Réunion conjointe du CDPISP et du CPSSP Identification, authentification et autorisation
description
Transcript of Réunion conjointe du CDPISP et du CPSSP Identification, authentification et autorisation
CDPISP/CPSSP 15 février 2005 1
Réunion conjointe du CDPISP et du CPSSP
Identification, authentification et autorisation Mise à jour
Québec
Février 2005
SENSIBILITÉ MOYENNE
CDPISP/CPSSP 15 février 2005 2
Objectif de la présentation
Présentation des activités du Groupe de travail intergouvernemental sur l'identification, l'authentification et l'autorisation (IAA) au 16 février 2005 comportant les objectifs suivants :
donner un bref aperçu du travail accompli à ce jour;
déterminer les prochaines questions à traiter et les prochaines étapes potentielles;
cerner les sujets qui pourraient être d’un intérêt particulier pour le CDPISP et le CPSSP;
résumer les premières réflexions quant aux futures occasions favorables
SENSIBILITÉ MOYENNE
CDPISP/CPSSP 15 février 2005 3
Mise à jour CDPISP/CPSSP
Rapport présenté aux deux conseils par le Groupe de travail, en septembre.
En particulier, les conseils : ont approuvé, en principe, le lancement d’un deuxième projet pilote commun
faisant appel à de multiples jetons (au moins deux) entre multiples ordres de gouvernement;
ont souligné le fait que la collectivité des opérations devrait commencer à travailler sur les aspects de l’authentification non liés à la TI pour faire en sorte que les facteurs et les catalyseurs opérationnels soient déterminés et pris en compte.
À cet égard, le Groupe de travail devrait : donner davantage de précisions quant à la forme et à la structure préconisées
pour un deuxième projet pilote commun relatif à un service transactionnel, qui sera présenté à la prochaine réunion du CDPISP et du CPSSP, en février;
gérer la consultation relative aux définitions et aux normes, ainsi que l’adoption de ces dernières; gérer ensuite les changements nécessaires;
poursuivre l’évaluation du premier projet pilote en vue des prochaines étapes.
CDPISP/CPSSP 15 février 2005 4
Évaluation du projet piloteL’évaluation du « modèle de validation de principe » du projet pilote REsurWEB de RHDC – C. B. visait à utiliser les résultats issus de l’évaluation pour alimenter des discussions ultérieures.
Pendant l’évaluation, plusieurs questions ont été jugées critiques dans le contexte de la définition d’une solution ou d’un ensemble de solutions concernant les systèmes d’IAA communs.Protection des renseignements personnels
Le gouvernement du Canada mène une EFVP en utilisant la démonstration comme contexte.
Les questions liées à la protection des renseignements personnels sont transmises au sous comité pertinent du CDPISP.
Responsabilité L’Ontario a rédigé un document sur les questions de responsabilité, auquel a contribué le
Groupe de travail (le document a été transmis à un comité juridique spécialisé dans la gouvernance
électronique pour fins d’examen).Gouvernance
Le mandat du Groupe de travail indique clairement que la formulation d’options et de recommandations relatives à la gouvernance figure parmi les tâches de celui ci.
Des travaux ont déjà été présentés aux deux conseils. La réflexion doit se préciser dans le contexte de l’évaluation du projet pilote. Il faudra harmoniser avec tout élément provenant des travaux proposés relatifs aux
catalyseurs de la collectivité de l’authentification.
CDPISP/CPSSP 15 février 2005 5
Cadre et lignes directrices de l’IAAGérer la consultation relative aux définitions et aux normes, ainsi que l’adoption de ces dernières; gérer ensuite les changements nécessaires.
Consultations sur les lignes directrices Ébauche du cadre et des lignes directrices sur l’IAA
achevée en décembre 2004. Une consultation plus vaste a été amorcée pour obtenir
des commentaires et sensibiliser les personnes concernées.
Un site Internet a été conçu; il est hébergé par l’ISAC.Adresse : http://www.iccs-isac.org/eng/iaa_pub.htm
CDPISP/CPSSP 15 février 2005 6
Engager les gouvernements à l’égard de l’authentification
Intérêt commun
Participation active
Information
Partenariats
Sites Web des ministères; échange d’information au besoin, une des applications opérationnelles
Réunions du CDPISP et du PSSDC;documents du Lac Carling
Maintenant Dans l’avenir
Cadre, politiques, lignes directrices, réalisation de l’authentification électronique, pratiques exemplaires,
etc.
Groupe de travail sur l’IAA; catalyseurs des opérations; engagement externe élargi
Adoption de définitions et de normes communes pour l’authentification;gouvernance solide; entente sur la responsabilisation, respect de la vie privée harmonisé; accès direct et transparent
Engagement des gouvernements
Adapté du document Énoncé de principe et lignes directrices sur la consultation et l’engagement des Canadiens (ébauche de travail) produit par le gouvernement fédéral, 2001 2002.
Deg
ré d
’in
flu
ence
En
gag
em
en
t
CDPISP/CPSSP 15 février 2005 7
CDPISP/ PSSDC
Niveau
Gouvernement du Canada Niveau Authentification
Gouvernement de l’Ontario Niveau Authentification
Gouvernement de la Colombie Britannique Niveau Authentification
Gouvernement du Québec Niveau Authentification
0 (Anonyme) Aucune Non classifié Rudimentaire 1 facteur (mot de passe, NIP, jeton, biométrique)
Aucune exigence particulière
Sans objet Aucune
1 (Pseudonyme) 1 facteur – nom choisi par l’utilisateur et jeton (c. à d. mot de passe)
2 facteurs – nom d’utilisateur ou mot de passe et certificat – Santé
Sans objet Aucune
Faible
Faible 1 facteur (mot de passe, NIP, jeton, biométrique)
Cryptographie en format FIPS 140, niveau 1 exigée
Faible Programme ESDi (secrets partagés, c. à d. information sur le programme)
2a (Identité authentifiée)
1 facteur – nom d’utilisateur et secret partagé connu de l’application en ligne
Faible Combinaison d’un code d’utilisateur et d’un élément secret (mot de passe ou NIP)
Moyen Moyen
2 facteurs (mot de passe, NIP, jeton, biométrique)
Cryptographie en format FIPS 140, niveau 1 exigée
Moyen
VISA 3D (2 facteurs : carte et NIP)
Composante commune « RAA » (2 facteurs : nom d’utilisateur et mot de passe ou NIP et clé de substitution
2b (Identité identifiée)
1 facteur – nom d’utilisateur et jeton (c. à d. NIP ou mot de passe)
1 facteur – BCeID (nom d’utilisateur et mot de passe)
2 facteurs – nom d’utilisateur ou mot de passe et certificat pour Santé
Moyen
Combinaison d’un certificat numérique et d’un élément secret (mot de passe ou NIP)
Élevé
Élevé
2 facteurs (mot de passe, NIP, jeton, biométrique)
Cryptographie en format FIPS 140, niveau 2 et équipement exigés
Élevé
GOPKI (2 facteurs : nom d’utilisateur ou mot de passe et certificat
Certains jetons matériels
3 (Identité vérifiée)
Selon la politique – authentification par facteurs multiples
Nom d’utilisateur, mot de passe et certificat dans un jeton matériel
Nom d’utilisateur et mot de passe, et mot de passe à usage unique
Élevé
Combinaison d’un dispositif matériel concret (jeton ou carte intelligente) et d’un élément secret (mot de passe ou NIP); l’addition d’un certificat numérique peut aussi renforcer l’authentification.
Tableau 1 : Comparaison des niveaux d’assurance et des méthodes d’authentification
La nécessité des normes
Les modes de vérification de l’identité sont encore plus diversifiés que les méthodes d’authentification.
CDPISP/CPSSP 15 février 2005 8
Vision relative aux résultats de la consultation
• Les méthodes d’authentification, à elles seules, ne suffisent pas pour réaliser une transaction fiable avec des particuliers.
• Il faut concevoir des protocoles pour la mise en place de secrets partagés, etc., qui serviront à vérifier l’identité, et pour l’établissement de liaisons avec les autres administrations.
Objectifs stratégiques Modifier les critères du cadre et des lignes directrices sur
l’IAA. Préciser les termes et les définitions. Améliorer les pratiques d’authentification et les outils
d’évaluation de celles ci. Prendre des engagements à l’égard d’options de
gouvernance en vue de gérer des normes communes et de faire en sorte que les questions relatives à la protection des renseignements personnels, à la sécurité, aux responsabilités et aux obligations soient réglées.
CDPISP/CPSSP 15 février 2005 9
Plan de consultation
• Travaux publics et Services gouvernementaux Canada• Ministère des Services aux consommateurs et aux entreprises de l’Ontario
(MSCE)• Projet sur l’authentification du gouvernement de la Colombie Britannique• Neuf provinces canadiennes• Deux municipalités d’importances majeure (Ville de Toronto et Ville de
Winnipeg)• Industrie Canada• Agence du revenu du Canada• Ressources humaines et Développement des compétences Canada• Ministère des Affaires étrangères et du Commerce international• Sous comité CPSSP CDPIS sur la protection des renseignements personnels• Sous comité national des DPI sur la protection de l’information• Autorité de gestion des politiques de l’Agence des systèmes intelligents pour
la santé
Cibler un environnement propice à une approche « sans fausse route » de la prestation des services en ligne du gouvernement.
CDPISP/CPSSP 15 février 2005 10
Authentification : prochaines étapes
En septembre, les deux conseils ont demandé au Groupe de travail de fournir davantage de détails sur la forme et la structure préconisées pour un deuxième projet pilote commun.
Proposition de réaliser, dans le secteur public ontarien, un projet pilote évaluant l’interopérabilité avec l’ePass du gouvernement fédéral.
Il est impératif que le projet pilote proposé soit lié aux objectifs opérationnels et, de préférence, aux travaux déjà en cours.
Le MSCE a accepté d’être le champion du secteur opérationnel et fournira une application pour le projet pilote.
La transaction gouvernementale qui a finalement été retenue sera une fonction concrète relative aux opérations (p. ex. modification des renseignements sur une entreprise).
On s’attend à ce que le résultat des travaux puisse être utilisé comme modèle ou comme application partagée après le projet pilote.
CDPISP/CPSSP 15 février 2005 11
Le projet pilote fera appel à l’interface de sécurité intégrée (ISI) de l’Ontario.
L’ISI est un modèle qui englobe l’approche de l’authentification de l’Ontario relative aux secteurs concernant les citoyens et les programmes.
Un service d’authentification avec autorisation décentralisée, conforme aux normes de sécurité et de protection des renseignements personnels, qui est géré de façon centralisée et qui est implanté dans les secteurs des programmes :
répond aux besoins de médiums multiples en matière d’authentification; comporte une procédure d’identification unique pour la population et les
entreprises ontariennes voulant accéder aux services gouvernementaux offerts en ligne;
accepte divers jetons pour offrir à la population un accès simple, « sans fausse route », et des services directs;
ne permet aucune traçabilité menant aux secteurs des programmes, ce qui évite la consolidation de données ou la création d’un profil centralisé des citoyens, et protège ainsi la vie privée de la population.
Visa 3D
Qu’est-ce que l’ISI?
CDPISP/CPSSP 15 février 2005 12
Projet pilote : activités réalisées à ce jour et activités prévues
L’entente de non divulgation est en voie d’être signée.
Le test de connectivité technique du modèle aura lieu pendant le premier trimestre de 2005.
Poursuite des réunions avec les secteurs opérationnels pour élaborer des catalyseurs opérationnels et des scénarios.
Les projets pilotes de validation du modèle à jetons multiples commencera pendant le troisième trimestre de 2005.
CDPISP/CPSSP 15 février 2005 13
Harmonisation des opérations
Un ensemble initial de notes sur les catalyseurs opérationnels pour l’authentification a été élaboré et des commentaires ont été formulés.
Le MSCE conçoit présentement un scénario opérationnel avec plusieurs partenaires.
Création conjointe d’une proposition de projet pilote axé sur les opérations
Recherche active de participants
CDPISP/CPSSP 15 février 2005 14
Proposition de projet pilote axé sur les opérations
Très probablement une fonction de gestion intergouvernementale pour la modification des renseignements sur les entreprises
Déterminer des partenaires du secteur opérationnel et de celui des TI en vue d’un accord et d’un engagement.
La consultation conjointe des partenaires est en cours.
Dresser la liste des participants et établir des RÉSULTATS ESCOMPTÉS PRÉCIS.
Une CHARTE SIGNÉE définissant les rôles et les responsabilités est en voie d’élaboration.
Mise à jour pendant Lac Carling IX
CDPISP/CPSSP 15 février 2005 15
Jeff EvansPrésident, Groupe de travail sur l’IAABureau du stratège en chef de l’information pour la fonction publiqueSecrétariat du Conseil de gestionGouvernement de l’Ontario(416) 327 [email protected]
Pour obtenir plus d’information ou pour formuler des commentaires, communiquez avec :
Debbie FarrDirectrice, Conception et mise en œuvre des servicesService OntarioServices aux consommateurs et aux entreprisesGouvernement de l’Ontario (416) 326 5459 [email protected]
CDPISP/CPSSP 15 février 2005 16
• Les activités d’identification des clients, d’authentification et d’autorisation ont toujours été réalisées au comptoir…
• Nous devons maintenant étudier comment exécuter ces activités dans un monde où la prestation intergouvernementale intégrée et multimodale des services est homogène, pratique et axée sur la clientèle.
• Cela signifie :• créer et émettre une identité électronique vérifiée et durable (par rapport
à une évaluation de la preuve présentée à l’appui de l’identité déclarée);• établir, au début de chaque séance en ligne, la validité de l’identité, s’il y
a lieu, à l’aide du niveau d’assurance;• accorder ou refuser l’accès à de l’information ou à des services en direct
en fonction des règles particulières aux transactions ou aux programmes liés aux services en direct concernés.
• Simultanément, nous devons faire en sorte que les questions relatives à la protection des renseignements personnels, à la sécurité, aux obligations et aux responsabilités soient réglées.
Contexte de l’IAA
CDPISP/CPSSP 15 février 2005 17
Groupe de travail intergouvernemental sur l’IAA
• Le Groupe de travail sur l’IAA est une initiative nationale menée par l’Ontario et dirigée conjointement par le DPI du secteur public et les conseils de la prestation des services dans le secteur public (CDPISP et CPSSP).
• Le Groupe de travail s’affaire à régler les questions relatives à l’identification, à l’authentification et à l’autorisation qui ont été définies comme étant critiques pour la prestation électronique des services lors de la réunion du Lac Carling, en 2003.
• L’objectif est d’élaborer une norme qui pourra être utilisée par toutes les administrations pour simplifier le travail de mise en place de systèmes d’IAA intergouvernementaux et pour offrir une expérience client uniforme et cohérente.
• Les travaux s’appliquent à tous les types de transactions, par exemple : G2C, G2B et G2G.
• Le CDPISP et le CPSSP ont donné leur approbation finale quant au mandat et au plan de travail provisoire le 30 septembre 2003.
CDPISP/CPSSP 15 février 2005 18
Groupe de travail sur l’IAA : résultats obtenus à ce jour
Version 1.0 du cadre et des lignes directrices sur l’IAA Pour application intergouvernementale; comprend les niveaux de confiance; version achevée et prête pour une
consultation plus vaste. Le cadre comprend notamment : un vocabulaire et un ensemble de définitions communs des lignes directrices et un cadre d’évaluation des pratiques pour l’IAA.
Projet pilote Élaboration du modèle de validation de principe présenté à Lac Carling; évaluation en cours Proposition relative au lancement d’un second projet pilote
Protection des renseignements personnels Le gouvernement du Canada mène une EFVP en utilisant la démonstration comme contexte. Les questions liées à la protection des renseignements personnels sont communiquées au sous comité pertinent du
CDPISP.
Responsabilité L’Ontario a rédigé un document sur les questions de responsabilité, auquel le Groupe de travail a contribué (le
document a été transmis à un comité juridique spécialisé dans la gouvernance électronique pour fins d’examen).
Gouvernance Des normes et une gouvernance solides sont proposées pour faire en sorte que les questions liées à la protection
des renseignements personnels, à la sécurité, aux responsabilités et aux obligations soient réglées.
CDPISP/CPSSP 15 février 2005 19
Penser à long terme
• Les responsabilités et les obligations constituent une question clé pour tous les partenaires (clients, fournisseurs de services, gouvernement).
• Les exigences législatives et les principes relatifs à la protection des renseignements personnels doivent être respectés.
• Harmonisation des lois pour soutenir l’authentification. • Pratiques de sécurité communes.• Classification de l’information fondée sur l’évaluation du risque.• Solidité de l’assurance• Quelle devrait être la forme d’un organisme de gouvernance des
normes d’IAA, et que devrait il gouverner?• Compatibilité avec les cadres stratégiques de multiples
administrations.• La complexité et le coût croissent au fur et à mesure que la nature
délicate de l’information et les risques opérationnels augmentent.• Transparence pour renforcer la confiance de la clientèle.
CDPISP/CPSSP 15 février 2005 20
Risque et responsa-
bilité gérés
Pratique, accès facile
Enregistre-ment optimisé
Information partagée
Vie privée
Chaîne de confiance
Application municipale/fédérale/provincialeactuelle
No 1
Inter-opérabilité
Sécurité Justificatifs partagés
Credentials
Rentable
Vue d’ensemble de l’IAA
Transparente
Niveau d’assurance convenu
Application municipale/fédérale/provincialeactuelle
No 2
Axée sur la clientèle
IntergouvernementaleAuthentifi-
cation municipale/
fédérale/ provinciale
actuelle
No 1
Authentifi-
cation municipale/
fédérale/ provinciale
actuelle
No2
Cadre, gouvernance, pratiques et définitions communs