Le défi des exigences liées à la conformité et à la réglementation dans l’adoption des services infonuagiques

On dit qu’un message doit être répété sept fois pour qu’il soit assimilé. Il y a maintenant un certain temps que nous écrivons sur le sujet de l’infonuagique, et nous en sommes presque arrivés au point où le message va être absorbé : l’infonuagique est un choix judicieux. Elle présente des avantages qui permettent à une organisation de réagir et de s’adapter plus rapidement à des marchés en constante évolution, ainsi qu’aux technologies qui rendent cette adaptation possible. L’infonuagique est adoptée à un rythme croissant par les organisations, et elle est là pour rester.

Depuis le début de mars 2013, CBC/Radio-Canada vit dans le monde de Google Apps, et les avantages de l’infonuagique, qui en faisaient un choix intéressant pour remplacer notre infrastructure de courrier électronique vieillissante, se sont matérialisés et ont permis à la Société de procéder au remplacement du système de courriel en l’espace de trois mois. Cette efficacité est largement attribuable aux employés qui ont travaillé sur ce projet d’une échelle inédite à CBC/Radio-Canada, mais il a également pu se faire grâce à la nature même de la solution d’infonuagique : ne pas avoir à se préoccuper de l’établissement et du développement de l’infrastructure.

Néanmoins, tout cela a pris un certain temps de préparation afin de s’assurer que, tout en récoltant les bénéfices de l’infonuagique, nous nous conformerions à nos obligations pour ce qui est de la réglementation et des contrôles imposés aux organisations publiques comme CBC/Radio-Canada pour la protection de son auditoire, les contribuables canadiens.

Cet article vous propose une description en détail de notre expérience du côté caché de l’infonuagique, plus précisément de l’infonuagique publique, des contrats de service et des évaluations de risques sur lesquels il a fallu travailler. Nous ferons aussi le point sur les leçons apprises en chemin qui nous serviront à tirer profit d’autres services d’infonuagique à l’avenir.

À la recherche d’une solution d’infonuagique pour nos plateformes de courrier électronique et de collaboration

En juin 2011, CBC/Radio-Canada a commencé à explorer le marché des outils de courrier électronique et de collaboration, afin d’évaluer les différentes options qui s’offraient à elle, et, après avoir obtenu de l’information pertinente, la Société a décidé de rechercher une solution d’infonuagique pour son système de courrier électronique et ses plateformes collaboratives. Nous avons passé en revue plusieurs propositions d’infonuagique : des solutions publiques et dédiées de logiciel en tant que service (« Software as a Service »SaaS) et d’infrastructure en tant que service (« Infrastrucure as a Service »IaaS)[1]. Nous avons entrepris une analyse approfondie pour évaluer les risques associés à l’infonuagique en général, mais aussi, et plus précisément, au courrier électronique et aux outils collaboratifs. Pour terminer, à la lumière de nos exigences particulières, nous avons décidé d’opter pour une solution publique SaaS, parce que les plateformes de courrier électronique et de collaboration sont devenues des produits de base[2]. CBC/Radio-Canada pourra donc bénéficier de la plupart des nouvelles fonctionnalités de la solution au même rythme que le public.

Toutefois, une solution infonuagique devrait-elle être publique ou privée pour que la Société soit en mesure de se conformer à ses obligations? C’était là non seulement une excellente question, mais aussi une question qui était à la base de plusieurs éléments que nous devions évaluer.

Heureusement, le courriel fondé sur l’infonuagique publique offrait des solutions destinées aux entreprises. Par conséquent, on a préparé et publié une demande de propositions (DP) publique, qui ciblait les principaux fournisseurs offrant ce type de services d’infonuagique.

Le terme infonuagique (ou informatique en nuage) semble être une invention récente, mais ce n’est en fait qu’une autre manière de conclure un contrat pour des services informatiques avec une tierce partie. La clé dans ce genre de projet consiste à établir vos exigences très soigneusement dans votre DP, à évaluer les réponses, et à sélectionner la solution ou le fournisseur qui correspond le plus aux critères que vous avez fixés. Ensuite, vous négociez un contrat qui garantira le niveau de service le plus avantageux pour l’organisation, ainsi que le soutien en cas de problème, mais qui comprend aussi des modalités qui la protégeront et lui permettront d’assurer le respect de ses obligations en matière de conformité. Comme vous le voyez, il n’y a rien là de particulièrement nouveau, mais cela mérite néanmoins d’être répété.

Cependant, ce n’est pas tout. N’oubliez pas que ce qui rend l’infonuagique publique si intéressante pour les organisations (par exemple la capacité d’adaptation de la solution), limite également la possibilité de négocier des conditions particulières avec le fournisseur, en raison du caractère produit de base du service. Les ententes types avec les entreprises pour la fourniture de services infonuagiques ont tendance à être les mêmes pour toutes les entreprises, indépendamment de leurs exigences particulières. Pensez-y : est-ce que vous négociez la manière dont l’électricité (un produit de base) vous est livrée ou la manière dont le service à la clientèle est fourni?

Alors qu’un consommateur n’a pas la possibilité de négocier ce genre de choses, les services offerts à une entreprise doivent pouvoir répondre à presque tous ses besoins, voire à tous ses besoins. C’est ce que nous avons tenté d’obtenir en envoyant notre DP à des fournisseurs qui offrent des services infonuagiques publics de niveau entreprise.

L’infonuagique : analyse des risques

Avant de publier une DP ou d’opter pour une solution, il faut effectuer une analyse approfondie de l’infonuagique. On doit déterminer les risques et les classer en fonction de leur criticité et de leur probabilité. Pour appuyer le processus décisionnel, il faut alors évaluer si les risques peuvent être atténués ou acceptés du point de vue de l’entreprise.

Étant donné que les services infonuagiques nécessitent obligatoirement le transfert et le stockage des données en dehors des locaux de votre entreprise et donc de votre contrôle, certains des risques déterminés concernent la confidentialité et ils doivent être évalués. Par exemple, un fournisseur peut stocker vos données aux États-Unis ou dans d’autres pays, où la législation peut être différente de celle du Canada, pour ce qui est de la protection de vos intérêts par le fournisseur.

L’élaboration des critères de la DP

Lorsqu’il faut préparer une DP pour des services de TI, le service des Finances, le Service juridique et les TI de CBC/Radio-Canada collaborent afin de s’assurer que les critères appropriés sont établis et mentionnés comme exigences que les fournisseurs doivent respecter, et que l’évaluation des réponses pour ces critères est effectuée et pondérée adéquatement.

Dans le cas de services d’infonuagique et, plus précisément de services d’infonuagique publics, il a fallu prendre en considération la perte du contrôle total sur la prestation des services comparativement à une solution hébergée sur place.

Les recherches sur les normes de l’industrie et sur les obligations propres aux fournisseurs ont été essentielles dans la détermination des exigences minimums que les fournisseurs devaient respecter dans la DP de la Société. Par exemple, les principaux fournisseurs de services infonuagiques se sont fixés des normes très rigoureuses pour garantir la continuité de leurs services. On a par conséquent ajouté à la DP une exigence afin que la solution respecte ces mêmes normes.

Les sections suivantes décrivent certains des critères évalués.

Confidentialité, intégrité et disponibilité des données

La principale préoccupation du grand public pour ce qui est de l’infonuagique publique est de loin la confidentialité des données. Dans tout environnement d’infonuagique publique, les données doivent être protégées à la fois pendant leur transit et leur entreposage, afin de les mettre à l’abri des fraudes et des vols. Par conséquent, CBC/Radio-Canada doit être assurée que ses données ne sont aucunement compromises lorsqu’elles sont envoyées vers l’environnement infonuagique ou qu’elles sont stockées dans l’infrastructure de ce type d’environnement.

Pour ce qui est de notre nouveau et très important produit d’infonuagique publique, Gmail, les données transmises à destination et en provenance des installations de Google utilisent un cryptage de haut niveau (RC4, clés de 128 bits), et l’option permettant d’annuler le cryptage du service Gmail a été totalement désactivée, afin qu’un utilisateur ne puisse pas, intentionnellement ou accidentellement, désactiver les fonctions de cryptage de Gmail. Le cryptage permet aussi de garantir l’intégrité des données envoyées et d’empêcher leur corruption pendant le transit. Quand elles sont entreposées, les données sont protégées par la distribution et le brouillage des données : lorsqu’un élément de données, comme un courriel, est réparti dans plusieurs serveurs au sein de l’infrastructure, cela garantit qu’un seul serveur Google ou l’un de ses administrateurs du système n’aura jamais accès à la totalité du courriel. Des noms de fichier choisis au hasard sont attribués aux blocs de données, ils ne sont pas stockés en texte clair et sont donc illisibles. Les données sont distribuées dans l’ensemble de l’infrastructure de Google au moyen de la duplication et de la sauvegarde des données, afin de garantir leur disponibilité en cas de catastrophe.

Conformité du fournisseur aux normes de sécurité de l’industrie

La conformité globale du fournisseur externe à ses propres procédures et politiques en matière de sécurité, garantie par l’embauche de vérificateurs tiers chargés d’évaluer les pratiques, ainsi que le respect par le fournisseur des normes de sécurité reconnues par l’industrie, constituent aussi des préoccupations et peuvent grandement aider une entreprise à évaluer un produit d’infonuagique publique. Habituellement, les vérifications par des tiers, comme les rapports SSAE 16 ou SAS70, sont d’excellents indicateurs que les services du fournisseur externe peuvent être utilisés en toute sécurité et en toute confiance. Le respect des normes de l’industrie, comme celles que publie le National Institute of Standards and Technology (NIST), est également un bon indicateur de la capacité du fournisseur externe à fonctionner en toute sécurité dans le cadre de normes connues et acceptées par l’industrie.

Respect par le fournisseur des directives du client

Les fournisseurs externes devraient aussi connaître et être en mesure de respecter les politiques et les directives propres à chacun de leurs clients, afin de s’assurer qu’ils peuvent intégrer et exploiter en toute sécurité les infrastructures de leurs clients si besoin est. Par conséquent, une évaluation de la capacité des fournisseurs externes à se conformer aux exigences du programme de sécurité de l’information et de gestion des risques d’une entreprise constitue une étape indispensable du processus de sélection d’une solution. Ce type de directives sert à contrôler et à gérer l’accès à l’information de l’entreprise, et permet de surveiller les activités dans les environnements infonuagiques afin de détecter les anomalies en matière de sécurité.

Pour ce qui est de Gmail, la solution était intéressante, entre autres, parce que Google fournit les outils qui permettent d’utiliser des processus automatisés et des tableaux de bord qui facilitent la surveillance du service, ainsi que l’accès aux journaux d’exploitation pour repérer des anomalies en matière de sécurité et de transactions, comme les infractions à la sécurité. Le travail de suivi et de vérification va également au-delà du domaine de la sécurité, et les sociétés utilisant des services infonuagiques devraient régulièrement examiner les services de leur fournisseur externe en ce qui a trait au rendement, à la gestion des comptes, au soutien et à la disponibilité.

Mesures de sécurité types pour les produits infonuagiques

En plus des éléments mentionnés ci-dessus, il existe aussi une série de mesures de sécurité habituelles que tous les fournisseurs externes d’infonuagique devraient avoir en place. Ces mesures de sécurité détaillées ne sont en aucune façon exhaustives, mais ce sont des points essentiels dont on devrait tenir compte dans tout cadre ou processus de sélection, afin de garantir la sécurité permanente des données d’une entreprise. Le fournisseur externe devrait :

  • Avoir des mesures de contrôle de l’accès pour s’assurer que seul le personnel qualifié et autorisé a accès à l’infrastructure et aux données;
  • Employer des mesures de contrôle de l’accès pour s’assurer que seul le personnel qualifié et autorisé a accès aux journaux et que le fournisseur externe est en mesure de protéger les journaux d’actes de malveillance, comme la suppression ou les modifications de données;
  • Disposer d’un plan de reprise après catastrophe (PRC) pour ses centres de données, ses centres d’exploitation et son siège social;
  • Effectuer des évaluations régulières de la gestion des risques et de la vulnérabilité du système, et évaluer les possibilités d’intrusion;
  • Employer des mesures pour sécuriser les principaux éléments de son infrastructure de réseau (pare-feu, système de détection des intrusions, etc.);
  • Fournir des détails sur les mesures de renforcement de la sécurité appliquées à ses serveurs (par exemple le renforcement des serveurs et du système d’exploitation) et décrire leur efficacité;
  • Fournir des détails décrivant les mesures de sécurité physiques appliquées à ses bureaux et centres de données, pour s’assurer que ces installations sont adéquatement protégées;
  • Disposer d’une infrastructure de serveur en mesure d’utiliser des outils antivirus et antilogiciels malveillants s’il fournit des services de courriel infonuagiques.

Ce sont tous là des exemples de choses à surveiller, et ils démontrent la nécessité d’avoir un cadre de travail officiel pour l’évaluation des solutions d’infonuagique.

Nous savons également que ce processus de sélection strict pour une solution infonuagique ne constitue qu’une de nombreuses étapes. Il faut aussi une surveillance et une vérification constantes de la solution afin de s’assurer qu’elle répond en permanence à nos obligations.

Conclusion

Comme nous l’avons mentionné dans l’introduction de cet article, l’infonuagique est de plus en plus répandue, et elle est considérée comme une manière pratique et sûre de répondre aux objectifs opérationnels d’une entreprise. Les services infonuagiques sont de plus en plus intéressants en raison de leur nature « produit de base », mais ils exigent une compréhension approfondie des risques, ainsi que de la probabilité de ces risques. Il faut préparer des contrats de service pour couvrir ou atténuer le plus de risques déterminés possible. Les premiers pas de CBC/Radio-Canada dans le domaine des services infonuagiques ont fait ressortir la nécessité d’établir un cadre de travail officiel pour évaluer ces types de solutions, et les leçons apprises en chemin ont aidé la Société à déterminer certains des critères clés à inclure dans un tel cadre de travail.

L’infonuagique respecte aussi les principes avancés par le Conseil stratégique des technologies, qui, à leur tour, s’inscrivent dans l’initiative 2015 : Partout, Pour tous de CBC/Radio-Canada, car ils donnent des moyens d’agir à nos employés qui sont essentiels à la réussite de la Stratégie 2015. Nos avancées futures dans l’infonuagique permettront de favoriser les innovations continues qui permettent à CBC/Radio-Canada de demeurer un chef de file du monde des médias.

Références

International Information Systems Security Certification Consortium, The Official (ISC)2 CISSP CBK Review Seminar, février 2013.

[1] Pour plus d’information sur le SaaS et l’IaaS, veuillez vous reporter à l’article Les services en nuage de Rob Fullerton, dans le premier numéro de SYNC.

[2] De nouveau, pour en savoir plus, veuillez vous reporter à l’article Les services en nuage de Rob Fullerton, dans le premier numéro de SYNC.

Outil de soulignement de texte