Directive sur l’accès privilégié à un poste de travail d’EDSC
1. Date d’entrée en vigueur et examen annuel
La présente directive, approuvée par le Comité de gestion ministériel (CGM) d’EDSC, entre en vigueur le 13 mai 2015, et elle a été modifiée le 25 novembre 2019. Elle sera l’objet d’un examen annuel par la Direction générale de l’innovation, de l’information et de la technologie (DGIIT).
2. Public cible
2.1 La présente directive s’applique à toutes les personnes (y compris les employés, les employés occasionnels et les entrepreneurs) à qui on a accordé l’accès au réseau électronique d’Emploi et Développement social Canada (EDSC).
2.2 Emploi et Développement social Canada comprend Service Canada et le programme du Travail, et est désigné collectivement sous le nom de « Ministère » ou sous l’adjectif « ministériel ».
3. But de la directive
La présente directive a pour but de renseigner les employés sur les exigences et les responsabilités relatives à l’accès privilégié à un poste de travail et décrit l’octroi de cet accès.
4. Contexte
4.1 L’accès privilégié à un poste de travail fournit à l’utilisateur du compte la capacité d’installer des logiciels et du matériel ainsi que de modifier les paramètres d’ordinateur sur un ordinateur de bureau.
4.2 La majorité des employés ne dispose pas automatiquement de l’accès privilégié à un poste de travail; leur accès se limite aux changements des paramètres personnels et il est impossible pour les employés d’installer des logiciels ou du matériel.
4.3 L’accès privilégié à un poste de travail n’est accordé que dans des cas exceptionnels, car ce type d’accès fournit un niveau privilégié d’accès à notre réseau, à nos ordinateurs et à l’information, ce qui pourrait exposer EDSC à des risques qui incluent l’installation de logiciels non autorisés, de logiciels malveillants et à l’exposition aux attaques de pirates informatiques.
4.4. Raisons les plus fréquentes pour accorder l’accès privilégié à un poste de travail
L’accès privilégié à un poste de travail est nécessaire pour diverses raisons; pour être en mesure de réaliser des fonctions professionnelles continues, tel que décrit dans le tableau de la section 4.8, et pour des besoins temporaires, notamment :
- Enregistrer un logiciel
- Fournir une assistance temporaire dans le cadre d’un projet
- Salles de formation
- Installation de certains logiciels spécialisés
- consultants
4.5 Quatre types de comptes d’EDSC incluent l’accès privilégié à un poste de travail dans le cadre des privilèges du compte : administrateur local, administrateur de postes de travail, administrateur de la sécurité et administrateur d’entreprise (voir le tableau dans la section 4.8).
4.6 Le compte d’administrateur local accorde à l’employé l’accès privilégié uniquement à son propre poste de travail et il s’agit donc du compte comportant l’accès privilégié le plus couramment accordé.
4.7 Le compte d’administrateur local est accordé conformément à la procédure décrite dans la section 6.3 de la présente directive. Parce que les comptes d’administrateur de postes de travail, de la sécurité et d’entreprise sont liés aux tâches d’un poste particulier, ces comptes sont fournis aux employés dans le cadre de leur travail.
4.8 Tableau des comptes d’administrateur qui disposent d’un accès privilégié à un poste de travail
- Type de compte
d’administrateur -
Administrateur d’entreprise
(le niveau de privilèges le plus élevé)
- Accès privilège un poste due travail
-
Accès complet à tous les objets dans le répertoire, y compris sous les postes de travail
- Utilisé
par -
- Un petit groupe de Services partagés Canada (SPC)
- Type de compte d’administrateur
-
Administrateur de la sécurité (le deuxième niveau le plus élevé)
- Accès privilège un poste due travail
-
Accès complet à tous les postes de travail
- Utilisé par
-
- Le groupe responsable de la sécurité de la TI d’EDSC et de SPC à l’appui de l’ensemble d’outils de sécurité
- Type de compte d’administrateur
-
Administrateur de postes de travail (le troisième niveau le plus élevé)
- Accès privilège un poste due travail
-
Accès complet à tous les postes de travail
- Utilisé par
-
- Les membres du personnel de la DGIIT qui offrent un soutien en ce qui a trait aux services bureautiques et aux fonctions associées à la gestion des produits
- Type de compte d’administrateur
-
Administrateur local (le niveau le plus bas)
- Accès privilège un poste due travail
-
Accès complet aux postes de travail locaux
- Utilisé par
-
- Utilisateurs sans compétences techniques, à des fins déterminées, telles modifier des paramètres ou pour se servir d’outils logiciels qui peuvent uniquement être utilisés à l’aide de privilèges d’administrateur
- L’environnement de développement d’application partagé (EDAP) de la DGIIT afin de configurer et de supporter les appareils dans l’environnement de développement d’application et de maintenir l’environnement
- Certains employés qui nécessitent l’accès local afin de combler les besoins liés à leur travail (p. ex. Direction des opérations du service à la clientèle et du développement des solutions (OSCDS), DGIIT)
- Certaines personnes qui réalisent l’installation d’applications précises. (Un petit nombre d’applications nécessitent qu’un employé possède les privilèges d’administrateur local pour un dispositif d’utilisateur final afin que l’application fonctionne correctement.)
5. Exigence de base
L’accès privilégié à un poste de travail n’est seulement accordé que si celui-ci est nécessaire afin qu’un employé puisse s’acquitter de ses tâches et s’il n’existe aucune autre solution raisonnable.
6. Exigences détaillées
6.1 Responsibilities
- Un employé à qui l’on accorde l’accès privilégié à un poste de travail ne doit utiliser ces privilèges qu’à des fins déterminées pour lesquels ils ont été approuvés, tel qu’énoncé dans la justification de ces privilèges (voir la section 6.3).
- À moins d’indication contraire dans une justification approuvée par la DGIIT relativement à l’accès privilégié à un poste de travail, un employé n’est pas autorisé à :
- Télécharger ou installer un logiciel, quel qu’il soit, y compris des mises à jour, des modules d’extension, des achats, des versions d’essai, des gratuiciels, des partagiciels et des logiciels ouverts;
- Modifier les paramètres de configuration qui modifient ou compromettent les logiciels antivirus, les logiciels anti-programme malveillants, les logiciels de surveillance ou les logiciels de prévention de la perte de données
- Installer des dispositifs matériels, quels qu’ils soient. (Veuillez consulter la Directive sur les dispositifs de stockage portatifs);
- Accorder l’accès privilégié à un poste de travail à tout autre utilisateur de compte.
6.2 Demande d’installation de logiciel ou de matériel
- EDSC dispose d’une série de logiciels, de matériel et de processus d’installation approuvés. Un employé possédant l’accès privilégié à un poste de travail doit demander l’autorisation auprès de l’InfoService national (ISN) pour installer tout logiciel ou matériel qui n’est pas inclus dans sa justification approuvée.
- Si une personne est autorisée à installer un logiciel dans le cadre de leurs tâches de travail (accès privilégié), avant l'installation, elle doit :
- vérifier que le logiciel figure sur la liste alphabétique des normes des produits logiciels commerciaux TI approuvés par EDSC et contactez l’InfoService national afin de s'assurer qu'il y a des licences disponibles (s'il y a lieu).
- Si le logiciel ne figure pas sur la liste alphabétique des normes des produits logiciels commerciaux TI d’EDSC, la personne doit soumettre une demande auprès de l’InfoService national afin que l’utilisation du logiciel soit évaluée.
- vérifier que le logiciel figure sur la liste alphabétique des normes des produits logiciels commerciaux TI approuvés par EDSC et contactez l’InfoService national afin de s'assurer qu'il y a des licences disponibles (s'il y a lieu).
6.3 Demande des privilèges d’administrateur local
- La plupart des privilèges d’administrateur local sont accordés sur une base temporaire et à des fins déterminées approuvées, alors que d’autres sont accordés pour des rôles ou des travaux déterminés. Lorsque le but approuvé pour lequel le compte a été accordé est terminé, ces privilèges doivent être subséquemment révoqués.
- Toutes les demandes doivent être signées par l’employé, endossées par le directeur de l’employé et approuvées par le directeur général. Les processus pour demander des privilèges d’administrateur local et pour terminer ces privilèges peuvent être initiés par l’entremise de l’InfoService national (ISN).
6.4 Gestion de l’accès privilégié à un poste de travail
- L’accès privilégié à un poste de travail est associé au nom de l’employé auquel l’accès a été accordé. La DGIIT procédera à un examen annuel de la liste des détenteurs de comptes et une nouvelle confirmation du besoin sera demandée, s’il y a lieu.
- Lorsqu’un employé quitte le Ministère, change de poste ou n’a plus besoin du compte d’administrateur, le directeur ou le directeur général responsable doit informer l’InfoService national que le compte d’administrateur doit être révoqué.
7. Surveillance et rapports
Le Ministère surveille les activités des employés sur le réseau électronique ministériel et prépare des rapports à cet effet, afin de s’assurer que les ressources du Ministère sont utilisées de façon acceptable. Un usage abusif des privilèges d’administrateur fera l’objet d’un rapport à la direction afin que des mesures appropriées soient prises.
8. Conséquences
Les employés seront tenus responsables de la conformité à la présente directive. Le non-respect de la présente directive entraînera des mesures administratives et disciplinaires, et même la mise à pied.
9. Demandes de renseignements
Les questions concernant la présente directive doivent être acheminées à l’Architecture de sécurité de la TI, DGIIT.
10. Références
10.1 Secrétariat du Conseil du Trésor
- SCT Politique sur la sécurité du gouvernement (2019)
- SCT Politique sur l'utilisation acceptable des réseaux et des dispositifs (2013)
10.2 Emploi et Développement social Canada
- Les versions les plus récentes des politiques suivantes sont disponibles dans les Références de iService :
- Directive sur l’accès privilégié à un poste de travail
- Directive relative aux services de cellulaires
- Directive sur les dispositifs de stockage portatifs
- Directive sur le stockage de l’information électroniq
- Directive sur l'utilisation du réseau
- Directive d’EDSC sur les appareils informatiques personnels
- Directive sur les services d’impression d’EDSC
10.3 Centre de la sécurité des télécommunications