Service de sécurité évolué (SSE) du Réseau gouvernemental de télécommunication (RGT) pour les organisations publiques

Dans cette page :

Migration des services

En raison du contexte actuel de migration des services RITM vers les services du RGT, il est possible que les délais de traitement et de prise en charge de votre demande de service, y compris la prestation du service, soient affectés.

Description du service

Les services de sécurité évolués (SSE) offrent une couche de protection aux clients du MCN désirant tirer avantage des fonctionnalités de sécurité visant à protéger les couches 4 à 7 du modèle OSI.

Les services de sécurité évolués offerts pour les clients sont disponibles à travers les options suivantes, selon les besoins particuliers des clients :

Les services centralisés de la zone d’interconnexion (ZIC).
Les services dans les équipements multiservices (EMS) déployés dans les sites clients.
Les services en infonuagique (voir description du service SSEI).

Modes de déploiement des SSE

SSE centralisés aux ZIC

L’activation des services de sécurité évoluée dans les ZIC permet de protéger les clients utilisant les services d’Internet centralisé du MCN (services Internet de transit). De plus, les ZIC assurent les communications intragouvernementales entre les ministères et les organismes publics (MO), les établissements de santé et de services sociaux ainsi que l’accès aux différents services gouvernementaux. L’organisation peut donc décider, selon ses considérations de sécurité, des fonctions de sécurité à activer. À noter que les services de sécurité évolués permettent d’enrichir la protection de sécurité à inspection d’état déjà présente dans les ZIC. La robustesse de la solution est assurée centralement par une architecture qui procure une redondance à la fois « intrasites » et « intersites » (entre les ZIC).

SSE aux sites clients

Les services de sécurité évolués offerts pour les sites clients sont fournis sur demande par l’équipement multiservice (EMS). L’EMS de base inclut les services de sécurité à inspection d’état auxquels les clients peuvent y ajouter les services de sécurité évolués pour une protection optimale.

Dans le cas où les EMS sont déployés en mode « haute disponibilité » au site client, l’adhésion aux services de sécurité évolués sera également effectuée en mode « haute disponibilité ».

Ce que le service comprend

Le service SSE offre une gamme de solutions répondant à des besoins de sécurité, sans égard à la superficie des sites (petits sites et grands sites [CTI]).

Ce que le service ne comprend pas (à titre indicatif)

Le service ne comprend pas les liens de télécommunication WAN (Internet, IP/MPLS, SPAP, etc.).

Options de service

En activant le service SSE, les clients ont accès aux modules dans l’offre groupée (communément appelée Bundle) décrits ci-dessous. Les clients ont le choix d’activer les modules qui leur conviennent.

Antivirus

L’antivirus est un module de sécurité évoluée reposant sur une politique d’inspection d’état, qui assure la protection contre les virus et les logiciels espions.

Il permet de détecter, de bloquer et/ou de mettre en quarantaine les fichiers et les contenus malveillants, sur la base des signatures connues.

Filtrage Web

Ce mécanisme protège l’organisation en neutralisant l’accès aux sites Web malveillants, piratés ou inappropriés, à l’aide du filtrage Web. La solution répertorie plusieurs millions de sites Web dans plusieurs catégories. La base de données des sites catégorisés est mise à jour en temps réel.

Contrôle applicatif

Cette fonctionnalité améliore la sécurité et assure la conformité en appliquant plus simplement une politique d’utilisation acceptable et en disposant d’une visibilité en temps réel sur les applications exécutées par les utilisateurs. Elle permet de créer rapidement des règles qui autorisent, interdisent ou limitent l’accès aux applications ou aux catégories d’application.

IPS/DOS

IPS/DOS assure la protection contre les intrusions réseau les plus récentes, en détectant et en bloquant les attaques en amont des dispositifs réseau.

Inspection SSL

Cette fonctionnalité inspecte les communications chiffrées afin de permettre à l’ensemble des modules de sécurité intégrés à la solution de faire leur analyse. Les profils d’inspection SSL permettent une configuration très granulaire pour une gestion efficiente et en phase avec les politiques de sécurité organisationnelle.

Bac à sable

Ce mécanisme permet d’analyser en profondeur et dans un environnement isolé les fichiers et programmes considérés suspects, malicieux, persistants ou avancés. Il peut détecter et signaler les fichiers et programmes malicieux dont les signatures ne sont pas connues, permettant ainsi de bloquer les attaques inconnues ou sans correctif connu (attaques « jour zéro »).

Réputation

La réputation IP est un module avancé du service de sécurité, constitué d’une base de données des adresses IP publiques maintenues par le service infonuagique du manufacturier qui applique les niveaux de réputation. Cette dernière peut être appliquée sur une politique d’inspection d’état pour limiter la destination.

Prévention contre la perte de données (DLP)

La prévention contre la perte de données (DLP) est un module avancé du service de sécurité évolué attaché à une politique d’inspection d’état. Le module cherche des modèles de données sensibles afin d'exécuter une action (autoriser, refuser ou journaliser) au moment où le trafic traverse l’EMS.

Protection anti-DDoS

Le DDoS est un type d’attaque qui consiste à saturer une ressource par l’inondation des paquets (exemples : SYN Flood, ICMP Flood, etc.) et ainsi rendre indisponible cette ressource aux utilisateurs légitimes. L’attaque peut aussi permettre de contourner les contrôles de sécurité en place. Afin de se prémunir contre ce type d’attaque, les EMS installés dans les ZIC et les sites clients prévoient des mécanismes de base afin que les infrastructures ne soient pas compromises lors d’une attaque. La protection offerte avec les services de sécurité évolués n’est pas volumétrique et ne remplace pas une protection dédiée aux attaques DDoS de volumétrie. Les mécanismes de protection se limitent principalement aux signatures ou aux règles préconfigurées.

L’activation de ces mécanismes, tout comme les fonctions principales du service de sécurité de nouvelle génération, est à la discrétion du client. Les services de sécurité évolués sont inclus et disponibles à l’activation dans les infrastructures centralisées des ZIC. En ce qui concerne les sites clients, les services de sécurités évolués sont optionnels et sont déployés en fonction des besoins de la clientèle.

Proxy Web avec Authentification Kerberos

Kerberos est un protocole d’authentification de réseau informatique. Le principal objectif de ce protocole est d’assurer une authentification sécurisée des utilisateurs tout en empêchant l’envoi de mots de passe en clair sur Internet.

Avantages de l’authentification Kerberos :

Contrôle d’accès efficace;
Authentification mutuelle;
Durée de vie limitée du ticket ;
Sécurité.

Pour ajouter le Proxy Web avec Authentification Kerberos

Les clients qui doivent utiliser le Proxy Web avec Authentification Kerberos devront adhérer au Service de sécurité évoluée (SSE) en demandant simplement l’option « Proxy Web avec Authentification Kerberos ».

Prérequis pour le Proxy Web avec Authentification Kerberos

Tout service d’annuaire autre qu’Active Directory n’est pas pris en charge.

Conditions requises

Les clients qui veulent adhérer au service SSE sur site doivent obligatoirement se procurer l’équipement multiservice (EMS).

Niveaux de service

Catégorie	Description	Élément mesuré (indicateur)	Niveau de service (cible)
Soutien à l’utilisation	Temps de réparation par réseau client et global	Temps moyen de réparation (MTTR) global (SLA)	≤ 4 heures ^c
	Réparation des incidents par sévérité (SLR)	Délai maximal requis pour remettre en service à la suite d’un incident critique (SLR)	≤ 2 heures ^c
	Réparation des incidents par sévérité (SLR)	Délai maximal requis pour remettre en service à la suite d’un incident majeur ou significatif (SLR)	≤ 4 heures
	Installer un service de sécurité de nouvelle génération EMS-SSE dans un délai de 15 jours ouvrables ou moins	Délai maximal requis pour installer un service de sécurité de nouvelle génération EMS-SSE (SLR)	≤ 15 jours ouvrables
	Déplacer un service de sécurité de nouvelle génération EMS-SSE dans un délai de 5 jours ouvrables ou moins	Délai maximal requis pour déplacer un service de sécurité de nouvelle génération EMS-SSE (SLR)	≤ 5 jours ouvrables
	Retirer un service EMS-SSE dans un délai de 5 jours ouvrables ou moins	Délai maximal requis pour retirer un service EMS-SSE (SLR)	≤ 5 jours ouvrables
	Réaliser une modification logique à un service existant sans la coordination du client dans un délai de 2 jours ouvrables ou moins	Délai maximal requis pour réaliser une modification logique à un service existant sans la coordination du client (SLR)	≤ 2 jours ouvrables
	Réaliser une modification logique à un service existant avec la coordination du client dans un délai de 4 jours ouvrables ou moins	Délai maximal requis pour réaliser une modification logique à un service existant avec la coordination du client (SLR)	≤ 4 jours ouvrables
Disponibilité	Rendre disponible l’infrastructure centralisée du service (SLA)	Taux de disponibilité de l’infrastructure centralisée du service (SLA)	99,99 % ^a^b ^e
	Rendre disponible les consoles de gestion (SLR)	Taux de disponibilité des consoles de gestion (SLR)	99,90 % ^a^b ^e
	Rendre disponible les services EMS-SSE par réseau client. Ce taux inclut le réseau sous-jacent (SLR)	Taux de disponibilité des services EMS-SSE par réseau client. Ce taux inclut le réseau sous-jacent (SLR)	99,95 % ^a^b ^e
	Rendre disponible un EMS-SSE simple (SLR)	Taux de disponibilité d’un EMS-SSE simple (SLR)	99,90 % ^a^b ^e
	Rendre disponible un EMS-SSE redondant (SLR)	Taux de disponibilité d’une EMS-SSE redondant (SLR)	99,99 % ^a^b ^e
Fiabilité	Nombre maximal d’incidents par service par mois (SLA)	Nombre d’incidents maximum	2
Fiabilité	Nombre maximal d’incidents par service par année (SLR)	Nombre d’incidents maximum	8
Performance	Latence	Latence entre deux sites EMS-SSE (S.O)	25 ms ^d
	Gigue	Délai de variation de gigue entre deux sites EMS-SSE (S.O)	1 ms ^d
	Perte de paquets	Perte maximale de paquet entre deux sites EMS-SSE (S.O)	1 % ^d

Conditions d'atteinte des niveaux de service
a. Télésurveillance des incidents sans interruption 24 h/24, 7 j/7. b. Intervention proactive à la suite des alarmes, et ce, sans l’intervention du client. c. Ces délais ne sont valides que dans les zones 1 et 2. Zone 1 – Régions métropolitaines de Montréal, de Québec et le centre de traitement informatique (CTI) du MCN à Drummondville : La région métropolitaine de Montréal comprend les 82 municipalités comme définies par la Communauté métropolitaine de Montréal; La région métropolitaine de Québec comprend les 28 municipalités comme définies par la Communauté métropolitaine de Québec; Le CTI du MCN situé à Drummondville. Zone 2 – Hors régions métropolitaines de Montréal et de Québec : comprend toutes autres municipalités situées sur le territoire de la province du Québec, à l’exclusion du territoire situé au nord du 52^e parallèle. d. Les performances ne prennent pas en compte la qualité du lien utilisé par le client. e. Taux mensuel

Conditions d'atteinte des niveaux de service

a. Télésurveillance des incidents sans interruption 24 h/24, 7 j/7.
b. Intervention proactive à la suite des alarmes, et ce, sans l’intervention du client.
c. Ces délais ne sont valides que dans les zones 1 et 2.

Zone 1 – Régions métropolitaines de Montréal, de Québec et le centre de traitement informatique (CTI) du MCN à Drummondville :
- La région métropolitaine de Montréal comprend les 82 municipalités comme définies par la Communauté métropolitaine de Montréal;
- La région métropolitaine de Québec comprend les 28 municipalités comme définies par la Communauté métropolitaine de Québec;
- Le CTI du MCN situé à Drummondville.
Zone 2 – Hors régions métropolitaines de Montréal et de Québec : comprend toutes autres municipalités situées sur le territoire de la province du Québec, à l’exclusion du territoire situé au nord du 52^e parallèle.

d. Les performances ne prennent pas en compte la qualité du lien utilisé par le client.
e. Taux mensuel

Gestion des incidents – Niveaux de sévérité

Les incidents sont catégorisés selon trois (3) niveaux de sévérité. Le tableau suivant fournit une description de ces niveaux.

Sévérité	Description	Délai maximal de réparation	Délai maximal d’intervention
1 (Critique)	Incident critique touchant un service direct à la population et pouvant mettre la vie ou la sécurité des personnes en jeu et pour lequel il n’y a pas de solution de repli suffisante. Incident escaladé par le MCN ou le client.	2 heures	30 minutes
2 (Majeure)	Incident touchant cinq (5) services et plus simultanément.	4 heures	45 minutes
3 (Significative)	Incident touchant la mission d’une organisation. C’est le niveau de base pour tout incident.	4 heures	60 minutes

Pour un incident donné, le MCN et le client peuvent demander un changement de sévérité si le niveau déterminé par le fournisseur ne correspond pas à la réalité du besoin d’affaires du client. Dans un tel cas, le fournisseur doit prendre en charge celui-ci conformément au niveau de sévérité déterminé par le MCN et le client.

Cogestion

Un organisme public peut se prévaloir de droits et privilèges permettant à certains de ses employés, agents, représentants ou sous-traitants de cogérer certains des équipements du RGT. Cette cogestion permet aux organismes de faire, en mode autonome, des configurations (créer, modifier, ajouter, supprimer) sur certains paramètres de configurations de leurs services SIGO, et ce, sans supervision du MCN et du prestataire de services d’intégration et de gestion opérationnelle (SIGO). Toutefois, l’octroi de ces droits et privilèges peut poser des risques pour la disponibilité et la sécurité du réseau de l’organisme. Ainsi, par l’adhésion à la cogestion l’organisme :

Reconnait et accepte que le MCN et le prestataire de service SIGO effectuent la traçabilité à l’égard des actions effectuées dans son réseau en mode cogestion par l’organisme, ses employés, agents, représentants ou sous-traitants;
Assume l’entière responsabilité des changements effectués dans son réseau en mode cogestion par ses employés, agents, représentants ou sous-traitants ainsi que les risques qui y sont reliés;
Accepte que le niveau de service spécifié à l’offre de service du MCN ne soit pas respecté si la non-atteinte dudit niveau de service est causée par un changement effectué en mode de cogestion dans son réseau par ses employés, agents, représentants ou sous-traitants;
Est informé que le MCN et le prestataire de services, sans garantie quelconque, déploieront tous les efforts requis pour rétablir le service impacté par un changement effectué en mode de cogestion par l’organisme.

Rôles et responsabilités

Le ministère s’assure :

D’évaluer les besoins du client et de le conseiller.
De vérifier le suivi des modalités de gestion encadrant le service (incidents, niveaux de service, réquisitions, etc.).
De gérer les risques de sécurité de l’information liés à la fourniture du service SSE.

De son côté, le client doit :

Désigner un administrateur client pour traiter les requêtes opérationnelles.
Soumettre au MCN les réquisitions relatives aux services, via le formulaire approprié, dans le respect des informations jugées essentielles pour procéder.
Spécifier le ou les profils dans sa réquisition.
S’assurer de la sécurité du réseau.
Gérer les risques de sécurité de l’information liés à la consommation du service SSE.
Consulter régulièrement les fiches de services afin d'être au courant de toute mise à jour ou modification aux modalités du présent service, ainsi que de tout autre service qu'il consomme.

Tarification

Capacité en bande passante	Tarif mensuel	Frais de mise en service SSE simple aux sites clients	Frais de mise en service SSE avec robustesse aux sites clients
Petit (jusqu’à 200 Mbps)	75 $	1 698 $	1 132 $
Moyen (de 200 Mbps à 1 Gbps)	275 $
Grand (plus de 1 Gbps)	1 200 $

Pour l’acquisition d’un service SSE en robustesse sur place, la tarification s’applique de la façon suivante :

Dans le cas d’un service de 1 Gbps avec robustesse sur place (à titre d’exemple), les frais mensuels sont de 550 $ (2 * 275 $), alors que les frais de mise en service sont de 2 830 $ (1 698 $ + 1 132 $).

Pour l’acquisition d’un service SSE en robustesse sur deux sites, la tarification s’applique de la façon suivante :

Dans le cas d’un service de 1 Gbps avec robustesse sur deux sites (à titre d’exemple), les frais mensuels sont de 550 $ (2 * 275 $), alors que les frais de mise en service sont de 3 396 $ (1 698 $ + 1 698 $).

Élément de tarification du Proxy Web avec Authentification Kerberos	Frais de gestion opérationnelle (mensuels)	Frais de service par site
Mise en service du Proxy Web avec Authentification Kerberos^*	37 $	800 $

^*Les coûts sont valides pour les sites principaux et supplémentaires.

Soutien à l’utilisation

Le soutien est assuré par le Centre de services du RGT. Les coordonnées sont les suivantes :

Téléphone : 1 877 528-0715
Courriel : SIGO-CentreDeServiceN1@mcn.gouv.qc.ca 
Demandes et renseignements : peuvent être effectuées par un formulaire au Portail-RGT, par téléphone ou courriel
Réquisitions : peuvent être formulées par le système de formulaires électroniques (SFE) du MCN
Lien du Portail RGT

Heures d’ouverture :

24 heures par jour, 7 jours par semaine.

Pour obtenir ce service ou pour information supplémentaire

Tout organisme public qui désire obtenir ce service et qui n’est pas déjà un client du ministère est invité à contacter le développement des affaires : relation.affaires@mcn.gouv.qc.ca

Les clients qui obtiennent déjà des services en TI du ministère peuvent contacter leur conseiller en relation d'affaires (PDF 199 Ko).

Guides et formulaires

Guide Service d’intégration et de gestion opérationnelle (PDF 1,03 Mo) (Le guide à l'intention de la clientèle documente l’offre des services d’intégration et de gestion opérationnelle (SIGO) dont le service décrit est un des composants.
Modèles de communications à la clientèle (PDF 601 Ko)
Matrice RACI des responsabilités de sécurité de l’information des parties prenantes par service RGT et domaine de sécurité (XLSX 29 Ko)

Services connexes

Dernière mise à jour : 18 février 2026