Language selection

Gouvernement du Canada Government of Canada / Gouvernement du Canada

Rechercher

Sécurité de la plateforme du SNC

Dernière mise à jour : 12-07-2023

Aperçu des pratiques du SNC en matière de sécurité et de conformité pour nos ressources et produits en interne. 

Sommaire

Au SNC, la sécurité est au cœur de nos préoccupations. Le SNC réside au bureau du Dirigeant principal de l’information du Secrétariat du Conseil du Trésor. Toutes nos opérations, y compris nos produits de plateforme, respectent les politiques et directives du gouvernement du Canada et des meilleures pratiques de l’industrie en matière de sécurité. Nous travaillons à la croisée du développement traditionnel de la TI au gouvernement et des nouvelles méthodes et pratiques, et fournissons des produits sécurisés de haute qualité en lesquels les ministères et organismes gouvernementaux et le public peuvent avoir confiance. La technologie n’est pas notre seule préoccupation : nous plaçons l’être humain au cœur de la sécurité.

Ce document donne un aperçu des pratiques du SNC en matière de sécurité, notamment : 

  • Le respect des politiques et directives fédérales; 
  • La gestion du matériel et des logiciels du SNC;
  • Notre infrastructure sur AWS; 
  • Le respect de ITSG-33 et notre processus d’autorisation d’exploitation (AE);
  • Notre engagement sur la conduite de tests de pénétration;
  • Notre processus de gestion d’incidents;
  • Les meilleures pratiques de l’industrie surpassant les exigences minimales;
  • La manière dont nous promouvons une culture organisationnelle en matière de sécurité.

Pour plus de renseignements sur la sécurité d’un produit en particulier et les pratiques en matière de confidentialité, veuillez consulter la documentation relative au produit. Pour toute question relative à la sécurité, veuillez envoyer un courriel à l’adresse security+securite@cds-snc.ca.

Respect des politiques

La plateforme du SNC respecte les politiques et directives fédérales, ainsi que les lignes directrices en matière de sécurité. Cela se manifeste par :

Gestion des ressources 

Comment gérons-nous nos ressources et nos données?

Nos ordinateurs et téléphones nous sont fournis par le SCT, qui s’occupe également de sa gestion. Nous nous engageons à gérer les ressources de notre matériel et de nos logiciels qui ne sont pas gérés par le SCT afin de respecter les exigences relatives à la sécurité. En plus de nos appareils du SCT, nous utilisons plusieurs modèles de MacBook d’Apple pour le développement et le travail organisationnels. Pour gérer ces ressources, nous employons les outils suivants :

  • Intégration Jamf Pro : permet l’importation et la synchronisation automatiques de tout le matériel (appareils MacBook d’Apple) vers AssetSonar, un logiciel que nous utilisons également pour suivre les autres périphériques (moniteurs, stations d’accueil, etc.) Jamf Pro et la gestion des appareils mobiles détectent tous les logiciels installés localement sur les appareils et les téléversements dans la base de données d’AssetSonar. 
  • AssetSonar : cette ressource est un outil de découverte du matériel et des logiciels. Bien qu’AssetSonar ne peut pas être intégré à Sentinel, ce logiciel peut être intégré à Jamf Prof et à Google Workspace.
  • Informations de sécurité et gestion d’événements (SIEM) : un système de gestion de la sécurité qui recueille et analyse les journaux d’activité de sources diverses, comme les dispositifs de réseau, les serveurs et les applications. Ce système est une manière de centraliser l’information afin d’identifier des menaces, envoyer des alertes et des rapports et fournir des automatisations pour répondre rapidement aux incidents.
    • Sentinel: un outil qui recueille les données à l’échelle du nuage de l’ensemble des utilisateur·rice·s, appareils, applications et infrastructure dans plusieurs nuages.
  • Suite de travail Google Workspace : cette suite est utilisée pour réunir tous les produits SaaS du nuage connectés avec une adresse @cds-snc.ca.
  • Gestionnaire de mots de passe : Le personnel du SNC utilise un gestionnaire de mots de passe chiffré pour stocker leurs renseignements d’identification en toute sécurité, ce qui leur permet d’utiliser un mot de passe fort et unique pour chaque compte. Le gestionnaire de mots de passe est également sécurisé physiquement grâce à une Yubikey pour l’authentification à 2 facteurs. 
  • Authentification à 2 facteurs : Nous utilisons une protection supplémentaire qui va au-delà du nom d’utilisateur et du mot de passe afin de sécuriser et d’authentifier les comptes d’utilisateur du SNC (p. ex. : Google, AWS, etc.) 
  • Yubikey : Chaque membre du personnel du SNC possède une Yubikey (usb-c) physique qui authentifie le matériel. 
  • Outils du soutien technique : HappyFox est utilisé pour notre système de gestion de tickets afin de traiter les demandes du personnel portant sur les ressources. Cet outil permet de conserver les connaissances organisationnelles.
  • Gestion centralisée du code :  Nous utilisons GitHub pour gérer les versions et conserver des copies centralisées de notre code. Ces copies sont sauvegardées dans AWS en cas de panne. 
  • Gestion de la chaîne d’approvisionnement : Nous gérons nos logiciels en tant que service (SaaS) à l’aide d’un processus de gestion des ressources. Nous travaillons actuellement sur une application sur mesure pour améliorer ce processus.

Infrastructure sur AWS

Le SNC utilise l’infrastructure Amazon Web Services (AWS). D’après la Directive sur les services et le numérique, les données fédérales (jusqu’au niveau Protégé B) peuvent être conservées à l’extérieur du Canada à condition que les possibilités de conservation au Canada aient été préalablement évaluées. La résidence des données relatives aux produits du SNC (données au repos) demeure au Canada.

Ces produits sont munis de mesures de sécurité conçues par Services partagés Canada (SPC) pour créer un environnement à intégrité moyenne et disponibilité moyenne (PBMM).

Certains services d’AWS que nous utilisons sont offerts au niveau international (p. ex. : gestion des noms d’utilisateur et des accès), ce qui signifie que leurs serveurs se trouvent à l’extérieur du Canada. Toutefois, cette situation n’affecte que le personnel du SNC. La clientèle gouvernementale et les membres du public utilisant nos produits ne sont pas touchés par cela. Nous suivons le principe du droit d’accès minimal et restreignons l’accès à nos infrastructures sur AWS. 

Conformité

Chaque produit du SNC applique le processus d’autorisation d’exploitation (AE) du gouvernement du Canada : il s’agit d’une décision officielle de la direction donnée par un·e haut·e fonctionnaire de l’organisme pour autoriser l’exploitation d’un système et en accepter explicitement les risques sur la base de la mise en œuvre d’un ensemble convenu de contrôles de sécurité. Nous menons également un processus d’autorisation d’exploitation (AE) provisoire lorsque les produits sont en PMV ou en développement.  Le processus d’AE ne se termine pas après l’approbation du ou de la gestionnaire : c’est un processus continu que nous surveillons en permanence.

Les cadres de conformité en matière de sécurité sont utilisés pour aider les ministères gouvernementaux à s’assurer que les niveaux de sécurité sont adéquats dès le début. Ces cadres soutiennent ainsi le processus d’obtention et de maintien d’un AE. Nous respectons les directives du ITSG-33 du Centre canadien pour la cybersécurité en sélectionnant les contrôles pertinents qui s’appliquent à chaque produit que nous créons. Les produits du SNC sont tous basés dans le nuage. Cela signifie que nous possédons moins de considérations relatives au matériel physique, car nous ne dépendons pas d’une installation ou d’un service d’infonuagique. Par conséquent, un profil Protégé B, intégrité moyenne, disponibilité moyenne (PBMM) voit son nombre de contrôles réduit à 90. Nous travaillons à l’élaboration d’un processus simplifié qui choisira les contrôles triés par type (p. ex. : à l’échelle de l’organisme vs sur le produit en particulier) et précisera la manière d’y répondre (voir l’ ITSG-33 Yaml Explorer d’EDSC pour un exemple sur la manière dont les autres ministères réalisent cela).

De plus, comme deuxième ligne de défense, tous les produits fédéraux basés sur le nuage participent au programme de capteur d’informatique en nuage du Centre canadien pour la cybersécurité (CCC). Nous envoyons notre pare-feu et nos journaux d’accès pour rejoindre un réseau qui surveille toutes les opérations infonuagiques relatives à de multiples fournisseurs, ce qui permet d’aider à déceler les attaques distribuées ainsi qu’à prévenir des attaques similaires sur le gouvernement du Canada.

Tests de pénétration

Le SNC s’engage à respecter un rythme de tests de pénétration en interne et à l’externe. Le test de pénétration est un exercice de sécurité lors duquel les expert·e·s en cybersécurité essaient de trouver et d’exploiter des vulnérabilités. Ce test effectué au sein du gouvernement du Canada satisfait certains contrôles de sécurité d’ITSG-33, en plus de respecter l’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage: avis de mise en œuvre de la Politique sur la sécurité (AMOPS). Le SNC utilise un avis de sécurité et un outil de signalement des vulnérabilités pour ces produits. Le SNC dispose également d’une équipe dédiée à la cybersécurité. Celle-ci est responsable de l’évaluation et du tri de toutes les vulnérabilités signalées. De plus, des personnes soucieuses de la sécurité travaillant aussi au SNC soutiennent l’équipe de manière indirecte.

Gestion d’incidents

Lorsqu’un incident survient, qu’il s’agisse d’une faille de sécurité, d’une panne ou d’une fonction défectueuse, les membres de l’équipe doivent réagir immédiatement et restaurer le service. Ce processus s’appelle la gestion d’incidents. Le SNC possède une culture de réponse aux incidents à l’échelle de son organisme. Des exercices de ce processus sont régulièrement effectués pour encourager l’ouverture. Cette ouverture est rendue possible grâce à l’utilisation d’un processus rétrospectif sans reproches. Nous améliorons les services en veillant à ce que les équipes prennent leurs responsabilités, pas en leur faisant des reproches. Il s’agit d’une pierre angulaire de l’ouverture et de la sécurité psychologique.

Le processus de gestion d’incidents du SNC est basé sur le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC). Nous fondons notre manuel de gestion d’incidents sur ce plan qui définit les parties prenantes et les actions à effectuer pour veiller à ce que les incidents soient traités de manière uniforme, coordonnée et rapide dans tout l’organisme. Le manuel est fréquemment testé et révisé, et des modifications y sont apportées le cas échéant. Notre intervention ne se limite pas uniquement aux incidents liés à la sécurité et à la technologie. Nous incitons effectivement chaque intervention aux incidents au SNC à se dérouler ainsi, comme en identifiant les étapes manquées dans les procédures non techniques par exemple. En cas de grave incident de sécurité ou de confidentialité concernant nos produits, nous en informons rapidement notre clientèle. Le ou la commandant·e des interventions collabore avec le ou la responsable de la politique et de la sensibilisation en cas d’incidents afin de concevoir des résumés et des communications simples à l’intention des utilisateur·rice·s et des parties prenantes. De plus, nous suivons également les lignes directrices établies et les outils du SCT advenant une atteinte à la vie privée pour l’évaluer et la contenir, pour en informer notre clientèle et nos partenaires concernés, ainsi que pour atténuer la gravité des incidents et les prévenir.

Meilleures pratiques de l’industrie

Au SNC, nous suivons les meilleures pratiques de l’industrie en utilisant des outils et procédés standards. Cela inclut notamment une formation à la sécurité pour nos développeur·euse·s, la gestion des correctifs, l’analyse de code et des tests.  

Certains processus appliqués au SNC incluent notamment :

  • Lignes directrices en matière de gestion des correctifs des produits du SNC : Il s’agit de la première étape du PGEC GC. L’application rapide des correctifs s’avère l’une des solutions les plus efficaces et économiques qu’un organisme peut apporter pour atténuer le risque de menaces en matière de cybersécurité. La mise en place rapide des correctifs, comme les mises à jour de sécurité, limite l’exposition aux vulnérabilités logicielles. 
  • Formation à la sécurité pour développeur·euse·s : nous utilisons une plateforme pratique en situation réelle pour former les développeur·euse·s à reconnaître les exploits de sécurité dans le code et la manière de les limiter.

Parmi les outils que nous utilisons au SNC, nous comptons :

  • Analyse automatique des sites Web : un outil conçu par le SNC qui analyse les sites Web pour détecter tout problème de sécurité et d’accessibilité. Les problèmes sont ensuite automatiquement exportés dans Azure Sentinel pour y être visualisés et triés.
  • Analyse statique : une manière d’examiner le code sans exécuter le programme, comme la relecture.
    • Linting: une révision automatique des erreurs de programmation et de style fréquentes.
  • Révision de code : un processus manuel lors duquel (au moins) un·e réviseur·e· humain·e révise le code et formule des suggestions avant qu’il ne soit accepté. 
  • Tests : nous incitons les équipes à concevoir des tests significatifs pour leur code et à les intégrer dans leur pipeline de publication.

Culture

Au SNC, nous veillons à maintenir en tout temps la sécurité de nos produits et de tout l’organisme. Nous intégrons des spécialistes de la sécurité et des politiques à notre équipe et traitons les priorités et exigences liées à la sécurité comme des contraintes de conception. Nous faisons appel à l’automatisation et aux mesures de performance pour faciliter les opérations liées à la sécurité. Dans ce contexte-ci, nous offrons régulièrement des formations à notre équipe de sécurité, à nos développeur·euse·s et à nos autres membres du personnel pour leur apprendre des compétences pertinentes ou les perfectionner. 

Date de modification :