Le SIRTFI (Security Incident Response Trust Framework for Federated Identity)

Le Security Incident Response Trust Framework for Federated Identity (SIRTFI) a pour but de coordonner la réponse des organisations qui adhèrent à une fédération d’identités (comme la Fédération canadienne d’accès ou (FCA) aux incidents relatifs à la sécurité. Dans cette optique, l’organisme a dressé une liste d’assertions que chaque organisation doit confirmer pour prouver qu’elle s’y conforme.

Le SIRTFI rehausse la sûreté des opérations d’un cran en identifiant les partenaires d’eduGAIN dignes de confiance.

La conformité au SIRTFI s’exprime au niveau des métadonnées. Elle indique clairement quelles organisations acceptent de collaborer pour intervenir d’une manière efficace quand survient un incident.

Pour une institution de recherche et d’éducation :

être conforme au SIRTFI, c’est donner à ses utilisateurs la possibilité d’accéder à un univers de ressources indispensables à la recherche et à l’éducation, de plus en plus de fournisseurs de services recourant à ce régime d’encadrement pour l’authentification.

Pour le fournisseur de services s’adressant aux milieux de la recherche et de l’éducation :

se conformer au SIRTFI, c’est renforcer ses pratiques de sécurité et étendre ses services aux organisations qui n’authentifient que les fournisseurs se conformant au SIRTFI.

Un modèle de fiabilité reconnu dans le monde entier

GÉANT, le réseau paneuropéen de la recherche et de l’éducation, a conçu le cadre SIRTFI par le truchement de son groupe de travail sur les fédérations d’institutions de recherche et d’éducation (REFEDS).

Exigences

Pour être conforme au SIRTFI, l’organisation confirme qu’elle épouse certaines pratiques exemplaires sur les plans de la sécurité des opérations, de la réponse aux incidents et de la traçabilité. Elle doit également avoir rendu publique une politique d’utilisation acceptable (PUA) et avoir mis en place un procédé pour faire en sorte que les utilisateurs en prennent connaissance et acceptent de respecter la politique. Enfin, l’organisation doit désigner un contact pour le SIRTFI et le mentionner dans ses métadonnées. Vous devez aussi utiliser la version la plus récente du logiciel du fournisseur d’identités ne présentant aucune vulnérabilité sur le plan de la sécurité.

Le cadre ne précise pas à quel niveau l’organisation doit appliquer ses assertions à son système d’information. Ce que l’organisation investit pour atténuer un risque quelconque sera proportionnel aux dommages que pourrait causer le risque en question et à la probabilité qu’il se concrétise, une détermination que seule chaque organisation peut faire.

Apprenez-en plus sur le SIRTFI du groupe de travail REFEDS : https://refeds.org/sirtfi

Demande de conformité au SIRTFI

Pour obtenir la conformité au SIRTFI, veuillez remplir la demande ci-dessous.

La demande doit être remplie par le signataire autorisé, le contact d’affaires principal ou le contact technique principal désignés par l’organisation et inscrits aux dossiers de la Fédération canadienne d’accès (FCA).

Notre équipe prendra contact avec vous dans les cinq (5) jours ouvrables suivant la réception de la demande pour vous expliquer les étapes subséquentes. Si vous avez la moindre question, n’hésitez pas à nous en faire part en écrivant à [email protected].

Nouvelles du programme

le 23 octobre, 2017

Durant leurs pérégrinations, les étudiants du Canada se branchent à eduroam un million de fois par jour

En apprendre plus

le 10 avril, 2017

CANARIE s’associe à Splunk pour offrir gratuitement une formation doublée d’une certification à ses membres des milieux de la recherche et de l’éducation

En apprendre plus

le 30 septembre, 2016

La confiance règne-t-elle? Parlons-en.

En apprendre plus