Comprendre la transformation numérique de l’État

Que signifie le terme infonuagique?

L’infonuagique est un mode de déploiement qui consiste à utiliser des infrastructures de réseautique, de traitement, de stockage et de sécurité pour entreposer des données et les exploiter. Les infrastructures distantes sont utilisées selon des critères techniques (puissance, bande passante Cet hyperlien s'ouvrira dans une nouvelle fenêtre., etc.) et des exigences, notamment, en matière de sécurité et de protection des renseignements personnels et confidentiels.

Les principaux services proposés en infonuagique sont le SaaS (Software as a Service Cet hyperlien s'ouvrira dans une nouvelle fenêtre.), le PaaS (Platform as a Service Cet hyperlien s'ouvrira dans une nouvelle fenêtre.) et le IaaS (Infrastructure as a Service Cet hyperlien s'ouvrira dans une nouvelle fenêtre.), ce qui représente des systèmes d’exploitation, des logiciels d’infrastructure et les logiciels applicatifs.

Les contrats prévoient des clauses qui visent notamment à assurer la disponibilité, l’intégrité et la confidentialité des données, ainsi que le soutien en cas de besoin. Les exigences relatives à la confidentialité des données, à la traçabilité Cet hyperlien s'ouvrira dans une nouvelle fenêtre. des activités et à la qualité des services sont essentielles.

De façon plus technique, l’infonuagique se définit comme suit :

  1. Les services sont accessibles en libre-service sur demande. L’approvisionnement auprès du fournisseur de services s’effectue de manière automatisée, en suivant les besoins de l’organisme public.
  2. Les services sont accessibles par l’entremise d’un réseau informatique.
  3. Les ressources informatiques sont regroupées de manière à être exploitées et attribuées de façon dynamique, grâce à la virtualisation.
  4. Les ressources sont souples et peuvent s’adapter rapidement à une variation de la charge. Cette caractéristique permet d’offrir un taux de disponibilité élevé devant une montée rapide et variable des besoins en service.
  5. Les services sont mesurables. La consommation des services est surveillée, gérée, mesurée et ensuite facturée à l’organisme public. À l’heure actuelle, peu d’organisations, privées ou publiques, optent pour d’autres types d’hébergement que l’infonuagique. 

Quelle est la solution envisagée pour répondre adéquatement au besoin de stockage?

Le programme de consolidation entrepris par le gouvernement se traduit par le regroupement physique des centres de traitement informatique et par le recours prioritaire à l’infonuagique publique. Le gouvernement du Québec prend acte des technologies et des expertises qui existent sur le marché et fait le choix le plus optimal, qui est d’allier la sécurité de l’information et les possibilités qu’offre l’infonuagique.  

Cela signifie que le gouvernement aura recours à des fournisseurs spécialisés dans l’hébergement et le stockage de données. Ces fournisseurs disposent déjà d’une expertise de haut niveau dans le domaine, d’équipements à la fine pointe de la technologie en constante évolution et d’équipes de recherche et développement entièrement consacrées au maintien de la sécurité des systèmes.

Ce choix permet d’augmenter de façon importante la sécurité des données des Québécoises et Québécois, puisque ces dernières seront entreposées dans des infrastructures qui répondent aux plus hauts standards de l’industrie, tant en matière de sécurité que sur le plan de l’efficience des systèmes.

Aucun compromis ne sera fait sur la sécurité des données. Les normes les plus élevées sont exigées dans les appels d’offres. La certification ISO 27001 qui est une norme internationale de sécurité des systèmes d’information, ou une équivalence SOC2, des normes reconnues mondialement, est demandée aux fournisseurs afin de s’assurer que les infrastructures offertes présentent une maturité élevée en matière de sécurité de l’information.

En plus de réduire les coûts et de rehausser le niveau de sécurité des données, la solution envisagée permettra aux organisations publiques de concentrer leurs efforts pour réaliser leur mission et leurs mandats, plutôt que de faire de la gestion d’infrastructures technologiques. Elle contribuera à rehausser la maturité des infrastructures du gouvernement du Québec, nécessaire pour être en mesure de soutenir la transformation numérique, tout en s’assurant de conserver la maîtrise des données.

En outre, la solution envisagée permettra aussi aux équipes en technologies de l’information de se concentrer sur la gestion des données (le contenu) et des applications nécessaires à l’exercice des missions gouvernementales plutôt que sur l’entretien des infrastructures de traitement et de stockage (le contenant).

En quoi consiste le programme de consolidation des centres de traitement d’information (CTI) du gouvernement du Québec?

Depuis 2015, il est question de regrouper les CTI du Québec, qui sont, en fait, des salles dans lesquelles se trouvent des équipements de télécommunication et des serveurs informatiques qui contiennent les données gérées par les organismes publics.
 

Le gouvernement du Québec possède plus de 550 CTI et ils sont actuellement situés un peu partout sur le territoire québécois. Il est prévu de réduire ce nombre à deux ou trois d’ici trois ans.

Pourquoi avoir commencé ce regroupement?

Les CTI sont actuellement situés un peu partout sur le territoire québécois, et plusieurs d’entre eux nécessitent des investissements de mise à niveau.

Une forte croissance des besoins en stockage et en traitement d’information se fait actuellement sentir, et les coûts liés à l’exploitation des CTI augmenteront au cours des prochaines années. En regroupant ces centres, il devient possible de réaliser des économies d’échelle, mais surtout d’assurer un niveau de sécurité optimal et uniformisé pour l’ensemble des données gouvernementales.

Une exploitation sécuritaire des infrastructures (incluant notamment la robustesse des configurations, la documentation des procédures d’exploitation, la gestion des changements, le dimensionnement du système, la séparation des environnements, la protection contre les codes malveillants, les sauvegardes, la journalisation, la surveillance et la gestion des vulnérabilités techniques) demeure incontournable, et ce, qu’elle soit effectuée dans une infrastructure interne ou externe.

Qui hébergera les données gouvernementales?

Les ministères et organismes publics pourront choisir parmi les fournisseurs qualifiés afin de satisfaire leurs besoins en stockage et traitement d’information. Ils devront suivre la version actualisée des orientations en infonuagique.

Le Centre de services partagés du Québec a procédé à un appel au marché, au printemps 2019. Les fournisseurs d’offre infonuagique avaient l’occasion de se qualifier pour faire partie du courtier en infonuagique (un catalogue de fournisseurs). Selon les règles en matière de contrat, tant que ce processus est en cours, aucune information ne doit circuler sur l’identité des fournisseurs. 

Une mise à jour de cet appel au marché sera faite régulièrement afin de faire évoluer les offres selon les tendances et de qualifier celles de nouveaux fournisseurs.

Il n’a jamais été question de confier les données gouvernementales à un seul fournisseur.

Qui sera responsable de la gestion des données gouvernementales?

En tant que détenteur des données gouvernementales, le gouvernement est entièrement responsable de la gestion de celles-ci et il le demeurera.

Il est néanmoins important de faire la distinction entre la gestion et le stockage des données.

Le stockage implique d’entreposer les données dans un endroit sécuritaire et de les crypter. Seul le détenteur des données, soit le ministère ou l’organisme public, possède la clé unique de cryptage.

Toutes les données qui seront stockées chez les fournisseurs externes seront cryptées, et seul le gouvernement du Québec aura les clés.

Le gouvernement demeurera responsable de la gestion des données, notamment, des règles d’accès dans ses solutions d’affaires, de la protection des communications de cette information, de l’intégration de la sécurité et de la journalisation des accès aux solutions et aux données.

Le gouvernement du Québec est-il le seul à faire ce choix?

Cette approche s’inscrit dans une mouvance internationale de transformation numérique, où plusieurs gouvernements optimisent leurs centres de traitement d’information et prennent le virage de l’infonuagique publique à des fins d’efficacité et de sécurité.

Il faut noter que l’argument principal de ces organisations, pour aller dans l’infonuagique, est généralement la sécurité. Effectivement, les administrations publiques n’ont pas les ressources humaines ni financières nécessaires pour produire des infrastructures technologiques aussi solides que les fournisseurs spécialisés dans ce domaine.

Voici quelques exemples que nous pouvons citer :

  1. Le ministère du Revenu Cet hyperlien s'ouvrira dans une nouvelle fenêtre. du Royaume-Uni
  2. Les cours de justice Cet hyperlien s'ouvrira dans une nouvelle fenêtre., incluant la Cour suprême du Royaume-Uni
  3. Le Metropolitan Police Service Cet hyperlien s'ouvrira dans une nouvelle fenêtre. du Royaume-Uni
  4. Le gouvernement australien Cet hyperlien s'ouvrira dans une nouvelle fenêtre.
  5. Le United States Intelligence Community, aux États-Unis Cet hyperlien s'ouvrira dans une nouvelle fenêtre.
  6. Le Dubai International Financial Centre Cet hyperlien s'ouvrira dans une nouvelle fenêtre.

Que fait le gouvernement pour assurer la protection des données?

La sécurité des données personnelles est l’un des enjeux les plus importants de notre époque. Cette question est déjà au cœur de la transformation numérique.

Le gouvernement du Québec a déjà des mesures en place pour la prévention et l’intervention en matière non seulement de cybersécurité, mais également de protection des données personnelles.

Avant même que les incidents de vol d’identité et d’information sensible chez Desjardins et chez Capital One ne surviennent, le gouvernement avait entamé des travaux pour la révision des mesures et des politiques en matière de sécurité de l’information.

Il a entrepris le rapatriement du CERT/AQ (équipe de réponse aux incidents de sécurité de l’information de l’Administration québécoise), qui relevait du ministère de la Sécurité publique. Il est en voie de créer un groupe de sécurité de l’information et de cybersécurité à portée gouvernementale, qui inclura le CERT/AQ, au sein du Secrétariat du Conseil du trésor. La personne responsable de cette équipe est choisie et elle entrera en poste dans les prochaines semaines.
En 2019, il est prévu :

  • de créer un réseau de spécialistes publics et privés pour faire évoluer les pratiques en cybersécurité. Le mandat de ce réseau sera de recommander des stratégies et des mesures au gouvernement, sur les axes de la prévention, de la surveillance et de la dissuasion;
  •  d’élaborer et de mettre en œuvre une stratégie de cybersécurité du gouvernement du Québec, adaptée au contexte des nouvelles technologies et des menaces actuelles;
  • de réviser la Directive sur la sécurité de l’information gouvernementale, notamment pour y inclure l’obligation de catégoriser les informations, de faire des tests de vulnérabilité et de produire des plans de reprise informatique;
  • de définir les obligations de résultat en ce qui concerne la déclaration des incidents, leur prise en charge, incluant la détermination des causes, et des mesures correctives afférentes;
  • d’offrir des formations à l’ensemble du personnel de l’administration publique, par l’entremise de l’Académie des transformations numériques de l’Université Laval.

L’objectif est de créer une plus grande cohérence gouvernementale dans la gestion de la sécurité de l’information.

Plusieurs actions ont été réalisées ou sont en cours de réalisation par les ministères et organismes publics, afin de renforcer la sécurité des données :

  • La révision des listes du personnel qui a des privilèges élevés d’accès aux informations. Cette activité permettra de restreindre l’accès aux données confidentielles et de limiter le nombre de personnes sur ces listes.
  • Le renforcement des mesures de surveillance pour déceler ou bloquer les équipements non autorisés qui tenteraient de se connecter au réseau.
  • Des ajouts dans les dispositifs d’enregistrement des accès aux informations (journalisation des accès).
  • La réévaluation des risques potentiels de bris de sécurité.
  • La vérification des antécédents judiciaires à l’embauche ou à la mise sous contrat.
  • La surveillance accrue des enregistrements des accès (journaux) et des comportements inhabituels. Cette surveillance vérifie notamment toute personne qui a eu accès à une donnée, le moment (date, heure, minute) et les activités effectuées (téléchargement, consultation, modification).
  • La surveillance accrue de l’utilisation des outils spécialisés de manipulation de données.
  • La modification des procédures d’attribution d’accès particuliers : les demandes d’accès doivent être justifiées et préciser une durée définie.
  • L’utilisation d’outils de protection et de détection spécialisés qui effectuent des balayages 24/7 du réseau de télécommunication à la recherche d’irrégularités.
  • La fermeture de l’accès au réseau à tout appareil qui n’appartient pas à l’organisme public.
  • La mise en place d’un formulaire de sensibilisation et d’engagement pour le personnel qui a des privilèges élevés d’accès aux informations.
  • Le chiffrement des équipements informatiques tels les disques durs, les liens de télécommunication, les clés USB et les documents numériques selon la nature de l’information qu’ils contiennent.

Dès l’automne 2019, l’Académie des transformations numériques de l’Université Laval entamera ses activités. Trois formations en lien avec la sécurité de l’information et la gestion des renseignements personnels seront offertes pour l’ensemble des employées et employés de l’administration publique :

  • Cybercomportements à risque
  • La gestion des renseignements personnels
  • L’éthique organisationnelle à l’ère numérique

Est-ce que d’autres actions sont prévues au cours des prochains mois?

Le gouvernement a pour priorité :

  • de lancer sa première stratégie de cybersécurité,
  • de revoir la directive en matière de sécurité (obligation de tous les organismes publics) et les protocoles d’intervention;
  • de faire adopter une nouvelle directive sur l’utilisation éthique et responsable des informations et des technologies;
  • de réviser et de renforcer les droits d’accès aux données plus confidentielles pour le personnel, ainsi que de revoir les mesures disciplinaires en cas de manquement;
  • d’explorer l’intégration possible de nouvelles technologies, incluant l’intelligence artificielle, afin de permettre une plus grande surveillance des flux anormaux de données et des comportements malveillants.

Le gouvernement travaille activement sur un projet d’identité numérique, notamment par l’entremise d’Accès UniQc. La création d’une identité numérique citoyenne plus forte a pour premier objectif de confirmer l’identité de la personne qui tente d’accéder à de l’information. Les organismes publics devront s’assurer que la personne qui tente d’accéder aux données est autorisée à le faire.

Quelle est la différence entre la sécurité de l’information et la protection des renseignements personnels?

Pour un bon nombre de spécialistes, la sécurité de l’information peut être résumée par trois notions : l’accessibilité, la confidentialité et l’intégrité. Cette triade a été reprise dans les lois. La sécurité de l’information renvoie donc à tous les renseignements, quelle qu’en soit la nature.

Les renseignements personnels concernent une catégorie d’informations particulièrement confidentielles, qui permettent d’identifier une personne en particulier. Considérant que ces renseignements concernent la vie privée des citoyennes et citoyens, leur protection est cruciale pour la pérennité d’un modèle de société libre et démocratique.

La transformation numérique implique de continuer à veiller à la sécurité de l’information en assurant notamment la protection des renseignements personnels et confidentiels, selon les meilleures pratiques issues de normes internationales.

Il ne faut jamais oublier de faire la distinction entre l’entreposage des données et l’usage qui en est fait. La protection des données va au-delà de l’endroit où ces dernières sont entreposées. Il est surtout question des personnes y ont accès et de la façon dont elles sont gérées. Ces tâches seront toujours de la responsabilité du gouvernement. Il revient à chaque individu qui a accès aux données d’en faire un usage éthique et adéquat.

Les fournisseurs infonuagiques ont-ils accès aux données qu’ils hébergent? Peuvent-ils les vendre ou les commercialiser de quelques façons que soit?

Non. Dans le cas de fournisseurs infonuagiques, le client demeure toujours détenteur de son contenu, auquel les fournisseurs ne peuvent pas avoir accès. Ils louent des infrastructures sécuritaires et sécurisées pour le stockage et le traitement de données. Les fournisseurs infonuagiques n’ont donc aucun avantage financier à utiliser les informations de leurs clients et ils n’y ont pas accès, puisqu’elles sont cryptées.

Il ne faut pas confondre le modèle d’affaires des fournisseurs infonuagiques avec les grands prestataires de services Web (Google, Facebook, etc.).

Dans les cas des plateformes comme Facebook et Google, l’internaute est lui-même le produit. Ce dernier consomme un service sans fournir une compensation financière en payant pour un abonnement, par exemple. Les plateformes se compensent financièrement en récoltant des informations sur les internautes afin de commercialiser l’utilisation que ceux-ci en font.

Les informations confidentielles qu’une entreprise fournit au gouvernement sont-elles aussi protégées?

Oui. Plusieurs dispositions légales voient à assurer la protection des renseignements confidentiels fournis par les entreprises. Par conséquent, chaque organisme public est tenu de mettre en place les mesures de sécurité appropriées à cette exigence légale (ex. : Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, articles 23-25 – confidentialité des renseignements fournis par des tiers).