Retrait du logiciel d’exploitation Windows Server 2008 : Avis de mise en œuvre de la Politique sur la technologie de l’information (AMPTI)

Note aux lecteurs

L’AMPTI du Retrait du logiciel d’exploitation Windows Server 2008 n’est plus en vigueur. Il a été déplacé à l’annexe H de la Norme sur la technologie de l’information à risque, depuis le 4 mai 2022.

AMPTI n:

Date : Le

Sur cette page

  1. Objectif
  2. Date d’entrée en vigueur
  3. Application
  4. Contexte
  5. Directive
  6. Demandes de renseignements
  7. Références

1. Objectif

Le présent Avis de mise en œuvre de la Politique sur la technologie de l’information (AMPTI) vise à orienter les ministères en ce qui a trait à la migration vers Windows Server 2012 d’ici le . Conformément à l’AMPTI 2015-03, les ministères doivent également cesser l’utilisation des logiciels de système d’exploitation de serveur Microsoft antérieurs à Windows Server 2008.

2. Date d’entrée en vigueur

Cet AMPTI entre en vigueur immédiatement.

3. Application

Le présent AMPTI s’applique à tous les ministères assujettis à la Politique sur la gestion des technologies de l’information.

On encourage les ministères, organismes et organisations du gouvernement du Canada qui ne sont pas assujettis à la Politique sur la gestion des technologies de l’information à se conformer à cet AMPTI.

Les administrateurs généraux des organisations suivantes sont les seuls responsables de surveiller la conformité avec cet AMPTI et d’assurer son respect au sein de leurs organisations :

  • Bureau du directeur général des élections du Canada;
  • Bureau du vérificateur général;
  • Commissariat à l’information du Canada et Commissariat à la protection de la vie privée du Canada;
  • Commissariat à l’intégrité du secteur public du Canada;
  • Commissariat au lobbying du Canada;
  • Commissariat aux langues officielles.

4. Contexte

Microsoft a annoncé que l’accord prolongé de support pour les logiciels de système d’exploitation Windows Server 2008 Service Pack 2 (WinS2008 SP2) et Windows Server 2008 R2 Service Pack 1 (WinS2008R2 SP1) prenait fin le . Les autres versions de Windows Server 2008 ne sont pas prises en charge. Le logiciel Windows Server 2008 SP1, fondé sur la base de codage Vista, prend en charge les architectures x86, tandis que Windows Server 2008 R2 SP2, fondé sur la base de codage Windows 7, ne prend en charge que les plateformes 64 bits.

L’accord standard de support pour Windows Server 2008 R2 SP1 et Windows Server 2008 SP2 a pris fin le . Les serveurs qui exploitent les logiciels de Microsoft Windows Server 2008 prennent en charge une grande variété d’applications d’affaires, de services Web, de bases de données et de services de fichiers et d’impression du gouvernement. 

L’utilisation de logiciels qui ne sont plus assujettis à un accord de support présente des difficultés pour une organisation en raison du support réduit pour le matériel et du degré de complexité accru des activités nécessaires au maintien de la fonctionnalité sur le nouveau matériel. De plus, aucune nouvelle fonctionnalité n’est mise en service après l’échéance de l’accord standard de support. 

Tel qu’il est énoncé au paragraphe 9.4 de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information du Secrétariat du Conseil du Trésor, le dirigeant principal de l’information du ministère assume la responsabilité de veiller à l’efficience et à l’efficacité de la gestion de l’information et des biens de TI du ministère. La gestion des serveurs est une responsabilité partagée entre les ministères et Services partagés Canada et demande que les dirigeants principaux de l’information des ministères veillent à la mise à jour continue des applications et des services pour que les systèmes d’exploitation des technologies qui les exploitent puissent être maintenus et mis à jour de façon continue. La gestion du cycle de vie de la technologie de l’information est un objectif stratégique essentiel du Plan stratégique du gouvernement du Canada de la technologie de l’information.

En raison du nombre important de serveurs Windows 2008 gérés par le gouvernement, Services partagés Canada peut conclure un accord de support personnalisé (ASP) avec Microsoft pour s’assurer qu’un support est en place pour l’infrastructure du gouvernement après . Dans le cadre de l’ASP, des mises à jour seront fournies aux ministères et organismes relativement aux éléments vulnérables critiques et importants du point de vue de la sécurité. L’ASP atténuera également les risques opérationnels et les risques pour la sécurité jusqu’à un certain point. Cependant, le logiciel Windows Server 2008 est vieillissant et tous les problèmes de vulnérabilité ne seront ou ne pourront pas être résolus dans le cadre de l’ASP, ce qui entraînera des risques accrus sur le plan opérationnel et de la sécurité pour le gouvernement.

Les coûts de l’accord seront partagés entre les ministères qui n’auront pas exécuté le retrait de Windows Server 2008, et seront calculés proportionnellement en fonction du nombre de serveurs restants. Le modèle de partage des coûts sera réévalué par Services partagés Canada et le Secrétariat du Conseil du Trésor s’il est établi que le retrait nécessite plus de temps.

5. Directive

Ce qui entre en vigueur immédiatement :

  1. Les ministères doivent mettre en œuvre WinS2008 SP2 ou WinS2008R2 SP1 pour tous les serveurs utilisant Windows Server 2008. Aucun support n’est offert pour les versions antérieures, y compris la publication de correctifs visant à éliminer les vulnérabilités.
  2. Conformément à l’AMPTI 2015-03 Retrait du logiciel d’exploitation Windows Server 2003, les ministères ne doivent pas utiliser des systèmes d’exploitation de serveur Microsoft d’une version antérieure à Windows Server 2008. S’ils exploitent des serveurs avec des versions de Windows Server 2008 qui ne sont pas prises en charge, les ministères doivent le signaler immédiatement à la Direction du dirigeant principal de l’information (DDPI) du Secrétariat du Conseil du Trésor (SCT) par courriel à ZZCIOBDP@tbs-sct.gc.ca. Les systèmes d’exploitation non sécurisés posent de grands risques pour l’infrastructure du gouvernement du Canada (GC).
  3. Les ministères doivent participer aux efforts de migration organisés par Services partagés Canada (SPC) et le SCT et rendre compte des progrès et de l’état de leur migration en cours.

D’ici le  :

  1. Les ministères doivent avoir effectué la migration des serveurs à Windows Server 2012 ou à d’autres systèmes d’exploitation plus récents pris en charge.
  2. Dans l’éventualité que les ministères ne soient pas en mesure d’effectuer la migration de tous leurs serveurs Windows Server 2012 d’ici la date limite, ils doivent obtenir l’approbation préalable du Comité d’examen de l’architecture intégrée du GC (CEAI GC) pour continuer à utiliser ces serveurs tout en respectant les conditions suivantes :
    • Les serveurs qui exploitent le logiciel Windows Server 2008 requis pour répondre aux besoins opérationnels après le doivent être isolés et confinés dans un environnement réseau contrôlé étroitement, sans accès aux réseaux du gouvernement ou à Internet.
    • Cette mesure doit être considérée comme temporaire, et la stratégie de justification et d’exploitation doit être présentée à la Direction du dirigeant principal de l’information (DDPI) du Secrétariat du Conseil du Trésor chaque année dans la section sur les risques de la TI du plan ministériel de TI, en plus des rapports d’étape réguliers sur la migration.
    • Les dirigeants principaux de l’information des ministères ou leurs équivalents doivent mettre en œuvre des mesures holistiques avec leurs partenaires de l’infrastructure afin de protéger et d’isoler l’accès à ces serveurs, y compris les mesures actives de sécurité des TI. Les 10 mesures de sécurité du Centre de la sécurité des télécommunications fournissent des lignes directrices sur ces mesures et d’autres activités de sécurité préventive.
  3. Les ministères ne doivent pas conclure unilatéralement d’accords de support personnalisés pour Windows Server 2008 avec Microsoft.

6. Demandes de renseignements

Veuillez envoyer vos demandes de renseignements par courriel à l’adresse suivante : CIOB-DPPI IT-Division-TI <ZZCIOBDP@tbs-sct.gc.ca>.

Marc Brouillard

Dirigeant principal de la technologie du gouvernement du Canada
Centre d’évaluation des cybermenaces
Secrétariat du Conseil du Trésor du Canada

7. Références

Les ressources suivantes contiennent des renseignements additionnels :

Cycle de vie d’un produit Microsoft

Politique sur la gestion des technologies de l’information, juillet 2007, mise à jour le

Plan stratégique du gouvernement du Canada pour la gestion de l’information et la technologie de l’information de 2017 à 2021

Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l’information du gouvernement du Canada du Centre de la sécurité des télécommunications

Détails de la page

Date de modification :