Stratégie en matière de réseau et de sécurité

Architecture de réseau et de sécurité
Habilitation numérique
Direction générale du dirigeant principal de la technologie

Table des matières

1. Résumé

Le gouvernement du Canada (GC) est sur le point d’entreprendre l’une de ses plus grandes transformations technologiques depuis des décennies alors qu’il entame le processus de consommation de services en nuage du point de vue informatique et logiciel. Ces exigences de transformation sont similaires à celles observées dans l’ensemble de l’industrie. Des secteurs comme les chaînes de vente au détail, les banques et les chaînes d’hôtels entreprennent tous de transformer de manières comparables le réseau et la sécurité afin de tirer parti des avantages de l’utilisation de solutions en nuage pour soutenir leurs principales activités. La tâche est d’autant plus difficile pour SPC qui doit soutenir une grande variété d’organisations (plus de 40). En raison de cette diversité, Services partagés Canada (SPC) doit axer sa stratégie en matière de réseau et de sécurité sur les exigences qui sont communes à toutes les organisations dans ces domaines.

Aujourd’hui, on s’attend généralement à pouvoir être en ligne en tout temps, quelles que soient la demande ou les circonstances, car presque tous les employés du gouvernement doivent compter sur la technologie de l’information (TI) pour offrir leurs services. La diversité des services reposant sur la connectivité d’un réseau sécurisé est également en pleine expansion. Au cours des dernières années, l’utilisation des services infonuagiques, d’Internet, des services de collaboration, de vidéoconférence, de cyberconférence et d’accès à distance protégé a explosé dans l’ensemble du GC. Il sera vraiment important d’offrir une infrastructure de réseau dont la rapidité, la sécurité et la fiabilité seront accrues, car les services actuels et nouveaux devraient poursuivre leur croissance à l’avenir.

Des événements récents ont sensibilisé les gens au besoin d’encourager la souplesse des exigences de travail pour aider un pourcentage élevé d’employés en télétravail qui utilisent d’autres options d’accès à distance.

L’utilisation croissante de ces nouveaux services en nuage augmentera la surface d’attaque de l’infrastructure et des applications gouvernementales. C’est pour cette raison que SPC doit revoir la façon d’aborder la prestation des services de réseau et de sécurité pour aider les ministères et organismes du GC à offrir leurs services à la population canadienne.

Les principaux facteurs opérationnels de la version à jour de la stratégie en matière de réseau et de sécurité de SPC sont les suivants :

Le besoin d’établir une stratégie révisée devient d’autant plus évident lorsqu’on examine les données qui traversent les réseaux gouvernementaux : des renseignements personnels que possède l’Agence du revenu du Canada (ARC) sur chaque Canadien et Canadienne, des renseignements sur les services de police de la Gendarmerie royale du Canada et bien plus encore. La venue d’acteurs parrainés par des États étrangers qui mènent des attaques sophistiquées contre les biens gouvernementaux oblige le gouvernement canadien à entreprendre une refonte fondamentale de la manière de protéger ses réseaux et d’acheminer les données aux employés et à la population canadienne.

Les activités futures de conception et de prestation des services de réseau exigeront également que SPC adopte une approche différente en matière de sécurité. Les organisations du monde entier évoluent vers un nouveau modèle de sécurisation du réseau basé sur le principe selon lequel il ne faut « jamais faire confiance; toujours vérifier », ce qu’on appelle architecture zéro confiance (ZTA). La ZTA modifie le paradigme de sécurité qui consistait auparavant à « protéger le périmètre » (appelé aussi l’approche « château et douves ») pour le remplacer par l’idée plus récente qui vise à protéger le flux de données de bout en bout, soit de l’utilisateur à l’application.

SPC actualise présentement sa stratégie en matière de réseau et de sécurité afin de l’harmoniser avec les pratiques exemplaires actuelles et pour l’adapter aux besoins futurs de son réseau et de ses services de sécurité. Les technologies, comme l’infonuagique, Internet des objets (IdO) et les services de réseau cellulaire numérique de 5e génération (5G), sont des exemples de technologies émergentes auxquelles l’infrastructure gouvernementale doit s’intégrer. Ces tendances technologiques obligeront SPC à repenser la manière dont il conçoit, fournit, gère et sécurise ses services de réseau et à être suffisamment agile pour intégrer toute technologie jugée nécessaire aux opérations gouvernementales.

Pour élaborer cette stratégie en matière de réseau et de sécurité, de nouvelles approches, axées sur l’automatisation, une infrastructure définie par logiciel (IDL) et un concept de zéro confiance, sont nécessaires. Les piliers fondamentaux énoncés dans le présent document représentent la base de ces nouvelles approches et constituent le point central de cette stratégie.

Les piliers fondamentaux sont les suivants :

Il est également important d’adopter une nouvelle approche en matière d’approvisionnement afin de nous adapter aux progrès technologiques et de répondre aux attentes des utilisateurs en matière de prestation de services au moment opportun. Les utilisateurs s’attendent à ce que les services soient rendus dans les quelques heures ou jours qui suivent, et non quelques semaines ou mois plus tard. Un facteur clé de l’approche consiste à miser sur l’IDL pour mettre en place une infrastructure de réseau et de sécurité.

Cette recommandation repose sur la nécessité de compter sur des compétences évoluées dans des domaines comme la gestion infonuagique, la sécurité infonuagique, l’intelligence artificielle, la réseautique, la sécurité et l’automatisation. SPC devra réfléchir à la manière dont il peut créer une proposition de valeur capable d’attirer des compétences précieuses et de les conserver.

La stratégie en matière de réseau et de sécurité définit l’approche que SPC devra adopter pour permettre au gouvernement de répondre aux demandes d’aujourd’hui et de s’adapter aux demandes de demain en misant sur une stratégie globale d’adoption et de migration progressive.

Pour mettre cette stratégie en œuvre, les principes stratégiques suivants sont recommandés :

  1. Veiller à ce que des orientations soient fournies pour les projets existants et à venir et à ce qu’ils ne soient pas réalisés en vase clos, mais réalisés en gardant à l’esprit tous les services axés sur la vision et la stratégie en matière de réseau et de sécurité.
  2. Acquérir les capacités fondamentales essentielles afin d’assurer une mise en œuvre rapide pour ensuite en définir la priorité et l’ordre. Quelles initiatives permettront à SPC d’atteindre l’état final souhaité?
  3. Ne pas essayer de mettre en place une solution tout-en-un. Il s’agira d’une évolution à partir des projets actuels et des cycles de renouvellement, en commençant à petite échelle et en utilisant la technologie dont SPC dispose déjà.
  4. Envisager d’investir dans l’automatisation et l’orchestration de la technologie que SPC prend déjà en charge.
  5. Répondre au besoin d’intégration entre les fonctions de sécurité et de réseau dès le début en tant qu’activité primordiale de gestion des changements.
  6. Combler le manque de compétences au sein de la main-d’œuvre afin de suivre l’évolution constante des technologies et des besoins en matière de compétences (comme la programmation).

1.1. Connectivité

Les bases de ce pilier comprennent les composants technologiques (commutateurs, routeurs, pare-feu, équilibreurs de charge, etc.) qui composent la structure des réseaux du GC et couvrent l’accès interne et externe à ces réseaux. SPC verra plusieurs technologies émergentes devenir un élément majeur de sa stratégie de connectivité à l’avenir :

L’intégration progressive de ces technologies, en particulier des technologies émergentes, jettera les bases du réseau « prospectif » que SPC cherche à créer.

1.2. Contrôle de l’identité et de l’accès

Le contrôle de l’identité et de l’accès fait référence à l’authentification et à l’autorisation nécessaires afin que les utilisateurs puissent interagir, à l’aide de leurs appareils, avec les ressources technologiques du GC et s’y connecter. Le contrôle de l’identité et de l’accès s’intégrera à la ZTA pour transformer fondamentalement la façon dont les plateformes et les données sont sécurisées. Dans le modèle de ZTA, tout le monde est vu comme une menace, jusqu’à preuve du contraire. Le principal avantage de ce cadre est qu’il permet aux organisations de sécuriser les utilisateurs internes et externes sur l’ensemble du réseau. La complexité tient au fait que ce modèle oblige SPC à repenser fondamentalement le réseau central et les composants technologiques et à consolider les services d’identité au sein des réseaux du GC dans le but d’adopter une identité unique pour les employés et une autre pour les utilisateurs externes.

1.3. Surveillance

Figure 1 : Plateforme d’AIOps donnant des aperçus continus des opérations et de la surveillance de la TI
Aperçu général des plateformes d’intelligence artificielle pour les opérations informatiques (AIOps) – décrivant les entrées/sorties suivant le paradigme « Observer, Engager, Agir » qui cadre avec l’apprentissage automatique (AA).
Description textuelle – Figure 1 : Cercle de l’AIOps

Cette figure montre les interrelations du concept de l’AIOps (intelligence artificielle pour les opérations informatiques).

Au centre, il y a la plateforme d’AIOps qui définit des tâches ou des mesures à partir de l’apprentissage automatique appliquée à un actif de mégadonnées afin d’interagir avec la couche suivante – Observation (Surveillance), Mobilisation (GSTI) et Action (Automatisation).

Les entrées [événements, mesures, traces, topologie] sont recueillies en tant que données en temps réel et historiques aux fins d’analyse.

Des données sur les incidents, les dépendances et les changements sont également recueillies aux fins d’examen et d’analyse.

Les mesures qui découlent de ce processus d’analyse comprennent, notamment des scripts, des dossiers d’exploitation, des ARA ou d’autres mesures qui dépendent du degré d’intégration des systèmes.

La surveillance continue et sa façon de répondre aux besoins en performance et en sécurité signifient les services de réseau de l’avenir devront également présenter différentes capacités en surveillance. SPC devra adopter un ensemble d’outils pour surveiller son réseau, sa plateforme et ses actifs de données de manière efficace. Cela comprendra la manière dont SPC exploite les produits des fournisseurs de technologies en nuage et des tiers pour créer un bassin de données en vue de l’analyse prédictive des menaces, des performances et des défis sur le plan de la disponibilité. En tirant parti de plateformes comme les plateformes d’intelligence artificielle pour les opérations informatiques (AIOps), SPC sera en mesure d’obtenir des renseignements précieux et de générer une réponse automatisée aux incidents. L’infrastructure définie par logiciel et le réseau défini par logiciel (IDL/RDL) serviront de catalyseur essentiel pour l’adoption des AIOps.

1.4. Approche en matière d’approvisionnement

Le gouvernement du Canada doit adapter la façon dont il répond présentement à ses besoins en infrastructure afin de s’adapter aux progrès technologiques et aux attentes des utilisateurs en matière de prestation de services en temps opportun. Les ministères partenaires s’attendront de plus en plus, compte tenu des offres publiques comparables, à ce que les services soient rendus dans les quelques heures qui suivent et non dans plusieurs semaines ou mois. SPC devra tirer parti de l’IDL et du RDL pour permettre la fourniture de ressources de réseau afin de répondre aux demandes attendues.

La stratégie en matière de réseau et de sécurité définit l’approche que SPC devra adopter pour permettre au gouvernement de répondre aux demandes d’aujourd’hui et de s’adapter aux demandes de demain en misant sur une stratégie globale d’adoption et de migration progressive. Pour mettre cette stratégie en œuvre, SPC devra définir un ensemble cohérent d’exigences et d’architectures de référence pour les technologies et les cadres habilitants qui sont définis dans le présent document. Il devra également accélérer l’acquisition de produits et de services pour réaliser la stratégie.

2. Introduction

2.1. But

Le présent document a pour but de présenter plus en détail la Vision d’avenir en matière de réseau et de sécurité de SPC, qui établit la vision de SPC pour l’avenir, décrivant essentiellement l’intégration de l’IDL et de la ZTA. Dans le présent document, on tentera d’expliquer ce principe et d’examiner la stratégie et la feuille de route que SPC devrait adopter pour améliorer les services de réseau et de sécurité, faire face aux tendances émergentes en matière de technologie et de sécurité, et rendre opérationnels les principes énoncés dans l’approche d’entreprise SPC 3.0.

Ce document a été élaboré en tirant parti d’un certain nombre de contributions clés tant au sein de SPC qu’au sein du GC en général, des tendances en matière de sécurité et des pratiques émergentes, ainsi qu’en menant des entrevues avec des intervenants de SPC et du Secrétariat du Conseil du Trésor du Canada (SCT).

2.2. Public cible

Le public cible de ce document comprend le Comité tripartite sur la sécurité de la TI, les dirigeants principaux de l’information (DPI) des ministères et organismes gouvernementaux, les membres de la haute direction du Centre canadien pour la cybersécurité (CCC) et les secteurs de service de SPC.

3. Justification de la stratégie

Compte tenu de l’évolution rapide dans le domaine des infrastructures technologiques, SPC doit pouvoir compter sur une nouvelle approche afin de gérer et d’exploiter le réseau et l’environnement de sécurité de SPC. L’approche actuelle ne pourra pas être adaptée pour répondre à ces demandes. Il est difficile pour la main-d’œuvre de suivre le rythme de ces changements, car les progrès technologiques dépassent les compétences disponibles requises.

Non seulement la technologie évolue-t-elle trop rapidement pour suivre les progrès, mais de nouveaux vecteurs de menaces et des atteintes à la sécurité surviennent si souvent que le personnel informatique ne peut réagir assez rapidement pour y remédier. La mobilité et la connectivité accrues des utilisateurs en dehors du centre de données physique se prêtent à un confinement encore plus difficile du point de vue de la sécurité, sans parler de la migration des charges de travail vers le nuage public, ce qui complique encore plus les choses. Le personnel de TI est incapable de répondre assez rapidement, car il ne dispose pas des bons renseignements pour prendre des décisions éclairées. Une meilleure surveillance englobant une collecte de données plus vaste (concernant les événements de sécurité, les événements du réseau, la gestion de l’identité et de l’accès, les paramètres de performances du réseau) est nécessaire pour assurer une visibilité suffisante dans toute l’entreprise.

Dans l’ensemble, la TI est devenue beaucoup plus complexe. Cette complexité accrue a eu des répercussions négatives sur les délais de prestation des services pour les clients de SPC en plus d’avoir réduit les niveaux de service de façon générale. Le personnel des opérations de TI doit constamment apprendre à utiliser de nouveaux logiciels et outils pour suivre le rythme des progrès technologiques. Le taux élevé de changement a entraîné, et continue d’entraîner, des risques accrus liés à l’effort manuel demandé, érodant ainsi davantage la fiabilité des services de SPC pour ses clients.

Pour relever ces défis, de nouvelles approches axées sur l’automatisation, l’IDL et un concept de zéro confiance sont nécessaires. Les piliers décrits dans la section 1 serviront de base à ces approches et seront le point central du présent document de stratégie.

Le présent document consacré à la stratégie en matière de réseau et de sécurité pour l’avenir fait suite au document sur la vision d’avenir du GC en matière de réseau et de sécurité de Services partagés Canada (SPC) et s’inscrit dans l’approche d’entreprise SPC 3.0 et le plan stratégique des opérations numériques du gouvernement du Canada (GC) de 2018 à 2022Note de bas de page 1. Il s’agit d’une description dynamique et stratégique de l’orientation pour l’avenir du réseau et de la sécurité au sein du GC. La stratégie décrite est une étape essentielle vers la réalisation par le GC de ses objectifs à long terme en matière de gouvernement numérique grâce à l’élaboration d’une « infrastructure technologique moderne, durable, fiable et solide [qui] favorise la prestation de services numériques, la collaboration et la communication d’information de façon horizontale au sein du gouvernement et avec les citoyens, les entreprises externes, les intervenants et les partenaires. »

La stratégie présente un état futur et une feuille de route qui permettront à SPC d’évoluer pour devenir une organisation de prestation de services moderne et dotée des meilleures technologies et pratiques pour répondre aux besoins futurs des ministères partenaires du GC.

4. Facteurs opérationnels et autres défis

SPC offre une gamme de services aux ministères et organismes du GC. L’organisation joue un rôle clé dans la capacité du GC d’offrir un réseau numérique sécurisé qui permet une expérience utilisateur positive. Dans le tableau ci-dessous, on présente la liste des principaux facteurs d’une stratégie en matière de réseau et de sécurité moderne qui prend en charge les demandes émergentes du gouvernement numérique. Tous sont essentiels, alors il n’y a pas d’ordre particulier (hiérarchisation, dépendances ou mise en œuvre). Certains facteurs sont plus pertinents pour SPC, alors que d’autres le sont davantage pour le GC; cela est indiqué entre parenthèses dans la colonne Facteurs opérationnels.

Tableau 1 – Facteurs opérationnels
Numéro Facteurs opérationnels Description
1 Mobilité transparente de l’utilisateur final (GC) Permet aux utilisateurs de se connecter de façon sécuritaire, transparente et simple au réseau de leur ministère et à Internet ou au nuage. Accès en tout temps et n’importe où à partir n’importe quel appareil approuvé par le GC.
2 Sécurité accrue (GC) Assure que les biens du GC sont dûment protégés et que les connexions réseau du GC à l’Internet ou au nuage sont surveillées de manière convenable.
3 Performances améliorées du réseau (GC) Prend en charge les demandes existantes et émergentes de bande passante et permet d’y répondre rapidement. Augmente la fiabilité en réduisant le temps de panne et la dégradation de la performance.
4 Résilience du réseau (GC) Permet la réparation spontanée, la récupération automatique et l’automatisation afin de créer un réseau plus résilient.
5 Encourager davantage le travail à distance (GC) Compte tenu de la situation actuelle, permet au plus grand nombre d’employés à ce jour de travailler à distance.
6 Efficience opérationnelle (SPC) Réduit les efforts manuels et les frais généraux, élabore des solutions évolutives pour réduire le délai de livraison, intègre les équipes et élimine le cloisonnement.
7 Gérer la dépendance envers des fournisseurs (SPC) Favorise une transition vers une indépendance de tout fournisseur grâce à l’adoption de normes ouvertes.
8 Prolonger le cycle de vie des biens existants (SPC) Optimise les cycles de renouvellement des biens de TI.
9 Gérance de la sécurité (SPC, SCT, CCC et autres ministères et organismes) Procure une visibilité et un contrôle sur les biens et les services du réseau.

Les facteurs opérationnels énumérés ci-dessus comprennent certaines des principales forces motrices de la transformation numérique du GC et de la TI en général. Pour que SPC puisse planifier sa stratégie de réseau, il est important de comprendre les tendances qui mènent au changement dans le domaine de la TI. Le plan stratégique des opérations numériques mentionné ci-dessus doit reposer sur ces premières étapes et tracer la voie à suivre. Le présent document consacré à la stratégie en matière de réseau et de sécurité doit correspondre aux facteurs de changement et aux défis qui ont été considérés comme faisant partie de la base de la vision stratégique, des normes numériques et des mesures de suivi déterminées dans le plan stratégique des opérations numériques.

Tableau 2 – Autres défis
Numéro Autres défis Description
1 Vieillissement de l’effectif Diminution du nombre de ressources humaines disponibles.
2 Concurrence au niveau des ressources Ressources qualifiées recherchées par le secteur privé, ce qui limite encore davantage leur disponibilité.
3 Problèmes de conformité Obstacles à l’adoption rapide des technologies en évolution (comme les services en nuage).
4 Processus désuets Incapacité pour les cycles d’approvisionnement du gouvernement de suivre le rythme des perturbations et des innovations technologiques.

À l’instar des facteurs opérationnels, les autres défis représentent des obstacles véritables et importants au succès de cette initiative. Contrairement aux facteurs opérationnels, les autres défis sont moins tangibles que les problèmes techniques; la dotation, la conformité et les processus contribueront d’autant plus à la réussite de ce projet, mais puisque ces questions relèvent de la catégorie des personnes et des processus, elles peuvent avoir une incidence davantage politique et donnant ainsi lieu à des exigences particulières.

5. État actuel du réseau et de la sécurité au GC

Le réseau du GC comprend une cinquantaine de réseaux logiques, couvrant environ 4 000 sites et 5 000 immeubles. Il rejoint plus de 400 000 utilisateurs au Canada et à l’étranger. Comme on pouvait s’y attendre, ce réseau comprend de nombreux appareils physiques, fournisseurs et niveaux d’intégration différents. Les configurations ont été principalement effectuées manuellement par des ingénieurs système et des opérateurs au sein de SPC et d’autres ministères, ce qui peut entraîner certaines incohérences dans les configurations. Ce manque de cohérence a entraîné des problèmes de gestion, une baisse de la fiabilité et une surcharge opérationnelle élevée. Les modifications apportées à l’infrastructure et aux logiciels du réseau et de la sécurité sont lentes et coûteuses, nécessitant souvent le remplacement de matériel de la mauvaise taille ainsi que des remaniements du fait de son inadéquation avec la vision à long terme. La situation est également impossible à gérer puisqu’on doit ajuster la technologie et la topologie actuelles du réseau pour que les services infonuagiques modernes soient en mesure de répondre à la demande sur les plans de l’agilité et de la souplesse. Il y a aussi des coûts associés à ces inefficacités :

« Une étude récente de GartnerNote de bas de page 2 a permis d’établir que le modèle de réseau et de sécurité de SPC est coûteux à exploiter, car son coût est supérieur de 19 % ou 427 millions de dollars par rapport à celui de ses pairs. »

Le concept de réseau repose sur des modèles de sécurité traditionnels, comme la notion de périmètre sécurisé. Dans ce concept, la plupart des efforts de sécurité visent à défendre le périmètre. Cette façon de faire a bien fonctionné par le passé lorsqu’il n’y avait qu’une seule « porte à défendre » : essentiellement la « porte » du centre de données. Aujourd’hui, cependant, il existe de nombreuses « portes à défendre », incluant, entre autres :

Il est également important de surveiller les cybermenaces au sein même de l’organisation, car les organisations sont de plus en plus souvent victimes de menaces internes, par exemple, lorsqu’un utilisateur télécharge un fichier infecté (par inadvertance) ou si un employé mécontent exfiltre des données (intentionnellement). Un exemple bien connu est l’atteinte à la protection des données à DesjardinsNote de bas de page 3, qui a entraîné la fuite de renseignements personnels de plus de 4,2 millions de membres.

Le manque d’uniformité dans la surveillance des dispositifs et le fait que les équipes techniques travaillent de manière cloisonnée s’ajoutent aux couches de complexité qui nuisent à la résolution rapide et rentable des problèmes. Compte tenu de la croissance continue de l’intégration interdomaine au sein des technologies, l’ancien modèle d’équipes cloisonnées s’avérera incompatible avec ce nouveau paradigme. Les équipes d’ingénierie, de sécurité et de soutien doivent collaborer afin de répondre à ces nouvelles demandes de services de réseau et de sécurité de l’avenir. L’intégration interdomaine a également des répercussions sur la formation, ce dont on doit tenir compte au moment d’élaborer les plans de formation. Le rôle d’« ingénieur hybride » fait son apparition. Cette personne aura une compréhension approfondie des nouveaux modèles de consommation pour le réseau, la sécurité et les opérations. Elle possédera donc de nouvelles compétences essentielles pour mettre en œuvre avec succès la prochaine génération d’infrastructures de réseau et de sécurité.

Une autre exigence clé concerne la visibilité en temps réel de l’état du réseau et de la sécurité de l’infrastructure au grand complet. La surveillance continue est fondamentale pour comprendre non seulement les données historiques en matière d’examen judiciaire et d’analyse des tendances, mais aussi l’état ponctuel de l’environnement; nonobstant la capacité de détecter et de répondre aux menaces en temps opportun. Pour gérer efficacement les changements, qu’ils soient manuels ou programmatiques, il est essentiel de comprendre l’état actuel. Ce n’est qu’alors qu’il devient possible de planifier et de mettre en œuvre des changements éclairés.

La dernière considération est la nature géodistante du réseau du GC. Au-delà des frontières nationales, les utilisateurs du GC peuvent être situés n’importe où sur la planète et les solutions actuelles sont inadéquates. Bien que la nature complexe du besoin en services distribués ne change pas, il sera le plus avantageux à l’avenir de se concentrer sur les possibilités d’optimisation et de modélisation du trafic.

En bref, le risque croissant de cybermenaces, la complexité de l’infrastructure de réseau et de sécurité actuelle, ainsi que le manque de surveillance et de compétences transversales entraîneront une baisse de l’efficience opérationnelle, une incapacité à répondre aux demandes croissantes et des problèmes au niveau de la disponibilité des services.

Figure 2 – État actuel du réseau de SPC
Aperçu général du réseau du GC : Bâtiments (réseau local), centres de communication des régions (réseau étendu défini par logiciel), réseau central du CDE (réseau défini par logiciel), réseau de base du GC, connexions au nuage et à Internet et au réseau scientifique avec connectivité CANARIE.
Description textuelle – Figure 2 : État actuel du réseau de SPC

Cette figure montre les principaux éléments du réseau de SPC dans son ensemble.

  • Services par satellite
  • Réseau de base du GC
  • Centres de données d’entreprise
  • Connexion des réseaux inter-immeubles et intra-immeubles [RE et RL (y compris le Wi-Fi)]
  • Intégration avec les services Internet et de multiples services infonuagiques au moyen de fournisseurs de services d’échange sur le nuage

La figure montre également la connectivité du réseau scientifique du GC et du réseau CANARIE au réseau de base du gouvernement du Canada.

6. Tendances émergentes dans l’industrie

Au cours de la dernière décennie, la transition vers l’infonuagique a pris son essor et les taux d’adoption continuent d’augmenter. Le nuage offre à l’entreprise la plateforme qui lui permet de prendre en charge l’agilité et le rythme accéléré exigés par leurs utilisateurs. En plus de l’infonuagique et de l’attrait sans précédent du changement, il existe aussi une attente quant à la façon dont les utilisateurs souhaitent travailler. Le « travail » n’est plus considéré comme un lieu, mais comme une activité, et cette notion devient la norme dans de nombreuses entreprises et une caractéristique attendue du lieu de travail. Enfin, l’IdO introduit des appareils dans le réseau, ce qui aurait été, jusqu’à récemment, inconcevable. En raison de l’adoption des services en nuage – infrastructure-service, plateforme-service et logiciel-service (IaaS/PaaS/SaaS), il est de plus en plus difficile de définir, et encore plus de gérer, le périmètre que doivent contenir les défenses de sécurité.

Ces tendances obligent SPC à examiner de nouvelles approches pour assurer la prestation de services de réseau au GC et la sécurité de l’information du GC. Collectivement, ces changements dans l’industrie influencent les modifications ultérieures de l’infrastructure de l’entreprise, car les organisations ne contrôlent plus l’emplacement ou les limites de l’ensemble des services utilisés pour les opérations. Le modèle traditionnel de sécurité du périmètre (l’approche « château et douves ») n’est plus suffisant; le périmètre ne relève plus du contrôle d’une seule organisation.

6.1. Architecture zéro confiance (ZTA)

Figure 3 – Processus d’accès zéro confiance
– Aperçu de la séquence d’événements à établir, puis supervision d’une session qui repose sur la politique d’accès zéro confiance : d’un utilisateur bien qualifié à une application/source de données en passant par un tunnel microsegment sécurisé et chiffré de bout en bout.
Description textuelle – Figure 3 : Accès zéro confiance – processus de connexion/communication

La figure décrit les étapes de l’établissement d’une session de flux de données pour l’échange sécurisé de données – de l’utilisateur aux données.

Les étapes :

  1. La demande d’accès – un utilisateur bien qualifié et son dispositif sont combinés pour correspondre à l’auteur du processus ZTA.
  2. La passerelle d’accès sécurisé (aussi appelée passerelle Web sécurisée) agit en tant que courtier de connexion – acheminement de la demande aux Services d’authentification avant l’Évaluation des politiques.
  3. Une fois la demande validée, le moteur de politique détermine si l’utilisateur peut remplir la demande.
  4. Le moteur de politique achemine la demande approuvée au catalogue de ressources pour une instance de la ressource.
  5. Il en résulte la création de la session de flux de données dans le tunnel microsegmenté chiffré dont la durée correspond uniquement à celle de la session.
  6. Pendant la session, l’analyse comportementale est appliquée dans le cadre de la surveillance continue, et chaque paquet fait l’objet d’une surveillance pour en assurer l’entière conformité aux exigences relatives à la sécurité et aux politiques.

Les tendances émergentes dans l’industrie et les risques qu’elles imposent de manière intrinsèque nécessitent l’adoption d’un nouveau paradigme dans l’approche de la sécurité; ce paradigme est la ZTA. Cette nouvelle approche renonce à toute confiance implicite (des utilisateurs ou de l’emplacement), suppose une hostilité au sein du réseau, remplace les idées obsolètes de sécurité basées sur l’emplacement physique et passe à un modèle dynamique axé sur les politiques concernant l’utilisateur, l’appareil et l’application. Historiquement, les réseaux de protocole Internet (IP) ont été conçus dans le but de détecter facilement les périphériques sur le réseau. Cette approche ne suffit plus pour assurer la sécurité, alors que le concept de ZTA sans droit d’accès implicite (c’est-à-dire un réseau sombre) permet à un utilisateur de voir uniquement les périphériques et les applications qu’il souhaite voir ou auxquels il prévoit accéder. Cela réduit de manière importante plusieurs des risques associés à une faille de sécurité typique. Plus important encore, cette approche prend en charge les nuages publics, hybrides et privés, ainsi que l’accès aux systèmes physiques hérités. La figure 2 montre la complexité de l’environnement d’entreprise moderne, qui héberge de nombreux systèmes informatiques, y compris des solutions de fournisseurs mixtes ou des systèmes en nuage privé.

6.2. Télétravail et accès à distance protégé

Les événements récents ont poussé les services technologiques dans presque tous les secteurs à s’adapter rapidement à un changement de lieu de travail. En réaction à la pandémie de COVID-19, la plupart des organisations ont été contraintes d’adopter le télétravail et un modèle de travail nécessitant un accès à distance. Ce changement de lieu a poussé ces services jusqu’au point de rupture, mais il a également permis de mettre au point des solutions innovantes pour répondre à ces besoins. Bien que fonctionnelles, les applications de réseau privé virtuel (RPV) traditionnelles ou de bureau à distance n’étaient généralement pas adaptées pour permettre à la majorité des travailleurs de les exploiter simultanément. Le service d’accès sécurisé en périphérie (SASE) est devenu chose commune avec une visibilité croissante des principaux groupes de recherche (p. ex., Gartner, Deloitte et KPMG) et a connu une croissance exponentielle dans l’adoption de leurs services. Ce qu’on voyait comme étant marginal il n’y a pas si longtemps est désormais courant et occupe une place centrale dans de nombreuses stratégies de « feuille de route ».

6.3. Infrastructure définie par logiciel (IDL)

Les réseaux hérités ont bien servi à leur époque, mais les demandes nouvelles et changeantes imposées à ces installations en révèlent les lacunes. La mise en œuvre est longue, les changements sont lents et les coûts sont élevés, pour ne citer que quelques-uns des défauts les plus courants mentionnés par les intervenants. Le concept fixe, bien que très performant et prévisible, est également à l’origine de la nature statique de l’infrastructure. En outre, il a été observé que le modèle de trafic au sein du réseau d’entreprise a évolué. Avant, la majorité du trafic allait de l’entreprise vers le consommateur ou vers une autre entreprise (trafic nord-sud). Récemment, toutefois, le sens de la majorité du flux de données a changé; il reste au sein de l’organisation (trafic est ouest). Cette évolution du flux de trafic modifie les risques de sécurité et l’exposition à ces risques qui nécessitent une diligence supplémentaire au sein de l’entreprise. Par le passé, on considérait que le flux de données interne était fiable uniquement en fonction de son emplacement au sein de l’entreprise. Les statistiques récentes sur les atteintes à la protection des données montrent que plus de 80 %Note de bas de page 4 d’entre elles proviennent d’une exposition ou d’une compromission internes. De plus, à mesure que la demande d’accès à partir de l’extérieur de l’organisation augmente, il est essentiel de pouvoir passer à un modèle qui traite chaque demande d’accès aux données de manière égale, quel que soit son emplacement. Tout comme la virtualisation qui a révolutionné les paradigmes de calcul et de stockage, le réseau et les périphériques de sécurité subissent désormais un changement similaire. L’abstraction du réseau et des dispositifs de sécurité permet une flexibilité de conception qui convient mieux au nouveau modèle de technologies distribuées.

L’IDL aura une influence considérable sur l’infrastructure technologique et les modèles opérationnels. L’IDL représente un ensemble de services définis par logiciel : RLDL (réseau local qu’on retrouve couramment dans les immeubles en périphérie), REDL (options de routage intelligent sur la liaison RE), CDDL (y compris le calcul, le stockage) dans un contexte virtuel, RDL (englobe à la fois le réseau et la sécurité), qui exploitent le nouveau paradigme de la séparation des logiciels. L’IDL modifie les modèles fonctionnels traditionnels avec un matériel réseau qui utilise un logiciel spécialisé dédié.

L’IDL représente un ensemble de services définis par logiciel, notamment les suivants :

L’IDL changera la façon dont les technologies seront déployées à l’avenir, alors qu’elles ne nécessiteront plus de matériel spécifique pour des fonctionnalités nouvelles ou améliorées. En outre, les avantages de l’IDL l’emporteront largement sur l’incidence potentielle liée au débit qu’on remarque parfois lorsque des périphériques matériels hautement optimisés (fonctionnant à une vitesse proche de la ligne) sont remplacés par des périphériques logiciels.

L’IDL favorise la souplesse des ressources grâce à l’application de fonctions qui lui sont propres. Les modifications à la demande des caractéristiques de l’infrastructure, telles que la capacité, la vitesse, la qualité de service et la sécurité, sont mises en œuvre à l’aide des technologies d’IDL. Ce type de fonctionnalité permet un approvisionnement rapide et efficient en ressources, ce qui se traduit par une efficience opérationnelle, une utilisation rentable des ressources et, finalement, la satisfaction du client grâce à l’amélioration des offres de services.

L’IDL découple le matériel et le logiciel. Cela procure des fonctionnalités et une flexibilité supplémentaires à une infrastructure qui était auparavant relativement statique tout au long de son cycle de vie de trois à cinq ans. L’IDL permet à plusieurs composants logiciels de coexister sur un composant matériel donné, produisant ainsi des dispositifs multifonctions (par exemple, un routeur coexistant avec un pare-feu fournissant des fonctionnalités avancées de réseautique et de sécurité intégrées).

6.3.1. RLDL – Réseau périphérique – Services RL de bureau ou d’immeuble

Priorité correspondante du point de vue technologique : Accès défini par logiciel (RLDL)

Le RLDL détermine la façon dont les bureaux (par opposition aux individus) seront connectés au réseau local de l’avenir. Des technologies telles que le Wi-Fi 6 et la 5G offriront l’occasion de moderniser et d’améliorer l’expérience utilisateur, car elles sont exploitées comme un moyen de connectivité plus souple. Le réseau périphérique – Services de bureau ou d’immeuble comprend ce qu’il faut pour brancher les appareils des utilisateurs finaux au réseau au moyen du Wi Fi ou Wi-Fi 6 et de la 5G. Même si la stratégie ou l’approche « sans-fil d’abord » simplifiera la connectivité des utilisateurs, réduira les coûts d’aménagement et améliorera l’expérience utilisateur, certains appareils (comme les imprimantes et les postes de vidéoconférence) ne sont pas pratiques relativement à la connectivité sans fil. Cette approche permettra également une plus grande prévisibilité dans l’acheminement du trafic vers ces appareils et à partir de ceux-ci, offrant une optimisation du trafic.

Les performances du réseau sont d’une importance cruciale pour les immeubles en périphérie – services de bureau ou d’immeuble et pour la connectivité Internet directe (REDL) qui permet l’accès aux utilisateurs (contrairement à un retour vers des pare-feu centralisés) et doivent être envisagées comme un moyen d’améliorer l’efficience et l’efficacité du réseau. Considérant que jusqu’à plus de 60 % du trafic réseau est lié aux documents de « bureau » (qui seront destinés à Office 365), les liaisons d’accès direct à Internet (DIA) et le REDL peuvent réduire concrètement le trafic du réseau au sein du réseau de base du GC tout en améliorant simultanément l’expérience de l’utilisateur type. Dans le cadre de la stratégie d’IDL, avec une conception améliorée et des changements aux politiques à la fois dans le réseau et dans les domaines de sécurité, cela servira à améliorer la performance des applications et, par conséquent, l’expérience utilisateur. Compte tenu de l’adoption des services infonuagiques, des attentes relatives à l’intégration des appareils de l’IdO et de l’adoption croissante du mode « Prenez vos propres appareils » (PAP), il est raisonnable de supposer que l’ancienne approche de protection du périmètre ne suffira pas. Le modèle à zéro confiance offre la souplesse et la capacité de gestion qui seront nécessaires pour l’état futur; il devrait donc être envisagé pour une intégration précoce dans le cadre de la mise en œuvre de la stratégie en matière de réseau et de sécurité.

6.3.2. Accès à distance – Périmètre défini par logiciel (PDL)

L’accès à distance repose sur la façon dont les utilisateurs se connectent à distance aux services du GC.

Priorité correspondante du point de vue technologique : PDL

Dans ce contexte, l’accès à distance est défini comme toute connexion où un utilisateur n’est pas directement branché à un réseau du GC en utilisant une infrastructure filaire traditionnelle ou un service Wi-Fi avec accès direct au réseau de l’organisation.

Les nouvelles technologies telles que la 5G et le Wi-Fi 6 modifieront les services du « dernier kilomètre » des utilisateurs à moyen terme. Des changements sont déjà en cours dans la façon dont les appareils des utilisateurs finaux à distance sont sécurisés dans des domaines comme l’authentification des utilisateurs et la protection des points terminaux pour les ordinateurs portatifs, les téléphones mobiles et les tablettes. Ces changements et leur incidence sur les exigences en matière de sécurité de ces appareils imposent de nouvelles contraintes sur la façon dont les services d’accès à distance seront mis en œuvre à l’avenir. Une authentification robuste des utilisateurs est essentielle dans un environnement de ZTA, dont l’authentification multifacteur (AMF) à l’échelle du GC représente un aspect essentiel. En raison de l’adoption du mode PAP, de l’IdO et des applications et services hébergés dans le nuage, il devient clair que le contrôle du périmètre n’est plus facilement définissable. Compte tenu de cette « perte de contrôle », de nouvelles mesures d’atténuation doivent être mises en place pour sécuriser l’entreprise. La ZTA nous offre cette fonctionnalité. En mettant l’accent sur la sécurité entre l’utilisateur final (sa session) et l’application, quel que soit l’endroit où il se trouve, le flux de données peut être sécurisé et rendu conforme à la politique. Cette façon de faire touche deux aspects clés de la sécurité : premièrement, l’utilisateur n’a accès qu’aux applications qu’il est autorisé à utiliser, et deuxièmement, le modèle à zéro confiance sous-entend une visibilité limitée. Une visibilité limitée signifie qu’un utilisateur ou un système ne peut voir ou découvrir d’autres périphériques sur le réseau à l’extérieur s’il s’agit d’une isolation basée sur des politiques (voir microsegmentation).

6.3.3. Réseau étendu défini par logiciel (REDL)

Le REDL est une application spécifique de la technologie RDL appliquée aux connexions de RE, comme l’ancien point à point, l’Internet à haut débit, la 4G, la LTE ou la commutation multiprotocole par étiquette (MPLS). Le REDL connecte intelligemment les réseaux d’entreprise sur diverses liaisons au moyen d’un routage de trafic optimal. Pour ce faire, il tient compte de facteurs tels que la disponibilité de la liaison, la charge, le temps de réponse, le type de trafic et la priorité. À titre d’exemple, cette approche gère et dirige le trafic réseau des bureaux d’une direction générale destiné aux services externes, qu’ils soient dans le nuage ou dans un CDE. L’objectif du REDL est d’optimiser le flux du réseau et d’améliorer l’expérience utilisateur sur de grandes distances géographiques.

Le REDL a servi à plusieurs applications depuis sa création, mais sa principale contribution a été le remplacement des coûteuses connexions point à point ou du RE MPLS avec une connexion DIA.

6.3.4. Réseau de base et accès au nuage et à Internet du GC – RE [REDL]

Priorité correspondante du point de vue technologique : REDL

Le REDL englobe toutes les connexions en direction de l’entreprise et au sein de celle-ci. Les connexions entre le réseau périphérique et les CDE, les services en nuage et les services Internet bénéficieraient tous de la mise en œuvre du REDL. La connectivité au réseau externe décrit la façon dont le CDE se branchera aux partenaires et services connectés au nuage, à Internet et au RE du GC. Des efforts sont en cours pour réaligner la connectivité externe avec les applications SaaS en nuage existantes et à venir, dont Office 365. Les activités de migration des services traditionnels des fournisseurs de service Internet (FSI) vers les services de point d’interconnexion Internet (IXP) et de point d’interconnexion du nuage (CXP) offriront des possibilités d’intégration du REDL avec un accès contrôlé aux ressources externes.

Alors que SPC se tourne vers le REDL, il peut tirer des avantages significatifs de son déploiement :

Alors que SPC commence à envisager une stratégie de type REDL, la situation actuelle des fournisseurs de REDL doit être examinée. De nombreux fournisseurs en sont encore aux premières étapes de la définition de leurs solutions de REDL et peuvent ne pas avoir les capacités que SPC exige. Cependant, certaines organisations proposent désormais également des solutions de REDL entièrement gérées qui devraient être considérées comme faisant partie d’une stratégie d’exploitation du réseau plus large.

6.3.5. Centre de données d’entreprise et services de réseau central [CDDL et RDL]

Priorité correspondante du point de vue technologique : CDDL et RDL

Les technologies CDDL et RDL offrent les moyens d’assurer la prestation de services de connectivité entre les CDE, ainsi qu’à l’intérieur même de ces centres, de même que les interconnexions entre les périphériques de stockage virtuels et physiques, les dispositifs de sécurité et toute autre plateforme de centre de données. Dans le CD, CDDL renvoie à l’ensemble des services d’IDL (calcul, réseau, stockage, etc.) qui sont utilisés dans le cadre de la topologie du CD.

6.3.5.1. Centre de données défini par logiciel (CDDL)

Le CD défini par logiciel (qui utilise une architecture de réseau sous-jacent et de réseau superposé) est la prochaine évolution logique par rapport à l’architecture traditionnelle à trois niveaux pour les CD hautement virtualisés où la mobilité de la machine virtuelle (MV), les périmètres zéro confiance, les services de réseau à la demande et l’informatique en nuage représentent des priorités élevées. Cette architecture de la prochaine génération fournit un nombre de sauts, une latence et une bande passante cohérents entre tous les périphériques qui font partie du réseau. Certaines des exigences clés d’un centre de données moderne défini par logiciel sont les suivantes :

La structure de CDDL offre une virtualisation de réseau intégrée pour toutes les charges de travail connectées, alors que le contrôleur peut gérer les périphériques physiques ainsi que les commutateurs virtuels.

Le nouveau modèle d’infrastructure de conception logicielle passera d’un modèle d’entreprise unique à un modèle de fournisseur de services prenant en charge une architecture mutualisée. Étant donné que l’architecture évolue vers un modèle de fournisseur de services, le nouveau centre de données évoluera également vers ce même modèle et se procurera une grande partie de son architecture auprès des fournisseurs infonuagiques. Les emplacements physiques des CD auront une influence sur la conception de ceux-ci, et ce, de deux façons principales : la proximité de l’IXP ou du CXP et la distance par rapport au CDE. Dans le premier cas, la présence d’un fournisseur de services IXP/CXP plus rapproché permettra une évacuation plus précoce du trafic SaaS (Office 365, qui représente environ 60 % du trafic réseau). Dans l’autre cas, une plus grande distance par rapport au CDE imposera une plus grande latence, c’est une simple question de physique – nous sommes limités à la « vitesse de la lumière ».

6.3.5.2. Réseau défini par le logiciel (RDL)

En termes courants, le RDL permet de séparer le « plan de contrôle » du « plan de données », alors que certaines solutions ajoutent le « plan de gestion » comme séparation supplémentaire. Ces couches de séparations permettent de modifier le plan de contrôle (couche d’instructions) sans avoir de répercussion sur le plan de données (c’est-à-dire que les paquets continuent à se déplacer). Cette approche permet de traiter le réseau sous-jacent physique indépendamment des couches « superposées ». Ces superpositions au niveau du réseau central dans le CDE acceptent une ou plusieurs superpositions qui peuvent servir d’interface pour différents concepts. Par exemple, un CD type possède une collection de matériel physique constituant le réseau sous-jacent. Sur ce réseau, on trouve une première couche de recouvrement qui concerne la gestion de la couche physique. Ensuite, en option, le CDDL pourrait assurer une autre superposition distincte pour le contrôle des dispositifs relatifs au réseau et à la sécurité qui s’y trouvent.

Comme cela a été indiqué précédemment, le RDL virtualise et sépare les services fonctionnels des appareils du réseau dans le plan de contrôle et le plan de données. Dans le réseau central, cela peut offrir des avantages considérables lorsqu’on désire modifier, ajouter ou supprimer des ressources. L’interaction avec le CDDL peut reposer davantage sur l’automatisation, réduisant le besoin d’intervenir manuellement pour étendre l’empreinte des ressources physiques du CDDL, éliminant ainsi les complexités de la planification et de la programmation multiéquipes pour les activités de routine. Des interactions similaires avec le REDL peuvent accroître l’efficacité et optimiser les itinéraires du trafic qui entre dans le CDE et qui en sort.

7. Feuille de route pour l’adoption

Dans le présent document, on utilise des piliers stratégiques pour décomposer la stratégie en parties consommables : connectivité, contrôle d’identité et d’accès, et surveillance. La connectivité englobe les dispositifs de réseautique traditionnels comme infrastructure sous-jacente (p. ex., commutateurs, routeurs, pare-feu et équilibreurs de charge). Dans ce contexte, la connectivité introduit également la définition par logiciel pour améliorer les services traditionnels. L’adaptabilité et l’optimisation de l’infrastructure permettent ainsi une optimisation en cascade des services d’application. Le contrôle de l’identité et de l’accès intègre les services d’identité et de sécurité modernes vers des options évolutives les plus avancées, notamment : l’authentification intrinsèque sans mot de passe, la gestion d’accès privilégié (GAP) et la gouvernance des identités centralisées, et l’authentification unique adaptative contextuelle. La surveillance dans ce cas comprend également la collecte, le traitement et la diffusion de l’ensemble des données du réseau (performances et disponibilité), de la sécurité (utilisateurs, contexte de l’appareil, accès, authentification et incidents) et des données d’application (utilisation, distribution) pour faire place aux futures solutions qui tireront parti de l’intelligence artificielle (IA) et de l’apprentissage automatique (AA) pour optimiser l’expérience utilisateur en accédant aux renseignements requis grâce à l’automatisation et à l’orchestration. De plus, une nouvelle approche en matière d’approvisionnement doit être adoptée afin de s’adapter aux progrès technologiques et de répondre aux attentes des utilisateurs en ce qui a trait à la prestation de services en temps opportun. On s’attend notamment à ce que les services soient rendus dans les quelques heures ou jours qui suivent, et non quelques semaines ou mois plus tard. Un facteur clé de l’approche consiste à miser sur l’IDL pour mettre en place une infrastructure de réseau et de sécurité.

La figure 4 montre les piliers stratégiques et la manière dont leur évolution, associée à une nouvelle approche en matière d’approvisionnement, est nécessaire pour l’IDL et la ZTA et pour qu’elle évolue finalement vers une innovation améliorée des applications et services, de l’intelligence artificielle pour les opérations informatiques (AIOps) et de l’orchestration et de l’automatisation de la sécurité et intervention (OASI).

7.1. Piliers stratégiques

Figure 4 – Piliers stratégiques
Aperçu des trois piliers stratégiques « connectivité, contrôle de l’identité et de l’accès et surveillance » utilisés dans les documents de vision et de stratégie en matière de réseau et de sécurité de SPC. Connectivité. Composants de base de l’architecture réseau : réseau défini par logiciel (RE – réseau local, RE – réseau étendu et RCD – réseau de centres de données), automatisation et orchestration. Contrôle de l’identité et de l’accès : sécurité, souplesse du périmètre, accès zéro confiance, approche axée sur l’identité. Surveillance continue : vues convergentes du réseau, de la sécurité, des opérations, des applications et des données pour obtenir en temps réel un état des performances, de la sécurité et de l’utilisation dans toute l’organisation.
Description textuelle – Figure 4 : Piliers stratégiques

La figure décrit les services de base regroupés en trois piliers, afin de les harmoniser avec les futures initiatives de mise en œuvre et de pouvoir faire un renvoi à ceux-ci. Les avantages généraux comprennent l’innovation des applications et des services, l’intelligence artificielle pour les opérations informatiques (AIOps) et l’orchestration et l’automatisation (OASI)

Pilier 1 : Connectivité

  • Base de l’architecture réseau
  • RDL, RL|RE|RDC
  • Réseau sous-jacent/réseau superposé
  • Automatisation et orchestration
  • Configuration uniforme

Pilier 2 : Contrôle de l’identité et de l’accès

  • Sécurité
  • Souplesse du périmètre
  • Accès zéro confiance
  • Approche axée sur l’identité

Pilier 3 : Surveillance continue

  • Réseau
  • Sécurité
  • Opérations
  • Applications

Ces piliers sont fondés sur l’infrastructure physique de base.

La présente section du document décrit les trois piliers stratégiques essentiels qui constituent le fondement de la stratégie de réseau et de sécurité. Ces trois capacités appuient vision d’avenir en matière de réseau et de sécurité de SPC et sont harmonisées avec l’approche d’entreprise SPC 3.0 et le Plan stratégique des opérations numériques de 2018 2022. Cette section a pour but de décrire l’état final souhaité pour SPC dans chacun de ces domaines. Bien que ces capacités ne soient pas toutes réalisables à court terme, la feuille de route ultérieure et les activités connexes décrivent la voie à suivre à moyen terme pour réaliser l’état futur décrit dans la section.

7.2. Pilier 1 : Connectivité

7.2.1. Aperçu

La connectivité en tant que pilier repose sur l’infrastructure physique fondamentale sous-jacente pour offrir les services définis par logiciel sur les aspects du réseau qui concernent le RL, le RE et le réseau de centres de données (RCD). Ceci permet au réseau sous-jacent et au réseau superposé définis par logiciel de séparer le plan de contrôle du plan de données, afin d’isoler la gestion du réseau de la couche de transmission de paquets. Il s’agit d’une approche centralisée qui permet non seulement d’améliorer la cohérence de la configuration des appareils en automatisant l’orchestration, mais également de réduire les services gênants qui ont des répercussions sur les performances.

La connectivité au sein du réseau du GC et la stratégie en matière de réseau et de sécurité peuvent être classées en quatre grands domaines :

  1. Réseau périphérique – Services de bureau ou d’immeuble – RL
  2. Service de base et accès au nuage et à Internet du GC – RE
  3. RCD – CDE et services de réseau central
  4. Accès à distance

Chaque domaine présente sa propre complexité et des possibilités d’amélioration des communications au sein du GC en intégrant la panoplie de services de réseau et de sécurité requis, comme la gestion des identités et des accès, la confiance zéro, le nuage d’abord, le sans-fil d’abord et d’autres compétences. L’IDL rendra également ces réseaux plus souples et plus efficaces.

7.2.2. État actuel

Le GC gère actuellement un réseau hérité complexe, procurant des services de TI de base à environ 4 000 sites et 5 000 immeubles, en plus de brancher des centaines de milliers d’appareils pour les employés du GC, les entrepreneurs et la population canadienne.

Réseaux intra-immeubles

Il n’existe présentement aucune norme en matière d’infrastructure; chaque ministère présente des configurations physiques et logiques, des procédures d’exploitation, des niveaux de service et des cas d’utilisation différents. Pour cette raison, un effort de « développement de services standard » est nécessaire.

La majorité de l’infrastructure intra-immeubles existant dans les immeubles à un ou plusieurs locataires utilise un câblage fixe traditionnel vers les terminaux. L’utilisation de l’infrastructure câblée pour les appareils des utilisateurs finaux diminue régulièrement avec l’acceptation et le déploiement continus de la connectivité basée sur l’accès sans fil (Wi-Fi).

L’infrastructure, l’équipement et le câblage de réseau intra-immeubles ont plusieurs gardiens, ce qui entraîne une complexité des modèles opérationnels avec des stratégies disparates pour les technologies, les fournisseurs, le déploiement, la maintenance et les opérations. Des centaines de projets individuels sont prévus ou en cours pour préserver, actualiser ou remplacer ces environnements sans stratégie globale ou intégrée.

Réseaux inter-immeubles

Les réseaux inter-immeubles sont constitués d’un ensemble de composants et de services de réseau qui assurent le transport de données entre les immeubles et les CD, au pays et à l’étranger, et s’étendent souvent sur des réseaux externes (p. ex., Internet, nuage, etc.), y compris les éléments suivants :

La plupart des services énoncés ci-dessus ont fait l’objet d’un catalogage et d’une impartition en tant que contrats à long terme avec différents fournisseurs de services de télécommunications. SPC s’est occupé de la gérance de l’architecture du réseau.

Réseaux des CDE

En plus des quatre nouveaux CDE de SPC, les ministères partenaires disposent d’environ 500 anciens CD qui seront consolidés dans le cadre des efforts continus de SPC visant à consolider les CD. Plus de 50 de ces CD sont considérés comme des déploiements d’envergureNote de bas de page 5.

La plupart de ces CD ont été déployés avant l’adoption de normes d’infrastructure communes. Il existe donc peu de points communs dans les structures de réseau et les configurations sous-jacentes. Certains projets antérieurs visant la consolidation de CD se sont révélés difficiles.

En plus des environnements de production, il faut également tenir compte des environnements intégrés de préproduction ou de laboratoire dans le cadre de cette stratégie. À l’heure actuelle, les laboratoires d’essais ne sont pas intégrés à tous les composants et nombre d’entre eux sont limités en raison des limites relatives aux ministères et organismes. Cette situation, combinée à la segmentation du réseau, rend difficiles l’essai et la validation des futurs déploiements de l’état, ce qui augmente le risque pour le projet. On a déjà programmé l’élaboration de centaines d’applications. Si on ne dispose pas d’installations d’essai standard avant la production des logiciels, du matériel et de l’infrastructure, la cohérence de l’intégration représentera tout un défi.

Les difficultés actuelles dans ces domaines de connectivité du réseau entraînent plusieurs défis généraux pour le GC :

Connectivité au réseau externe – traditionnelle

Les partenaires de SPC sont connectés aux services en nuage public des manières suivantes :

La seule solution approuvée par SPC que les clients peuvent utiliser est l’utilisation de solutions OpenVPN qui consistent pour SPC à offrir un poste de travail sécurisé et spécialisé permettant au client d’établir la connectivité avec le fournisseur du nuage public. La connectivité décrite ci-dessus est prise en charge uniquement pour les données non classifiées et de niveau Protégé A. Elle ne comprend pas le niveau de sécurité Protégé B ou un niveau de classification supérieur. Les partenaires de SPC exploitent aussi actuellement les solutions MPLS et RPV pour la connectivité aux services du RE du GC.

Au moment de la rédaction du présent document de stratégie, des efforts sont en cours pour étendre l’empreinte de sortie et d’entrée du GC aux services en nuage; cela inclura Office 365 et d’autres services de SaaS en nuage. Un accès direct sans RPV sera mis en place pour optimiser le trafic et réduire la latence, améliorant ainsi ultimement l’expérience de l’utilisateur.

7.2.3. État futur

Dans l’état cible du GC, les réseaux sont basés sur des normes de système ouvert, hautement automatisé et finalement offert en tant que service au moyen d’un portail Web, alors que les changements à la connectivité du réseau prennent quelques secondes ou minutes, plutôt que des jours ou des semaines. La réseautique basée sur l’intention et associée à l’analyse du réseau permettra de procéder à l’optimisation dynamique du réseau pour répondre aux exigences changeantes sur les plans de la connectivité et de la performance.

En outre, le GC, en tant qu’entreprise, disposera d’un espace commun pour élaborer des essais, ainsi qu’intégrer, mettre en scène et réparer des réseaux sous-jacents, des réseaux superposés et des applications. En utilisant la virtualisation et des réseaux sous-jacents communs, la construction d’une installation de préproduction de composants communs représentera un service à la demande. Les développeurs ne seront plus isolés en raison des limites ministérielles et des segments du réseau, ce qui permettra d’accroître les capacités de tester et de valider (réduire les risques) les déploiements de l’état futur.

Réseaux intra-immeubles

En ce qui concerne la connectivité intra-immeubles, le GC a adopté une stratégie sans fil d’abord pour les utilisateurs finaux et les appareils de l’IdO. De plus, l’architecture du RL et du RE sera en constante expansion pour intégrer les appareils de l’IdO. Au fil du temps, l’adoption des technologies 5G modifiera les modèles de connectivité pour les terminaux accédant aux ressources du GC. Un tel processus pourrait avoir une incidence considérable sur l’utilisation de la connectivité entre un bâtiment et les services de réseau du GC, réduisant ainsi la dépendance à l’égard de la connectivité traditionnelle des immeubles, tout en augmentant la dépendance à l’égard des ressources externes et des passerelles. À moyen terme, les appareils continueront de reposer à la fois sur la connectivité Wi-Fi et cellulaire (3G/LTE/4G) à mesure que la technologie 5G atteindra sa maturité et que les prix seront analysés pour déterminer le potentiel de valeur ajoutée.

La sécurité du réseau doit évoluer au rythme du nouveau modèle de connectivité et compter sur la capacité d’identifier en toute confiance les appareils et les utilisateurs accédant aux ressources du réseau du GC, tout en offrant une connectivité et des services fiables sur n’importe quelle plateforme et n’importe quel appareil (voir la section « Contrôle de l’identité et de l’accès » pour obtenir des précisions).

Réseaux inter-immeubles

Alors que les réseaux inter-immeubles commenceront à tirer parti des technologies de l’IDL, mentionnées ci-dessus, la couche de transport inter-immeubles sous-jacente continuera à court et à moyen terme d’être principalement un modèle externalisé tirant parti des investissements dans les infrastructures déjà en place. Au fil du temps, cependant, soit à mesure que les nouveaux modèles de connectivité (5G hébergée) deviendront réellement viables, la dépendance à l’égard des infrastructures des immeubles traditionnels diminuera.

Les services de base inter-immeubles resteront probablement les mêmes pour la connectivité dans la région de la capitale nationale, car il s’agit d’une solution rentable étant donné que la majorité des immeubles du GC sont situés dans cette région.

SPC devrait continuer d’assurer la gérance de l’architecture technologique. Les contrats actuels devront être revus pour s’assurer que les services sont conformes à l’état futur de SPC 3.0.

CDE

Sur le plan du réseau, le changement transformationnel majeur dans les CDE sera le passage au RDL. Le RDL permettra d’offrir de nouveaux services de réseau et d’effectuer des changements de manière rapide. Les AIOps offriront également la possibilité d’effectuer des modifications automatisées en fonction d’éléments tels que la correction des menaces et la gestion des performances.

Le REDL jouera également un rôle dans les CDE de petite et de moyenne taille en tant que nouvelle couche de transport pour l’accès aux services Internet et au RE du GC, éliminant ou remplaçant ainsi les solutions MPLS existantes (et coûteuses).

Connectivité au réseau externe

On s’attend à ce que de nombreux clients continuent d’exploiter l’option précédemment décrite dans la section État actuel pour accéder aux données non classifiées ou de niveau Protégé A. Les données de niveau Protégé B seront accessibles en utilisant la solution de connectivité activation et défense du nuage sécurisé (ADNS). SPC a annoncé que ses clients peuvent désormais tirer parti de l’ADNS pour une connectivité de niveau Protégé B. Il a conseillé à ses clients, qui souhaitent profiter de l’ADNS, de s’assurer qu’ils satisfont à toutes les exigences de sécurité avant d’obtenir la connectivité.

À mesure que les solutions de REDL évoluent, nous verrons de plus en plus de clients tirer parti des solutions de REDL pour permettre l’accès à Internet et aux services SaaS en nuage au lieu des solutions MPLS héritées.

7.2.4. Répercussions et dépendances

Pour réussir à activer l’état cible en matière de connectivité, une seule organisation (c’est-à-dire SPC) doit avoir le pouvoir de garantir la conformité et la disponibilité d’un financement approprié. Il faudra peut-être revoir le projet de Sécurité du périmètre de l’entreprise (SPE) pour tenir compte d’un périmètre « virtualisé » qui s’étend au-delà des limites du périmètre traditionnel. Une ZTA complète devra être mise en place de manière progressive afin de tenir compte de la manière dont le projet de SPE sera harmonisé avec l’approche de ZTA.

7.3. Pilier 2 : Contrôle de l’identité et de l’accès

7.3.1. Aperçu

Un des principes clés d’une posture de sécurité à zéro confiance est la mise en œuvre d’un principe de privilège minimal et de contrôles de sécurité précis pour renforcer la sécurité de l’information à l’intérieur du périmètre du réseau du GC. L’accès aux ressources est accordé en vertu d’une approche basée sur des politiques pour sécuriser l’accès plutôt que de dépendre de la configuration manuelle des règles de pare-feu, qui est lourde, statique et sujette à des erreurs. Le mouvement latéral à l’intérieur du périmètre est sécurisé par un processus de microsegmentation. La microsegmentation réduit au minimum l’intrusion lorsqu’elle se produit inévitablement. Au lieu d’utiliser des adresses IP et des zones de sécurité pour établir des politiques de segmentation, les politiques sont basées sur des attributs logiques, plutôt que des attributs logiques, et procurent un contrôle d’accès granulaire aux applications pour les utilisateurs autorisés.

L’intention des contrôles d’accès est de garantir qu’un utilisateur autorisé a accès aux bonnes ressources (comme des bases de données, des applications ou des réseaux) et que ces ressources sont inaccessibles aux utilisateurs non autorisés. Les contrôles d’accès comprennent des mesures physiques et logiques. Les contrôles d’accès physique limitent l’accès aux armoires, aux salles et aux immeubles du réseau où se trouvent des biens physiques ou des équipements. Les contrôles d’accès logiques accordent ou empêchent l’accès aux ressources (p. ex., données, réseaux, applications et systèmes) une fois que l’identité d’un utilisateur, d’une entité ou d’un appareil a été vérifiée. Les droits d’accès logiques ou physiques sont généralement liés aux identités uniques de l’utilisateur, de l’entité ou de l’appareil. À mesure que le paysage technologique du réseau subit une transformation importante, cela augmente davantage l’importance des contrôles d’accès logiques afin de protéger les réseaux et les flux d’information du GC.

7.3.2. État actuel

Le GC a traditionnellement appliqué l’approche « château et douves » au contrôle de l’accès, ce qui vise à sécuriser le périmètre en authentifiant les utilisateurs autorisés à des points d’entrée sécurisés et en leur accordant l’accès. Les réseaux se sont étendus pour inclure un grand nombre de points finaux, et les adversaires continuent de trouver de nouvelles façons de contourner la sécurité du périmètre. La situation devient encore plus complexe en raison de l’adoption croissante des technologies mobiles qui permettent le télétravail et l’utilisation de services externalisés. Le GC a traditionnellement atténué ces menaces en établissant des zones de réseau et en déployant un nombre accru de pare-feu pour filtrer l’accès au réseau. Cependant, cette approche est devenue lourde et coûteuse, car les règles de pare-feu doivent être continuellement ajustées pour tenir compte à la fois des nouvelles menaces et du nouveau trafic autorisé.

Aujourd’hui, les Canadiens et les Canadiennes ont accès en toute sécurité aux services en ligne du GC. Pour se faire, ils se connectent avec un identifiant bancaire en ligne (comme un nom d’utilisateur et un mot de passe) provenant d’institutions financières canadiennes, s’ils ont recours au service de courtier de justificatifs d’identité, ou ils peuvent recourir au service d’identification de marque GC, appelé CléGC.

Les utilisateurs du gouvernement du Canada s’authentifient auprès de différents magasins des utilisateurs, y compris des magasins intégrés et les services de ministère et de fédération d’Active Directory, ainsi qu’auprès d’une multitude de services d’AMF différents, y compris la gestion des justificatifs d’identité et d’autres solutions ministérielles. Un système d’identité numérique fiable est fondamental pour contrôler l’accès. Un tel système représente un élément clé d’une sécurité transparente et sans friction dans les systèmes numériques.

7.3.3. Tendances

L’ancienne approche du contrôle de l’accès était celle d’une posture de défense en profondeur qui utilise une série de mécanismes défensifs stratifiés afin de protéger les données et les informations précieuses. Si un mécanisme échoue, un autre intervient immédiatement pour contrecarrer une attaque. Cette approche n’est plus considérée comme un moyen viable de prévenir et d’atténuer les menaces de sécurité actuelles.

Les tendances en matière de contrôle des accès sont principalement façonnées par la prolifération d’appareils connectés, les options de connexion, la mobilité accrue des utilisateurs finaux et l’attente accrue d’une expérience cohérente et personnalisée, quels que soient le canal de connexion, l’emplacement ou le type d’appareil utilisé pour établir la connexion. Ces attentes vont au-delà de la définition traditionnelle d’un utilisateur final (généralement considéré comme un consommateur du service) et incluent les utilisateurs avec un droit d’accès (comme les administrateurs de service) et les utilisateurs non humains (comme les robots et les appareils connectés intelligents).

Par conséquent, les contrôles des accès au réseau de la nouvelle génération devraient pouvoir prendre en charge et permettre :

7.3.4. État futur

Alors que les menaces à la sécurité se sont multipliées ces dernières années, un changement de paradigme s’est opéré dans la réflexion architecturale sur la façon d’assurer un équilibre entre la protection et la disponibilité tout en soutenant l’évolution d’un nouveau modèle de sécurité centré sur l’information pour les réseaux du GC. Le modèle de réseau de l’état à venir tiendra compte des besoins des utilisateurs finaux tout en garantissant la sécurité de leurs données.

Du point de vue du contrôle des accès, le changement dont l’effet est le plus grand sera lié à la transition d’une approche traditionnelle de sécurité périmétrique vers un « périmètre virtuel »; une approche reposant sur la notion de « zéro confiance » et de microsegmentation appliquée aux réseaux et aux ressources du GC. La notion de zéro confiance repose sur le principe selon lequel il ne faut « jamais faire confiance; toujours vérifier ». L’architecture d’accès au réseau à zéro confiance (« ZTNA »), qui est connexe, oblige à vérifier tous les accès aux ressources, même s’il s’agit de sources traditionnellement fiables. La sécurité périmétrique traditionnelle peut encore servir de première ligne de défense, mais l’appareil et l’utilisateur seront vérifiés, authentifiés et autorisés en permanence afin d’accéder aux biens et aux ressources, d’où le besoin de microsegmentation (un point de vue granulaire des ressources du réseau). Cela aura des répercussions profondes sur la conception et le fonctionnement des mécanismes de contrôle de l’accès.

7.3.5. Répercussions et dépendances

Les répercussions et dépendances suivantes devront être prises en compte pour que le réseau de la prochaine génération réponde aux attentes de l’utilisateur final et du gouvernement numérique en matière d’utilisation et de sécurité :

7.4. Pilier 3 : Surveillance

7.4.1. Attention particulière relative à la sécurité

Étant donné que le Centre canadien pour la cybersécurité (CCC) est propriétaire du Centre des opérations de sécurité (COS) et du processus de gestion de l’information et des événements de sécurité (GIES), de nombreux recoupements d’intérêts et de responsabilités seront mis en évidence dans cette section. Bien que ce document n’essaie pas de délimiter les tâches ou les responsabilités spécifiques, il sera essentiel d’évaluer les recoupements et de tenir compte des incidences et des changements opérationnels pour l’optimisation du modèle de processus. La référence à la solution de GIES a pour unique but de souligner que la GIES est effectivement nécessaire. On ne doit pas l’interpréter comme une fonction de SPC.

Selon les recherches menées par Gartner & Forrester et d’autres, l’état à venir des réseaux démontrera une convergence ou un alignement des domaines fonctionnels. Il faudra effectuer un alignement des centres d’opérations, autrement dit du COS et du Centre des opérations de réseau (COR), afin qu’un modèle de centre des opérations de réseau et de sécurité (CORS) devienne la voie de l’avenir. À mesure que SPC et le GC évoluent dans ce nouveau paradigme, des étapes intermédiaires ouvriront la voie à la convergence finale.

Alors que les événements de sécurité liés aux utilisateurs et au système resteront sous la responsabilité du COS (qui fait partie du CCC), les intérêts de sécurité liés aux composants de l’infrastructure seront intégrés dans la solution de surveillance continue. Cela favorisera les capacités de réponse automatisée de l’IDL.

7.4.2. Aperçu

La surveillance consiste à gérer de manière proactive le rendement et la sécurité de l’infrastructure de TI du GC. La portée des capacités de surveillance s’étend aux dispositifs de réseautique et au trafic, aux serveurs et aux périphériques des utilisateurs finaux, ainsi qu’aux applications exécutées sur ces périphériques. Une surveillance efficace permet une identification proactive des événements liés aux appareils du réseau et permet de corriger ces événements pour accroître la sécurité, la fiabilité et la performance.

7.4.3. État actuel

Il existe dans l’ensemble du GC une combinaison d’outils et de données de surveillance gérés par les partenaires et gérés par SPC. Il en résulte un manque de clarté, de responsabilité et de couverture des fonctions de surveillance. Des compétences spécifiques et des configurations de solutions ont été adaptées aux besoins de chaque service. Les outils de surveillance sont utilisés pour les alertes et les rapports de base. System Center Operations Manager (SCOM) de Microsoft en est un exemple.

SPC dispose d’une capacité décentralisée et non standard de GIES (niveaux de maturité et configurations variés) qui procure une couverture partielle. Cela signifie que SPC ne bénéficie pas d’une visibilité totale sur l’environnement du GC pour cerner les risques et réagir rapidement aux incidents.

La configuration de ces solutions permet d’automatiser plusieurs tâches opérationnelles simples, mais une intervention humaine est nécessaire pour tout ce qui est plus complexe. Le manque de capacités d’automatisation et d’orchestration et de corrélation entre les événements mène à des renseignements non pertinents et non exploitables que les équipes opérationnelles de TI doivent examiner. Cela entraîne des temps d’analyse et de résolution plus longs en plus d’éroder la prestation des services. De plus, le modèle opérationnel actuel de SPC rend la maintenance des ressources d’infrastructure coûteuse, en plus d’être chronophage et d’être propice aux erreurs humaines.

7.4.4. Tendances

Les organisations procèdent de plus en plus à la mise en œuvre de technologies qui assurent l’ingestion et la corrélation des sources de surveillance et de journalisation, regroupent ces données et y appliquent à la fois la logique humaine et la logique machine pour détecter et exécuter des actions dans le but d’enquêter et de résoudre les incidents ou les événements. Ces plateformes comprennent l’orchestration et automatisation de la sécurité et intervention (OASI), l’analyse comportementale et l’IA. Le marché des produits pour ces solutions continue d’évoluer et les solutions n’ont pas encore atteint leur potentiel prévu (voir l’annexe A).

En outre, les organisations adoptent une position où l’on « présume qu’il y a eu atteinte à la sécurité ». Ce faisant, les entreprises intègrent la recherche de menaces dans les capacités de surveillance de la sécurité pour toujours chercher des anomalies qui pourraient révéler l’existence d’un cyber-événement.

7.4.5. État cible

Figure 5 : Technologie multicouche AIOps
Pile de données et de processus dont la combinaison permet d’activer les AIOps. Les plateformes d’AIOps peuvent exploiter les données recueillies (événements et journaux) pour déclencher des adaptations dans les algorithmes afin d’adapter les résultats en fonction de l’apprentissage automatique.
Description textuelle – Figure 5 : Technologie multicouche AIOps

La figure décrit l’ensemble des services qui constituent le paradigme de l’AIOps :

  • Visualisation
  • Apprentissage automatique
  • Algorithmes
  • Analyse
  • Calculs
  • Mégadonnées
  • Sources de données : événements et journaux, surveillance, billets d’incident et de changement, tâches

Dans l’état cible, SPC devra passer des outils et processus de surveillance autonomes à un ensemble intégré de technologies qui sont prises en charge par un dépôt central de données qu’on qualifie ici de « lac de données de SPC » et qui offre une visibilité améliorée. SPC devra mettre en œuvre l’IA, l’automatisation et l’orchestration pour améliorer l’efficacité avec laquelle il sécurise l’infrastructure de TI. Une initiative est en cours au sein de SPC afin d’étudier l’IA pour les opérations (« AIOps »).

SPC, en coordination avec ses partenaires, s’efforcera de réduire le nombre de solutions de surveillance dans l’état futur, en adoptant une approche » 70/30 », selon laquelle un seul outil répond à 70 % des besoins en surveillance, alors que les 30 % restantes seront de multiples solutions ponctuelles. Cela signifie que 70 % des outils doivent être des « solutions complètes » indépendantes du domaine pour les cas d’utilisation les plus courants. Quant aux « solutions ponctuelles », les autres 30 %, elles devraient être centrées sur un domaine spécifique (p. ex., le réseau, la sécurité, les systèmes d’extrémité ou la surveillance du rendement des applications).

Il sera essentiel de consolider les CD pour faciliter la consolidation des outils de surveillance et du lac de données de SPC. Cela comprendra la mise en place, dans les CDE, d’une solution de surveillance centralisée qui représentera la base d’une capacité de surveillance centralisée pour le GC.

La maturation de la capacité de GIES sera essentielle pour acquérir une connaissance de la situation dans les environnements du GC et créer des capacités d’intervention rapides et coordonnées lorsque survient un incident. Cela devrait inclure une solution de GIES intégrée de la prochaine génération, l’adoption d’un contenu de cas d’utilisation avancé pour détecter les événements (à l’aide d’une combinaison d’analyses comportementales basées sur des règles et des utilisateurs ou des entités) et des capacités d’OASI pour améliorer la détection des menaces et automatiser la réponse. Il sera essentiel d’adopter une capacité de connaissance de la situation afin de prévoir les niveaux d’exposition des biens de TI aux cybermenaces et prendre des décisions de correction fondées sur le risque.

Le lac de données de SPC sera créé et utilisé pour stocker et analyser les données de journalisation aux fins de prise en charge de l’agrégation et de la corrélation des données. Plus on insérera de données dans le système, plus il sera possible de prendre des décisions intelligentes grâce aux technologies émergentes, comme l’apprentissage automatique, l’OASI et l’IA. Pour réaliser des économies d’échelle plus importantes aux fins de l’analyse, SPC devrait étudier l’utilisation de solutions en nuage public de type IaaS ou PaaS pour son lac de données, dans lequel un modèle en nuage hybride est utilisé pour assurer la connectivité avec les CDE.

Les technologies et les solutions décrites ci-dessus continueront d’améliorer la correction automatique, l’infrastructure de réparation spontanée, la corrélation entre les événements et l’analyse prédictive. Le diagramme ci-dessous nous montre un système de GIES proposé pour la prochaine génération qui est pris en charge par un lac de données centralisé de SPC.

Figure 6 : Système de GIES de la prochaine génération avec lac de données de SPC
Système de gestion de l’information et des événements de sécurité (GIES) de la prochaine génération	TEXTE ALTERNATIF – Collecte de données sur les incidents ou les événements liés à la sécurité, aux fins d’analyse et de consommation. Le concept présenté suggère un dépôt partagé (lac de données) qui peut héberger ces données de GIES traditionnelles ainsi que d’autres données structurées et non structurées. L’ensemble de ces données constituera la source de données qui servira à l’intégration de l’intelligence artificielle et de l’apprentissage automatique et à l’évolution vers les idées de « correction automatique du réseau » avec l’avènement de l’AIOps et de l’orchestration et automatisation de la sécurité et intervention (OASI) de prochaine génération. Les données partagées fourniront également un accès aux outils individuels actuels au fur et à mesure de l’évolution des outils/systèmes.
Description textuelle – Figure 6 : Système de GIES de la prochaine génération avec lac de données de SPC

Système de gestion de l’information et des événements de sécurité (GIES) devrait faire évoluer l’entrée et la sortie au-delà de la portée classique des services de sécurité. L’intégration avec le lac de données de SPC permettra d’élargir la portée de GIES afin de mieux servir les consommateurs, ce qui comprendra l’AIOps.

7.4.6. Répercussions et dépendances

Les suites d’infrastructure de surveillance présentent des fonctionnalités étendues et intégrées, tandis que les meilleurs outils de surveillance sont dotés de fonctionnalités spécifiques au domaine. La principale dépendance pour réaliser la future stratégie de surveillance sera que tous les partenaires partagent avec SPC les données de journalisation dans la pile technologique (y compris les données de performance des applications), et que ces données devront être stockées dans un dépôt central (lac de données de SPC). Cette intégration permettra de constater l’état général de la sécurité du GC, favorisera les cas d’utilisation avancée et accélérera les interventions en cas d’incidents. Il sera également essentiel pour SPC de collaborer avec ses partenaires et le CCC pour s’assurer que les rôles et les responsabilités en matière de détection, d’intervention et de correction des incidents sont clairs.

7.5. Approvisionnement

7.5.1. Aperçu

L’approvisionnement fait référence à la capacité de la plateforme technologique et de la solution d’implanter les composants de la solution globale. Dans le contexte de la réseautique et de la sécurité, l’approvisionnement offre la possibilité de mettre en œuvre les composants du réseau et de sécurité, comme l’ajout ou la modification des configurations du réseau ou l’ajout ou la modification des règles de pare-feu. L’approvisionnement doit être vu de manière globale à tous les niveaux de la réseautique, du calcul et de la sécurité, en exploitant les capacités comme l’IDL en tant que facilitateurs pour accroître les capacités d’approvisionnement.

7.5.2. État actuel

À l’heure actuelle, le GC compte un certain nombre de fournisseurs qui procurent des services de réseautique, de calcul et de sécurité (fournisseurs de matériel, de logiciels et de services). Cette situation a donné lieu à une prolifération des plateformes à travers le GC qui, dans de nombreux cas, nécessitent des solutions technologiques et des compétences uniques sur ces plateformes pour assurer leur gestion et leur surveillance.

Le délai d’approvisionnement est l’une des principales préoccupations des dirigeants principaux de l’information (DPI). Les DPI dépendent de SPC en ce qui concerne la prestation de services de calcul, de stockage et de réseau afin de mettre en œuvre de nouvelles applications qui permettent la mise en œuvre des programmes du GC. Par conséquent, le délai d’approvisionnement de SPC est un des facteurs essentiels de l’exécution agile des programmes. L’objectif consiste à réduire le délai de prestation des services d’infrastructure de quelques semaines ou mois à quelques heures ou jours. De plus, bon nombre des plateformes de réseau, de calcul et de sécurité déjà existantes approchent ou ont dépassé la fin de leur durée de vie et doivent être remplacées afin de protéger les biens techniques du GC et de les gérer de manière efficace.

La venue de nouvelles capacités technologiques mentionnées dans le présent document, comme la ZTA et le RDL, exigera que la plupart des plateformes de réseau et de sécurité existantes soient remplacées ou, à tout le moins, mises à niveau pour permettre ces nouveaux paradigmes de fonctionnement.

7.5.3. Tendances

Les domaines de la réseautique, du calcul et de la sécurité font l’objet d’une refonte en profondeur à mesure que les organisations se tournent vers des technologies habilitantes, comme l’informatique en nuage. Le nuage oblige à fournir immédiatement des services de réseautique, de calcul et de sécurité afin de prendre en charge les demandes dynamiques des services en nuage. L’utilisation des opérations d’IA favorise également la vitesse d’approvisionnement en automatisant de nombreuses tâches opérationnelles pour la prestation des services de TI.

7.5.4. État futur

Des capacités d’approvisionnement améliorées permettront d’assurer la prestation de services de réseau, de calcul et de sécurité en quelques minutes (plutôt qu’en quelques jours ou semaines). Les tendances à l’origine du besoin d’améliorer l’approvisionnement sont les suivantes :

L’état futur verra la mise en œuvre de technologies habilitantes, telles que le RDL et l’IDL, intégrés à l’infrastructure locale, comme l’infrastructure hyperconvergée, le RDL et les plateformes de sécurité. Le nuage extérieur permettra d’offrir rapidement des services de réseau, de sécurité et de calcul.

Il faut envisager diverses approches pour fournir les capacités définies par logiciel, y compris la sélection d’une solution d’écosystème basée sur le fournisseur (comme l’infrastructure CISCO axée sur les applications, Contrail de Juniper et EOS d’Arista) ou une solution de source ouverte (comme le RDL OpenDayLight).

Dans l’état futur, SPC sera en mesure d’assurer un approvisionnement dynamiquement en solutions de réseau, de calcul et de sécurité au moyen d’une plateforme logicielle améliorant les délais d’approvisionnement et la satisfaction des clients à l’égard des DPI des ministères.

7.5.5. Répercussions et dépendances

La stratégie permettant d’accroître les capacités d’approvisionnement devra tenir compte des répercussions et des questions suivantes :

7.6. Considérations

7.6.1. Renouvellement des qualifications et des outils de l’organisation

Compte tenu du rythme accéléré du changement que suscitent les progrès rapides de la technologie et les méthodes de travail de l’avenir, le personnel actuel de SPC devra adapter son modèle opérationnel, ses compétences et ses opérations pour prendre en charge la future plateforme de réseau et de sécurité.

Modèle opérationnel

SPC devra entreprendre une transformation profonde de son modèle opérationnel à mesure de son évolution vers le nuage et vers les nouvelles capacités de réseau et de sécurité. Cela nécessitera des changements aux éléments suivants :

Le modèle opérationnel devra modifier fondamentalement la façon dont SPC est axé sur les services de réseau et de sécurité, depuis le soutien technique quotidien jusqu’à l’équipe de direction.

Compétences

Les changements apportés au niveau du réseau et de la sécurité exigeront un nouvel ensemble de compétences et de capacités au sein de SPC, tels que :

Rôles et responsabilités

Les changements apportés au modèle opérationnel exigeront également que de nouveaux rôles soient définis à l’appui du modèle d’état futur au sein de SPC. De nouveaux rôles seront nécessaires, notamment les suivants :

Voici les questions relatives à l’avenir de la main-d’œuvre à SPC :

Pour répondre à ces questions, SPC devra entreprendre un programme de modèle opérationnel cible distinct pour :

Les résultats de ce programme devraient orienter les stratégies d’atténuation des lacunes sur le plan des compétences et des rôles à l’échelle du ministère et de l’entreprise. Ils devraient également permettre d’estimer les coûts associés au perfectionnement des compétences des employés et la portée des répercussions sur l’ensemble de la main-d’œuvre.

7.7. Prochaines étapes recommandées

Dans les sections précédentes, les piliers de l’état futur ont été détaillés afin de décrire la voie que SPC doit suivre pour intégrer l’IDL et la ZTA. Cette section porte sur les prochaines étapes nécessaires recommandées pour y parvenir en termes de principes, de projets et d’initiatives.

7.8. Les « principes »

Pour mettre cette stratégie en œuvre, des principes fondamentaux ont été élaborés en raison de la complexité de l’infrastructure de réseau et de sécurité de SPC. Il est impossible de se procurer et de mettre en œuvre d’un seul coup une IDL et une ZTA entièrement fonctionnelles. C’est pour cette raison que les principes stratégiques suivants sont recommandés :

Figure 7 : Étapes fondamentales
Présentation des six étapes fondamentales générales à adopter : 1) harmoniser les projets à venir, 2) hiérarchiser les capacités fondamentales, 3) mettre en œuvre en petites étapes, 4) déterminer et combler le manque de compétences, 5) faire converger le réseau et la sécurité, 6) investir dans l’automatisation et l’orchestration des systèmes existants.
Description textuelle – Figure 7 : Étapes de base

La figure donne un aperçu des étapes de base pour intégrer la notion de zéro confiance et l’infrastructure définie par logiciel à l’environnement de SPC.

  1. Veiller à ce que les projets existants ne soient pas réalisés en vase clos – harmoniser les efforts avec les documents axés sur la vision et la stratégie en matière de réseau et de sécurité.
  2. Établir l’ordre de priorité des capacités.
  3. Amorcer des initiatives à petite échelle plutôt que de mettre en place une solution tout-en-un.
  4. Déterminer les besoins en compétences afin de combler les lacunes.
  5. Faire converger les services en matière de réseau et de sécurité.
  6. Investir dans l’automatisation et l’orchestration des technologies existantes et nouvelles.

Objectif général : Réduire au minimum les risques

7.9. Plan de communication

Un plan de communication détaillé est essentiel et doit être mis en œuvre pour partager la vision en matière de réseau et de sécurité, la stratégie connexe et le plan définissant la voie à suivre. Ce processus doit se dérouler dans l’ensemble de SPC, et ce, tant au niveau de la haute direction qu’au niveau opérationnel, pour garantir l’adhésion et la compréhension au sein de l’organisation. Cependant, il ne s’agit pas uniquement d’une initiative de SPC; pour que cette initiative réussisse, il faut pouvoir compter sur l’aide et l’adhésion de tous les partenaires de SPC, car cela s’étend jusqu’aux services commerciaux et aux applications que SPC fournit à ces partenaires.

7.10. Architectures de référence

Des documents d’architecture de référence (DAR) doivent être élaborés afin de donner une architecture, une méthodologie, des lignes directrices et des principes pour les différentes technologies à un niveau élevé et ces documents doivent être répartis en fonction des différents niveaux de service. Les DAR :

  1. établiront des liens avec la vision et la stratégie en matière de réseau et de sécurité de SPC;
  2. permettront de comparer et d’harmoniser les exigences de SPC avec les technologies émergentes de l’industrie;
  3. donneront des lignes directrices et des principes pour orienter les services, les produits et les projets;
  4. seront axés sur la fonction plutôt que sur les technologies.

D’abord, on commencera par l’élaboration d’un DAR cadre (principal). Il s’agira d’une architecture qui interconnecte tous les DAR secondaires afin de garantir la cohérence des objectifs généraux entre les fonctions et les technologies interdépendantes.

Les DAR secondaires seront élaborés et reliés au DAR cadre. Les DAR secondaires qui devraient être élaborés dans un premier temps sont les suivants :

  1. RLDL;
  2. REDL;
  3. CDDL;
  4. Connectivité du nuage, de l’Internet et de l’accès à distance;
  5. CDE/RCD – réseau central;
  6. ZTA.

7.11. Soutien des initiatives en cours

Il existe des projets et des initiatives déjà en cours et planifiés depuis un certain temps. Plusieurs d’entre eux auraient été identifiés avant même que les concepts d’IDL ou de ZTA ne soient vraiment connus. Cependant, bon nombre de ces projets et initiatives sont des éléments importants de l’infrastructure de base pour amener SPC vers l’IDL et la ZTA.

Il est donc recommandé que les responsables des projets en cours et des nouveaux projets prennent le temps de réfléchir à la vision et à la stratégie en matière de réseau et de sécurité de SPC, ainsi qu’aux « principes » définis précédemment, et qu’ils collaborent avec SPC pour déterminer les possibilités visant à harmoniser les activités de manière encore plus optimale que ce qui était initialement prévu dans les projets.

Le tableau suivant présente une liste des projets de SPC et des sous-initiatives importantes qui soutiennent la vision et la stratégie en matière de réseau et de sécurité pour l’avenir et qui devraient continuer à être soutenus par SPC.

Tableau 3 – Soutien des projets et des initiatives de SPC
Projet Description Sous-projets ou initiatives
ADNS Activation et défense du nuage sécurisé
  • ADNS principale
  • Courtiers de sécurité d’accès au nuage
ADR (maintenant GCVDC) Authentification des dispositifs réseau/Gestion du cycle de vie des dispositifs chiffrés S.O.
CARGC Contrôle de l’accès au réseau du GC S.O.
GIES Gestion de l’information et des événements de sécurité
  • Système de journalisation centralisé (SJC)
  • OASI
  • GIES (traditionnelle)
  • Analyse du comportement des utilisateurs et des entités (ACUE)
  • Visibilité de l’infrastructure, sensibilisation et sécurité (VISS)
GRJC Gestion des répertoires, des justificatifs et des comptes S.O.
GVCE Gestion de la vulnérabilité et de la conformité d’entreprise S.O.
MADP Migration de l’accès à distance protégé S.O.
MRP Modernisation du réseau périphérique S.O.
RGC Réseau de gestion centralisé S.O.
SACI Service d’authentification centralisé interne S.O.
SCAA Service de contrôles d’accès administratifs S.O.
SCR Stratégie des centres régionaux S.O.
SPE Sécurité du périmètre de l’entreprise (SPE) S.O.
VSSPT Visibilité, sensibilisation et sécurité de point de terminaison S.O.

La carte des points chauds suivante montre comment chacun des projets s’harmonise avec la vision en matière de réseau et de sécurité.

Tableau 4 – Carte des points chauds d’harmonisation du projet
Projet IDL ZTA Surveillance continue
GIES-SJC S.O. Pleine valeur ajoutée Pleine valeur ajoutée
GIES-OASI Pleine valeur ajoutée Pleine valeur ajoutée Pleine valeur ajoutée
GIES-ACUE S.O. Pleine valeur ajoutée Pleine valeur ajoutée
GIES-VISS S.O. Pleine valeur ajoutée Pleine valeur ajoutée
GIES-principale S.O. Pleine valeur ajoutée Pleine valeur ajoutée
VSSPT Pleine valeur ajoutée Pleine valeur ajoutée Pleine valeur ajoutée
GVCE Valeur partielle Valeur partielle Pleine valeur ajoutée
RCC Pleine valeur ajoutée Pleine valeur ajoutée Pleine valeur ajoutée
GRJC Pleine valeur ajoutée Valeur partielle S.O.
SCAA Valeur partielle Pleine valeur ajoutée Pleine valeur ajoutée
ADR Valeur partielle Pleine valeur ajoutée Valeur partielle
SACI Valeur partielle Pleine valeur ajoutée S.O.
CARGC Pleine valeur ajoutée Valeur partielle Valeur partielle
MRP Pleine valeur ajoutée Valeur partielle Valeur partielle
GADP Pleine valeur ajoutée Pleine valeur ajoutée Pleine valeur ajoutée
SCR Pleine valeur ajoutée Valeur partielle Valeur partielle
ADNS-PSI Pleine valeur ajoutée Valeur partielle Valeur partielle
ADNS-principale Pleine valeur ajoutée Valeur partielle Valeur partielle

7.12. Initiatives futures requises

Le résumé de la feuille de route en matière de réseau et de sécurité présentée ci-dessous décrit les étapes progressives nécessaires pour passer de l’état actuel à l’état final projeté vers l’architecture logicielle et la ZTA. Cette évolution nécessitera la mise en place de certaines étapes et technologies spécifiques pour chacune de ces disciplines ainsi que l’augmentation et l’évolution des services d’identité et de la sécurité. Le schéma suivant présente un résumé de l’adoption progressive recommandée des initiatives futures nécessaires qui devront être soutenues pour continuer de faire évoluer SPC vers l’architecture logicielle et la ZTA. Pour obtenir des précisions, veuillez consulter la feuille de route complète qui se trouve à l’annexe B.

Figure 8 : Initiatives futures
Carte des « concepts » basée sur une séquence générale et soulignant les « prochaines étapes » pour donner une orientation à ce changement de paradigme de la TI.
Description textuelle – Figure 8 : Initiatives à venir

La feuille de route en matière de réseau et de sécurité décrit les étapes progressives nécessaires pour passer de l’état actuel à l’état final projeté. Cette évolution nécessitera la mise en place de certaines étapes et technologies pour les disciplines : réseau (connectivité), sécurité (surveillance) et identité.

La discipline « réseau » montre le réseau d’entreprise, l’accès à distance et au réseau, la gestion centrale, l’automatisation et l’orchestration et l’accès zéro confiance.

La discipline « réseau » montre la sécurité du périmètre, l’accès à distance, la sécurité des applications et des données, la sécurité du nuage et DevSecOps.

La discipline « Identité » montre la centralisation des justificatifs d’identité et l’AMF, l’ICP d’applications et de dispositifs et l’authentification unique adaptative contextuelle.

Ces disciplines sont liées pour atteindre l’état cible de l’AIOps, de l’OASI, de l’authentification des mots de passe/adaptative et l’identité hybride basée sur l’IA.

8. Conclusion

Tout au long du présent document, trois thèmes persistants sont mis en évidence :

  1. l’accélération continue du changement;
  2. la nécessité de suivre ces changements tout en continuant d’assurer la sécurité et le contrôle;
  3. le caractère essentiel de la collecte et de l’utilisation des données de surveillance et d’analyse.

L’expression « Le changement est inévitable » est depuis longtemps un mantra dans les cercles de TI. Toutefois, l’ampleur et le rythme du changement continuent de poser de grands défis. L’adoption et l’intégration des services en nuage et l’acceptation de l’expansion de l’empreinte technologique de l’IdO, non seulement dans le CD, mais à tous les niveaux dans la vie personnelle et professionnelle, modifient les attentes des utilisateurs quant à la manière, au moment et à l’endroit où l’accès aux systèmes GC est nécessaire.

L’établissement et l’adoption de technologies (y compris le réseau, la sécurité, le calcul, le stockage) qui peuvent évoluer en permanence occupent une place primordiale, mais la modernisation des processus et des politiques qui définissent l’utilisation et la fonction de la technologie est tout aussi essentielle. L’acceptation sociale doit précéder l’adoption de ce paradigme technologique essentiellement nouveau.

La surveillance, ou « surveillance continue », telle qu’elle a été décrite tout au long du présent document, propose d’aller au-delà de la surveillance traditionnelle des fonctions, des performances et de la sécurité. Ces modes de surveillance seront et doivent rester intégrées dans toute solution, mais ce qui était au départ une convergence entre les appareils et les fonctions se poursuivra. On prévoit d’ailleurs qu’elle comprendra les renseignements sur la sécurité des utilisateurs et des appareils et l’autorisation du moteur de politique. Ce modèle amélioré rassemblera beaucoup plus de « données de surveillance » qu’auparavant, permettra aux différentes équipes de recueillir des données pertinentes pour leurs besoins et favorisera davantage l’intégration de solutions basées sur l’IA afin d’exploiter les capacités de l’IDL de demain.

9. Sigles et acronymes

AA
Apprentissage automatique
ADNS
Activation et défense du nuage sécurisé
ADP
Accès à distance protégé
AIOps
Intelligence artificielle pour les opérations informatiques
GAP
Gestion d’accès privilégié
GIES
Gestion de l’information et des événements de sécurité
IA
Intelligence artificielle
IdO
Internet des objets
IDL
Infrastructure définie par logiciel
OASI
Orchestration et automatisation de la sécurité et intervention
PAP
Prenez vos appareils personnels
PJI
Prenez vos justificatifs d’identité
RE
Réseau étendu
RL
Réseau local
RM
Réseau métropolitain
RDL
Réseau défini par le logiciel
TCP/IP
Protocole de contrôle de transmission/protocole Internet
Wi-Fi
Marque déposée faisant référence à la famille de normes sans fil 802.11 pour l’accès au réseau sans fil
ZTA
Architecture zéro confiance ou Accès zéro confiance – un cadre architectural remplaçant la « défense en profondeur » traditionnelle
ZTNA
Accès au réseau zéro confiance

10. Références

  1. Conseils en matière de sécurité des technologies de l’information no 33 (ITSG-33) – La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie
  2. Stratégie de l’informatique en nuage d’abord, approche d’entreprise SPC 3.0
  3. Plan stratégique des opérations numériques du gouvernement du Canada (GC) de 2018 à 2022

Annexe A : Tendances en matière de réseau et de sécurité

Les tableaux suivants décrivent les différentes tendances qui sont les plus pertinentes pour la vision stratégique de SPC. Certaines de ces tendances sont courantes, tandis que d’autres ne sont pas aussi matures, mais elles gagnent en popularité sur le marché. Une définition, une analyse et une application pour SPC sont présentées pour chaque tendance.

Tendance #1 : Architecture zéro confiance

Qu’est-ce que l’architecture zéro confiance (ZTA)?

La ZTA fait appel à une approche définie par logiciel pour établir un périmètre et crée une frontière d’accès logique basée sur l’identité et le contexte autour d’une application ou d’un ensemble d’applications. Les applications sont cachées pour en empêcher la découverte, alors que l’accès est limité par un courtier de confiance à un ensemble d’entités nommées. Le courtier vérifie l’identité, le contexte et le respect de la politique des participants choisis avant d’autoriser l’accès. Cette façon de faire supprime les ressources de l’application de la visibilité publique et réduit considérablement la zone d’attaque.

Bien que les offres de ZTA diffèrent de par leurs approches techniques, elles présentent généralement la même proposition de valeur fondamentale :

  • Retrait des applications et des services de la visibilité directe sur l’Internet.
  • Accès granulaire aux applications validé par un programme ou par un accès basé sur les rôles et en appliquant le principe de privilège minimal.
  • Validation de l’accès indépendamment de l’emplacement physique de l’utilisateur. Les politiques d’accès sont basées sur les identités des utilisateurs, des appareils et des applications.
  • Accès accordé uniquement à l’application spécifique, mais non à l’infrastructure sous-jacente du réseau. Cela limite le besoin d’un accès excessif à tous les ports et protocoles ou à toutes les applications, pour lesquelles l’utilisateur n’a pas nécessairement les autorisations.
  • Chiffrement de bout en bout des communications sur le réseau.
  • Inspection facultative du flux de trafic pour les risques excessifs sous forme de traitement des données délicates et de logiciels malveillants.
  • Activation de la surveillance facultative de la séance pour les indications d’activité inhabituelle, de durée ou de besoins en matière de bande passante.

Analyse des tendances

Le marché de la ZTA en est encore à ses débuts, mais il se développe rapidement. L’intérêt porte principalement sur les organisations à la recherche d’une solution offrant davantage de souplesse que les RPV et celles qui recherchent un contrôle d’accès granulaire aux applications.

Applicabilité à SPC

  • Mise à jour de son cadre de sécurité réseau actuel qui est dépassé
  • Harmonisation avec la stratégie de l’informatique en nuage d’abord du GC – de nouveaux périmètres sont établis
  • Expérience utilisateur cohérente pour accéder aux applications – option sans client ou par un client de la ZTA quel que soit l’emplacement du réseau
  • Intégration des techniques d’automatisation au cadre de sécurité

Tendance #2 : Périmètre défini par logiciel

Qu’est-ce que le périmètre défini par logiciel (PDL)?

La ZTA est généralement mise en œuvre au moyen d’un PDL et de microsegmentation. Le PDL est une nouvelle technologie très polyvalente qui offre un accès confidentiel et sécurisé aux applications de l’entreprise. La technologie est mise en œuvre dans le logiciel sur les appareils des utilisateurs finaux, les passerelles, les contrôleurs ou les serveurs. Un PDL peut s’acquérir comme un produit autonome (exploité par l’équipe réseau) ou en tant que service.

Analyse des tendances

Le PDL est une technologie plus récente, qui consiste pour les fournisseurs à ajouter rapidement de nouvelles fonctionnalités ou de nouveaux facteurs de forme. Les nouveautés comprennent tout particulièrement les interfaces du portail de gestion et les flexibilités sur les plans de l’attestation et des politiques. Parmi les autres facteurs de forme, on remarque les appareils de passerelle virtuelle clé en main, les fonctions de réseau virtuel (FRV) et les images logicielles sur les marchés du nuage public.

Le PDL et les technologies définies par logiciel en général bouleverseront le marché des fournisseurs de matériel traditionnel.

Le PDL n’est généralement pas utilisé pour accéder aux applications SaaS telles que Office 365 de Microsoft, Salesforce ou ServiceNow. Ainsi, les PDL ne recoupent pas les courtiers de sécurité d’accès au nuage.

Applicabilité à SPC

  • Mise à jour de son cadre de sécurité réseau actuel qui est dépassé
  • Conforme au mandat qui consiste à offrir un accès à distance sécurisé aux utilisateurs finaux
  • Consolidation des réseaux peut être facilitée à mesure que les composants des réseaux vieillissent

Tendance #3 : Microsegmentation

Qu’est-ce que la microsegmentation?

La microsegmentation est une capacité fondamentale qui prend en charge la ZTA. Par le passé, les clients avaient une obsession paranoïaque à propos des intrusions de l’extérieur touchant les périmètres du CD de leur organisation. Ils étaient convaincus d’avoir perdu le combat si une compromission se produisait dans la direction nord-sud. La mentalité a maintenant évolué : les clients reconnaissent que des compromissions sont non seulement possibles, elles se produisent, et qu’ils doivent plutôt chercher des moyens de réduire le plus possible les dommages. Avec la venue de l’automatisation et des logiciels plus performants, la microsegmentation a gagné un vaste public compte tenu de sa capacité d’atténuer les dommages causés par une intrusion lorsque le périmètre du CD a été compromis.

La microsegmentation réduit au minimum l’intrusion lorsqu’elle se produit, ce qui est inévitable. Au lieu d’utiliser des adresses IP et des zones de sécurité pour établir des politiques de segmentation, les politiques sont basées sur des attributs logiques (et non physiques) et procurent un contrôle d’accès granulaire aux applications.

Analyse des tendances

La virtualisation des réseaux est courante depuis un certain nombre d’années déjà. Elle agit ainsi en tant que catalyseur de la microsegmentation. Elle devient de plus en plus courante et semble être la meilleure solution pour lutter contre la limitation du trafic est-ouest.

Des solutions de microsegmentation de réseau perfectionnées assurent la surveillance et les flux de base, et émettent des alertes en cas d’anomalies. Elles évaluent également en permanence les niveaux relatifs de risque ou de confiance à l’égard du comportement observé au cours de la session réseau (p. ex., modèles de connectivité inhabituels, trafic excessif sur la bande passante, transferts de données excessifs et communication vers des URL ou des adresses IP pour lesquels le niveau de confiance est faible). Si une session réseau représente trop de risques, une alerte peut être déclenchée ou la session peut être interrompue.

Applicabilité à SPC

  • Confinement des compromission provenant de l’intérieur du CD (trafic est-ouest)
  • Intégration efficace dans une architecture de microservices
  • Harmonisation avec les exigences d’automatisation
  • Mise en œuvre et gestion grandement facilitées
  • Application de stratégies de segmentation cohérentes touchant les charges de travail sur les sites et dans le nuage
  • Bonne adaptation aux charges de travail qui hébergent des conteneurs répondant aux exigences de conformité

Tendance #4 : Service d’accès sécurisé en périphérie

Qu’est-ce que le service d’accès sécurisé en périphérie (SASE)?

Les exigences des activités numériques et de l’informatique en périphérie bouleversent les systèmes de trafic traditionnels, transformant ainsi fondamentalement ce modèle et entraînant une convergence des marchés d’extrémité de RE et de la sécurité des réseaux vers le SASE. Le SASE combine généralement des produits et des services pour offrir de nombreuses capacités telles que le REDL, le contrôleur d’optimisation de réseau étendu, la passerelle Web sécurisée (PWS), les courtiers de sécurité d’accès au nuage, le pare-feu de prochaine génération (PFPG), la ZTA et le PDL.

Analyse des tendances

Au cours des prochains mois, il y aura un certain nombre d’offres dans ce domaine, mais elles seront basées sur des appareils spécialement conçus pour une distribution diversifiée basée sur le nuage, originaires du nuage et optimisés pour fournir des services à très faible latence.

Il faut savoir que, au cours de cette transition, il y aura une grande quantité de logiciels de diapositives et de contenu marketing, en particulier de la part des titulaires qui ne sont pas bien préparés au modèle de diffusion dans le nuage à partir de points de présence distribués.

L’inversion des modèles de réseautique et de sécurité réseau établis par cette technologie transformera le paysage concurrentiel, offrira aux entreprises l’occasion d’en réduire la complexité et permettra à leur personnel de TI d’éliminer les aspects banals des opérations de réseau et de sécurité réseau.

Le SASE permettra de consolider l’ensemble des solutions de courtiers de sécurité d’accès au nuage, de PWS et de PDL, offrant ainsi aux utilisateurs un moyen transparent de se connecter aux applications de type SaaS, aux sites Web sur Internet et aux applications privées (qu’elles soient hébergées sur les sites ou dans le nuage public de type IaaS) en fonction du contexte et de la politique.

Applicabilité à SPC

  • Harmonisation avec SPC 3.0 – amélioration de l’expérience de l’utilisateur final
  • Capacité d’offrir une connectivité plus sûre et plus performante à l’échelle internationale
  • Meilleure évolutivité – dépendance moindre à des solutions ponctuelles et réduction des délais d’attente pour l’approvisionnement en matériel
  • Consolidation des solutions de courtiers de sécurité d’accès au nuage, de PWS et de PDL, offrant ainsi un moyen unifié aux utilisateurs du GC de se connecter aux applications de type SaaS, aux sites Web sur Internet et aux applications privées (qu’elles soient hébergées sur les sites ou dans le nuage public de type IaaS)

Tendance #5 : Orchestration et automatisation de la sécurité et intervention

Qu’est-ce que l’Orchestration et automatisation de la sécurité et intervention (OASI)?

L’OASI est une autre de ces nouvelles expressions à la mode. La communauté des fournisseurs de sécurité est fière de faire la promotion de ce terme lorsqu’elle fait la commercialisation de ses produits. Le fait est que l’automatisation et la correction complètes ne sont pas encore disponibles dans l’industrie et ne le seront pas avant quelques années. Les fournisseurs vantent leurs capacités en les qualifiant d’entièrement automatisées, mais en réalité, ils font l’une des deux choses suivantes :

  • exploitation des scripts externes en tant que modules complémentaires à leurs offres de base en tant que correctif;
  • intégration avec d’autres produits pour fournir un ensemble de solutions d’automatisation plus robuste.

Les outils d’OASI sont des technologies qui permettent aux organisations de recevoir des données provenant de diverses sources (principalement des systèmes de GIES) et d’appliquer des flux de travaux alignés sur les processus et les procédures. Les capacités supplémentaires comprennent des fonctions de gestion des cas et des incidents; la capacité de gérer les renseignements sur les menaces, les tableaux de bord et les rapports; et des analyses applicables à différentes fonctions. Les outils d’OASI améliorent considérablement les activités des opérations de sécurité comme la détection et la réponse aux menaces en fournissant une aide machine aux analystes humains pour améliorer l’efficacité et la cohérence des personnes et des processus.

Voici quels sont les aspects de l’OASI, dans le contexte des opérations de sécurité :

  • Agrégation : La possibilité d’agréger ou d’ingérer des données provenant de diverses sources.
  • Enrichissement : Que ce soit après l’identification de l’incident ou pendant la collecte et le traitement des données, les solutions d’OASI peuvent aider à intégrer les renseignements sur les menaces externes, effectuer des recherches contextuelles internes ou exécuter des processus pour recueillir des données supplémentaires en fonction d’actions définies.
  • Orchestration : La complexité de la combinaison des ressources suppose la coordination des flux de travaux avec des étapes manuelles et automatisées, impliquant de nombreux composants et ayant un effet sur les systèmes d’information et souvent aussi les humains.
  • Automatisation : Ce concept suppose la capacité des logiciels et des systèmes à exécuter eux-mêmes des fonctions, généralement pour influencer d’autres systèmes d’information et applications.
  • Intégration : La réponse manuelle ou automatisée apporte une solution standard aux activités définies par programme.

Analyse des tendances

Le marché de l’OASI en est encore à ses tout premiers balbutiements. De nombreuses acquisitions ont eu lieu au cours des dernières années et cela devrait se poursuivre, alors que les fournisseurs tentent d’améliorer la capacité de leurs plateformes existantes ou de les remplacer complètement. Les clients doivent être conscients de cette tendance et prévoir des mesures d’urgence si leur plateforme d’OASI actuelle est acquise par une autre entreprise.

Un certain nombre d’entreprises mettent en œuvre des outils d’OASI avec des cas d’utilisation principalement axés sur l’amélioration de l’efficacité des analystes du COS, afin qu’ils puissent traiter un plus grand nombre d’incidents tout en ayant plus de temps pour appliquer l’analyse humaine et accélérer les mesures d’intervention.

Applicabilité à SPC

  • Harmonisation avec le mouvement de SPC qui consiste à accroître l’automatisation et l’orchestration
  • Optimisation du COS
  • Amélioration en matière de pénuries de personnel et de manque de compétences
  • Surveillance des menaces et réponse
  • Enquête sur les menaces et réponse
  • Gestion des renseignements en matière de menace

Tendance #6 : Intelligence artificielle pour les opérations informatiques

Qu’est-ce que l’intelligence artificielle pour les opérations informatiques (AIOps)?

Les plateformes d’AIOps offrent la possibilité d’améliorer et, dans certains cas, de remplacer les plateformes des opérations de TI traditionnelles, principalement dans les domaines de la corrélation et de l’analyse d’événements. Elles exploitent les mégadonnées et les fonctionnalités d’apprentissage automatique pour analyser de vastes ensembles de données en réaction à la transformation numérique.

Voici certaines des capacités principales des plateformes d’AIOps :

  • L’ingestion de données provenant de diverses sources, y compris l’infrastructure, les réseaux, les applications, le nuage ou les outils de surveillance actuels (pour l’analyse interdomaine).
  • L’activation de l’analyse des données à l’aide de l’apprentissage automatique en deux points :
    • l’analyse en temps réel au point d’ingestion (analyse en continu);
    • l’analyse historique des données stockées.
  • Le stockage et l’accès aux données.
  • La proposition de réponses normatives à l’analyse.
  • Le déclenchement d’une action ou une étape suivante en fonction de la prescription (résultat de l’analyse).

Analyse des tendances

La tendance pour les plateformes d’AIOps repose sur une approche d’un gestionnaire de gestionnaires (GdG), selon laquelle d’autres plateformes d’opérations de TI envoient leurs données à la plateforme d’AIOps afin qu’elle procède à une analyse agrégée et produise des rapports, menant ainsi à une gestion opérationnelle simplifiée à efficacité accrue. Idéalement, les organisations recherchent une approche indépendante du domaine des AIOps qui puisse répondre à la plupart de leurs besoins. Cependant, aucune plateforme n’est actuellement disponible pour répondre à tous les besoins des clients; une approche de solutions centrée sur le domaine est donc adoptée pour combler cette lacune.

Puisque ces plateformes misent sur les technologies d’IA, elles dépendent de très vastes ensembles de données pour montrer leur efficacité et elles ne sont pas destinées à être déployées de manière isolée ou cloisonnée. Autrement dit, plus la plateforme a accès à des données, plus elle offre de la valeur. Grâce à l’avènement des mégadonnées, l’AIOps aura davantage de valeur avec le temps.

Applicabilité à SPC

  • Service de production de rapports simplifié et centralisé
  • Meilleure visibilité des infrastructures des partenaires – ANS amélioré
  • Bon cas d’utilisation pour un lac de données centralisé – les données des ministères partenaires peuvent alimenter la solution pour offrir davantage valeur

Tendance #7 : Services gérés en réseau – réseau étendu défini par logiciel

Qu’est-ce que le réseau étendu défini par logiciel (REDL)?

Le REDL est une approche définie par logiciel pour la gestion des RE. Voici les principaux avantages :

  • Elle permet un transport indépendant sur divers protocoles, tels que la MPLS, la 3G, la 4G et la LTE.
  • Elle améliore le rendement des applications opérationnelles, augmente l’agilité et réduit les coûts.
  • Elle optimise l’expérience utilisateur et l’efficacité des applications SaaS et celles dans le nuage public.
  • Elle simplifie les opérations grâce à l’automatisation et à la gestion en nuage.

Les fournisseurs de REDL gérés gèrent de manière opérationnelle les produits de REDL des clients, qui sont des appareils physiques ou des instances logicielles appartenant à l’entreprise ou comprises dans le service. Les produits de REDL gérés résident généralement dans les locaux du client, sont régis par un ANS et font l’objet de factures mensuelles récurrentes. Les fournisseurs proposent des services de REDL gérés indépendamment ou conjointement avec le transport RE. Pour être considéré comme un fournisseur de services de REDL gérés, le fournisseur doit proposer un point de contact unique (PCU) pour toute la gestion, y compris le transport RE, l’équipement des locaux du client du REDL et les fonctions logicielles requises.

Analyse des tendances

Les solutions de REDL sont désormais courantes, et les options offertes aux entreprises en matière de services de REDL gérés évoluent parallèlement à la croissance de la technologie REDL. Les options de conception de RE hybride continueront de s’étendre (et continueront d’être affectées par les services de REDL gérés).

Les capacités de sécurité du REDL continueront de s’étendre au-delà du pare-feu de base, car de plus en plus de fournisseurs intègrent la gestion unifiée des menaces comme la PWS et les systèmes de détection et de prévention des intrusions. De plus, les capacités d’optimisation et d’accélération du RE augmenteront au fur et à mesure qu’augmentera le nombre de fournisseurs qui intègrent des caractéristiques techniques du réseau en vue d’améliorer la qualité du service et le débit.

Applicabilité à SPC

  • Bonne solution de rechange relativement aux coûts à considérer lorsque les contrats de MPLS actuels devront être renouvelés
  • Potentiel d’externalisation en tant que service géré
  • Diversité des chemins pour la disponibilité et la réduction des coûts
  • Bonne harmonisation avec le passage de SPC vers une « infrastructure définie par logiciel »
  • Bonne solution de rechange pour les applications non sensibles à la latence
  • Option envisageable pour les nouveaux sites construits dans des endroits éloignés

Tendance #8 : Internet des objets

Qu’est-ce qu’Internet des objets (IdO)?

La notion d’IdO est définie comme suit :

« Un réseau de choses physiques (objets) qui contiennent une technologie intégrée afin de détecter ou d’interagir avec leur état interne ou leur environnement externe et qui sont capables d’envoyer des données à une plateforme numérique distante ou d’en recevoir. »

Analyse des tendances

Cinq tendances de l’IdO à incidence élevée

  • IA : L’IA s’appliquera à un vaste éventail de renseignements de l’IdO, y compris la vidéo, les images fixes, la parole, l’activité du trafic sur le réseau et les données des capteurs.
  • IdO social, juridique ou éthique : À mesure que l’IdO évolue, les problèmes de propriété et l’interprétation biaisée de ces données seront un sujet de préoccupation.
  • Courtage des données : Les données du système d’IdO peuvent être vendues à des personnes ou utilisées par des personnes qui ne sont pas l’appareil ou le propriétaire qui les a créées.
  • Maillage de l’IdO : Les couches de l’architecture périphérique seront dissoutes pour créer une architecture davantage non structurée composée d’un vaste éventail d’ » objets » et de services reliés à l’intérieur d’un maillage dynamique et souple.
  • Gouvernance de l’IdO : La gouvernance englobe la gestion opérationnelle des appareils de l’IdO, ainsi que les renseignements et les services fournis par les systèmes de l’IdO.

Applicabilité à SPC

  • Surveillance de l’utilité et de la sécurité des biens immobiliers
  • Surveillance des performances des appareils intelligents du GC
  • Économies de coûts
  • Sécurité
  • Inspection à distance par l’Agence canadienne d’inspection des aliments
  • Équipement d’inspection aux postes frontaliers
  • Systèmes nationaux de vidéosurveillance

Tendance #9 : Réseau 5G privé

Qu’est-ce que le réseau 5G privé?

Un réseau 5G privé, également appelé réseau 5G local ou non public, est un réseau local qui fournit une bande passante dédiée à l’aide de la technologie 5G. La 5G est la prochaine version des réseaux de données sans fil 4G ou LTE. La 5G introduit une bande passante plus élevée en utilisant un spectre radio différent qui permettra également de connecter un plus grand nombre d’appareils simultanément. Tous les principaux fournisseurs de services au Canada procèdent présentement à sa mise en œuvre. Un réseau privé 5G (local) est un réseau local qui offre une bande passante dédiée à l’aide de la technologie 5G.

Les déploiements 5G privés et publics valident l’IdO. On s’attend à ce que les fournisseurs de services proposent des réseaux superposés sur le réseau public 5G permettant la création de RPV redirigés vers des réseaux privés. Il s’agit d’une solution de rechange au déploiement d’équipement 5G privé. Cela offre la possibilité d’externaliser ce modèle de connectivité au lieu d’une solution intégrée au Canada.

Analyse des tendances

La version 16 de la 5G pourrait devenir la technologie de RL et de RE prédominante au monde au cours des 10 à 20 prochaines années, en particulier dans les nouvelles constructions. Dans les nouveaux immeubles, usines, ports ou campus, on peut réduire considérablement l’utilisation de connexions filaires en mettant en œuvre la 5G privée. Les cinq prochaines années devraient voir un essor des mises en œuvre de la 5G privées dans des endroits qui bénéficieraient grandement d’une meilleure technologie sans fil en termes de vitesse, de capacité et de latence.

À court terme, la 5G offrira une bande passante plus élevée et des connexions à latence plus faible que les générations précédentes, et ce, dans de nombreux cas, sous forme de réseaux d’accès sans fil fixes et de premiers réseaux d’IdO.

Applicabilité à SPC

  • Communications de l’IdO
  • Nouvelles constructions dans des endroits éloignés (à l’étranger)
  • Vidéo à haute définition
  • Améliorations des immeubles du GC

Tendance #10 : Réseautique en nuages

Qu’est-ce que la réseautique en nuages?

Alors que de plus en plus de clients optent pour une approche en nuages pour offrir des services de TI, ceux-ci recherchent un moyen transparent de les gérer et de les exploiter. La réseautique en nuages fait référence à l’infrastructure réseau pour prendre en charge l’utilisation des services en nuage de nombreux fournisseurs de nuage publics, y compris la connectivité aux fournisseurs ainsi qu’entre eux.

Les solutions de réseautique en nuages sont basées sur des logiciels et offrent une politique de réseau cohérente entre les divers fournisseurs en nuage. Elles comprennent les réseaux superposés, la gestion des API des fournisseurs en nuage ou d’autres mécanismes. La réseautique en nuages ressemble à une structure Ethernet dans laquelle de multiples composants sont gérés comme s’il s’agissait d’une structure unique où la stratégie est créée de manière centralisée.

Analyse des tendances

Bien que l’infonuagique soit devenu assez courante, la réseautique en nuages en est aux premiers stades de son adoption. Un certain nombre d’organisations peuvent mettre en œuvre l’informatique en nuages sans avoir recours à la réseautique en nuages, et la plupart le font d’ailleurs.

D’ici à l’adoption généralisée de la réseautique en nuages, cependant, les organisations qui cherchent à mettre en œuvre de telles solutions doivent recourir à des solutions de virtualisation de réseau sur des nuages telles que ACI de Cisco et NSX de VMware pour combler les lacunes ou traiter les fonctionnalités opérationnelles essentielles lorsque les capacités d’origine du nuage n’offrent pas cette fonctionnalité.

Applicabilité à SPC

  • Connectivité transparente et interface de gestion centrale entre différents fournisseurs
  • Capacité de production de rapports centralisée
  • Réduction de la dépendance ou de l’asservissement aux fournisseurs
  • Déplacement des ressources de stockage entre les fournisseurs lorsque les prix changent

Tendance #11 : Réseau à la demande

Qu’est-ce que les services de réseau à la demande (RD)?

Les services de RD sont des services de transport du RE assurés par des fournisseurs de services de réseau (FSR) et des fournisseurs de services gérés (FSG). Ils sont généralement offerts au moyen d’un portail ou de l’API d’un fournisseur. Les changements de capacité et de configuration peuvent être effectués à la volée en temps réel et ne sont pas fixes. Les changements peuvent être effectués à la demande, par le client, et ne nécessitent pas le recours à un long processus de commande.

Ces services sont souvent basés sur une technologie définie par logiciel et permettent de modifier en temps réel les attributions des ports et de la bande passante. Les clients peuvent même ajouter ou supprimer des points de terminaison de réseau, comme la connexion au nuage et les connexions avec l’extranet.

Analyse des tendances

Pour prendre en charge la connectivité en nuage et l’IdO, il existe une nouvelle génération de services de réseau à la demande qui offrent une agilité et une souplesse accrues. À l’heure actuelle, le principal cas d’utilisation de ces nouvelles offres concerne la connectivité à de nouveaux points de terminaison, comme les services en nuage. Ils peuvent également prendre en charge une migration du trafic réseau en provenance de la MPLS vers les services Internet.

Les organisations qui désirent profiter de ces services cherchent principalement à optimiser les coûts et à favoriser l’agilité. Les solutions de réseau à la demande commenceront à présenter des taux d’adoption plus élevés, en particulier en ce qui concerne les services de bande passante dynamique à mesure qu’ils continuent d’évoluer, puisqu’ils ajoutent une grande valeur aux entreprises en termes de vitesse et de flexibilité.

Les services de transmission de la voix et des données doivent représenter un élément clé au moment d’évaluer les services de RD.

Applicabilité à SPC

  • Migration et consolidation simplifiées du réseau
  • Approvisionnement à la demande du site utilisant un réseau périphérique et de la connectivité du nuage
  • Meilleure expérience de l’utilisateur pour les services de transmission de la voix et des données
  • Optimisation des coûts
  • Meilleure planification des capacités

Annexe B : Feuille de route en matière de réseau et de sécurité

Carte fondée sur la séquence et détaillée des capacités indiquant les étapes à suivre pour offrir une orientation dans le cadre du changement de paradigme de la TI.
Description textuelle – Description longue – Feuille de route en matière de réseau et de sécurité

La feuille de route en matière de réseau et de sécurité décrit les étapes progressives des capacités nécessaires pour passer de l’état actuel à l’état final prévu. Cette évolution nécessitera la mise en place de certaines étapes et technologies spécifiques aux disciplines « réseau », « sécurité » et « identité ».

La discipline « réseau » illustre :

  • les capacités financées en cours de réalisation, comme pour le réseau d’entreprise, le réseau périphérique, la gestion centralisée;
  • les capacités non financées de la prochaine étape, comme pour le transport et les réseaux définis par logiciel à l’échelle locale;
  • les capacités à acquérir pour la prochaine étape, comme pour l’automatisation et l’orchestration, l’accès au réseau à zéro confiance;

La discipline « sécurité » illustre :

  • les capacités financées en cours de réalisation, comme pour les analyses des vulnérabilités, la sécurité du périmètre, l’accès à distance;
  • les capacités non financées de la prochaine étape, comme pour la sécurité des points de terminaison, la journalisation centralisée, la surveillance continue, la cyberanalyse;
  • les capacités à acquérir pour la prochaine étape, comme pourl le développement, la sécurité et les opérations (DevSecOps), le contrôle d’accès contextuel.

La discipline « identité » illustre :

  • les capacités financées en cours de réalisation, comme pour l’authentification par certificat, la fédération, la gestion des accès privilégiés;
  • les capacités non financées de la prochaine étape, comme pour la modernisation de l’ICP, les données d’identité communes, l’AMF des applications, l’identité centralisée;
  • les capacités à acquérir pour les prochaines étapes, comme l’AMF d’entreprise, la certification d’accès, les interfaces de protocoles d’application des services d’identité.

Toutes ces disciplines sont liées entre elles pour permettre d’atteindre l’état final des AIOps, de l’OASI, de l’authentification adaptative par mot de passe et de l’identité hybride d’intelligence artificielle.

Annexe C : Projets en cours

*Voir la section 3 pour consulter le tableau des facteurs opérationnels

ADNS – Activation et défense du nuage sécurisé

Procure une connectivité sécurisée en nuage pour les charges de travail de niveau Protégé B. Doit être considéré comme faisant partie de toute exigence de connectivité du réseau externe, comme mentionné dans la section Connectivité. SPC est toujours en train de déterminer si les composants de point d’interconnexion fiable ou de point d’accès au nuage d’ADNS résideront sur place ou dans le nuage, ce qui aura une incidence sur la solution de surveillance.

Résultat :

Dépendances :

Pilier : Connectivité

Échéancier : Année 1

VSSPT – Visibilité, sensibilisation et sécurité de point de terminaison

Approche d’entreprise en matière de sécurité des points de terminaison améliorant la visibilité et la connaissance de tous les appareils d’extrémité sur les réseaux du GC et de SPC afin de connaître la cybersituation dans l’ensemble de l’entreprise (GC/SPC). Découverte et évaluation automatisées des biens pour prendre en charge les correctifs du système d’exploitation et des applications, la gestion des devises et les exigences de renforcement.

Résultat :

Dépendances :

Pilier : Contrôle de l’accès

Échéancier : Année 1

GVCE – Gestion de la vulnérabilité et de la conformité d’entreprise

Vulnérabilité, services et capacités en matière de conformité de l’entreprise offrant une approche et une solution technologique unifiées pour la gestion des vulnérabilités.

Résultat :

Dépendances :

Pilier : Contrôle de l’accès

Échéancier : Année 1

ADR – Authentification des dispositifs réseau

L’ADR fait partie du programme de sécurité de l’infrastructure d’entreprise de SPC pour mettre en œuvre un service d’authentification de dispositifs réseau d’entreprise qui comprend une authentification du réseau basée sur des certificats.

Elle centralise la gestion du cycle de vie des certificats d’entités qui ne sont pas des personnes (ENP) et fournit des rapports sur les transactions d’authentification, d’autorisation et d’audit (AAA) pour l’audit de sécurité, la conformité et l’amélioration des services.

Résultat :

Dépendances :

Pilier : Contrôle de l’accès

Échéancier : Année 2

MADP – Migration d’accès à distance protégé

Intégrer et rationaliser entièrement l’infrastructure d’accès à distance protégé (ADP) existante et consolider le processus de connexions ADP dans les CDE. Transformer les services d’ADP en un service de données d’entreprise à partir d’un service ministériel.

Résultat :

Dépendances :

Pilier : Contrôle de l’accès

Échéancier : Année 2

MRP – Modernisation du réseau périphérique

Le projet Éclaireur de MRP définira un service de réseau reproductible qui pourra être utilisé pour déployer la structure et les services du réseau d’entreprise dans l’ensemble du GC. L’infrastructure physique standard doit être de la plus haute qualité et de la dernière technologie pour prendre en charge tout service ou utilisateur du GC et permettre une véritable mobilité. Le projet Éclaireur de MRP jettera les bases qui permettra à tous les travailleurs du GC d’avoir accès aux plus de 3 500 emplacements du GC en tant que sites de travail potentiels. Il fournira les éléments de base pour la virtualisation et l’automatisation du réseau.

Résultat :

Dépendances : Voir l’analyse de rentabilité de MRP pour la liste complète des dépendances

Pilier : Connectivité

Échéancier : Années 3 à 5

RGC – Réseau de gestion central

Améliore l’expérience des ressources de soutien en offrant un guichet unique pour gérer en toute sécurité toutes les infrastructures et tous les services des partenaires situés dans les CD (CDE et anciens centres), améliorant ainsi la disponibilité et la fiabilité des services.

Résultat :

Dépendances : Comment la connectivité se fera-t-elle?

Pilier : Approvisionnement

Échéancier : Années 3 à 5

SPE – Sécurité du périmètre de l’entreprise

La ZTA est une approche architecturale clé pour la stratégie en matière de réseau et de sécurité de l’avenir et suppose que le périmètre du réseau est devenu un périmètre « virtuel ». SPC devra s’assurer que la conception et l’architecture du projet de SPE sont alignées sur les principes clés d’une ZTA.

Résultat :

Dépendances : Projets RGC, SPE, GAIP, DNS et ADNS

Pilier : Contrôle de l’accès

Échéancier : Année 1 (en cours)

GIES – Gestion de l’information et des événements de sécurité

Solution de GIES d’entreprise du GC entièrement intégrée offrant une visibilité et une réponse automatisée aux cyberattaques. Elle permet une détection accélérée des menaces et une réponse aux incidents de sécurité.

Résultat :

Dépendances :

Pilier : Contrôle de l’accès

Échéancier : Année 1

SACI – Service d’authentification centralisé interne

Le SACI dispose d’une capacité d’authentification centralisée pour que l’authentification des utilisateurs finaux ne se fasse plus à chaque application d’entreprise du GC, offrant ainsi une solution d’authentification pangouvernementale.

Le passage à la ZTA entraînera des exigences de capacité accrues pour tous les composants de SACI, car le processus d’authentification et d’autorisation centralisée de l’utilisateur final, de l’entité ou de l’appareil devient continu et multimodal. Ce programme devra être harmonisé avec la ZTA.

Résultat :

Dépendances :

Pilier : Contrôle de l’accès

Échéancier : Année 1

Profils du milieu de travail numérique du GC

Série normalisée de profils d’expérience des employés qui sont fondées sur les fonctions en vue d’établir un milieu de travail numérique normalisé, ainsi que des services connexes de TI centrés sur les employés qui seront schématisés et offerts.

Il existe deux activités qui s’unissent autour de la définition de l’espace de travail numérique :

Résultat :

Dépendances : S.O.

Pilier : Contrôle de l’accès

Échéancier : Année à déterminer

Détails de la page

Date de modification :