Mesures de protection du nuage du gouvernement du Canada

1. Présentation

1.1 Contexte

En août 2019, le gouvernement du Canada (GC) a établi des contrats d’approvisionnement pour les services en nuage Protégé B avec Amazon Web Services (AWS) Canada et Microsoft Azure. Pour que le GC puisse utiliser les services d’informatique en nuage de manière sûre et responsable, la dirigeante principale de la technologie du GC a jugé qu’un cadre de mise en oeuvre sous-jacent était requis. Un tel cadre a donc été établi et approuvé par le Conseil d’examen de l’architecture intégrée du GC en septembre 2019. Ce cadre établissait un ensemble minimal de mesures de cybersécurité et d’exigences en matière d’architecture que les ministères devaient mettre en oeuvre avant d’utiliser les services d’informatique en nuage de niveau Protégé B. Ces mesures se nomment collectivement les « mesures de protection du nuage du GC ».

1.2 Champ d’application

Les mesures de protection du nuage du gouvernement du Canada :

2. Mesures de protection du nuage

Les mesures de protection du nuage du gouvernement du Canada décrivent un ensemble préliminaire de mesures de cybersécurité de base visant à garantir que l’environnement des services d’informatique en nuage dispose d’un ensemble minimal de configurations. Les ministères doivent mettre en oeuvre et valider les mesures de protection du nuage ainsi que rendre compte de leur conformité à ces mesures dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage.

Il incombe aux ministères de mettre en oeuvre les configurations minimales définies dans les tableaux suivants. La validation des mesures de protection sera assurée par la Direction des services d’informatique en nuage de Services partagés Canada (SPC). La Procédure opérationnelle normalisée pour la surveillance de la validation et de l’acheminement des mesures de protection de l’informatique en nuage du GC a été élaborée pour aider à mener à bien la validation.

Les définitions suivantes seront utilisées pour les mesures de protection du nuage du gouvernement du Canada :

  • Exigences obligatoires : Ensemble de mesures de sécurité de base que les ministères doivent mettre en oeuvre et valider, et au regard desquels ils doivent rendre compte de leur conformité, dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage.
  • Autres considérations : Mesures de sécurité supplémentaires qui sont fortement recommandées et qu’il conviendrait de prendre en considération. Bien qu’il ne soit pas attendu que ces mesures soient mises en oeuvre dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage, elles proposent des pratiques exemplaires qui devraient être prises en considération au fur et à mesure de l’adoption, par les ministères, de leurs environnements d’informatique en nuage.

2.1 Mesure de protection 1 : Protéger les comptes et les identités des utilisateurs

2.1.1 Objectif

Protéger les comptes et les identités des utilisateurs.

2.1.2 Modèles de services applicables

Infrastructure en tant que service (IaaS), plateforme en tant que service (PaaS), logiciel en tant que service (SaaS)

2.1.3 Exigences obligatoires

ActivitéValidation
  • Procéder à la mise en œuvre d’une authentification multifactorielle (AMF) rigoureuse pour tous les comptes d’utilisateurs. Utiliser une AMF résistante à l’hameçonnage lorsque possible.

Remarque : Les comptes et identités des utilisateurs comprennent ce qui suit :

  • Confirmer que l’AMF est mise en œuvre conformément aux orientations du GC au moyen de captures d’écran, de rapports de conformité ou d’une mesure de contrôle de la conformité dont l’activation est assurée par un outil de rapport pour tous les comptes d’utilisateur.
  • Confirmer que des politiques numériques sont en place pour garantir l’application des configurations de l’AMF.
  • Confirmer et signaler le nombre d’enregistrements de comptes racine/administrateur général (il devrait y en avoir au moins deux et pas plus de cinq).
  • Confirmer si les activités de surveillance et de vérification sont mises en œuvre pour tous les comptes d’utilisateurs.
  • Confirmer que des avis d’alerte au personnel autorisé sont mis en œuvre pour signaler les mauvaises utilisations et les activités suspectes pour tous les comptes d’utilisateur.
  • Utiliser des comptes dédiés distincts pour les rôles hautement privilégiés (par exemple, administrateurs de domaine, administrateurs généraux, racine et tout accès équivalent à celui d’administrateur de domaine) lors de l’administration des services d’informatique en nuage afin de réduire au maximum le potentiel de dommages.
  • Fournir la preuve que des comptes d’utilisateurs dédiés sont utilisés pour l’administration (par exemple, accès privilégié).

2.1.4 Autres considérations

Aucune

2.1.5 Références

2.1.6 Mesures de sécurité connexes à La gestion des risques liés à la sécurité de la TI : Une approche axée sur le cycle de vie (ITSG-33)

AC-2, AC-2(11), AC-3, AC-5, AC-6, AC-6(5), AC-6(10), AC-19, AC-20(3), IA-2, IA-2(1), IA-2(2), IA-2(3), IA-2(11), IA-5(8), SI-4, SI-4(5), SA-4(12), CM-5.

2.2 Mesure de protection 2 : Gérer l’accès

2.2.1 Objectif

Établir des politiques et des procédures de contrôle d’accès pour la gestion de tous les comptes.

2.2.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.2.3 Exigences obligatoires

ActivitéValidation
  • Mettre en œuvre un mécanisme permettant de faire respecter les autorisations d’accès pour tous les comptes d’utilisateurs en tenant compte des critères énumérés dans la Directive sur les services et le numérique, à l’annexe G : Norme sur les configurations courantes des services de la TI intégrée, et à la section 3 des Exigences de configuration relatives à la gestion des comptes.
  • Démontrer que les configurations et les politiques d’accès sont mises en œuvre pour différentes catégories d’utilisateurs (utilisateurs privilégiés et non privilégiés).
  • Confirmer que les mécanismes d’autorisation d’accès ont été mis en œuvre pour :
    • identifier et authentifier de manière unique les utilisateurs des services d’informatique en nuage;
    • confirmer l’attribution du rôle le moins privilégié;
    • confirmer la mise en œuvre de l’accès basé sur les rôles;
    • mettre fin à l’attribution des rôles en cas de changement de poste ou de licenciement;
    • procéder à des examens périodiques de l’attribution des rôles (au moins une fois par an);
    • désactiver les comptes par défaut et inactifs;
    • éviter d’utiliser des comptes génériques des utilisateurs.
  • Veiller à ce qu’un examen de l’attribution des rôles des comptes racines et d’administrateurs généraux soit effectué au moins tous les 12 mois.
  • Tirer parti des accès selon les rôles qui sont configurés avec les privilèges les moins élevés. Il peut s’agir de rôles intégrés ou personnalisés qui ont été établis en y incluant seulement le minimum de privilèges requis pour exécuter la fonction du poste.
  • Démontrer que les rôles intégrés à la plateforme d’informatique en nuage sont configurés en utilisant les privilèges les moins élevés. Des rôles personnalisés peuvent être utilisés, mais leur justification doit être documentée et approuvée.
  • Changer les mots de passe par défaut conformément à l’Orientation sur les mots de passe du GC.
  • Confirmer que les mots de passe par défaut ont été changés pour tous les comptes intégrés au service d’informatique en nuage.
  • Démontrer que la politique relative aux mots de passe pour la plateforme d’informatique en nuage a été configurée conformément à l’Orientation sur les mots de passe en utilisant les moyens suivants :
    • exiger des mots de passe d’au moins 12 caractères et sans longueur maximale;
    • contrer les tentatives en ligne de deviner ou de forcer des mots de passe en mettant en place des mécanismes comme le ralentissement artificiel, des politiques de verrouillages de comptes, la surveillance et l’authentification multifactorielle;
    • se protéger contre les attaques hors ligne en utilisant le hachage, le salage et le hachage à clé.
  • Mettre en œuvre des mécanismes de protection contre les attaques par force brute visant à obtenir des mots de passe.
  • Confirmer la mise en place de mécanismes visant à se protéger contre les attaques par force brute visant à obtenir des mots de passe, comme le ralentissement artificiel, les politiques de verrouillages de comptes, la surveillance et l’authentification fondée sur le risque.
  • Établir une politique et des procédures relatives à l’accès des utilisateurs invités qui réduit au minimum le nombre d’utilisateurs invités et gère le cycle de vie de leurs comptes pour que ceux-ci soient supprimés lorsque l’accès n’est plus nécessaire.
  • Remarque : L’utilisateur « invité » est une personne qui n’est pas un employé, un étudiant ou un membre de votre organisation. Cet utilisateur n’a pas créé de compte auprès du locataire du nuage de l’organisation.
  • Confirmer que seuls les comptes d’utilisateurs invités nécessaires sont activés (conformément aux exigences opérationnelles du service).
  • Fournir la liste des utilisateurs qui ne font pas partie de l’organisation et qui jouissent de privilèges élevés.
  • Veiller à ce que des vérifications de l’accès des invités soient effectuées périodiquement.

2.2.4 Autres considérations

ActivitéValidation
  • Confirmer que la procédure de contrôle d’accès pour la gestion des comptes administratifs a été documentée pour le service d’informatique en nuage. La procédure de contrôle d’accès doit :
    • prévoir des dispositions pour les comptes d’invités ainsi que les comptes personnalisés;
    • faire renvoi à la procédure de gestion des comptes d’urgence.
  • Appliquer le principe de l’« accès juste-à-temps » aux comptes d’utilisateurs privilégiés afin de fournir une activation de rôle fondée sur le temps et l’approbation et, ainsi, atténuer les risques d’autorisations d’accès excessives, inutiles ou mal utilisées.
  • Confirmer la fourniture de l’accès juste à temps pour tous les comptes d’utilisateurs privilégiés afin d’offrir une activation de rôle fondée sur le temps et l’approbation.
  • Appliquer le contrôle d’accès basé sur les attributs pour restreindre l’accès selon une combinaison de facteurs d’authentification, par exemple les appareils délivrés et gérés par le GC, la conformité des appareils, les risques liés à l’ouverture de séance et aux utilisateurs, ainsi que l’emplacement.
  • Fournir la preuve que des mécanismes de contrôle d’accès basés sur les attributs sont en place pour restreindre l’accès en fonction d’attributs ou de signaux, par exemple des facteurs d’authentification, les appareils délivrés et gérés par le GC, la conformité des appareils, les risques liés à l’ouverture de séance et aux utilisateurs, ainsi que l’emplacement.
  • Utiliser des outils comme les systèmes de gestion des accès privilégiés pour appliquer le contrôle d’accès aux fonctions privilégiées en configurant des rôles dont l’activation nécessite une approbation.
  • Choisir un ou plusieurs utilisateurs ou groupes comme approbateurs délégués.
  • Fournir la preuve que l’activation du rôle de tous les comptes d’utilisateurs privilégiés nécessite une approbation, et que l’élévation des privilèges est temporaire (limitée dans le temps).

2.2.5 Références

2.2.6 Mesures de sécurité connexes du document ITSG-33

AC‑2, AC‑2(1), AC‑2(7) AC‑3, AC‑3(7), AC‑3, AC‑4 AC‑5, AC‑6, AC‑6(5), IA‑2, IA‑2(1), IA‑2(8), IA‑2(11), IA‑4, IA‑5, IA‑5(1), IA‑5(6).

2.3 Mesure de protection 3 : Sécuriser les points d’extrémité

2.3.1 Objectif

Mettre en œuvre des niveaux de protection plus élevés pour les interfaces de gestion.

2.3.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.3.3 Exigences obligatoires

ActivitéValidation
  • Confirmer que l’accès administratif aux environnements d’informatique en nuage provient d’emplacements approuvés et fiables ainsi que d’appareils délivrés et gérés par le GC qui respectent les Exigences de configuration de la gestion des points d’extrémité.
  • Démontrer que des configurations et des politiques en matière d’accès sont mises en œuvre pour les appareils.

2.3.4 Autres considérations

ActivitéValidation
  • Toutes les tâches administratives doivent être effectuées depuis des postes de travail administratifs dédiés.
  • Remarque : un poste de travail administratif dédié est un poste de travail physique sécurisé (lourd ou léger) qui sert à effectuer certaines tâches administratives particulières et de nature délicate, ou des tâches qui exigent que l’on ait un accès privilégié. Cet appareil ne doit pas avoir accès à Internet, et les services comme le courrier électronique et la navigation sur le Web doivent y être désactivés et interdits.
  • Confirmer si des postes de travail administratifs dédiés sont utilisés pour réaliser toutes les activités de nature administrative.

2.3.5 Références

2.3.6 Mesures de sécurité connexes du document ITSG-33

AC-3, AC-3(7), AC-4, AC-5, AC-6, AC 6(5), AC-6(10), AC-19, AC-20(3), IA-2, IA-2(1), IA-2(11), IA-4, IA-5, IA-5(1), SI-4, AU-6, AU-12.

2.4 Mesure de protection 4 : Comptes de surveillance de l’organisation

2.4.1 Objectif

Créer des comptes basés sur des rôles pour permettre la surveillance et la compréhension de l’organisation.

2.4.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.4.3 Exigences obligatoires

ActivitéValidation
  • Créer des comptes fondés sur les rôles pour permettre une surveillance et une compréhension organisationnelles des environnements d’informatique en nuage qui sont acquis par l’intermédiaire du courtier en services d’informatique en nuage du GC ou qui relèvent de la portée de la validation des mesures de protection centralisées.
  • Veiller à ce que les rôles requis pour comprendre le GC dans son ensemble aient été dotés ou attribués.
  • Examiner périodiquement les privilèges d’accès et supprimer les accès qui ne sont plus nécessaires.
  • Confirmer la mise en place d’un avis d’alerte au personnel autorisé pour signaler les mauvaises utilisations, les tentatives de connexion suspectes ou les modifications apportées aux comptes privilégiés et non privilégiés.

2.4.4 Autres considérations

Aucune

2.4.5 Références

2.4.6 Mesures de sécurité connexes du document ITSG-33

AC-3(7), AC-6(5), IA-2(1).

2.5 Mesure de protection 5 : Emplacement des données

2.5.1 Objectif

Établir des politiques pour restreindre la charge de travail de nature délicate au GC à des emplacements géographiques approuvés.

2.5.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.5.3 Exigences obligatoires

ActivitéValidation
  • Selon le paragraphe 4.4.3.14 de la Directive sur les services et le numérique :

« Veiller à ce que les installations informatiques situées à l’intérieur des frontières géographiques du Canada ou dans des locaux à l’étranger appartenant à un ministère du gouvernement du Canada, telle qu’une mission diplomatique ou consulaire, soient considérées et évaluées en tant qu’option principale pour la prestation de services impliquant toute l’information et toutes les données électroniques délicates sous le contrôle du gouvernement qui est classée Protégé B, C ou Classifié. »

  • Démontrer que l’emplacement du service est au Canada (pour tous les services d’informatique en nuage de niveau Protégé B), lorsqu’il est possible de le configurer, conformément aux profils applicables d’utilisation des services d’informatique en nuage.

2.5.4 Autres considérations

Aucune

2.5.5 Références

2.5.6 Mesures de sécurité connexes du document ITSG-33

SA-9(5)

2.6 Mesure de protection 6 : Protection des données inactives

2.6.1 Objectif

Protéger les données inactives par défaut (par exemple, le stockage) pour les charges de travail utilisant l’informatique en nuage.

2.6.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.6.3 Exigences obligatoires

ActivitéValidation
  • Mettre en œuvre un mécanisme de chiffrement pour protéger la confidentialité et l’intégrité des données lorsqu’elles sont inactives en stockage.
  • Dans le cas des modèles IaaS et PaaS, confirmer que le chiffrement du service de stockage est activé pour les données inactives (si l’évaluation des risques pour la sécurité l’exige).
  • Dans le cas du modèle SaaS, confirmer que le fournisseur de services d’informatique en nuage (FSIN) a mis en place un système de chiffrement pour protéger les données des clients.
  • Utiliser des algorithmes et des protocoles de chiffrement approuvés par le Centre de la sécurité des télécommunications Canada (CST) conformément aux documents d’orientation ITSP.40.111 et ITSP.40.062.
  • Les algorithmes et protocoles cryptographiques configurables par le consommateur sont conformes aux documents d’orientation ITSP.40.111 et ITSP.40.062.
  • Dans le cas du modèle SaaS, confirmer que le FSIN a mis en œuvre des algorithmes conformes aux documents d’orientation ITSP 40.111 et ITSP.40.062.

2.6.4 Autres considérations

ActivitéValidation
  • Demander conseil aux responsables de la protection de la vie privée et de l’accès aux renseignements des entités visées avant de stocker des renseignements personnels dans des environnements d’informatique en nuage.
  • Confirmer que la protection de la vie privée fait partie intégrante du cycle de développement des logiciels du ministère.
  • Utiliser un système de gestion des clés approprié pour la protection cryptographique utilisée dans les services en nuage, conformément aux Considérations relatives à l’utilisation de la cryptographie dans les services d’informatique en nuage commerciaux et au Guide sur le chiffrement des services infonuagiques (ITSP.50.106) du CCC.
  • Confirmer qu’une stratégie de gestion des clés a été adoptée pour le locataire du nuage.

2.6.5 Références

2.6.6 Mesures de sécurité connexes du document ITSG-33

IA-7, SC-12, SC-13, SC-28, SC-28(1).

2.7 Mesure de protection 7 : Protection des données en transit

2.7.1 Objectif

Protéger les données transitant sur les réseaux par le recours à un mécanisme de chiffrement et à des mesures de protection des réseaux appropriés.

2.7.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.7.3 Exigences obligatoires

ActivitéValidation
  • Chiffrer par défaut les données en transit (en recourant, par exemple, au chiffrement Transport Layer Security [TLS] 1.2) afin de protéger la confidentialité et l’intégrité des données, y compris pour tous les sites accessibles au public et les communications externes, conformément aux Exigences de configuration de la gestion des sites Web et des services du GC et, dans la mesure du possible, pour les zones de communication internes.
  • Confirmer que le chiffrement TLS 1.2 ou supérieur est mis en œuvre pour tous les services en nuage (par le Hypertext Transfer Protocol Secure [HTTPS], TLS ou un autre mécanisme).
  • Remarque : Bien que ce paramètre de chiffrement soit souvent le paramètre par défaut, les plateformes et les services en nuage disposent souvent d’options de configuration permettant de sélectionner la version TLS autorisée.
  • Utiliser des algorithmes et des protocoles cryptographiques approuvés par le CST, conformément aux normes ITSP.40.111 et ITSP.40.062.
  • Exploiter les algorithmes et protocoles cryptographiques configurables par l’utilisateur conformément aux documents d’orientation ITSP.40.111 et ITSP.40.062.
  • Confirmer que les certificats d’entités autres que des personnes sont délivrés par des autorités de certification qui respectent les recommandations du GC pour les certificats de serveurs TLS.

2.7.4 Autres considérations

Aucune

2.7.5 Références

2.7.6 Mesures de sécurité connexes du document ITSG-33

IA-7, SC-12, SC-13, SC-28, SC-28(1).

2.8 Mesure de protection 8 : Segmenter et séparer

2.8.1 Objectif

Segmenter et séparer les renseignements en fonction de leur degré de sensibilité.

2.8.2 Modèles de services applicables

IaaS, PaaS

Remarque

La mesure de protection suivante ne s’applique pas aux modèles SaaS. La gestion et la sécurité du réseau relèvent de la responsabilité du fournisseur de services d’informatique en nuage et sont incluses dans les SaaS. Se reporter à la section 4.3 du Guide sur la défense en profondeur pour les services fondés sur l’infonuagique (ITSP.50.104) pour comprendre les éléments clés qu’il faut prendre en compte pour la segmentation des réseaux dans le nuage.

2.8.3 Exigences obligatoires

ActivitéValidation
  • Isoler et sécuriser les charges de travail dans le nuage en fonction de la sensibilité des données.
  • Confirmer que le ministère vise une architecture de réseau assortie d’une conception ou d’un schéma de haut niveau définissant une segmentation appropriée entre les zones de sécurité du réseau, conformément aux documents d’orientation ITSP.50.104, ITSP.80.022 et ITSG-38
  • Confirmer que le ministère a documenté un guide de déploiement de la plateforme d’informatique en nuage et des services s’y rattachant (le guide devrait rendre compte de la zone d’atterrissage, s’il y a lieu).
  • Confirmer que les fonctions de segmentation du fournisseur de services en nuage sont exploitées pour assurer la segmentation de la gestion, de la production, des essais d’acceptation par les utilisateurs (EAU), du développement (DEV) et des essais (par exemple, l’utilisation d’un abonnement, d’instances ou d’une autre construction de fournisseur de services d’informatique en nuage).

2.8.4 Autres considérations

ActivitéValidation
  • Élaborer une conception cible de la sécurité du réseau qui prend en compte la segmentation au moyen des zones de sécurité du réseau conformément aux documents d’orientation ITSP.50.104, ITSP.80.022 et ITSG-38.
  • Tirer parti des zones d’atterrissage qui comprennent une prise en charge prédéfinie, sécurisée et multicompte pour permettre l’intégration automatisée de différentes charges de travail et équipes.

2.8.5 Références

2.8.6 Mesures de sécurité connexes du document ITSG-33

AC‑4, SC‑7

2.9 Mesure de protection 9 : Services de sécurité des réseaux

2.9.1 Objectif

Établir des périmètres de réseau à l’externe et à l’interne et surveiller l’achalandage sur le réseau.

2.9.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.9.3 Exigences obligatoires

ActivitéValidation
  • Veiller à ce que les points de sortie et d’entrée des environnements d’informatique en nuage du GC soient gérés et surveillés.
  • Confirmer la politique en matière de limitation du nombre de protocoles Internet (IP, pour Internet Protocols en anglais) publics.
  • Mettre en œuvre des mécanismes de protection des limites du réseau pour toutes les interfaces externes qui appliquent une politique de déni systématique ou d’autorisation par exception.
  • Confirmer la politique de protection des limites du réseau.
  • Les services de sécurité du périmètre, dont la protection des limites du réseau, les services de prévention des intrusions, les services mandataires, l’inspection de l’achalandage TLS et autres, doivent être activés selon le profil de risque, conformément aux exigences de connectivité sécurisée du GC et à l’orientation du CST.
  • Confirmer la politique de limitation aux adresses IP sources autorisées (par exemple, les adresses IP du GC).
  • Veiller à ce que l’accès aux services de stockage dans le nuage soit protégé et limité aux zones ou réseaux de sécurité, utilisateurs et services autorisés.
  • Confirmer que les comptes de stockage ne sont pas exposés au public.

2.9.4 Autres considérations

ActivitéValidation
  • Utiliser des services centralisés de sécurité du réseau lorsqu’ils sont disponibles.
  • Confirmer si le ministère a l’intention d’établir des connexions spécialisées et sécurisées vers des ressources sur place.

2.9.5 Références

2.9.6 Mesures de sécurité connexes du document ITSG-33

AC-3, AC‑4, SC‑7, SC‑7(5), SI-4, SI-4(18).

2.10 Mesure de protection 10 : Services de cyberdéfense

2.10.1 Objectif

Établir un protocole d’entente pour les services de défense et les services de surveillance des menaces et de protection contre celles-ci.

2.10.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.10.3 Exigences obligatoires

ActivitéValidation

Confirmer auprès du CCC que le protocole d’entente a été signé.

  • Mettre en œuvre des services de défense, y compris des capteurs au niveau de l’hôte, des capteurs au niveau du nuage et des capteurs au niveau du réseau, conformément aux directives d’intégration du CCC, le cas échéant.
  • Confirmer que les capteurs du CCC ou d’autres services de cyberdéfense sont mis en œuvre lorsqu’ils sont disponibles.

2.10.4 Autres considérations

Aucune

2.10.5 Références

2.10.6 Mesures de sécurité connexes du document ITSG-33

SI‑4

2.11 Mesure de protection 11 : Journalisation et surveillance

2.11.1 Objectif

Activer la journalisation pour l’environnement en nuage et pour les charges de travail utilisant l’informatique en nuage.

2.11.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.11.3 Exigences obligatoires

ActivitéValidation
  • Mettre en œuvre un niveau approprié de journalisation et d’établissement de rapports, y compris une fonction de journal de vérification de la sécurité dans tous les systèmes d’information.
  • Confirmer que la politique de journalisation des événements est mise en œuvre.
  • Confirmer la production des journaux d’événements suivants :
    • Ouvertures de séance (connexions interactives et non interactives, connexions à l’API).
    • Modifications des privilèges d’accès et des groupes (y compris l’appartenance à un groupe et l’attribution de privilèges à un groupe).
    • Changements dans la configuration de la plateforme en nuage.
    • Activités de fourniture de ressources en nuage.
  • Configurer les événements au sein de la solution de manière à appuyer la surveillance de la sécurité, conformément au Guide sur la consignation d’événements.
  • Confirmer que des activités de surveillance et de vérification sont mises en œuvre pour tous les comptes d’utilisateurs.
  • Veiller à ce que les coordonnées appropriées soient configurées de manière à ce que le fournisseur de services d’informatique en nuage puisse informer l’organisation du gouvernement du Canada des incidents qu’ils détectent.
  • Confirmer que le dossier des personnes-ressources pour la sécurité figurant dans le compte comporte les coordonnées d’au moins deux (si plusieurs sont autorisés par la plateforme en nuage) membres appropriés du personnel attachés à la sécurité de l’information.
  • Configurer un fuseau horaire approprié pour les dossiers de vérification générés par les composants de votre solution.
  • Vérifier que le fuseau horaire approprié a été défini.
  • Veiller à ce que des ressources soient affectées à la surveillance des événements dans le nuage.
  • Démontrer que les cas d’utilisation de la surveillance de la plateforme en nuage ont été mis en œuvre et intégrés aux activités générales de surveillance de la sécurité menées par le ministère (pour le démonter, on pourrait par exemple prouver que l’on surveille une liste de contrôle ou un rapport généré par le système).

2.11.4 Autres considérations

Aucune

2.11.5 Références

2.11.6 Mesures de sécurité connexes du document ITSG-33

AU‑12, SI-4, SI-4(7)

2.12 Mesure de protection 12 : Configuration des marchés de l’informatique en nuage

2.12.1 Objectif

Restreindre les logiciels tiers des fournisseurs de services d’informatique afin de veiller à ce que seuls des produits approuvés par le GC soient utilisés.

2.12.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.12.3 Exigences obligatoires

ActivitéValidation
  • Seuls les produits d’informatique en nuage offerts sur le marché approuvés par le GC peuvent être consommés. Le recours aux marchés commerciaux est interdit.
  • Confirmer que les restrictions relatives aux marchés tiers ont été mises en œuvre.

2.12.4 Autres considérations

ActivitéValidation
  • Soumettre des demandes d’ajout de produits tiers sur le marché au courtier en services d’informatique en nuage de SPC.

Sans objet

  • Veiller à ce que les logiciels offerts par le fournisseur de services d’informatique en nuage ou sur le marché des fournisseurs de services d’informatique en nuage fassent l’objet d’un processus d’assurance logicielle afin que seuls des produits approuvés soient utilisés.

Sans objet

2.12.5 Références

2.12.6 Mesures de sécurité connexes du document ITSG-33

CM5, CM8, SA12

2.13 Mesure de protection 13 : Planifier la continuité

2.13.1 Objectif

Veiller à se doter d’un plan de continuité de l’accès et des services qui tienne compte des événements prévus et imprévus.

2.13.2 Modèles de services applicables

IaaS, PaaS, SaaS.

2.13.3 Exigences obligatoires

ActivitéValidation
  • Documenter, mettre en œuvre et mettre à l’essai une procédure de gestion des comptes d’urgence.
  • Vérifier si une procédure de gestion des comptes d’urgence a été élaborée.
  • Vérifier si un système d’alerte a été mis en place pour signaler toute utilisation des comptes d’urgence.
  • Vérifier que les comptes d’urgence ont été mis à l’essai, et que la procédure de gestion des comptes d’urgence prévoit des essais périodiques.
  • Obtenir les signatures du dirigeant principal de l’information (DPI) du ministère en collaboration avec l’agent désigné pour la cybersécurité (ADC) en guise de confirmation qu’ils ont pris connaissance des procédures de gestion des comptes d’urgence et les ont approuvées.
  • Confirmer au moyen d’une attestation que le DPI du ministère, en collaboration avec l’ADC, a approuvé la procédure de gestion des comptes d’urgence pour le service d’informatique en nuage.

2.13.4 Autres considérations

ActivitéValidation
  • Élaborer une stratégie de sauvegarde dans le nuage qui tient compte du lieu de stockage, de reproduction ou de sauvegarde des données du GC par le service d’informatique en nuage, conformément au plan de continuité de la TI pour le service ou l’application.
  • Confirmer au moyen d’une attestation que la stratégie de sauvegarde dans le nuage est élaborée et approuvée par le responsable opérationnel.
  • Vérifier s’il existe des scripts qui permettent le rétablissement à partir du code (par exemple, une solution d’« infrastructure en tant que code »).
  • Veiller à ce que les charges de travail en matière d’informatique en nuage soient associées à l’identifiant d’application pertinent de l’outil de gestion du portefeuille d’applications (GPA) du Secrétariat du Conseil du Trésor du Canada, à l’appui de l’annexe H : Norme sur la technologie de l’information à risque.
  • Fournir une liste de tous les logiciels (y compris de leurs numéros de version) qui sont déployés sur les machines virtuelles associées aux identifiants d’application de l’outil de GPA.
  • Veiller à ce que les plans de gestion des événements de cybersécurité du ministère prévoient les services en nuage, conformément au Plan de gestion des événements de cybersécurité du gouvernement du Canada.
  • Veuillez confirmer que le Plan de gestion des événements de cybersécurité comprenne les coordonnées servant à joindre le fournisseur de services d’informatique en nuage en cas d’événement ou d’incident de sécurité.

2.13.5 Références

2.13.6 Mesures de sécurité connexes du document ITSG-33

AC-1, CP-1,CP-2,CP-9,CA-3.

3. Après les 30 premiers jours ouvrables

La mise en œuvre des mesures de sécurité compte parmi les premières étapes de la mise en place d’un environnement sécurisé fondé sur l’informatique en nuage. Il est attendu des ministères qu’ils continuent de mettre en œuvre les exigences en matière de sécurité ainsi qu’elles sont énoncées dans les documents suivants :

Les ministères devraient consulter leurs équipes de gestion des risques liés à la sécurité de la TI pour obtenir des conseils et des orientations sur l’intégration des activités d’évaluation et d’autorisation de la sécurité dans le cadre de la mise en œuvre de l’environnement d’informatique en nuage du gouvernement du Canada. Le document Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage du gouvernement du Canada décrit les activités que les ministères doivent envisager dans le cadre de la gestion des risques.

Services partagés Canada procédera à des vérifications périodiques de l’environnement des locataires ministériels afin de veiller au respect des mesures de protection dans les 30 premiers jours ouvrables.

4. Profils d’utilisation de l’informatique en nuage

4.1 Vue d’ensemble

Le tableau suivant présente les identifiants, les profils, les descriptions et les modèles de services en nuage utilisés au GC.

Tableau 1 : Identifiants, profils et modèles de service pour l’utilisation de l’informatique en nuage
Identifiant (ID)ProfilDescriptionModèle de service d’informatique en nuage applicable

1.

Expérimentation ou bac à sable

  • Services d’informatique en nuage utilisés à des fins d’« expérimentation » ou comme « bac à sable ».
  • Aucune interconnexion directe de système à système n’est nécessaire avec les centres de données du GC.

Infrastructure en tant que service (IaaS), plateforme en tant que service (PaaS), logiciel en tant que service (SaaS).

2.

Services d’informatique en nuage non sensibles

  • Services d’informatique en nuage hébergeant du contenu non sensible du GC.
  • Aucune interconnexion directe de système à système n’est nécessaire avec les centres de données du GC.

IaaS, PaaS, SaaS.

3a.

Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B)

  • Services d’informatique en nuage hébergeant des renseignements sensibles (jusqu’au niveau Protégé B).
  • Aucune interconnexion directe de système à système n’est nécessaire avec les centres de données du GC.

IaaS, PaaS, SaaS.

3b.

Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B) (TI hybride ‑extension des centres de données du GC)

  • Services d’informatique en nuage hébergeant des renseignements sensibles (jusqu’au niveau Protégé B).
  • Systèmes d’informatique en nuage du GC devant interagir avec les systèmes des centres de données du GC.
  • Environnement restreint aux utilisateurs du GC.
  • Aucune connexion d’utilisateur externe vers ou depuis le nuage privé virtuel du GC et aucun service accessible au public.

PaaS, SaaS

4a.

Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B) pour des solutions de SaaS à l’échelle du GC

  • Services d’informatique en nuage hébergeant des renseignements sensibles (jusqu’au niveau Protégé B) pour des applications intégrées à l’échelle du GC (SaaS).
  • Aucune interconnexion directe de système à système n’est nécessaire avec les centres de données du GC.

SaaS

4b.

Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B) pour des solutions de SaaS à l’échelle du GC (TI hybride ‑extension des centres de données du GC)

  • Services en nuage hébergeant des renseignements sensibles (jusqu’au niveau Protégé B) pour des applications intégrées à l’échelle du GC (SaaS).
  • Systèmes d’informatique en nuage du GC devant interagir avec les systèmes des centres de données du GC.
  • Environnement restreint aux utilisateurs du GC.
  • Aucune connexion d’utilisateur externe vers ou depuis le nuage privé virtuel du GC et aucun service accessible au public.

SaaS

5.

GC à GC uniquement (TI hybride ‑extension des centres de données du GC)

  • Environnement de la TI hybride avec extension du réseau du GC aux renseignements (jusqu’au niveau Protégé B) stockés sur le nuage privé virtuel.
  • Systèmes d’informatique en nuage du GC devant interagir avec les systèmes des centres de données du GC.
  • Environnement restreint aux utilisateurs du GC.
  • Aucune connexion d’utilisateur externe vers ou depuis le nuage privé virtuel du GC et aucun service accessible au public.

IaaS, PaaS.

6.

Services d’informatique en nuage avec accès externe pour les utilisateurs et interconnexion avec les centres de données du GC

  • Services d’informatique en nuage hébergeant des renseignements sensibles (jusqu’au niveau Protégé B).
  • Systèmes d’informatique en nuage du GC devant interagir avec les systèmes des centres de données du GC.
  • Environnement accessible aux utilisateurs du GC et aux utilisateurs et services externes.
  • Solution mise en œuvre, gérée et exploitée par un ministère ou une agence du GC.

IaaS, PaaS.

4.2 Cartographie des mesures de protection pour les profils d’utilisation de l’informatique en nuage

Le tableau suivant décrit l’applicabilité des mesures de protection au cours des 30 premiers jours ouvrables consécutifs à l’obtention, par les ministères, de leur compte d’accès au nuage. Divers systèmes d’information seront fournis à chaque locataire ministériel. On doit attribuer à chaque sous-compte ou groupe de ressources en nuage le profil d’utilisation du nuage adéquat afin de garantir l’application des bonnes politiques et mesures de validation.

Tableau 2 : Identifiants des mesures de protection, modèles de service et profils d’utilisation de l’informatique en nuage
Identifiant (ID)Mesure de protectionModèles de services applicablesProfil 1 : Expérimentation ou bac à sableProfil 2 : Services d’informatique en nuage non sensiblesProfil 3a et 3b : Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B)Profil 4a et 4b : Services d’informatique en nuage sensibles (jusqu’au niveau Protégé B) pour les solutions de SaaS à l’échelle du GCProfil 5 : De GC à GC uniquement (TI hybride ‑extension des centres de données du GC)Profil 6 : Service d’informatique en nuage accessible aux utilisateurs externes (connexions aux centres de données du GC requises)
1

Protéger les comptes d’utilisateurs et les identités

IaaS, PaaS, SaaS.

Requise

(au minimum, pour les utilisateurs privilégiés.)

Requise

Requise

Requise

Requise

Requise

2

Gérer l’accès

IaaS, PaaS, SaaS.

Requise

Requise

Requise

Requise

Requise

Requise

3

Sécuriser les points d’extrémité

IaaS, PaaS, SaaS.

Recommandée

Requise

Requise

Requise

Requise

Requise

4

Comptes de surveillance de l’organisation

IaaS, PaaS, SaaS.

Obligatoire (pour la facturation)

Requise

Requise

Requise

Requise

Requise

5

Emplacement des données

IaaS, PaaS, SaaS.

Recommandée

Recommandée

Requise

(obligatoire au Canada pour le stockage par le GC de renseignements de niveau « Protégé B » et plus)

Requise

(obligatoire au Canada pour le stockage par le GC de renseignements de niveau « Protégé B » et plus)

Requise

(obligatoire au Canada pour le stockage par le GC de renseignements de niveau « Protégé B » et plus)

Requise

(obligatoire au Canada pour le stockage par le GC de renseignements de niveau « Protégé B » et plus)

6

Protection des données inactives

IaaS, PaaS, SaaS.

Non requise

Recommandée

Requise

Requise

Requise

Requise

7

Protection des données en transit

IaaS, PaaS, SaaS.

Recommandée

Requise

Requise

Requise

Requise

Requise

8

Segmenter et séparer

IaaS, PaaS.

Obligatoire (au minimum, le filtrage du réseau)

Requise

Requise

Requise

Requise

Requise

9

Services de sécurité des réseaux

IaaS, PaaS, SaaS.

Recommandée

Requise

Requise

Requise (réserver au GC)

Requise (refuser l’accès externe, GC uniquement)

Requise

10

Services de cyberdéfense

IaaS, PaaS, SaaS.

Non requise

Requise

Requise

Requise

Requise

Requise

11

Journalisation et surveillance

IaaS, PaaS, SaaS.

Recommandée

Requise

Requise

Requise

Requise

Requise

12

Configuration des marchés de l’informatique en nuage

IaaS, PaaS, SaaS.

Requise

Requise

Requise

Requise

Requise

Requise

13

Planifier la continuité

IaaS, PaaS, SaaS.

Non requise

Requise

Requise

Requise

Requise

Requise

5. Références

5.1 Instruments de politique connexes

5.2 Références supplémentaires


Annexe A : Cadre de mise en oeuvre de l’informatique en nuage

Le tableau suivant fournit un aperçu du cadre actualisé. Le cadre définit les étapes que les organisations doivent suivre pour utiliser les services d’informatique en nuage de niveau « Protégé B ».

OrganisationResponsabilités
Étape 1 : Évaluer le fournisseur de services Informatique en nuageObtenir un compte pour l’accès au nuageDéployer les mesures de protection du nuageObtenir l’autorisation d’exploitationÉvaluer l’état de préparation à la connectivitéDéployer les solutions d’informatique en nuageExploiter et maintenir les solutions

Ministères

  • Dans la mesure du possible, utiliser des services évalués de manière centralisée par le Centre canadien de cybersécurité (CCC) par l’intermédiaire du courtier en services d’informatique en nuage de Services partagés Canada (SPC).
  • Si l’on juge que le service n’est pas dans la portée d’une évaluation centralisée, utiliser l’outil approprié (selon le modèle d’assurance à plusieurs niveaux de l’informatique en nuage) pour procéder à une auto-évaluation.
  • Soumettre une demande de compte d’accès au nuage par l’intermédiaire du courtier en services d’informatique en nuage de SPC.
  • Demander un sous-réseau de nuage ministériel (conformément à la Directive de SPC relative à la gestion des adresses IP dans le nuage).
  • Mettre en œuvre les mesures de protection du nuage du GC dans les 30 premiers jours ouvrables consécutifs à l’obtention du compte d’accès au nuage.
  • Fournir la preuve de la mise en œuvre des mesures de protection du nuage à Opérations d’informatique en nuage de SPC.
  • Mettre au point des artefacts (par exemple, une conception générale, un manuel d’exploitation, etc.).
  • Mettre en œuvre et valider les configurations recommandées de sécurité de la TI propres aux solutions mises en place.
  • Élaborer un plan d’action ainsi que des jalons pour gérer les risques résiduels.
  • Obtenir l’autorisation d’exploitation pour le ministère.
  • Conclure l’accord sur la sécurité des interconnexions dans le nuage.
  • Décrire les flux du réseau.
  • Déployer l’interface privée virtuelle.
  • Accepter la description du niveau de service de connectivité.
  • Intégrer les services communs de l’organisation en collaboration avec SPC.
  • Remplir le formulaire d’intégration des charges de travail.
  • Déployer ExpressRoute ou Direct Connect.
  • Mettre à l’essai les flux du réseau.
  • Gérer l’environnement d’informatique en nuage.
  • Assurer une surveillance continue, notamment du respect des mesures de protection.
  • Tenir compte des éléments du plan d’action et des jalons au besoin.
  • Maintenir l’autorisation des systèmes.

Services partagés Canada

  • Déterminer quels services intégrés peuvent être exploités afin d’appuyer les solutions fondées sur le modèle SaaS.
  • Effectuer une évaluation de la sécurité de la TI des services intégrés communs.
  • Mettre le rapport d’évaluation de la sécurité des services intégrés communs à la disposition des ministères qui utiliseront ces services.
  • Utiliser le courtier en services d’informatique en nuage de SPC pour traiter les demandes de comptes d’accès au nuage des ministères.
  • Élaborer la Stratégie de gestion des adresses IP dans le nuage.
  • Valider l’ensemble de mesures de protection du nuage du GC.
  • Gérer les outils pour soutenir une approche automatisée afin de valider la mise en œuvre des mesures de protection par les ministères pour les organisations de grande taille aux termes de l’accord-cadre et pour les SaaS intégrés autorisés et figurant dans la liste d’inclusion.
  • Signaler les situations de non-respect des mesures de protection au SCT et faire remonter ces cas aux échelons supérieurs.
  • Élaborer une stratégie de dénomination et de balisage dans le nuage.
  • Élaborer des accélérateurs du GC, notamment des modèles et des scripts en vue d’un déploiement rapide (par exemple, l’« infrastructure en tant que code ») afin de faciliter les déploiements sécurisés sur le nuage au sein des ministères.
  • Élaborer des descriptions et des offres de services de connectivité en nuage.
  • Élaborer ou mettre à jour le formulaire d’intégration des charges de travail à l’informatique en nuage.
  • Activer les demandes de connexion approuvées.
  • Maintenir les niveaux de service de la connectivité sur le nuage.
  • Faire rapport sur le respect, par les ministères, des mesures de protection du nuage du GC afin d’aider le SCT et les administrateurs généraux à relever les problèmes et à mettre en œuvre des mesures correctives.

Secrétariat du Conseil du Trésor du Canada

  • Surveiller les demandes d’accès au nuage. 
  • Surveiller les demandes d’accès au nuage.
  • Élaborer des mesures de protection, des profils d’utilisation de l’informatique en nuage du GC et des orientations connexes.
  • Signaler les cas de non-conformité aux mesures de protection aux dirigeants principaux de l’information (DPI) des ministères.
  • Élaborer des modèles afin d’appuyer les activités d’assurance de la cybersécurité.
  • Élaborer un modèle d’accord de sécurité en matière d’interconnexion.
  • Élaborer des outils et des modèles pour soutenir le développement d’applications sécurisées.
  • Élaborer des plans d’action en matière de cybersécurité.
  • Maintenir la connaissance de la situation à l’appui du Plan de gestion des événements de cybersécurité du gouvernement du Canada.
  • Surveiller la mise en œuvre et le respect par les ministères des mesures de protection du nuage du GC.
  • Remédier aux situations de non-conformité aux mesures de protection du nuage du GC.

Centre canadien pour la cybersécurité

  • S’il est déterminé que le service relève de la portée de l’évaluation centralisée menée par le CCC, veiller à ce que le fournisseur de services d’informatique en nuage (FSIN) soit intégré au programme.
  • Mettre le rapport d’évaluation de la sécurité du FSIN à la disposition des ministères qui utiliseront les services.
  • Mener des examens de l’intégrité des chaînes d’approvisionnement pour les demandes de marchés de tiers. 
  • Travailler avec le ministère pour établir un protocole d’entente permettant d’accéder aux services de cyberdéfense du CCC.
  • Valider la visibilité du locataire ministériel dans le nuage (compte de lecteur) et déployer des capteurs au niveau du nuage, si cela est possible.
  • Fournir des conseils et des orientations en matière de sécurité de la TI.
  • Fournir des conseils et des orientations en matière de sécurité de la TI.
  • Fournir des conseils et des orientations en matière de sécurité de la TI.
  • Assurer la fonction de centre d’opérations de sécurité du GC.
  • Fournir des services de surveillance de la sécurité de la TI de deuxième échelon.