Maintenant implantée à l’UdeM, l’authentification forte à deux facteurs (A2F) ajoute un niveau de sécurité additionnel aux comptes personnels uniques pour chacun des membres de la communauté universitaire. Elle permet de vérifier que vous êtes bien la personne que vous prétendez être lorsque vous vous connectez à des services en ligne importants. Mais qu’en est-il des autres comptes à hauts privilèges qui permettent de donner des accès à nos systèmes aux invités d’une unité? Ou des comptes qui sont utilisés pour exécuter des opérations d’administrateurgestion des accès utilisés par un responsable informatique ou une personne déléguée dans une unité pour gérer les accès d'un membre de son unité? Afin d’avoir le niveau de sécurité recommandé par le ministère de l'ÉducationMinistère de la Cybersécurité et du Numérique, ces comptes nécessitent urgemment l’intégration à l’authentification forte ( A2F). La sécurisation des comptes "ca-unité" s'effectuera dans les prochains mois pour l'ensemble des unités de l'UdeM. Vers la sécurisation des comptes de gestion à hauts privilèges La sécurisation des comptes à hauts privilèges annonce la fin des comptes d’administrateurs actuels connus sous l’appellation « ca-unité ». Ceux-ci étant souvent partagés et/ou utilisés pour d’autres opérations que la gestion des permissions locales (OGLP), telles que l’exécution de scripts , ou l'automatisation de certaines tâches, etc. . il Il est alors difficile d’en assurer l’unicité ou la sécurité. Renommer les comptes « ca-unité1 », « ca-unité2 » deviendrait rapidement fastidieux et ne réduirait pas le risque de partage. Pour assurer la sécurité d'un compte de gestion, le compte doit avoir un seul utilisateur-propriétaire et lui seul devrait savoir le mot de passe du compte. celui-ci doit être utilisé par une seule personne qui en contrôle l'utilisation, la sécurité et les accès. Par conséquent, le compte à haut privilège doit être unique de gestion à hauts privilèges "admu_code d'accès" sera associé à un utilisateur-propriétaire . Le compte de gestion à haut privilège sera associé au profil de son propriétaire et celui-ci devrait inscrire un deuxième facteur d’authentification (A2F) pour ce compte.unique dont lui seul connait le mot de passe UNIP ainsi que la 2e méthode d'authentification A2F reliée. Ce qui change:
- Un Le compte de gestion à hauts privilèges ne pourra plus être partagé.
- Le mot de passe du compte de gestion à hauts privilèges sera choisi et connu de ainsi que les méthodes d'authentification à deux facteurs (A2F) reliées seront choisis, connus ou modifiés par son propriétaire uniquement.
- Un Le compte « « admu_code d’accès » » sera créé pour chaque utilisateur dont la fonction et/ou les tâches nécessitent d’avoir un accès à l’Outil de gérer les permissions d'accès par l'Outil de gestion des permissions locales (OGLP) ou par un autre système.
- Les permissions d'accès ou privilèges de gestion de ce compte seront limitées aux besoins tels que déterminés par son gestionnaire.
- Les comptes Le compte « ca-unité » qui sont utilisés pour l’automatisation de certaines tâches seront remplacés par des comptes de services.Les comptes « ca-unité » qui sont indiqués unité » qui est utilisé dans l’automatisation de certaines tâches ou indiqué dans des scripts locaux et/ou du domaine SIM pour la gestion des permissions/opérations devront être changés par le compte « admu-code d’accès » unique.devra être remplacé par un compte de service.
- Pour des raisons de sécurité, un compte de gestion, de fonction ou d'administrateur n'est pas autorisé à utiliser le VPN de l'UdeM.
Comment se préparer à la sécurisation du compte "ca-unité"? L'analyse de l'utilisation du compte "ca-unité" dans votre unité est une réflexion nécessaire pour afin d'assurer une transition harmonieuse vers la sécurisation du compte de gestion à hauts privilèges de votre unité. Consultez le document "Comment me préparer à la sécurisation du compte ca-unité" puis inscrivez les informations pertinentes de votre unité dans le fichier Excel préformaté à cette fin pour débuter l'analyse. | 