Stratégie en matière de réseau et de sécurité
Architecture de réseau et de sécurité
Habilitation numérique
Direction générale du dirigeant principal de la technologie
Table des matières
- 1. Résumé
- 2. Introduction
- 3. Justification de la stratégie
- 4. Facteurs opérationnels et autres défis
- 5. État actuel du réseau et de la sécurité au GC
- 6. Tendances émergentes dans l’industrie
- 7. Feuille de route pour l’adoption
- 7.1. Piliers stratégiques
- 7.2. Pilier 1 : Connectivité
- 7.3. Pilier 2 : Contrôle de l’identité et de l’accès
- 7.4. Pilier 3 : Surveillance
- 7.5. Approvisionnement
- 7.6. Considérations
- 7.7. Prochaines étapes recommandées
- 7.8. Les « principes »
- 7.9. Plan de communication
- 7.10. Architectures de référence
- 7.11. Soutien des initiatives en cours
- 7.12. Initiatives futures requises
- 8. Conclusion
- 9. Sigles et acronymes
- 10. Références
- Annexe A : Tendances en matière de réseau et de sécurité
- Tendance #1 : Architecture zéro confiance
- Tendance #2 : Périmètre défini par logiciel
- Tendance #3 : Microsegmentation
- Tendance #4 : Service d’accès sécurisé en périphérie
- Tendance #5 : Orchestration et automatisation de la sécurité et intervention
- Tendance #6 : Intelligence artificielle pour les opérations informatiques
- Tendance #7 : Services gérés en réseau – réseau étendu défini par logiciel
- Tendance #8 : Internet des objets
- Tendance #9 : Réseau 5G privé
- Tendance #10 : Réseautique en nuages
- Tendance #11 : Réseau à la demande
- Annexe B : Feuille de route en matière de réseau et de sécurité
- Annexe C : Projets en cours
1. Résumé
Le gouvernement du Canada (GC) est sur le point d’entreprendre l’une de ses plus grandes transformations technologiques depuis des décennies alors qu’il entame le processus de consommation de services en nuage du point de vue informatique et logiciel. Ces exigences de transformation sont similaires à celles observées dans l’ensemble de l’industrie. Des secteurs comme les chaînes de vente au détail, les banques et les chaînes d’hôtels entreprennent tous de transformer de manières comparables le réseau et la sécurité afin de tirer parti des avantages de l’utilisation de solutions en nuage pour soutenir leurs principales activités. La tâche est d’autant plus difficile pour SPC qui doit soutenir une grande variété d’organisations (plus de 40). En raison de cette diversité, Services partagés Canada (SPC) doit axer sa stratégie en matière de réseau et de sécurité sur les exigences qui sont communes à toutes les organisations dans ces domaines.
Aujourd’hui, on s’attend généralement à pouvoir être en ligne en tout temps, quelles que soient la demande ou les circonstances, car presque tous les employés du gouvernement doivent compter sur la technologie de l’information (TI) pour offrir leurs services. La diversité des services reposant sur la connectivité d’un réseau sécurisé est également en pleine expansion. Au cours des dernières années, l’utilisation des services infonuagiques, d’Internet, des services de collaboration, de vidéoconférence, de cyberconférence et d’accès à distance protégé a explosé dans l’ensemble du GC. Il sera vraiment important d’offrir une infrastructure de réseau dont la rapidité, la sécurité et la fiabilité seront accrues, car les services actuels et nouveaux devraient poursuivre leur croissance à l’avenir.
Des événements récents ont sensibilisé les gens au besoin d’encourager la souplesse des exigences de travail pour aider un pourcentage élevé d’employés en télétravail qui utilisent d’autres options d’accès à distance.
L’utilisation croissante de ces nouveaux services en nuage augmentera la surface d’attaque de l’infrastructure et des applications gouvernementales. C’est pour cette raison que SPC doit revoir la façon d’aborder la prestation des services de réseau et de sécurité pour aider les ministères et organismes du GC à offrir leurs services à la population canadienne.
Les principaux facteurs opérationnels de la version à jour de la stratégie en matière de réseau et de sécurité de SPC sont les suivants :
- augmenter l’efficacité opérationnelle de la prestation et de la gestion des services de réseau et de sécurité à compter de maintenant;
- définir une plateforme de réseau qui procure une mobilité transparente à l’utilisateur final, en tout temps et n’importe où à partir d’appareils approuvés par le GC, en accordant une attention particulière à l’accès à distance protégé (ADP) et au télétravail;
- améliorer la posture de sécurité globale des services de réseau;
- augmenter les performances du réseau pour mettre en place la prochaine génération de services de réseau;
- améliorer la résilience de la plateforme de l’ensemble du réseau, réduisant ainsi le nombre d’incidents et de pannes;
- définir une approche axée sur des normes ouvertes en ce qui a trait à l’état du réseau à l’avenir, réduisant ainsi la dépendance aux fournisseurs;
- prolonger le cycle de vie des biens actuels en optimisant les cycles d’actualisation des biens de TI;
- améliorer la gérance de la sécurité en offrant une visibilité et un contrôle des biens et des services du réseau;
- mettre en œuvre les principes fondamentaux permettant l’adoption progressive du concept de réseau en tant que service (NaaS)
Le besoin d’établir une stratégie révisée devient d’autant plus évident lorsqu’on examine les données qui traversent les réseaux gouvernementaux : des renseignements personnels que possède l’Agence du revenu du Canada (ARC) sur chaque Canadien et Canadienne, des renseignements sur les services de police de la Gendarmerie royale du Canada et bien plus encore. La venue d’acteurs parrainés par des États étrangers qui mènent des attaques sophistiquées contre les biens gouvernementaux oblige le gouvernement canadien à entreprendre une refonte fondamentale de la manière de protéger ses réseaux et d’acheminer les données aux employés et à la population canadienne.
Les activités futures de conception et de prestation des services de réseau exigeront également que SPC adopte une approche différente en matière de sécurité. Les organisations du monde entier évoluent vers un nouveau modèle de sécurisation du réseau basé sur le principe selon lequel il ne faut « jamais faire confiance; toujours vérifier », ce qu’on appelle architecture zéro confiance (ZTA). La ZTA modifie le paradigme de sécurité qui consistait auparavant à « protéger le périmètre » (appelé aussi l’approche « château et douves ») pour le remplacer par l’idée plus récente qui vise à protéger le flux de données de bout en bout, soit de l’utilisateur à l’application.
SPC actualise présentement sa stratégie en matière de réseau et de sécurité afin de l’harmoniser avec les pratiques exemplaires actuelles et pour l’adapter aux besoins futurs de son réseau et de ses services de sécurité. Les technologies, comme l’infonuagique, Internet des objets (IdO) et les services de réseau cellulaire numérique de 5e génération (5G), sont des exemples de technologies émergentes auxquelles l’infrastructure gouvernementale doit s’intégrer. Ces tendances technologiques obligeront SPC à repenser la manière dont il conçoit, fournit, gère et sécurise ses services de réseau et à être suffisamment agile pour intégrer toute technologie jugée nécessaire aux opérations gouvernementales.
Pour élaborer cette stratégie en matière de réseau et de sécurité, de nouvelles approches, axées sur l’automatisation, une infrastructure définie par logiciel (IDL) et un concept de zéro confiance, sont nécessaires. Les piliers fondamentaux énoncés dans le présent document représentent la base de ces nouvelles approches et constituent le point central de cette stratégie.
Les piliers fondamentaux sont les suivants :
- Connectivité : il s’agit des composants technologiques (p. ex., commutateurs, routeurs, pare-feu et équilibreurs de charge) qui composent la structure des réseaux de SPC et couvrent l’accès interne et externe à ces réseaux;
- Contrôle de l’identité et de l’accès : il s’agit de l’authentification et l’autorisation nécessaires pour que les utilisateurs puissent interagir, à l’aide de leurs appareils, avec les ressources du GC et s’y connecter;
- Surveillance : il s’agit des besoins en surveillance continue liés à la fois aux performances et à la sécurité afin d’activer les différentes capacités de surveillance qui générera une réponse automatisée.
Il est également important d’adopter une nouvelle approche en matière d’approvisionnement afin de nous adapter aux progrès technologiques et de répondre aux attentes des utilisateurs en matière de prestation de services au moment opportun. Les utilisateurs s’attendent à ce que les services soient rendus dans les quelques heures ou jours qui suivent, et non quelques semaines ou mois plus tard. Un facteur clé de l’approche consiste à miser sur l’IDL pour mettre en place une infrastructure de réseau et de sécurité.
Cette recommandation repose sur la nécessité de compter sur des compétences évoluées dans des domaines comme la gestion infonuagique, la sécurité infonuagique, l’intelligence artificielle, la réseautique, la sécurité et l’automatisation. SPC devra réfléchir à la manière dont il peut créer une proposition de valeur capable d’attirer des compétences précieuses et de les conserver.
La stratégie en matière de réseau et de sécurité définit l’approche que SPC devra adopter pour permettre au gouvernement de répondre aux demandes d’aujourd’hui et de s’adapter aux demandes de demain en misant sur une stratégie globale d’adoption et de migration progressive.
Pour mettre cette stratégie en œuvre, les principes stratégiques suivants sont recommandés :
- Veiller à ce que des orientations soient fournies pour les projets existants et à venir et à ce qu’ils ne soient pas réalisés en vase clos, mais réalisés en gardant à l’esprit tous les services axés sur la vision et la stratégie en matière de réseau et de sécurité.
- Acquérir les capacités fondamentales essentielles afin d’assurer une mise en œuvre rapide pour ensuite en définir la priorité et l’ordre. Quelles initiatives permettront à SPC d’atteindre l’état final souhaité?
- Ne pas essayer de mettre en place une solution tout-en-un. Il s’agira d’une évolution à partir des projets actuels et des cycles de renouvellement, en commençant à petite échelle et en utilisant la technologie dont SPC dispose déjà.
- Envisager d’investir dans l’automatisation et l’orchestration de la technologie que SPC prend déjà en charge.
- Répondre au besoin d’intégration entre les fonctions de sécurité et de réseau dès le début en tant qu’activité primordiale de gestion des changements.
- Combler le manque de compétences au sein de la main-d’œuvre afin de suivre l’évolution constante des technologies et des besoins en matière de compétences (comme la programmation).
1.1. Connectivité
Les bases de ce pilier comprennent les composants technologiques (commutateurs, routeurs, pare-feu, équilibreurs de charge, etc.) qui composent la structure des réseaux du GC et couvrent l’accès interne et externe à ces réseaux. SPC verra plusieurs technologies émergentes devenir un élément majeur de sa stratégie de connectivité à l’avenir :
- Le réseau cellulaire de 5e génération (5G) est sur le point de transformer profondément la manière dont les services de réseau sont fournis aux consommateurs et aux entreprises. La 5G présente une bande passante (capacité) nettement plus élevée et une latence plus faible que les anciennes technologies sans fil, telles que la 4G ou la LTE.
- Les services d’accès à distance repensés visent à mieux prendre en charge les concepts d’accès au réseau partout et à tout moment et évoluent dans le lieu de travail moderne.
- Un accès sécurisé à haute vitesse et à faible latence aux services infonuagiques est rendu possible grâce au programme Activation et défense du nuage sécurisé (ADNS) de SPC.
- De nouvelles façons d’offrir un accès aux services de réseau étendu (RE) du GC et Internet mises en œuvre sur un RE défini par logiciel (REDL, ou REL).
- Les technologies de réseau local (RL) défini par logiciel (RLDL, ou RLL) permettront l’instanciation efficace et opportune de nouveaux lieux de travail et la segmentation efficace des différents réseaux d’utilisateurs du GC.
L’intégration progressive de ces technologies, en particulier des technologies émergentes, jettera les bases du réseau « prospectif » que SPC cherche à créer.
1.2. Contrôle de l’identité et de l’accès
Le contrôle de l’identité et de l’accès fait référence à l’authentification et à l’autorisation nécessaires afin que les utilisateurs puissent interagir, à l’aide de leurs appareils, avec les ressources technologiques du GC et s’y connecter. Le contrôle de l’identité et de l’accès s’intégrera à la ZTA pour transformer fondamentalement la façon dont les plateformes et les données sont sécurisées. Dans le modèle de ZTA, tout le monde est vu comme une menace, jusqu’à preuve du contraire. Le principal avantage de ce cadre est qu’il permet aux organisations de sécuriser les utilisateurs internes et externes sur l’ensemble du réseau. La complexité tient au fait que ce modèle oblige SPC à repenser fondamentalement le réseau central et les composants technologiques et à consolider les services d’identité au sein des réseaux du GC dans le but d’adopter une identité unique pour les employés et une autre pour les utilisateurs externes.
1.3. Surveillance
La surveillance continue et sa façon de répondre aux besoins en performance et en sécurité signifient les services de réseau de l’avenir devront également présenter différentes capacités en surveillance. SPC devra adopter un ensemble d’outils pour surveiller son réseau, sa plateforme et ses actifs de données de manière efficace. Cela comprendra la manière dont SPC exploite les produits des fournisseurs de technologies en nuage et des tiers pour créer un bassin de données en vue de l’analyse prédictive des menaces, des performances et des défis sur le plan de la disponibilité. En tirant parti de plateformes comme les plateformes d’intelligence artificielle pour les opérations informatiques (AIOps), SPC sera en mesure d’obtenir des renseignements précieux et de générer une réponse automatisée aux incidents. L’infrastructure définie par logiciel et le réseau défini par logiciel (IDL/RDL) serviront de catalyseur essentiel pour l’adoption des AIOps.
1.4. Approche en matière d’approvisionnement
Le gouvernement du Canada doit adapter la façon dont il répond présentement à ses besoins en infrastructure afin de s’adapter aux progrès technologiques et aux attentes des utilisateurs en matière de prestation de services en temps opportun. Les ministères partenaires s’attendront de plus en plus, compte tenu des offres publiques comparables, à ce que les services soient rendus dans les quelques heures qui suivent et non dans plusieurs semaines ou mois. SPC devra tirer parti de l’IDL et du RDL pour permettre la fourniture de ressources de réseau afin de répondre aux demandes attendues.
La stratégie en matière de réseau et de sécurité définit l’approche que SPC devra adopter pour permettre au gouvernement de répondre aux demandes d’aujourd’hui et de s’adapter aux demandes de demain en misant sur une stratégie globale d’adoption et de migration progressive. Pour mettre cette stratégie en œuvre, SPC devra définir un ensemble cohérent d’exigences et d’architectures de référence pour les technologies et les cadres habilitants qui sont définis dans le présent document. Il devra également accélérer l’acquisition de produits et de services pour réaliser la stratégie.
2. Introduction
2.1. But
Le présent document a pour but de présenter plus en détail la Vision d’avenir en matière de réseau et de sécurité de SPC, qui établit la vision de SPC pour l’avenir, décrivant essentiellement l’intégration de l’IDL et de la ZTA. Dans le présent document, on tentera d’expliquer ce principe et d’examiner la stratégie et la feuille de route que SPC devrait adopter pour améliorer les services de réseau et de sécurité, faire face aux tendances émergentes en matière de technologie et de sécurité, et rendre opérationnels les principes énoncés dans l’approche d’entreprise SPC 3.0.
Ce document a été élaboré en tirant parti d’un certain nombre de contributions clés tant au sein de SPC qu’au sein du GC en général, des tendances en matière de sécurité et des pratiques émergentes, ainsi qu’en menant des entrevues avec des intervenants de SPC et du Secrétariat du Conseil du Trésor du Canada (SCT).
2.2. Public cible
Le public cible de ce document comprend le Comité tripartite sur la sécurité de la TI, les dirigeants principaux de l’information (DPI) des ministères et organismes gouvernementaux, les membres de la haute direction du Centre canadien pour la cybersécurité (CCC) et les secteurs de service de SPC.
3. Justification de la stratégie
Compte tenu de l’évolution rapide dans le domaine des infrastructures technologiques, SPC doit pouvoir compter sur une nouvelle approche afin de gérer et d’exploiter le réseau et l’environnement de sécurité de SPC. L’approche actuelle ne pourra pas être adaptée pour répondre à ces demandes. Il est difficile pour la main-d’œuvre de suivre le rythme de ces changements, car les progrès technologiques dépassent les compétences disponibles requises.
Non seulement la technologie évolue-t-elle trop rapidement pour suivre les progrès, mais de nouveaux vecteurs de menaces et des atteintes à la sécurité surviennent si souvent que le personnel informatique ne peut réagir assez rapidement pour y remédier. La mobilité et la connectivité accrues des utilisateurs en dehors du centre de données physique se prêtent à un confinement encore plus difficile du point de vue de la sécurité, sans parler de la migration des charges de travail vers le nuage public, ce qui complique encore plus les choses. Le personnel de TI est incapable de répondre assez rapidement, car il ne dispose pas des bons renseignements pour prendre des décisions éclairées. Une meilleure surveillance englobant une collecte de données plus vaste (concernant les événements de sécurité, les événements du réseau, la gestion de l’identité et de l’accès, les paramètres de performances du réseau) est nécessaire pour assurer une visibilité suffisante dans toute l’entreprise.
Dans l’ensemble, la TI est devenue beaucoup plus complexe. Cette complexité accrue a eu des répercussions négatives sur les délais de prestation des services pour les clients de SPC en plus d’avoir réduit les niveaux de service de façon générale. Le personnel des opérations de TI doit constamment apprendre à utiliser de nouveaux logiciels et outils pour suivre le rythme des progrès technologiques. Le taux élevé de changement a entraîné, et continue d’entraîner, des risques accrus liés à l’effort manuel demandé, érodant ainsi davantage la fiabilité des services de SPC pour ses clients.
Pour relever ces défis, de nouvelles approches axées sur l’automatisation, l’IDL et un concept de zéro confiance sont nécessaires. Les piliers décrits dans la section 1 serviront de base à ces approches et seront le point central du présent document de stratégie.
Le présent document consacré à la stratégie en matière de réseau et de sécurité pour l’avenir fait suite au document sur la vision d’avenir du GC en matière de réseau et de sécurité de Services partagés Canada (SPC) et s’inscrit dans l’approche d’entreprise SPC 3.0 et le plan stratégique des opérations numériques du gouvernement du Canada (GC) de 2018 à 2022Note de bas de page 1. Il s’agit d’une description dynamique et stratégique de l’orientation pour l’avenir du réseau et de la sécurité au sein du GC. La stratégie décrite est une étape essentielle vers la réalisation par le GC de ses objectifs à long terme en matière de gouvernement numérique grâce à l’élaboration d’une « infrastructure technologique moderne, durable, fiable et solide [qui] favorise la prestation de services numériques, la collaboration et la communication d’information de façon horizontale au sein du gouvernement et avec les citoyens, les entreprises externes, les intervenants et les partenaires. »
La stratégie présente un état futur et une feuille de route qui permettront à SPC d’évoluer pour devenir une organisation de prestation de services moderne et dotée des meilleures technologies et pratiques pour répondre aux besoins futurs des ministères partenaires du GC.
4. Facteurs opérationnels et autres défis
SPC offre une gamme de services aux ministères et organismes du GC. L’organisation joue un rôle clé dans la capacité du GC d’offrir un réseau numérique sécurisé qui permet une expérience utilisateur positive. Dans le tableau ci-dessous, on présente la liste des principaux facteurs d’une stratégie en matière de réseau et de sécurité moderne qui prend en charge les demandes émergentes du gouvernement numérique. Tous sont essentiels, alors il n’y a pas d’ordre particulier (hiérarchisation, dépendances ou mise en œuvre). Certains facteurs sont plus pertinents pour SPC, alors que d’autres le sont davantage pour le GC; cela est indiqué entre parenthèses dans la colonne Facteurs opérationnels.
Numéro | Facteurs opérationnels | Description |
---|---|---|
1 | Mobilité transparente de l’utilisateur final (GC) | Permet aux utilisateurs de se connecter de façon sécuritaire, transparente et simple au réseau de leur ministère et à Internet ou au nuage. Accès en tout temps et n’importe où à partir n’importe quel appareil approuvé par le GC. |
2 | Sécurité accrue (GC) | Assure que les biens du GC sont dûment protégés et que les connexions réseau du GC à l’Internet ou au nuage sont surveillées de manière convenable. |
3 | Performances améliorées du réseau (GC) | Prend en charge les demandes existantes et émergentes de bande passante et permet d’y répondre rapidement. Augmente la fiabilité en réduisant le temps de panne et la dégradation de la performance. |
4 | Résilience du réseau (GC) | Permet la réparation spontanée, la récupération automatique et l’automatisation afin de créer un réseau plus résilient. |
5 | Encourager davantage le travail à distance (GC) | Compte tenu de la situation actuelle, permet au plus grand nombre d’employés à ce jour de travailler à distance. |
6 | Efficience opérationnelle (SPC) | Réduit les efforts manuels et les frais généraux, élabore des solutions évolutives pour réduire le délai de livraison, intègre les équipes et élimine le cloisonnement. |
7 | Gérer la dépendance envers des fournisseurs (SPC) | Favorise une transition vers une indépendance de tout fournisseur grâce à l’adoption de normes ouvertes. |
8 | Prolonger le cycle de vie des biens existants (SPC) | Optimise les cycles de renouvellement des biens de TI. |
9 | Gérance de la sécurité (SPC, SCT, CCC et autres ministères et organismes) | Procure une visibilité et un contrôle sur les biens et les services du réseau. |
Les facteurs opérationnels énumérés ci-dessus comprennent certaines des principales forces motrices de la transformation numérique du GC et de la TI en général. Pour que SPC puisse planifier sa stratégie de réseau, il est important de comprendre les tendances qui mènent au changement dans le domaine de la TI. Le plan stratégique des opérations numériques mentionné ci-dessus doit reposer sur ces premières étapes et tracer la voie à suivre. Le présent document consacré à la stratégie en matière de réseau et de sécurité doit correspondre aux facteurs de changement et aux défis qui ont été considérés comme faisant partie de la base de la vision stratégique, des normes numériques et des mesures de suivi déterminées dans le plan stratégique des opérations numériques.
Numéro | Autres défis | Description |
---|---|---|
1 | Vieillissement de l’effectif | Diminution du nombre de ressources humaines disponibles. |
2 | Concurrence au niveau des ressources | Ressources qualifiées recherchées par le secteur privé, ce qui limite encore davantage leur disponibilité. |
3 | Problèmes de conformité | Obstacles à l’adoption rapide des technologies en évolution (comme les services en nuage). |
4 | Processus désuets | Incapacité pour les cycles d’approvisionnement du gouvernement de suivre le rythme des perturbations et des innovations technologiques. |
À l’instar des facteurs opérationnels, les autres défis représentent des obstacles véritables et importants au succès de cette initiative. Contrairement aux facteurs opérationnels, les autres défis sont moins tangibles que les problèmes techniques; la dotation, la conformité et les processus contribueront d’autant plus à la réussite de ce projet, mais puisque ces questions relèvent de la catégorie des personnes et des processus, elles peuvent avoir une incidence davantage politique et donnant ainsi lieu à des exigences particulières.
5. État actuel du réseau et de la sécurité au GC
Le réseau du GC comprend une cinquantaine de réseaux logiques, couvrant environ 4 000 sites et 5 000 immeubles. Il rejoint plus de 400 000 utilisateurs au Canada et à l’étranger. Comme on pouvait s’y attendre, ce réseau comprend de nombreux appareils physiques, fournisseurs et niveaux d’intégration différents. Les configurations ont été principalement effectuées manuellement par des ingénieurs système et des opérateurs au sein de SPC et d’autres ministères, ce qui peut entraîner certaines incohérences dans les configurations. Ce manque de cohérence a entraîné des problèmes de gestion, une baisse de la fiabilité et une surcharge opérationnelle élevée. Les modifications apportées à l’infrastructure et aux logiciels du réseau et de la sécurité sont lentes et coûteuses, nécessitant souvent le remplacement de matériel de la mauvaise taille ainsi que des remaniements du fait de son inadéquation avec la vision à long terme. La situation est également impossible à gérer puisqu’on doit ajuster la technologie et la topologie actuelles du réseau pour que les services infonuagiques modernes soient en mesure de répondre à la demande sur les plans de l’agilité et de la souplesse. Il y a aussi des coûts associés à ces inefficacités :
« Une étude récente de GartnerNote de bas de page 2 a permis d’établir que le modèle de réseau et de sécurité de SPC est coûteux à exploiter, car son coût est supérieur de 19 % ou 427 millions de dollars par rapport à celui de ses pairs. »
Le concept de réseau repose sur des modèles de sécurité traditionnels, comme la notion de périmètre sécurisé. Dans ce concept, la plupart des efforts de sécurité visent à défendre le périmètre. Cette façon de faire a bien fonctionné par le passé lorsqu’il n’y avait qu’une seule « porte à défendre » : essentiellement la « porte » du centre de données. Aujourd’hui, cependant, il existe de nombreuses « portes à défendre », incluant, entre autres :
- les appareils sans fil et mobiles;
- l’infrastructure infonuagique publique;
- les sites éloignés;
- les centres en région.
Il est également important de surveiller les cybermenaces au sein même de l’organisation, car les organisations sont de plus en plus souvent victimes de menaces internes, par exemple, lorsqu’un utilisateur télécharge un fichier infecté (par inadvertance) ou si un employé mécontent exfiltre des données (intentionnellement). Un exemple bien connu est l’atteinte à la protection des données à DesjardinsNote de bas de page 3, qui a entraîné la fuite de renseignements personnels de plus de 4,2 millions de membres.
Le manque d’uniformité dans la surveillance des dispositifs et le fait que les équipes techniques travaillent de manière cloisonnée s’ajoutent aux couches de complexité qui nuisent à la résolution rapide et rentable des problèmes. Compte tenu de la croissance continue de l’intégration interdomaine au sein des technologies, l’ancien modèle d’équipes cloisonnées s’avérera incompatible avec ce nouveau paradigme. Les équipes d’ingénierie, de sécurité et de soutien doivent collaborer afin de répondre à ces nouvelles demandes de services de réseau et de sécurité de l’avenir. L’intégration interdomaine a également des répercussions sur la formation, ce dont on doit tenir compte au moment d’élaborer les plans de formation. Le rôle d’« ingénieur hybride » fait son apparition. Cette personne aura une compréhension approfondie des nouveaux modèles de consommation pour le réseau, la sécurité et les opérations. Elle possédera donc de nouvelles compétences essentielles pour mettre en œuvre avec succès la prochaine génération d’infrastructures de réseau et de sécurité.
Une autre exigence clé concerne la visibilité en temps réel de l’état du réseau et de la sécurité de l’infrastructure au grand complet. La surveillance continue est fondamentale pour comprendre non seulement les données historiques en matière d’examen judiciaire et d’analyse des tendances, mais aussi l’état ponctuel de l’environnement; nonobstant la capacité de détecter et de répondre aux menaces en temps opportun. Pour gérer efficacement les changements, qu’ils soient manuels ou programmatiques, il est essentiel de comprendre l’état actuel. Ce n’est qu’alors qu’il devient possible de planifier et de mettre en œuvre des changements éclairés.
La dernière considération est la nature géodistante du réseau du GC. Au-delà des frontières nationales, les utilisateurs du GC peuvent être situés n’importe où sur la planète et les solutions actuelles sont inadéquates. Bien que la nature complexe du besoin en services distribués ne change pas, il sera le plus avantageux à l’avenir de se concentrer sur les possibilités d’optimisation et de modélisation du trafic.
En bref, le risque croissant de cybermenaces, la complexité de l’infrastructure de réseau et de sécurité actuelle, ainsi que le manque de surveillance et de compétences transversales entraîneront une baisse de l’efficience opérationnelle, une incapacité à répondre aux demandes croissantes et des problèmes au niveau de la disponibilité des services.
6. Tendances émergentes dans l’industrie
Au cours de la dernière décennie, la transition vers l’infonuagique a pris son essor et les taux d’adoption continuent d’augmenter. Le nuage offre à l’entreprise la plateforme qui lui permet de prendre en charge l’agilité et le rythme accéléré exigés par leurs utilisateurs. En plus de l’infonuagique et de l’attrait sans précédent du changement, il existe aussi une attente quant à la façon dont les utilisateurs souhaitent travailler. Le « travail » n’est plus considéré comme un lieu, mais comme une activité, et cette notion devient la norme dans de nombreuses entreprises et une caractéristique attendue du lieu de travail. Enfin, l’IdO introduit des appareils dans le réseau, ce qui aurait été, jusqu’à récemment, inconcevable. En raison de l’adoption des services en nuage – infrastructure-service, plateforme-service et logiciel-service (IaaS/PaaS/SaaS), il est de plus en plus difficile de définir, et encore plus de gérer, le périmètre que doivent contenir les défenses de sécurité.
Ces tendances obligent SPC à examiner de nouvelles approches pour assurer la prestation de services de réseau au GC et la sécurité de l’information du GC. Collectivement, ces changements dans l’industrie influencent les modifications ultérieures de l’infrastructure de l’entreprise, car les organisations ne contrôlent plus l’emplacement ou les limites de l’ensemble des services utilisés pour les opérations. Le modèle traditionnel de sécurité du périmètre (l’approche « château et douves ») n’est plus suffisant; le périmètre ne relève plus du contrôle d’une seule organisation.
6.1. Architecture zéro confiance (ZTA)
Les tendances émergentes dans l’industrie et les risques qu’elles imposent de manière intrinsèque nécessitent l’adoption d’un nouveau paradigme dans l’approche de la sécurité; ce paradigme est la ZTA. Cette nouvelle approche renonce à toute confiance implicite (des utilisateurs ou de l’emplacement), suppose une hostilité au sein du réseau, remplace les idées obsolètes de sécurité basées sur l’emplacement physique et passe à un modèle dynamique axé sur les politiques concernant l’utilisateur, l’appareil et l’application. Historiquement, les réseaux de protocole Internet (IP) ont été conçus dans le but de détecter facilement les périphériques sur le réseau. Cette approche ne suffit plus pour assurer la sécurité, alors que le concept de ZTA sans droit d’accès implicite (c’est-à-dire un réseau sombre) permet à un utilisateur de voir uniquement les périphériques et les applications qu’il souhaite voir ou auxquels il prévoit accéder. Cela réduit de manière importante plusieurs des risques associés à une faille de sécurité typique. Plus important encore, cette approche prend en charge les nuages publics, hybrides et privés, ainsi que l’accès aux systèmes physiques hérités. La figure 2 montre la complexité de l’environnement d’entreprise moderne, qui héberge de nombreux systèmes informatiques, y compris des solutions de fournisseurs mixtes ou des systèmes en nuage privé.
6.2. Télétravail et accès à distance protégé
Les événements récents ont poussé les services technologiques dans presque tous les secteurs à s’adapter rapidement à un changement de lieu de travail. En réaction à la pandémie de COVID-19, la plupart des organisations ont été contraintes d’adopter le télétravail et un modèle de travail nécessitant un accès à distance. Ce changement de lieu a poussé ces services jusqu’au point de rupture, mais il a également permis de mettre au point des solutions innovantes pour répondre à ces besoins. Bien que fonctionnelles, les applications de réseau privé virtuel (RPV) traditionnelles ou de bureau à distance n’étaient généralement pas adaptées pour permettre à la majorité des travailleurs de les exploiter simultanément. Le service d’accès sécurisé en périphérie (SASE) est devenu chose commune avec une visibilité croissante des principaux groupes de recherche (p. ex., Gartner, Deloitte et KPMG) et a connu une croissance exponentielle dans l’adoption de leurs services. Ce qu’on voyait comme étant marginal il n’y a pas si longtemps est désormais courant et occupe une place centrale dans de nombreuses stratégies de « feuille de route ».
6.3. Infrastructure définie par logiciel (IDL)
Les réseaux hérités ont bien servi à leur époque, mais les demandes nouvelles et changeantes imposées à ces installations en révèlent les lacunes. La mise en œuvre est longue, les changements sont lents et les coûts sont élevés, pour ne citer que quelques-uns des défauts les plus courants mentionnés par les intervenants. Le concept fixe, bien que très performant et prévisible, est également à l’origine de la nature statique de l’infrastructure. En outre, il a été observé que le modèle de trafic au sein du réseau d’entreprise a évolué. Avant, la majorité du trafic allait de l’entreprise vers le consommateur ou vers une autre entreprise (trafic nord-sud). Récemment, toutefois, le sens de la majorité du flux de données a changé; il reste au sein de l’organisation (trafic est ouest). Cette évolution du flux de trafic modifie les risques de sécurité et l’exposition à ces risques qui nécessitent une diligence supplémentaire au sein de l’entreprise. Par le passé, on considérait que le flux de données interne était fiable uniquement en fonction de son emplacement au sein de l’entreprise. Les statistiques récentes sur les atteintes à la protection des données montrent que plus de 80 %Note de bas de page 4 d’entre elles proviennent d’une exposition ou d’une compromission internes. De plus, à mesure que la demande d’accès à partir de l’extérieur de l’organisation augmente, il est essentiel de pouvoir passer à un modèle qui traite chaque demande d’accès aux données de manière égale, quel que soit son emplacement. Tout comme la virtualisation qui a révolutionné les paradigmes de calcul et de stockage, le réseau et les périphériques de sécurité subissent désormais un changement similaire. L’abstraction du réseau et des dispositifs de sécurité permet une flexibilité de conception qui convient mieux au nouveau modèle de technologies distribuées.
L’IDL aura une influence considérable sur l’infrastructure technologique et les modèles opérationnels. L’IDL représente un ensemble de services définis par logiciel : RLDL (réseau local qu’on retrouve couramment dans les immeubles en périphérie), REDL (options de routage intelligent sur la liaison RE), CDDL (y compris le calcul, le stockage) dans un contexte virtuel, RDL (englobe à la fois le réseau et la sécurité), qui exploitent le nouveau paradigme de la séparation des logiciels. L’IDL modifie les modèles fonctionnels traditionnels avec un matériel réseau qui utilise un logiciel spécialisé dédié.
L’IDL représente un ensemble de services définis par logiciel, notamment les suivants :
- Réseau local défini par logiciel (RLDL) – aspect réseau local (RL) ou métropolitain (RM) du réseau d’entreprise.
- Périmètre défini par logiciel (PDL) – extension de la définition « par logiciel » à l’accès à distance pour assurer la souplesse du télétravail et l’accès à distance selon le concept de « connexion en tout lieu ».
- Réseau étendu défini par logiciel (REDL) – transport des utilisateurs des directions générales, des régions et des utilisateurs à distance vers les centres de données d’entreprise (CDE), l’administration centrale (dans la région de la capitale nationale) ou les services infonuagiques.
- Centre de données défini par logiciel (CDDL) – (calcul, stockage, réseau et sécurité virtualisés), généralement dans le contexte d’un hyperviseur.
- Réseau défini par logiciel (RDL) – terme générique le plus souvent associé au centre de données.
L’IDL changera la façon dont les technologies seront déployées à l’avenir, alors qu’elles ne nécessiteront plus de matériel spécifique pour des fonctionnalités nouvelles ou améliorées. En outre, les avantages de l’IDL l’emporteront largement sur l’incidence potentielle liée au débit qu’on remarque parfois lorsque des périphériques matériels hautement optimisés (fonctionnant à une vitesse proche de la ligne) sont remplacés par des périphériques logiciels.
L’IDL favorise la souplesse des ressources grâce à l’application de fonctions qui lui sont propres. Les modifications à la demande des caractéristiques de l’infrastructure, telles que la capacité, la vitesse, la qualité de service et la sécurité, sont mises en œuvre à l’aide des technologies d’IDL. Ce type de fonctionnalité permet un approvisionnement rapide et efficient en ressources, ce qui se traduit par une efficience opérationnelle, une utilisation rentable des ressources et, finalement, la satisfaction du client grâce à l’amélioration des offres de services.
L’IDL découple le matériel et le logiciel. Cela procure des fonctionnalités et une flexibilité supplémentaires à une infrastructure qui était auparavant relativement statique tout au long de son cycle de vie de trois à cinq ans. L’IDL permet à plusieurs composants logiciels de coexister sur un composant matériel donné, produisant ainsi des dispositifs multifonctions (par exemple, un routeur coexistant avec un pare-feu fournissant des fonctionnalités avancées de réseautique et de sécurité intégrées).
6.3.1. RLDL – Réseau périphérique – Services RL de bureau ou d’immeuble
Priorité correspondante du point de vue technologique : Accès défini par logiciel (RLDL)
Le RLDL détermine la façon dont les bureaux (par opposition aux individus) seront connectés au réseau local de l’avenir. Des technologies telles que le Wi-Fi 6 et la 5G offriront l’occasion de moderniser et d’améliorer l’expérience utilisateur, car elles sont exploitées comme un moyen de connectivité plus souple. Le réseau périphérique – Services de bureau ou d’immeuble comprend ce qu’il faut pour brancher les appareils des utilisateurs finaux au réseau au moyen du Wi Fi ou Wi-Fi 6 et de la 5G. Même si la stratégie ou l’approche « sans-fil d’abord » simplifiera la connectivité des utilisateurs, réduira les coûts d’aménagement et améliorera l’expérience utilisateur, certains appareils (comme les imprimantes et les postes de vidéoconférence) ne sont pas pratiques relativement à la connectivité sans fil. Cette approche permettra également une plus grande prévisibilité dans l’acheminement du trafic vers ces appareils et à partir de ceux-ci, offrant une optimisation du trafic.
Les performances du réseau sont d’une importance cruciale pour les immeubles en périphérie – services de bureau ou d’immeuble et pour la connectivité Internet directe (REDL) qui permet l’accès aux utilisateurs (contrairement à un retour vers des pare-feu centralisés) et doivent être envisagées comme un moyen d’améliorer l’efficience et l’efficacité du réseau. Considérant que jusqu’à plus de 60 % du trafic réseau est lié aux documents de « bureau » (qui seront destinés à Office 365), les liaisons d’accès direct à Internet (DIA) et le REDL peuvent réduire concrètement le trafic du réseau au sein du réseau de base du GC tout en améliorant simultanément l’expérience de l’utilisateur type. Dans le cadre de la stratégie d’IDL, avec une conception améliorée et des changements aux politiques à la fois dans le réseau et dans les domaines de sécurité, cela servira à améliorer la performance des applications et, par conséquent, l’expérience utilisateur. Compte tenu de l’adoption des services infonuagiques, des attentes relatives à l’intégration des appareils de l’IdO et de l’adoption croissante du mode « Prenez vos propres appareils » (PAP), il est raisonnable de supposer que l’ancienne approche de protection du périmètre ne suffira pas. Le modèle à zéro confiance offre la souplesse et la capacité de gestion qui seront nécessaires pour l’état futur; il devrait donc être envisagé pour une intégration précoce dans le cadre de la mise en œuvre de la stratégie en matière de réseau et de sécurité.
6.3.2. Accès à distance – Périmètre défini par logiciel (PDL)
L’accès à distance repose sur la façon dont les utilisateurs se connectent à distance aux services du GC.
Priorité correspondante du point de vue technologique : PDL
Dans ce contexte, l’accès à distance est défini comme toute connexion où un utilisateur n’est pas directement branché à un réseau du GC en utilisant une infrastructure filaire traditionnelle ou un service Wi-Fi avec accès direct au réseau de l’organisation.
Les nouvelles technologies telles que la 5G et le Wi-Fi 6 modifieront les services du « dernier kilomètre » des utilisateurs à moyen terme. Des changements sont déjà en cours dans la façon dont les appareils des utilisateurs finaux à distance sont sécurisés dans des domaines comme l’authentification des utilisateurs et la protection des points terminaux pour les ordinateurs portatifs, les téléphones mobiles et les tablettes. Ces changements et leur incidence sur les exigences en matière de sécurité de ces appareils imposent de nouvelles contraintes sur la façon dont les services d’accès à distance seront mis en œuvre à l’avenir. Une authentification robuste des utilisateurs est essentielle dans un environnement de ZTA, dont l’authentification multifacteur (AMF) à l’échelle du GC représente un aspect essentiel. En raison de l’adoption du mode PAP, de l’IdO et des applications et services hébergés dans le nuage, il devient clair que le contrôle du périmètre n’est plus facilement définissable. Compte tenu de cette « perte de contrôle », de nouvelles mesures d’atténuation doivent être mises en place pour sécuriser l’entreprise. La ZTA nous offre cette fonctionnalité. En mettant l’accent sur la sécurité entre l’utilisateur final (sa session) et l’application, quel que soit l’endroit où il se trouve, le flux de données peut être sécurisé et rendu conforme à la politique. Cette façon de faire touche deux aspects clés de la sécurité : premièrement, l’utilisateur n’a accès qu’aux applications qu’il est autorisé à utiliser, et deuxièmement, le modèle à zéro confiance sous-entend une visibilité limitée. Une visibilité limitée signifie qu’un utilisateur ou un système ne peut voir ou découvrir d’autres périphériques sur le réseau à l’extérieur s’il s’agit d’une isolation basée sur des politiques (voir microsegmentation).
6.3.3. Réseau étendu défini par logiciel (REDL)
Le REDL est une application spécifique de la technologie RDL appliquée aux connexions de RE, comme l’ancien point à point, l’Internet à haut débit, la 4G, la LTE ou la commutation multiprotocole par étiquette (MPLS). Le REDL connecte intelligemment les réseaux d’entreprise sur diverses liaisons au moyen d’un routage de trafic optimal. Pour ce faire, il tient compte de facteurs tels que la disponibilité de la liaison, la charge, le temps de réponse, le type de trafic et la priorité. À titre d’exemple, cette approche gère et dirige le trafic réseau des bureaux d’une direction générale destiné aux services externes, qu’ils soient dans le nuage ou dans un CDE. L’objectif du REDL est d’optimiser le flux du réseau et d’améliorer l’expérience utilisateur sur de grandes distances géographiques.
Le REDL a servi à plusieurs applications depuis sa création, mais sa principale contribution a été le remplacement des coûteuses connexions point à point ou du RE MPLS avec une connexion DIA.
6.3.4. Réseau de base et accès au nuage et à Internet du GC – RE [REDL]
Priorité correspondante du point de vue technologique : REDL
Le REDL englobe toutes les connexions en direction de l’entreprise et au sein de celle-ci. Les connexions entre le réseau périphérique et les CDE, les services en nuage et les services Internet bénéficieraient tous de la mise en œuvre du REDL. La connectivité au réseau externe décrit la façon dont le CDE se branchera aux partenaires et services connectés au nuage, à Internet et au RE du GC. Des efforts sont en cours pour réaligner la connectivité externe avec les applications SaaS en nuage existantes et à venir, dont Office 365. Les activités de migration des services traditionnels des fournisseurs de service Internet (FSI) vers les services de point d’interconnexion Internet (IXP) et de point d’interconnexion du nuage (CXP) offriront des possibilités d’intégration du REDL avec un accès contrôlé aux ressources externes.
Alors que SPC se tourne vers le REDL, il peut tirer des avantages significatifs de son déploiement :
- optimiser le flux de trafic pour améliorer l’expérience utilisateur;
- offrir des options à moindre coût pour la connectivité au RE du GC à partir d’emplacements gouvernementaux plus petits ou éloignés;
- améliorer la sécurité du réseau grâce à des capacités de sécurité intégrées améliorées dans les solutions de type REDL;
- tirer parti des capacités logicielles du REDL pour rapidement apporter des modifications à la configuration ou offrir de nouveaux services;
- offrir la possibilité de fournir (dans certains cas) une connectivité Internet locale sécurisée sans avoir à rediriger le trafic Internet vers les CD du GC, ce qui améliorera les performances à venir des solutions Internet, dont Office 365;
- permettre un meilleur débit réseau que les solutions basées seulement sur la MPLS, car les plateformes REDL tireront parti du choix du « chemin intelligent » pour optimiser les performances du réseau;
- optimiser l’utilisation et les performances du réseau grâce aux protocoles de routage prenant en charge les applications;
- favoriser la résilience – compte tenu de la nature du REDL, qui consiste à définir le trafic sur plusieurs lignes ou routes, l’interruption ou le retard sur une route est automatiquement détecté et le trafic est acheminé vers un autre chemin;
- donner rapidement des capacités d’approvisionnement en tant que mécanisme de basculement, tel que la 4G, la LTE ou, à l’avenir, la 5G en cas de défaillance du circuit primaire.
- Il existe plusieurs cas d’utilisation possible du REDL dans l’environnement de réseau du gouvernement à la fois dans l’état actuel et à venir (par exemple, des sites gouvernementaux de petite à moyenne taille utilisant des circuits de MPLS coûteux).
- Les emplacements éloignés (en particulier à l’extérieur du pays) doivent renvoyer le trafic Internet vers un centre de données du GC, puis « rediriger » le trafic vers Internet pour les services Internet, ce qui crée des délais aller-retour importants, en plus de nuire à l’expérience de l’utilisateur à distance.
Alors que SPC commence à envisager une stratégie de type REDL, la situation actuelle des fournisseurs de REDL doit être examinée. De nombreux fournisseurs en sont encore aux premières étapes de la définition de leurs solutions de REDL et peuvent ne pas avoir les capacités que SPC exige. Cependant, certaines organisations proposent désormais également des solutions de REDL entièrement gérées qui devraient être considérées comme faisant partie d’une stratégie d’exploitation du réseau plus large.
6.3.5. Centre de données d’entreprise et services de réseau central [CDDL et RDL]
Priorité correspondante du point de vue technologique : CDDL et RDL
Les technologies CDDL et RDL offrent les moyens d’assurer la prestation de services de connectivité entre les CDE, ainsi qu’à l’intérieur même de ces centres, de même que les interconnexions entre les périphériques de stockage virtuels et physiques, les dispositifs de sécurité et toute autre plateforme de centre de données. Dans le CD, CDDL renvoie à l’ensemble des services d’IDL (calcul, réseau, stockage, etc.) qui sont utilisés dans le cadre de la topologie du CD.
6.3.5.1. Centre de données défini par logiciel (CDDL)
Le CD défini par logiciel (qui utilise une architecture de réseau sous-jacent et de réseau superposé) est la prochaine évolution logique par rapport à l’architecture traditionnelle à trois niveaux pour les CD hautement virtualisés où la mobilité de la machine virtuelle (MV), les périmètres zéro confiance, les services de réseau à la demande et l’informatique en nuage représentent des priorités élevées. Cette architecture de la prochaine génération fournit un nombre de sauts, une latence et une bande passante cohérents entre tous les périphériques qui font partie du réseau. Certaines des exigences clés d’un centre de données moderne défini par logiciel sont les suivantes :
- l’automatisation simplifiée grâce à un modèle de politique axé sur les applications;
- la gestion, l’automatisation et l’orchestration centralisées;
- l’optimisation mixte de la charge de travail et de la migration/l’équilibrage de la charge;
- l’environnement d’architecture mutualisée sécurisé et évolutif;
- les périmètres à zéro confiance;
- l’extensibilité et l’ouverture – source ouverte, interfaces de protocole d’application (API) ouvertes et flexibilité logicielle ouverte pour les équipes responsables des opérations de développement et d’intégration des partenaires de l’écosystème.
La structure de CDDL offre une virtualisation de réseau intégrée pour toutes les charges de travail connectées, alors que le contrôleur peut gérer les périphériques physiques ainsi que les commutateurs virtuels.
Le nouveau modèle d’infrastructure de conception logicielle passera d’un modèle d’entreprise unique à un modèle de fournisseur de services prenant en charge une architecture mutualisée. Étant donné que l’architecture évolue vers un modèle de fournisseur de services, le nouveau centre de données évoluera également vers ce même modèle et se procurera une grande partie de son architecture auprès des fournisseurs infonuagiques. Les emplacements physiques des CD auront une influence sur la conception de ceux-ci, et ce, de deux façons principales : la proximité de l’IXP ou du CXP et la distance par rapport au CDE. Dans le premier cas, la présence d’un fournisseur de services IXP/CXP plus rapproché permettra une évacuation plus précoce du trafic SaaS (Office 365, qui représente environ 60 % du trafic réseau). Dans l’autre cas, une plus grande distance par rapport au CDE imposera une plus grande latence, c’est une simple question de physique – nous sommes limités à la « vitesse de la lumière ».
6.3.5.2. Réseau défini par le logiciel (RDL)
En termes courants, le RDL permet de séparer le « plan de contrôle » du « plan de données », alors que certaines solutions ajoutent le « plan de gestion » comme séparation supplémentaire. Ces couches de séparations permettent de modifier le plan de contrôle (couche d’instructions) sans avoir de répercussion sur le plan de données (c’est-à-dire que les paquets continuent à se déplacer). Cette approche permet de traiter le réseau sous-jacent physique indépendamment des couches « superposées ». Ces superpositions au niveau du réseau central dans le CDE acceptent une ou plusieurs superpositions qui peuvent servir d’interface pour différents concepts. Par exemple, un CD type possède une collection de matériel physique constituant le réseau sous-jacent. Sur ce réseau, on trouve une première couche de recouvrement qui concerne la gestion de la couche physique. Ensuite, en option, le CDDL pourrait assurer une autre superposition distincte pour le contrôle des dispositifs relatifs au réseau et à la sécurité qui s’y trouvent.
Comme cela a été indiqué précédemment, le RDL virtualise et sépare les services fonctionnels des appareils du réseau dans le plan de contrôle et le plan de données. Dans le réseau central, cela peut offrir des avantages considérables lorsqu’on désire modifier, ajouter ou supprimer des ressources. L’interaction avec le CDDL peut reposer davantage sur l’automatisation, réduisant le besoin d’intervenir manuellement pour étendre l’empreinte des ressources physiques du CDDL, éliminant ainsi les complexités de la planification et de la programmation multiéquipes pour les activités de routine. Des interactions similaires avec le REDL peuvent accroître l’efficacité et optimiser les itinéraires du trafic qui entre dans le CDE et qui en sort.
7. Feuille de route pour l’adoption
Dans le présent document, on utilise des piliers stratégiques pour décomposer la stratégie en parties consommables : connectivité, contrôle d’identité et d’accès, et surveillance. La connectivité englobe les dispositifs de réseautique traditionnels comme infrastructure sous-jacente (p. ex., commutateurs, routeurs, pare-feu et équilibreurs de charge). Dans ce contexte, la connectivité introduit également la définition par logiciel pour améliorer les services traditionnels. L’adaptabilité et l’optimisation de l’infrastructure permettent ainsi une optimisation en cascade des services d’application. Le contrôle de l’identité et de l’accès intègre les services d’identité et de sécurité modernes vers des options évolutives les plus avancées, notamment : l’authentification intrinsèque sans mot de passe, la gestion d’accès privilégié (GAP) et la gouvernance des identités centralisées, et l’authentification unique adaptative contextuelle. La surveillance dans ce cas comprend également la collecte, le traitement et la diffusion de l’ensemble des données du réseau (performances et disponibilité), de la sécurité (utilisateurs, contexte de l’appareil, accès, authentification et incidents) et des données d’application (utilisation, distribution) pour faire place aux futures solutions qui tireront parti de l’intelligence artificielle (IA) et de l’apprentissage automatique (AA) pour optimiser l’expérience utilisateur en accédant aux renseignements requis grâce à l’automatisation et à l’orchestration. De plus, une nouvelle approche en matière d’approvisionnement doit être adoptée afin de s’adapter aux progrès technologiques et de répondre aux attentes des utilisateurs en ce qui a trait à la prestation de services en temps opportun. On s’attend notamment à ce que les services soient rendus dans les quelques heures ou jours qui suivent, et non quelques semaines ou mois plus tard. Un facteur clé de l’approche consiste à miser sur l’IDL pour mettre en place une infrastructure de réseau et de sécurité.
La figure 4 montre les piliers stratégiques et la manière dont leur évolution, associée à une nouvelle approche en matière d’approvisionnement, est nécessaire pour l’IDL et la ZTA et pour qu’elle évolue finalement vers une innovation améliorée des applications et services, de l’intelligence artificielle pour les opérations informatiques (AIOps) et de l’orchestration et de l’automatisation de la sécurité et intervention (OASI).
7.1. Piliers stratégiques
La présente section du document décrit les trois piliers stratégiques essentiels qui constituent le fondement de la stratégie de réseau et de sécurité. Ces trois capacités appuient vision d’avenir en matière de réseau et de sécurité de SPC et sont harmonisées avec l’approche d’entreprise SPC 3.0 et le Plan stratégique des opérations numériques de 2018 2022. Cette section a pour but de décrire l’état final souhaité pour SPC dans chacun de ces domaines. Bien que ces capacités ne soient pas toutes réalisables à court terme, la feuille de route ultérieure et les activités connexes décrivent la voie à suivre à moyen terme pour réaliser l’état futur décrit dans la section.
7.2. Pilier 1 : Connectivité
7.2.1. Aperçu
La connectivité en tant que pilier repose sur l’infrastructure physique fondamentale sous-jacente pour offrir les services définis par logiciel sur les aspects du réseau qui concernent le RL, le RE et le réseau de centres de données (RCD). Ceci permet au réseau sous-jacent et au réseau superposé définis par logiciel de séparer le plan de contrôle du plan de données, afin d’isoler la gestion du réseau de la couche de transmission de paquets. Il s’agit d’une approche centralisée qui permet non seulement d’améliorer la cohérence de la configuration des appareils en automatisant l’orchestration, mais également de réduire les services gênants qui ont des répercussions sur les performances.
La connectivité au sein du réseau du GC et la stratégie en matière de réseau et de sécurité peuvent être classées en quatre grands domaines :
- Réseau périphérique – Services de bureau ou d’immeuble – RL
- Service de base et accès au nuage et à Internet du GC – RE
- RCD – CDE et services de réseau central
- Accès à distance
Chaque domaine présente sa propre complexité et des possibilités d’amélioration des communications au sein du GC en intégrant la panoplie de services de réseau et de sécurité requis, comme la gestion des identités et des accès, la confiance zéro, le nuage d’abord, le sans-fil d’abord et d’autres compétences. L’IDL rendra également ces réseaux plus souples et plus efficaces.
7.2.2. État actuel
Le GC gère actuellement un réseau hérité complexe, procurant des services de TI de base à environ 4 000 sites et 5 000 immeubles, en plus de brancher des centaines de milliers d’appareils pour les employés du GC, les entrepreneurs et la population canadienne.
Réseaux intra-immeubles
Il n’existe présentement aucune norme en matière d’infrastructure; chaque ministère présente des configurations physiques et logiques, des procédures d’exploitation, des niveaux de service et des cas d’utilisation différents. Pour cette raison, un effort de « développement de services standard » est nécessaire.
La majorité de l’infrastructure intra-immeubles existant dans les immeubles à un ou plusieurs locataires utilise un câblage fixe traditionnel vers les terminaux. L’utilisation de l’infrastructure câblée pour les appareils des utilisateurs finaux diminue régulièrement avec l’acceptation et le déploiement continus de la connectivité basée sur l’accès sans fil (Wi-Fi).
L’infrastructure, l’équipement et le câblage de réseau intra-immeubles ont plusieurs gardiens, ce qui entraîne une complexité des modèles opérationnels avec des stratégies disparates pour les technologies, les fournisseurs, le déploiement, la maintenance et les opérations. Des centaines de projets individuels sont prévus ou en cours pour préserver, actualiser ou remplacer ces environnements sans stratégie globale ou intégrée.
Réseaux inter-immeubles
Les réseaux inter-immeubles sont constitués d’un ensemble de composants et de services de réseau qui assurent le transport de données entre les immeubles et les CD, au pays et à l’étranger, et s’étendent souvent sur des réseaux externes (p. ex., Internet, nuage, etc.), y compris les éléments suivants :
- Le transport inter-immeubles assure le transport du « dernier kilomètre » vers plus de 4 000 sites, dont plus de 400 comptent plusieurs occupants.
- Les services de base inter-immeubles assurent des services de transport par fibre noire à plus de 220 sites (centralisés dans la région de la capitale nationale) et des interfaces de réseau à réseau (IRR) pour la connectivité intranet et extranet.
- Les connexions au réseau satellite sont utilisées dans plus de 30 ministères pour des communications secrètes et essentielles aux missions avec plus de 6 000 terminaux mobiles.
- Les réseaux internationaux sont déployés dans le cadre de centaines de missions canadiennes et déployés au sein des forces armées dans le monde entier en tant que réseaux privés du GC. Les technologies comprennent une combinaison de déploiements terrestres et par satellite (VSAT).
La plupart des services énoncés ci-dessus ont fait l’objet d’un catalogage et d’une impartition en tant que contrats à long terme avec différents fournisseurs de services de télécommunications. SPC s’est occupé de la gérance de l’architecture du réseau.
Réseaux des CDE
En plus des quatre nouveaux CDE de SPC, les ministères partenaires disposent d’environ 500 anciens CD qui seront consolidés dans le cadre des efforts continus de SPC visant à consolider les CD. Plus de 50 de ces CD sont considérés comme des déploiements d’envergureNote de bas de page 5.
La plupart de ces CD ont été déployés avant l’adoption de normes d’infrastructure communes. Il existe donc peu de points communs dans les structures de réseau et les configurations sous-jacentes. Certains projets antérieurs visant la consolidation de CD se sont révélés difficiles.
En plus des environnements de production, il faut également tenir compte des environnements intégrés de préproduction ou de laboratoire dans le cadre de cette stratégie. À l’heure actuelle, les laboratoires d’essais ne sont pas intégrés à tous les composants et nombre d’entre eux sont limités en raison des limites relatives aux ministères et organismes. Cette situation, combinée à la segmentation du réseau, rend difficiles l’essai et la validation des futurs déploiements de l’état, ce qui augmente le risque pour le projet. On a déjà programmé l’élaboration de centaines d’applications. Si on ne dispose pas d’installations d’essai standard avant la production des logiciels, du matériel et de l’infrastructure, la cohérence de l’intégration représentera tout un défi.
Les difficultés actuelles dans ces domaines de connectivité du réseau entraînent plusieurs défis généraux pour le GC :
- Des processus manuels, effectués sur un appareil à la fois, sont nécessaires afin de gérer le réseau. Par conséquent, beaucoup de temps et d’efforts peuvent être requis pour apporter des modifications au réseau.
- Une mauvaise télémétrie et un manque d’instrumentation normalisée limitent les capacités en ce qui concerne la production de rapports, puisque l’optimisation du réseau repose sur les « meilleures hypothèses ».
- Le manque de normalisation dû aux silos technologiques et aux politiques d’approvisionnement rend le support et l’intégration beaucoup plus complexes.
- L’asservissement ou la dépendance à des fournisseurs à différents niveaux du réseau a une incidence sur la capacité du GC d’adopter les technologies futures au fur et à mesure que le secteur des TI évolue et donne lieu à des achats auprès de fournisseurs uniques.
Connectivité au réseau externe – traditionnelle
Les partenaires de SPC sont connectés aux services en nuage public des manières suivantes :
- création d’un tunnel sur les réseaux privés virtuels (RPV) existants fournis par SPC, créant essentiellement un tunnel dans un tunnel;
- exploitation des lignes fournies par les opérateurs de télécommunications telles que la ligne d’abonné numérique (DSL) et le câble;
- utilisation de solutions de RPV de site à site dans le cadre desquelles un RPV est établi sur le pare-feu géré par le client dans le nuage public;
- recours à des solutions OpenVPN (RPV ouvert, telles que le serveur d’accès OpenVPN) si elles sont prises en charge par le fournisseur du nuage public.
La seule solution approuvée par SPC que les clients peuvent utiliser est l’utilisation de solutions OpenVPN qui consistent pour SPC à offrir un poste de travail sécurisé et spécialisé permettant au client d’établir la connectivité avec le fournisseur du nuage public. La connectivité décrite ci-dessus est prise en charge uniquement pour les données non classifiées et de niveau Protégé A. Elle ne comprend pas le niveau de sécurité Protégé B ou un niveau de classification supérieur. Les partenaires de SPC exploitent aussi actuellement les solutions MPLS et RPV pour la connectivité aux services du RE du GC.
Au moment de la rédaction du présent document de stratégie, des efforts sont en cours pour étendre l’empreinte de sortie et d’entrée du GC aux services en nuage; cela inclura Office 365 et d’autres services de SaaS en nuage. Un accès direct sans RPV sera mis en place pour optimiser le trafic et réduire la latence, améliorant ainsi ultimement l’expérience de l’utilisateur.
7.2.3. État futur
Dans l’état cible du GC, les réseaux sont basés sur des normes de système ouvert, hautement automatisé et finalement offert en tant que service au moyen d’un portail Web, alors que les changements à la connectivité du réseau prennent quelques secondes ou minutes, plutôt que des jours ou des semaines. La réseautique basée sur l’intention et associée à l’analyse du réseau permettra de procéder à l’optimisation dynamique du réseau pour répondre aux exigences changeantes sur les plans de la connectivité et de la performance.
En outre, le GC, en tant qu’entreprise, disposera d’un espace commun pour élaborer des essais, ainsi qu’intégrer, mettre en scène et réparer des réseaux sous-jacents, des réseaux superposés et des applications. En utilisant la virtualisation et des réseaux sous-jacents communs, la construction d’une installation de préproduction de composants communs représentera un service à la demande. Les développeurs ne seront plus isolés en raison des limites ministérielles et des segments du réseau, ce qui permettra d’accroître les capacités de tester et de valider (réduire les risques) les déploiements de l’état futur.
Réseaux intra-immeubles
En ce qui concerne la connectivité intra-immeubles, le GC a adopté une stratégie sans fil d’abord pour les utilisateurs finaux et les appareils de l’IdO. De plus, l’architecture du RL et du RE sera en constante expansion pour intégrer les appareils de l’IdO. Au fil du temps, l’adoption des technologies 5G modifiera les modèles de connectivité pour les terminaux accédant aux ressources du GC. Un tel processus pourrait avoir une incidence considérable sur l’utilisation de la connectivité entre un bâtiment et les services de réseau du GC, réduisant ainsi la dépendance à l’égard de la connectivité traditionnelle des immeubles, tout en augmentant la dépendance à l’égard des ressources externes et des passerelles. À moyen terme, les appareils continueront de reposer à la fois sur la connectivité Wi-Fi et cellulaire (3G/LTE/4G) à mesure que la technologie 5G atteindra sa maturité et que les prix seront analysés pour déterminer le potentiel de valeur ajoutée.
La sécurité du réseau doit évoluer au rythme du nouveau modèle de connectivité et compter sur la capacité d’identifier en toute confiance les appareils et les utilisateurs accédant aux ressources du réseau du GC, tout en offrant une connectivité et des services fiables sur n’importe quelle plateforme et n’importe quel appareil (voir la section « Contrôle de l’identité et de l’accès » pour obtenir des précisions).
Réseaux inter-immeubles
Alors que les réseaux inter-immeubles commenceront à tirer parti des technologies de l’IDL, mentionnées ci-dessus, la couche de transport inter-immeubles sous-jacente continuera à court et à moyen terme d’être principalement un modèle externalisé tirant parti des investissements dans les infrastructures déjà en place. Au fil du temps, cependant, soit à mesure que les nouveaux modèles de connectivité (5G hébergée) deviendront réellement viables, la dépendance à l’égard des infrastructures des immeubles traditionnels diminuera.
Les services de base inter-immeubles resteront probablement les mêmes pour la connectivité dans la région de la capitale nationale, car il s’agit d’une solution rentable étant donné que la majorité des immeubles du GC sont situés dans cette région.
SPC devrait continuer d’assurer la gérance de l’architecture technologique. Les contrats actuels devront être revus pour s’assurer que les services sont conformes à l’état futur de SPC 3.0.
CDE
Sur le plan du réseau, le changement transformationnel majeur dans les CDE sera le passage au RDL. Le RDL permettra d’offrir de nouveaux services de réseau et d’effectuer des changements de manière rapide. Les AIOps offriront également la possibilité d’effectuer des modifications automatisées en fonction d’éléments tels que la correction des menaces et la gestion des performances.
Le REDL jouera également un rôle dans les CDE de petite et de moyenne taille en tant que nouvelle couche de transport pour l’accès aux services Internet et au RE du GC, éliminant ou remplaçant ainsi les solutions MPLS existantes (et coûteuses).
Connectivité au réseau externe
On s’attend à ce que de nombreux clients continuent d’exploiter l’option précédemment décrite dans la section État actuel pour accéder aux données non classifiées ou de niveau Protégé A. Les données de niveau Protégé B seront accessibles en utilisant la solution de connectivité activation et défense du nuage sécurisé (ADNS). SPC a annoncé que ses clients peuvent désormais tirer parti de l’ADNS pour une connectivité de niveau Protégé B. Il a conseillé à ses clients, qui souhaitent profiter de l’ADNS, de s’assurer qu’ils satisfont à toutes les exigences de sécurité avant d’obtenir la connectivité.
À mesure que les solutions de REDL évoluent, nous verrons de plus en plus de clients tirer parti des solutions de REDL pour permettre l’accès à Internet et aux services SaaS en nuage au lieu des solutions MPLS héritées.
7.2.4. Répercussions et dépendances
Pour réussir à activer l’état cible en matière de connectivité, une seule organisation (c’est-à-dire SPC) doit avoir le pouvoir de garantir la conformité et la disponibilité d’un financement approprié. Il faudra peut-être revoir le projet de Sécurité du périmètre de l’entreprise (SPE) pour tenir compte d’un périmètre « virtualisé » qui s’étend au-delà des limites du périmètre traditionnel. Une ZTA complète devra être mise en place de manière progressive afin de tenir compte de la manière dont le projet de SPE sera harmonisé avec l’approche de ZTA.
7.3. Pilier 2 : Contrôle de l’identité et de l’accès
7.3.1. Aperçu
Un des principes clés d’une posture de sécurité à zéro confiance est la mise en œuvre d’un principe de privilège minimal et de contrôles de sécurité précis pour renforcer la sécurité de l’information à l’intérieur du périmètre du réseau du GC. L’accès aux ressources est accordé en vertu d’une approche basée sur des politiques pour sécuriser l’accès plutôt que de dépendre de la configuration manuelle des règles de pare-feu, qui est lourde, statique et sujette à des erreurs. Le mouvement latéral à l’intérieur du périmètre est sécurisé par un processus de microsegmentation. La microsegmentation réduit au minimum l’intrusion lorsqu’elle se produit inévitablement. Au lieu d’utiliser des adresses IP et des zones de sécurité pour établir des politiques de segmentation, les politiques sont basées sur des attributs logiques, plutôt que des attributs logiques, et procurent un contrôle d’accès granulaire aux applications pour les utilisateurs autorisés.
L’intention des contrôles d’accès est de garantir qu’un utilisateur autorisé a accès aux bonnes ressources (comme des bases de données, des applications ou des réseaux) et que ces ressources sont inaccessibles aux utilisateurs non autorisés. Les contrôles d’accès comprennent des mesures physiques et logiques. Les contrôles d’accès physique limitent l’accès aux armoires, aux salles et aux immeubles du réseau où se trouvent des biens physiques ou des équipements. Les contrôles d’accès logiques accordent ou empêchent l’accès aux ressources (p. ex., données, réseaux, applications et systèmes) une fois que l’identité d’un utilisateur, d’une entité ou d’un appareil a été vérifiée. Les droits d’accès logiques ou physiques sont généralement liés aux identités uniques de l’utilisateur, de l’entité ou de l’appareil. À mesure que le paysage technologique du réseau subit une transformation importante, cela augmente davantage l’importance des contrôles d’accès logiques afin de protéger les réseaux et les flux d’information du GC.
7.3.2. État actuel
Le GC a traditionnellement appliqué l’approche « château et douves » au contrôle de l’accès, ce qui vise à sécuriser le périmètre en authentifiant les utilisateurs autorisés à des points d’entrée sécurisés et en leur accordant l’accès. Les réseaux se sont étendus pour inclure un grand nombre de points finaux, et les adversaires continuent de trouver de nouvelles façons de contourner la sécurité du périmètre. La situation devient encore plus complexe en raison de l’adoption croissante des technologies mobiles qui permettent le télétravail et l’utilisation de services externalisés. Le GC a traditionnellement atténué ces menaces en établissant des zones de réseau et en déployant un nombre accru de pare-feu pour filtrer l’accès au réseau. Cependant, cette approche est devenue lourde et coûteuse, car les règles de pare-feu doivent être continuellement ajustées pour tenir compte à la fois des nouvelles menaces et du nouveau trafic autorisé.
Aujourd’hui, les Canadiens et les Canadiennes ont accès en toute sécurité aux services en ligne du GC. Pour se faire, ils se connectent avec un identifiant bancaire en ligne (comme un nom d’utilisateur et un mot de passe) provenant d’institutions financières canadiennes, s’ils ont recours au service de courtier de justificatifs d’identité, ou ils peuvent recourir au service d’identification de marque GC, appelé CléGC.
Les utilisateurs du gouvernement du Canada s’authentifient auprès de différents magasins des utilisateurs, y compris des magasins intégrés et les services de ministère et de fédération d’Active Directory, ainsi qu’auprès d’une multitude de services d’AMF différents, y compris la gestion des justificatifs d’identité et d’autres solutions ministérielles. Un système d’identité numérique fiable est fondamental pour contrôler l’accès. Un tel système représente un élément clé d’une sécurité transparente et sans friction dans les systèmes numériques.
7.3.3. Tendances
L’ancienne approche du contrôle de l’accès était celle d’une posture de défense en profondeur qui utilise une série de mécanismes défensifs stratifiés afin de protéger les données et les informations précieuses. Si un mécanisme échoue, un autre intervient immédiatement pour contrecarrer une attaque. Cette approche n’est plus considérée comme un moyen viable de prévenir et d’atténuer les menaces de sécurité actuelles.
Les tendances en matière de contrôle des accès sont principalement façonnées par la prolifération d’appareils connectés, les options de connexion, la mobilité accrue des utilisateurs finaux et l’attente accrue d’une expérience cohérente et personnalisée, quels que soient le canal de connexion, l’emplacement ou le type d’appareil utilisé pour établir la connexion. Ces attentes vont au-delà de la définition traditionnelle d’un utilisateur final (généralement considéré comme un consommateur du service) et incluent les utilisateurs avec un droit d’accès (comme les administrateurs de service) et les utilisateurs non humains (comme les robots et les appareils connectés intelligents).
Par conséquent, les contrôles des accès au réseau de la nouvelle génération devraient pouvoir prendre en charge et permettre :
- Les identités inter-entités – Les utilisateurs finaux s’attendent à une connectivité transparente aux données et aux services sur les sites et à l’extérieur avec l’appareil et dans l’emplacement de leur choix. Les contrôles d’accès doivent permettre des processus d’authentification des utilisateurs qui sont transparents, résilients et efficaces.
- Les identités fournies ou approuvées par l’utilisateur final – Les contrôles des accès de la prochaine génération doivent tenir compte de la mise en œuvre prévue de la méthode PAP, de l’émergence de la méthode « Prenez vos justificatifs d’identité » (PJI) et de différents modèles d’identité de confiance. Cela comprend l’évolution d’une identité numérique de confiance pour les services destinés au public afin de faciliter les connexions avec les différents ordres de gouvernement à l’échelle du Canada.
- L’authentification multifacteur (AMF) –une simple combinaison de nom d’utilisateur et de mot de passe n’est plus considérée comme étant acceptable pour bien qualifier un utilisateur. Étant donné le nouveau paradigme, l’ajout de facteurs supplémentaires est essentiel : l’ajout de données biométriques, d’un jeton matériel ou d’un identifiant installé sur l’appareil apporte un niveau d’assurance supplémentaire – quelque chose que vous êtes (biométrique), que vous possédez (jeton ou appareil) et que vous connaissez (mot de passe ou NIP).
- L’expérience personnalisée, mais cohérente – un niveau élevé de personnalisation et de cohérence se traduira par une augmentation du partage du profil utilisateur et des métadonnées, ce qui nécessitera des contrôles accrus pour protéger les données.
7.3.4. État futur
Alors que les menaces à la sécurité se sont multipliées ces dernières années, un changement de paradigme s’est opéré dans la réflexion architecturale sur la façon d’assurer un équilibre entre la protection et la disponibilité tout en soutenant l’évolution d’un nouveau modèle de sécurité centré sur l’information pour les réseaux du GC. Le modèle de réseau de l’état à venir tiendra compte des besoins des utilisateurs finaux tout en garantissant la sécurité de leurs données.
Du point de vue du contrôle des accès, le changement dont l’effet est le plus grand sera lié à la transition d’une approche traditionnelle de sécurité périmétrique vers un « périmètre virtuel »; une approche reposant sur la notion de « zéro confiance » et de microsegmentation appliquée aux réseaux et aux ressources du GC. La notion de zéro confiance repose sur le principe selon lequel il ne faut « jamais faire confiance; toujours vérifier ». L’architecture d’accès au réseau à zéro confiance (« ZTNA »), qui est connexe, oblige à vérifier tous les accès aux ressources, même s’il s’agit de sources traditionnellement fiables. La sécurité périmétrique traditionnelle peut encore servir de première ligne de défense, mais l’appareil et l’utilisateur seront vérifiés, authentifiés et autorisés en permanence afin d’accéder aux biens et aux ressources, d’où le besoin de microsegmentation (un point de vue granulaire des ressources du réseau). Cela aura des répercussions profondes sur la conception et le fonctionnement des mécanismes de contrôle de l’accès.
7.3.5. Répercussions et dépendances
Les répercussions et dépendances suivantes devront être prises en compte pour que le réseau de la prochaine génération réponde aux attentes de l’utilisateur final et du gouvernement numérique en matière d’utilisation et de sécurité :
- Besoin accru de gestion d’accès privilégié (GAP) – À mesure que la prestation de services de réseau et de ressources relèvera de plus en plus du contrôle des logiciels, un certain nombre de nouvelles cibles de sécurité de haut niveau émergeront (comme des tableaux de commande pour les composants du réseau, des moteurs de politique). Il faut en tenir compte et les gérer correctement au moyen de solutions de GAP. La GAP aide les organisations à restreindre l’accès privilégié dans l’environnement d’un répertoire actif (Active Directory) existant. La GAP permet d’atteindre deux objectifs :
- reprendre le contrôle d’un environnement de répertoire actif compromis en conservant un environnement bastion distinct que l’on sait qu’il n’a pas fait l’objet d’attaques malveillantes;
- isoler l’utilisation de comptes privilégiés pour réduire le risque de vol des justificatifs d’identité connexes.
- Besoin accru de gestion des secrets (mots de passe et clés secrètes) – Des processus appropriés de pipeline, de développement et de déploiement de type intégration continue/développement continu (IC/DC) doivent être en place pour prendre en charge la livraison juste à temps des ressources et le passage au « réseau en tant qu’utilitaire ». Un service de gestion des secrets doit être prévu pour permettre l’automatisation et l’orchestration en plus d’être étroitement associé à des mécanismes de contrôle de l’accès.
- Accent accru sur la capacité des mécanismes de contrôle de l’accès – le passage à la ZTA entraînera des exigences accrues en matière de capacité pour tous les éléments des mécanismes de contrôle de l’accès, car le processus d’authentification et d’autorisation de l’utilisateur final, de l’entité ou de l’appareil devient continu et multimodal. Une transition accrue vers des moteurs de risque « intelligents » entraînera des exigences additionnelles sur le plan de la capacité pour permettre la collecte et le traitement des métadonnées des utilisateurs finaux et des appareils de manière transparente et efficace.
- Priorisation accrue de la gouvernance des données et des mesures de protection contre la fuite de données – à mesure que des métadonnées supplémentaires relatives aux utilisateurs finaux et aux appareils sont recueillies et traitées, des attributs d’identité d’utilisateur de confiance externes sont acquis et utilisés pour permettre le déroulement des processus de vérification, d’authentification, d’autorisation et d’élaboration des politiques. Il sera encore plus important de pouvoir compter sur une gouvernance des données, une gestion des données de base et des protections efficaces contre les fuites de données.
7.4. Pilier 3 : Surveillance
7.4.1. Attention particulière relative à la sécurité
Étant donné que le Centre canadien pour la cybersécurité (CCC) est propriétaire du Centre des opérations de sécurité (COS) et du processus de gestion de l’information et des événements de sécurité (GIES), de nombreux recoupements d’intérêts et de responsabilités seront mis en évidence dans cette section. Bien que ce document n’essaie pas de délimiter les tâches ou les responsabilités spécifiques, il sera essentiel d’évaluer les recoupements et de tenir compte des incidences et des changements opérationnels pour l’optimisation du modèle de processus. La référence à la solution de GIES a pour unique but de souligner que la GIES est effectivement nécessaire. On ne doit pas l’interpréter comme une fonction de SPC.
Selon les recherches menées par Gartner & Forrester et d’autres, l’état à venir des réseaux démontrera une convergence ou un alignement des domaines fonctionnels. Il faudra effectuer un alignement des centres d’opérations, autrement dit du COS et du Centre des opérations de réseau (COR), afin qu’un modèle de centre des opérations de réseau et de sécurité (CORS) devienne la voie de l’avenir. À mesure que SPC et le GC évoluent dans ce nouveau paradigme, des étapes intermédiaires ouvriront la voie à la convergence finale.
Alors que les événements de sécurité liés aux utilisateurs et au système resteront sous la responsabilité du COS (qui fait partie du CCC), les intérêts de sécurité liés aux composants de l’infrastructure seront intégrés dans la solution de surveillance continue. Cela favorisera les capacités de réponse automatisée de l’IDL.
7.4.2. Aperçu
La surveillance consiste à gérer de manière proactive le rendement et la sécurité de l’infrastructure de TI du GC. La portée des capacités de surveillance s’étend aux dispositifs de réseautique et au trafic, aux serveurs et aux périphériques des utilisateurs finaux, ainsi qu’aux applications exécutées sur ces périphériques. Une surveillance efficace permet une identification proactive des événements liés aux appareils du réseau et permet de corriger ces événements pour accroître la sécurité, la fiabilité et la performance.
7.4.3. État actuel
Il existe dans l’ensemble du GC une combinaison d’outils et de données de surveillance gérés par les partenaires et gérés par SPC. Il en résulte un manque de clarté, de responsabilité et de couverture des fonctions de surveillance. Des compétences spécifiques et des configurations de solutions ont été adaptées aux besoins de chaque service. Les outils de surveillance sont utilisés pour les alertes et les rapports de base. System Center Operations Manager (SCOM) de Microsoft en est un exemple.
SPC dispose d’une capacité décentralisée et non standard de GIES (niveaux de maturité et configurations variés) qui procure une couverture partielle. Cela signifie que SPC ne bénéficie pas d’une visibilité totale sur l’environnement du GC pour cerner les risques et réagir rapidement aux incidents.
La configuration de ces solutions permet d’automatiser plusieurs tâches opérationnelles simples, mais une intervention humaine est nécessaire pour tout ce qui est plus complexe. Le manque de capacités d’automatisation et d’orchestration et de corrélation entre les événements mène à des renseignements non pertinents et non exploitables que les équipes opérationnelles de TI doivent examiner. Cela entraîne des temps d’analyse et de résolution plus longs en plus d’éroder la prestation des services. De plus, le modèle opérationnel actuel de SPC rend la maintenance des ressources d’infrastructure coûteuse, en plus d’être chronophage et d’être propice aux erreurs humaines.
7.4.4. Tendances
Les organisations procèdent de plus en plus à la mise en œuvre de technologies qui assurent l’ingestion et la corrélation des sources de surveillance et de journalisation, regroupent ces données et y appliquent à la fois la logique humaine et la logique machine pour détecter et exécuter des actions dans le but d’enquêter et de résoudre les incidents ou les événements. Ces plateformes comprennent l’orchestration et automatisation de la sécurité et intervention (OASI), l’analyse comportementale et l’IA. Le marché des produits pour ces solutions continue d’évoluer et les solutions n’ont pas encore atteint leur potentiel prévu (voir l’annexe A).
En outre, les organisations adoptent une position où l’on « présume qu’il y a eu atteinte à la sécurité ». Ce faisant, les entreprises intègrent la recherche de menaces dans les capacités de surveillance de la sécurité pour toujours chercher des anomalies qui pourraient révéler l’existence d’un cyber-événement.
7.4.5. État cible
Dans l’état cible, SPC devra passer des outils et processus de surveillance autonomes à un ensemble intégré de technologies qui sont prises en charge par un dépôt central de données qu’on qualifie ici de « lac de données de SPC » et qui offre une visibilité améliorée. SPC devra mettre en œuvre l’IA, l’automatisation et l’orchestration pour améliorer l’efficacité avec laquelle il sécurise l’infrastructure de TI. Une initiative est en cours au sein de SPC afin d’étudier l’IA pour les opérations (« AIOps »).
SPC, en coordination avec ses partenaires, s’efforcera de réduire le nombre de solutions de surveillance dans l’état futur, en adoptant une approche » 70/30 », selon laquelle un seul outil répond à 70 % des besoins en surveillance, alors que les 30 % restantes seront de multiples solutions ponctuelles. Cela signifie que 70 % des outils doivent être des « solutions complètes » indépendantes du domaine pour les cas d’utilisation les plus courants. Quant aux « solutions ponctuelles », les autres 30 %, elles devraient être centrées sur un domaine spécifique (p. ex., le réseau, la sécurité, les systèmes d’extrémité ou la surveillance du rendement des applications).
Il sera essentiel de consolider les CD pour faciliter la consolidation des outils de surveillance et du lac de données de SPC. Cela comprendra la mise en place, dans les CDE, d’une solution de surveillance centralisée qui représentera la base d’une capacité de surveillance centralisée pour le GC.
La maturation de la capacité de GIES sera essentielle pour acquérir une connaissance de la situation dans les environnements du GC et créer des capacités d’intervention rapides et coordonnées lorsque survient un incident. Cela devrait inclure une solution de GIES intégrée de la prochaine génération, l’adoption d’un contenu de cas d’utilisation avancé pour détecter les événements (à l’aide d’une combinaison d’analyses comportementales basées sur des règles et des utilisateurs ou des entités) et des capacités d’OASI pour améliorer la détection des menaces et automatiser la réponse. Il sera essentiel d’adopter une capacité de connaissance de la situation afin de prévoir les niveaux d’exposition des biens de TI aux cybermenaces et prendre des décisions de correction fondées sur le risque.
Le lac de données de SPC sera créé et utilisé pour stocker et analyser les données de journalisation aux fins de prise en charge de l’agrégation et de la corrélation des données. Plus on insérera de données dans le système, plus il sera possible de prendre des décisions intelligentes grâce aux technologies émergentes, comme l’apprentissage automatique, l’OASI et l’IA. Pour réaliser des économies d’échelle plus importantes aux fins de l’analyse, SPC devrait étudier l’utilisation de solutions en nuage public de type IaaS ou PaaS pour son lac de données, dans lequel un modèle en nuage hybride est utilisé pour assurer la connectivité avec les CDE.
Les technologies et les solutions décrites ci-dessus continueront d’améliorer la correction automatique, l’infrastructure de réparation spontanée, la corrélation entre les événements et l’analyse prédictive. Le diagramme ci-dessous nous montre un système de GIES proposé pour la prochaine génération qui est pris en charge par un lac de données centralisé de SPC.
7.4.6. Répercussions et dépendances
Les suites d’infrastructure de surveillance présentent des fonctionnalités étendues et intégrées, tandis que les meilleurs outils de surveillance sont dotés de fonctionnalités spécifiques au domaine. La principale dépendance pour réaliser la future stratégie de surveillance sera que tous les partenaires partagent avec SPC les données de journalisation dans la pile technologique (y compris les données de performance des applications), et que ces données devront être stockées dans un dépôt central (lac de données de SPC). Cette intégration permettra de constater l’état général de la sécurité du GC, favorisera les cas d’utilisation avancée et accélérera les interventions en cas d’incidents. Il sera également essentiel pour SPC de collaborer avec ses partenaires et le CCC pour s’assurer que les rôles et les responsabilités en matière de détection, d’intervention et de correction des incidents sont clairs.
7.5. Approvisionnement
7.5.1. Aperçu
L’approvisionnement fait référence à la capacité de la plateforme technologique et de la solution d’implanter les composants de la solution globale. Dans le contexte de la réseautique et de la sécurité, l’approvisionnement offre la possibilité de mettre en œuvre les composants du réseau et de sécurité, comme l’ajout ou la modification des configurations du réseau ou l’ajout ou la modification des règles de pare-feu. L’approvisionnement doit être vu de manière globale à tous les niveaux de la réseautique, du calcul et de la sécurité, en exploitant les capacités comme l’IDL en tant que facilitateurs pour accroître les capacités d’approvisionnement.
7.5.2. État actuel
À l’heure actuelle, le GC compte un certain nombre de fournisseurs qui procurent des services de réseautique, de calcul et de sécurité (fournisseurs de matériel, de logiciels et de services). Cette situation a donné lieu à une prolifération des plateformes à travers le GC qui, dans de nombreux cas, nécessitent des solutions technologiques et des compétences uniques sur ces plateformes pour assurer leur gestion et leur surveillance.
Le délai d’approvisionnement est l’une des principales préoccupations des dirigeants principaux de l’information (DPI). Les DPI dépendent de SPC en ce qui concerne la prestation de services de calcul, de stockage et de réseau afin de mettre en œuvre de nouvelles applications qui permettent la mise en œuvre des programmes du GC. Par conséquent, le délai d’approvisionnement de SPC est un des facteurs essentiels de l’exécution agile des programmes. L’objectif consiste à réduire le délai de prestation des services d’infrastructure de quelques semaines ou mois à quelques heures ou jours. De plus, bon nombre des plateformes de réseau, de calcul et de sécurité déjà existantes approchent ou ont dépassé la fin de leur durée de vie et doivent être remplacées afin de protéger les biens techniques du GC et de les gérer de manière efficace.
La venue de nouvelles capacités technologiques mentionnées dans le présent document, comme la ZTA et le RDL, exigera que la plupart des plateformes de réseau et de sécurité existantes soient remplacées ou, à tout le moins, mises à niveau pour permettre ces nouveaux paradigmes de fonctionnement.
7.5.3. Tendances
Les domaines de la réseautique, du calcul et de la sécurité font l’objet d’une refonte en profondeur à mesure que les organisations se tournent vers des technologies habilitantes, comme l’informatique en nuage. Le nuage oblige à fournir immédiatement des services de réseautique, de calcul et de sécurité afin de prendre en charge les demandes dynamiques des services en nuage. L’utilisation des opérations d’IA favorise également la vitesse d’approvisionnement en automatisant de nombreuses tâches opérationnelles pour la prestation des services de TI.
7.5.4. État futur
Des capacités d’approvisionnement améliorées permettront d’assurer la prestation de services de réseau, de calcul et de sécurité en quelques minutes (plutôt qu’en quelques jours ou semaines). Les tendances à l’origine du besoin d’améliorer l’approvisionnement sont les suivantes :
- il faut de nouvelles capacités pour s’adapter à l’innovation;
- le réseau automatisé doit être modifié pour atténuer les cybermenaces;
- les DPI ont besoin d’obtenir rapidement de nouveaux environnements technologiques, ainsi que les services de réseau et de sécurité connexes.
L’état futur verra la mise en œuvre de technologies habilitantes, telles que le RDL et l’IDL, intégrés à l’infrastructure locale, comme l’infrastructure hyperconvergée, le RDL et les plateformes de sécurité. Le nuage extérieur permettra d’offrir rapidement des services de réseau, de sécurité et de calcul.
Il faut envisager diverses approches pour fournir les capacités définies par logiciel, y compris la sélection d’une solution d’écosystème basée sur le fournisseur (comme l’infrastructure CISCO axée sur les applications, Contrail de Juniper et EOS d’Arista) ou une solution de source ouverte (comme le RDL OpenDayLight).
Dans l’état futur, SPC sera en mesure d’assurer un approvisionnement dynamiquement en solutions de réseau, de calcul et de sécurité au moyen d’une plateforme logicielle améliorant les délais d’approvisionnement et la satisfaction des clients à l’égard des DPI des ministères.
7.5.5. Répercussions et dépendances
La stratégie permettant d’accroître les capacités d’approvisionnement devra tenir compte des répercussions et des questions suivantes :
- De quelle façon les différentes solutions de réseau et de sécurité favorisent-elles les capacités (p. ex., la ZTA)?
- En quoi consiste le processus qui permet de définir et de mettre en œuvre une compétence intégrée en matière d’approvisionnement, en particulier si SPC entreprend une approche faisant appel à des fournisseurs multiples pour les services de réseau et de sécurité?
- SPC entreprend-il le processus de normalisation des fournisseurs pour offrir une capacité d’approvisionnement améliorée et intégrée ou opte-t-il pour la voie des solutions à fournisseurs multiples ou de source ouverte?
- L’auto-approvisionnement sera-t-il proposé dans le cadre de la stratégie, en particulier dans les domaines du calcul?
- Comment SPC aidera-t-il à intégrer les opérations d’automatisation et d’IA aux activités d’approvisionnement?
7.6. Considérations
7.6.1. Renouvellement des qualifications et des outils de l’organisation
Compte tenu du rythme accéléré du changement que suscitent les progrès rapides de la technologie et les méthodes de travail de l’avenir, le personnel actuel de SPC devra adapter son modèle opérationnel, ses compétences et ses opérations pour prendre en charge la future plateforme de réseau et de sécurité.
Modèle opérationnel
SPC devra entreprendre une transformation profonde de son modèle opérationnel à mesure de son évolution vers le nuage et vers les nouvelles capacités de réseau et de sécurité. Cela nécessitera des changements aux éléments suivants :
- la structure organisationnelle de SPC;
- les compétences requises;
- les processus opérationnels;
- les capacités de gestion des fournisseurs.
Le modèle opérationnel devra modifier fondamentalement la façon dont SPC est axé sur les services de réseau et de sécurité, depuis le soutien technique quotidien jusqu’à l’équipe de direction.
Compétences
Les changements apportés au niveau du réseau et de la sécurité exigeront un nouvel ensemble de compétences et de capacités au sein de SPC, tels que :
- la réseautique zéro confiance pour concevoir, mettre en œuvre et exploiter l’environnement de l’état futur;
- un RDL et une IDL qui représenteront le modèle opérationnel de l’avenir pour la conception et la prestation de services de réseau et de sécurité;
- des capacités relatives aux opérations de développement incluant une expérience au niveau des infrastructures en tant que code;
- l’adoption d’un mode de recherche avancée des menaces et la création d’un contenu avancé pour surveiller les événements de sécurité, y compris par le recours à l’analyse comportementale et la combinaison du contenu organisationnel et du contenu de sécurité aux fins de détection des anomalies;
- le renouvellement des compétences de l’organisation pour améliorer et accroître ses compétences en gestion des fournisseurs, alors que SPC évolue vers un rôle de gestion des fournisseurs dans certains domaines de responsabilité et que l’organisation étend son utilisation des services gérés;
- l’exploitation des partenaires fournisseurs et d’experts-conseils pour combler les lacunes dans les compétences grâce à un plan axé sur l’embauche de personnes ayant ces compétences ou sur la définition de contrats d’externalisation à long terme pour obtenir ces compétences.
Rôles et responsabilités
Les changements apportés au modèle opérationnel exigeront également que de nouveaux rôles soient définis à l’appui du modèle d’état futur au sein de SPC. De nouveaux rôles seront nécessaires, notamment les suivants :
- architecte défini par logiciel;
- architecte de ZTA;
- gestionnaire des fournisseurs;
- gestion davantage axée sur les relations avec les partenaires dans tous les rôles.
Voici les questions relatives à l’avenir de la main-d’œuvre à SPC :
- De quelles compétences aura-t-on besoin à l’avenir?
- Quelles tâches pourrions-nous automatiser ou confier à des talents différents?
- Comment pouvons-nous assurer la transition de la main-d’œuvre?
- Comment SPC peut-il répondre à ses besoins compte tenu de la modification ou de la mise à niveau continue des compétences?
- Quelle sera la portée des répercussions?
- Quel en sera le coût?
Pour répondre à ces questions, SPC devra entreprendre un programme de modèle opérationnel cible distinct pour :
- comprendre les tendances externes, les priorités internes et les pressions que subissent les employés du ministère;
- déterminer les compétences et les tâches clés qui sont nouvelles, croissantes ou décroissantes, puis établir la correspondance entre les compétences et tâches et les rôles aux fins de la priorisation;
- définir une approche pour combler le déficit sur le plan des compétences prioritaires : numérisation et automatisation, embauche externe, emprunt de talents à court terme ou perfectionnement à l’interne;
- élaborer le modèle opérationnel de TI de l’état à venir;
- définir les rôles et les responsabilités nécessaires;
- élaborer les processus de gestion du changement afin de gérer le changement opérationnel (très important), en suivant les pratiques exemplaires en matière de gestion des services de TI.
Les résultats de ce programme devraient orienter les stratégies d’atténuation des lacunes sur le plan des compétences et des rôles à l’échelle du ministère et de l’entreprise. Ils devraient également permettre d’estimer les coûts associés au perfectionnement des compétences des employés et la portée des répercussions sur l’ensemble de la main-d’œuvre.
7.7. Prochaines étapes recommandées
Dans les sections précédentes, les piliers de l’état futur ont été détaillés afin de décrire la voie que SPC doit suivre pour intégrer l’IDL et la ZTA. Cette section porte sur les prochaines étapes nécessaires recommandées pour y parvenir en termes de principes, de projets et d’initiatives.
7.8. Les « principes »
Pour mettre cette stratégie en œuvre, des principes fondamentaux ont été élaborés en raison de la complexité de l’infrastructure de réseau et de sécurité de SPC. Il est impossible de se procurer et de mettre en œuvre d’un seul coup une IDL et une ZTA entièrement fonctionnelles. C’est pour cette raison que les principes stratégiques suivants sont recommandés :
7.9. Plan de communication
Un plan de communication détaillé est essentiel et doit être mis en œuvre pour partager la vision en matière de réseau et de sécurité, la stratégie connexe et le plan définissant la voie à suivre. Ce processus doit se dérouler dans l’ensemble de SPC, et ce, tant au niveau de la haute direction qu’au niveau opérationnel, pour garantir l’adhésion et la compréhension au sein de l’organisation. Cependant, il ne s’agit pas uniquement d’une initiative de SPC; pour que cette initiative réussisse, il faut pouvoir compter sur l’aide et l’adhésion de tous les partenaires de SPC, car cela s’étend jusqu’aux services commerciaux et aux applications que SPC fournit à ces partenaires.
7.10. Architectures de référence
Des documents d’architecture de référence (DAR) doivent être élaborés afin de donner une architecture, une méthodologie, des lignes directrices et des principes pour les différentes technologies à un niveau élevé et ces documents doivent être répartis en fonction des différents niveaux de service. Les DAR :
- établiront des liens avec la vision et la stratégie en matière de réseau et de sécurité de SPC;
- permettront de comparer et d’harmoniser les exigences de SPC avec les technologies émergentes de l’industrie;
- donneront des lignes directrices et des principes pour orienter les services, les produits et les projets;
- seront axés sur la fonction plutôt que sur les technologies.
D’abord, on commencera par l’élaboration d’un DAR cadre (principal). Il s’agira d’une architecture qui interconnecte tous les DAR secondaires afin de garantir la cohérence des objectifs généraux entre les fonctions et les technologies interdépendantes.
Les DAR secondaires seront élaborés et reliés au DAR cadre. Les DAR secondaires qui devraient être élaborés dans un premier temps sont les suivants :
- RLDL;
- REDL;
- CDDL;
- Connectivité du nuage, de l’Internet et de l’accès à distance;
- CDE/RCD – réseau central;
- ZTA.
7.11. Soutien des initiatives en cours
Il existe des projets et des initiatives déjà en cours et planifiés depuis un certain temps. Plusieurs d’entre eux auraient été identifiés avant même que les concepts d’IDL ou de ZTA ne soient vraiment connus. Cependant, bon nombre de ces projets et initiatives sont des éléments importants de l’infrastructure de base pour amener SPC vers l’IDL et la ZTA.
Il est donc recommandé que les responsables des projets en cours et des nouveaux projets prennent le temps de réfléchir à la vision et à la stratégie en matière de réseau et de sécurité de SPC, ainsi qu’aux « principes » définis précédemment, et qu’ils collaborent avec SPC pour déterminer les possibilités visant à harmoniser les activités de manière encore plus optimale que ce qui était initialement prévu dans les projets.
Le tableau suivant présente une liste des projets de SPC et des sous-initiatives importantes qui soutiennent la vision et la stratégie en matière de réseau et de sécurité pour l’avenir et qui devraient continuer à être soutenus par SPC.
Projet | Description | Sous-projets ou initiatives |
---|---|---|
ADNS | Activation et défense du nuage sécurisé |
|
ADR (maintenant GCVDC) | Authentification des dispositifs réseau/Gestion du cycle de vie des dispositifs chiffrés | S.O. |
CARGC | Contrôle de l’accès au réseau du GC | S.O. |
GIES | Gestion de l’information et des événements de sécurité |
|
GRJC | Gestion des répertoires, des justificatifs et des comptes | S.O. |
GVCE | Gestion de la vulnérabilité et de la conformité d’entreprise | S.O. |
MADP | Migration de l’accès à distance protégé | S.O. |
MRP | Modernisation du réseau périphérique | S.O. |
RGC | Réseau de gestion centralisé | S.O. |
SACI | Service d’authentification centralisé interne | S.O. |
SCAA | Service de contrôles d’accès administratifs | S.O. |
SCR | Stratégie des centres régionaux | S.O. |
SPE | Sécurité du périmètre de l’entreprise (SPE) | S.O. |
VSSPT | Visibilité, sensibilisation et sécurité de point de terminaison | S.O. |
La carte des points chauds suivante montre comment chacun des projets s’harmonise avec la vision en matière de réseau et de sécurité.
Projet | IDL | ZTA | Surveillance continue |
---|---|---|---|
GIES-SJC | S.O. | Pleine valeur ajoutée | Pleine valeur ajoutée |
GIES-OASI | Pleine valeur ajoutée | Pleine valeur ajoutée | Pleine valeur ajoutée |
GIES-ACUE | S.O. | Pleine valeur ajoutée | Pleine valeur ajoutée |
GIES-VISS | S.O. | Pleine valeur ajoutée | Pleine valeur ajoutée |
GIES-principale | S.O. | Pleine valeur ajoutée | Pleine valeur ajoutée |
VSSPT | Pleine valeur ajoutée | Pleine valeur ajoutée | Pleine valeur ajoutée |
GVCE | Valeur partielle | Valeur partielle | Pleine valeur ajoutée |
RCC | Pleine valeur ajoutée | Pleine valeur ajoutée | Pleine valeur ajoutée |
GRJC | Pleine valeur ajoutée | Valeur partielle | S.O. |
SCAA | Valeur partielle | Pleine valeur ajoutée | Pleine valeur ajoutée |
ADR | Valeur partielle | Pleine valeur ajoutée | Valeur partielle |
SACI | Valeur partielle | Pleine valeur ajoutée | S.O. |
CARGC | Pleine valeur ajoutée | Valeur partielle | Valeur partielle |
MRP | Pleine valeur ajoutée | Valeur partielle | Valeur partielle |
GADP | Pleine valeur ajoutée | Pleine valeur ajoutée | Pleine valeur ajoutée |
SCR | Pleine valeur ajoutée | Valeur partielle | Valeur partielle |
ADNS-PSI | Pleine valeur ajoutée | Valeur partielle | Valeur partielle |
ADNS-principale | Pleine valeur ajoutée | Valeur partielle | Valeur partielle |
7.12. Initiatives futures requises
Le résumé de la feuille de route en matière de réseau et de sécurité présentée ci-dessous décrit les étapes progressives nécessaires pour passer de l’état actuel à l’état final projeté vers l’architecture logicielle et la ZTA. Cette évolution nécessitera la mise en place de certaines étapes et technologies spécifiques pour chacune de ces disciplines ainsi que l’augmentation et l’évolution des services d’identité et de la sécurité. Le schéma suivant présente un résumé de l’adoption progressive recommandée des initiatives futures nécessaires qui devront être soutenues pour continuer de faire évoluer SPC vers l’architecture logicielle et la ZTA. Pour obtenir des précisions, veuillez consulter la feuille de route complète qui se trouve à l’annexe B.
8. Conclusion
Tout au long du présent document, trois thèmes persistants sont mis en évidence :
- l’accélération continue du changement;
- la nécessité de suivre ces changements tout en continuant d’assurer la sécurité et le contrôle;
- le caractère essentiel de la collecte et de l’utilisation des données de surveillance et d’analyse.
L’expression « Le changement est inévitable » est depuis longtemps un mantra dans les cercles de TI. Toutefois, l’ampleur et le rythme du changement continuent de poser de grands défis. L’adoption et l’intégration des services en nuage et l’acceptation de l’expansion de l’empreinte technologique de l’IdO, non seulement dans le CD, mais à tous les niveaux dans la vie personnelle et professionnelle, modifient les attentes des utilisateurs quant à la manière, au moment et à l’endroit où l’accès aux systèmes GC est nécessaire.
L’établissement et l’adoption de technologies (y compris le réseau, la sécurité, le calcul, le stockage) qui peuvent évoluer en permanence occupent une place primordiale, mais la modernisation des processus et des politiques qui définissent l’utilisation et la fonction de la technologie est tout aussi essentielle. L’acceptation sociale doit précéder l’adoption de ce paradigme technologique essentiellement nouveau.
La surveillance, ou « surveillance continue », telle qu’elle a été décrite tout au long du présent document, propose d’aller au-delà de la surveillance traditionnelle des fonctions, des performances et de la sécurité. Ces modes de surveillance seront et doivent rester intégrées dans toute solution, mais ce qui était au départ une convergence entre les appareils et les fonctions se poursuivra. On prévoit d’ailleurs qu’elle comprendra les renseignements sur la sécurité des utilisateurs et des appareils et l’autorisation du moteur de politique. Ce modèle amélioré rassemblera beaucoup plus de « données de surveillance » qu’auparavant, permettra aux différentes équipes de recueillir des données pertinentes pour leurs besoins et favorisera davantage l’intégration de solutions basées sur l’IA afin d’exploiter les capacités de l’IDL de demain.
9. Sigles et acronymes
- AA
- Apprentissage automatique
- ADNS
- Activation et défense du nuage sécurisé
- ADP
- Accès à distance protégé
- AIOps
- Intelligence artificielle pour les opérations informatiques
- GAP
- Gestion d’accès privilégié
- GIES
- Gestion de l’information et des événements de sécurité
- IA
- Intelligence artificielle
- IdO
- Internet des objets
- IDL
- Infrastructure définie par logiciel
- OASI
- Orchestration et automatisation de la sécurité et intervention
- PAP
- Prenez vos appareils personnels
- PJI
- Prenez vos justificatifs d’identité
- RE
- Réseau étendu
- RL
- Réseau local
- RM
- Réseau métropolitain
- RDL
- Réseau défini par le logiciel
- TCP/IP
- Protocole de contrôle de transmission/protocole Internet
- Wi-Fi
- Marque déposée faisant référence à la famille de normes sans fil 802.11 pour l’accès au réseau sans fil
- ZTA
- Architecture zéro confiance ou Accès zéro confiance – un cadre architectural remplaçant la « défense en profondeur » traditionnelle
- ZTNA
- Accès au réseau zéro confiance
10. Références
- Conseils en matière de sécurité des technologies de l’information no 33 (ITSG-33) – La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie
- Stratégie de l’informatique en nuage d’abord, approche d’entreprise SPC 3.0
- Plan stratégique des opérations numériques du gouvernement du Canada (GC) de 2018 à 2022
Annexe A : Tendances en matière de réseau et de sécurité
Les tableaux suivants décrivent les différentes tendances qui sont les plus pertinentes pour la vision stratégique de SPC. Certaines de ces tendances sont courantes, tandis que d’autres ne sont pas aussi matures, mais elles gagnent en popularité sur le marché. Une définition, une analyse et une application pour SPC sont présentées pour chaque tendance.
Tendance #1 : Architecture zéro confiance
Qu’est-ce que l’architecture zéro confiance (ZTA)?
La ZTA fait appel à une approche définie par logiciel pour établir un périmètre et crée une frontière d’accès logique basée sur l’identité et le contexte autour d’une application ou d’un ensemble d’applications. Les applications sont cachées pour en empêcher la découverte, alors que l’accès est limité par un courtier de confiance à un ensemble d’entités nommées. Le courtier vérifie l’identité, le contexte et le respect de la politique des participants choisis avant d’autoriser l’accès. Cette façon de faire supprime les ressources de l’application de la visibilité publique et réduit considérablement la zone d’attaque.
Bien que les offres de ZTA diffèrent de par leurs approches techniques, elles présentent généralement la même proposition de valeur fondamentale :
- Retrait des applications et des services de la visibilité directe sur l’Internet.
- Accès granulaire aux applications validé par un programme ou par un accès basé sur les rôles et en appliquant le principe de privilège minimal.
- Validation de l’accès indépendamment de l’emplacement physique de l’utilisateur. Les politiques d’accès sont basées sur les identités des utilisateurs, des appareils et des applications.
- Accès accordé uniquement à l’application spécifique, mais non à l’infrastructure sous-jacente du réseau. Cela limite le besoin d’un accès excessif à tous les ports et protocoles ou à toutes les applications, pour lesquelles l’utilisateur n’a pas nécessairement les autorisations.
- Chiffrement de bout en bout des communications sur le réseau.
- Inspection facultative du flux de trafic pour les risques excessifs sous forme de traitement des données délicates et de logiciels malveillants.
- Activation de la surveillance facultative de la séance pour les indications d’activité inhabituelle, de durée ou de besoins en matière de bande passante.
Analyse des tendances
Le marché de la ZTA en est encore à ses débuts, mais il se développe rapidement. L’intérêt porte principalement sur les organisations à la recherche d’une solution offrant davantage de souplesse que les RPV et celles qui recherchent un contrôle d’accès granulaire aux applications.
Applicabilité à SPC
- Mise à jour de son cadre de sécurité réseau actuel qui est dépassé
- Harmonisation avec la stratégie de l’informatique en nuage d’abord du GC – de nouveaux périmètres sont établis
- Expérience utilisateur cohérente pour accéder aux applications – option sans client ou par un client de la ZTA quel que soit l’emplacement du réseau
- Intégration des techniques d’automatisation au cadre de sécurité
Tendance #2 : Périmètre défini par logiciel
Qu’est-ce que le périmètre défini par logiciel (PDL)?
La ZTA est généralement mise en œuvre au moyen d’un PDL et de microsegmentation. Le PDL est une nouvelle technologie très polyvalente qui offre un accès confidentiel et sécurisé aux applications de l’entreprise. La technologie est mise en œuvre dans le logiciel sur les appareils des utilisateurs finaux, les passerelles, les contrôleurs ou les serveurs. Un PDL peut s’acquérir comme un produit autonome (exploité par l’équipe réseau) ou en tant que service.
Analyse des tendances
Le PDL est une technologie plus récente, qui consiste pour les fournisseurs à ajouter rapidement de nouvelles fonctionnalités ou de nouveaux facteurs de forme. Les nouveautés comprennent tout particulièrement les interfaces du portail de gestion et les flexibilités sur les plans de l’attestation et des politiques. Parmi les autres facteurs de forme, on remarque les appareils de passerelle virtuelle clé en main, les fonctions de réseau virtuel (FRV) et les images logicielles sur les marchés du nuage public.
Le PDL et les technologies définies par logiciel en général bouleverseront le marché des fournisseurs de matériel traditionnel.
Le PDL n’est généralement pas utilisé pour accéder aux applications SaaS telles que Office 365 de Microsoft, Salesforce ou ServiceNow. Ainsi, les PDL ne recoupent pas les courtiers de sécurité d’accès au nuage.
Applicabilité à SPC
- Mise à jour de son cadre de sécurité réseau actuel qui est dépassé
- Conforme au mandat qui consiste à offrir un accès à distance sécurisé aux utilisateurs finaux
- Consolidation des réseaux peut être facilitée à mesure que les composants des réseaux vieillissent
Tendance #3 : Microsegmentation
Qu’est-ce que la microsegmentation?
La microsegmentation est une capacité fondamentale qui prend en charge la ZTA. Par le passé, les clients avaient une obsession paranoïaque à propos des intrusions de l’extérieur touchant les périmètres du CD de leur organisation. Ils étaient convaincus d’avoir perdu le combat si une compromission se produisait dans la direction nord-sud. La mentalité a maintenant évolué : les clients reconnaissent que des compromissions sont non seulement possibles, elles se produisent, et qu’ils doivent plutôt chercher des moyens de réduire le plus possible les dommages. Avec la venue de l’automatisation et des logiciels plus performants, la microsegmentation a gagné un vaste public compte tenu de sa capacité d’atténuer les dommages causés par une intrusion lorsque le périmètre du CD a été compromis.
La microsegmentation réduit au minimum l’intrusion lorsqu’elle se produit, ce qui est inévitable. Au lieu d’utiliser des adresses IP et des zones de sécurité pour établir des politiques de segmentation, les politiques sont basées sur des attributs logiques (et non physiques) et procurent un contrôle d’accès granulaire aux applications.
Analyse des tendances
La virtualisation des réseaux est courante depuis un certain nombre d’années déjà. Elle agit ainsi en tant que catalyseur de la microsegmentation. Elle devient de plus en plus courante et semble être la meilleure solution pour lutter contre la limitation du trafic est-ouest.
Des solutions de microsegmentation de réseau perfectionnées assurent la surveillance et les flux de base, et émettent des alertes en cas d’anomalies. Elles évaluent également en permanence les niveaux relatifs de risque ou de confiance à l’égard du comportement observé au cours de la session réseau (p. ex., modèles de connectivité inhabituels, trafic excessif sur la bande passante, transferts de données excessifs et communication vers des URL ou des adresses IP pour lesquels le niveau de confiance est faible). Si une session réseau représente trop de risques, une alerte peut être déclenchée ou la session peut être interrompue.
Applicabilité à SPC
- Confinement des compromission provenant de l’intérieur du CD (trafic est-ouest)
- Intégration efficace dans une architecture de microservices
- Harmonisation avec les exigences d’automatisation
- Mise en œuvre et gestion grandement facilitées
- Application de stratégies de segmentation cohérentes touchant les charges de travail sur les sites et dans le nuage
- Bonne adaptation aux charges de travail qui hébergent des conteneurs répondant aux exigences de conformité
Tendance #4 : Service d’accès sécurisé en périphérie
Qu’est-ce que le service d’accès sécurisé en périphérie (SASE)?
Les exigences des activités numériques et de l’informatique en périphérie bouleversent les systèmes de trafic traditionnels, transformant ainsi fondamentalement ce modèle et entraînant une convergence des marchés d’extrémité de RE et de la sécurité des réseaux vers le SASE. Le SASE combine généralement des produits et des services pour offrir de nombreuses capacités telles que le REDL, le contrôleur d’optimisation de réseau étendu, la passerelle Web sécurisée (PWS), les courtiers de sécurité d’accès au nuage, le pare-feu de prochaine génération (PFPG), la ZTA et le PDL.
Analyse des tendances
Au cours des prochains mois, il y aura un certain nombre d’offres dans ce domaine, mais elles seront basées sur des appareils spécialement conçus pour une distribution diversifiée basée sur le nuage, originaires du nuage et optimisés pour fournir des services à très faible latence.
Il faut savoir que, au cours de cette transition, il y aura une grande quantité de logiciels de diapositives et de contenu marketing, en particulier de la part des titulaires qui ne sont pas bien préparés au modèle de diffusion dans le nuage à partir de points de présence distribués.
L’inversion des modèles de réseautique et de sécurité réseau établis par cette technologie transformera le paysage concurrentiel, offrira aux entreprises l’occasion d’en réduire la complexité et permettra à leur personnel de TI d’éliminer les aspects banals des opérations de réseau et de sécurité réseau.
Le SASE permettra de consolider l’ensemble des solutions de courtiers de sécurité d’accès au nuage, de PWS et de PDL, offrant ainsi aux utilisateurs un moyen transparent de se connecter aux applications de type SaaS, aux sites Web sur Internet et aux applications privées (qu’elles soient hébergées sur les sites ou dans le nuage public de type IaaS) en fonction du contexte et de la politique.
Applicabilité à SPC
- Harmonisation avec SPC 3.0 – amélioration de l’expérience de l’utilisateur final
- Capacité d’offrir une connectivité plus sûre et plus performante à l’échelle internationale
- Meilleure évolutivité – dépendance moindre à des solutions ponctuelles et réduction des délais d’attente pour l’approvisionnement en matériel
- Consolidation des solutions de courtiers de sécurité d’accès au nuage, de PWS et de PDL, offrant ainsi un moyen unifié aux utilisateurs du GC de se connecter aux applications de type SaaS, aux sites Web sur Internet et aux applications privées (qu’elles soient hébergées sur les sites ou dans le nuage public de type IaaS)
Tendance #5 : Orchestration et automatisation de la sécurité et intervention
Qu’est-ce que l’Orchestration et automatisation de la sécurité et intervention (OASI)?
L’OASI est une autre de ces nouvelles expressions à la mode. La communauté des fournisseurs de sécurité est fière de faire la promotion de ce terme lorsqu’elle fait la commercialisation de ses produits. Le fait est que l’automatisation et la correction complètes ne sont pas encore disponibles dans l’industrie et ne le seront pas avant quelques années. Les fournisseurs vantent leurs capacités en les qualifiant d’entièrement automatisées, mais en réalité, ils font l’une des deux choses suivantes :
- exploitation des scripts externes en tant que modules complémentaires à leurs offres de base en tant que correctif;
- intégration avec d’autres produits pour fournir un ensemble de solutions d’automatisation plus robuste.
Les outils d’OASI sont des technologies qui permettent aux organisations de recevoir des données provenant de diverses sources (principalement des systèmes de GIES) et d’appliquer des flux de travaux alignés sur les processus et les procédures. Les capacités supplémentaires comprennent des fonctions de gestion des cas et des incidents; la capacité de gérer les renseignements sur les menaces, les tableaux de bord et les rapports; et des analyses applicables à différentes fonctions. Les outils d’OASI améliorent considérablement les activités des opérations de sécurité comme la détection et la réponse aux menaces en fournissant une aide machine aux analystes humains pour améliorer l’efficacité et la cohérence des personnes et des processus.
Voici quels sont les aspects de l’OASI, dans le contexte des opérations de sécurité :
- Agrégation : La possibilité d’agréger ou d’ingérer des données provenant de diverses sources.
- Enrichissement : Que ce soit après l’identification de l’incident ou pendant la collecte et le traitement des données, les solutions d’OASI peuvent aider à intégrer les renseignements sur les menaces externes, effectuer des recherches contextuelles internes ou exécuter des processus pour recueillir des données supplémentaires en fonction d’actions définies.
- Orchestration : La complexité de la combinaison des ressources suppose la coordination des flux de travaux avec des étapes manuelles et automatisées, impliquant de nombreux composants et ayant un effet sur les systèmes d’information et souvent aussi les humains.
- Automatisation : Ce concept suppose la capacité des logiciels et des systèmes à exécuter eux-mêmes des fonctions, généralement pour influencer d’autres systèmes d’information et applications.
- Intégration : La réponse manuelle ou automatisée apporte une solution standard aux activités définies par programme.
Analyse des tendances
Le marché de l’OASI en est encore à ses tout premiers balbutiements. De nombreuses acquisitions ont eu lieu au cours des dernières années et cela devrait se poursuivre, alors que les fournisseurs tentent d’améliorer la capacité de leurs plateformes existantes ou de les remplacer complètement. Les clients doivent être conscients de cette tendance et prévoir des mesures d’urgence si leur plateforme d’OASI actuelle est acquise par une autre entreprise.
Un certain nombre d’entreprises mettent en œuvre des outils d’OASI avec des cas d’utilisation principalement axés sur l’amélioration de l’efficacité des analystes du COS, afin qu’ils puissent traiter un plus grand nombre d’incidents tout en ayant plus de temps pour appliquer l’analyse humaine et accélérer les mesures d’intervention.
Applicabilité à SPC
- Harmonisation avec le mouvement de SPC qui consiste à accroître l’automatisation et l’orchestration
- Optimisation du COS
- Amélioration en matière de pénuries de personnel et de manque de compétences
- Surveillance des menaces et réponse
- Enquête sur les menaces et réponse
- Gestion des renseignements en matière de menace
Tendance #6 : Intelligence artificielle pour les opérations informatiques
Qu’est-ce que l’intelligence artificielle pour les opérations informatiques (AIOps)?
Les plateformes d’AIOps offrent la possibilité d’améliorer et, dans certains cas, de remplacer les plateformes des opérations de TI traditionnelles, principalement dans les domaines de la corrélation et de l’analyse d’événements. Elles exploitent les mégadonnées et les fonctionnalités d’apprentissage automatique pour analyser de vastes ensembles de données en réaction à la transformation numérique.
Voici certaines des capacités principales des plateformes d’AIOps :
- L’ingestion de données provenant de diverses sources, y compris l’infrastructure, les réseaux, les applications, le nuage ou les outils de surveillance actuels (pour l’analyse interdomaine).
- L’activation de l’analyse des données à l’aide de l’apprentissage automatique en deux points :
- l’analyse en temps réel au point d’ingestion (analyse en continu);
- l’analyse historique des données stockées.
- Le stockage et l’accès aux données.
- La proposition de réponses normatives à l’analyse.
- Le déclenchement d’une action ou une étape suivante en fonction de la prescription (résultat de l’analyse).
Analyse des tendances
La tendance pour les plateformes d’AIOps repose sur une approche d’un gestionnaire de gestionnaires (GdG), selon laquelle d’autres plateformes d’opérations de TI envoient leurs données à la plateforme d’AIOps afin qu’elle procède à une analyse agrégée et produise des rapports, menant ainsi à une gestion opérationnelle simplifiée à efficacité accrue. Idéalement, les organisations recherchent une approche indépendante du domaine des AIOps qui puisse répondre à la plupart de leurs besoins. Cependant, aucune plateforme n’est actuellement disponible pour répondre à tous les besoins des clients; une approche de solutions centrée sur le domaine est donc adoptée pour combler cette lacune.
Puisque ces plateformes misent sur les technologies d’IA, elles dépendent de très vastes ensembles de données pour montrer leur efficacité et elles ne sont pas destinées à être déployées de manière isolée ou cloisonnée. Autrement dit, plus la plateforme a accès à des données, plus elle offre de la valeur. Grâce à l’avènement des mégadonnées, l’AIOps aura davantage de valeur avec le temps.
Applicabilité à SPC
- Service de production de rapports simplifié et centralisé
- Meilleure visibilité des infrastructures des partenaires – ANS amélioré
- Bon cas d’utilisation pour un lac de données centralisé – les données des ministères partenaires peuvent alimenter la solution pour offrir davantage valeur
Tendance #7 : Services gérés en réseau – réseau étendu défini par logiciel
Qu’est-ce que le réseau étendu défini par logiciel (REDL)?
Le REDL est une approche définie par logiciel pour la gestion des RE. Voici les principaux avantages :
- Elle permet un transport indépendant sur divers protocoles, tels que la MPLS, la 3G, la 4G et la LTE.
- Elle améliore le rendement des applications opérationnelles, augmente l’agilité et réduit les coûts.
- Elle optimise l’expérience utilisateur et l’efficacité des applications SaaS et celles dans le nuage public.
- Elle simplifie les opérations grâce à l’automatisation et à la gestion en nuage.
Les fournisseurs de REDL gérés gèrent de manière opérationnelle les produits de REDL des clients, qui sont des appareils physiques ou des instances logicielles appartenant à l’entreprise ou comprises dans le service. Les produits de REDL gérés résident généralement dans les locaux du client, sont régis par un ANS et font l’objet de factures mensuelles récurrentes. Les fournisseurs proposent des services de REDL gérés indépendamment ou conjointement avec le transport RE. Pour être considéré comme un fournisseur de services de REDL gérés, le fournisseur doit proposer un point de contact unique (PCU) pour toute la gestion, y compris le transport RE, l’équipement des locaux du client du REDL et les fonctions logicielles requises.
Analyse des tendances
Les solutions de REDL sont désormais courantes, et les options offertes aux entreprises en matière de services de REDL gérés évoluent parallèlement à la croissance de la technologie REDL. Les options de conception de RE hybride continueront de s’étendre (et continueront d’être affectées par les services de REDL gérés).
Les capacités de sécurité du REDL continueront de s’étendre au-delà du pare-feu de base, car de plus en plus de fournisseurs intègrent la gestion unifiée des menaces comme la PWS et les systèmes de détection et de prévention des intrusions. De plus, les capacités d’optimisation et d’accélération du RE augmenteront au fur et à mesure qu’augmentera le nombre de fournisseurs qui intègrent des caractéristiques techniques du réseau en vue d’améliorer la qualité du service et le débit.
Applicabilité à SPC
- Bonne solution de rechange relativement aux coûts à considérer lorsque les contrats de MPLS actuels devront être renouvelés
- Potentiel d’externalisation en tant que service géré
- Diversité des chemins pour la disponibilité et la réduction des coûts
- Bonne harmonisation avec le passage de SPC vers une « infrastructure définie par logiciel »
- Bonne solution de rechange pour les applications non sensibles à la latence
- Option envisageable pour les nouveaux sites construits dans des endroits éloignés
Tendance #8 : Internet des objets
Qu’est-ce qu’Internet des objets (IdO)?
La notion d’IdO est définie comme suit :
« Un réseau de choses physiques (objets) qui contiennent une technologie intégrée afin de détecter ou d’interagir avec leur état interne ou leur environnement externe et qui sont capables d’envoyer des données à une plateforme numérique distante ou d’en recevoir. »
Analyse des tendances
Cinq tendances de l’IdO à incidence élevée
- IA : L’IA s’appliquera à un vaste éventail de renseignements de l’IdO, y compris la vidéo, les images fixes, la parole, l’activité du trafic sur le réseau et les données des capteurs.
- IdO social, juridique ou éthique : À mesure que l’IdO évolue, les problèmes de propriété et l’interprétation biaisée de ces données seront un sujet de préoccupation.
- Courtage des données : Les données du système d’IdO peuvent être vendues à des personnes ou utilisées par des personnes qui ne sont pas l’appareil ou le propriétaire qui les a créées.
- Maillage de l’IdO : Les couches de l’architecture périphérique seront dissoutes pour créer une architecture davantage non structurée composée d’un vaste éventail d’ » objets » et de services reliés à l’intérieur d’un maillage dynamique et souple.
- Gouvernance de l’IdO : La gouvernance englobe la gestion opérationnelle des appareils de l’IdO, ainsi que les renseignements et les services fournis par les systèmes de l’IdO.
Applicabilité à SPC
- Surveillance de l’utilité et de la sécurité des biens immobiliers
- Surveillance des performances des appareils intelligents du GC
- Économies de coûts
- Sécurité
- Inspection à distance par l’Agence canadienne d’inspection des aliments
- Équipement d’inspection aux postes frontaliers
- Systèmes nationaux de vidéosurveillance
Tendance #9 : Réseau 5G privé
Qu’est-ce que le réseau 5G privé?
Un réseau 5G privé, également appelé réseau 5G local ou non public, est un réseau local qui fournit une bande passante dédiée à l’aide de la technologie 5G. La 5G est la prochaine version des réseaux de données sans fil 4G ou LTE. La 5G introduit une bande passante plus élevée en utilisant un spectre radio différent qui permettra également de connecter un plus grand nombre d’appareils simultanément. Tous les principaux fournisseurs de services au Canada procèdent présentement à sa mise en œuvre. Un réseau privé 5G (local) est un réseau local qui offre une bande passante dédiée à l’aide de la technologie 5G.
Les déploiements 5G privés et publics valident l’IdO. On s’attend à ce que les fournisseurs de services proposent des réseaux superposés sur le réseau public 5G permettant la création de RPV redirigés vers des réseaux privés. Il s’agit d’une solution de rechange au déploiement d’équipement 5G privé. Cela offre la possibilité d’externaliser ce modèle de connectivité au lieu d’une solution intégrée au Canada.
Analyse des tendances
La version 16 de la 5G pourrait devenir la technologie de RL et de RE prédominante au monde au cours des 10 à 20 prochaines années, en particulier dans les nouvelles constructions. Dans les nouveaux immeubles, usines, ports ou campus, on peut réduire considérablement l’utilisation de connexions filaires en mettant en œuvre la 5G privée. Les cinq prochaines années devraient voir un essor des mises en œuvre de la 5G privées dans des endroits qui bénéficieraient grandement d’une meilleure technologie sans fil en termes de vitesse, de capacité et de latence.
À court terme, la 5G offrira une bande passante plus élevée et des connexions à latence plus faible que les générations précédentes, et ce, dans de nombreux cas, sous forme de réseaux d’accès sans fil fixes et de premiers réseaux d’IdO.
Applicabilité à SPC
- Communications de l’IdO
- Nouvelles constructions dans des endroits éloignés (à l’étranger)
- Vidéo à haute définition
- Améliorations des immeubles du GC
Tendance #10 : Réseautique en nuages
Qu’est-ce que la réseautique en nuages?
Alors que de plus en plus de clients optent pour une approche en nuages pour offrir des services de TI, ceux-ci recherchent un moyen transparent de les gérer et de les exploiter. La réseautique en nuages fait référence à l’infrastructure réseau pour prendre en charge l’utilisation des services en nuage de nombreux fournisseurs de nuage publics, y compris la connectivité aux fournisseurs ainsi qu’entre eux.
Les solutions de réseautique en nuages sont basées sur des logiciels et offrent une politique de réseau cohérente entre les divers fournisseurs en nuage. Elles comprennent les réseaux superposés, la gestion des API des fournisseurs en nuage ou d’autres mécanismes. La réseautique en nuages ressemble à une structure Ethernet dans laquelle de multiples composants sont gérés comme s’il s’agissait d’une structure unique où la stratégie est créée de manière centralisée.
Analyse des tendances
Bien que l’infonuagique soit devenu assez courante, la réseautique en nuages en est aux premiers stades de son adoption. Un certain nombre d’organisations peuvent mettre en œuvre l’informatique en nuages sans avoir recours à la réseautique en nuages, et la plupart le font d’ailleurs.
D’ici à l’adoption généralisée de la réseautique en nuages, cependant, les organisations qui cherchent à mettre en œuvre de telles solutions doivent recourir à des solutions de virtualisation de réseau sur des nuages telles que ACI de Cisco et NSX de VMware pour combler les lacunes ou traiter les fonctionnalités opérationnelles essentielles lorsque les capacités d’origine du nuage n’offrent pas cette fonctionnalité.
Applicabilité à SPC
- Connectivité transparente et interface de gestion centrale entre différents fournisseurs
- Capacité de production de rapports centralisée
- Réduction de la dépendance ou de l’asservissement aux fournisseurs
- Déplacement des ressources de stockage entre les fournisseurs lorsque les prix changent
Tendance #11 : Réseau à la demande
Qu’est-ce que les services de réseau à la demande (RD)?
Les services de RD sont des services de transport du RE assurés par des fournisseurs de services de réseau (FSR) et des fournisseurs de services gérés (FSG). Ils sont généralement offerts au moyen d’un portail ou de l’API d’un fournisseur. Les changements de capacité et de configuration peuvent être effectués à la volée en temps réel et ne sont pas fixes. Les changements peuvent être effectués à la demande, par le client, et ne nécessitent pas le recours à un long processus de commande.
Ces services sont souvent basés sur une technologie définie par logiciel et permettent de modifier en temps réel les attributions des ports et de la bande passante. Les clients peuvent même ajouter ou supprimer des points de terminaison de réseau, comme la connexion au nuage et les connexions avec l’extranet.
Analyse des tendances
Pour prendre en charge la connectivité en nuage et l’IdO, il existe une nouvelle génération de services de réseau à la demande qui offrent une agilité et une souplesse accrues. À l’heure actuelle, le principal cas d’utilisation de ces nouvelles offres concerne la connectivité à de nouveaux points de terminaison, comme les services en nuage. Ils peuvent également prendre en charge une migration du trafic réseau en provenance de la MPLS vers les services Internet.
Les organisations qui désirent profiter de ces services cherchent principalement à optimiser les coûts et à favoriser l’agilité. Les solutions de réseau à la demande commenceront à présenter des taux d’adoption plus élevés, en particulier en ce qui concerne les services de bande passante dynamique à mesure qu’ils continuent d’évoluer, puisqu’ils ajoutent une grande valeur aux entreprises en termes de vitesse et de flexibilité.
Les services de transmission de la voix et des données doivent représenter un élément clé au moment d’évaluer les services de RD.
Applicabilité à SPC
- Migration et consolidation simplifiées du réseau
- Approvisionnement à la demande du site utilisant un réseau périphérique et de la connectivité du nuage
- Meilleure expérience de l’utilisateur pour les services de transmission de la voix et des données
- Optimisation des coûts
- Meilleure planification des capacités
Annexe B : Feuille de route en matière de réseau et de sécurité
Annexe C : Projets en cours
*Voir la section 3 pour consulter le tableau des facteurs opérationnels
ADNS – Activation et défense du nuage sécurisé
Procure une connectivité sécurisée en nuage pour les charges de travail de niveau Protégé B. Doit être considéré comme faisant partie de toute exigence de connectivité du réseau externe, comme mentionné dans la section Connectivité. SPC est toujours en train de déterminer si les composants de point d’interconnexion fiable ou de point d’accès au nuage d’ADNS résideront sur place ou dans le nuage, ce qui aura une incidence sur la solution de surveillance.
Résultat :
- Point d’interconnexion fiable du gouvernement du Canada : périmètre de réseau pour la connectivité au nuage afin de répondre à la demande en nuage sur le RE du GC
- Points d’accès au nuage du gouvernement du Canada : périmètres de sécurité centralisé applicable aux environnements infonuagiques publics afin que les communications par Internet traversent des zones démilitarisées publiques et privées
- Connexion avec le fournisseur de services d’échange sur le nuage : connexion à haut débit et à faible latence des fournisseurs de services en nuage (FSN)
- Courtiers de sécurité d’accès au nuage : mise en œuvre d’un fournisseur de services de sécurité d’accès au nuage afin de fournir des points d’application de la politique de sécurité
- Journalisation et gestion centralisés de tous les composants : mis en œuvre pour prendre en charge le périmètre et le service du courtier de sécurité d’accès au nuage, capturant les événements de sécurité pour le trafic sur le nuage et les transmettant à la GIES
Dépendances :
- Le personnel de SPC et du CST doit développer, déployer et exploiter le système d’ADNS
- Services déployés par le CST pour inspecter un volume élevé de trafic sur le réseau
- La GIES assurera la prédiction et la détection des cybermenaces
- Projet de réseau de gestion centralisé (RGC) permettra d’offrir une solution de gestion de réseau d’entreprise
- Stratégie de gestion de l’identité, des justificatifs d’identité et de l’accès (GIJIA) par les SAM de la DGCSTI et de SPC permettra d’offrir une solution de contrôle de l’accès au nuage
- Projet de sécurité du périmètre d’entreprise (SPE) : exploiter la solution des périmètres GCNet
- Solution élaborée et exploitée par le CST et le CCC
- Stratégies élaborées par SPC pour : la gestion des adresses IP (GAIP), le serveur de noms de domaine (DNS), la gestion des systèmes/application des mesures de gestion des politiques des FSN
Pilier : Connectivité
Échéancier : Année 1
VSSPT – Visibilité, sensibilisation et sécurité de point de terminaison
Approche d’entreprise en matière de sécurité des points de terminaison améliorant la visibilité et la connaissance de tous les appareils d’extrémité sur les réseaux du GC et de SPC afin de connaître la cybersituation dans l’ensemble de l’entreprise (GC/SPC). Découverte et évaluation automatisées des biens pour prendre en charge les correctifs du système d’exploitation et des applications, la gestion des devises et les exigences de renforcement.
Résultat :
- Visibilité et surveillance pouvant aller jusqu’à 900 000 points de terminaison du GC, offrant une protection au niveau de l’hôte
- Possibilité pour l’entreprise d’obtenir et de consolider les données des différents ministères et partenaires afin d’établir une vue d’ensemble pour l’entreprise
- Correction et renforcement du système d’exploitation et des applications à l’aide des données, qui serviront à identifier les périphériques non gérés
- Atténuation de la menace que présentent les vulnérabilités du jour zéro
- Participation à la planification, aux prévisions et à la gestion du cycle de vie des activités de TI : repérage des systèmes désuets et des licences inutilisées
Dépendances :
- Disponibilité des ressources et des effectifs pour construire, déployer et exécuter le système VSSPT
- Infrastructure suffisante pour héberger et exécuter les outils de VSSPT
- Organisations d’intervenants et de partenaires pour définir les exigences et assurer l’acceptation
- Le Comité tripartite sur la sécurité de la TI (SCT, CCC et SPC) agira en tant que signataire des artefacts du projet
- Le SCT doit créer une politique pour le GC concernant les délais de production de rapports et de correctifs en ce qui concerne le système VSSPT
Pilier : Contrôle de l’accès
Échéancier : Année 1
GVCE – Gestion de la vulnérabilité et de la conformité d’entreprise
Vulnérabilité, services et capacités en matière de conformité de l’entreprise offrant une approche et une solution technologique unifiées pour la gestion des vulnérabilités.
Résultat :
- Analyse des vulnérabilités et de la conformité pour les CDE, l’infrastructure et le périmètre de TI, le Wi-Fi, les réseaux et les postes de travail
- Évaluation automatisée et intégrée de la vulnérabilité et de la conformité de l’entreprise, y compris la production de rapports, pour évaluer en permanence l’exposition des systèmes et des infrastructures de TI et détecter les faiblesses
- Capacité de balayage de jusqu’à 500 000 adresses IP accessibles sur Internet et de prendre en charge jusqu’à 2 000 000 adresses IP à l’avenir
- Mise en place d’un service de gestion de la conformité au sein de l’équipe de gouvernance et de gestion de la sécurité à SPC
Dépendances :
- Disponibilité des ressources et des effectifs pour construire, déployer et exécuter la solution en matière de GVCE
- Organisations partenaires devant établir les exigences
- Le Comité tripartite sur la sécurité de la TI donne des réponses en tant que signataire
- Infrastructure de TI pour exécuter et héberger des outils en toute sécurité
- Le SCT crée une politique du GC pour la modification et la production de rapports sur les machines virtuelles, les délais de réponse
- Déploiement du réseau de gestion de la sécurité, bande passante du réseau pour prendre en charge le déploiement de la GVCE des partenaires
Pilier : Contrôle de l’accès
Échéancier : Année 1
ADR – Authentification des dispositifs réseau
L’ADR fait partie du programme de sécurité de l’infrastructure d’entreprise de SPC pour mettre en œuvre un service d’authentification de dispositifs réseau d’entreprise qui comprend une authentification du réseau basée sur des certificats.
Elle centralise la gestion du cycle de vie des certificats d’entités qui ne sont pas des personnes (ENP) et fournit des rapports sur les transactions d’authentification, d’autorisation et d’audit (AAA) pour l’audit de sécurité, la conformité et l’amélioration des services.
Résultat :
- Automatisation de l’approvisionnement des certificats d’ENP et prestation de services AAA au GC, des capacités d’authentification réseau basées sur des certificats pour fournir une AMF
- Le service donne des justificatifs d’identité pour tous les appareils du GC et un mécanisme d’authentification standard
- Infrastructure à clé publique (ICP) de confiance centrale pour fournir des certificats d’ENP consolidant plus de 52 solutions de certificats déjà en place
- Amélioration des contrôles de l’accès, de la gestion, de l’audit et de l’analyse judiciaire des données et l’historique d’accès au réseau associés aux utilisateurs et aux appareils
- Gestion centralisée de l’authentification des ENP aux points d’accès au réseau avec un service d’usager commuté à authentification distante (RADIUS)
- Validation du contrôle de l’accès au réseau et amélioration de l’audit et du rapport d’utilisation des certificats du réseau
- Adoption plus poussée du chiffrement des données en transit sur les réseaux du GC améliorant la défense en profondeur
Dépendances :
- Acquisition de licences en vertu de l’accord d’entreprise avec Microsoft et participation et aide des fournisseurs
- Connectivité et débit adéquat entre les CD de SPC et les réseaux des partenaires
- Contrôles de l’accès aux services de gestion des privilèges et gestion des identités (gestion des identités et de l’accès – GIA) en place
Pilier : Contrôle de l’accès
Échéancier : Année 2
MADP – Migration d’accès à distance protégé
Intégrer et rationaliser entièrement l’infrastructure d’accès à distance protégé (ADP) existante et consolider le processus de connexions ADP dans les CDE. Transformer les services d’ADP en un service de données d’entreprise à partir d’un service ministériel.
Résultat :
- Consolidation des solutions d’accès à distance du client à la porte (en grande partie non structurées) dans l’ensemble du GC et des solutions d’accès à distance de porte-à-porte toujours mises à jour pour les bureaux distants en dehors de GCNet
- Prestation d’une gamme complète de services de collecte, d’analyse et de traitement des journaux pour répondre au mandat du COS de SPC qui consiste à fournir des données en temps opportun pour détecter les menaces et intervenir en cas d’incident
- Rationalisation et déplacement des anciennes passerelles d’ADP des anciens CD vers le CDE, en installant des passerelles au niveau des CDE pour prendre en charge le volume de trafic d’un ensemble de services ministériels
- Télétravail accru, réduction des coûts des locaux à bureaux et augmentation des possibilités d’emploi et de présence dans les collectivités éloignées
Dépendances :
- Dotation en personnel : disponibilité de ressources qualifiées pour créer, déployer et exécuter la MADP
- Programme de consolidation des CD de SPC
- Espace physique de CDE pour héberger la solution de MADP
- Services d’annuaire : la nouvelle passerelle doit être en mesure d’authentifier les utilisateurs
- Les services des utilisateurs finaux d’ADP doivent configurer les points de terminaison pour migrer vers la nouvelle MADP
- Bande passante du réseau : des vitesses de connexion présentant un débit adéquat sont nécessaires
Pilier : Contrôle de l’accès
Échéancier : Année 2
MRP – Modernisation du réseau périphérique
Le projet Éclaireur de MRP définira un service de réseau reproductible qui pourra être utilisé pour déployer la structure et les services du réseau d’entreprise dans l’ensemble du GC. L’infrastructure physique standard doit être de la plus haute qualité et de la dernière technologie pour prendre en charge tout service ou utilisateur du GC et permettre une véritable mobilité. Le projet Éclaireur de MRP jettera les bases qui permettra à tous les travailleurs du GC d’avoir accès aux plus de 3 500 emplacements du GC en tant que sites de travail potentiels. Il fournira les éléments de base pour la virtualisation et l’automatisation du réseau.
Résultat :
- Normalisation des services entraînant une offre de services simplifiée et une prestation améliorée des services : en entreprenant le projet Éclaireur, il sera possible de comprendre le catalogue de services qui sera offert dans le cadre du déploiement de ce projet ainsi que la meilleure méthode de prestation de services pour les clients du GC.
- Établissement d’une infrastructure de réseau nécessaire pour permettre la prestation d’autres services et solutions : en utilisant une approche exploratrice, le projet sera en mesure de fournir une infrastructure de réseau d’entreprise qui pourra ensuite être reproduite avec succès sur les 3 500 sites restants, plutôt que d’essayer de concevoir, de créer et de déployer en même temps.
Dépendances : Voir l’analyse de rentabilité de MRP pour la liste complète des dépendances
Pilier : Connectivité
Échéancier : Années 3 à 5
RGC – Réseau de gestion central
Améliore l’expérience des ressources de soutien en offrant un guichet unique pour gérer en toute sécurité toutes les infrastructures et tous les services des partenaires situés dans les CD (CDE et anciens centres), améliorant ainsi la disponibilité et la fiabilité des services.
Résultat :
- Réduction de la complexité des utilisateurs en uniformisant les outils et recours à un seul ordinateur portable pour gérer les anciens réseaux des partenaires.
Dépendances : Comment la connectivité se fera-t-elle?
Pilier : Approvisionnement
Échéancier : Années 3 à 5
SPE – Sécurité du périmètre de l’entreprise
La ZTA est une approche architecturale clé pour la stratégie en matière de réseau et de sécurité de l’avenir et suppose que le périmètre du réseau est devenu un périmètre « virtuel ». SPC devra s’assurer que la conception et l’architecture du projet de SPE sont alignées sur les principes clés d’une ZTA.
Résultat :
- Périmètre de réseau modernisé capable de résister au paysage actuel des menaces et d’absorber les attaques de type compromission par déni de service distribué
- Protection du périmètre du GC, quelles que soient les frontières physiques et virtuelles
- Connectivité sécurisée de l’utilisateur final à partir de n’importe quel endroit
- Exploitation des principes architecturaux de la ZTA en gardant à l’esprit le principe de privilège minimal
Dépendances : Projets RGC, SPE, GAIP, DNS et ADNS
Pilier : Contrôle de l’accès
Échéancier : Année 1 (en cours)
GIES – Gestion de l’information et des événements de sécurité
Solution de GIES d’entreprise du GC entièrement intégrée offrant une visibilité et une réponse automatisée aux cyberattaques. Elle permet une détection accélérée des menaces et une réponse aux incidents de sécurité.
Résultat :
- Possibilité pour le COS de SPC d’améliorer la prédiction des cybermenaces, d’augmenter la capacité de détection et de détecter et d’identifier des menaces plus complexes
- Appui au mandat du COS de SPC : pour fournir des renseignements précis en temps opportun pour soutenir la détection des menaces et la réponse aux incidents de sécurité
- Système basé sur l’intelligence artificielle pour analyser l’analyse du comportement des utilisateurs et des entités (ACUE) afin d’améliorer les capacités de GIES basées sur des règles
- Exploitation des flux de renseignements sur les cybermenaces (CTI) pour obtenir des renseignements contextuels afin d’aider à mettre à jour les contre-mesures de protection avant une attaque
- Capacité de collecte centralisée des journaux pour faciliter la détection des menaces, les enquêtes et l’accès à l’information, augmentant ainsi la couverture de GIES et la visibilité des journaux
Dépendances :
- Création, déploiement et exécution de la GIES
- Le Comité tripartite sur la sécurité de la TI donne des réponses rapides en tant que signataire des artefacts du projet
- Infrastructure pour héberger la GIES en toute sécurité
- Projet de suivi des processus d’évaluation et d’autorisation de SPC en matière de cybersécurité et de sécurité de la TI
- Harmonisation avec les exigences et les méthodologies de CCC
Pilier : Contrôle de l’accès
Échéancier : Année 1
SACI – Service d’authentification centralisé interne
Le SACI dispose d’une capacité d’authentification centralisée pour que l’authentification des utilisateurs finaux ne se fasse plus à chaque application d’entreprise du GC, offrant ainsi une solution d’authentification pangouvernementale.
Le passage à la ZTA entraînera des exigences de capacité accrues pour tous les composants de SACI, car le processus d’authentification et d’autorisation centralisée de l’utilisateur final, de l’entité ou de l’appareil devient continu et multimodal. Ce programme devra être harmonisé avec la ZTA.
Résultat :
- Plateforme d’authentification consolidée et centralisée pour le gouvernement
- Réduction des solutions ponctuelles présentement utilisées
- Réduction du risque global pour la sécurité grâce à un cadre d’authentification standard et contrôlé
Dépendances :
- Architecture de réseau de la prochaine génération
- Compréhension des futurs services et des cas d’utilisation à prendre en charge avec certaines estimations de capacité (p. ex., IdO)
Pilier : Contrôle de l’accès
Échéancier : Année 1
Profils du milieu de travail numérique du GC
Série normalisée de profils d’expérience des employés qui sont fondées sur les fonctions en vue d’établir un milieu de travail numérique normalisé, ainsi que des services connexes de TI centrés sur les employés qui seront schématisés et offerts.
Il existe deux activités qui s’unissent autour de la définition de l’espace de travail numérique :
- La Direction générale des biens immobiliers de Services publics et Approvisionnement Canada définit les lieux de travail de l’avenir, y compris les centres de collaboration
- Une offre de services uniformisée afin de réduire les délais d’exécution et de mieux s’aligner sur le lieu de travail physique de l’avenir.
Résultat :
- Tout employé du GC peut travailler à partir de n’importe quel bâtiment sans barrières ministérielles
- Expérience utilisateur améliorée
- Évitement des excédents
- Sélection optimisée des outils
- Amélioration de la gestion des achats au sein du ministère
Dépendances : S.O.
Pilier : Contrôle de l’accès
Échéancier : Année à déterminer
Détails de la page
- Date de modification :