Test d'intrusion

Description du service

Le service de tests d’intrusion des sites web et des prestations électroniques de services (PES) vise à dresser un portrait objectif de l’efficacité des mesures de sécurité des systèmes identifiés exposés sur Internet, en vue d’obtenir un niveau d’assurance confirmé quant à la robustesse des mécanismes de sécurité en place. Ce service est offert pour les applications hébergées sur les infrastructures du gouvernement par l’intermédiaire d’Infrastructures technologiques Québec (ITQ). 

Les objectifs du service de tests d’intrusion sont les suivants : 

  • obtenir une opinion indépendante et objective sur l’efficacité des mesures de sécurité en place pour assurer la protection de vos actifs informationnels;
  • identifier avec précision les vulnérabilités exploitables;
  • proposer des mesures d’atténuation des risques majeurs, tant au niveau applicatif qu'au niveau de l’infrastructure.

Les tests d'intrusion sont recommandés sur une base périodique, ou encore à la suite de changements technologiques ou applicatifs touchant les éléments suivants :

  • l’authentification;
  • le contrôle d’accès/autorisation;
  • la cryptographie;
  • le protocole de communication;
  • les nouveaux intrants d’Internet et la validation d’intrants provenant d’Internet;
  • la journalisation.

Ce que le service comprend

  • Une définition du mandat;
  • La réalisation du test d’intrusion;
  • Un rapport détaillé des vulnérabilités identifiées.

Ce que le service ne comprend pas

  • La prise en charge, par ITQ, des corrections à apporter aux applicatifs gérés par le client.

Niveaux de service

CatégorieDescriptionNiveau de service
Délai
 
Contacter le client afin de planifier une rencontre de prise de besoins5 jours ouvrables dans 95 % des cas
Produire une définition de mandatEntente commune
Réaliser le test d’intrusionEntente commune
Transmettre au client le rapport de test d'intrusion10 jours ouvrables dans 95 % des casa
Conditions d'atteinte des niveaux de service
a. Après la réalisation du test.

Modalités de partenariat

(Obligations générales et légales)

ITQ s’assure du respect des engagements à l’entente de services partagés (PDF 430 Ko), dont les principaux sont :

  • l’accès à l’information et la protection de renseignements personnels et confidentiels;
  • la sécurité de l’information;
  • le droit de propriété et les droits d’auteur;
  • les conflits d’intérêts;
  • le règlement des différends; 
  • la vérification;
  • la sous-traitance;
  • etc.

Rôles et responsabilités

ITQ s'assure de :

  • qualifier des firmes indépendantes responsables d’exécuter les tests d’intrusion;
  • prendre en charge la réalisation du test d’intrusion et la production du rapport.

De son côté, le client doit :

  • identifier un responsable qui agira à titre de contact pour la réalisation du test;
  • prendre à sa charge les correctifs recommandés sur ses applications à la suite du test d’intrusion;
  • Ne pas effectuer, de sa propre initiative, de tests d’intrusion sur les infrastructures du gouvernement.

Tarification

La tarification est établie en fonction du niveau de la complexité du test.

Soutien à l'utilisation

Le soutien est assuré par le centre de service à la clientèle (CSC) (PDF 324 Ko). Les coordonnées sont :

Heures d’ouverture :

  • du lundi au vendredi, de 7 h 30 à 17 h. 

Merci de noter qu’en dehors des heures d’ouverture, des ressources sont disponibles pour répondre aux urgences. Les canaux de communication sont précisés dans les ententes de service.
 

Pour obtenir ce service ou pour information supplémentaire

Tout organisme public qui désire obtenir des services en TI du gouvernement pour la première fois est invité à communiquer avec le développement des affaires : 

Les clients qui obtiennent déjà des services en TI du gouvernement sont invités à contacter leur conseiller à la relation clientèle (PDF 231 Ko).