Portail du gouvernement ouvert

À l’instar d’autres organismes, le gouvernement du Canada (GC) se tourne vers les services infonuagiques (ou d’informatique en nuage) pour améliorer la prestation de ses services et la gestion de son information. Les services infonuagiques permettent d’accéder sur demande aux applications et aux services depuis des centres de données commerciaux plutôt que les systèmes d’information internes du GC. Ils aideront le GC à offrir des services en ligne aux Canadiens et à leur garantir un accès rapide à l’information. En revanche, ce qui rend les services infonuagiques si intéressants fait également d’eux une cible attrayante pour les auteurs de cybermenaces.

Le présent document fait partie d’une série de documents préparés par le Centre pour la cybersécurité dans le but de promouvoir les services fondés sur l’infonuagique. La catégorisation de la sécurité, la sélection du profil de contrôle de sécurité et le choix des modèles de déploiement en nuage et de service infonuagique constituent les trois premières étapes de l’approche à la gestion des risques à la sécurité infonuagique énoncée dans l’ITSM.50.062, Gestion des risques liés à la sécurité infonuagique.

"L’infonuagique pourrait permettre aux organisations d’obtenir, sur demande, des services de technologies de l’information (TI) polyvalents et adaptables selon un mode d’approvisionnement libre-service. Pour tirer avantage de ces possibilités, il est capital de se pencher sur les aspects relatifs à la sécurité et à la protection de la vie privée. Le chiffrement est l’un des principaux éléments qui permettent d’assurer la sécurité et de protéger la vie privée dans un environnement en nuage. Elle joue un rôle capital dans la prestation des services infonuagiques, tels que l’authentification, ainsi que la sécurisation de l’accès aux charges de travail infonuagiques, du stockage des données et des échanges de données.

Les fournisseurs de services d’infonuagique (FSI) offrent trois modèles de service et quatre modèles de mise en œuvre. Les modèles de service permettent aux clients d’utiliser les services d’infonuagique d’un fournisseur, tandis que les modèles de mise en œuvre leur permettent d’utiliser les services d’infonuagique d’un fournisseur de différentes façons.

Ce document présente les avantages et les risques liés à l’utilisation de services fondés sur l’infonuagique qui fournissent des capacités de traitement informatique en tant que service plutôt que produit. Les fournisseurs de services infonuagiques (FSI) proposent des environnements informatiques évolutifs sur demande. Dans l’ensemble, les services fondés sur l’infonuagique offrent une plus grande souplesse que les solutions de TI locales, de même qu’un ensemble de capacités qui permettront de libérer les ressources de votre organisation. Par contre, de tels services ne protègent pas nécessairement les actifs qui sont stockés par leur intermédiaire.

Le présent document a pour objet de décrire le Programme d’évaluation de la sécurité des technologies de l’information (STI) s’appliquant aux fournisseurs de services infonuagiques (FSI). En l’occurrence, l’objectif du Programme d’évaluation de la STI visant les FSI est d’assister les ministères et organismes du gouvernement du Canada (GC) qui doivent procéder à l’évaluation des services qui leur sont fournis par des FSI. Au reste, les conclusions de ces évaluations permettront d’établir si les processus et les contrôles de sécurité d’un FSI donné répondent aux exigences visant la sécurité des services d’infonuagique publique qui sont appelés à traiter de l’information et à prodiguer des services dont la catégorie peut aller jusqu’à Protégé B, intégrité moyenne, disponibilité moyenne (PBMM), et ce, conformément aux stipulations du Secrétariat du Conseil du Trésor

"L’infonuagique pourrait permettre aux organisations d’obtenir, sur demande, des services TI polyvalents et adaptables selon un mode libre-service. Pour tirer parti des avantages de l’infonuagique, les organisations doivent s’assurer que les risques de sécurité sont gérés convenablement, que les aspects propres à la sécurité infonuagique sont pris en compte, et que les contrôles de sécurité des services fondés sur infonuagique sont évalués convenablement avant qu’une autorisation ne soit délivrée.

Le présent guide aidera les organisations à procéder à l’évaluation et l’autorisation de la sécurité des services fondés sur l’infonuagique. "

Afin de permettre l’adoption de l’infonuagique, le gouvernement du Canada (GC) a élaboré une approche intégrée de gestion des risques pour établir des services fondés sur l’infonuagique. L’ITSM.50.062 définit cette approche qui peut être appliquée à tous les services fondés sur l’infonuagique, quels que soient le modèle de déploiement infonuagique et le modèle de services infonuagiques.

L’ITSP 50.104 fait partie d’une série de documents élaborés par le Centre pour la cybersécurité pour sécuriser les services infonuagiques, à l’appui de l’approche de gestion des risques liés à la sécurité infonuagique établie dans l’ITSM.50.062, Gestion des risques liés à la sécurité infonuagique.

Information sur nos services notamment: Cybersécurité et sécurité de la TI, Centres de données, Services infonuagiques, Accessibilité, adaptation et technologie informatique adaptée (AATIA), Appareils technologiques en milieu de travail, Télécommunications et réseaux, Courriel et Ressources humaines et paye de la prochaine génération.