), 8B.23(1), 8B.23(1) et 8B.24(1) du Code de l'Iowa, selon le cas. En cas de constat de violation ou de non-conformité à la présente norme, le Bureau peut, à titre d'exemple uniquement :

• Interdire ou limiter de toute autre manière l’utilisation par une agence participante des contrats conclus par le bureau ;
• Supprimer ou interdire au personnel de l’État d’une agence participante de participer aux sous-comités de gouvernance informatique, aux groupes de travail ou aux groupes de travail établis, organisés ou gérés par le Bureau ;
• Signalez ces violations ou non-conformités au département de gestion, au bureau du gouverneur ou au vérificateur de l'État ;
• Recouvrer les frais administratifs proportionnels à toute augmentation des frais encourus par le Bureau ou d’autres organismes participants en raison de la violation ou de la non-conformité.

Renonciation/variance

Les articles 11-25.11(2) et 11-117.11(3) du Code administratif de l'Iowa et l'article 8B.21(5) du Code prévoient des dérogations aux documents de gouvernance informatique. Toute demande de dérogation aux exigences de la présente norme doit être soumise par écrit au Bureau, conformément aux dispositions de ces lois et règlements, le cas échéant.

Résolution des litiges

Si un différend survient entre le Bureau et une agence participante concernant le respect, l'administration ou l'application du présent document de gouvernance informatique, ce différend sera résolu conformément à l'article 679A.19 du Code de l'Iowa.