Nuage FAQ

Revision as of 15:20, 31 March 2020 by Emilie.salinas (talk | contribs)


Banne cloud.jpg



Stratosphere logo.png
Stratosphere logo.png

Mythes et foire aux questions


Comment pouvons-nous vous aider?


Consultez notre foire aux questions


Questions les plus fréquentes


Où puis-je présenter une demande de service infonuagique?
– Toutes les demandes de service infonuagique devraient être présentées par l’entremise du courtier de l’informatique en nuage du GC, peu importe l’autorité chargée des achats.
– Tous les services infonuagiques doivent être entrés dans la Gestion du portefeuille d’applications (GPA).

Comment puis-je acheter un nuage de niveau protégé B? Le processus d’acquisition du nuage de niveau protégé B est le même que celui qui consiste à fournir des services infonuagiques non classifiés à l’aide des services de courtage infonuagique du GC. Ce processus est décrit dans la section Approvisionnements du site GC-Institut canadien sur la cybersécurité.


Que dois-je faire si ma demande n’est pas traitée?

Les ministères devraient utiliser le mécanisme habituel de déclaration des problèmes de service de courtage infonuagique.


Ai-je besoin de l’habilitation et de la protection d’un nuage sécurisé avant d’utiliser un nuage de niveau protégé B?

L’habilitation et la protection d’un nuage sécurisé est un projet dont l’objectif est de faire face aux risques liés au rythme de la révolution numérique et d’aider à protéger et à rendre visible l’information de niveau protégé B transmise aux services en nuage publics et en provenance de celui-ci. La mise en œuvre du projet de l’habilitation et de la protection d’un nuage sécurisé permettra l’utilisation d’un nuage de niveau protégé B.


Les demandes infonuagiques du SaaS nécessitent-elles l’approbation du CEAI du GC? La réponse courte est « non ». Les critères de ce qui est transmis au CEAI se trouvent dans l’exigence 4.1.1.2. https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=32601

Faut-il acheter les services infonuagiques par l’entremise du moyen d’achat de SPC?
Conformément à la directive sur les services et le numérique, les ministères peuvent effectuer une auto-évaluation sans la supervision du SCT de votre travail. Pour en savoir plus sur la façon d’effectuer votre auto-évaluation, consultez notre section Approvisionnements.

Quelles sont les limites budgétaires des ministères pour les solutions en nuage?

Les ministères ont des pouvoirs d’achat jusqu’à concurrence d’une limite donnée et pour un groupe de produits donné. Communiquez avec vos agents d’approvisionnement pour obtenir des précisions sur les limites de votre ministère. Les annexes de la Politique sur les marchés fournissent une liste de ceux qui peuvent acheter exclusivement quelque chose ou jusqu’à quelle limite. Toutefois, elles ne se réfèrent pas directement au nuage : elles traitent simplement de services. Les ministères peuvent se procurer des services, à moins d’indication contraire dans les annexes de la politique.

https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=14494

Où se procurer des services infonuagiques?
Les ministères ont des pouvoirs d’achat jusqu’à concurrence d’une limite donnée et pour un groupe de produits donné. Communiquez avec vos agents d’approvisionnement pour obtenir des précisions sur les limites de votre ministère. Les annexes de la Politique sur les marchés fournissent une liste de ceux qui peuvent acheter exclusivement quelque chose ou jusqu’à quelle limite. Toutefois, elles ne se réfèrent pas directement au nuage : elles traitent simplement de services. Les ministères peuvent se procurer des services, à moins d’indication contraire dans les annexes de la politique. https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=14494

Que se passe-t-il si je ne sélectionne pas un fournisseur approuvé par SPC?
Si vous choisissez un autre fournisseur, vous devrez naviguer dans les décisions relatives aux risques qui peuvent être lentes dans les hiérarchies du GC, surtout pour les données de niveau protégé B.

Nous reconnaissons également qu’il existe une longue traîne de fournisseurs de services infonuagiques qui contiendront des ensembles de données plus petits et moins sensibles. Il peut s’agir de grandes entreprises infonuagiques, mais elles sont souvent davantage axées sur le marché de la consommation que sur le marché des entreprises. Souvent, les entreprises ne peuvent pas détenir la même accréditation de sécurité que celles de l’hyperéchelle. Ce n’est pas le marché que SPC a examiné. Certains de ces fournisseurs finiront peut-être par se retrouver dans l’accord-cadre de SPC, mais ils ne sont pas là aujourd’hui. Pour vous procurer ces services, vous aurez besoin de pouvoirs ministériels ou de collaborer avec SPAC si votre ministère n’a pas suffisamment de pouvoirs. Vous devez évaluer la sécurité de ces services. Peu importe où vous achetez, les ministères sont ultimement responsables de cette évaluation et de l’évaluation des risques. Lorsque vous achetez par l’entremise de l’accord-cadre de SPC, une partie des mesures de sécurité a été évaluée par SPC et ses partenaires de sécurité, ce qui accélère votre évaluation de la sécurité.

Si un ministère commande le service de niveau protégé B Azure, est-ce qu’il suit déjà tous les protocoles de sécurité ou devons-nous les mettre en œuvre une fois que nous aurons accès à Azure?
L’environnement des fournisseurs de services infonuagiques (FSI) a été évalué dans le cadre de l’attribution du contrat. La façon dont le consommateur configure et utilise les services relève de la responsabilité du consommateur ou du ministère. Veuillez consulter le modèle de responsabilité partagée : figure 3-3 (https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/technologiques-modernes-nouveaux/services-informatique-nuage/approche-procedures-gestion-risques-securite-informatique-nuage.html).

Les mesures de protection sont-elles directement mises en œuvre par le fournisseur, c’est-à-dire Microsoft? Non, les ministères sont responsables de la mise en œuvre des mesures de protection. Veuillez également consulter ce site : https://github.com/canada-ca/cloud-guardrails.

Azure est un IAAS et nous devrons être responsables de l’accès et de l’identité des utilisateurs, des données, des applications, et de la plateforme. Avons-nous accès à l’évaluation du rapport afin que nous puissions mener notre évaluation à l’interne pour nous assurer qu’elle est toujours conforme?
Pour obtenir le rapport d’évaluation de la sécurité des TI du FSI du CCC, communiquez avec contact@cyber.gc.ca. De plus, dans Azure, le plan fédéral canadien de niveau protégé B, d’intégrité moyenne, de disponibilité moyenne est offert dans la section Centre de sécurité (https://docs.microsoft.com/fr-ca/azure/security-center/update-regulatory-compliance-packages).
Avez-vous d’autres références en nuage que nous pouvons consulter?
Oui, consultez les références ci-dessous.

Références offertes sur Canada.ca

  • Stratégie d’adoption de l’informatique en nuage du gouvernement du Canada : apprenez-en davantage sur la façon dont le gouvernement du Canada maximisera les avantages que présente l’adoption du nuage sans compromettre la confidentialité des données et la protection des renseignements personnels.
  • Guide de sélection du nuage approprié du gouvernement du Canada : découvrez quelles charges de travail sont appropriées pour le nuage et la façon d’envisager l’adoption d’une méthode de déploiement.
  • Profil de contrôle de sécurité pour les services de TI du gouvernement du Canada fondés sur l’informatique en nuage : une solide approche de gestion des risques permettra de s’assurer que le gouvernement du Canada a mis en place les contrôles de sécurité appropriés.
  • Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : énonce des lignes directrices pour aider les organisations à comprendre leurs responsabilités en matière de sécurisation, de gestion et d’utilisation des services infonuagiques.
  • Livre blanc sur la souveraineté des données : lisez comment le gouvernement du Canada a évalué les risques que les gouvernements étrangers accèdent aux données canadiennes lorsqu’ils utilisent un nuage commercial.
  • Orientation relative à la résidence des données électroniques : Comprendre les exigences du gouvernement du Canada en matière de stockage de données au Canada.
  • Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage : décrit les autorités, l’approche et les procédures visant à s’assurer que les risques soient correctement pris en compte au moment d’utiliser les services infonuagiques.


Additional References


Les références comprennent:


Si vous ne trouvez pas votre sujet ou si vous ne trouvez pas de réponse à une question, veuillez nous envoyer un courriel pour joindre notre équipe.



Contactus.png


Email1.png
Gccollab.png
Back to top