Mesures de protection du nuage du gouvernement du Canada
1. Présentation
1.1 Contexte
En août 2019, le gouvernement du Canada (GC) a établi des contrats d’approvisionnement pour les services en nuage Protégé B avec Amazon Web Services (AWS) Canada et Microsoft Azure. Pour que le GC puisse utiliser les services d’informatique en nuage de manière sûre et responsable, la dirigeante principale de la technologie du GC a jugé qu’un cadre de mise en oeuvre sous-jacent était requis. Un tel cadre a donc été établi et approuvé par le Conseil d’examen de l’architecture intégrée du GC en septembre 2019. Ce cadre établissait un ensemble minimal de mesures de cybersécurité et d’exigences en matière d’architecture que les ministères devaient mettre en oeuvre avant d’utiliser les services d’informatique en nuage de niveau Protégé B. Ces mesures se nomment collectivement les « mesures de protection du nuage du GC ».
1.2 Champ d’application
Les mesures de protection du nuage du gouvernement du Canada :
- définissent un ensemble préliminaire de mesures de cybersécurité de base qui veilleront à ce que l’environnement des services d’informatique en nuage dispose d’un ensemble minimal de configurations;
- fournissent un point de départ aux équipes de projet et ont été choisies pour atteindre les objectifs suivants :
- assurer la conformité :
- à la Directive sur les services et le numérique, Annexe G : Norme sur les configurations courantes des services de la TI intégrée;
- aux Mesures de protection du nuage sur Canada.ca;
- aux procédures obligatoires applicables dans la Directive sur la gestion de la sécurité;
- répondre aux exigences de l’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01
- tenir compte des 10 meilleures mesures de sécurité de la TI du Centre canadien pour la cybersécurité (CCC);
- se conformer au Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage;
- mettre l’accent sur la sélection de mesures de cybersécurité qui veilleront à ce que les services d’informatique en nuage soient renforcés par la configuration des composants logiciels;
- atteindre les objectifs en matière de protection contre les menaces définis à l’annexe B ‑Recommandations du Centre pour la cybersécurité relativement au profil des mesures de sécurité de l’informatique en nuage MOYEN (fichier Excel) et dans le Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage.
- assurer la conformité :
2. Mesures de protection du nuage
Les mesures de protection du nuage du gouvernement du Canada décrivent un ensemble préliminaire de mesures de cybersécurité de base visant à garantir que l’environnement des services d’informatique en nuage dispose d’un ensemble minimal de configurations. Les ministères doivent mettre en oeuvre et valider les mesures de protection du nuage ainsi que rendre compte de leur conformité à ces mesures dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage.
Il incombe aux ministères de mettre en oeuvre les configurations minimales définies dans les tableaux suivants. La validation des mesures de protection sera assurée par la Direction des services d’informatique en nuage de Services partagés Canada (SPC). La Procédure opérationnelle normalisée pour la surveillance de la validation et de l’acheminement des mesures de protection de l’informatique en nuage du GC a été élaborée pour aider à mener à bien la validation.
Les définitions suivantes seront utilisées pour les mesures de protection du nuage du gouvernement du Canada :
- Exigences obligatoires : Ensemble de mesures de sécurité de base que les ministères doivent mettre en oeuvre et valider, et au regard desquels ils doivent rendre compte de leur conformité, dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage.
- Autres considérations : Mesures de sécurité supplémentaires qui sont fortement recommandées et qu’il conviendrait de prendre en considération. Bien qu’il ne soit pas attendu que ces mesures soient mises en oeuvre dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage, elles proposent des pratiques exemplaires qui devraient être prises en considération au fur et à mesure de l’adoption, par les ministères, de leurs environnements d’informatique en nuage.
2.1 Mesure de protection 1 : Protéger les comptes et les identités des utilisateurs
2.1.1 Objectif
Protéger les comptes et les identités des utilisateurs.
2.1.2 Modèles de services applicables
Infrastructure en tant que service (IaaS), plateforme en tant que service (PaaS), logiciel en tant que service (SaaS)
2.1.3 Exigences obligatoires
Activité | Validation |
---|---|
Remarque : Les comptes et identités des utilisateurs comprennent ce qui suit :
|
|
|
|
|
|
2.1.4 Autres considérations
Aucune
2.1.5 Références
- Directive sur l’utilisation sécurisée des services commerciaux en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.3
- Mesure 3 des 10 meilleures mesures de sécurité de la TI du CCC
- Recommandations pour l’authentification à deux facteurs des utilisateurs dans le domaine opérationnel du gouvernement du Canada (accessible seulement depuis le réseau interne du gouvernement du Canada)
- Considérations et stratégie d’authentification multifactorielle des services organisationnels de la TI du GC
- Directive sur les services et le numérique, annexe G : Norme sur les configurations courantes des services de la TI intégrée
- Exigences de configuration relatives à la gestion des comptes
- Guide sur la consignation d’événements
- Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104), sous-section 4.6
2.1.6 Mesures de sécurité connexes à La gestion des risques liés à la sécurité de la TI : Une approche axée sur le cycle de vie (ITSG-33)
AC-2, AC-2(11), AC-3, AC-5, AC-6, AC-6(5), AC-6(10), AC-19, AC-20(3), IA-2, IA-2(1), IA-2(2), IA-2(3), IA-2(11), IA-5(8), SI-4, SI-4(5), SA-4(12), CM-5.
2.2 Mesure de protection 2 : Gérer l’accès
2.2.1 Objectif
Établir des politiques et des procédures de contrôle d’accès pour la gestion de tous les comptes.
2.2.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.2.3 Exigences obligatoires
Activité | Validation |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
2.2.4 Autres considérations
Activité | Validation |
---|---|
|
|
|
|
|
|
|
|
2.2.5 Références
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.3
- Mesure 3 des 10 meilleures mesures de sécurité de la TI du CCC
- Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031 v3)
- Guide sur l’authentification du nuage pour le gouvernement du Canada (accessible uniquement sur le réseau du gouvernement du Canada)
- Recommandations pour l’authentification à deux facteurs des utilisateurs dans le domaine opérationnel du gouvernement du Canada (accessible uniquement sur le réseau du gouvernement du Canada)
- Directive sur les services et le numérique, annexe G : Norme sur les configurations courantes des services de la TI intégrée
- Exigences de configuration relatives à la gestion des comptes
- Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104), sous-section 4.6
- Orientation sur les mots de passe
2.2.6 Mesures de sécurité connexes du document ITSG-33
AC‑2, AC‑2(1), AC‑2(7) AC‑3, AC‑3(7), AC‑3, AC‑4 AC‑5, AC‑6, AC‑6(5), IA‑2, IA‑2(1), IA‑2(8), IA‑2(11), IA‑4, IA‑5, IA‑5(1), IA‑5(6).
2.3 Mesure de protection 3 : Sécuriser les points d’extrémité
2.3.1 Objectif
Mettre en œuvre des niveaux de protection plus élevés pour les interfaces de gestion.
2.3.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.3.3 Exigences obligatoires
Activité | Validation |
---|---|
|
|
2.3.4 Autres considérations
Activité | Validation |
---|---|
|
|
2.3.5 Références
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.3.
- Mesure 2 des 10 meilleures mesures de sécurité de la TI du CCC.
- Recommandations pour l’authentification à deux facteurs des utilisateurs dans le domaine opérationnel du gouvernement du Canada (accessible uniquement sur le réseau du gouvernement du Canada)
- Directive sur les services et le numérique, annexe G : Norme sur les configurations courantes des services de la TI intégrée
- Exigences de configuration de la gestion des points d’extrémité
- Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104), sous-section 4.9
2.3.6 Mesures de sécurité connexes du document ITSG-33
AC-3, AC-3(7), AC-4, AC-5, AC-6, AC 6(5), AC-6(10), AC-19, AC-20(3), IA-2, IA-2(1), IA-2(11), IA-4, IA-5, IA-5(1), SI-4, AU-6, AU-12.
2.4 Mesure de protection 4 : Comptes de surveillance de l’organisation
2.4.1 Objectif
Créer des comptes basés sur des rôles pour permettre la surveillance et la compréhension de l’organisation.
2.4.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.4.3 Exigences obligatoires
Activité | Validation |
---|---|
|
|
|
|
2.4.4 Autres considérations
Aucune
2.4.5 Références
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.3.
- Mesure 2 des 10 meilleures mesures de sécurité de la TI du CCC.
- Gestion des risques liés à la sécurité de la TI : Une méthode axée sur le cycle de vie (ITSG-33), annexe 3A : Catalogue des mesures de sécurité, AC-3(7).
2.4.6 Mesures de sécurité connexes du document ITSG-33
AC-3(7), AC-6(5), IA-2(1).
2.5 Mesure de protection 5 : Emplacement des données
2.5.1 Objectif
Établir des politiques pour restreindre la charge de travail de nature délicate au GC à des emplacements géographiques approuvés.
2.5.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.5.3 Exigences obligatoires
Activité | Validation |
---|---|
« Veiller à ce que les installations informatiques situées à l’intérieur des frontières géographiques du Canada ou dans des locaux à l’étranger appartenant à un ministère du gouvernement du Canada, telle qu’une mission diplomatique ou consulaire, soient considérées et évaluées en tant qu’option principale pour la prestation de services impliquant toute l’information et toutes les données électroniques délicates sous le contrôle du gouvernement qui est classée Protégé B, C ou Classifié. » |
|
2.5.4 Autres considérations
Aucune
2.5.5 Références
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS), 2017-01, sous-section 6.2.3.
- Directive sur les services et le numérique, sous-section 4.4.3.14.
2.5.6 Mesures de sécurité connexes du document ITSG-33
SA-9(5)
2.6 Mesure de protection 6 : Protection des données inactives
2.6.1 Objectif
Protéger les données inactives par défaut (par exemple, le stockage) pour les charges de travail utilisant l’informatique en nuage.
2.6.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.6.3 Exigences obligatoires
Activité | Validation |
---|---|
|
|
|
|
2.6.4 Autres considérations
Activité | Validation |
---|---|
|
|
|
|
2.6.5 Références
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.4.
- Orientations en matière de cryptographie figurant dans les documents Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111) et Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062).
- Guide sur le chiffrement des services infonuagiques (ITSP.50.106).
- Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104), sous-section 4.5.
2.6.6 Mesures de sécurité connexes du document ITSG-33
IA-7, SC-12, SC-13, SC-28, SC-28(1).
2.7 Mesure de protection 7 : Protection des données en transit
2.7.1 Objectif
Protéger les données transitant sur les réseaux par le recours à un mécanisme de chiffrement et à des mesures de protection des réseaux appropriés.
2.7.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.7.3 Exigences obligatoires
Activité | Validation |
---|---|
|
|
|
|
|
|
2.7.4 Autres considérations
Aucune
2.7.5 Références
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.4.
- Directive sur les services et le numérique, annexe G : Norme sur les configurations courantes des services de la TI intégrée.
- Exigences de configuration de la gestion des sites Web et des services.
- Orientations en matière de cryptographie figurant dans les documents Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111) et Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062).
- Orientations sur l’établissement des zones de sécurité dans un réseau figurant dans les documents Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022) et Considérations de conception relatives au positionnement des services dans les zones (ITSG-38).
- Guide sur le chiffrement des services infonuagiques (ITSP.50.106).
- Recommandations liées aux certificats de serveur TLS pour les services Web du GC destinés au public (accessible uniquement sur le réseau du gouvernement du Canada).
- Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104), sous-section 4.5.
2.7.6 Mesures de sécurité connexes du document ITSG-33
IA-7, SC-12, SC-13, SC-28, SC-28(1).
2.8 Mesure de protection 8 : Segmenter et séparer
2.8.1 Objectif
Segmenter et séparer les renseignements en fonction de leur degré de sensibilité.
2.8.2 Modèles de services applicables
IaaS, PaaS
Remarque
La mesure de protection suivante ne s’applique pas aux modèles SaaS. La gestion et la sécurité du réseau relèvent de la responsabilité du fournisseur de services d’informatique en nuage et sont incluses dans les SaaS. Se reporter à la section 4.3 du Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104) pour comprendre les éléments clés qu’il faut prendre en compte pour la segmentation des réseaux dans le nuage.
2.8.3 Exigences obligatoires
Activité | Validation |
---|---|
|
|
2.8.4 Autres considérations
Activité | Validation |
---|---|
|
|
2.8.5 Références
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.4.
- Mesure 5 des 10 meilleures mesures de sécurité de la TI du CCC.
- Orientations sur l’établissement des zones de sécurité dans un réseau figurant dans les Exigences de base en matière de sécurité pour les zones de sécurité de réseaux (ITSP.80.022) et les Considérations de conception relatives au positionnement des services dans les zones (ITSG-38).
- Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104), sous-sections 4.3 et 4.5.
2.8.6 Mesures de sécurité connexes du document ITSG-33
AC‑4, SC‑7
2.9 Mesure de protection 9 : Services de sécurité des réseaux
2.9.1 Objectif
Établir des périmètres de réseau à l’externe et à l’interne et surveiller l’achalandage sur le réseau.
2.9.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.9.3 Exigences obligatoires
Activité | Validation |
---|---|
|
|
|
|
|
|
|
|
2.9.4 Autres considérations
Activité | Validation |
---|---|
|
|
2.9.5 Références
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.4.
- Mesure 1 des 10 meilleures mesures de sécurité de la TI du CCC.
- Orientations sur l’établissement de zones de sécurité dans un réseau figurant dans les Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022) et les Considérations de conception relatives au positionnement des services dans les zones (ITSG-38)).
- Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104), sous-section 4.3.
2.9.6 Mesures de sécurité connexes du document ITSG-33
AC-3, AC‑4, SC‑7, SC‑7(5), SI-4, SI-4(18).
2.10 Mesure de protection 10 : Services de cyberdéfense
2.10.1 Objectif
Établir un protocole d’entente pour les services de défense et les services de surveillance des menaces et de protection contre celles-ci.
2.10.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.10.3 Exigences obligatoires
Activité | Validation |
---|---|
| Confirmer auprès du CCC que le protocole d’entente a été signé. |
|
|
2.10.4 Autres considérations
Aucune
2.10.5 Références
2.10.6 Mesures de sécurité connexes du document ITSG-33
SI‑4
2.11 Mesure de protection 11 : Journalisation et surveillance
2.11.1 Objectif
Activer la journalisation pour l’environnement en nuage et pour les charges de travail utilisant l’informatique en nuage.
2.11.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.11.3 Exigences obligatoires
Activité | Validation |
---|---|
|
|
|
|
|
|
|
|
|
|
2.11.4 Autres considérations
Aucune
2.11.5 Références
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.3.1.
- Mesures 1, 5 et 8 des 10 meilleures mesures de sécurité de la TI du CCC.
- Guide sur la consignation d’événements.
- Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104), sous-section 4.8.
2.11.6 Mesures de sécurité connexes du document ITSG-33
AU‑12, SI-4, SI-4(7)
2.12 Mesure de protection 12 : Configuration des marchés de l’informatique en nuage
2.12.1 Objectif
Restreindre les logiciels tiers des fournisseurs de services d’informatique afin de veiller à ce que seuls des produits approuvés par le GC soient utilisés.
2.12.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.12.3 Exigences obligatoires
Activité | Validation |
---|---|
|
|
2.12.4 Autres considérations
Activité | Validation |
---|---|
| Sans objet |
| Sans objet |
2.12.5 Références
2.12.6 Mesures de sécurité connexes du document ITSG-33
CM5, CM8, SA12
2.13 Mesure de protection 13 : Planifier la continuité
2.13.1 Objectif
Veiller à se doter d’un plan de continuité de l’accès et des services qui tienne compte des événements prévus et imprévus.
2.13.2 Modèles de services applicables
IaaS, PaaS, SaaS.
2.13.3 Exigences obligatoires
Activité | Validation |
---|---|
|
|
|
|
2.13.4 Autres considérations
Activité | Validation |
---|---|
|
|
|
|
|
|
2.13.5 Références
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01, sous-section 6.2.9.
- Procédure de gestion des comptes d’urgence pour Azure et Office 365 (accessible uniquement sur le réseau du gouvernement du Canada).
- Modèle de Plan de gestion des événements de cybersécurité pour les ministères (fichier Word) (accessible uniquement sur le réseau du gouvernement du Canada).
- Directive sur les services et le numérique.
2.13.6 Mesures de sécurité connexes du document ITSG-33
AC-1, CP-1,CP-2,CP-9,CA-3.
3. Après les 30 premiers jours ouvrables
La mise en œuvre des mesures de sécurité compte parmi les premières étapes de la mise en place d’un environnement sécurisé fondé sur l’informatique en nuage. Il est attendu des ministères qu’ils continuent de mettre en œuvre les exigences en matière de sécurité ainsi qu’elles sont énoncées dans les documents suivants :
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01.
- Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage.
Les ministères devraient consulter leurs équipes de gestion des risques liés à la sécurité de la TI pour obtenir des conseils et des orientations sur l’intégration des activités d’évaluation et d’autorisation de la sécurité dans le cadre de la mise en œuvre de l’environnement d’informatique en nuage du gouvernement du Canada. Le document Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage du gouvernement du Canada décrit les activités que les ministères doivent envisager dans le cadre de la gestion des risques.
Services partagés Canada procédera à des vérifications périodiques de l’environnement des locataires ministériels afin de veiller au respect des mesures de protection dans les 30 premiers jours ouvrables.
4. Profils d’utilisation de l’informatique en nuage
4.1 Vue d’ensemble
Le tableau suivant présente les identifiants, les profils, les descriptions et les modèles de services en nuage utilisés au GC.
Identifiant (ID) | Profil | Description | Modèle de service d’informatique en nuage applicable |
---|---|---|---|
1. | Expérimentation ou bac à sable |
| Infrastructure en tant que service (IaaS), plateforme en tant que service (PaaS), logiciel en tant que service (SaaS). |
2. | Services d’informatique en nuage non sensibles |
| IaaS, PaaS, SaaS. |
3a. | Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B) |
| IaaS, PaaS, SaaS. |
3b. | Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B) (TI hybride ‑extension des centres de données du GC) |
| PaaS, SaaS |
4a. | Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B) pour des solutions de SaaS à l’échelle du GC |
| SaaS |
4b. | Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B) pour des solutions de SaaS à l’échelle du GC (TI hybride ‑extension des centres de données du GC) |
| SaaS |
5. | GC à GC uniquement (TI hybride ‑extension des centres de données du GC) |
| IaaS, PaaS. |
6. | Services d’informatique en nuage avec accès externe pour les utilisateurs et interconnexion avec les centres de données du GC |
| IaaS, PaaS. |
4.2 Cartographie des mesures de protection pour les profils d’utilisation de l’informatique en nuage
Le tableau suivant décrit l’applicabilité des mesures de protection au cours des 30 premiers jours ouvrables consécutifs à l’obtention, par les ministères, de leur compte d’accès au nuage. Divers systèmes d’information seront fournis à chaque locataire ministériel. On doit attribuer à chaque sous-compte ou groupe de ressources en nuage le profil d’utilisation du nuage adéquat afin de garantir l’application des bonnes politiques et mesures de validation.
Identifiant (ID) | Mesure de protection | Modèles de services applicables | Profil 1 : Expérimentation ou bac à sable | Profil 2 : Services d’informatique en nuage non sensibles | Profil 3a et 3b : Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B) | Profil 4a et 4b : Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B) pour les solutions de SaaS à l’échelle du GC | Profil 5 : De GC à GC uniquement (TI hybride ‑extension des centres de données du GC) | Profil 6 : Service d’informatique en nuage accessible aux utilisateurs externes (connexions aux centres de données du GC requises) |
---|---|---|---|---|---|---|---|---|
1 | Protéger les comptes d’utilisateurs et les identités | IaaS, PaaS, SaaS. | Requise (au minimum, pour les utilisateurs privilégiés.) | Requise | Requise | Requise | Requise | Requise |
2 | Gérer l’accès | IaaS, PaaS, SaaS. | Requise | Requise | Requise | Requise | Requise | Requise |
3 | Sécuriser les points d’extrémité | IaaS, PaaS, SaaS. | Recommandée | Requise | Requise | Requise | Requise | Requise |
4 | Comptes de surveillance de l’organisation | IaaS, PaaS, SaaS. | Obligatoire (pour la facturation) | Requise | Requise | Requise | Requise | Requise |
5 | Emplacement des données | IaaS, PaaS, SaaS. | Recommandée | Recommandée | Requise (obligatoire au Canada pour le stockage par le GC de renseignements de niveau « Protégé B » et plus) | Requise (obligatoire au Canada pour le stockage par le GC de renseignements de niveau « Protégé B » et plus) | Requise (obligatoire au Canada pour le stockage par le GC de renseignements de niveau « Protégé B » et plus) | Requise (obligatoire au Canada pour le stockage par le GC de renseignements de niveau « Protégé B » et plus) |
6 | Protection des données inactives | IaaS, PaaS, SaaS. | Non requise | Recommandée | Requise | Requise | Requise | Requise |
7 | Protection des données en transit | IaaS, PaaS, SaaS. | Recommandée | Requise | Requise | Requise | Requise | Requise |
8 | Segmenter et séparer | IaaS, PaaS. | Obligatoire (au minimum, le filtrage du réseau) | Requise | Requise | Requise | Requise | Requise |
9 | Services de sécurité des réseaux | IaaS, PaaS, SaaS. | Recommandée | Requise | Requise | Requise (réserver au GC) | Requise (refuser l’accès externe, GC uniquement) | Requise |
10 | Services de cyberdéfense | IaaS, PaaS, SaaS. | Non requise | Requise | Requise | Requise | Requise | Requise |
11 | Journalisation et surveillance | IaaS, PaaS, SaaS. | Recommandée | Requise | Requise | Requise | Requise | Requise |
12 | Configuration des marchés de l’informatique en nuage | IaaS, PaaS, SaaS. | Requise | Requise | Requise | Requise | Requise | Requise |
13 | Planifier la continuité | IaaS, PaaS, SaaS. | Non requise | Requise | Requise | Requise | Requise | Requise |
5. Références
5.1 Instruments de politique connexes
- Directive sur la gestion de la sécurité
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01
- Directive sur les services et le numérique, annexe G : Norme sur les configurations courantes des services de la TI intégrée
5.2 Références supplémentaires
- Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage
- Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage du gouvernement du Canada
- Directive sur la gestion de la sécurité ‑Annexe J : Norme sur la catégorisation de sécurité
- Procédure opérationnelle normalisée pour la gestion d’événements en nuage du gouvernement du Canada
- Cas conceptuel relatif aux projets numériques (accessible seulement sur le réseau du gouvernement du Canada)
- Enterprise Security Architecture (ESA) Template Guides (Guides de modèles d’architecture de sécurité intégrée) [en anglais seulement]
- Lignes directrices sur la définition des exigences en matière d’authentification
- Lignes directrices sur l’assurance de l’identité
- Conseils sur la segmentation en unités dans le cadre des services fondés sur l’infonuagique (ITSP.50.108)
- Guide sur le chiffrement des services infonuagiques (ITSP.50.106)
- La gestion des risques liés à la sécurité de la TI : Une méthode axée sur le cycle de vie (ITSG-33)
- Conseils sur la configuration sécurisée des protocoles réseau (ITSP.40.062)
- Exigences de base en matière de sécurité pour les zones de sécurité de réseau (ITSP.80.022)
- Considérations de conception relatives au positionnement des services dans les zones (ITSG-38)
- Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104)
Annexe A : Cadre de mise en oeuvre de l’informatique en nuage
Le tableau suivant fournit un aperçu du cadre actualisé. Le cadre définit les étapes que les organisations doivent suivre pour utiliser les services d’informatique en nuage de niveau « Protégé B ».
Organisation | Responsabilités | ||||||
---|---|---|---|---|---|---|---|
Étape 1 : Évaluer le fournisseur de services Informatique en nuage | Obtenir un compte pour l’accès au nuage | Déployer les mesures de protection du nuage | Obtenir l’autorisation d’exploitation | Évaluer l’état de préparation à la connectivité | Déployer les solutions d’informatique en nuage | Exploiter et maintenir les solutions | |
Ministères |
|
|
|
|
|
|
|
Services partagés Canada |
|
|
|
|
|
|
|
Secrétariat du Conseil du Trésor du Canada |
|
|
|
|
|
|
|
Centre canadien pour la cybersécurité |
|
|
|
|
|
|
|