Vendre des logiciels au gouvernement du Canada exige de respecter des exigences de sécurité infonuagique précises qui sont documentées dans de multiples cadres et qui ne sont bien expliquées dans aucune source publique unique.
Les Gardes-fous infonuagiques du GC ont été établis en septembre 2019, sont devenus obligatoires en mai 2022 et sont appliqués par la Direction des services infonuagiques de Services partagés Canada. Ils représentent l'ensemble minimal de contrôles de cybersécurité qui doivent être mis en œuvre avant qu'un ministère puisse utiliser des services infonuagiques pour des charges de travail gouvernementales. Si vous êtes une entreprise techno canadienne qui souhaite vendre au gouvernement, comprendre ces exigences est la première étape.
Que sont les Gardes-fous infonuagiques du GC?
Les Gardes-fous infonuagiques du GC sont un ensemble de configurations de sécurité de base que les ministères doivent mettre en œuvre dans les 30 premiers jours ouvrables suivant l'octroi de l'accès à un compte infonuagique. Ils ont été créés après que le gouvernement du Canada eut établi des contrats d'approvisionnement pour des services infonuagiques Protégé B avec AWS Canada et Microsoft Azure en août 2019.
Les gardes-fous couvrent 12 domaines, dont la gestion des identités, l'authentification multifacteur, les contrôles des privilèges d'administration, le chiffrement en transit et au repos, la sécurité réseau, la journalisation et la surveillance et — élément crucial pour la présente discussion — l'emplacement des données.
Les gardes-fous s'appliquent aux trois modèles de services infonuagiques : l'infrastructure comme service (IaaS), la plateforme comme service (PaaS) et le logiciel comme service (SaaS). Si vous concevez un produit PaaS ou SaaS et que vous voulez des clients gouvernementaux, les gardes-fous définissent ce que votre plateforme doit prendre en charge.
L'exigence de résidence des données
Le garde-fou sur l'emplacement des données est l'endroit où une infrastructure à propriété canadienne devient une exigence ferme, et non une simple préférence.
Les données gouvernementales classées Protégé B — ce qui inclut la plupart des renseignements personnels, les renseignements commerciaux confidentiels et les données opérationnelles internes du gouvernement — doivent être stockées dans un centre de données canadien approuvé par le GC. « Approuvé » a des critères précis qui vont au-delà du simple fait d'être situé au Canada.
L'Orientation sur l'utilisation sécurisée des services infonuagiques commerciaux (SPIN 2017-01) fournit le cadre. Elle exige des ministères qu'ils s'assurent que les données protégées demeurent à l'intérieur des frontières canadiennes et que les opérations du fournisseur de services infonuagiques n'exposent pas les données à des ordonnances d'accès d'un gouvernement étranger.
C'est ici que le CLOUD Act devient directement pertinent pour l'approvisionnement gouvernemental. Un fournisseur infonuagique constitué aux États-Unis qui exploite un centre de données canadien respecte techniquement l'exigence de résidence physique, mais l'évaluation des risques du ministère doit tenir compte de la portée extraterritoriale du CLOUD Act. En pratique, cela a mené à un intérêt croissant pour les solutions infonuagiques à propriété canadienne pour les charges de travail sensibles. L'analyse complète des raisons pour lesquelles une région canadienne n'est pas une compétence canadienne se trouve dans le billet sur le CLOUD Act.
Protégé B et le profil PBMM
La plupart des données gouvernementales que les fournisseurs technos rencontreraient sont classées Protégé B. L'environnement infonuagique qui héberge ces données doit respecter le profil de sécurité Protégé B, intégrité moyenne, disponibilité moyenne (PBMM).
Le profil PBMM est défini dans le Profil de contrôle de sécurité du gouvernement du Canada pour les services du GC fondés sur l'infonuagique et correspond à ITSG-33 (le cadre de gestion des risques liés à la sécurité de la TI du GC). Concrètement, il exige : le chiffrement des données au repos et en transit au moyen de normes cryptographiques approuvées, des contrôles d'accès avec des permissions fondées sur les rôles et l'authentification multifacteur, la journalisation et la surveillance de toutes les actions d'administration, la segmentation réseau et la sécurité du périmètre, la gestion des vulnérabilités et une cadence de correctifs, ainsi que des procédures de réponse aux incidents assorties d'ententes de niveau de service définies.
Respecter PBMM n'exige aucune certification précise comme SOC 2 ou ISO 27001, mais détenir ces certifications accélère considérablement le processus d'approvisionnement, car elles fournissent une preuve indépendante que vos contrôles de sécurité sont en place.
Comment figurer sur la liste d'approvisionnement
Il existe plusieurs voies pour vendre au gouvernement du Canada :
ProServices est le principal véhicule d'approvisionnement du gouvernement pour les services professionnels, y compris la TI. Pour y figurer, il faut s'inscrire comme fournisseur sur AchatsetVentes.gc.ca et répondre à des offres à commandes ou à des arrangements en matière d'approvisionnement.
Courtier infonuagique approuvé de SPC sont les arrangements par lesquels le gouvernement se procure spécifiquement des services infonuagiques. Si votre plateforme est admissible, vous pouvez figurer comme option infonuagique approuvée que les ministères peuvent se procurer par l'intermédiaire de SPC.
Offres à commandes et arrangements en matière d'approvisionnement (OCAA) sont des ententes préétablies qui permettent aux ministères d'acheter auprès de fournisseurs approuvés sans avoir à mener un processus d'approvisionnement concurrentiel complet chaque fois. Figurer sur une OCAA est un processus plus long, mais offre un potentiel de revenus récurrents.
L'approvisionnement direct est possible pour les contrats plus modestes en deçà de certains seuils, où les ministères ont plus de latitude dans le choix des fournisseurs.
Où en est Canner dans ce parcours
La transparence sur le statut compte plus que les affirmations. Canner est une plateforme de déploiement constituée au Canada qui fonctionne exclusivement sur une infrastructure située au Québec. Cela signifie que Canner satisfait au garde-fou sur l'emplacement des données par son architecture — il n'y a aucune exposition à une compétence étrangère à prendre en compte dans l'évaluation des risques d'un ministère. Le test structurel de cette affirmation se trouve sur la page sur la souveraineté.
Canner fournit actuellement : le chiffrement en transit (TLS 1.3 via Caddy), le chiffrement au repos pour les variables d'environnement et les identifiants, l'isolation des locataires entre les charges de travail des clients, la journalisation d'audit et l'authentification multifacteur. Les mécanismes au quotidien sont documentés sur la page sur la sécurité.
La certification SOC 2 Type I figure dans notre feuille de route pour 2027. La conformité PBMM complète est un objectif à plus long terme qui exige un investissement additionnel dans une évaluation de sécurité formelle, de la documentation et un audit par un tiers.
Nous ne sommes pas prêts pour le gouvernement aujourd'hui. Mais les décisions d'infrastructure que nous avons prises dès le premier jour — constitution canadienne, hébergement canadien, aucune exposition à une compétence étrangère — font en sorte que nous n'aurons pas à repenser l'architecture lorsque nous le serons.
Foire aux questions
Un ministère peut-il utiliser un fournisseur infonuagique américain pour des données Protégé B?
Oui. AWS Canada et Microsoft Azure sont tous deux approuvés pour les charges de travail Protégé B en vertu des contrats d'approvisionnement du GC. Toutefois, l'évaluation des risques du ministère doit tenir compte de l'exposition au CLOUD Act, et des contrôles additionnels (des clés de chiffrement gérées par le client, par exemple) peuvent être exigés.
Un fournisseur a-t-il besoin de SOC 2 pour vendre au gouvernement?
Non, mais cela aide considérablement. SOC 2 fournit une preuve indépendante des contrôles de sécurité qui réduit le fardeau de l'évaluation de sécurité propre au ministère. Sans cela, les ministères doivent mener une évaluation plus approfondie, ce qui ralentit l'approvisionnement.
Quelle est la différence entre les Gardes-fous infonuagiques du GC et PBMM?
Les gardes-fous sont le seuil minimal qui doit être atteint dans les 30 premiers jours. PBMM est le profil de sécurité complet pour les charges de travail Protégé B. Voyez les gardes-fous comme l'examen d'entrée et PBMM comme la certification continue.