Description du service

Dans le cadre du RITM, tous les réseaux ministériels et les réseaux de services sont reliés à la couche d’interfonctionnement pour donner accès aux services gouvernementaux (tel l’intranet et Internet) et permettre les échanges interministériels.

Le cloisonnement constitue une protection essentielle des entités du réseau de la Santé et des ministères et organismes du gouvernement du Québec sur le RITM.

Ce cloisonnement est effectué par le biais de canaux de communication dédiés à chaque client et par un contrôle d’accès autorisant les communications selon le besoin. Les contrôles d’accès sont assurés par des coupe-feu qui filtrent le trafic de façon à ne laisser passer que les services autorisés à partir de sources bien définies vers des serveurs ou segments réseaux prédéterminés.

Le service de coupe-feu virtuel permet de réaliser le cloisonnement entre les différentes organisations. Il permet également le passage sélectif des communications autorisées entre les différentes entités gouvernementales ainsi que les différents réseaux partenaires et l’Internet. Ce service est hautement disponible de par l’architecture redondante des deux nœuds de la couche d’interfonctionnement et par leur localisation dans deux villes physiquement séparées.

Éléments inclus au service de coupe-feu :

  • un bloc de cinquante (50) règles de sécurité
  • exploitation du coupe-feu (incluant : documentation, copies de sécurité, maintenance, vérifications)
  • gestion du coupe-feu (incluant gestion et vérification des règles du coupe-feu)

Les frais de service de coupe-feu virtuel sont fondés sur un bloc de 50 règles indépendamment du nombre de coupe-feu. Tant que le client se restreint à ce bloc, il ne paiera que pour les modifications. En cas de débordement, il devra payer un frais de service par bloc additionnel de 50 règles. Les blocs de règles ne sont calculés que pour les coupe-feux primaires.

Le tarif mensuel pour la gestion et l’exploitation de coupe-feu virtuel est également fondé sur des blocs de 50 règles indépendamment du nombre de coupe-feu. Une règle étant définie comme une entrée de la liste de contrôle d'accès (ACL) configurée sur un coupe-feu et représentée comme une ligne dans l’interface client de l’outil à cette fin.

Demande de modification aux règles de sécurité des coupe-feux

Le Centre Opérationnel de Sécurité TELUS (COST) réalise les ajouts / modifications / suppressions des règles de sécurité des coupe-feux via le processus de demande de modifications. Le client rédige et soumet ses demandes de modification de règles de coupe-feu par le biais d’une application WEB utilisant un protocole sécurisé.

Avant d’utiliser l’interface d’accès à la console de gestion des paramètres de sécurité, une demande d’accès doit être placée au responsable de la sécurité à l’aide du formulaire d’accès aux outils RITM. Le client demeure responsable des risques associés aux changements effectués dans son environnement.

Il est à noter que les frais de modifications aux règles de sécurité des coupe-feux varient selon le délai de traitement demandé (urgent (moins de 24h), 24h, 48h).  À moins d’exception, les demandes régulières soumises avant 15h30 sont traitées le jour ouvrable suivant entre 6h00 à 8h00 AM.

La tarification des demandes de modification de règles de sécurité est fondée sur le nombre d'instructions à traiter.  Une instruction correspond à une ligne du formulaire de demande comprenant une sélection d'adresses sources, une sélection d'adresses de destination et une sélection de services associés à une action (autorisé, refusé ou refusé sans réponse).  Les frais totaux sont calculés selon le nombre d'instructions à traiter.  La modification d'une même instruction sur deux coupe-feux ou plus demandée sur un formulaire unique sera réalisée au tarif d'une instruction affectée sur plusieurs coupe-feux.

Les sélections d’adresses sources ou de destination correspondent à la liste des adresses associées à la règle de sécurité parmi les objets suivants :  

  • un nœud (ordinateur, équipement réseau ou toute adresse spécifique);  
  • une plage d’adresses réseau (selon un masque de sous-réseau);  
  • un objet réseau spécifique au commutateur;  
  • tout type d’adresse supporté par l’outil de configuration.

La sélection de services correspond à la liste des services associés à la règle de sécurité parmi les choix suivants :

  • ICMP, UDP, TCP, etc.;
  • tout type de service supporté par l’outil de configuration.

Lorsqu’un nouveau site est installé et qu’un nouveau segment IP est créé au niveau du réseau, il est possible qu’un cloisonnement s’avère nécessaire. En parallèle à la demande d’installation, une demande de cloisonnement est requise afin de répondre à ce besoin de sécurité.

Consulter la tarification de ce service.