Sélection de la langue

Pratiques exemplaires en matière de cybersécurité : Passation de marché avec des fournisseurs de services gérés

Date : 3 avril  2017

Objet

Cette note d’information a pour objet de vous sensibiliser aux pratiques exemplaires et d’attirer votre attention sur les considérations relatives à la sécurité en matière d’abonnement à des services offerts par des fournisseurs de services gérés.

Évaluation

La décision d’engager un fournisseur de services gérés pour exploiter les services de technologie de l’information d’un organisme peut être rentable et favoriser des gains d’efficacité. Le présent produit décrit deux principales catégories de fournisseurs de services : les fournisseurs de services gérés (FSG), lesquels offrent une gamme de services de GI-TI dont des infrastructures physiques (serveurs) et virtuelles ou infonuagiques, et les fournisseurs de services infonuagiques (FSIN), lesquels gèrent et stockent les données dans un environnement virtuel. La centralisation de l’information chez un fournisseur de services tiers peut entraîner des risques liés à la confidentialité et l’intégrité des renseignements exclusifs. La présente note d’information a pour objectif de présenter un aperçu des difficultés en matière de sécurité et de la protection des renseignements qui s’appliquent à l’infonuagique publique et de souligner les considérations dont les organismes devraient tenir compte lorsqu’ils confient les données, les applications et les infrastructures à un fournisseur de services externe.

L’atténuation des risques associés au recours à des fournisseurs de services est une responsabilité qui relève simultanément de l’organisme (le « locataire ») et du FSG ou du FSIN. Les organismes sont cependant ultimement responsables de protéger leurs systèmes et de s’assurer de la confidentialité, de l’intégrité et de la disponibilité de leurs données. On recommande aux organismes qui externalisent les infrastructures de TI de maintenir un dialogue ouvert avec leur fournisseur et de comprendre le modèle utilisé pour gérer les services aux clients. L’information contenue dans le présent produit a été conçue pour faciliter cet échange.

Les organismes devraient envisager d’effectuer une évaluation des risques détaillée et mettre en œuvre des atténuations connexes avant de passer un marché avec un FSG ou un FSIN. Parmi les principales considérations en matière d’utilisation de ces services, on trouve :

  • la définition du niveau de sensibilité et de criticité des données stockées au moyen d’un processus de catégorisation du niveau de sécurité pour les besoins opérationnels;
  • la mise en œuvre et la gestion du service infonuagique (le cas échéant);
  • la manière dont les données seront sécurisées et les personnes qui auront accès à cette information;
  • le but de la passation de marché avec le fournisseur de services;
  • les difficultés potentielles associées à la détection ou à l’intervention rapide en cas d’incident (disponibilité du fournisseur de services en dehors des heures normales de travail ou dans d’autres fuseaux horaires).

Mesures recommandées

Le CCRIC recommande aux organismes d’examiner les pratiques exemplaires ci-dessous et de les mettre en œuvre en fonction de leurs besoins opérationnels :

  • Tenir son système d’exploitation et ses logiciels à jour en appliquant les derniers correctifs.
  • S’assurer que la solution du FSG/FSIN est conforme aux exigences de l’organisme en matière du respect de la loi, de la sécurité et de la protection des renseignements personnels.
  • Demander au fournisseur de services s’il a un cadre de travail en gestion de la sécurité de la TI, par exemple les Conseils en matière de sécurité des technologies de l’information (ITSG) -33.
  • Utiliser des ordinateurs désignés avec authentification à facteurs multiples, des mots de passe sûrs, privilèges d’accès minimums et un trafic réseau chiffré pour assurer la gestion du service infonuagique.
  • Envisager la mise en œuvre d’une authentification à deux facteurs et d’une politique de mots de passe sûrs à l’échelle de l’organisme, en commençant par les comptes administrateurs ou avec privilèges.
  • Ne pas fournir au FSG/FSIN les justificatifs d’identité du compte et/ou l’accès aux systèmes de nature délicate qui ne relèvent pas de leurs responsabilités.
  • Utiliser des contrôles cryptographiques pour protéger les données en transit entre le locataire et le fournisseur.
  • Envisager le chiffrement intégral des données lorsque l’information essentielle n’est pas utilisée, tout en maintenant le contrôle des clés de chiffrement.
  • Effectuer le chiffrement intégral du disque dur pour s’assurer que les données non utilisées sur les supports de stockage ne puissent pas être récupérées si le FSG/FSIN remplace ou met à niveau des disques durs physiques.
  • Analyser et surveiller les hôtes pour du code, des fichiers ou des dossiers non standard ou suspects et effectuer des audits régulièrement, même si le service est offert en vertu du contrat avec le fournisseur.
  • Auditer l’utilisation d’outils de détection à base de signature ou de règles réseau (NeoPI, Yara, etc.).
  • Auditer l’utilisation d’outils antimaliciels et d’autres outils de sécurité dans les biens ministériels et/ou l’infrastructure. Envisager des outils qui détectent et corrigent les infections. Les programmes antimaliciels et les autres outils de sécurité doivent être tenus à jour et gérés et tous les exécutables téléchargés sur les infrastructures de l’organisme devraient être analysés avant d’être lancés.
  • S’assurer que le fournisseur effectue régulièrement un examen des journaux des systèmes et des réseaux pour détecter toute activité ou tout trafic suspect qui pourrait signaler une compromission potentielle. Le CCRIC recommande un examen attentif de toute activité réseau ou système inhabituelle, notamment :
    • périodes prolongées d’utilisation accrue du réseau ou de la bande passante;
    • présence de fichiers ou de dossiers suspects;
    • fichiers qui contiennent des références ou des mots clés suspects (cmd.exe, eval, etc.);
    • connexions réseau non standard (p. ex., trafic en dehors des heures normales de service).
  • Créer des copies de sauvegarde des données et utiliser un plan de reprise des activités après sinistre pour toute l’information essentielle. S’assurer que le FSG/FSIN créer également des copies de sauvegarde des données et utilise des plans de reprise des activités après sinistre. Créer et mettre à l’essai des copies de sauvegarde régulières pour limiter l’incidence d’une perte de données ou d’une perte de système et pour accélérer le processus de reprise. Comme le stockage réseau peut également être touché, ces données devraient être conservées sur un dispositif distinct et les copies de sauvegarde devraient être stockées hors ligne.
  • Conserver la propriété juridique des données du locataire en vertu du contrat. Effectuer un examen de la diligence raisonnable du contrat et de la viabilité financière du fournisseur dans le cadre de l’évaluation des risques juridiques et liés à la protection des renseignements personnels. Envisager de continuer d’être en mesure d’annuler le contrat avec le fournisseur si : le fournisseur transfert les serveurs/données/copies de sauvegarde dans un emplacement qui n’avait pas été convenu pendant la négociation du contrat, si des changements importants aux pratiques en matière de sécurité surviennent qui pourraient miner la confiance que le locataire accorde à la capacité du fournisseur de sécuriser les données ou si le fournisseur est acquis par un organisme qui ne réussirait pas l’examen de la diligence raisonnable.
  • Conserver la capacité de recevoir une copie d’un serveur virtuellement compromis à des fins d’analyse judiciaire en vertu du contrat.
  • Envisager de demander au fournisseur où se trouvent ses infrastructures et vérifier s’il existe des risques juridiques liés à l’utilisation de services internationaux de stockage de données d’entreprise.

Le CCRIC invite les organismes qui détectent des activités liées à la présente note d’information à le lui signaler.

Références :

Profil de contrôle de sécurité pour les services de la TI du GC fondés sur l’informatique en nuage

La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33)

Australian Signals Directorate : Cloud Computing Security for Tenants (en anglais seulement)

NIST Special Publication 800-145 : The NIST Definition of Cloud Computing (en anglais seulement) 

Date de modification :