Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Réseau du GC Document sur l’architecture de référence

Table des matières

1. Introduction

1.1 Mandat de SPC

Services partagés Canada (SPC) a le mandat d’assurer l’utilisation la plus efficiente possible des technologies de l’information au sein du Gouvernement du Canada (GC). Cet objectif sera atteint grâce au regroupement et à la normalisation de nombreuses activités et de nombreux biens informatiques redondants du ministère, qui favoriseront une exploitation regroupée des technologies de l’information (TI).

« Services partagés Canada a été créé dans le but de moderniser la façon dont le gouvernement fédéral assure la gestion de son infrastructure de la technologie de l’information (TI) pangouvernementale afin de mieux soutenir la prestation de programmes et de services à la population canadienne. Notre ministère a lancé une approche nouvelle et novatrice permettant la mise en place d’une plateforme technologique digne d’une fonction publique du 21e siècle. Une plateforme qui est moderne, fiable, sécurisée et rentable. »Footnote 1

Plus précisément, SPC a comme objectifs d’assurer la poursuite des activités, de réaliser des économies et de transformer l’infrastructure de TI de l’administration fédérale.

Assurer la poursuite des activités

La stabilité opérationnelle constitue la priorité de SPC et l'excellence du service est le principe directeur selon lequel nous dirigeons les travaux à réaliser. Nous nous efforçons de fournir des services de TI de haute qualité, tout en accordant une attention particulière à la continuité des activités. Toutefois, continuité des activités n'est pas synonyme de statu quo. En fait, il s'agit plutôt de trouver des moyens novateurs permettant d'améliorer l'infrastructure de TI de toute l'organisation.

Réaliser des économies

Le regroupement de l'infrastructure de TI permet de saisir toutes les occasions favorisant les économies d'échelle dans l'ensemble du gouvernement du Canada. Nous réaliserons des économies en misant sur notre plus grand pouvoir d'achat, en regroupant les contrats, en réduisant le dédoublement et le chevauchement des services et en mettant en œuvre des pratiques exemplaires écologiques en matière de TI.

Transformer l'infrastructure de TI

La gestion de l'infrastructure de TI n'est plus limitée à la prestation des services de TI. À cet égard, nous appuyons nos partenaires dans divers projets qui permettront de préparer la transformation réussie de l'infrastructure de TI du gouvernement. Tout ce travail donne des résultats rapides et nous aide à contribuer aux efforts d'efficacité du gouvernement.

Footnote 2

Assurer la poursuite des activités

Le réseau est un des secteurs ciblés par SPC en vue de la réduction de la redondance et de la réalisation d’économies grâce à la réunion de nombreux réseaux distincts de l’administration fédérale en un seul réseau, unifié et normalisé. Ce réseau unifié et normalisé sera appelé « réseau du GC ». Le réseau du GC remplacera de nombreux réseaux ministériels distincts et réunira les réseaux spécialisés destinés à la transmission de la voix, de la vidéo et des données. Le réseau unifié international ainsi obtenu devrait permettre au gouvernement de faire des économies, d’accroître la qualité des services et d’atténuer les risques liés à la sécurité.

1.2 Objectif et portée

Le présent document sur l’architecture de référence a pour but de présenter un modèle de service global du réseau du GC, y compris une description de ses capacités et de son architecture cible. Le réseau du GC est divisé en services. Les capacités de chaque service seront décrites en détail dans un document sur la définition des services, et l’architecture de chacun d’eux sera décrite dans un document sur l’architecture technique qui portera aussi sur les contrôles de sécurité et de protection des renseignements personnels.

1.3 Contexte

1.3.1 Mission de SPC

Dans le contexte de l’excellence des services, de l’innovation et de l’optimisation des ressources, SPC a le mandat de maintenir et d’améliorer la prestation des services d’infrastructure de TI tout en renouvelant l’infrastructure de TI vieillissante de l’administration fédérale. Services partagés Canada apporte une réelle perspective pangouvernementale de l’infrastructure de TI de l’administration fédérale, non seulement pour améliorer les services, mais aussi pour éliminer les chevauchements et réduire les coûts. Un des aspects importants de ce travail est l’élaboration de normes de service de l’ensemble de l’administration, pour remplacer les normes précédemment établies et mises à jour par chacune des 43 organisations partenaires dans son propre milieu de travail. Ces normes collectives sont en cours d’élaboration.

En collaboration avec ses partenaires et grâce aux conseils offerts par l’industrie, SPC est en train de déterminer les exigences visant l’infrastructure de TI de l’administration fédérale et d’appliquer des pratiques exemplaires pour relever les défis opérationnels et atteindre les objectifs de l’administration en matière de modernisation. L’établissement d’une structure plus sécuritaire et plus solide pour soutenir les activités actuelles renforce aussi la capacité de protéger les renseignements personnels de la population canadienne.

1.3.2 Environnement actuel du réseau du GC

À l’échelle de la fonction publique fédérale (ministères et organismes), plus de 3 000 réseaux électroniques non coordonnés se chevauchent. De plus, des centaines de réseaux de télécommunication fournissent des services de transmission de la voix et de données à plus de 300 000 utilisateurs.

De nombreux immeubles gouvernementaux abritent plusieurs ministères. Toutefois, au lieu d’avoir un réseau par immeuble, chaque ministère utilise son propre réseau et en assure la maintenance. Par exemple, la Place du Portage dans la région de la capitale nationale, l’édifice Dominion à l’Île-du-Prince-Édouard, la Place du Canada en Alberta et le complexe Guy-Favreau au Québec comptent tous plusieurs réseaux desservant les différents ministères qui les occupent. Par exemple, le complexe Guy-Favreau compte à lui seul neuf réseaux distincts.

Grâce à la rationalisation, au regroupement et à la normalisation, le GC pourra économiser et réduire le fardeau que représente la maintenance des réseaux. Tandis que nous regrouperons et renouvellerons les centres de données, nous rationaliserons et simplifierons aussi les réseaux qui les relient. Il en résultera d’autres économies. En outre, un système de réseaux électroniques bien organisé et coordonné nous permettra d’accroître la sécurité.

1.3.3 Vision de SPC

Aux yeux de SPC, le réseau du GC sera un réseau de télécommunication intégré, conçu pour soutenir les activités de l’administration fédérale d’un océan à l’autre et à l’étranger. Les caractéristiques de conception comprennent la souplesse nécessaire pour intégrer les nuages communautaires, hybrides et publics.

1.3.4 Programme de transformation des télécommunications

Le Programme de transformation des télécommunications (PTT) couvre la transformation, la planification et l’obtention de services de télécommunication de l’administration fédérale, ainsi que l’élaboration de stratégies de prestation de ces services. Le PTT vise à centraliser leur administration, à rationaliser la prestation des services afin de réaliser des économies supplémentaires, à diminuer les coûts, à réduire les risques au minimum et à accroître la sécurité et la qualité des services. Dans cette optique, les responsables du PTT favorisent l’établissement de relations stratégiques avec les organismes centraux et les partenaires de SPC, en partie pour élaborer des politiques, des normes et des lignes directrices sur la gestion et la prestation des services de réseau.

1.3.5 Résultats opérationnels stratégiques

Le PTT est l’occasion d’atteindre les résultats opérationnels stratégiques décrits ci-après.

Économies : La transformation, le regroupement et la normalisation des services de télécommunication engendreront des économies substantielles et permanentes (économies d’échelle et évitement de coûts dans l’avenir). L’argent ainsi épargné sera réinvesti dans les activités de transformation.

Services : La transformation, le regroupement et la normalisation des services de télécommunication permettront à l’administration fédérale d’améliorer la prestation des services destinés à la population canadienne en augmentant la disponibilité, l’adaptabilité et la souplesse des services d’infrastructure de TI. De meilleurs services se manifestent par la rapidité de réaction aux demandes opérationnelles et une plus grande satisfaction de la clientèle. Les résultats seront mesurés en fonction de l’augmentation de la capacité et de la rapidité, ainsi que de la réduction des temps de réponse, des appels de service et des interruptions de service.

Sécurité : La transformation, le regroupement et la normalisation des services de télécommunication permettront l’établissement de l’infrastructure et de l’environnement technologiques nécessaires pour satisfaire les besoins du programme, assureront une meilleure cybersécurité et renforceront la sécurité nationale au Canada. Les résultats seront mesurés par la réduction des vulnérabilités et des failles de sécurité, et par de meilleures constatations d’audit.

1.3.6 Programmes de transformation de la cybersécurité et de la sécurité de la TI

Le Programme de transformation de la cybersécurité et de la sécurité de la TI (CSTI) vise l’élaboration de plans sur les services de cybersécurité et de sécurité de la TI liés à l’infrastructure de TI de l’administration fédérale, jusqu’au niveau secret, dans les limites du mandat de SPC.

Le programme de CSTI couvre trois secteurs de service : la cybersécurité, la sécurité de la TI et l’infrastructure secrète du GC. Le PTT dépend en partie du programme de CSTI. Certaines dépendances sont mentionnées dans le présent document, comme la sécurité du périmètre et la gestion de l’identité, des justificatifs de l’identité et de l’accès (GIJIA). Au fil du temps, on devra considérer les éléments futurs du programme de CSTI de l’administration fédérale, comme la détermination des contrôles de la sécurité organisationnelle et l’évaluation des menaces organisationnelles. De même, conformément au Cadre de gestion intégrée du risque de l’administration fédérale, les principales activités du processus organisationnel de gestion des risques liés à la sécurité des TI (catégorisation de sécurité des services du réseau du GC, détermination et validation des contrôles de sécurité devant être intégrés dans l’architecture, etc.) feront partie intégrante de l’élaboration des documents sur l’architecture technique. Une intégration réussie avec les initiatives et les programmes déjà mentionnés aidera à protéger le réseau du GC contre les menaces qui pourraient toucher les services opérationnels de l’administration fédérale et favorisera une réaction rapide au risque que posent diverses menaces, dont les cyberattaques, les catastrophes naturelles, les défaillances structurelles et les erreurs humaines (délibérées ou fortuites).


Haut de la page
2 Description des services du réseau du GC Le réseau du GC est un réseau qui satisfait aux exigences générales suivantes :

  • REQ_GCNET_1. Fournit aux utilisateurs de l’administration fédérale situés partout dans le monde un accès contrôlé au réseau du GC. Une fois branchés au réseau du GC, les utilisateurs ont accès aux applications et aux données du GC hébergées dans le centre de données, ainsi qu’à celles qui sont hébergées sur des réseaux externes (Internet, partenaires d’affaires, etc.), pour lesquelles ils disposent de droits d’accès. L’accès au réseau est accordé en fonction de l’authentification réussie des utilisateurs inscrits du GC, ainsi que d’autres règles, comme la configuration appropriée de l’appareil de l’utilisateur (pare-feu, analyseur de virus, etc.) et de son emplacement (c.-à-d. le point de connexion), et du profil fondé sur les rôles de l’utilisateur.
  • REQ_GCNET_2. Permet la fourniture d’applications et de données à haute disponibilité à l’échelle de nombreux centres de données.
  • REQ_GCNET_3. Permet les communications poste à poste en temps réel entre les utilisateurs, comme la téléphonie IP et la vidéoconférence.
  • REQ_GCNET_4. Dans la mesure du possible, permet le transfert de trafic ayant diverses exigences au chapitre du rendement, y compris les applications à faible tolérance à la latence, à la gigue (ou variation de la latence) et aux paquets perdus.
  • REQ_GCNET_5. Permet l’itinérance des utilisateurs dans les immeubles du GC. Permet la connectivité des véhicules par accès radio (p. ex., des voitures de patrouille de la Gendarmerie royale du Canada [GRC]).
  • REQ_GCNET_6. Permet l’accès sécurisé par les utilisateurs qui travaillent à domicile ou sur la route (c.-à-d. par accès à distance protégé [ADP]).
  • REQ_GCNET_7. Permet l’accès à certaines données et applications du GC, ainsi que la fourniture de celles-ci, par les partenaires de confiance, les entreprises et la population.
  • REQ_GCNET_8. Permet la création de réseaux distincts (c.-à-d. par domaines de sécurité) pour satisfaire à diverses exigences de sécurité (information désignée, information classifiée, etc.) et de transition. Les services du réseau du GC comporteront des protections permettant de traiter des données de type protégé A. L’utilisation de ces services avec des renseignements d’un niveau de confidentialité supérieur exigera des protections supplémentaires correspondant au niveau de confidentialité. Par conséquent, les contrôles de sécurité exigés pour protéger les données de niveau de sensibilité plus élevé (p. ex., le chiffrage) relèvent de la responsabilité des points terminaux (p. ex., le système de stockage, les serveurs, les ordinateurs personnels) et des applications.
  • REQ_GCNET_9. Permet la création de nombreuses zones de sécurité dans un domaine de sécurité (p. ex., une zone d’accès public [PAZ] à Internet).
  • REQ_GCNET_10. Permet le déploiement de points terminaux par la transmission automatique de l’adresse IP (protocole DHCP) et l’exécution de la synchronisation réseau (protocole NTP).
  • REQ_GCNET_11. Permet la gestion du réseau grâce à des capacités étendues d’administration et de gestion, ainsi que le mappage du nom à l’adresse (serveur de noms de domaine [DNS]), et une source de synchronisation commune de toutes les composantes du réseau du GC (protocole NTP).

Haut de la page

3 Architecture visée

L’architecture cible est illustrée à figure 1. Le schéma montre que le réseau du GC assure la connectivité dans les immeubles de bureaux et les centres de données de l’administration fédérale, ainsi qu’entre ces immeubles et ces centres. Il illustre aussi la façon dont les utilisateurs et les sites à distance du GC, ainsi que les réseaux qui ne font pas partie du réseau du GC, peuvent se connecter au réseau du GC.

Une fois leur identité confirmée, les utilisateurs du GC dans les immeubles de bureaux de l’administration fédérale peuvent se connecter au réseau du GC par des connexions filaires ou sans fil (Wifi). De même, les utilisateurs authentifiés dans des véhicules autorisés peuvent se connecter au réseau du GC par accès radio.

Les utilisateurs à distance qui ont accès à Internet, que ce soit par de points d’accès sans fil, du Wifi à domicile ou de réseaux de données cellulaires 3G ou 4G, peuvent circuler de manière sécurisée d’Internet jusqu’au réseau du GC (accès à distance protégé). Les bureaux auxiliaires de l’administration fédérale peuvent se connecter au réseau du GC de manière semblable.

La population peut accéder aux sites Web destinés au public de l’administration fédérale par une connexion contrôlée entre Internet et le réseau du GC. Cette même capacité donne aux utilisateurs du GC un accès contrôlé aux sites Web publics.

Les centres de données sont interconnectés de façon à ce que les applications du GC puissent être déployées à l’échelle de plus d’un centre de données pour obtenir de meilleurs résultats, tant sur le plan de la disponibilité que du rendement.

Les réseaux des partenaires de confiance peuvent accéder au réseau du GC directement grâce à des connexions contrôlées. Parmi ces partenaires commerciaux de confiance, citons les autres administrations et les fournisseurs d’applications et de services du GC (p. ex., l’Initiative de transformation des services de courriel), ainsi que les organisations (c.-à-d. les entreprises) ayant le mandat de fournir à l’administration fédérale, ou d’obtenir de celle-ci, un grand nombre de renseignements.

Enfin, le réseau du GC peut être divisé en de nombreux réseaux physiques et logiques (p. ex., les réseaux logiques illustrés en vert et en bleu) pour permettre la création de profils de sécurité très différents (p. ex., des réseaux destinés à l’information désignée ou classifiée) ou de fonctions très différentes (p. ex., la gestion des points terminaux et des éléments de réseau ou des données des utilisateurs et des clients), afin de permettre le passage de l’état actuel à l’architecture cible.

Figure 1: Architecture cible du réseau du GC

Figure 1: Architecture cible du réseau du GC

Haut de la page

4 Services de réseau du GC

À la section 3, le réseau du GC est décrit comme s’il s’agissait d’une seule construction logique. Dans la présente section, il est décrit selon ses principales composantes de service fonctionnelles. Les composantes sont soit externes (c.-à-d. qu’elles peuvent être commandées par les clients) soit internes (c.-à-d. qu’utilise exclusivement SPC dans la prestation de services externes). Les interdépendances entre les services internes et externes, ainsi que les dépendances aux normes et aux services essentiels fournis par d’autres programmes de services de SPC (p. ex., la GIJIA) sont définies.

4.1 Décomposition fonctionnelle du réseau du GC

Les services du réseau du GC, ainsi que la relation (c.-à-d. les interfaces) entre ces services, sont illustrés à la figure 2. Chacun des services est décrit ci-après. Soulignons que ces composantes fonctionnelles sont de nature logique; elles ne signifient pas qu’il existe des contraintes de mise en œuvre sur le réseau du GC. Par exemple, le réseau inter-immeubles, illustré comme une seule composante, ne doit pas nécessairement être limité au réseau d’un seul fournisseur de services.

Figure 2: Décomposition fonctionnelle du réseau du GC

Figure 2: Décomposition fonctionnelle du réseau du GC

4.1.1 Réseau filaire intra-immeuble (C1)

Le réseau filaire intra-immeuble fournit aux appareils des utilisateurs des connexions filaires au réseau ou des connexions filaires entre les éléments du réseau (p. ex., les commutateurs et les routeurs). Ce réseau permet les communications poste à poste (voix, vidéo, etc.) entre des points terminaux situés à l’intérieur d’un immeuble, fournit aux points terminaux un accès aux services locaux (impression, passerelle VoIP de survie locale, etc.) et offre un accès au service de réseau inter-immeubles (C3). Il permet le transfert de trafic selon diverses exigences de qualité de service (QoS), et il soutient les applications multidiffusion. Enfin, il permet la création de nombreux réseaux virtuels privés pour répondre à divers besoins de sécurité, ainsi que le passage de l’état actuel à l’état cible.

4.1.2 Wifi (C2)

Le Wifi donne aux appareils des utilisateurs un accès sans fil au réseau filaire intra-immeuble (C1). Il permet les communications poste à poste (voix, vidéo, etc.) entre des points terminaux situés à l’intérieur d’un immeuble et fournit aux points terminaux un accès aux services locaux (impression, passerelle VoIP de survie locale, etc.). Il permet le transfert de trafic selon diverses exigences de qualité. Enfin, il permet la création de nombreux réseaux virtuels privés pour répondre à divers besoins de sécurité, ainsi que le passage de l’état actuel à l’état cible.

4.1.3 Réseau inter-immeubles (C3)

Le réseau inter-immeubles assure une connectivité inter-immeubles au pays et à l’étranger à tous les immeubles où l’administration fédérale loue des locaux. Il permet le transfert de trafic selon diverses exigences de qualité, et il soutient les applications multidiffusion. Enfin, il permet la création de nombreux réseaux virtuels privés pour répondre à divers besoins de sécurité, ainsi que le passage de l’état actuel à l’état cible. Le réseau inter-immeubles peut offrir l’accès filaire et sans fil, y compris les connexions satellites, cellulaires (3G et 4G) et radio mobiles.

4.1.4 Réseau intra-centres de données (C4)

Le réseau intra-centres de données assure une connectivité aux serveurs et un stockage dans des environnements informatiques et de stockage hautement virtuels. Il supporte le transfert de trafic avec diverses exigences de qualité de service, et il fournit un support aux applications multidiffusion. Enfin, il permet la création de nombreux réseaux virtuels privés pour répondre à divers besoins de sécurité, ainsi que le passage de l’état actuel à l’état cible.

4.1.5 Réseau inter-centres de données (C5)

Le réseau inter-centres de données permet l’extension des services de réseau, notamment (mais sans s’y limiter) les réseaux locaux virtuels (RLV) de couche 2 et les sous-réseaux de couche 3, à de nombreux centres de données qui assure la prestation des services à haute disponibilité visant les applications et les données (p. ex., le regroupement de serveurs, la reproduction synchrone, la migration des charges de travail en temps réel). Ce réseau doit offrir un transfert à faible latence entre les paires de centres de données pour satisfaire aux exigences de ces applications.

4.1.6 Partitionnement du réseau

Le partitionnement du réseau n’est pas réellement une composante du réseau du GC. Il s’agit plutôt d’une importante capacité des composantes intra-immeuble (C1 et C2), inter-immeubles (C3), intra-centres de données (C4) et inter-centres de données (C5). Les composantes de réseau C1, C2 et C4 pourraient être des partitions physiques (filage, points d’accès, commutateurs et routeurs différents, par exemple) ou virtuelles (ID de sécurité/RLV ou basées sur le VRF [Virtual Routing and Forwarding ou routage et réacheminement virtuels]), tandis que les composantes C3 et C5 ne seraient que virtuelles (basées sur le VRF ou ayant des longueurs d’onde ou lambdas différents).

Les partitions du réseau peuvent être utilisées pour séparer le trafic dont le contenu est très différent sur le plan de l’objectif (p. ex., le trafic de gestion des points terminaux et des éléments du réseau par rapport au trafic de gestion des applications des utilisateurs et des clients) ou sur le plan de la sécurité (p. ex., les données désignées ou classifiées), créant ainsi des domaines de sécurité différents.Footnote 3 Les partitions seront aussi utilisées pour séparer les divers domaines de sécurité en zones de sécurité, selon la définition du Centre de la sécurité des télécommunications Canada (CSTC).Footnote 4

La figure 3 illustre trois réseaux logiques configurés sur le réseau du GC (c.-à-d. les composantes C1, C2, C3 et C4). Les réseaux logiques 1 et 3 sont destinés au trafic des utilisateurs et des clients, tandis que le réseau logique 2 est réservé à la gestion des TI par SPC. Chacun des réseaux logiques illustrés a un domaine de sécurité distinct. Le réseau de gestion des TI (réseau logique 2) s’étend aux immeubles de bureaux pour permettre la gestion des éléments du réseau illustrés ici par une icône de routeur et de commutateur.

Figure 3: Partitionnement du réseau en domaines de sécurité

Figure 3: Partitionnement du réseau en domaines de sécurité

Le partitionnement du réseau devra, du moins en ce qui concerne les composantes du réseau de centres de données et du réseau inter-centres de données, respecter la notion de contenance fondée sur le profil de sécurité des applications décrite dans le document sur l’architecture de référence des centres de données.Footnote 5 Trois configurations visent l’utilisation de l’infrastructure physique partagée. Une configuration supplémentaire est réservée aux ministères qui peuvent justifier la nécessité d’une infrastructure physique dédiée. Ces options sont :

  1. modèle de plateforme virtuelle partagée et de contenance partagée : (par défaut) déploie les charges de travail des ministères sur les plateformes virtuelles partagées et regroupe les charges de travail à l’intérieur de zones de contenance partagées (domaine de sécurité partagé);
  2. modèle de plateforme virtuelle dédiée et de contenance partagée : lorsque les charges de travail des ministères ne peuvent pas (ou ne devraient pas) être déployées à l’intérieur de la même plateforme virtuelle, mais peuvent résider dans une zone de contenance partagée (domaine de sécurité partagé), une plateforme virtuelle dédiée devrait être créée;
  3. modèle de plateforme virtuelle dédiée et de contenance dédiée : lorsque les charges de travail des ministères ne peuvent pas (ou ne devraient pas) être déployées à l’intérieur de la même zone de contenance, une plateforme virtuelle dédiée et une zone de contenance dédiée seraient créées;
  4. modèle de plateforme physique dédiée et de contenance dédiée : destiné aux ministères qui ont des exigences de sécurité particulières qui ne peuvent pas être satisfaites par les modèles physiques partagés ci-dessus, une infrastructure physique distincte et dédiée sera utilisée.

Les exigences relatives à l’infrastructure dédiée doivent être appuyées par une analyse de rentabilisation et approuvées par les organismes de gouvernance concernés.

4.1.7 Protection du périmètre (C6)

La protection du périmètre est assurée par un pare-feu qui permet aux partitions du réseau (domaines et zones de sécurité) d’être interconnectées d’une manière contrôlée (sécurisée). Par exemple, à la figure 4, le partitionnement du réseau crée deux domaines de sécurité (domaines A et C), chacun ayant son propre profil de sécurité, ainsi que des zones de sécurité à l’intérieur de chaque domaine pour séparer les niveaux Web (opérations [OZ]ou accès public [PAZ]), applications (APRZ) et données (DRZ) des applications à trois niveaux hébergées dans chaque domaine. La protection du périmètre, illustrée par une icône de pare-feu, permet à ces domaines et zones distincts d’être interconnectés de manière sécurisée, comme exigé. Le transfert des données entre les partitions est contrôlé par une politique de sécurité.

Figure 4: Protection du périmètre

Figure 4: Protection du périmètre

Haut de la page

4.1.8 Accès à distance protégé (C7)

L’accès à distance protégé (ADP) permet aux utilisateurs et aux sites situés à distance de se connecter au réseau du GC par des réseaux non sécurisés comme Internet. Les passerelles d’ADP sont déployées aux centres de données du GC, à partir desquels le logiciel client de l’ADP, persistant ou non, est déployé au niveau des appareils des utilisateurs exigeant une connectivité. Dans le cas de la connectivité d’un site plutôt que des utilisateurs individuels, une passerelle d’ADP doit aussi être déployée au site distant.

4.1.9 Contrôle de l’accès au réseau (C8)

Le contrôle de l’accès au réseau permet de contrôler la connectivité au réseau non seulement par l’authentification des utilisateurs, mais aussi en fonction d’autres caractéristiques des utilisateurs ou des appareils, comme :

  1. le profil fondé sur les rôles de l’utilisateur;
  2. la correction récente ou non de l’appareil;
  3. l’existence, et l’état, d’un pare-feu et d’un analyseur de virus locaux;
  4. l’emplacement de l’utilisateur.

Bien que le contrôle de l’accès au réseau soit illustré comme une fonction centralisée à la figure 2 (c.-à-d. à un centre de données), il est en fait distribué. La politique est administrée centralement, mais elle est mise en application localement au point de connexion (p. ex., par un commutateur à l’intérieur du réseau intra-immeuble.

4.1.10 Gestion et surveillance du réseau (C9)

La gestion et la surveillance du réseau fournissent toutes les fonctions qui sont exigées pour permettre au personnel concerné :

  1. de surveiller l’utilisation et le rendement du réseau et d’en faire rapport;
  2. de planifier les capacités du réseau et de le mettre à niveau en conséquence;
  3. de détecter la source de la dégradation du rendement, des défaillances et des incidents liés à la sécurité et de faire le nécessaire pour atténuer ou résoudre ces problèmes;
  4. de gérer et de contrôler la configuration du réseau;
  5. de générer les renseignements de facturation selon l’utilisation du client ou de l’utilisateur.

4.1.11 Synchronisation réseau (C10)

La synchronisation réseau (aussi appelée « protocole de synchronisation réseau ou NTP ») est un service qui veille à ce que les appareils connectés au réseau soient synchronisés avec une source commune. Cet élément est essentiel à la détection des problèmes liés au rendement et à la sécurité, ainsi qu’à la production des rapports connexes. Le protocole NTP est appliqué aux éléments internes du réseau du GC et aux appareils finaux (p. ex., les appareils des utilisateurs et les serveurs) qui se connectent au réseau. Bien que le protocole NTP soit illustré comme une fonction centralisée (c.-à-d. à un centre de données), il devra probablement être distribué pour des raisons de rendement.

4.1.12 Protocole DHCP (C11)

Le protocole DHCP est un service fourni par le réseau du GC qui permet l’attribution dynamique d’adresses IP et d’autres renseignements liés au réseau (p. ex., l’emplacement des serveurs de noms de domaine [DNS]) vers les appareils des utilisateurs du GC lorsqu’ils se connectent au réseau. Ce service facilite le déploiement des appareils des utilisateurs finaux, ainsi que leur mobilité, en dispensant les utilisateurs d’avoir à entrer manuellement ces adresses dans chaque appareil. Bien que le service DHCP soit représenté comme une fonction centralisée à la figure 2, il peut être distribué pour des raisons de rendement. Dans ce cas, l’espace adressable est administré de façon centralisée, mais les adresses sont distribuées localement au point de connexion (p. ex., au moyen d’un commutateur ou d’un routeur intégré au réseau intra-immeuble). Le service DHCP doit prendre en charge les normes IPv4 et IPv6 du GC.

4.1.13 Zone de système de noms de domaine du réseau du GC (C12)

Une zone de système de noms de domaine (DNS) du réseau du GC est exigée pour permettre la gestion des éléments du réseau du GC (p. ex., les routeurs et les commutateurs) en fonction des noms reconnaissables par le personnel des opérations plutôt que des adresses IP moins conviviales attribuées aux éléments du réseau. Cette zone DNS sert uniquement à la gestion du réseau du GC. Les zones DNS qui acceptent les adresses URL des applications sont hors de la portée du service du réseau du GC. La zone DNS du réseau du GC sera configurée à sa propre racine ou constituera une zone du service DNS du GC (c.-à-d. gc.ca). La première zone rend les noms privés sur le réseau du GC, alors que la deuxième les rend visibles sur Internet.

La zone DNS du réseau du GC (C12) utilisera la même technologie que celle utilisée dans les zones DNS qui acceptent les adresses URL des applications du GC (c.-à-d. une technologie DNS au sein de SPC).

4.1.14 Connectivité du réseau externe (C13)

La connectivité du réseau externe (CRE) est un service qui permet de faire de l’appairage avec un réseau externe. Il s’agit, par exemple, de l’appairage avec Internet et avec les réseaux de partenaires de confiance. Parmi ces partenaires, citons les autres administrations et les sociétés qui fournissent des services au nom du GC (services impartis), ainsi que les entreprises qui utilisent les renseignements du GC ou lui fournissent des renseignements. Parmi les exemples de services impartis qui seraient fournis sur un réseau de partenaires, mentionnons le service de courriel commun (l’Initiative de transformation des services de courriel [ITSC] et les services de voyage partagés du GC. La CRE fournit la connectivité physique, ainsi que l’échange de renseignements sur le routage pour permettre les communications entre le réseau du GC et les réseaux externes.


Haut de la page

4.2 Services et normes fondamentaux

Le réseau du GC est tributaire de certains services et normes fondamentaux qui ne sont pas considérés comme faisant partie du réseau lui-même. Ces services et ces normes sont présentés dans cette section.

4.2.1 Bureau de service de SPC

Le bureau de service de SPC est un centre d’assistance avec lequel les utilisateurs ou les représentants des clients communiquent lorsqu’ils éprouvent des difficultés avec les services de SPC. Ce bureau trie les problèmes signalés et demande, au besoin, aux services de soutien de niveau 3 et 4 du réseau du GC de participer à la résolution des problèmes.

4.2.2 Portail des services de SPC

Le portail des services de SPC est un site Web qui permet aux représentants des ministères clients autorisés et inscrits d’effectuer les tâches suivantes :

  1. commander des services fournis par SPC;
  2. obtenir des renseignements sur l’état d’exécution d’une commande d’un client;
  3. obtenir des renseignements sur le niveau d’utilisation d’un service par les clients;
  4. obtenir des renseignements sur le rendement du service par rapport aux objectifs.

Certains services du réseau du GC seront fournis directement par le portail des services de SPC (p. ex., l’inscription des utilisateurs des ministères aux services du réseau). D’autres seront demandés sur ce portail, mais exigeront des processus d’approvisionnement en arrière-plan (p. ex., doubler la capacité de la bande passante d’un site).

4.2.3 Gestion de l’identité, des justificatifs d’identité et de l’accès

La gestion de l’identité, des justificatifs d’identité et de l’accès (GIJIA) est un service essentiel de SPC. Ce service permet la création et la gestion de l’identité des utilisateurs, des justificatifs d’identité à de nombreux niveaux d’assurance, ainsi que des pouvoirs liés à l’accès logique aux services du réseau du GC (p. ex., la connectivité) et aux éléments (p. ex., les commutateurs et les routeurs). Il fournit une identité unique qui comporte de nombreux attributs et est liée à deux ou trois justificatifs d’identité, contrôlant l’accès à de nombreuses ressources.Footnote 6

4.2.4 Registre du protocole Internet et plan d’adressage du protocole Internet

Le registre du protocole Internet (IP) est un service essentiel qui comprend une base de données centralisée qui fait le suivi de l’attribution des blocs d’adresses IP aux sous-réseaux du réseau du GC (p. ex., un pool DHCP associé à un immeuble de bureaux), ainsi que des appareils lorsque leur adresse est attribuée statiquement (c.-à-d. configurées manuellement) plutôt que dynamiquement (c.-à-d. activées par le serveur DHCP). Le registre IP doit être lié aux autres outils de gestion d’adresses IP, comme les serveurs DNS et DHCP, pour éviter les entrées manuelles inutiles.

Le plan d’adressage IP est une norme fondamentale qui définit la façon dont l’espace disponible alloué aux adresses IP du GC sera attribué aux régions et aux sites à l’intérieur du réseau du GC. Il définit également la façon dont des portions de l’espace disponible alloué aux adresses IP du GC peuvent être attribuées à des réseaux qui ne font pas partie du réseau du GC (soit pour passer au réseau du GC en temps voulu soit pour répondre aux exigences associées aux renseignements classifiés). Le registre IP et le plan d’adressage IP doivent prendre en charge les adresses IPv4 et IPv6 du GC.

4.2.5 Registre de noms de réseau et plan de nommage de réseau

Le registre de noms de réseau est un service essentiel qui comprend une base de données centralisée qui fait le suivi de l’attribution de noms aux entités du réseau. Ces noms sont mappés aux adresses IP du serveur DNS afin de permettre au personnel des opérations de gérer les éléments du réseau en fonction des noms plutôt que des adresses IP. Le registre de noms de réseau doit être lié aux autres outils de gestion d’adresses IP, comme les serveurs DNS et DHCP, pour éviter les entrées manuelles inutiles.

Le plan de nommage de réseau définit la norme de syntaxe des noms d’élément du réseau, permettant la détermination de caractéristiques comme l’emplacement du site ou le type d’appareil à partir d’un nom d’élément de réseau donné.

4.2.6 Centre de protection de l’information

Le centre de protection de l’information (CPI) est un service essentiel de SPC. Le CPI recevra l’information sur tous les événements liés à la sécurité du réseau du GC, l’analysera et établira une corrélation entre les événements pour cerner les menaces. Il établira les mesures à prendre pour atténuer les menaces importantes et avisera les organismes responsables de la sécurité au GC et les organismes d’application de la loi au besoin.


Haut de la page

4.3 Traçabilité des exigences

Le tableau suivant indique la traçabilité entre les exigences en matière de service (c.-à-d. les capacités fonctionnelles) définies à la section 2 et les services du réseau du GC définis à la section 4.

Tableau 1 : Traçabilité des exigences
Éléments
de service
du réseau du GC		 Exigences du service
1
Accès
contrôlé		 2
Haute
disponibilité		 3
Commu-
nications
poste à poste		 4
Variabilité
de
la qualité
du service		 5
Itinérance		 6
Accès à
distance
protégé
par les
utilisateurs		 7
Accès
aux
réseaux
externes		 8
Réseaux
logiques
séparés		 9
Zones
de
sécurité
multiples		 10
Prise en
charge
du
déploiement		 11
Soutien
à la gestion
du réseau
Réseau
filaire
intra-
immeuble (C1)		                
Wifi (C2)              
Réseau inter-
immeubles (C3)		                
Réseau
intra-centres
de données (C4)		                  
Réseau
inter-centres
de données (C5)		                  
Partitionnement
du réseau		                    
Protection
du périmètre
(C6)		                
Accès à
distance
protégé (C7)		                  
Contrôle
de l’accès
au réseau (C8)		                    
Gestion et
surveillance
du réseau (C9)		                    
Synchronisation
réseau (C10)		                  
Protocole
DHCP (C11)		                    
DNS du réseau
du GC (C12)		                    
Connectivité
du réseau
externe (C13)		                  

Haut de la page

4.4 Catégories de services

Dans cette section, les services et les dépendances associés au réseau du GC sont classés dans trois catégories : externes (services qui peuvent être commandés par les clients), internes (services réservés à SPC) et services et normes fondamentaux. Cette dernière catégorie comprend les services qui sont hors de la portée du réseau et les normes du GC sur lesquels reposent l’approvisionnement ou les activités du réseau du GC.

Vous constaterez que le réseau inter-immeubles (C3) est classé comme un service externe et un service interne. En effet, ce réseau peut être commandé par les ministères clients et être utilisé par SPC, par exemple pour assurer la gestion du réseau (c.-à-d. en étendant le réseau logique à l’extérieur du centre de données). Les protocoles DHCP et NTP sont placés sous les services internes, même s’ils seront utilisés par les clients, parce qu’ils seront intégrés à d’autres services de réseau (p. ex., le réseau filaire intra-immeuble ou le réseau des centres de données) et ne peuvent pas être commandés séparément par les clients.

Services externes (c.-à-d. commandés par catalogue)

  1. Réseau filaire intra-immeuble (C1)
  2. Wifi (C2)
  3. Réseau inter-immeubles (C3)
  4. Accès à distance protégé (C7)

Services internes (c.-à-d. sous-jacents)

  1. Réseau inter immeubles (C3)
  2. Réseau intra-centres de données (C4)
  3. Réseau inter-centres de données (C5)
  4. Partitionnement du réseau
  5. Protection du périmètre (C6)
  6. Contrôle de l’accès au réseau (C8)
  7. Gestion et surveillance du réseau (C9)
  8. Synchronisation réseau (C10)
  9. Protocole DHCP (C11)
  10. DNS du réseau du GC (C12)
  11. Connectivité du réseau externe (C13)

Services et normes fondamentaux

  1. Bureau de service de SPC
  2. Portail des services de SPC
  3. GIJIA
  4. Registre IP
  5. Plan d’adressage IP
  6. Registre de noms de réseau
  7. Plan de nommage de réseau
  8. Centre de protection de l’information

Haut de la page

4.5 Dépendances des services

Les interdépendances entre les services internes et externes du réseau du GC, ainsi que leur dépendance à l’égard des services et des normes fondamentaux, sont décrites dans cette section et résumées au tableau 3.

4.5.1 Réseau filaire intra-immeuble (C1)

Le réseau filaire intra-immeuble (C1) est tributaire des autres services suivants :

  1. Système de contrôle de l’accès au réseau (C8) pour contrôler les accès;
  2. Gestion et surveillance du réseau pour gérer le réseau (C9);
  3. Synchronisation réseau (C10) pour servir de source temporelle à tous les éléments du réseau (p. ex., les routeurs et les commutateurs);
  4. Bureau de service de SPC pour traiter les problèmes signalés par les clients;
  5. Portail des services de SPC pour permettre aux clients d’inscrire les utilisateurs du service;
  6. Registre IP des adresses IP des éléments du réseau (p. ex., les routeurs et les commutateurs).

4.5.2 Wifi (C2)

Le réseau Wifi (C2) est tributaire des autres services suivants :

  1. Réseau filaire intra-immeuble (C1) pour interconnecter les éléments Wifi (p. ex., les points d’accès sans fil) et connecter le réseau Wifi au réseau inter-immeubles (C3);
  2. Système de contrôle de l’accès au réseau (C8) pour contrôler les accès;
  3. Gestion et surveillance du réseau pour gérer le réseau (C9);
  4. Synchronisation réseau (C10) pour servir de source temporelle à tous les éléments du réseau (p. ex., les points d’accès sans fil);
  5. Bureau de service de SPC pour traiter les problèmes signalés par les clients;
  6. Portail des services de SPC pour permettre aux clients d’inscrire les utilisateurs du service;
  7. Registre IP des adresses IP des éléments du réseau (p. ex., les points d’accès sans fil).

4.5.3 Réseau inter-immeubles (C3)

Le réseau inter-immeubles (C3) est tributaire des autres services suivants :

  1. Gestion et surveillance du réseau pour gérer le réseau (C9);
  2. Synchronisation réseau (C10) pour servir de source temporelle à tous les éléments du réseau (p. ex., les routeurs et les commutateurs);
  3. Portail des services de SPC pour permettre aux clients de commander le service;
  4. Bureau de service de SPC pour traiter les problèmes signalés par les clients;
  5. Registre IP des adresses IP des éléments du réseau (p. ex., les routeurs et les commutateurs).

4.5.4 Réseau intra-centres de données (C4)

Le réseau intra-centres de données (C4) est tributaire des autres services suivants :

  1. Gestion et surveillance du réseau pour gérer le réseau (C9);
  2. Synchronisation réseau (C10) pour servir de source temporelle à tous les éléments du réseau (p. ex., les routeurs et les commutateurs);
  3. Registre IP des adresses IP des éléments du réseau (p. ex., les routeurs et les commutateurs).

4.5.5 Réseau inter-centres de données (C5)

Le réseau inter-centres de données (C5) est tributaire des autres services suivants :

  1. Gestion et surveillance du réseau pour gérer le réseau (C9);
  2. Synchronisation réseau (C10) pour servir de source temporelle à tous les éléments du réseau (p. ex., les routeurs et les commutateurs);
  3. Registre IP des adresses IP des éléments du réseau (p. ex., les routeurs et les commutateurs).

4.5.6 Partitionnement du réseau

Le partitionnement du réseau est une capacité exigée avec les autres services suivants :

  1. Réseau filaire intra-immeuble (C1);
  2. Wifi (C2);
  3. Réseau inter-immeubles (C3);
  4. Réseau intra-centres de données (C4);
  5. Réseau inter-centres de données (C5).

4.5.7 Protection du périmètre (C6)

La protection du périmètre (C6) est utilisée avec le réseau intra-centres de données (C4) pour interconnecter les domaines et les zones de sécurité de façon sécuritaire.

4.5.8 Accès à distance protégé (C7)

L’accès à distance protégé (C7) est tributaire des autres services suivants :

  1. Réseau intra-centres de données (C4) pour connecter les portes d’ADP centralisées au réseau du GC;
  2. Réseau filaire intra-immeuble (C1) pour connecter les portes d’ADP des bureaux distants au réseau du GC;
  3. La connectivité du réseau externe (C13) pour connecter les utilisateurs et les bureaux distants au réseau du GC;
  4. Le contrôle de l’accès au réseau (C8) et la GIJIA pour contrôler l’accès des utilisateurs.

4.5.9 Contrôle de l’accès au réseau (C8)

Le contrôle de l’accès au réseau (C8) est tributaire des autres services suivants :

  1. Réseau intra-centres de données (C4) pour connecter l’élément de contrôle de l’accès au réseau centralisé au réseau du GC;
  2. Synchronisation réseau (C10) pour servir de source temporelle;
  3. GIJIA pour émettre (et révoquer) les justificatifs d’identité des utilisateurs et authentifier ceux-ci en fonction de ces justificatifs.

4.5.10 Gestion et surveillance du réseau (C9)

La gestion et la surveillance du réseau (C9) sont tributaires des autres services et normes fondamentaux suivants :

  1. Capacité de partitionnement du réseau filaire intra-immeuble (C1), du Wifi (C2), du réseau inter-immeubles (C3) et du réseau intra-centres de données (C4), avec la protection du périmètre (C6), pour créer le domaine de la sécurité de la gestion des TI de SPC et les zones de sécurité réseau connexes;
  2. Synchronisation réseau (C10) pour synchroniser les éléments de gestion et de surveillance du réseau avec une source temporelle commune;
  3. DNS du réseau du GC (C12) pour établir une correspondance entre les noms des éléments du réseau et leur adresse IP, permettant ainsi de gérer ces éléments en fonction des noms plutôt que des adresses;
  4. GIJIA pour authentifier les membres du personnel des opérations de gestion du réseau et limiter leurs pouvoirs aux rôles qui leur ont été attribués;
  5. Registre IP pour enregistrer les adresses attribuées aux éléments du réseau;
  6. Plan d’adressage IP pour déterminer les plages d’adresses appropriées à l’adressage des éléments du réseau;
  7. Registre de noms de réseau pour enregistrer les noms attribués aux éléments du réseau;
  8. Plan de nommage de réseau pour déterminer les noms à donner aux éléments du réseau.

Haut de la page

4.5.11 Synchronisation réseau (C10)

La synchronisation réseau (C10) est tributaire des autres services suivants :

  1. Réseau intra-centres de données (C4) pour connecter l’élément de contrôle de l’accès au réseau centralisé au réseau du GC;
  2. Protocole DHCP (C11) pour annoncer l’emplacement (c.-à-d. l’adresse IP) du ou des serveurs de synchronisation réseau;
  3. Réseau intra-centres de données (C4) pour distribuer le temps sur les serveurs d’hébergement des centres de données;
  4. Réseau filaire intra-immeuble (C1) si le service NTP est distribué (c.-à-d. le temps est distribué localement à chaque immeuble);
  5. Réseau inter-centres de données (C5) pour prendre en charge le fonctionnement durable du service de synchronisation réseau;
  6. Réseau filaire intra-immeuble (C1) et Wifi (C2) pour distribuer le temps aux appareils des utilisateurs finaux.

4.5.12 Protocole DHCP (C11)

Le protocole DHCP (C11) est tributaire des autres services suivants :

  1. Réseau intra-centres de données (C4) pour connecter l’élément de contrôle de l’accès au réseau centralisé au réseau du GC;
  2. Réseau filaire intra-immeuble (C1) si le service DHCP est distribué (c.-à-d. les adresses IP de l’immeuble sont distribuées localement par un commutateur du réseau filaire);
  3. Réseau inter-centres de données (C5) pour prendre en charge la survie du protocole DHCP;
  4. Registre IP pour enregistrer les blocs d’adresses attribués à la prestation du service DHCP;
  5. Plan d’adressage IP pour déterminer les blocs d’adresses appropriés à la prestation du service DHCP à différents sites.

4.5.13 Zone DNS du réseau du GC (C12)

La zone DNS du réseau du GC (C12) est tributaire des autres services suivants :

  1. Réseau intra-centres de données (C4) pour connecter les serveurs de la zone DNS du réseau du GC au réseau du GC;
  2. Réseau inter-centres de données (C5) pour prendre en charge la survie du protocole DHCP;
  3. Protocole DHCP pour annoncer l’emplacement (c.-à-d. l’adresse IP) du ou des serveurs de la zone DNS du réseau du GC aux systèmes terminaux.

Si la zone DNS du réseau du GC (C12) n’est pas configurée à sa propre racine, elle sera tributaire des autres services suivants :

  1. Zone DNS du réseau du GC (C12) (c.-à-d. gc.ca); et
  2. Service de connectivité du réseau externe (C13) pour assurer la connectivité aux serveurs racines DNS sur Internet.

4.5.14 Connectivité du réseau externe (C13)

La connectivité du réseau externe (C13) est tributaire des autres services suivants :

  1. Capacité de partitionnement du réseau intra-centres de données (C4), et service de protection du périmètre pour créer une zone d’accès public (PAZ) afin de connecter en toute sécurité le réseau du GC aux réseaux externes;
  2. Bureau de service de SPC pour traiter les problèmes signalés par les clients;
  3. Registre IP pour déterminer les plages d’adresses qui devront être annoncées aux réseaux externes.

4.5.15 Bureau de service de SPC

Le bureau de service de SPC est tributaire des autres services suivants :

  1. Réseau intra-centres de données (C4) pour connecter le bureau de service de SPC au réseau du GC, s’il est hébergé dans un centre de données du GC; ou
  2. Connectivité du réseau externe (C13) pour connecter le bureau de service de SPC au réseau du GC, s’il est imparti.

4.5.16 Portail des services de SPC

Le portail des services de SPC est tributaire des autres services suivants :

  1. Réseau intra-centres de données (C4) pour connecter le portail des services de SPC au réseau du GC, s’il est hébergé dans un centre de données du GC; ou
  2. Connectivité du réseau externe (C13) pour connecter le portail des services de SPC au réseau du GC, s’il est imparti.

4.5.17 Gestion de l’identité, des justificatifs d’identité et de l’accès

La GIJIA (C2) est tributaire des autres services suivants :

  1. Réseau intra-centres de données (C4) pour connecter les éléments de la GIJIA au réseau du GC; ou
  2. Connectivité du réseau externe (C13) pour connecter la GIJIA au réseau du GC, s’il est imparti.

4.5.18 Registre IP et plan d’adressage IP

Le registre IP est tributaire de l’existence d’un plan d’adressage IP qui oriente la façon dont l’espace adressable IPv6 et IPv4 doit être organisé et attribué aux éléments, aux régions, aux sites et aux centres de données du réseau du GC. Il est aussi tributaire du réseau intra-centres de données (C4) qui assure la connectivité au réseau du GC.

Le plan d’adressage IP n’est pas dépendant d’autres services.

4.5.19 Registre de noms de réseau et plan de nommage de réseau

Le registre de noms du réseau du GC est tributaire de l’existence d’un plan de nommage du réseau du GC qui oriente la façon dont l’espace nom doit être organisé et attribué aux éléments du réseau du GC. Il est aussi tributaire du réseau intra-centres de données (C4) qui assure la connectivité au réseau du GC.

Le plan d’adressage IP n’est pas dépendant d’autres services.

4.5.20 Centre de protection de l’information

Le CPI est tributaire des autres services suivants :

  1. Réseau intra-centres de données (C4) pour connecter le CPI au réseau du GC;
  2. Tous les services externes et internes du réseau du GC pour détecter et signaler les événements liés à la sécurité;
  3. Registre IP et registre de noms de réseau pour déterminer l’emplacement des points terminaux et des éléments du réseau qui signalent des événements liés à la sécurité.
Tableau 3 : Dépendances des services - partie 1
Services
externes et
internes
du réseau du GC,
et services
et normes
fondamentaux		 Réseau
filaire
intra-
immeuble
(C1)		 Wifi
(C2)		 Réseau
inter-
immeubles
(C3)		 Réseau
intra-centres
de données
(C4)		 Réseau
inter-centres
de données
(C5)		 Partitionnement
du réseau		 Protection
du périmètre
(C6)		 Accès
à distance
protégé
(C7)		 Contrôle
de l’accès
au réseau
(C8)		 Gestion
et
surveillance
du réseau
(C9)		 Synchro-
nisation
réseau
(C10)
Réseau
filaire intra-
immeuble (C1)		                
Wifi (C2)              
Réseau
inter-
immeubles (C3)		                  
Réseau
intra-centres
de données (C4)		                  
Réseau
inter-centres
de données (C5)		                  
Partitionnement
du réseau		            
Protection
du périmètre (C6)		                    
Accès à
distance
protégé (C7)		                
Contrôle
de l’accès
au réseau (C8)		                  
Gestion et
surveillance
du réseau (C9)		        
Synchronisation
réseau (C10)		 1              
Protocole
DHCP (C11)		 1                
DNS du
réseau du GC
(C12)		                  
Connectivité
du réseau
externe (C13)		                  
Services
partagés
Canada		                    
Portail
des services
de SPC		                  
GIJIA                  
Registre IP                    
Plan
d’adressage
IP		                      
Registre
de noms
de réseau		                    
Plan de
nommage
de réseau		                      
Centre
de protection
de l’information

Remarques : 1 Si le service est distribué plutôt que centralisé.

Tableau 3 : Dépendances des services - partie 2
Services
externes et
internes
du réseau du GC,
et services
et normes
fondamentaux		 Protocole
DHCP
(C11)		 DNS
du
réseau
du GC
(C12)		 Connectivité
du
réseau
externe
(C13)		 Services
partagés
Canada		 Portail
des
services
de SPC		 GIJIA Registre
IP		 Plan
d’adressage
IP		 Registre
de noms
de
réseau		 Plan
de
nommage
de réseau		 Centre
de
protection
de
l’information
Réseau
filaire intra-
immeuble (C1)		                
Wifi (C2)                
Réseau
inter-
immeubles (C3)		                
Réseau
intra-centres
de données (C4)		                  
Réseau
inter-centres
de données (C5)		                    
Partitionnement
du réseau		                      
Protection
du périmètre
(C6)		                      
Accès
à distance
protégé (C7)		                  
Contrôle
de l’accès
au réseau (C8)		                    
Gestion et
surveillance
du réseau (C9)		          
Synchronisation
réseau (C10)		                    
Protocole
DHCP (C11)		                  
DNS du
réseau du GC
(C12)		                  
Connectivité
du réseau
externe (C13)		                  
Services
partagés
Canada		     2                
Portail
des services
de SPC		     2                
GIJIA     2                
Registre IP                    
Plan
d’adressage
IP		                      
Registre
de noms
de réseau		                    
Plan de
nommage
de réseau		                      
Centre
de protection
de l’information		                  

Remarques : 2 Si le service est imparti.


Haut de la page

5. Défis

Cette section souligne les défis auxquels SPC fera probablement face dans le cadre du développement, du déploiement et de l’exploitation du réseau du GC. On suppose que le programme du réseau du GC et tous les projets relatifs à la prestation des services du réseau du GC comprendront une évaluation exhaustive de la gestion des risques qui permettra de valider ou de rejeter les éléments suivants.

Le passage de un ou de plusieurs réseaux par ministère (état actuel) à un ou à quelques réseaux logiques (état désiré) sera très difficile sur le plan de la logistique, de la technologie et de la sécurité.

D’un point de vue logistique, la transition des utilisateurs finaux et des applications des ministères vers un réseau logique unique nécessitera le réadressage de centaines de milliers de points terminaux du GC et de milliers d’applications. L’acquisition de documents « d’après exécution » sur tous les réseaux qui doivent être migrés afin de comprendre les exigences associées à la transition posera également un nouveau défi. Cela va au-delà de l’emplacement des sites et de la consommation actuelle de la bande passante, pour tenir compte de détails comme le besoin de liaisons par satellite, le soutien de la qualité du service, la prise en charge de la multidiffusion, etc.

Il existe de fortes dépendances vis-à-vis des composantes du GC dont le développement est limité ou n’a pas encore été réalisé (p. ex., le contrôle de l’accès au réseau et la GIJIA). De plus, un déploiement par l’industrie de cette ampleur a rarement été réalisé, s’il l’a été.

À l’heure actuelle, le partitionnement du réseau (c.-à-d. un réseau par ministère) a été utilisé comme mesure de contrôle de la sécurité pour limiter le nombre de personnes qui pourraient tenter d’ouvrir une session dans une application. D’autres contrôles de sécurité (p. ex., le contrôle de l’accès au réseau, la GIJIA et, peut-être, la gestion des autorisations) devront être déployés au sein de l’infrastructure pour veiller à ce que le risque résiduel soit maintenu à un niveau acceptable.

Les défis énoncés ci-dessus sont aggravés par le fait que SPC est un ministère nouvellement formé. Il évolue donc encore avec des ressources limitées et a peu d’expérience de changements de cette ampleur.

Les organisations partenaires exigeront une garantie que la sécurité et la protection des renseignements personnels seront intégrées à la phase de conception. La surveillance s’imposera pour garantir que la sécurité et la protection des renseignements personnels seront prises en compte lorsque les changements seront apportés aux technologies ou que les nouveaux agents de menace seront actifs.


Haut de la page

6. Recommandations

On trouvera ci-après des recommandations sur les mesures générales qui devraient être considérées pour relever les défis décrits à la section 5. On suppose que le programme du réseau du GC et les projets relatifs à la prestation des services du réseau du GC comprendront une évaluation exhaustive de la gestion des risques qui permettra de définir les mesures appropriées pour atténuer les risques importants.

On recommande de considérer le développement et le déploiement par phases du réseau du GC comme un moyen pour ramener à un niveau acceptable les risques en matière de finances, de technologie, de sécurité, de protection des renseignements personnels et d’organisation.

La phase 1 pourrait être axée sur le regroupement des ministères du GC sur un nombre réduit de réseaux physiques, en fonction des cycles de mise à niveau du matériel réseau et d’expiration des contrats de service connexes. Cette mesure permettra à SPC d’atteindre plus rapidement les objectifs de réduction des coûts. La phase 1 prévoirait aussi le développement et la mise à l’essai de l’architecture et de la conception visées à SPC. L’intégration de la GIJIA avec un contrôle d’accès au réseau serait mise à l’essai, ainsi que tous les nouveaux autres contrôles de sécurité conçus pour atténuer la perte de réseaux ministériels distincts. L’adaptabilité des contrôles de sécurité, y compris le contrôle de l’accès au réseau et la GIJIA, sera au centre de cette phase.

La phase 2 pourrait porter sur le déploiement de la solution à l’état final et la transition de quelques réseaux et applications ministériels moins importants vers l’état désiré afin d’atténuer davantage les risques liés à la transition.

Enfin, la phase 3 pourrait comporter un passage à grande échelle des réseaux ministériels restants vers l’état désiré sur une période raisonnable. Les ministères pourraient migrer selon leurs cycles de mise à niveau du matériel et d’expiration des contrats de service imparti (c.-à-d. en tirant parti des possibilités).

L’échéancier associé à chaque phase peut varier d’un service du réseau du GC à l’autre, selon les possibilités de changement et les risques estimés. Par exemple, étant donné que le regroupement des centres de données donnera lieu à la mise en œuvre d’un nouveau site, la phase 1 (à l’exception peut-être de la mise à l’essai des nouvelles capacités avant leur mise en production à grande échelle) et la phase 2 pourraient être limitées ou totalement ignorées.


Haut de la page

7. Glossaire

Le tableau suivant définit les termes que le public visé du document d’architecture de référence du réseau du GC pourrait ne pas connaître.

Terme Description
APRZ Zone d’accès restreint des applications : zone de sécurité réseau pour assurer l’hébergement des applications opérationnelles essentielles.
CSTC Centre de la sécurité des télécommunications Canada : organisme du ministère de la Défense nationale responsable de l’élaboration de normes et de directives de sécurité liées aux réseaux informatiques.
DRZ Zone d’accès restreint des applications : zone de sécurité réseau pour assurer l’hébergement des applications opérationnelles essentielles. Aussi appelée zone d’accès restreint des bases de données ou DBRZ.
GIJIA Gestion de l’identité, des justificatifs d’identité et de l’accès : permet la création et la gestion de l’identité des utilisateurs, des justificatifs d’identité à de nombreux niveaux d’assurance et des pouvoirs liés à l’accès logique aux services et aux applications.
OZ Zone d’exploitation : zone de sécurité réseau pour assurer l’hébergement des appareils des utilisateurs finaux (ordinateurs de bureau, ordinateurs portatifs, tablettes, etc.) et des serveurs Web internes (GC).
PAZ Zone d’accès public : zone de sécurité réseau pour assurer l’hébergement des serveurs Web externes (Internet), des serveurs mandataires, de passerelles d’accès distant protégé, des serveurs de noms de domaine (DNS) externes et des relais de courriel externes.
Point d’accès public Lieu public, comme un café, un aéroport, un hôtel et un hall d’immeuble, qui offre un accès à Internet sans fil à sa clientèle.
QoS Qualité du service : exigences relative au rendement d’une application donnée quant à sa sensibilité à la latence de bout en bout, à la variation de latence (c.-à-d. la gigue) et à la perte de paquets.
Service externe Service qu’un ministère client peut commander à SPC (c.-à-d. dans le catalogue de services de SPC).
Service interne Service de SPC qui ne peut être commandé par les ministères clients. Les services internes sont utilisés exclusivement par SPC pour assurer l’approvisionnement, l’exploitation et la gestion des services externes, ou sont intégrés à un autre service externe.
SPC Services partagés Canada : ministère fédéral responsable de l’infrastructure des TI de 43 ministères importants, ainsi que fournisseur de services facultatifs des autres ministères fédéraux.
Utilisateur du GC Utilisateur affilié à un ministère qui est un client obligatoire (c.-à-d. un ministère partenaire de SPC) ou facultatif du réseau du GC (c.-à-d. un autre ministère).

Haut de la page

Détails de la page

Date de modification :