Plateforme gouvernementale de gestion des interfaces de programmation d’application (API)

Le ministère de la Cybersécurité et du Numérique (MCN) offre le service de plateforme gouvernementale de gestion des API¹ (PGGAPI). Cette plateforme est une fondation numérique gouvernementale qui vise à soutenir les solutions d'affaires des ministères et organismes publics (MO) en facilitant l’interopérabilité des systèmes.

La PGGAPI assure une gestion d’ensemble des processus de développement et de déploiement des API dans le cadre d’une gouvernance partagée. Elle permet ainsi aux différents producteurs d’API de gérer leurs API de façon autonome.

À travers son guichet unique à l'échelle gouvernementale, la PGGAPI facilite le développement des services numériques des MO en leur permettant d’utiliser les services disponibles au catalogue gouvernemental au moyen d’API (inter-MO).

La PGGAPI offre aussi aux MO la possibilité d’avoir un catalogue privé leur permettant ainsi de gérer en toute autonomie leurs API, et ceci, uniquement à l’interne (intra-MO).

La PGGAPI assure un encadrement et une standardisation des pratiques en matière de conception, de développement, de gestion et d’exploitation des API, y compris le modèle de sécurité approprié.

Un service d’accompagnement des clients est offert afin d’accélérer le partage de connaissances et d’expertise, tout en favorisant l’émergence de la culture « API d’abord » ² à l’échelle gouvernementale.

Ce que le service comprend

Solution d’affaires

• Un guichet unique donnant accès à un catalogue proposant un large éventail d’API gouvernementales publiques et privées ainsi que la documentation afférente;
• Un guichet donnant accès aux API du catalogue privé du MO;
• Un portail permettant la gestion du cycle de vie des API du développement jusqu’au déploiement en toute autonomie et selon les profils d’accès définis;
• Des passerelles d’API, déployées de façon distribuée (infonuagique, CTI, etc.), assurant un échange sécurisé de données selon les règles établies;
• Des outils et des recettes d’automatisation des processus du cycle de vie des API (publication, mise à jour, désuétude, versionnage, etc.);
• Une gestion des accès aux API disponibles au catalogue gouvernemental déléguée en toute autonomie à leur propriétaire;
• Des tableaux de bord et des outils analytiques relatifs aux API (journalisation, performance, consommation, etc.);
• Des normes gouvernementales de sécurité et de conception des API.

Service-conseil et accompagnement

• Un accompagnement technique, en matière de choix technologiques, d’architectures de solutions ainsi que d’implémentation, et l’intégration des deux premières passerelles dans les environnements (production et non-production);
• Un accompagnement de base pour la gestion du changement;
• Un environnement de laboratoire, d’expérimentation et d’exploration (incubateur);
• Une communauté de pratique et d’échanges à l’échelle gouvernementale;
• Un accès à un portail de documentation, à des guides et à un soutien à la formation.

Ce que le service ne comprend pas (à titre indicatif)

• Le développement ou la modification des API pour le client MO;
• L’intégration d’une API aux solutions d’un MO;
• L’installation et la surveillance des passerelles d’API additionnelles.

Options de service et/ou intervention sur demande

• Accompagnement pour l’installation, la mise à jour et/ou la désinstallation de nouvelles passerelles d’API au-delà de l’installation des deux premières passerelles incluses dans le service de base; ($)
• Accompagnement et/ou soutien pour le développement, la modification ou l’intégration des API; ($)
• Accompagnement avancé pour la gestion du changement; ($)
• Formations sur mesure. ($)

Conditions requises

Le MCN autorise l’utilisation de ce service pour la publication des API gouvernementales dont le profil de protection des données exposées est protégé A³ ou protégé B⁴. Pour les données hautement sensibles (protégé C⁵), des modalités spécifiques s’appliqueront.

Le Ministère s’assure de :

• Rendre disponible la PGGAPI aux utilisateurs selon les niveaux de service définis;
• Établir, maintenir et communiquer les bonnes pratiques de conception, de développement et de sécurisation des API à travers le portail de PGGAPI;
• Mettre en place les mécanismes nécessaires pour maintenir la sécurité de la plateforme;
• Effectuer la maintenance corrective et évolutive de la plateforme;
• Évaluer les besoins des clients producteurs d’API et les conseiller;
• Fournir l’accompagnement nécessaire aux clients dès la première prise en charge de leur demande;
• Fournir la documentation de formation nécessaire à l’utilisation du service;
• Assurer le service à la clientèle au moyen des canaux de communication définis;
• Assurer la communication aux clients à propos de tous les changements à mettre en place concernant les passerelles installées dans leur environnement privé, et ce, dans les meilleurs délais.

De son côté, le client doit :

• Désigner son représentant auprès du Ministère;
• Prendre en charge la gestion du changement auprès de ses clients et de son équipe;
• S’engager à utiliser le service pour publier des API conformément aux normes et modalités définies pour le profil des données exposées et communiquer au Ministère le résultat de l’analyse de préjudices effectuée;
• Respecter les règles d’utilisation de la PGGAPI, notamment l’application des règles de sécurité, le respect de la vie privée, la protection des renseignements personnels et la sécurité des API à exposer;
• Aviser le Ministère de tout élément pouvant compromettre la sécurité de la plateforme;
• Mettre en place les plans de continuité des services ou de reprise après sinistre spécifiques à ses API de type gouvernemental, les communiquer au Ministère et les maintenir à jour;
• Collaborer activement avec le Ministère pour résoudre dans les meilleurs délais d’éventuels incidents ou problèmes techniques;
• S’assurer de fournir la documentation nécessaire de chaque API exposée pour les consommateurs;
• S’assurer d’autoriser la consommation de ses API selon les ententes de mobilité de données convenues avec les MO;
• Assurer la disponibilité de ses passerelles selon les niveaux de service définis ainsi que la mise en œuvre de tout changement nécessaire relatif à ses passerelles, et ce, dans les meilleurs délais;
• S’assurer de communiquer au préalable tout changement relatif à une API gouvernementale à tous ses consommateurs, et ce, dans les délais définis pour le service;
• Répondre aux demandes du Ministère en lien avec l’utilisation du service.
• Consulter régulièrement les fiches de services afin d'être au courant de toute mise à jour ou modification aux modalités du présent service, ainsi que de tout autre service qu'il consomme. 

Le client consommateur d’API (interne au gouvernement) doit : 

• Désigner son représentant auprès du Ministère;
• Respecter les règles d’utilisation de la PGGAPI, notamment l’application des règles de sécurité, le respect de la vie privée et la protection des renseignements personnels;
• Respecter les modalités d’utilisation établies par le producteur de chaque API consommée;
• Répondre aux demandes du Ministère en lien avec l’utilisation du service.

À venir

Tout organisme public qui désire obtenir ce service et qui n’est pas déjà un client du Ministère est invité à contacter le développement des affaires :

• Courriel : relation.affaires@mcn.gouv.qc.ca

Les clients qui reçoivent déjà des services en TI du ministère peuvent contacter leur conseiller en relation d’affaires. (PDF 199 Ko)

1. API (angl. Application Programming Interface) : ensemble de définitions et de protocoles permettant à un produit ou à un service numérique de communiquer et d’échanger des données avec d'autres produits et services. 

2. « API d’abord » : approche axée sur la conception et la mise en œuvre des interactions d'un système en premier lieu où l'API est soigneusement planifiée et conçue avant son codage.

3. Protégé A : ce profil s'applique aux renseignements ou aux biens qui pourraient porter préjudice à une personne, à une organisation ou à un gouvernement s'ils étaient compromis.

4. Protégé B : ce profil s'applique aux renseignements ou aux biens qui pourraient porter un préjudice grave à une personne, à une organisation ou à un gouvernement s'ils étaient compromis.

5. Protégé C : ce profil s'applique aux renseignements ou aux biens qui pourraient porter un préjudice extrêmement grave à une personne, à une organisation ou à un gouvernement s'ils étaient compromis.