Manuel de formation de l'ALE
2009/2010
Version: 4.0
Gestion des justificatifs internes
La Gestion des justificatifs internes (GJI) est un service de gestion des justificatifs basés sur l'infrastructure à clé publique (ICP) pour les activités internes du gouvernement. Elle émet et gère des justificatifs numériques uniques destinés à des personnes, à des applications et à des dispositifs.
Qu'est-ce que l'ICP?
Il s'agit d'un agencement de protocoles, de technologies, d'infrastructures, de politiques de services et de personnes qui détermine la façon dont une organisation maintient, distribue, crée et valide les clés publiques et les renseignements qui y sont reliés.
- Fournisseur de services de la GJI (TPSGC)
- Organisations clientes de la GJI
- Centre de gestion des clés (CGC)
- Enregistrement et administration des justificatifs en ligne (EAJL)
- maCLÉ
- Coordonnateur national des ALE
- Autorité locale d'enregistrement (ALE)
- Autorité de certification
Que sont les clés d'ICP?
Clé privée
- Protégée par le détenteur
- Conservée physiquement par le détenteur
- Utilisée pour déchiffrer des messages
- Utilisée pour signer des messages
Clé publique
- Distribution libre et ouverte
- Conservée dans les serveurs d'annuaire de clés et de certificats publics
- Utilisée pour chiffrer des messages
- Utilisée pour vérifier les signatures
Types de clé
- Clé personnelle
- Clé de dispositif/d'application
- Clé de groupe
Sécurité et ICP
- Éléments de sécurité
- Règles relatives au mot de passe
- Sécurisation de mon justificatif
ICP et sécurité
1. Confidentialité :
Protection contre la divulgation non autorisée des renseignements.
2. Intégrité :
Permet de s'assurer que l'information parvient au destinataire visé dans son format original.
3. Contrôle d'accès :
Permet de s'assurer que seuls les utilisateurs ou processus autorisés ont la permission d'accéder à une ressource donnée.
4. Authentification :
Permet de s'assurer que l'expéditeur s'identifie en bonne et due forme.
5. Non-répudiation :
Permet de s'assurer que les utilisateurs ne peuvent nier une transaction à laquelle ils ont pris part.
Règles relatives à un mot de passe complexe
- Il doit comprendre au moins huit caractères
- Il doit contenir une lettre majuscule
- Il doit contenir une lettre minuscule
- Il doit contenir un chiffre
- Il peut contenir des caractères spéciaux comme & * % $ # @ !
- Il ne doit pas contenir plusieurs occurrences du même caractère
- Il ne peut pas contenir une sous-chaîne importante du nom de profil de l'utilisateur (le nom de profil peut avoir n'importe quelle valeur - vous serez le seul à le voir)
Sécurisation de mon justificatif
Le justificatif est protégé au moyen de règles de sécurité
Le justificatif est protégé au moyen d'un mot de passe complexe
L'utilisateur protège le mot de passe en ne le divulguant pas
L'utilisateur protège le justificatif en le conservant en lieu sûr
L'utilisateur protège le justificatif en l'activant lui-même
Qu’entend-on par EAJL?
- La solution d'enregistrement et d'administration des justificatifs en ligne (EAJL) permet aux clients de la GJI de délivrer et de gérer des certificats d'ICP basés sur l'identité (maCLÉ) dans le cadre d'une session en ligne.
- EAJL constitue une amélioration des processus manuels actuels qu'appliquent les ALE.
- La version initiale d'EAJL ne sera offerte qu'aux employés figurant dans le Système régional de paye.
- Dans sa version initiale, EAJL facilitera la création et la récupération des justificatifs.
- Les demandes de justificatifs liés aux entrepreneurs, aux dispositifs et aux groupes seront traitées en recourant aux processus manuels en vigueur.
- EAJL sera déployé dans les ministères selon une approche progressive à compter de cette année.
- Les organisations communiqueront à l'interne avec leurs ALE lorsqu'EAJL sera déployé dans leur secteur.
Qu'est-ce que maCLÉ?
- « maCLÉ » est connue sous plusieurs noms : clé ICP, certificat basé sur l’identité, profil Entrust ou certificat d’ICP.
- Lors de l’instauration d'EAJL, la GJI a également désigné le produit sous l’appellation de « maCLÉ ».
- « maCLÉ » comporte l’ensemble des fonctionnalités de l’actuelle clé ICP.
À quoi maCLÉ sert-elle?
- Pour transférer des fichiers en toute sécurité
- Pour stocker des renseignements en toute sécurité
- Pour signer numériquement des documents et des transactions financières
- Pour accéder en toute sécurité à des réseaux éloignés
- Pour s'authentifier auprès d'applications sécurisées
Qu’est-ce qu’une ALE?
- Une autorité locale d'enregistrement (ALE) s'entend de la personne qui exécute les fonctions liées à l'émission des justificatifs d'ICP pour le compte de son organisation.
Qu’est-ce qu’un garant?
Au nom de l'ALE, un garant est responsable de l'identification et de l'authentification des demandeurs ou abonnés.
À cette fin :
- Il rencontre le demandeur ou l'abonné.
- Il examine deux pièces d'identité valides, dont une avec photo, signées et comportant une date d'expiration valide.
- Il retourne le formulaire de demande à l'ALE.
- Un gestionnaire/superviseur ou l'équivalent peut agir comme garant.
Il n'est pas obligatoire qu'un garant possède un certificat d'ICP.
L'ALE est responsable d'identifier la personne en autorité (superviseur, gestionnaire) qui agira comme garant en son nom, et d'en consigner le nom.
Qu’est-ce qu’un « tiers »?
- Un tiers s'entend d'un abonné de la GJI qui détient des clés ICP valides et qui accepte de transférer en toute sécurité un code d'autorisation de l'ALE au demandeur ou à l'abonné.
Vue d’ensemble
Responsabilités de l'ALE
- Lire le document énonçant les obligations de l'ALE et signer le certificat de nomination; il reconnaît ainsi qu'il a lu et compris ses obligations.
- Respecter les obligations qui lui sont imposées conformément aux processus exposés dans le présent document.
- Identifier et authentifier les demandeurs en examinant deux pièces d'identité (p. ex. permis de conduire, carte d'identité gouvernementale, passeport), dont une avec photo, signées et comportant une date d'expiration valide.
- Inciter les demandeurs à lire les conditions d'utilisation relatives à l'ICP jointes au formulaire de demande.
- Vérifier, signer et transmettre les demandes au CGC.
- Lorsqu'il envoie un formulaire de demande d'abonnement au CGC, l'ALE atteste que l'abonné a été authentifié conformément aux processus exposés dans le présent document.
- Distribuer les codes d'autorisation conformément aux processus exposés dans le présent document.
- Informer les abonnés de la révocation des certificats.
- Veiller à ce que tous les certificats d'entrepreneurs et d'employés nommés pour une période déterminée demeurent actifs ou qu'ils soient révoqués à a fin du contrat ou de la période déterminée.
- Collaborer avec les garants et les tiers à l'identification et l'authentification des personnes, et à la distribution des codes d'autorisation.
- Donner aux abonnés le nom d'une autre ALE avec qui ils pourront communiquer si vous êtes absent.
- Informer le coordonnateur des ALE lorsque vous n'assumez plus les responsabilités d'ALE et lui donner le nom de la personne qui vous remplace (formulaires disponibles sur le site Web de la GJI).
- Il n'est plus nécessaire de tenir des dossiers portant sur vos fonctions d'ALE; cependant, si vous tenez à le faire, sachez que l'entreposage physique ou électronique doit être sécurisé jusqu'au niveau Protégé B.
- L'entreposage physique dans un contenant verrouillé (p. ex. classeur fermé à clé) convient aux documents sensibles, jusqu'à Protégé B.
- Les documents entreposés électroniquement doivent être chiffrés et conservés sur le poste de travail ou le réseau.
- Tous les dossiers de transaction doivent être détruits à l'aide d'un déchiqueteur commercial à coupe en fragments d'une largeur maximale de 3/8 de po. (10 mm).
maCLÉ - Processus relatifs aux demandes
- maCLÉ - Demande par l'ALE
- maCLÉ - Méthode de livraison du code d'autorisation
- maCLÉ - Demande dans le cadre d'EAJL
- Récupération d'une maCLÉ - amorcée par un gestionnaire ou par une autorité légale
- Révocation d'une maCLÉ
- Changement de nom distinctif lié à une maCLÉ
maCLÉ – Demande par l’ALE (nouvelle demande et récupération)
1. Le demandeur et (ou) l'ALE remplissent les sections 1 à 4 du formulaire de demande de la GJI.
2. L'ALE remplit les sections 5 et 6 du formulaire (et les sections applicables de la Demande d'abonnement externe et de la Demande de changement).
3. L'ALE signe manuellement ou numériquement le formulaire et l'envoie au CGC, selon l'une des méthodes suivantes :
- Par télécopieur;
- Par courriel, après balayage par lecteur optique et chiffrement;
- Par courriel, après l'avoir rempli électroniquement et chiffré.
4. Le CGC vérifie la signature de l'ALE et traite la demande.
5. Le CGC envoie le code d'autorisation chiffré à l'ALE et le numéro de référence au demandeur.
6. L'ALE ou le garant authentifie le demandeur en vérifiant deux pièces d'identité, dont une avec photo, signées et comportant une date d'expiration valide.
7. L'ALE ou le tiers transmet le code d'autorisation au demandeur.
maCLÉ - Méthode de livraison du code d'autorisation
1. L'ALE transmet le code d'autorisation à l'abonné au moyen de l'une des méthodes approuvées suivantes : en personne, par courrier recommandé, par messagerie ou par l'entremise du garant ou d'un tiers de confiance.
2. L'ALE transmet le code d'autorisation au garant ou au tiers au moyen de l'une des méthodes approuvées suivantes : par courrier recommandé, par messagerie ou par courrier chiffré.
3. Le garant ou le tiers transmet le code d'autorisation à l'abonné au moyen de l'une des méthodes approuvées suivantes : en personne, par courrier recommandé ou par messagerie.
maCLÉ - Demande dans le cadre d'EAJL (nouvelle demande et récupération)
- EAJL sera offert par le truchement d'un hyperlien, où le demandeur pourra par lui-même créer une maCLÉ et la récupérer.
- L'organisation communiquera à l'interne avec leurs ALE lorsqu'EAJL sera déployé dans leur secteur.
maCLÉ – Récupération par un gestionnaire/par une autorité légale
Il se peut qu'une organisation doive récupérer la maCLÉ d'un abonné de façon urgente. Par exemple :
- Lorsqu'il faut obtenir l'accès à des données ministérielles après qu'un employé a quitté l'organisation;
- Au cours d'une enquête ministérielle ou criminelle.
Si une de ces situations devait se produire, l'ALE établirait un billet auprès du centre d'assistance des Opérations de TPSGC pour traitement approprié.
maCLÉ - Révocation
1. L'abonné, le gestionnaire ou l'ALE doivent répondre à une situation comportant la révocation d'une maCLÉ. Par exemple :
a) Cessation des activités (l'abonné n'a plus besoin d'une maCLÉ)
b) Cessation d'emploi de l'abonné
c) Compromission réelle ou soupçonnée d'une maCLÉ
2. L'abonné ou le gestionnaire communiquent avec l'ALE pour demander la révocation d'une clé. Si l'ALE de l'abonné n'est pas disponible, la demande est immédiatement redirigée vers une autre ALE ou le centre d'assistance des Opérations de TPSGC.
3. L'ALE remplit le formulaire de demande et l'envoie au CGC par télécopieur, ou envoie par courriel chiffré dans lequel elle demande la révocation.
4. Le CGC révoque le justificatif de l'abonné. L'abonné ne peut plus utiliser sa maCLÉ.
5. Le CGC confirme la révocation à l'ALE par courriel.
6. L'ALE en informe l'utilisateur.
maCLÉ - Changement de nom distinctif
- L'ALE inscrit les renseignements courants concernant l'abonné sur le formulaire de demande.
- L'ALE inscrit les nouveaux renseignements concernant l'abonné sur le formulaire de demande.
- L'ALE envoie le formulaire au CGC par télécopieur ou électroniquement.
- Le CGC informe l'abonné des changements et envoie une copie conforme à l'ALE.
Formulaires de la GJI
- Formulaire de demande de justificatif/de demande de changement de la GJI
- Formulaire de demande de justificatif de dispositif, de groupe et d'application/de demande de changement de la GJI
- Formulaire de demande d'abonnement externe de la GJI
- Formulaire de demande de changement - Abonnement externe de la GJI
Conseils de dépannage
Le centre d'assistance de votre ministère est votre premier point de contact pour obtenir de l'aide.
Problème lié au mot de passe
- Assurez-vous que la touche de verrouillage des majuscules (CAPS LOCK) n'est pas enfoncée.
- Le mot de passe a-t-il été tapé avec un clavier anglais?
- L'utilisateur a-t-il supprimé tous les anciens profils de ses disques ou de son support informatique?
- Le CGC ne peut restaurer un mot de passe (il faut exécuter la récupération d'une clé)
Erreurs de communication
- Avez-vous téléchargé un nouveau fichier ENTRUST.INI à partir du site Web de la GJI? (Ne s'applique pas aux utilisateurs d'ESP)
- Assurez-vous que votre pare-feu ministériel autorise les échanges bidirectionnels. Le fichier Entrust.INI précise les ports et les adresses IP nécessaires à l'identification.
- Le câble réseau est-il correctement branché au PC ou à l'ordinateur portatif?
- Y a-t-il eu des erreurs de communication lors de l'initialisation des clés?
Processus de signalisation progressive
Le centre d'assistance de votre ministère est votre premier point de contact pour obtenir de l'aide.
Ouvert 7 jours sur 7, 24 heures sur 24
(613) 738-7782
- L'agent du centre d'assistance demandera les renseignements suivants :
Nom du demandeur
Ministère
Numéro de téléphone
Urgence de la solution
Type d'incident (communication, mot de passe, compromission d'une clé)
Description de l'incident
Codes d'erreur
- Le centre d'assistance vous remettra un numéro d'enregistrement d'incident; notez-le et conservez-le jusqu'à ce que l'incident soit résolu.
Rapports pour les ALE
Pour accéder aux rapports, les ALE doivent visiter le site Web de la GJI et entrer les noms d'utilisateur et mot de passe partagés suivants :
Veuillez vous référer au nom d'utilisateur et mots de passe du rapport des ALE qui vous a été fournie lors de votre session de formation de ALE et des notifications envoyées par le Centre de Gestion des justificatifs internes (GJI).
Les rapports comprennent ce qui suit :
Nom d'utilisateur
Situation professionnelle (ETP, période déterminée ou contractuelle)
Type de certificat (personne, dispositif ou groupe)
État de la clé (active, expirée, récupérée, ajoutée, révoquée, désactivée, etc.)
Renseignements
http://www.tpsgc-pwgsc.gc.ca/gji-icm/index-fra.html
- Centre de gestion des clés (CGC)
Du lundi au vendredi
De 7 h à 16 h HE
Télécopieur : (613) 946-9133
Adresse électronique :
GCGJICGC.GCICMKMC@tpsgc-pwgsc.gc.ca
Clé de groupe pour chiffrement de formulaires/courriels :
Group, PKI OPS
- Coordonnateur national des ALE
LRAcoordinator/coordonnateurALE@tpsgc-pwgsc.gc.ca
- Centre d'assistance des Opérations de TPSGC
Ouvert 7 jours sur 7, 24 heures sur 24
(613) 738-7782