Manuel de formation de l’ALE 2009-2010 Version: 4.0 Gouvernement du Canada Gestion des justificatifs internes Infrastructure à clé publique Manuel de formation de l’ALE 2009-2010 Version: 4.0

Gestion des justificatifs internes La Gestion des justificatifs internes (GJI) est un service de gestion des justificatifs basés sur l'infrastructure à clé publique (ICP) pour les activités internes du gouvernement. Elle émet et gère des justificatifs numériques uniques destinés à des personnes, à des applications et à des dispositifs.

Qu'est-ce que l’ICP? Il s’agit d’un agencement de protocoles, de technologies, d’infrastructures, de politiques de services et de personnes qui détermine la façon dont une organisation maintient, distribue, crée et valide les clés publiques et les renseignements qui y sont reliés. Fournisseur de services de la GJI (TPSGC) Organisations clientes de la GJI Centre de gestion des clés (CGC) Enregistrement et administration des justificatifs en ligne (EAJL) maCLÉ Coordonnateur national des ALE Autorité locale d’enregistrement (ALE) Autorité de certification

Clé privée Clé publique Types de clé Que sont les clés d’ICP? Bill Protégée par le détenteur Conservée physiquement par le détenteur Utilisée pour déchiffrer des messages Utilisée pour signer des messages Distribution libre et ouverte Conservée dans les serveurs d’annuaire de clés et de certificats publics Utilisée pour chiffrer des messages Utilisée pour vérifier les signatures Types de clé Clé personnelle Clé de dispositif/d’application Clé de groupe

Sécurité et ICP Éléments de sécurité Règles relatives au mot de passe Sécurisation de mon justificatif

ICP et sécurité Contrôle d’accès Confidentialité Intégrité Permet de s’assurer que seuls les utilisateurs ou processus autorisés ont la permission d’accéder à une ressource donnée Protection contre la divulgation non autorisée des renseignements Intégrité Permet de s’assurer que l’information parvient au destinataire visé dans son format original Authentification Non-répudiation Permet de s’assurer que les utilisateurs ne peuvent nier une transaction à laquelle ils ont pris part Permet de s’assurer que l’expéditeur s’identifie en bonne et due forme

Règles relatives à un mot de passe complexe Il doit comprendre au moins huit caractères Il doit contenir une lettre majuscule Il doit contenir une lettre minuscule Il doit contenir un chiffre Il peut contenir des caractères spéciaux comme & * % $ # @ ! Il ne doit pas contenir plusieurs occurrences du même caractère Il ne peut pas contenir une sous-chaîne importante du nom de profil de l’utilisateur (le nom de profil peut avoir n’importe quelle valeur – vous serez le seul à le voir)

Sécurisation de mon justificatif Le justificatif est protégé au moyen de règles de sécurité Le justificatif est protégé au moyen d’un mot de passe complexe L’utilisateur protège le mot de passe en ne le divulguant pas L’utilisateur protège le justificatif en le conservant en lieu sûr L’utilisateur protège le justificatif en l’activant lui-même

Qu’entend-on par EAJL? La solution d’enregistrement et d’administration des justificatifs en ligne (EAJL) permet aux clients de la GJI de délivrer et de gérer des certificats d’ICP basés sur l’identité (maCLÉ) dans le cadre d’une session en ligne. EAJL constitue une amélioration des processus manuels actuels qu’appliquent les ALE. La version initiale d’EAJL ne sera offerte qu’aux employés figurant dans le Système régional de paye. Dans sa version initiale, EAJL facilitera la création et la récupération des justificatifs. Les demandes de justificatifs liés aux entrepreneurs, aux dispositifs et aux groupes seront traitées en recourant aux processus manuels en vigueur. EAJL sera déployé dans les ministères selon une approche progressive à compter de cette année. Les organisations communiqueront à l’interne avec leurs ALE lorsqu’EAJL sera déployé dans leur secteur.

Qu’est que maCLÉ? « maCLÉ » est connue sous plusieurs noms : clé ICP, certificat basé sur l’identité, profil Entrust ou certificat d’ICP. Lors de l’instauration d'EAJL, la GJI a également désigné le produit sous l’appellation de « maCLÉ ». « maCLÉ » comporte l’ensemble des fonctionnalités de l’actuelle clé ICP.

À quoi maCLÉ sert-elle? Pour transférer des fichiers en toute sécurité Pour stocker des renseignements en toute sécurité Pour signer numériquement des documents et des transactions financières Pour accéder en toute sécurité à des réseaux éloignés Pour s’authentifier auprès d’applications sécurisées

Qu’est qu’une ALE? Une autorité locale d’enregistrement (ALE) s’entend de la personne qui exécute les fonctions liées à l’émission des justificatifs d’ICP pour le compte de son organisation.

Qu’est qu’un garant? Au nom de l’ALE, un garant est responsable de l’identification et de l’authentification des demandeurs ou abonnés. À cette fin : Il rencontre le demandeur ou l’abonné. Il examine deux pièces d’identité valides, dont une avec photo, signées et comportant une date d’expiration valide. Il retourne le formulaire de demande à l’ALE. Un gestionnaire/superviseur ou l’équivalent peut agir comme garant. Il n’est pas obligatoire qu’un garant possède un certificat d’ICP. L’ALE est responsable d’identifier la personne en autorité (superviseur, gestionnaire) qui agira comme garant en son nom, et d’en consigner le nom.

Qu’est-ce qu’un « tiers »? Un tiers s’entend d’un abonné de la GJI qui détient des clés ICP valides et qui accepte de transférer en toute sécurité un code d’autorisation de l’ALE au demandeur ou à l’abonné.

Autorité de certification Cocertification Vue d’ensemble Autorité de certification Cocertification Centres d’assistance Services de gestion des clés ICP ALE/EAJL Services Web processus et lignes directrices Services d’annuaire To summarize, ICM is a collection of related services that support the assignment and use of keys and certificates by individuals, devices, applications and groups in the GC. ICM is a shared service operated by PWGSC for the GC.

Responsabilités de l’ALE Lire le document énonçant les obligations de l’ALE et signer le certificat de nomination; il reconnaît ainsi qu’il a lu et compris ses obligations. Respecter les obligations qui lui sont imposées conformément aux processus exposés dans le présent document. Identifier et authentifier les demandeurs en examinant deux pièces d’identité (p. ex. permis de conduire, carte d’identité gouvernementale, passeport), dont une avec photo, signées et comportant une date d’expiration valide. Inciter les demandeurs à lire les conditions d’utilisation relatives à l’ICP jointes au formulaire de demande. Vérifier, signer et transmettre les demandes au CGC. Lorsqu’il envoie un formulaire de demande d’abonnement au CGC, l’ALE atteste que l’abonné a été authentifié conformément aux processus exposés dans le présent document. Distribuer les codes d’autorisation conformément aux processus exposés dans le présent document. Informer les abonnés de la révocation des certificats. Veiller à ce que tous les certificats d’entrepreneurs et d’employés nommés pour une période déterminée demeurent actifs ou qu’ils soient révoqués à a fin du contrat ou de la période déterminée.

Responsabilités de l’ALE (suite) Collaborer avec les garants et les tiers à l’identification et l’authentification des personnes, et à la distribution des codes d’autorisation. Donner aux abonnés le nom d’une autre ALE avec qui ils pourront communiquer si vous êtes absent. Informer le coordonnateur des ALE lorsque vous n’assumez plus les responsabilités d’ALE et lui donner le nom de la personne qui vous remplace (formulaires disponibles sur le site Web de la GJI). Il n’est plus nécessaire de tenir des dossiers portant sur vos fonctions d’ALE; cependant, si vous tenez à le faire, sachez que l’entreposage physique ou électronique doit être sécurisé jusqu’au niveau Protégé B. L’entreposage physique dans un contenant verrouillé (p. ex. classeur fermé à clé) convient aux documents sensibles, jusqu’à Protégé B. Les documents entreposés électroniquement doivent être chiffrés et conservés sur le poste de travail ou le réseau. Tous les dossiers de transaction doivent être détruits à l’aide d’un déchiqueteur commercial à coupe en fragments d’une largeur maximale de 3/8 de po. (10 mm).

maCLÉ – Processus relatifs aux demandes maCLÉ – Demande par l’ALE maCLÉ – Méthode de livraison du code d’autorisation maCLÉ – Demande dans le cadre d’EAJL Récupération d’une maCLÉ – amorcée par un gestionnaire ou par une autorité légale Révocation d’une maCLÉ Changement de nom distinctif lié à une maCLÉ

maCLÉ – Demande par l’ALE (nouvelle demande et récupération) Le demandeur et (ou) l’ALE remplissent les sections 1 à 4 du formulaire de demande de la GJI. L’ALE remplit les sections 5 et 6 du formulaire (et les sections applicables de la Demande d’abonnement externe et de la Demande de changement). L’ALE signe manuellement ou numériquement le formulaire et l’envoie au CGC, selon l’une des méthodes suivantes : Par télécopieur; Par courriel, après balayage par lecteur optique et chiffrement; Par courriel, après l’avoir rempli électroniquement et chiffré. Le CGC vérifie la signature de l’ALE et traite la demande. Le CGC envoie le code d’autorisation chiffré à l’ALE et le numéro de référence au demandeur. L’ALE ou le garant authentifie le demandeur en vérifiant deux pièces d’identité, dont une avec photo, signées et comportant une date d’expiration valide. L’ALE ou le tiers transmet le code d’autorisation au demandeur.

maCLÉ – Méthode de livraison du code d’autorisation 20 maCLÉ – Méthode de livraison du code d’autorisation L’ALE transmet le code d’autorisation à l’abonné au moyen de l’une des méthodes approuvées suivantes : en personne, par courrier recommandé, par messagerie ou par l’entremise du garant ou d’un tiers de confiance. L’ALE transmet le code d’autorisation au garant ou au tiers au moyen de l’une des méthodes approuvées suivantes : par courrier recommandé, par messagerie ou par courrier chiffré. Le garant ou le tiers transmet le code d’autorisation à l’abonné au moyen de l’une des méthodes approuvées suivantes : en personne, par courrier recommandé ou par messagerie.

maCLÉ – Demande dans le cadre d’EAJL (nouvelle demande et récupération) EAJL sera offert par le truchement d’un hyperlien, où le demandeur pourra par lui-même créer une maCLÉ et la récupérer. L’organisation communiquera à l’interne avec leurs ALE lorsqu’EAJL sera déployé dans leur secteur.

maCLÉ – Récupération par un gestionnaire/par une autorité légale Il se peut qu’une organisation doive récupérer la maCLÉ d’un abonné de façon urgente. Par exemple : Lorsqu’il faut obtenir l’accès à des données ministérielles après qu’un employé a quitté l’organisation; Au cours d’une enquête ministérielle ou criminelle. Si une de ces situations devait se produire, l’ALE établirait un billet auprès du centre d’assistance des Opérations de TPSGC pour traitement approprié.

maCLÉ – Révocation L’abonné, le gestionnaire ou l’ALE doivent répondre à une situation comportant la révocation d’une maCLÉ. Par exemple : Cessation des activités (l’abonné n’a plus besoin d’une maCLÉ) Cessation d’emploi de l’abonné Compromission réelle ou soupçonnée d’une maCLÉ L’abonné ou le gestionnaire communiquent avec l’ALE pour demander la révocation d’une clé. Si l’ALE de l’abonné n’est pas disponible, la demande est immédiatement redirigée vers une autre ALE ou le centre d’assistance des Opérations de TPSGC. L’ALE remplit le formulaire de demande et l’envoie au CGC par télécopieur, ou envoie par courriel chiffré dans lequel elle demande la révocation. Le CGC révoque le justificatif de l’abonné. L’abonné ne peut plus utiliser sa maCLÉ. Le CGC confirme la révocation à l’ALE par courriel. L’ALE en informe l’utilisateur.

maCLÉ – Changement de nom distinctif L’ALE inscrit les renseignements courants concernant l’abonné sur le formulaire de demande. L’ALE inscrit les nouveaux renseignements concernant l’abonné sur le formulaire de demande. L’ALE envoie le formulaire au CGC par télécopieur ou électroniquement. Le CGC informe l’abonné des changements et envoie une copie conforme à l’ALE.

Formulaires de la GJI Formulaire de demande de justificatif/de demande de changement de la GJI Formulaire de demande de justificatif de dispositif, de groupe et d’application/de demande de changement de la GJI Formulaire de demande d’abonnement externe de la GJI Formulaire de demande de changement – Abonnement externe de la GJI

Conseils de dépannage Le centre d’assistance de votre ministère est votre premier point de contact pour obtenir de l’aide. Problème lié au mot de passe Assurez-vous que la touche de verrouillage des majuscules (CAPS LOCK) n’est pas enfoncée. Le mot de passe a-t-il été tapé avec un clavier anglais? L’utilisateur a-t-il supprimé tous les anciens profils de ses disques ou de son support informatique? Le CGC ne peut restaurer un mot de passe (il faut exécuter la récupération d’une clé) Erreurs de communication Avez-vous téléchargé un nouveau fichier ENTRUST.INI à partir du site Web de la GJI? (Ne s’applique pas aux utilisateurs d’ESP) Assurez-vous que votre pare-feu ministériel autorise les échanges bidirectionnels. Le fichier Entrust.INI précise les ports et les adresses IP nécessaires à l’identification. Le câble réseau est-il correctement branché au PC ou à l’ordinateur portatif? Y a-t-il eu des erreurs de communication lors de l’initialisation des clés?

Processus de signalisation progressive Le centre d’assistance de votre ministère est votre premier point de contact pour obtenir de l’aide. Les incidents non résolus à l’interne peuvent être signalés au centre d’assistance des Opérations de TPSGC Ouvert 7 jours sur 7, 24 heures sur 24 (613) 738-7782 L’agent du centre d’assistance demandera les renseignements suivants : Nom du demandeur Ministère Numéro de téléphone Urgence de la solution Type d’incident (communication, mot de passe, compromission d’une clé) Description de l’incident Codes d’erreur Le centre d’assistance vous remettra un numéro d’enregistrement d’incident; notez-le et conservez-le jusqu’à ce que l’incident soit résolu.

Renseignements Site Web de la GJI http://www.tpsgc-pwgsc.gc.ca/gji-icm Centre de gestion des clés (CGC) Du lundi au vendredi De 7 h à 16 h HE Télécopieur : (613) 946-9133 Adresse électronique : gcgjicgc.gcicmkmc@tpsgc-pwgsc.gc.ca Clé de groupe pour chiffrement de formulaires/courriels : Group, PKI OPS Coordonnateur national des ALE LRAcoordinator/coordonnateurALE@tpsgc-pwgsc.gc.ca Centre d’assistance des Opérations de TPSGC Ouvert 7 jours sur 7, 24 heures sur 24 (613) 738-7782