Dans cette page :
Migration des services
En raison du contexte actuel de migration des services RITM vers les services du RGT, il est possible que les délais de traitement et de prise en charge de votre demande de service, y compris la prestation du service, soient affectés.
Description du service
Le service SSA offre une couche de protection aux clients du MCN désirant bénéficier des fonctionnalités de sécurité contre des attaques de type « déni de service distribué (DSD) volumétrique à haut débit ». Le service de protection contre les assauts (DDoS) sert à assurer la continuité des affaires en cas de lutte informatique offensive visant à perturber les opérations. Ces invasions sont réalisées en saturant les ressources réseau par un très grand volume de données ou par un grand nombre de requêtes malicieuses. Ces charges sont destinées à épuiser les ressources (mémoire, processeur, pile, stockage, etc.) des systèmes visés. Ce service protège les systèmes en épurant le trafic légitime afin de permettre aux ministères et organismes publics (MO) et aux établissements de santé et de services sociaux de continuer à communiquer lors d’une attaque.
- SSA centralisé aux zones d’interconnexion ZIC: Les clients qui adhèrent au service Internet de transit (SIT) bénéficient par défaut d’une double protection anti-DDoS volumétrique, assurée par deux fournisseurs distincts. En d’autres mots, le service de sécurité anti-DDoS est assuré par le MCN pour tous les MO ainsi que pour les établissements du RSSS qui adhèrent au SIT.
- SSA aux sites clients: Le service SSA est aussi offert pour les sites clients (MO et RSSS) qui consomment des services Internet spécialisés (SIS) du Réseau gouvernemental de télécommunication (RGT). Ce service inclut tous les éléments qui se retrouvent à la section « Ce que le service comprend » afin que les clients puissent y ajouter les services de sécurité anti-DDoS qu’ils auront sélectionnés pour une protection optimale et personnalisée.
Les services de sécurité anti-DDoS offerts pour les clients sont disponibles à travers les options suivantes, selon les besoins spécifiques des clients :
- SSA centralisé aux ZIC
- Inclus dans le service Internet de transit (SIT) à travers la zone d’interconnexion (ZIC)
- SSA pour les sites clients
- Optionnel pour les clients abonnés au service Internet spécialisé (SIS)
Ce que le service comprend
L’amélioration de la sécurité de votre organisation par rapport aux attaques DSD. Le service SSA est une défense anti-DDoS en mode hybride, c’est-à-dire qu’elle offre une protection tant physique qu’infonuagique vers les centres de nettoyage du fournisseur en cas de débordement.
Ce que le service ne comprend pas (à titre indicatif)
Les liens de télécommunication Internet pour le transport du service SSA.
Options de service*
Les options de service sont des fonctionnalités dont le choix s’applique uniquement pour les le SSA aux sites clients. Cependant, pour le SSA centralisé aux ZIC, la protection anti-DDoS volumétrique vient automatiquement avec le Service Internet de Transit (SIT).
Protection contre les menaces DDoS les plus répandues, et ce en temps réel, mieux connu sous le nom de Behavorial DoS Protection (B-DoS).
Une attaque par inondation des paquets visant les demandes de connexion initiale SYN (mieux connue sous le nom de SYN flood) a pour but de rendre un serveur indisponible pour le trafic légitime. Pour ce faire, il consomme toutes les ressources serveur disponibles. En envoyant à plusieurs reprises des paquets SYN, le serveur répond en transmettant un accusé de réception (ACK) et attend la réponse qui ne viendra jamais, ce qui a pour but d’utiliser toutes les ressources machines du serveur attaqué. Le pirate est donc en mesure de submerger tous les ports disponibles sur une machine serveur ciblée. Conséquemment, ce serveur répondra lentement au trafic légitime ou l’empêchera totalement d’y répondre.
Une attaque par inondation du DNS (ou DNS Flood) repose sur la réflexion des réponses sur les serveurs DNS, lors de laquelle un pirate exploite la fonctionnalité de résolveurs DNS ouverts pour surcharger un serveur ou un réseau cible avec une quantité de trafic amplifiée, afin de rendre inaccessibles le serveur et son infrastructure environnante.
Afin d’atténuer une attaque DDoS, il faut être en mesure de limiter la quantité des connexions. C’est une stratégie simple, mais efficace et essentielle.
Une anomalie de paquets IP se produit lorsque le pirate transmet un paquet à la taille délibérément excessive vers une cible. Le paquet est ainsi fragmenté en plusieurs parties, dont chacune est inférieure à la taille maximale. Lorsque la machine cible tente de reconstituer les éléments, la taille totale dépasse alors la limite et un débordement de tampon (Buffer Overflow) peut se produire, entraînant ainsi le blocage, l'arrêt ou le redémarrage de la machine.
Une attaque de la couche applicative vise la couche 7 du modèle de données OSI (norme de télécommunication) et fait référence à un type d’action malveillante destinée à cibler la couche « supérieure » où se produisent les requêtes Internet courantes telles que HTTP GET et HTTP POST. Ces assauts de la couche 7 sont particulièrement efficaces en raison de leur consommation de ressources du serveur en plus des ressources du réseau.
La liste noire définit les sources IP qui sont bloquées, sans analyse du module anti-DDoS, avant d’arriver dans le système anti-DDoS. La liste blanche définit des sources IP qui sont autorisées, sans analyse du module anti-DDoS, avant d'arriver dans le système anti-DDoS.
La protection DDoS basée sur la localisation exploite les modèles d'apprentissage automatique de l’intelligence artificielle pour identifier le trafic susceptible d'être automatisé à partir d’une région à travers le monde. Ceci est utilisé comme signal supplémentaire pour fournir une protection plus précise aux attaques DSD de type volumétrique à haut débit. Avec cette protection activée, si des pics soudains de trafic proviennent d’endroits inattendus en dehors de vos zones géographiques principales, le système signalera et atténuera le trafic indésirable.
* L’activation de ces mécanismes demeure à la discrétion du client.
Conditions requises
Prérequis et contraintes (SSA aux sites clients)
- Avoir un routeur Internet du côté client pour l’échange de segments IP publics avec le fournisseur Internet SIS, par l’entremise du protocole de routage « External Border Gateway Protocol », mieux connu sous le nom BGP.
- Fournir au minimum un segment IP/24. Il devra être annoncé avec un attribut qui se nomme « preprend » du protocole de routage BGP, en prévision d’une redirection infonuagique.
- Le propriétaire des segments IP publics doit signer une lettre autorisant le manufacturier du module anti-DDoS à injecter les routes dans le routeur du client.
- Configurer un tunnel sécurisé de type « Generic Routing Encapsulation », (GRE) entre le routeur Internet client et le nuage du manufacturier du module anti-DDoS du site client.
Niveaux de service
| Catégorie | Description | Élément mesuré (indicateur) | Niveau de service (cible) |
|---|---|---|---|
| Délai de traitement | Installer un nouveau service SSA dans un délai de 15 jours ouvrables ou moins | Délai maximal requis pour ajouter le service SSA | ≤ 15 jours ouvrables |
| Retirer le service SSA dans un délai de 5 jours ouvrables ou moins | Délai maximal requis pour modifier ou retirer le service SSA | ≤ 5 jours ouvrables | |
| Réaliser une modification au service SSA déjà existant sans coordination du client dans un délai de 2 jours ouvrables ou moins | Délai maximal requis pour modifier le service SSA déjà existant SANS coordination du client | ≤ 2 jours ouvrables | |
| Réaliser une modification au service SSA déjà existant avec coordination du client dans un délai de 1 jour ouvrable | Délai maximal requis pour modifier le service SSA déjà existant AVEC coordination du client | ≤ 1 jour ouvrable | |
| Disponibilité | Taux de disponibilité du service SSA | Taux mensuel | 99,99 % a b |
| Soutien à l’utilisation | Temps de réparation par service | Délai moyen de réparation (MTTR) | ≤ 4 heures ouvrables c d |
| Conditions d'atteinte des niveaux de service |
|---|
| a. La disponibilité du service SSA dépend du lien Internet utilisé et de l’architecture réseau du client. b. Le service est disponible 24 h/24, 7 j/7 incluant les jours fériés. c. Intervention proactive à la suite des alarmes sans l’intervention du client. d. La télésurveillance des incidents est faite par le fournisseur SIGO. Ce sont toutes des cibles de service SLR (Service Level Requirement). |
Cogestion
Un organisme public peut se prévaloir de droits et privilèges permettant à certains de ses employés, agents, représentants ou sous-traitants de cogérer certains des équipements du RGT. Cette cogestion permet aux organismes de faire, en mode autonome, des configurations (créer, modifier, ajouter, supprimer) sur certains paramètres de configurations de leurs services SIGO, et ce, sans supervision du MCN et du prestataire de services d’intégration et de gestion opérationnelle (SIGO). Toutefois, l’octroi de ces droits et privilèges peut poser des risques pour la disponibilité et la sécurité du réseau de l’organisme. Ainsi, par l’adhésion à la cogestion l’organisme :
- Reconnait et accepte que le MCN et le prestataire de service SIGO effectuent la traçabilité à l’égard des actions effectuées dans son réseau en mode cogestion par l’organisme, ses employés, agents, représentants ou sous-traitants;
- Assume l’entière responsabilité des changements effectués dans son réseau en mode cogestion par ses employés, agents, représentants ou sous-traitants ainsi que les risques qui y sont reliés;
- Accepte que le niveau de service spécifié à l’offre de service du MCN ne soit pas respecté si la non-atteinte dudit niveau de service est causée par un changement effectué en mode de cogestion dans son réseau par ses employés, agents, représentants ou sous-traitants;
- Est informé que le MCN et le prestataire de services, sans garantie quelconque, déploieront tous les efforts requis pour rétablir le service impacté par un changement effectué en mode de cogestion par l’organisme.
Rôles et responsabilités
Le ministère s’assure :
- D’évaluer les besoins du client et de le conseiller.
- De vérifier le suivi des modalités de gestion encadrant le service (incidents, niveaux de service, réquisitions, etc.).
- De gérer les risques de sécurité de l’information liés à la fourniture du service anti-DDoS volumétrique.
De son côté, le client doit :
- Désigner un administrateur client pour traiter les requêtes opérationnelles.
- Soumettre au MCN les réquisitions relatives aux services, au moyen du formulaire approprié, dans le respect des informations jugées essentielles pour procéder.
- Spécifier le ou les profils dans sa réquisition.
- Assurer la sécurité de son réseau.
- Gérer les risques de sécurité de l’information liés à la consommation du service anti-DDoS volumétrique
- Consulter régulièrement les fiches de services afin d'être au courant de toute mise à jour ou modification aux modalités du présent service, ainsi que de tout autre service qu'il consomme.
Tarification
| Élément de tarification | Capacité en bande passante | Frais de mise en service | Tarif mensuel |
|---|---|---|---|
| Gestion opérationnelle du service de sécurité anti-DDoS aux sites clients | 100 Mbps – 1 Gbps | 39 000 $ | 1 800 $ |
| Incrément par tranche de 1 Gbps | 21 000 $ | 1 500 $ | |
| 10 Gbps | 204 000 $ | 14 400 $ |
Soutien à l’utilisation
Le soutien est assuré par le Centre de services du RGT. Les coordonnées sont les suivantes :
- Téléphone : 1 877 528-0715
- Courriel : SIGO-CentreDeServiceN1@mcn.gouv.qc.ca
- Demandes et renseignements : peuvent être effectuées par un formulaire au Portail-RGT, par téléphone ou par courriel
- Réquisitions : peuvent être formulées au moyen du système de formulaires électroniques (SFE) du MCN.
- Lien vers le Portail RGT
Heures d’ouverture :
- 24 heures par jour, 7 jours par semaine.
Pour obtenir ce service ou pour information supplémentaire
Tout organisme public qui désire obtenir ce service et qui n’est pas déjà un client du ministère est invité à contacter le développement des affaires : relation.affaires@mcn.gouv.qc.ca
Les clients qui obtiennent déjà des services en TI du ministère peuvent communiquer avec leur conseiller en relation d'affaires (PDF 199 Ko).
Guides et formulaires
- Guide Service d’intégration et de gestion opérationnelle (PDF 1,03 Mo) (Le guide à l'intention de la clientèle documente l’offre des services d’intégration et de gestion opérationnelle (SIGO) dont le service décrit est un des composants.
- Modèles de communications à la clientèle (PDF 601 Ko)
- Matrice RACI des responsabilités de sécurité de l’information des parties prenantes par service RGT et domaine de sécurité (XLSX 29 Ko)
Service connexe
Dernière mise à jour : 18 février 2026