Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage du gouvernement du Canada

1.1 Background

L’informatique en nuage apporte un important changement dans la façon dont les services de systèmes d’information sont livrés, et le gouvernement du Canada (GC) devra se placer de façon à pouvoir tirer profit de ce modèle de prestation de services de rechange. L’adoption de l’informatique en nuage permettra au GC de continuer à maintenir l’excellence des services durant une période de demande accrue par les Canadiens pour des services en ligne et un accès opportun à l’information exacte. Ce changement en élaboration aura une incidence sur la façon dont nous approvisionnons, sécurisons et travaillons avec les systèmes d’information qui appuient les programmes et les services ministériels du GC.

Sous le paradigme de l’informatique en nuage, le GC dépendra des fournisseurs sur plusieurs aspects de la sécurité et de la vie privée et, ce faisant, confèrera un niveau de confiance envers le fournisseur de services d’informatique en nuage (FSI). Afin d’établir cette confiance, le GC doit adopter une approche et des procédures de gestion des risques à la sécurité du système d’information qui soient adaptées à l’informatique en nuage.

1.2 But et portée du document

Le présent document décrit les responsables, l’approche et les procédures de gestion des risques de sécurité aux services du GC lorsqu’ils sont hébergés sur des services d’informatique en nuage fournis par des fournisseurs de services commerciaux.

1.3 Public

Le présent document doit être utilisé par les propriétaires fonctionnels, les gestionnaires de projets, praticiens de système et de la sécurité des systèmes, les FSI et autres fournisseurs fournissant des services externalisés à titre de source initiale d’orientation afin de veiller à ce que les activités appropriées de gestion des risques de sécurité soient achevées à la mise en œuvre des services d’informatique en nuage du GC.

2.1 Stratégie d’adoption de l’informatique en nuage du gouvernement du Canada

La Stratégie d’adoption de l’informatique en nuage du GC ^{Voir la note en bas de page 1} orientera les ministères et les organismes dans l’adoption de services d’informatique en nuage qui soient plus rentables et sécuritaires. Les ministères et les organismes pourront sélectionner des services d’informatique en nuage à partir de plusieurs options, qui comprendront des prolongations aux solutions actuelles et aux offres privées et publiques en matière de nuage. La Stratégie appuie deux grands objectifs :

• aider à équilibrer la demande en matière de services de système d’information à la demande pour ces services;
• offrir une approche uniforme à la façon dont les risques de l’adoption de l’informatique en nuage seront gérés.

Bien que la Stratégie confère le pouvoir au GC dans son adoption de services d’informatique en nuage, les ministères et organismes du GC demeurent responsables de la confidentialité, de l’intégrité et de la disponibilité des services de système d’information du GC lors de la mise en place ou de la migration vers un environnement de nuage. Par conséquent, les ministères et les organismes du GC devront comprendre la sécurité du nuage et veiller à ce que les risques soient abordés de façon efficace.

2.2 Cadres de fondement

L’approche et les procédures de gestion de risque de la sécurité de l’informatique en nuage du GC ont été tirées des normes, des recommandations et des lignes directrices liées à la gestion des risques de sécurité de à l’informatique en nuage et du système d’information suivantes :

• l’orientation relative à la gestion des risques à la sécurité du système d’information du Centre de la sécurité des télécommunications (CST), qui est publiée dans la publication 33 du Conseil en matière de sécurité des technologies de l’information (ITSG-33) ^{Voir la note en bas de page 2};
• les normes du National Institute of Standards and Technology (NIST) sur la gestion des risques à la sécurité du système d’information, qui sont propres à la série 800 de publications spéciales ^{Voir la note en bas de page 3 Voir la note en bas de page 4};
• l’Architecture de référence de l’informatique en nuage du NIST, qui est consignée dans la publication spéciale 500-292 ^{Voir la note en bas de page 5};
• l’Architecture de référence pour la sécurité de l’informatique en nuage, qui est documentée dans la publication spéciale 500-292 ^{Voir la note en bas de page 6};
• le Federal Risk and Authorization Management Program (FedRAMP), qui appuie la première initiative du nuage du gouvernement des États-Unis ^{Voir la note en bas de page 7}.

2.3 Modèle de service d’informatique en nuage

L’Architecture de référence de l’informatique en nuage du NIST (publication spéciale 500-292) ^{Voir la note en bas de page 5} présente les définitions des divers types de modèles de service. Les modèles de service décrivent, de façon générale, quel type de service le FSI offre aux consommateurs : une application, une plateforme de programmation ou des ressources informatiques brutes. Dans les scénarios d’informatique en nuage, le consommateur dans le nuage possède trois modèles de service différents parmi lesquels choisir : infrastructure comme service (IaaS), plateforme comme service (PaaS) et logiciel comme service (SaaS).

Dans un déploiement IaaS, la capacité fournie au consommateur consiste à pourvoir au traitement, au stockage, aux réseaux, ainsi qu’à d’autres ressources informatiques fondamentales, où ce dernier peut déployer et exécuter des logiciels arbitraires, qui peuvent inclure des systèmes d’exploitation et des applications.

Dans un déploiement PaaS, la capacité fournie au consommateur consiste à déployer sur l’infrastructure en nuage des applications qu’il a acquises ou créées à l’aide de la programmation, de bibliothèques, de services et d’outils pris en charge par le fournisseur.

Dans un déploiement SaaS, la capacité fournie au consommateur consiste à utiliser les applications du fournisseur qui s’exécutent sur une infrastructure en nuage. Les applications sont accessibles à partir de plusieurs dispositifs clients au moyen d’une interface de client léger, comme un navigateur Web (p. ex., courriel axé sur le Web) ou une interface de programme.

2.4 Modèles de déploiement de l’informatique en nuage

Les modèles de déploiement décrivent la relation entre le fournisseur de services d’informatique en nuage et le consommateur de services d’informatique en nuage – par exemple, le consommateur pourrait être une de plusieurs entités qui utilisent le service en nuage d’un fournisseur, il peut avoir un accès exclusif à un service en particulier, ou il peut posséder et exploiter son propre nuage. Il existe quatre modèles de déploiement du nuage selon la NIST ^{Voir la note en bas de page 5} : public, privé, communautaire et hybride.

Dans un nuage public, l’infrastructure d’informatique en nuage est fournie pour une utilisation offerte au public en général. Elle peut appartenir, être gérée et être exploitée par une organisation commerciale, une organisation scolaire ou une organisation gouvernementale, ou une combinaison de celles-ci. Elle existe dans les locaux du fournisseur de nuage.

Dans un nuage privé, l’infrastructure d’informatique en nuage est fournie pour l’usage exclusif d’une seule organisation composée de nombreux consommateurs (p. ex., des unités fonctionnelles). Il peut appartenir, être géré et être exploité par l’organisation, un tiers ou une combinaison de ceux-ci et peut exister dans les locaux du fournisseur ou en dehors de ceux-ci.

Dans un nuage communautaire, l’infrastructure d’informatique en nuage est fournie pour l’usage exclusif d’une collectivité particulière de consommateurs provenant d’organisations qui ont des préoccupations communes (p. ex., une mission, des exigences de sécurité, une politique et des considérations liées à la conformité). Il peut appartenir, être géré et être exploité par une ou plusieurs des organisations dans la collectivité, un tiers ou une combinaison de ceux-ci et peut exister dans les locaux du fournisseur ou en dehors de ceux-ci.

Dans un nuage hybride, l’infrastructure d’informatique en nuage est un composé de deux ou plusieurs infrastructures en nuage distinctes (privé, communautaire ou public) qui demeurent des entités uniques, mais qui sont liés ensemble par une technologie normalisée ou propriétaire permettant la portabilité des données et des applications.

2.5 Acteurs

Pour réussir, l’approche de gestion de risque de la sécurité de l’informatique en nuage du GC se fonde sur les activités de plusieurs acteurs, certains fonctionnent de façon indépendante du GC. Ces acteurs sont les suivants :

• Fournisseur de services d’informatique en nuage (FSI) : Tout fournisseur commercial de services d’informatique en nuage qui souhaite offrir ses services au GC. Un FSI pourrait détenir une certification^{Voir la note en bas de page 16} ou non pour ses services d’informatique en nuage lorsqu’il participe pour la première fois au processus de gestion des risques du GC.
• Courtier en services d’informatique en nuage : Une organisation qui joue le rôle d’intermédiaire entre les FSI et les consommateurs en fournissant différents types de services de courtage, y compris le marché du nuage.
• Organisation de consommateurs du GC : Tout ministère ou organisme du GC qui souhaite acquérir un service d’informatique en nuage afin de mettre en œuvre un service d’informatique en nuage du GC.
• Évaluateur de la sécurité de tierce partie : Toute organisation fonctionnant de façon indépendante des FSI et du GC qui mène des évaluations de sécurité sous un ou plusieurs programmes de certification de sécurité.
• Évaluateur de la sécurité du GC : Une organisation du GC (ou une personne agissant au nom de celle-ci) qui mène des évaluations de la sécurité des services d’informatique en nuage.
• Évaluateur de la sécurité du ministère : Une organisation ministérielle (ou une personne agissant au nom de celle-ci) qui mène des évaluations de sécurité des services d’informatique en nuage du GC.
• Autorisateur : L’organisation du GC chargée de la sécurité d’un service d’informatique en nuage du GC et qui doit autoriser ses opérations en fonction des résultats des évaluations de sécurité.

2.6 Courtier en matière d’informatique en nuage du GC et marché

Services partagés Canada (SPC) jouera le rôle de courtier en matière d’informatique en nuage pour le GC. Par conséquent, SPC sera chargé d’ajouter des services autorisés d’informatique en nuage des FSI commerciaux dans un marché de l’informatique en nuage aux fins de sélection et de consommation par les organisations consommatrices du GC. SPC sera également responsable des autres responsabilités générales de courtier en matière d’informatique en nuage, y compris la gestion des relations avec les FSI, la facturation, et la surveillance de la consommation des services d’informatique en nuage.

3.1 Aperçu du processus

Les ministères et organismes du GC sont ultimement responsables des risques de sécurité encourus par leur utilisation de services de système d’information offerts par des fournisseurs externes, y compris les services d’informatique en nuage fournis par les FSI et les courtiers en matière d’informatique en nuage. Par conséquent, le GC doit adopter une approche structurée de gestion des risques qui rend compte de l’ajout de services d’informatique en nuage dans leurs services de système d’information pour appuyer leurs objectifs et leurs résultats de programme.

Comme le montre la figure 3-1, le processus de gestion des risques à la sécurité de l’informatique en nuage du GC est composé d’une série de procédures mises en place par une combinaison de ressources des FSI et du GC, à l’exception de l’autorisation, puisque cette procédure demeure une responsabilité gouvernementale inhérente qui est directement liée à la gestion des risques de sécurité du système d’information.

Figure 3-1 - Version textuelle

Le processus gestion des risques à la sécurité informatique en nuage du GC est constitué d’une série d’activités, soit :

• effectuer la catégorisation de la sécurité;
• sélectionner un ensemble approprié de mesures de sécurité, de modèles de déploiement de l’informatique en nuage, de modèles de services d’informatique en nuage;
• évaluer les services d’informatique en nuage, mettre en œuvre les mesures de sécurité du GC, autoriser les opérations;
• surveiller continuellement l’état d’autorisation et le tenir à jour.

3.2 Catégorisation de la sécurité

Figure 3-2 - Version textuelle

Le processus gestion des risques à la sécurité de l’informatique en nuage du GC est constitué d’une série d’activités, soit :

• déterminer les processus opérationnels et les actifs d’information [avec les entrées des] initiatives ministérielles, des missions et des mandats, de la TI et des stratégies informatiques en nuage;
• évaluer les niveaux de préjudice à l’égard des processus et des actifs (liés aux dimensions de confidentialité, d’intégrité et de disponibilité) avec les entrées du GC et l’orientation du ministère en matière de sécurité, telle que les instruments de politique, ITSG-33, NIST, etc.);
• déterminer la catégorie de sécurité, y compris la valeur maximale;
• documenter les constatations de la catégorisation de la sécurité dans un rapport sur la catégorisation de la sécurité qui est approuvé par le propriétaire fonctionnel.

3.3 Sélection du profil des mesures de sécurité

3.4 Déploiement de l’informatique en nuage et sélection du modèle de service

Comme le décrit la section ‎2, les services d’informatique en nuage de système d’information fonctionnent dans divers modèles de déploiement (public, privé, communautaire, et hybride) et modèles de service (IaaS, PaaS, et SaaS). Au déploiement d’un service d’informatique en nuage, les organisations consommatrices du GC doivent déterminer le type de déploiement d’informatique en nuage et de service d’informatique en nuage pour leur service du GC. Cette sélection sera motivée par plusieurs facteurs; par exemple, la nature du service du GC, le niveau de contrôle que l’organisation consommatrice du GC veut avoir sur la plateforme sous-jacente, et le niveau d’expertise et de maturité de l’organisation consommatrice du GC dans l’utilisation et la tenue à jour des environnements de système d’information fondés sur l’informatique en nuage.

3.5 Mise en œuvre des mesures de sécurité

Lorsque vous mettez en œuvre un profil d’informatique en nuage du GC, le FSI est responsable d’une grande partie des mesures de sécurité de base. Toutefois, afin de répondre aux exigences de sécurité du GC, il existe plusieurs mesures de sécurité qu’une organisation consommatrice du GC doit mettre en œuvre entièrement ou en partie. La figure 3-3 donne un aperçu du partage des responsabilités pour la mise en œuvre des mesures de sécurité entre le FSI et l’organisation de consommateurs du GC.

Figure 3-3 - Version textuelle

Étendue des responsabilités pour les mesures de sécurité aux différentes couches architecturales s’appliquant aux modèles de service d’informatique en nuage.

Infrastructure comme service

• Géré par le consommateur
• Accès et identité de l’utilisateur
• Données
• Application
• Plateforme
• Géré par le fournisseur de service
• Abstraction des ressources et contrôle
• Matériel
• Installation

Plateforme comme service

• Géré par le consommateur
• Accès et identité de l’utilisateur
• Données
• Applications
• Géré par le fournisseur de services
• Plateforme
• Abstraction des ressources et contrôle
• Matériel
• Installation

Logiciel comme service

• Géré par le consommateur
• Accès et identité de l’utilisateur
• Données
• Géré par le fournisseur de services
• Applications
• Plateforme
• Abstraction des ressources et contrôle
• Matériel
• Installation

La nature des mesures de sécurité qu’une organisation consommatrice du GC doit mettre en œuvre dans le cadre d’un service d’informatique en nuage est dictée par le modèle de service selon lequel le service du GC est déployé. Par exemple, si le modèle de service d’informatique en nuage est IaaS, l’organisation consommatrice du GC doit mettre en œuvre des mesures de sécurité des couches de plateforme et d’application de la pile technologique. Ceux-ci comprennent les mesures de sécurité pour le contrôle d’accès, l’audit et la responsabilisation, l’identification et l’authentification, la protection des systèmes et des communications, la gestion de la configuration, la planification d’urgence, l’intervention en cas d’incident, la maintenance, et l’intégrité des systèmes et de l’information. Même sous le modèle de service d’informatique en nuage SaaS, l’organisation consommatrice du GC doit mettre en œuvre des mesures pour gérer l’accès des utilisateurs, mener des audits, et intervenir en cas d’incident.

3.6 Évaluation de sécurité et autorisation

3.6.2 Schématiser les mesures de sécurité selon les programmes de certification existants

Puisqu’une organisation consommatrice du GC n’exerce pas un contrôle direct sur toutes les mesures de sécurité dans un service d’informatique en nuage du GC, ou une visibilité suffisante dans la conception, l’élaboration, l’installation, et l’évaluation de ces mesures de sécurité, des approches d’évaluation de sécurité de rechange doivent être appliquées. Dans l’approche de gestion des risques à la sécurité de l’informatique en nuage du GC, ceci est effectué par l’évaluateur de la sécurité du GC en tenant compte d’autres évaluations de sécurité qui ont été menées, ou sont en cours. Les résultats de ces évaluations de sécurité, s’ils sont jugés applicables et fiables, sont intégrés dans les évaluations de sécurité du GC.

Dans le contexte de l’approche de gestion des risques à la sécurité de l’informatique en nuage du GC, ces évaluations de sécurité consistent principalement en des certifications par des tiers. Une certification par des tiers exige un tiers indépendant qui est objectif et qui applique des normes professionnelles aux preuves qu’il examine et produit. Une autoévaluation a moins de valeur parce qu’elle n’est pas examinée par un tiers.

Les profils des mesures de sécurité du GC comprennent la schématisation des certifications de sécurité existantes afin d’orienter l’évaluateur de la sécurité du GC à associer des preuves acceptables aux mesures de sécurité requises.

Figure 3-4 - Version textuelle

L’approche de gestion des risques à la sécurité informatique en nuage du GC comprend le concept de réutilisation de la preuve de certification. Le profil des mesures de sécurité du GC pour l’informatique en nuage comprend la schématisation de preuves acceptables provenant des certifications de l’industrie, telles que les rapports de vérification AICPA SOC 2, la certification de niveau 2 CSA STAR, la certification ISO 27001 par un tiers.

Les mesures de sécurité propres aux Canadiens ou les mesures ministérielles nécessiteront des preuves supplémentaires ainsi qu’une évaluation du GC de ces mesures de sécurité supplémentaires.

3.6.4 Superposition d’autorisations

Dans l’espace de l’informatique en nuage, plusieurs systèmes se fient à d’autres fournisseurs d’informatique en nuage afin de fournir un ensemble complet de services pour le client final. Par exemple, un fournisseur de logiciels qui exploite un fournisseur d’infrastructure pour faire une offre SaaS. Dans ce cas, le fournisseur de logiciels héritera des mesures de sécurité ayant été mises en œuvre par le fournisseur d’infrastructure.

L’approche de gestion des risques à la sécurité de l’informatique en nuage du GC permet la superposition d’autorisations comme composantes de base. Dans ce modèle, l’autorisation pour chaque système de nuage doit seulement décrire la mise en œuvre de ce système spécifique. Par exemple, un fournisseur de services SaaS ne préciserait pas dans sa propre documentation les détails de la mise en œuvre ou la preuve liée au service d’infrastructure dont il tire parti. Ceci réduit le nombre de certifications ou d’évaluations de sécurité, élimine la redondance dans les dossiers d’autorisation et garde les autorisations délimitées par des limites des systèmes d’information.

À peu près de la même façon que le fournisseur de services dans l’exemple ci-dessus s’appuie sur le fournisseur d’infrastructure pour offrir des services, le fournisseur de logiciels s’appuie également sur la mise en œuvre de sécurité et l’autorisation du fournisseur d’infrastructure pour appuyer sa mise en œuvre de sécurité et son autorisation. En conséquence, si un FSI a hérité des mesures, l’autorisation de ce FSI dépendra de l’autorisation du FSI duquel il hérite les mesures et des systèmes qu’il utilise pour offrir le service final.

Figure 3-5 - Version textuelle

Le cas d’utilisation de la superposition d’autorisations comprend plusieurs couches, soit :

• pour les couches de l’IaaS et de la PaaS, un certain nombre de mesures seront évaluées conformément à ISO27001, AICPA SOC2 ou à une autre certification ou audit dans le cadre d’une autorisation provisoire du fournisseur de services;
• pour les couches du SaaS, un certain nombre de mesures seront évaluées conformément à ISO27001, AICPA SOC2 ou à une autre certification ou audit dans le cadre d’une autorisation provisoire du fournisseur de services;
• les mesures ministérielles supplémentaires seront évaluées par le ministère.

Le résultat est une autorisation ministérielle qui englobe les autorisations provisoires en plus de l’évaluation des mesures ministérielles.

3.7 Surveillance continue et maintien de l’autorisation

L’approche de gestion des risques liés à l’informatique en nuage du GC va au-delà de la mise en œuvre en ce qu’elle intègre des activités de surveillance continue et d’entretien des autorisations dans le cadre de l’étape opérationnelle des services d’informatique en nuage du GC. Au moyen de la surveillance continue, les organisations consommatrices du GC sont dotées des capacités nécessaires pour trouver les écarts de sécurité de l’état d’autorisation dans les FSI et les composantes du GC des services d’informatique en nuage du GC. Au moyen du maintien de l’autorisation, les organisations consommatrices du GC sont alors dotées des capacités nécessaires pour réagir à ces écarts de façon rapide et efficace.

4.1 Rôles et responsabilités

Le tableau ci-dessous précise les rôles et responsabilités de divers auteurs en ce qui concerne les procédures de gestion des risques de sécurité. Tous les rôles, à l’exception du FSI et de l’évaluateur de la sécurité des tiers, sont des rôles ministériels ou du GC, selon le type de service de système d’information mis en œuvre (propre à l’organisation, au ministère, entre autres).

4.2 Déterminer la catégorie de sécurité du service du GC

Qui : Propriétaires fonctionnels en consultation avec les praticiens de la sécurité de la TI.

Quoi : Déterminer la catégorie de sécurité du service du GC qui sera hébergée dans un service d’informatique en nuage.

Quand : La catégorie de sécurité d’un service du GC est nécessaire afin de déterminer le modèle de déploiement en nuage qui est applicable, et le profil des mesures de la sécurité qui convient le mieux. Cette activité devrait se produire tôt dans le processus du CVDS et elle est essentielle à l’approvisionnement et au déploiement approprié des capacités et modèles de déploiement dans le nuage adéquat au sein de la Stratégie d’adoption de l’informatique en nuage du GC.

Comment : À l’aide des sous-activités décrites ci-dessous.

Un outil de catégorisation de la sécurité est disponible pour appuyer les organisations consommatrices du GC dans l’exécution de catégorisation de la sécurité. Cet outil fournit une méthodologie normalisée pour saisir les renseignements sur les processus opérationnels et les actifs d’information, évaluer les niveaux de préjudice et extrapoler une catégorie de sécurité de ligne de limite supérieure pour la confidentialité, l’intégrité et la disponibilité.

4.10 Surveiller et maintenir constamment les autorisations

Surveillance continue de la sécurité de l’information (SCSI)

Maintenir une sensibilisation continue à la sécurité de l’information, aux vulnérabilités et aux menaces pour appuyer les décisions de gestion du risque organisationnel ^{Voir la note en bas de page 15}.

La documentation d’autorisation a pour but de documenter et de communiquer la décision d’autorisation, toute condition pour le fonctionnement du service de la TI du GC axé sur l’informatique en nuage à l’appui des exigences opérationnelles du ministère, tous les efforts et les plans de migrations requis pour réaliser ceci (de même que les dates cibles), et est un compte rendu de l’intention de la direction pour le fonctionnement du service.

Qui : Le propriétaire fonctionnel, les praticiens de la TI, les praticiens de la sécurité de la TI, l’évaluateur de la sécurité du ministère, le FSI et l’évaluateur de la sécurité des tiers.

Quoi : La surveillance et le maintien constants de l’autorisation durant l’étape fonctionnelle d’un service d’informatique en nuage du GC. Dans le contexte de l’adoption du GC d’offres de services d’informatique en nuage, l’approche de surveillance continue définit comment les mesures de sécurité de services d’informatique en nuage du GC sont surveillés avec le temps, comment les données de surveillance sont utilisées pour déterminer si ces services fonctionnent toujours selon leurs paramètres d’autorisation, et les mesures à prendre lorsque des écarts de paramètres sont décelés.

Pour la composante de service d’informatique en nuage d’un service d’informatique en nuage du GC, le FSI doit fournir au GC selon un calendrier régulier et périodique des preuves qu’il maintient ses certifications de sécurité dans le nuage. Le FSI doit également fournir au GC une source périodique de données de surveillance pour certains aspects de ses services d’informatique en nuage. L’organisation consommatrice du GC doit surveiller le service du GC fonctionnant sur le service d’informatique en nuage, de même que les composantes qu’il utilise pour accéder au service de la TI du GC et le consommer. L’organisation consommatrice du GC utilise ensuite ces données de surveillance, conjointement avec les données de surveillance fournies par le FSI, pour des décisions continues concernant les autorisations dans le cadre de son programme de gestion des risques à l’échelle organisationnelle.

Quand : De façon continue tout au long de la période opérationnelle du service d’informatique en nuage du GC.

Comment : À l’aide des sous-activités décrites ci-dessous.

Durant l’étape d’approvisionnement et l’étape fonctionnelle d’un service d’informatique en nuage du GC, le FSI doit fournir des preuves d’évaluation des mesures de sécurité au moyen de programmes de certification de sécurité dans le nuage existants. La collecte de preuves est renouvelée au moyen des activités de recertification que les FSI doivent effectuer afin de maintenir ces certifications de sécurité dans le nuage. L’organisation consommatrice du GC peut également réserver le droit de participer à des activités d’évaluation de la sécurité, et ces dispositions doivent être consignées au moyen d’ententes contractuelles.

Les organisations consommatrices du GC surveillent les composantes du GC de leurs services d’informatique en nuage du GC à l’aide de leurs procédures ministérielles conformément aux politiques, directives et normes applicables du GC.

4.10.1 Visibilité opérationnelle et maintenance des certifications des FSI

Un aspect important du processus de surveillance continu d’un FSI est de fournir des preuves qui démontrent l’efficacité de ses programmes de sécurité. Les FSI doivent fournir les renseignements de preuve aux pouvoirs opérationnels au moins tous les ans ou à la fréquence de rafraîchissement de la certification déclarée liée aux certifications commerciales par des tiers qui ont été utilisées comme preuve d’un programme de sécurité des FSI valide et fonctionnel. La soumission de cette preuve de certification permet aux organisations consommatrices du GC de maintenir la confiance que les FSI sont engagés et continuent de protéger leurs systèmes d’information en accord avec les profils des mesures de sécurité selon lesquels ils étaient certifiés. Au besoin, l’organisation consommatrice du GC conserve le droit d’évaluer la position de risque de l’offre de service du FSI en effectuant ses propres activités d’évaluation de la sécurité ciblant tous les mesures de sécurité dans un profil ou un sous-ensemble.

Figure 4-1 - Version textuelle

La surveillance continue des services d’informatique en nuages du GC comprend diverses activités réparties entre le fournisseur de services d’informatique en nuage et le courtier en matière d’informatique en nuage ou le propriétaire fonctionnel, afin d’appuyer les décisions fondées sur les risques et le maintien des autorisations, y compris ce qui suit :

• visibilité opérationnelle – preuve et évaluations annuelles à jour;
• contrôle des changements – changements importants aux formulaires et plan d’action et jalons mis à jour;
• intervention en cas d’incident – mobilisation du COS de SPC et rapports sur les incidents.

4.10.2 Contrôle des changements

Durant l’étape fonctionnelle, l’organisation consommatrice du GC et le FSI doivent maintenir la posture de sécurité de leurs composantes respectives d’un service d’informatique en nuage du GC au moyen des processus et les procédures de gestion de changement et de configuration.

Des changements durant l’étape fonctionnelle d’un service d’informatique en nuage du GC pourraient également nécessiter des changements aux solutions de sécurité ou autrement pourraient avoir une incidence sur la posture de sécurité du service. Toute demande de changement devrait décrire les incidences que les changements auront ou pourraient avoir sur la sécurité. Lorsqu’on s’attend à ce que les changements augmentent les risques résiduels, les organisations des consommateurs du GC (appuyées par le FSI, le cas échéant) devraient déterminer si des solutions et des mesures de sécurité additionnels, ou des changements additionnels au-delà de ceux qui sont déjà prévus, sont requis pour maintenir les risques résiduels à des niveaux acceptables. Dans le cas de changements importants, les organisations des consommateurs du GC devraient, sur l’avis des signataires autorisés, demander l’aide des évaluateurs de la sécurité du ministère et de l’évaluateur de la sécurité du GC pour évaluer les incidences.

Pour gérer les changements de façon sécuritaire, les organisations des consommateurs du GC et les FSI devraient tenir compte des lignes directrices suivantes :

Pour des mises à niveau de routine ou des changements à l’appui des services d’informatique en nuage :

• Les processus de contrôle des changements des FSI (et les mesures de sécurité connexes) doivent être démontrés et une analyse des incidences sur la sécurité doit être effectuée pour déterminer les incidences potentielles sur le système. Les FSI doivent être en mesure de fournir les renseignements liés aux changements et l’évaluation des incidences à l’organisation de consommateurs du GC sur demande.

Pour des changements importants aux services d’informatique en nuage :

• Ajoutez les évaluations des incidences dans un processus de demande de changement officiel.
• Demandez que les demandes de changement soient approuvées par les pouvoirs opérationnels et les signataires autorisés.
• Facultativement, demandez qu’une analyse soit effectuée par un évaluateur de la sécurité des tiers.

Les critères et les seuils indiquant ce qui est considéré comme un changement important doivent être mis en évidence dans l’accord sur les niveaux de service (ANS) existant du FSI et pourraient être négociés à l’aide du processus d’approvisionnement.

4.10.3 Intervention en cas d’incident

L’organisation consommatrice du GC et le FSI doivent surveiller et évaluer de façon continue la posture de sécurité de leurs composantes respectives d’un service d’informatique en nuage du GC en collaboration avec l’Équipe de réponse aux incidents cybernétiques du gouvernement du Canada (ÉRIC GC) et les centres de protection de l’information (CPI) ministériels. Tel qu’il est décrit dans le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) ^{Voir la note en bas de page 12}, les événements de cybersécurité s’appliquant aux systèmes d’information du GC, qu’ils se trouvent au GC ou dans un environnement de FSI, peuvent avoir une incidence considérable sur la qualité des programmes et services offerts aux Canadiens, et, par conséquent, sur la confiance qu’ils ont envers le gouvernement.

Figure 4-2 - Version textuelle

L’intervention en cas d’incident pour le service informatique en nuage du GC exige une surveillance continue et des évaluations dans le cadre des activités de visibilité opérationnelle et de contrôle des changements.

Cela comprend les activités d’intervention en cas d’incident qui sont harmonisées avec le Plan de gestion des événements de cybersécurité du GC.

Le GC doit continuer d’être en mesure d’intervenir rapidement et de manière cohérente et concertée en cas d’événement de cybersécurité dans l’ensemble du GC. La surveillance continue et l’évaluation de la sécurité sont des processus essentiels qui aident les organisations consommatrices du GC à mener leurs activités de détection et d’intervention à bien et en temps opportun en cas d’attaques, d’atteintes à la sécurité et d’autres événements et changements potentiellement compromettants à l’intérieur ou à l’extérieur de l’environnement du système d’information. La surveillance continue et l’évaluation de la sécurité informent la fonction de sécurité du système d’information qu’il convient d’entreprendre des changements de nature corrective dans le cadre de processus de gestion des incidents, de gestion du changement et d’autres processus.

Afin de veiller à la surveillance de la posture de sécurité de leurs services d’informatique en nuage, les FSI, à l’appui des responsables d’autorisation du GC, et en collaboration avec les praticiens de la fonction de sécurité du système d’information ou un CPI, doivent effectuer les activités suivantes :

• surveiller et analyser les changements liés aux menaces, aux vulnérabilités, aux incidences et aux risques, et déterminer s’il faut apporter des changements;
• surveiller le rendement et l’efficacité fonctionnelle des mécanismes de sécurité et des solutions;
• analyser les documents liés aux événements afin de déterminer la cause des événements de sécurité;
• cerner et signaler les incidents de sécurité et intervenir;
• protéger de manière adéquate les journaux, les rapports et d’autres artéfacts de surveillance.

La mise en place d’exigences de gestion d’incidents de sécurité est effectuée au moyen de négociations de contrat et peut déjà être en place au moyen d’ANS de FSI et des objectifs de rendement connexes. Après l’attribution du contrat, la mise en place des exigences en matière d’intervention en cas d’incident est effectuée conformément aux ANS appropriés.

4.10.4 Maintenance de l’autorisation

En suivant le processus de gestion des risques à la sécurité de l’informatique en nuage du GC, une organisation consommatrice du GC autorise d’abord le fonctionnement d’un service d’informatique en nuage du GC dans le cadre du processus d’approvisionnement et d’intégration. En suivant ce processus, à l’aide des activités de surveillance continue décrites dans la section précédente, le propriétaire fonctionnel, appuyé par les praticiens de la TI et les praticiens de la sécurité de la TI, et les évaluateurs de la sécurité du ministère tient à jour l’état d’autorisation de leurs services d’informatique en nuage du GC.

Dans le contexte de l’appui des services d’informatique en nuage, le processus de maintenance de l’autorisation consiste en des activités où les organisations des consommateurs du GC :

• révisent périodiquement la catégorie de sécurité des activités opérationnelles prises en charge;
• réévaluent le contexte de menaces et le rendement de sécurité des environnements techniques;
• examinent les résultats des évaluations de rendement des mesures de sécurité;
• examinent les activités des FSI afin de veiller à ce qu’ils aient maintenu adéquatement la posture de sécurité de leurs systèmes d’information conformément aux dispositions en matière de sécurité de leurs plans des opérations.

Les produits des activités de maintien de l’autorisation comprennent des évaluations du risque résiduel à jour, des plans d’action et des jalons mis à jour, et des dispositions de sécurité mises à jour des plans d’opérations.

Lorsque les résultats des activités de maintenance de l’autorisation montrent qu’un service d’informatique en nuage du GC ne fonctionne plus aux niveaux acceptables de risque résiduel, il y a un éventail de solutions que les organisations consommatrices du GC, en collaboration avec le courtier en services en nuage du GC et le FSI, peuvent chercher pour corriger la situation, y compris les suivantes :

• mettre en place des mesures de sécurité temporaires pour protéger les activités opérationnelles prises en charge (p. ex., déconnecter le service du système d’information d’Internet, activer une partie d’un plan d’urgence);
• mettre à jour les mesures de sécurité mis en place afin de corriger les lacunes en matière de sécurité et retourner le service du système d’information à son état de fonctionnement autorisé;
• accepter les nouveaux niveaux de risque résiduel;
• toute combinaison de ces solutions.

Si le niveau de risque résiduel demeure encore inacceptable après l’application des mesures correctives initiales, les signataires autorisés peuvent choisir de révoquer le pouvoir d’exploiter, en attente d’autres mesures correctives. La révocation de l’autorisation entraînerait des activités d’analyse de sécurité supplémentaires pour identifier les déficiences particulières dans le contexte opérationnel, suivies de l’application de mesures correctives ou d’améliorations aux mesures de sécurité mis en place afin de retourner le service d’informatique en nuage du GC à son état autorisé. Dans le cadre du processus d’approvisionnement, des clauses de contrat appropriées doivent également être élaborées pour atténuer les risques possibles de sécurité, y compris les dispositions pour la résiliation du contrat s’il est impossible de l’atténuer à un niveau acceptable.

5.1 Processus de CVDS

Les activités du processus de gestion des risques à la sécurité de l’informatique en nuage du GC ne sont pas censées être des activités autonomes effectuées séparément des activités traditionnelles du CVDS. Au contraire, ce document explique les activités de gestion des risques critiques qui doivent avoir lieu afin de tirer profit des services d’informatique en nuage, et prévoit que ces activités seront ajoutées dans n’importe quel processus du CVDS qu’un ministère ou un organisme de service a déjà mis en place et utilise pour élaborer des capacités.

La figure 5-1 illustre un processus notionnel du CVDS^{Voir la note en bas de page 19} avec les activités de gestion des risques à la sécurité de l’informatique en nuage du GC du point de vue du courtier en matière d’informatique en nuage. Dans cette vue, le GC ou le courtier en matière d’informatique en nuage achète un service d’informatique en nuage pour le marché sous un profil des mesures de sécurité existant que les organisations consommatrices du GC utilisent pour un projet recherchant des services d’informatique en nuage.

Figure 5-1 - Version textuelle

Le processus notionnel du CVDS selon la vue du GC et du courtier en matière d’informatique en nuage comprend des phases incluant un certain nombre d’activités, soit :

• le lancement :
  • sélectionner le profil des mesures de sécurité approprié;
  • sélectionner les clauses de contrat appropriées.
• le développement et l’acquisition :
  • évaluer les preuves du FSI;
  • évaluer les mesures de sécurité supplémentaires;
  • accorder une autorisation provisoire;
  • ajouter un service informatique en nuage pour le marché.
• l’intégration et l’installation;
• les opérations et le maintien :
  • surveiller continuellement le service.

La figure 5-2 illustre un processus notionnel du CVDS du point de vue d’une organisation consommatrice. Dans cette vue, l’organisation consommatrice sélectionne un service d’informatique en nuage approprié dans le marché, évalue d’autres mesures de sécurité auxquelles elle prévoit que le FSI saura satisfaire, et met en œuvre et évalue des mesures de sécurité dans le cadre du service du GC.

On prévoit que les organisations consommatrices du GC mettront en œuvre et évalueront des mesures de sécurité dans les services du GC au moyen d’une série d’ingénierie, de conception, de développement, et d’activités d’évaluation de la sécurité dans le processus du CVDS comme recommandé dans l’annexe 2 d’ITSG-33 ^{Voir la note en bas de page 3}.

Figure 5-2 - Version textuelle

Le processus notionnel du CVDS selon la vue du ministère comprend des phases incluant un certain nombre d’activités, soit :

• le lancement :
  • effectuer la catégorisation de la sécurité;
  • sélectionner le profil des mesures de sécurité approprié.
• le développement et l’acquisition :
  • sélectionner le service informatique en nuage du marché;
  • évaluer les mesures de sécurité supplémentaires dans le service d’informatique en nuage;
  • mettre en œuvre les mesures de sécurité dans le service du GC.
• l’intégration et l’installation :
  • évaluer les mesures de sécurité dans le service du GC;
  • autoriser les opérations.
• les opérations et le maintien :
  • surveiller continuellement le service du GC.

5.2 Mise en œuvre commune et responsabilité des opérations

À la mise en œuvre du service d’informatique en nuage du GC, l’organisation consommatrice du GC responsable et le FSI de soutien sont chargés de la mise en œuvre et des opérations de leur partie du service. Cette responsabilité commune est illustrée dans la figure 5-3. Dans cette figure, une organisation consommatrice du GC s’inspire d’un profil approprié, les mesures de sécurité de base qui s’appliquent à la partie du service du GC sont mises en œuvre dans le cadre du service d’informatique en nuage. Les organisations consommatrices du GC peuvent également utiliser des services fournis de façon centrale pour répondre à leurs exigences (p. ex., surveillance, intervention en cas d’incident, entre autres).

À partir du même profil, les mesures de sécurité qui s’appliquent au FSI sont incluses comme des exigences de sécurité obligatoires pour acheter le service d’informatique en nuage IaaS, PaaS, ou SaaS sous-jacent. À la suite de la mise en œuvre, l’organisation consommatrice du GC et le FSI sont chacune responsables d’exploiter et de tenir à jour leur partie du service d’informatique en nuage du GC.

Figure 5-3 - Version textuelle

La responsabilité partagée de la mise en œuvre et des opérations comprend diverses activités et entrées :

Pour l’organisation du GC, il y a deux processus qui sont traités par le processus du cycle de vie des systèmes et par le processus d’approvisionnement.

Le processus du cycle de vie des systèmes englobe le cycle de vie du développement des systèmes, l’architecture organisationnelle et l’architecture de sécurité intégrée ainsi que l’ingénierie des systèmes et l’ingénierie des systèmes sécurisés à l’appui des diverses phases, soit :

• le lancement :
  • les entrées comprennent le profil des mesures de sécurité qui est issu des besoins opérationnels pour la sécurité, la catégorisation de la sécurité, l’évaluation des facteurs relatifs à la vie privée, l’évaluation des menaces du ministère.
• le développement et l’acquisition;
• l’intégration et l’installation;
• les opérations et le maintien :
  • opérations de la TI;
  • bureau d’aide;
  • surveillance du système;
  • gestion des problèmes;
  • gestion des changements;
  • gestion de l’identité, des justificatifs d’identité et de l’accès (GIJA);
  • surveillance de la sécurité;
  • gestion des incidents;
  • gestion des situations d’urgence;
  • gestion de la configuration;
  • entretien;
  • vérification;
  • évaluation de la sécurité en continu;
  • maintien de l’autorisation.

Cela vient appuyer les données sécurisées, l’application sécurisée et la plateforme sécurisée intégrée dans le cadre des services d’informatique en nuage autorisés aux fins du SaaS, de la PaaS ou de l’IaaS, fournis par un fournisseur de services informatique en nuage.

Le processus d’approvisionnement englobe le soutien d’un certain nombre de phases, soit :

• Planification – Comprend l’énoncé de travail pour tout service informatique en nuage nécessaire, des clauses normalisées de contrat et une liste de vérification des exigences liées à la sécurité.
• Appel d’offres et attribution – Donne lieu à l’attribution d’un contrat et à des mesures de sécurité obligatoires pour le SaaS, la PaaS ou l’IaaS.
• Gestion des marchés.

Le fournisseur de services informatique en nuage est responsable de suivre les mesures de sécurité obligatoires pour le SaaS, la PaaS ou l’IaaS dans le cadre du marché pour les services informatique en nuage autorisés.

La figure 5-3 souligne également les entrées essentielles. Pour le processus du cycle de vie des systèmes, celles-ci comprennent des procédures et outils de cycle de vie de développement des systèmes, des procédures et outils d’ingénierie des systèmes et d’ingénierie de sécurité des systèmes, et des artéfacts d’architecture ministérielle applicable ou d’architecture de sécurité ministérielle. Pour le processus d’approvisionnement, les entrées essentielles comprennent des éléments comme l’énoncé du travail pour tout service d’informatique en nuage nécessaire, des clauses normalisées de contrat, et une liste de vérification des exigences liées à la sécurité.

5.3 Incidences sur le plan de la sécurité dans le cadre des accords contractuels

Comme indiqué dans le « Guide sur l’évaluation et l’autorisation de la sécurité infonuagique en nuage » du CST (ITSP.50.105) ^{Voir la note en bas de page 13}, les organisations consommatrices du GC doivent tenir compte des exigences techniques et contractuelles liées à la considération de sécurité pour réduire les risques de sécurité dans le cadre de l’établissement d’accords contractuels avec des FSI. Les principales incidences comprennent la multipropriété, les fuites de données, les pertes de données, la confidentialité, et l’intégrité de la chaîne d’approvisionnement.

Les organisations consommatrices du GC doivent également préparer une stratégie de sortie dans le cadre du contrat qui permet le retour des applications et des données au ministère ou à un autre fournisseur. Elles doivent aussi déterminer les critères utilisés pour faire appel à la stratégie de sortie (p. ex., le fournisseur ne remplit pas les conditions du contrat ou de l’accord, ou ferme ses portes, des préoccupations liées à la sécurité, entre autres). De plus, dans le cadre des accords contractuels, les organisations consommatrices du GC doivent établir la fréquence des activités périodiques d’évaluation et d’examen de la sécurité (p. ex., examen des rapports d’incidents de sécurité, de l’environnement de menace, des activités de sécurité du groupe responsable des opérations).

5.4 Soutien de la confidentialité

En vertu de la Directive sur l’évaluation des facteurs relatifs à la vie privée ^{Voir la note en bas de page 14}, les organisations consommatrices du GC doivent effectuer une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsqu’elles prévoient modifier considérablement les programmes et les activités du gouvernement concernant les renseignements personnels. Une modification considérable comprend tout changement aux pratiques de vie privée liées aux activités qui sont automatisées par les systèmes d’information. Par conséquent, on s’attend à ce que les organisations consommatrices du GC effectuent une ÉFVP lorsqu’elles prévoient mettre en œuvre un service d’informatique en nuage du GC qui comprend des renseignements personnels, et veillent à ce que les préoccupations et les risques liés à la vie privée soient bien atténués.

L’organisation consommatrice du GC peut compter sur l’approche de gestion des risques liés au nuage du GC pour appuyer ces préoccupations et risques liés à la vie privée qui peuvent être atténués par la sécurité des systèmes d’information. À cette fin, les profils des mesures sécurité du nuage du GC comprennent des mesures de sécurité pour protéger la confidentialité, l’intégrité, et la disponibilité des renseignements personnels. En incluant un rapport sur l’ÉFVP à titre d’entrée dans le processus du CVDS (comme illustré dans la figure 5-3), l’organisation consommatrice du GC aura l’occasion d’établir l’assurance que ces mesures de sécurité ont bien été mis en œuvre au besoin et fonctionnent comme prévu. Les rapports de l’ÉFVP fourniront également aux organisations consommatrices du GC avec la base appropriée pour l’atténuation de tous les autres risques et préoccupations de vie privée non liés à la sécurité.