Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS)

AMOPS 2017-01
Date : Le
Modification :
Le

Sur cette page

1. But

Le présent Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) vise à :

  • aider les ministèresVoir la note en bas de page 1 à comprendre les exigences de la Politique sur la sécurité du Secrétariat du Conseil du Trésor (SCT) existantes dans le contexte de l’informatique en nuage;
  • établir des orientations qui aideront les organisations à utiliser de façon sûre les services commerciaux d’informatique en nuage.

2. Portée

Le présent AMOPS s’applique aux renseignements du gouvernement du Canada (GC) qui sont désignés par la catégorie de sécurité Protégé B pour la confidentialité, intégrité moyenne et disponibilité moyenne. Ces exigences doivent aussi être appliquées aux renseignements de catégorie de sécurité Protégé A lorsqu’une évaluation des risques le justifie.

3. Date d’entrée en vigueur

Le présent AMOPS entre en vigueur le .

4. Application

Le présent AMOPS s’applique à tous les ministères aux termes des annexes I, I.1, II, IV et V de la Loi sur la gestion des finances publiques, à moins d’une exclusion prévue dans les lois, règlements ou décrets.

5. Contexte

L’informatique en nuage est susceptible d’assouplir la prestation des services de la TI. Grâce à ce modèle de prestation de services, les personnes et les organisations (ou « locataires »), peuvent utiliser les logiciels, le matériel et les services qui sont hébergés ailleurs que dans les installations du GC, dont la gestion est assurée par une organisation du secteur privé. Cela comprend ce qui suit :

  • des logiciels de courriel et de gestion de la relation client, par exemple;
  • des plateformes, comme des systèmes d’exploitation et des bases de données;
  • des infrastructures, comme les serveurs, les solutions de stockage et les réseaux.

Il convient de veiller à atténuer les risques liés à l’utilisation des services d’informatique en nuage. L’adoption de ce modèle exigera :

  • une diligence raisonnable et de la prudence de la part du GC au moment de sélectionner un fournisseur de services d’informatique en nuage (FSI);
  • de définir clairement les rôles et responsabilités du GC et du FSI en ce qui concerne la mise en œuvre, l’exploitation et la mise à jour des mesures de sécurité qui appuient les obligations du GC en matière de protection des données et des renseignements personnels.

Les administrateurs généraux ont le devoir et la responsabilité d’assurer la protection des systèmes d’information dont le contrôle et la garde reviennent à leur organisation. Parmi ces responsabilités sont incluses les suivantes :

  • la protection de la confidentialité, de l’intégrité et de la disponibilité des actifs de l’information et à la TI du GC;
  • la mise en œuvre de mesures adéquates pour assurer la protection des renseignements personnels au moment de recourir aux services d’informatique en nuage.

Ces responsabilités peuvent être respectées par une assertion de Services partagés Canada (SPC) des services rendus dans l’exercice de son rôle de courtier pour l’informatique en nuage du GC.

6. Orientation

Les ministères sont responsables de la gestion et de l’utilisation efficace des services d’informatique en nuage, notamment la protection adéquate de la confidentialité, l’intégrité et la disponibilité de l’information qui est entreposée, traitée et transmise. Le recours aux services fournis par le GC peut contribuer au respect de certaines exigences présentées dans les sections qui suivent.

Pour obtenir de plus amples détails sur les pratiques exemplaires, veuillez consulter Guide sur l’évaluation et l’autorisation de la sécurité infonuagique du Centre de la sécurité des télécommunications (CST).

6.1 Gestion du risque

Les ministères doivent gérer de façon continue les risques de sécurité touchant l’information et les actifs de la TI tout au long du cycle de vie de leurs programmes et services.Voir la note en bas de page 2 Dans le cadre de l’informatique en nuage, la gestion du risque s’inspire d’un modèle de partage des responsabilités. Bien que le FSI s’acquitte de certaines responsabilités en matière d’atténuation du risque, les ministères sont responsables des risques, en dernier ressort.

La mise en œuvre d’une approche fondée sur le risque :

  • appuie la prise de décisions fondées sur des données probantes
  • dois être appliquée avant qu’un propriétaire organisationnel autorise que des renseignements protégés du GC soient traités, entreposés ou transmis par un service fondé sur l’informatique en nuage

Le document ayant pour titre : Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage du GC sert à appuyer les ministères dans la gestion du risque. Ce document, qui s’inspire de la publication ITSG-33 du CST, La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33) - Centre canadien pour la cybersécurité, définit les pouvoirs, les approches et les procédures de gestion des risques liés à la sécurité de la TI lors de l’utilisation des services d’informatique en nuage. Il souligne également les responsabilités partagées relatives à la mise en œuvre des mesures de sécurité, en faisant preuve de rigueur, afin d’autoriser l’hébergement des services du GC et les renseignements connexes dans les services en nuage fournis par les FSI commerciaux.

6.1.1 Catégorisation de la sécurité

Avant d’utiliser les services d’informatique en nuage pour appuyer les programmes et services ministériels, les ministères doivent identifier et catégoriser l’information en fonction du degré de préjudices qui pourraient potentiellement causer une compromission de la confidentialité, de l’intégrité et de la disponibilité.Voir la note en bas de page 3 Les ministères peuvent consulter l’outil de catégorisation de la sécurité aux fins de soutien dans l’exécution de cette tâche.

6.1.2 Mesures de sécurité de base

Les ministères doivent appliquer des mesures de protection progressives qui sont proportionnelles aux risques menaçant leur information et leurs actifs de la TI, en ayant recours à des mesures de protection plus rigoureuses à mesure qu’augmentent la valeur des actifs, les exigences de la prestation de services et les menaces à la confidentialité, à la disponibilité ou à l’intégrité.Voir la note en bas de page 4 La mise en place de profils de mesures de sécurité pourrait mener à l’atteinte de cette exigence.

Un profil de contrôle de la sécurité physique est un ensemble de contrôles de sécurité de la TI qu’une organisation établit comme exigence minimale obligatoire pour ses systèmes d’information. En adoptant un ensemble de mesures de sécurité normalisé, les ministères peuvent :

  • identifier et évaluer les risques
  • élaborer des stratégies pour avantageusement atténuer les risques

Le Profil de contrôle de sécurité pour les services de la TI du GC fondés sur l’informatique en nuage est un point de départ pour les ministères. Il établit les mesures de sécurité de base recommandés dans le cadre de la mise en œuvre par le FSI et les ministères du GC, afin de protéger adéquatement les services axés sur l’informatique en nuage désignés par la catégorie de sécurité Protégé B, intégrité moyenne et disponibilité moyenne. Il documente également le contexte dans lequel ces mesures de sécurité devraient être mises en place.

Dans le cas des renseignements et des actifs de la TI désignés par une catégorie de sécurité autre que Protégé B ou une catégorie moyenne en ce qui concerne l’intégrité et la disponibilité, un ensemble différent de mesures de sécurité de base sera probablement nécessaire. L’annexe 1 de la publication ITSG-33 du CST, La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33) - Centre canadien pour la cybersécurité, offre des orientations en ce sens.

6.1.3 Assurance responsabilité civile

Les ministères n’ont pas le contrôle direct de toutes les mesures de sécurité d’un service d’informatique en nuage. Ils n’ont pas non plus une vue d’ensemble suffisante de la conception, de l’élaboration et de l’installation de ces mesures de sécurité. Par conséquent, des méthodes différentes d’évaluation des risques doivent être appliquées. Les ministères peuvent tirer parti des rapports indépendants comme ceux énumérés ci-après pour constituer l’assurance responsabilité civile lorsque le ministère est dans l’impossibilité d’exécuter une inspection ou une mesure physique :

  • ISO/IEC 27001
  • ISO/IEC 27017
  • ISO/IEC 27018
  • Federal Risk and Authorization Management Program (FedRAMP)
  • Normes de sécurité sur les données de l’industrie des cartes de paiement (PCI-DSS)
  • Cloud Security Alliance (CSA) Security, Trust and Assurance Registry (STAR)
  • Rapports de vérification ou certifications d’AICPA Service Organization Controls (SOC)

Une certification de tierce partie nécessite que la tierce partie soit indépendante, qui se doit d’être objective et d’appliquer des normes professionnelles aux preuves qu’elle examine et produit.

Il est attendu des FSI qu’ils documentent clairement les mesures de sécurité et les caractéristiques mises en œuvre dans leurs services d’informatique en nuage afin d’aider le GC à comprendre les mesures de sécurité qui relèvent de son domaine de responsabilité. De telles mesures comprennent celles ayant été héritées par les FSI. Par exemple, un fournisseur de logiciel qui utilise un fournisseur d’infrastructure pour livrer une offre de logiciel comme service (SaaS) héritera des mesures de sécurité du fournisseur d’infrastructure. Dans ce cas, il est prévu que le FSI obtiendra une garantie que l’infrastructure comme service (IaaS) sous-jacente ou l’offre de plateforme comme service (PaaS) qui sera mise à profit pour l’offre de SaaS aura :

  • effectué la mise en œuvre des mesures appropriées dans son champ d’application
  • obtenu une certification valide de tierce partie de l’industrie ou les rapports de vérification.

En vue d’appuyer ce processus, le GC fera une évaluation centralisée des données de mise en œuvre de mesures de sécurité du FSI, en collaboration avec les principaux organismes chargés de la sécurité. Ces évaluations mettront en lumière les risques résiduels et proposeront d’autres mesures d’atténuation des risques.

6.1.4 Évaluation de sécurité et autorisation

Les ministères doivent effectuer des évaluations de la sécurité et de la protection contre les pertes de données de leurs systèmes d’information ou de services avant d’approuver leur mise en activité.Voir la note en bas de page 5 Dans le cadre de l’informatique en nuage, cette responsabilité s’étend à toute mesure de sécurité supplémentaire mis en œuvre pour satisfaire aux exigences du ministère (conformément à la section 6.1.2 du présent document).

La compréhension de l’efficacité globale des mesures de sécurité est essentielle pour déterminer et faire la gestion des risques résiduels dans le cadre duquel un service fondé sur l’informatique en nuage sera exploité. Accorder la priorité à la sécurité au début du cycle de vie d’un projet et renforcer la sécurité des services fondés sur l’informatique en nuage dès le départ sont également des moyens efficaces de simplifier l’évaluation de la sécurité et d’assurer une autorisation réussie.

Les ministères qui souhaitent utiliser les services d’informatique en nuage peuvent tirer parti des résultats des FSI qui ont fait l’objet d’une évaluation du GC (conformément à la section 6.1.3 du présent document) pour appuyer les décisions fondées sur les risques. Ces évaluations peuvent être examinées conjointement avec les évaluations de sécurité effectuées pour les mesures de sécurité dont la mise en œuvre découle de la responsabilité des ministères.

6.1.5 Surveillance continue

Les ministères doivent gérer les risques de sécurité touchant l’information et les actifs de la TI tout au long du cycle de vie de leurs programmes et services.Voir la note en bas de page 6 Une telle gestion comprend la surveillance continue des services fondés sur l’informatique en nuage en tant qu’élément essentiel d’une stratégie de sécurité de la TI efficace. La surveillance continue englobe des activités telles que :

  • la surveillance des menaces et des vulnérabilités;
  • l’examen des résultats de la surveillance du système;
  • l’auto-évaluation et la vérification interne;
  • l’élaboration de plans de mesures correctives pour remédier aux insuffisances, au besoin.

L’utilisation de services fournis par le GC, comme ceux du Centre des opérations de sécurité du CST, peut aider les ministères à répondre à certaines de ces exigences.

Il est attendu que les FSI surveillent en continu leurs services d’informatique en nuage afin de noter les changements de la posture de sécurité de l’environnement de service en nuage, notamment :

  • la surveillance de leurs mesures de sécurité;
  • l’évaluation régulière des mesures de sécurité;
  • la démonstration de la posture de sécurité comme étant continuellement acceptable.

6.2 Assurance de l’information et protection des biens

Conformément à l’annexe C de la Directive sur la gestion de la sécurité ministérielle, les ministères doivent protéger leurs renseignements et leurs actifs, y compris ceux confiés aux FSI, contre l’accès, la divulgation, la modification ou la destruction non autorisée pendant tout leur cycle de vie. Ces mesures de protection doivent protéger les données du GC lorsqu’elles sont en transit, utilisées ou inactives, et :

  • correspondre à la catégorie de sécurité associée aux renseignements et actifs;
  • inclure une assurance relative à leur mise en œuvre appropriée.

Lorsque les ministères envisagent de faire usage de services d’informatique en nuage pour mémoriser les renseignements personnels,Voir la note en bas de page 7 des orientations doivent être demandées auprès des groupes chargés de l’accès à l’information et de la protection des renseignements personnels de leur organisation.

6.2.1 Élaboration sûre et mise en œuvre

Les ministères doivent régler les questions de sécurité et modifier les exigences de sécurité tout au long des stades du cycle chronologique d’élaboration des systèmes, notamment :

  • dès les premiers stades de la planification et vérificationVoir la note en bas de page 8;
  • dans le cadre d’une stratégie de sortie pour les services en nuage.

Les services fondés sur l’informatique en nuage devraient être conçus et élaborés selon les pratiques exemplaires de l’industrie (p. ex., les pratiques fondamentales SAFECode pour l’élaboration sécuritaire de logiciels, ISO/IEC 27034 et OWASP) afin de minimiser l’importance des enjeux en matière de sécurité qui pourraient :

  • compromettre les renseignements du GC;
  • causer une perte de service;
  • favoriser les activités malveillantes.

L’utilisation de données sensibles ou protégées aux fins de mises à l’essai et les instances d’élaboration ou d’applications dans le cadre des services en nuage exige les autorisations appropriées et la mise en œuvre de mesures de mesures compensatoires.

Les ministères doivent établir des mesures de sécurité de niveau ministériel dans leurs services fondés sur l’informatique en nuage, selon le modèle de service déployé. Par exemple, si le modèle de service est fondé sur l’IaaS, les ministères devront mettre en œuvre les mesures de sécurité de la plateforme et des couches applications de la pile de technologie en nuage. Même en vertu du modèle de services fondé sur le SaaS, des mesures de sécurité supplémentaires comme l’accès aux utilisateurs doivent être mis en œuvre.

6.2.2 Hébergement des données

Au moment de mettre en œuvre des mesures de protection pour l’hébergement des données électroniques du GC, les ministères doivent procéder à la mise en œuvre de l’Orientation sur la résidence des données électroniques, Directive sur les services et le numérique.

6.2.3 Gestion de l’identité et des justificatifs en matière d’accès

Les ministères doivent identifier et authentifier les personnes et les appareilsVoir la note en bas de page 9 jusqu’à un certain niveau d’assurance avant d’avoir accès aux renseignements et aux services hébergés dans les services d’informatique en nuage. Ces mesures d’authentification sont conformes à la Norme sur l’assurance de l’identité et des justificatifs et s’harmonise avec les services justificatifs d’identité et d’authentification des organisations du GC.

L’accès doit être limité au personnel selon les principes du droit d’accès minimalVoir la note en bas de page 10, de l’accès sélectifVoir la note en bas de page 11 et de la répartition des fonctionsVoir la note en bas de page 12, et appuyé par les mesures de sécurité adéquates. Dans la restriction de l’accès, notons :

  • la mise en place de restrictions d’utilisation appropriée et de configurations des appareils;
  • la prise en compte du contexte de menace lors de l’accès aux services d’informatique en nuage.

Afin d’avoir un accès privilégié aux services fondés sur l’informatique en nuage, il est nécessaire de configurer l’utilisation de mécanismes d’authentification plus puissantsVoir la note en bas de page 13 (p. ex., l’authentification à facteurs multiples). Des mesures de sécurité supplémentaires, telles que l’utilisation de postes de travail privilégiés et de réseaux de gestion dédiés, peuvent davantage atténuer les risques associés à un accès privilégié.

Consulter le guide du CST à ce sujet in ITSP.30.031 V2 Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information.

6.2.4 Sécurité des réseaux

Les réseaux de transit de données doivent être protégés adéquatement grâce à l’utilisation de dispositifs de cryptage et de mesures de protection des réseaux appropriées.Voir la note en bas de page 14 Les services fondés sur l’informatique en nuage devraient utiliser les algorithmes cryptographiques et des protocoles réseaux approuvés par le CST, selon :

Il est aussi essentiel de mettre en place des processus et des procédures robustes de gestion des clés afin de protéger les clés de chiffrement contre la compromission ou la perte, ce qui pourrait entraîner une divulgation non autorisée ou une perte d’information.

Toutes les interfaces externes du service fondé sur l’informatique en nuage doivent être identifiées et protégées de manière appropriée.Voir la note en bas de page 15 Les interfaces de gestion pourraient nécessiter des niveaux de protection accrus. Voir les directives du CST :

6.2.5 Gestion des biens et de la configuration

Les ministères doivent continuellement rester au fait des biens qu’ils détiennent et de leur degré d’importance et de délicatesse.Voir la note en bas de page 16 Il est primordial de désigner tous les biens, peu importe leur emplacement. Toute modification apportée aux services fondés sur l’informatique en nuage et à leurs configurations doit être gérée de manière appropriée et comporter des mesures telles que :

  • mettre les changements à l’essai et fournir des autorisations;
  • maintenir les modèles de conception et des systèmes, les composantes, les paramètres et les attributs qui sont déjà connus et approuvés.

Lorsqu’il recourt à l’utilisation d’une IaaS et d’une PaaS, le GC est responsable de mettre en œuvre des mesures de renforcement de la sécurité (p. ex., la désactivation de tous les services non essentiels, les ports de fonction) des systèmes, des dispositifs et des applications.Voir la note en bas de page 17 Cela permettra de veiller à ce que les éléments suivants soient bien configurés :

  • Systèmes d’exploitation
  • Applications
  • Hôtes virtuels
  • Réseaux
  • Point terminal et services connexes

6.2.6 Gestion de la vulnérabilité

Les ministères doivent continuellement gérer les vulnérabilités de leurs systèmes d’information.Voir la note en bas de page 18 À défaut d’appliquer rapidement les rustines ou mises à jour peuvent mener à des vulnérabilités et pourraient entraîner d’importants incidents de sécurité. Ces mesures s’appliquent aussi aux FSI pour les composantes des services d’informatique en nuage dans leur champ de responsabilité.

Lorsqu’il recourt à l’utilisation d’une IaaS et d’une PaaS, le GC est responsable d’assurer la gestion de la vulnérabilité et la gestion des correctifs des services fondés sur l’informatique en nuage. Un processus efficace de gestion de la vulnérabilité et des rustines doit être élaboré et mis à l’essai comme élément clé d’une stratégie de défense approfondie.Voir la note en bas de page 19 Un tel processus comprend :

  • la surveillance des alertes de vulnérabilités en provenance des sources d’information pertinentes;
  • la mise en œuvre rapide de mesures correctives.

Le CST donne des orientations supplémentaires dans la publication Correction des systèmes d’exploitation et des applications - Bulletin de sécurité des TI à l’intention du gouvernement du Canada (ITSB-96) - Centre canadien pour la cybersécurité.

6.2.7 Sécurité du personnel

Les pratiques de filtrage de sécurité offrent une assurance raisonnable que des personnes fiables protègent les renseignements, les biens et les installations du gouvernement et s’acquittent de leurs fonctions de manière digne de confiance.Voir la note en bas de page 20 Ce filtrage comprend l’accès limité de certains utilisateurs autorisés qui ont fait l’objet d’une enquête du profil de sécurité au niveau approprié. Ces mesures s’appliquent également au personnel des FSI, qui pourraient, en vertu de leur poste :

  • obtenir l’accès aux données du GC;
  • avoir la capacité de nuire aux services fondés sur l’informatique en nuage du GC.

Afin d’exercer des fonctions au nom du GC, les FSI doivent démontrer à tout moment les mesures qu’ils effectuent pour accorder et maintenir le niveau requis de filtrage de sécurité à l’endroit du personnel des FSI conformément à leurs privilèges d’accès aux renseignements protégés. Le filtrage de sécurité :

  • doit être appliqué conformément à la définition et aux pratiques énoncées dans la Norme sur le filtrage de sécurité du Conseil du Trésor pour la cote de fiabilité,
  • est assujettie aux dispositions de toute entente internationale sur l’échange de renseignements.

La conformité des FSI aux normes sur le filtrage de sécurité sera :

  • établie de façon centralisée par le GC, en collaboration avec les principaux organismes chargés de la sécurité concernés;
  • appuyée par le processus d’assurance responsabilité civile (conformément à la section 6.1.3 du présent document).

6.2.8 Sécurité physique

Conformément à l’annexe C de la Directive sur la gestion de la sécurité ministérielle, les renseignements, les biens et les installations sont protégés contre l’accès, la divulgation, la modification ou la destruction non autorisés, en fonction de leur niveau de sensibilité, de leur pertinence et de leur valeur. Des mesures de sécurité physiques doivent être mises en œuvre dans les installations qui hébergent des données du GC et des actifs de la TI afin de les protéger contre l’accès non autorisé par les membres du personnel des FSI et les tierces parties.

Les FSI doivent prendre des mesures pour assurer la protection et la résilience des actifs, notamment :

  • la protection physique des installations commerciales qui hébergent des données du GC et des actifs de la TI;
  • l’entretien contrôlé des systèmes d’information et leurs éléments pour protéger leur intégrité et assurer leur disponibilité continue;
  • protection de l’entreposage des biens ou du traitement des données du GC contre toutes formes d’altération, de perte, de dommage ou de saisie.

Les mesures de protection physique :

  • doivent être appliquées conformément aux mesures de sécurité physique décrites dans le Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage, ou à l’aide d’une approche adéquate fondée sur les risques et harmonisée avec ces mesures;
  • doivent être appliquées conformément au guide et aux normes sur la sécurité physique de la Gendarmerie royale du Canada (GRC), ou à l’aide d’une approche adéquate fondée sur les risques et harmonisée avec le guide et les normes;
  • sont assujetties aux dispositions de toute entente internationale sur l’échange de renseignements.

La conformité des FSI aux exigences en matière de sécurité physique du GC sera :

  • établie de façon centralisée par le GC, en collaboration avec les principaux organismes chargés de la sécurité concernés;
  • appuyée par le processus d’assurance responsabilité civile conformément à la section 6.1.3 du présent document.

6.2.9 Continuité du service

En appui de la planification de la continuité de la TI,Voir la note en bas de page 21 les ministères doivent tenir compte des services fondés sur l’informatique en nuage dans leurs plans d’urgence et de reprise des activités après catastrophe. Cette planification tient compte de la compréhension de « l’endroit où » les données du GC sont stockées, reproduites ou sauvegardées par le service en nuage (le cas échéant, en fonction du modèle de service d’informatique en nuage pertinent). Les FSI doivent définir les niveaux de service (p. ex., une entente de niveau de service) de leurs services d’informatique en nuage, ce qui aidera les ministères à déterminer si leurs exigences en matière de disponibilité et de résilience seront appliquées.

Les services fondés sur l’informatique en nuage devraient être conçus de manière à tenir compte de leurs capacités de dispersion géographique et de reproduction de données pour atteindre les objectifs de continuité des activités. Ces services peuvent inclure la tenue d’une copie de sauvegarde des données de sauvegarde en cas de défaillance du service en nuage ou du service de communication connexe. Un processus documenté et éprouvé est requis afin que les données contenues dans le service fondé sur l’informatique en nuage soient sauvegardées.Voir la note en bas de page 22 Les ministères peuvent travailler avec SPC lors de l’élaboration de leurs plans de reprise des activités après catastrophe aux fins de solution de rechange au stockage et de traitement des données dans l’éventualité que les FSI soient victimes d’un incident catastrophique.

6.2.10 Sureté en matière d’acquisition

Les ministères doivent veiller à ce que les exigences en matière de sécurité de la TI soient examinées à chacune des étapes de l’octroi de contrats,Voir la note en bas de page 23 lors de l’acquisition des services d’informatique en nuage. Ces exigences sont également soumises aux dispositions de tout accord international d’échange de renseignements. Les services en nuage achetés au Centre (p. ex., un service de courtage en nuage du GC) doivent être utilisés lorsqu’ils sont disponibles.

Les FSI devront mettre en application des pratiques de gestion du risque de la chaîne d’approvisionnement afin de maintenir un niveau de confiance relativement à la sécurité des sources des systèmes d’information et des éléments de la TI utilisés pour fournir leurs services d’informatique en nuage.

Les FSI doivent interdire l’accès non autorisé pour utiliser ou modifier les données du GC hébergées dans leurs environnements de service en nuage. Cette restriction inclue la mise en œuvre de mesures qui visent à appuyer une stratégie de sortie, dont :

6.3 Opérations de sécurité

Dans le cadre d’une stratégie de défense active,Voir la note en bas de page 24 les ministères doivent s’assurer de mettre en œuvre des mesures pour contrôler et vérifier l’accès à leurs services fondés sur l’informatique en nuage. Recourir aux services fournis par le GC, comme ceux des Centres des opérations de la sécurité de SPC, peut aider les ministères à satisfaire aux exigences relatives à la surveillance des systèmes d’information et à la gestion des événements de sécurité.

6.3.1 Information à l’intention des accompagnateurs

La surveillance continue des événements et des performances du système, et l’inclusion d’une fonction de registre d’activités de surveillance à tous les systèmes d’information,Voir la note en bas de page 25 facilite la détection d’incidents en appui à la prestation continue de services. Il est primordial qu’un niveau adéquat de consignation et de suivi soit configuré pour la portée des services fondés sur l’informatique en nuage qui découlent de la responsabilité du GC. Ces documents permettront :

  • d’activer la détection rapide des activités suspectes;
  • de faciliter l’évaluation et la réponse aux incidents de sécurité;
  • d’appuyer la vérification.

Ces mesures s’étendent également aux FSI qui doivent surveiller continuellement les éléments des services fondés sur l’informatique en nuage qui relève de leur domaine de responsabilité.

Les politiques en matière de conservation pour la fonction de registre d’activités de surveillanceVoir la note en bas de page 26 doivent être établies conformément à :

6.3.2 Gestion des incidents de sécurité

La gestion des incidents est un élément clé d’une stratégie de défense active.Voir la note en bas de page 27 Il est essentiel que le GC conserve sa capacité à répondre aux événements de cybersécurité de façon cohérente, coordonnée et en temps opportun dans l’ensemble des secteurs du GC, conformément au Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) et en collaboration avec le Centre canadien pour la cybersécurité.

Les ministères jouent un rôle clé dans la gestion des événements de cybersécurité à l’échelle du GC, qu’ils soient directement touchés par un événement ou non. Les services en nuage doivent être pris en compte dans le cadre des plans ministériels de gestion des incidents afin d’assurer une intervention et un rétablissement rapides.Voir la note en bas de page 28

Les ministères qui approvisionnent les services fondés sur l’informatique en nuage sont responsables de :

  • l’instauration de mécanismes appropriés pour intervenir de façon efficace à l’égard des incidents en matière de sécurité;
  • échanger des renseignements relatifs aux incidents en désignant un ministère comme le Centre canadien pour la cybersécurité, conformément aux processus de signalement des incidents du GCVoir la note en bas de page 29 (particulièrement, pour appuyer l’achèvement des signalements des incidents et des réponses aux demandes en matière de mesures à prendre);
  • instaurer des mécanismes pour informer les bénéficiaires de services des incidences sur leurs systèmes et les informations causés par les événements de cybersécurité.

Les FSI doivent aviser le GC des incidents de sécurité ou des défaillances des données du GC ou si leurs services d’informatique en nuage affectent le service fondé sur l’informatique en nuage du GC. Ces avis doivent être envoyés aux :

  • représentants des ministères concernés (p. ex., le propriétaire du service fondé sur l’informatique en nuage);
  • le Centre canadien pour la cybersécurité.

7. Demandes de renseignements

Pour obtenir de plus amples renseignements ou pour avoir des précisions sur le présent AMOPS, veuillez transmettre vos demandes aux coordonnées suivantes :

8. Références

8.1 Législation

8.2 Instruments de politique connexes

8.3 Références supplémentaires

9. Orientations additionnelles

9.1 Références du GC

9.2 Autres références

10. Définitions

Courtier pour l’informatique en nuage
Une organisation qui agit à titre intermédiaire entre les FSI et les consommateurs en offrant différents types de services de courtage, y compris le marché de l’informatique en nuage.
Fournisseur de service informatique en nuage (FSI)
Une organisation non gouvernementale offrant des services d’informatique en nuage au public ou aux clients du gouvernement dans le cadre d’une entreprise commerciale, généralement moyennant des frais avec l’intention de réaliser un profit.
Service commercial d’informatique en nuage (service en nuage)
Désigne l’offre de produits ou services d’un FSI.
Service du GC fondé sur l’informatique en nuage (service fondé sur l’informatique en nuage)
Désigne une application qu’un ministère du GC met en œuvre et exploite dans un service en nuage.
Résidence des données
A trait à l’emplacement physique ou géographique des données d’une organisation pendant qu’elles sont immobiles.
Infrastructure comme service (IaaS)
Capacité d’approvisionnement en traitement, stockage, réseaux, ainsi que d’autres ressources informatiques fondamentales fournies au consommateur, dans lesquels ce dernier peut déployer et exécuter des logiciels arbitraires, qui peuvent inclure des systèmes d’exploitation et des applications. Le consommateur ne gère pas, ni ne contrôle l’infrastructure en nuage sous-jacente, mais détient le contrôle des systèmes d’exploitation, du stockage et des applications déployées; et possiblement un contrôle limité de certaines composantes réseau (p. ex., pare-feu de l’hôte).
Identité
Une référence ou une désignation utilisée pour distinguer un individu, une organisation ou un dispositif.
Plateforme comme service (PaaS)
La capacité fournie au consommateur consiste à déployer sur l’infrastructure en nuage des applications qu’il a acquises ou créées à l’aide d’outils, de langages, de bibliothèques et de services de programmation pris en charge par le fournisseur.
Nuage public
Infrastructure en nuage mise à la disposition du grand public ou d’un vaste groupe de l’industrie qui appartient à une organisation qui vend des services d’informatique en nuage. (NIST SP800-145)
Nuage privé
Infrastructure en nuage opérant pour une seule organisation. Il peut être géré par l’organisation ou par un tiers, et peut être situé sur place ou hors des locaux. (NIST SP800-145)
Bien ou information protégé
Un bien ou une information qui peuvent faire l’objet d’une exemption ou d’une exclusion en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels parce qu’il serait raisonnable de s’attendre à ce que sa divulgation compromette les intérêts non nationaux. (Directive sur la gestion de la sécurité ministérielle)
Cote de fiabilité
La norme minimale en matière de filtrage de sécurité pour les postes qui exigent d’avoir un accès non supervisé aux renseignements protégés, aux biens, aux installations ou aux systèmes de la technologie de l’information du gouvernement du Canada. Le filtrage de sécurité en vue d’une cote de sécurité évalue l’honnêteté d’un particulier, et cherche à savoir si l’on peut lui faire confiance avec les intérêts de l’employeur ou non. Le filtrage de sécurité en vue d’une cote de sécurité peut inclure la demande de renseignements plus poussée, des vérifications et évaluations lorsque les tâches à effectuer ont directement trait à des fonctions de sécurité et de renseignement.
Risque résiduel
Dans le contexte de la Politique sur la sécurité du gouvernement, le niveau de risque de sécurité qui reste après l’application des mesures de sécurité et autres mesures d’atténuation des risques.
Évaluation de la sécurité
Processus continu d’évaluation des pratiques et des mesures de sécurité pour établir la mesure dans laquelle ils sont mis en œuvre correctement, qu’ils fonctionnent comme prévu et qu’ils atteignent les résultats escomptés en ce qui concerne la satisfaction des exigences de sécurité définies.
Protection contre les pertes de données
Processus en cours d’obtention et de maintien d’une décision de gestion du risque en matière de sécurité et d’accepter explicitement le risque résiduel, sur la base des résultats de l’évaluation des risques.
Catégorisation de l’information du point de vue de la sécurité
Le processus d’attribution d’une catégorie de sécurité aux ressources, aux actifs ou aux services d’information en fonction du degré de préjudice qui pourrait raisonnablement découler d’une compromission.
Mesure de sécurité
Une mesure juridique, administrative, opérationnelle ou technique pour satisfaire aux exigences de sécurité. Ce terme est synonyme du terme « mesure de sauvegarde ».
Événement en matière de sécurité
Tout événement, acte, omission ou situation pouvant nuire à la sécurité du gouvernement, y compris les menaces, les vulnérabilités et les incidents de sécurité.
Incident en matière de sécurité
Tout événement (ou ensemble d’événements), acte, omission ou situation qui mène à un compromis.
Pratique de sécurité
Processus, procédures et normes qui gouvernent la mise en œuvre, la surveillance et l’entretien des mesures de sécurité.
Exigences en matière de sécurité
Une exigence qui doit être respectée afin de réduire les risques en matière de sécurité à un niveau acceptable et de respecter les obligations légales, réglementaires, politiques, contractuelles et autres.
Information ou actif sensible
Les informations ou les actifs qui devraient raisonnablement causer un préjudice s’ils sont compromis. Les renseignements sensibles comprennent tous les renseignements qui relèvent des critères d’exemption ou d’exclusion en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels. Il comprend également des marchandises contrôlées et d’autres informations et actifs qui font l’objet d’interdictions et de mesures réglementaires ou légaux.
Logiciel comme service (SaaS) 
La capacité fournie au consommateur est d’utiliser les applications du fournisseur fonctionnant sur une infrastructure en nuage.
Menace
Tout événement ou acte délibéré ou involontaire, ou danger naturel qui pourrait déboucher à un compromis.
Vulnérabilité 
Tout facteur susceptible d’accroître la sensibilité d’un système informatique à la compromission.

Détails de la page

Date de modification :