Réunion conjointe du CDPISP et du CPSSP Identification, authentification et autorisation

CDPISP/CPSSP 15 février 2005 1

Réunion conjointe du CDPISP et du CPSSP

Identification, authentification et autorisation Mise à jour

Québec

Février 2005

SENSIBILITÉ MOYENNE


Objectif de la présentation

Présentation des activités du Groupe de travail intergouvernemental sur l'identification, l'authentification et l'autorisation (IAA) au 16 février 2005 comportant les objectifs suivants :

donner un bref aperçu du travail accompli à ce jour;

déterminer les prochaines questions à traiter et les prochaines étapes potentielles;

cerner les sujets qui pourraient être d’un intérêt particulier pour le CDPISP et le CPSSP;

résumer les premières réflexions quant aux futures occasions favorables

SENSIBILITÉ MOYENNE


Mise à jour CDPISP/CPSSP

Rapport présenté aux deux conseils par le Groupe de travail, en septembre.

En particulier, les conseils : ont approuvé, en principe, le lancement d’un deuxième projet pilote commun

faisant appel à de multiples jetons (au moins deux) entre multiples ordres de gouvernement;

ont souligné le fait que la collectivité des opérations devrait commencer à travailler sur les aspects de l’authentification non liés à la TI pour faire en sorte que les facteurs et les catalyseurs opérationnels soient déterminés et pris en compte.

À cet égard, le Groupe de travail devrait : donner davantage de précisions quant à la forme et à la structure préconisées

pour un deuxième projet pilote commun relatif à un service transactionnel, qui sera présenté à la prochaine réunion du CDPISP et du CPSSP, en février;

gérer la consultation relative aux définitions et aux normes, ainsi que l’adoption de ces dernières; gérer ensuite les changements nécessaires;

poursuivre l’évaluation du premier projet pilote en vue des prochaines étapes.


Évaluation du projet piloteL’évaluation du « modèle de validation de principe » du projet pilote REsurWEB de RHDC – C. B. visait à utiliser les résultats issus de l’évaluation pour alimenter des discussions ultérieures.

Pendant l’évaluation, plusieurs questions ont été jugées critiques dans le contexte de la définition d’une solution ou d’un ensemble de solutions concernant les systèmes d’IAA communs.Protection des renseignements personnels

Le gouvernement du Canada mène une EFVP en utilisant la démonstration comme contexte.

Les questions liées à la protection des renseignements personnels sont transmises au sous comité pertinent du CDPISP.

Responsabilité L’Ontario a rédigé un document sur les questions de responsabilité, auquel a contribué le

Groupe de travail (le document a été transmis à un comité juridique spécialisé dans la gouvernance

électronique pour fins d’examen).Gouvernance

Le mandat du Groupe de travail indique clairement que la formulation d’options et de recommandations relatives à la gouvernance figure parmi les tâches de celui ci.

Des travaux ont déjà été présentés aux deux conseils. La réflexion doit se préciser dans le contexte de l’évaluation du projet pilote. Il faudra harmoniser avec tout élément provenant des travaux proposés relatifs aux

catalyseurs de la collectivité de l’authentification.


Cadre et lignes directrices de l’IAAGérer la consultation relative aux définitions et aux normes, ainsi que l’adoption de ces dernières; gérer ensuite les changements nécessaires.

Consultations sur les lignes directrices Ébauche du cadre et des lignes directrices sur l’IAA

achevée en décembre 2004. Une consultation plus vaste a été amorcée pour obtenir

des commentaires et sensibiliser les personnes concernées.

Un site Internet a été conçu; il est hébergé par l’ISAC.Adresse : http://www.iccs-isac.org/eng/iaa_pub.htm

http://www.iccs-isac.org/eng/iaa_pub.htm







Engager les gouvernements à l’égard de l’authentification

Intérêt commun

Participation active

Information

Partenariats

Sites Web des ministères; échange d’information au besoin, une des applications opérationnelles

Réunions du CDPISP et du PSSDC;documents du Lac Carling

Maintenant Dans l’avenir

Cadre, politiques, lignes directrices, réalisation de l’authentification électronique, pratiques exemplaires,

etc.

Groupe de travail sur l’IAA; catalyseurs des opérations; engagement externe élargi

Adoption de définitions et de normes communes pour l’authentification;gouvernance solide; entente sur la responsabilisation, respect de la vie privée harmonisé; accès direct et transparent

Engagement des gouvernements

Adapté du document Énoncé de principe et lignes directrices sur la consultation et l’engagement des Canadiens (ébauche de travail) produit par le gouvernement fédéral, 2001 2002.

Deg

ré d

’in

flu

ence

En

gag

em

en

t


CDPISP/ PSSDC

Niveau

Gouvernement du Canada Niveau Authentification

Gouvernement de l’Ontario Niveau Authentification

Gouvernement de la Colombie Britannique Niveau Authentification

Gouvernement du Québec Niveau Authentification

0 (Anonyme) Aucune Non classifié Rudimentaire 1 facteur (mot de passe, NIP, jeton, biométrique)

Aucune exigence particulière

Sans objet Aucune

1 (Pseudonyme) 1 facteur – nom choisi par l’utilisateur et jeton (c. à d. mot de passe)

2 facteurs – nom d’utilisateur ou mot de passe et certificat – Santé

Sans objet Aucune

Faible

Faible 1 facteur (mot de passe, NIP, jeton, biométrique)

Cryptographie en format FIPS 140, niveau 1 exigée

Faible Programme ESDi (secrets partagés, c. à d. information sur le programme)

2a (Identité authentifiée)

1 facteur – nom d’utilisateur et secret partagé connu de l’application en ligne

Faible Combinaison d’un code d’utilisateur et d’un élément secret (mot de passe ou NIP)

Moyen Moyen

2 facteurs (mot de passe, NIP, jeton, biométrique)

Cryptographie en format FIPS 140, niveau 1 exigée

Moyen

VISA 3D (2 facteurs : carte et NIP)

Composante commune « RAA » (2 facteurs : nom d’utilisateur et mot de passe ou NIP et clé de substitution

2b (Identité identifiée)

1 facteur – nom d’utilisateur et jeton (c. à d. NIP ou mot de passe)

1 facteur – BCeID (nom d’utilisateur et mot de passe)

2 facteurs – nom d’utilisateur ou mot de passe et certificat pour Santé

Moyen

Combinaison d’un certificat numérique et d’un élément secret (mot de passe ou NIP)

Élevé

Élevé

2 facteurs (mot de passe, NIP, jeton, biométrique)

Cryptographie en format FIPS 140, niveau 2 et équipement exigés

Élevé

GOPKI (2 facteurs : nom d’utilisateur ou mot de passe et certificat

Certains jetons matériels

3 (Identité vérifiée)

Selon la politique – authentification par facteurs multiples

Nom d’utilisateur, mot de passe et certificat dans un jeton matériel

Nom d’utilisateur et mot de passe, et mot de passe à usage unique

Élevé

Combinaison d’un dispositif matériel concret (jeton ou carte intelligente) et d’un élément secret (mot de passe ou NIP); l’addition d’un certificat numérique peut aussi renforcer l’authentification.

Tableau 1 : Comparaison des niveaux d’assurance et des méthodes d’authentification

La nécessité des normes

Les modes de vérification de l’identité sont encore plus diversifiés que les méthodes d’authentification.


Vision relative aux résultats de la consultation

• Les méthodes d’authentification, à elles seules, ne suffisent pas pour réaliser une transaction fiable avec des particuliers.

• Il faut concevoir des protocoles pour la mise en place de secrets partagés, etc., qui serviront à vérifier l’identité, et pour l’établissement de liaisons avec les autres administrations.

Objectifs stratégiques Modifier les critères du cadre et des lignes directrices sur

l’IAA. Préciser les termes et les définitions. Améliorer les pratiques d’authentification et les outils

d’évaluation de celles ci. Prendre des engagements à l’égard d’options de

gouvernance en vue de gérer des normes communes et de faire en sorte que les questions relatives à la protection des renseignements personnels, à la sécurité, aux responsabilités et aux obligations soient réglées.


Plan de consultation

• Travaux publics et Services gouvernementaux Canada• Ministère des Services aux consommateurs et aux entreprises de l’Ontario

(MSCE)• Projet sur l’authentification du gouvernement de la Colombie Britannique• Neuf provinces canadiennes• Deux municipalités d’importances majeure (Ville de Toronto et Ville de

Winnipeg)• Industrie Canada• Agence du revenu du Canada• Ressources humaines et Développement des compétences Canada• Ministère des Affaires étrangères et du Commerce international• Sous comité CPSSP CDPIS sur la protection des renseignements personnels• Sous comité national des DPI sur la protection de l’information• Autorité de gestion des politiques de l’Agence des systèmes intelligents pour

la santé

Cibler un environnement propice à une approche « sans fausse route » de la prestation des services en ligne du gouvernement.


Authentification : prochaines étapes

En septembre, les deux conseils ont demandé au Groupe de travail de fournir davantage de détails sur la forme et la structure préconisées pour un deuxième projet pilote commun.

Proposition de réaliser, dans le secteur public ontarien, un projet pilote évaluant l’interopérabilité avec l’ePass du gouvernement fédéral.

Il est impératif que le projet pilote proposé soit lié aux objectifs opérationnels et, de préférence, aux travaux déjà en cours.

Le MSCE a accepté d’être le champion du secteur opérationnel et fournira une application pour le projet pilote.

La transaction gouvernementale qui a finalement été retenue sera une fonction concrète relative aux opérations (p. ex. modification des renseignements sur une entreprise).

On s’attend à ce que le résultat des travaux puisse être utilisé comme modèle ou comme application partagée après le projet pilote.


Le projet pilote fera appel à l’interface de sécurité intégrée (ISI) de l’Ontario.

L’ISI est un modèle qui englobe l’approche de l’authentification de l’Ontario relative aux secteurs concernant les citoyens et les programmes.

Un service d’authentification avec autorisation décentralisée, conforme aux normes de sécurité et de protection des renseignements personnels, qui est géré de façon centralisée et qui est implanté dans les secteurs des programmes :

répond aux besoins de médiums multiples en matière d’authentification; comporte une procédure d’identification unique pour la population et les

entreprises ontariennes voulant accéder aux services gouvernementaux offerts en ligne;

accepte divers jetons pour offrir à la population un accès simple, « sans fausse route », et des services directs;

ne permet aucune traçabilité menant aux secteurs des programmes, ce qui évite la consolidation de données ou la création d’un profil centralisé des citoyens, et protège ainsi la vie privée de la population.

Visa 3D

Qu’est-ce que l’ISI?


Projet pilote : activités réalisées à ce jour et activités prévues

L’entente de non divulgation est en voie d’être signée.

Le test de connectivité technique du modèle aura lieu pendant le premier trimestre de 2005.

Poursuite des réunions avec les secteurs opérationnels pour élaborer des catalyseurs opérationnels et des scénarios.

Les projets pilotes de validation du modèle à jetons multiples commencera pendant le troisième trimestre de 2005.


Harmonisation des opérations

Un ensemble initial de notes sur les catalyseurs opérationnels pour l’authentification a été élaboré et des commentaires ont été formulés.

Le MSCE conçoit présentement un scénario opérationnel avec plusieurs partenaires.

Création conjointe d’une proposition de projet pilote axé sur les opérations

Recherche active de participants


Proposition de projet pilote axé sur les opérations

Très probablement une fonction de gestion intergouvernementale pour la modification des renseignements sur les entreprises

Déterminer des partenaires du secteur opérationnel et de celui des TI en vue d’un accord et d’un engagement.

La consultation conjointe des partenaires est en cours.

Dresser la liste des participants et établir des RÉSULTATS ESCOMPTÉS PRÉCIS.

Une CHARTE SIGNÉE définissant les rôles et les responsabilités est en voie d’élaboration.

Mise à jour pendant Lac Carling IX


Jeff EvansPrésident, Groupe de travail sur l’IAABureau du stratège en chef de l’information pour la fonction publiqueSecrétariat du Conseil de gestionGouvernement de l’Ontario(416) 327 [email protected]

Pour obtenir plus d’information ou pour formuler des commentaires, communiquez avec :

Debbie FarrDirectrice, Conception et mise en œuvre des servicesService OntarioServices aux consommateurs et aux entreprisesGouvernement de l’Ontario (416) 326 5459 [email protected]


• Les activités d’identification des clients, d’authentification et d’autorisation ont toujours été réalisées au comptoir…

• Nous devons maintenant étudier comment exécuter ces activités dans un monde où la prestation intergouvernementale intégrée et multimodale des services est homogène, pratique et axée sur la clientèle.

• Cela signifie :• créer et émettre une identité électronique vérifiée et durable (par rapport

à une évaluation de la preuve présentée à l’appui de l’identité déclarée);• établir, au début de chaque séance en ligne, la validité de l’identité, s’il y

a lieu, à l’aide du niveau d’assurance;• accorder ou refuser l’accès à de l’information ou à des services en direct

en fonction des règles particulières aux transactions ou aux programmes liés aux services en direct concernés.

• Simultanément, nous devons faire en sorte que les questions relatives à la protection des renseignements personnels, à la sécurité, aux obligations et aux responsabilités soient réglées.

Contexte de l’IAA


Groupe de travail intergouvernemental sur l’IAA

• Le Groupe de travail sur l’IAA est une initiative nationale menée par l’Ontario et dirigée conjointement par le DPI du secteur public et les conseils de la prestation des services dans le secteur public (CDPISP et CPSSP).

• Le Groupe de travail s’affaire à régler les questions relatives à l’identification, à l’authentification et à l’autorisation qui ont été définies comme étant critiques pour la prestation électronique des services lors de la réunion du Lac Carling, en 2003.

• L’objectif est d’élaborer une norme qui pourra être utilisée par toutes les administrations pour simplifier le travail de mise en place de systèmes d’IAA intergouvernementaux et pour offrir une expérience client uniforme et cohérente.

• Les travaux s’appliquent à tous les types de transactions, par exemple : G2C, G2B et G2G.

• Le CDPISP et le CPSSP ont donné leur approbation finale quant au mandat et au plan de travail provisoire le 30 septembre 2003.


Groupe de travail sur l’IAA : résultats obtenus à ce jour

Version 1.0 du cadre et des lignes directrices sur l’IAA Pour application intergouvernementale; comprend les niveaux de confiance; version achevée et prête pour une

consultation plus vaste. Le cadre comprend notamment : un vocabulaire et un ensemble de définitions communs des lignes directrices et un cadre d’évaluation des pratiques pour l’IAA.

Projet pilote Élaboration du modèle de validation de principe présenté à Lac Carling; évaluation en cours Proposition relative au lancement d’un second projet pilote

Protection des renseignements personnels Le gouvernement du Canada mène une EFVP en utilisant la démonstration comme contexte. Les questions liées à la protection des renseignements personnels sont communiquées au sous comité pertinent du

CDPISP.

Responsabilité L’Ontario a rédigé un document sur les questions de responsabilité, auquel le Groupe de travail a contribué (le

document a été transmis à un comité juridique spécialisé dans la gouvernance électronique pour fins d’examen).

Gouvernance Des normes et une gouvernance solides sont proposées pour faire en sorte que les questions liées à la protection

des renseignements personnels, à la sécurité, aux responsabilités et aux obligations soient réglées.


Penser à long terme

• Les responsabilités et les obligations constituent une question clé pour tous les partenaires (clients, fournisseurs de services, gouvernement).

• Les exigences législatives et les principes relatifs à la protection des renseignements personnels doivent être respectés.

• Harmonisation des lois pour soutenir l’authentification. • Pratiques de sécurité communes.• Classification de l’information fondée sur l’évaluation du risque.• Solidité de l’assurance• Quelle devrait être la forme d’un organisme de gouvernance des

normes d’IAA, et que devrait il gouverner?• Compatibilité avec les cadres stratégiques de multiples

administrations.• La complexité et le coût croissent au fur et à mesure que la nature

délicate de l’information et les risques opérationnels augmentent.• Transparence pour renforcer la confiance de la clientèle.


Risque et responsa-

bilité gérés

Pratique, accès facile

Enregistre-ment optimisé

Information partagée

Vie privée

Chaîne de confiance

Application municipale/fédérale/provincialeactuelle

No 1

Inter-opérabilité

Sécurité Justificatifs partagés

Credentials

Rentable

Vue d’ensemble de l’IAA

Transparente

Niveau d’assurance convenu

Application municipale/fédérale/provincialeactuelle

No 2

Axée sur la clientèle

IntergouvernementaleAuthentifi-

cation municipale/

fédérale/ provinciale

actuelle

No 1

Authentifi-

cation municipale/

fédérale/ provinciale

actuelle

No2

Cadre, gouvernance, pratiques et définitions communs

Réunion conjointe du CDPISP et du CPSSP Identification, authentification et autorisation

Documents

Transcript of Réunion conjointe du CDPISP et du CPSSP Identification, authentification et autorisation