Mise à jour au CDPISP/CPSSP

Le 10 février 2004

par le Groupe de travail sur l’authentification de l’identité et

l’autorisation

1/29/2004Ébauche2

Objectifs d’aujourd’hui

Objet de l’étude de ce rapport

• Présenter un rapport d’étape• Définitions de base• Élaboration de lignes directrices

• Demander l’acceptation :• De la sélection du projet pilote• Des rajustements rattachés au plan de travail du

projet• De l’établissement d’un site Internet

1/29/2004Ébauche3

• Élaborer des lignes directrices sur l’authentification de l’identité et l’autorisation (IAA)

• Démontrer l’application des lignes directrices dans un projet pilote

• Élaborer des options et des recommandations pour l’établissement d’un organe de gouvernance permanent

Examen des principaux objectifs du Groupe de travail

1/29/2004Ébauche4

Élaboration de lignes directricesDébut du projet

Proposition de gouvernance

Appliquer le projet pilote

Septembre 2003 February ‘04 May ‘04

Désigner/choisir le projet pilote

Groupe de travail sur l’authentification de l’identité et l’autorisation :Principaux jalons et activités – 30 septembre 2003

Lien vers d’autres initiatives d’identité/autorisation déjà en cours

Vérifier auprès du CDPISP/CPSSP

Interaction créative entre la théorie et la pratique

Priorités• Définitions et vocabulaire communs • Élaboration de principes, de lignes directrices/critères ou de

normes• Confirmation de la chaîne du cadre de confiance• Élaboration d’un plan d’action sur les occasions à court

terme• Définition des niveaux d’assurance• Recherche et recommandation des normes disponibles• Recommandation d’une structure de gouvernance

constante• Définition du rôle des tiers

Mai 2004Février 2004

1/29/2004Ébauche5

Travail à ce jour : Définitions de base

• Le travail sur les produits à livrer est bien entamé et l’élaboration de définitions communes jette les bases des normes

La plupart des administrations ont fourni des mises à jour du vocabulaire et des définitions de leur domaine de compétence

On a créé une base de données des termes en matière de compétence Comme point de départ de la discussion, on adopte les définitions

d’authentification des identités d’Industrie Canada et du Conseil F/P/T On a établi une mémoire commune des documents

• Il existe un ensemble provisoire de termes de base

1/29/2004Ébauche6

Travail à ce jour : Élaboration de lignes directrices

• Les lignes directrices envisagées :

Protection des renseignements personnels Chaîne de confiance

Sécurité Niveau d’assurance

Nature juridique Nature législative

• De plus : Le « mode d’emploi » sur l’évaluation du risque, la classification de

l’information, la force de l’assurance

• Les réalisations importantes à ce jour sur la chaîne de confiance et les niveaux d’assurance

1/29/2004Ébauche7

Travail à ce jour : Autres volets

• On a amorcé la consultation sur le cadre législatif

• Analyse du contexte sur • Les initiatives sur l’IAA (à l’échelle nationale)• Cadres stratégiques existants

1/29/2004Ébauche8

Sélection du projet pilote

• L’objectif du projet pilote consiste à démontrer l’application des lignes directrices au cours des essais

Essayer de cibler une occasion de succès rapide

• Plusieurs options envisagées pour façonner et former le projet pilote

Sur papier Démonstration sur CD Démonstration fonctionnelle dans un environnement d’essai En direct

• On préfère nettement « le direct » si possible

1/29/2004Ébauche9

Questions relatives au projet pilote

• On compte très peu de candidats pour mettre à l’essai le projet pilote entre les administrations et ceux qui existent en sont au stade embryonnaire

• On veut trouver un projet pilote qui fonctionne pour le plus grand nombre d’administrations possible

• Il peut être difficile d’assurer l’harmonisation des délais à bien des projets pilotes potentiels (p. ex. sous-comité XML)

• On veut également que le projet pilote soit relativement petit et concis afin que nous puissions assurer sa réussite

• Les frais généraux du projet pilote suscite des inquiétudes (les questions rattachées au service de dépannage et au soutien en outre)

1/29/2004Ébauche10

Candidats pour le projet pilote

• Voici une courte liste des candidats :

Portail des aînés Système d’information sur la santé publique Changement d’adresse commerciale en C.-B.

• Le changement d’adresse commerciale est le candidat recommandé pour la mise à l’essai

Il faut approfondir la démarche pour déterminer la faisabilité du projet pilote en direct

1/29/2004Ébauche11

1/29/2004Ébauche12

Nouveau!! Pour une demande de connexion à l’aide d’un mot de passe électronique, cliquer ici

1/29/2004Ébauche13

Projet pilote – Prochaines étapes

• Une approbation de principe pour aller de l’avant

• Terminer l’évaluation de la portée des incidences

• Appliquer les processus opérationnels• Définir l’architecture rattachée à la reconnaissance du jeton• S’assurer que l’on traite de façon pratique les questions relatives au volet

juridique, à la gouvernance, à la sécurité et à la vie privée :• Terminer l’évaluation des facteurs relatifs à la vie privée et l’évaluation de la

menace et des risques• Définir les protocoles de contrôle et d’évaluation • Préparer des mesures significatives et des preuves• Dollars et ressources

• Décision de « passer au direct » sera prise au Lac Carling en mai

1/29/2004Ébauche14

Recommandations

• Accepter la sélection du projet pilote• Changements à l’horizon pour le plan de travail• Élargir le travail entrepris en parallèle

• P. ex. consultation sur le volet juridique, la sécurité et l’ÉFVP

• Prévoir le financement de l’ÉMR / ÉFVP• Élaborer un mécanisme pour obtenir d’autres

ressources• Établir un site Internet

• Promouvoir le travail fait, ce qui pourrait profiter à chaque administration

1/29/2004Ébauche15

Aller de l’avant

• Harmoniser l’élaboration d’une ligne directrice au projet pilote

• S’assurer que l’on examine le volet juridique, les questions de gouvernance, de sécurité et de la vie privée

• Détermination de la portée du rapport au LAC Carling

1/29/2004Ébauche16

Jeff EvansPrésident, Groupe de travail intergouvernemental sur l’authentification de l’identité et l’autorisation Direction des stratégies, des politiques et de la planification en matière d’ITIBureau du stratège en chef de l’information pour la fonction publiqueSecrétariat du Conseil de gestionGouvernement de l’Ontario416-327-4107Jeff.evans@mbs.gov.on.ca

Personne-ressource :

1/29/2004Ébauche17

Annexe A : Supplément

Examen de la rencontre au Lac Carling Consultations

1/29/2004Ébauche18

Examen de la rencontre de 2003 au Lac Carling

Les besoins relevés au cours de la rencontre au Lac Carling?

Clarifier les composantes de la chaîne de confiance Arriver à une entente sur les définitions des termes

« jeton, justificatifs d’identité, niveau d’assurance » Objectif : évaluation partagée sur la force de

l’assurance Tout d’abord, les lignes directrices sur la façon

d’utiliser les évaluations des risques opérationnels pour déterminer le niveau d’assurance requis pour l’IAA

1/29/2004Ébauche19

Renseignements et services de nature très délicate

Renseignements et services de nature moyennement délicate

Renseignements et services de nature peu délicate

Renseignements et services publics de base

Volet de la chaîne de confiance Niveaux de classification

Volet de la chaîne de confiance Exigences relatives à l’assurance

Assurance moyenne à élevée pour le gouvernement

Moyenne pour les employésAssurance moyenne à élevée pour le public et les entreprises

Assurance faible à moyenne pour le public et les entreprises

Aucune assurance requise

Pyramide du modèle de confiance

Coût à l’unité de la réponse d’authentification

Volume relatif des usagers et des transactions* Public = citoyens et entreprises

Gouvernem

ent

Public

1/29/2004Ébauche20

La chaîne de confiance

Prés

enta

tion

et

auth

entific

atio

n de

s

jeto

ns

Aut

oris

atio

n

Enre

gist

rem

e

nt e

t dé

livra

nce

de

jeto

ns

Composantes sur l’authentification de l’identité et l’autorisation

CHAÎNE DE CONFIANCE

La confiance est une fonction des gens, des processus et de la technologie contribuant à la délivrance de jetons, au traitement et à l’utilisation de chaque volet de la chaîne de confiance

1/29/2004Ébauche21

Consultation

Voici les groupes consultés : Sous-comité national XML du CDPISP/CPSSP Sous-comité du Conseil national des DPI pour la protection de

l’information Industrie Canada Comité fédéral / provincial / territorial sur l’identité Ville de Markham – Vote électronique