Pratiques exemplaires en matière de cybersécurité : Passation de marché avec des fournisseurs de services gérés

Numéro : IN17-003
Date : 3 avril  2017

Objet

Cette note d’information a pour objet de vous sensibiliser aux pratiques exemplaires et d’attirer votre attention sur les considérations relatives à la sécurité en matière d’abonnement à des services offerts par des fournisseurs de services gérés.

Évaluation

La décision d’engager un fournisseur de services gérés pour exploiter les services de technologie de l’information d’un organisme peut être rentable et favoriser des gains d’efficacité. Le présent produit décrit deux principales catégories de fournisseurs de services : les fournisseurs de services gérés (FSG), lesquels offrent une gamme de services de GI-TI dont des infrastructures physiques (serveurs) et virtuelles ou infonuagiques, et les fournisseurs de services infonuagiques (FSIN), lesquels gèrent et stockent les données dans un environnement virtuel. La centralisation de l’information chez un fournisseur de services tiers peut entraîner des risques liés à la confidentialité et l’intégrité des renseignements exclusifs. La présente note d’information a pour objectif de présenter un aperçu des difficultés en matière de sécurité et de la protection des renseignements qui s’appliquent à l’infonuagique publique et de souligner les considérations dont les organismes devraient tenir compte lorsqu’ils confient les données, les applications et les infrastructures à un fournisseur de services externe.

L’atténuation des risques associés au recours à des fournisseurs de services est une responsabilité qui relève simultanément de l’organisme (le « locataire ») et du FSG ou du FSIN. Les organismes sont cependant ultimement responsables de protéger leurs systèmes et de s’assurer de la confidentialité, de l’intégrité et de la disponibilité de leurs données. On recommande aux organismes qui externalisent les infrastructures de TI de maintenir un dialogue ouvert avec leur fournisseur et de comprendre le modèle utilisé pour gérer les services aux clients. L’information contenue dans le présent produit a été conçue pour faciliter cet échange.

Les organismes devraient envisager d’effectuer une évaluation des risques détaillée et mettre en œuvre des atténuations connexes avant de passer un marché avec un FSG ou un FSIN. Parmi les principales considérations en matière d’utilisation de ces services, on trouve :

Mesures Recommandées

Le CCRIC recommande aux organismes d’examiner les pratiques exemplaires ci-dessous et de les mettre en œuvre en fonction de leurs besoins opérationnels :

Le CCRIC invite les organismes qui détectent des activités liées à la présente note d’information à le lui signaler.

Références :

Profil de contrôle de sécurité pour les services de la TI du GC fondés sur l’informatique en nuage
https://www.canada.ca/fr/secretariat-conseil-tresor/services/technologie-information/informatique-nuage/profil-controle-securite-services-ti-fondes-information-nuage.html

La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33)
https://www.cse-cst.gc.ca/fr/node/265/html/22814

Clauses contractuelles visant l’équipement et les services de télécommunications
https://www.cse-cst.gc.ca/fr/node/299/html/25729

Australian Signals Directorate : Cloud Computing Security for Tenants (en anglais seulement)
http://asd.gov.au/publications/protect/cloud-security-tenants.htm

NIST Special Publication 800-145 : The NIST Definition of Cloud Computing (en anglais seulement)
http://dx.doi.org/10.6028/NIST.SP.800-145    

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :