L’infonuagique et les organismes publics
Enjeux et retour d’expérience
v1.1
CQSI, 20 octobre 2015
Tactika inc.
clement.gag...
Qui suis-je ?
 Spécialiste en sécurité de l’information
 34 ans d’expérience dans les TI
 Certifications : CISSP, CISA,...
Objet de la conférence
Les opinions exprimées dans ce document n’engagent que moi.
La mention d’un produit, d’un fournisse...
Qu’est qu’un organisme public ?
 Une définition :
 Appuyer le gouvernement dans la conduite des affaires d’État et la
mi...
Caractéristiques d’un OP
 Les organismes publics se caractérisent par
 La bureaucratie
 Forte hiérarchie
 Spécialisati...
Période de contraintes, de ruptures
et de changements pour les OP
6
Adaptation libre de : Gartner Highlights Top 10 Strate...
Qu’est-ce qui peut provoquer un
changement chez un OP ?
 Besoin
 Leadership
 Une orientation politique ou d’affaires ou...
L’infonuagique pour les OP
 La mission d’un OP * n’est pas de maintenir, ni
d’opérer un parc informatique, ni de
développ...
Efficience
Allouer les
ressources
financières de l’OP
sur sa mission
Quels sont les bénéfices de
l’infonuagique pour un OP...
Les autres gouvernements ?
Quelques cas …
 États-Unis
 Stratégie Federal Cloud Computing Strategy (2011)
 Conformité et...
Pendant ce temps au Québec
 Guides sur l’infonuagique AEG publiée le Secréatriat du Conseil du Trésor
 Des orientations ...
Définition de l’infonuagique
12
Accès
réseau
Élasticité
rapide
Mesuré
Sur demande
Libre-service
Ressources partagées
(virt...
Les modèles de déploiement
13
Cloud privé
Organisation
Cloud de
communauté
Organisation
clement.gagnon@tactika.com
Cloud p...
« X » as a Service
Catégories de service Infrastructure Plateforme Application
Software
Software as a Service X
Platform a...
Qu’est-ce qui est différent avec
le cloud ? d’un point de vue technique
15
TI traditionelle
• Statique
• Manuel
• Approvis...
Petite note ...
 Les impacts et les bénéfices de l’infonuagique sont
proportionnels à son degré d’implantation dans
l’org...
Les impacts ne sont pas que de
nature technique !
17
Gouvernance  Identifier les actifs concernés et les aspects de PRP e...
Niveau de responsabilité
d’un OP
18
Privé
Déploiement
Infrastructure cloud
Système d’exploitation
Contrôle réseau
Applicat...
Vues budgétaires et RH
19
Privé
Déploiement
CAPEX / Immobilisation
OPEX / frais de fonctionnement
RH / architectures
RH / ...
Ressources humaines, processus et
la technologie
People, Processes & Technology
20
Ressources humaines
Gestion de la conna...
Retour d’expérience: constats
 Gouvernance
 La maturité de l’organisation détermine la mainmise sur la gouvernance du
cl...
Retour d’expérience: constats
 Gestion des RH
 Formation du personnel est un facteur de succès
 S’assurer que le person...
Enjeux majeurs de gouvernance
 Les lois s’appliquent-elles sur la base de la localisation du
service ?
 Les lois s’appli...
Microsoft vs US
 Des courriels stockés dans un centre de données Microsoft à
Dublin sont exigés par le gouvernement améri...
Partenariat transpacifique (PTP)
 Extrait du site des Affaires étrangères, Commerce et
Développement Canada
 Résumé tech...
Questions ?
Merci de votre attention !
26
Tactika inc.
• clement.gagnon@tactika.com
• www.tactika.com
• @tactika
• http://...
Prochain SlideShare
Chargement dans…5
×

L'infonuagique et les organismes publics

363 vues

Publié le

L’infonuagique, le cloud, est un modèle incontournable de consommation de services TI
Des organisations publiques à travers le globe en profitent pour améliorer leurs services et réduire leurs coûts
Quels sont les impacts ?
Quels sont les risques ?
Quels sont les facteurs de succès ?

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
363
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
1
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

L'infonuagique et les organismes publics

  1. 1. L’infonuagique et les organismes publics Enjeux et retour d’expérience v1.1 CQSI, 20 octobre 2015 Tactika inc. clement.gagnon@tactika.com www.tactika.com @tactika http://ca.linkedin.com/in/tactika
  2. 2. Qui suis-je ?  Spécialiste en sécurité de l’information  34 ans d’expérience dans les TI  Certifications : CISSP, CISA, CCSK, ISO2700x …  Gestion des risques  Architecture de sécurité et réseautique  Infonuagique  Formateur pour la certification CCSK* au Service aux entreprises du Cegep de Limoilou  Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux  Accompagnement pour l’architecture et la sécurité pour un service DBaaS dans un nuage privé à la RAMQ 2* CCSK : Certificate of Cloud Security Knowledge, certification émise par le Cloud Security Alliance
  3. 3. Objet de la conférence Les opinions exprimées dans ce document n’engagent que moi. La mention d’un produit, d’un fournisseur ou d’un fabricant ne doit pas être interprétée comme étant une recommandation ou une promotion.  L’infonuagique est un modèle incontournable de consommation de services TI  Des organisations publiques à travers le globe en profitent pour améliorer leurs services et réduire leurs coûts  Quels sont les impacts ?  Quels sont les risques ?  Quels sont les facteurs de succès ? 3
  4. 4. Qu’est qu’un organisme public ?  Une définition :  Appuyer le gouvernement dans la conduite des affaires d’État et la mise en oeuvre des politiques  Fournir des services à la population  Pour les besoins de cette présentation, le terme « organisme public » ou OP désigne les ministères et les organismes gouvernementaux  Les activités d’affaires des organismes publics couvrent un large spectre d’activités  De la protection du territoire , la délivrance de permis de conduire , la prestation de services de santé, maintenir un système d’éducation, etc ... 4
  5. 5. Caractéristiques d’un OP  Les organismes publics se caractérisent par  La bureaucratie  Forte hiérarchie  Spécialisation des tâches  De multiples règles et processus administratifs  Aversion ou une absence d’appétit pour le risque  L’organisme public est surveillé et doit (habituellement) faire une reddition de compte  L’organisme public n’est pas réputé pour son agilité mais selon sa nature et sa taille, il peut faire preuve de réaction « tactique » rapide 5
  6. 6. Période de contraintes, de ruptures et de changements pour les OP 6 Adaptation libre de : Gartner Highlights Top 10 Strategic Technology Trends for Government 2015 clement.gagnon@tactika.com
  7. 7. Qu’est-ce qui peut provoquer un changement chez un OP ?  Besoin  Leadership  Une orientation politique ou d’affaires ou technologique  Une vision, un plan, des objectifs, des outils  Événement extraordinaire  Choc budgétaire  Besoin soudain et urgent en réaction à un événement  ex. incident majeur de sécurité, désastre naturel  Opportunité « incontournable »  Fin de cycle de vie d’infrastructure ou d’une solution 7
  8. 8. L’infonuagique pour les OP  La mission d’un OP * n’est pas de maintenir, ni d’opérer un parc informatique, ni de développer et maintenir des systèmes TI ou des applications informatiques  L’infonuagique permet de fournir des services TI pour supporter les OP dans leur mission ... évidemment, il faut que ces services existent et qu’ils soient disponibles et sécuritaires ! 8 * À moins que ceci soit explicitement sa mission et raison d’être de l’OP
  9. 9. Efficience Allouer les ressources financières de l’OP sur sa mission Quels sont les bénéfices de l’infonuagique pour un OP? 9 Économie Faible immobilisation Facturation à l’usage Agilité Rapidité et souplesse pour répondre aux besoins $
  10. 10. Les autres gouvernements ? Quelques cas …  États-Unis  Stratégie Federal Cloud Computing Strategy (2011)  Conformité et approbation de solution cloud Federal Risk and Authorization Management Program FedRAMP (2012)  Meilleures pratiques d’acquisition Creating Effective Cloud Computing Contracts for the Federal Government (2012)  Royaume-Uni  UK Government G-Cloud (2012)  Canada / Fédéral  Lettre d'intérêt (LI)/Demande de renseignements (DR) décembre 2014 Informatique en nuage DDR (EN578-151297/B) 10
  11. 11. Pendant ce temps au Québec  Guides sur l’infonuagique AEG publiée le Secréatriat du Conseil du Trésor  Des orientations émises par le Conseil du Trésor * pour encourager le recours à l’infonuagique et la mise en place d’un courtier en infonuagique  Des initiatives prises par certaines OP pour expérimenter l’infonuagique à petite échelle  Ex. Environnement de développement  Des projets particuliers  Ministère des affaires municipales et de l’occupation du territoire a utilisé Amazon AWS pour le traitement des résultats des élections  Implantation d’un nuage privé DBaaS opéré par Oracle à la RAMQ  Etc …  Et sûrement des déploiement du type “shadow IT” 11 * Stratégie gouvernementale en TI, Conseil du Trésor 2015
  12. 12. Définition de l’infonuagique 12 Accès réseau Élasticité rapide Mesuré Sur demande Libre-service Ressources partagées (virtualisation) SaaS Software as a Service PaaS Platform as a Service IaaS Infrastructure as a Service Privé Public Hybride Caractéristiques Service Déploiement clement.gagnon@tactika.com Communautaire
  13. 13. Les modèles de déploiement 13 Cloud privé Organisation Cloud de communauté Organisation clement.gagnon@tactika.com Cloud public Cloud privé Cloud privé Cloud public
  14. 14. « X » as a Service Catégories de service Infrastructure Plateforme Application Software Software as a Service X Platform as a Service X Infrastructure as a Service X Network as a Service X X X Data Storage as a Service X X X Compute as a Service X Communication as a Service X X Database as a Service X X Desktop as a Service X Security as a Service X X X 14 Extrait de ISO/IEC 17788
  15. 15. Qu’est-ce qui est différent avec le cloud ? d’un point de vue technique 15 TI traditionelle • Statique • Manuel • Approvisionnement par le département/service des TI • Infrastructures dédiées Cloud Ops • Dynamique • Automatisé • Approvisionnement en mode libre-service • Services rendus par des fournisseurs (internes ou externes) Mais les changements vont au delà de l’aspect technique
  16. 16. Petite note ...  Les impacts et les bénéfices de l’infonuagique sont proportionnels à son degré d’implantation dans l’organisation  Criticité des services de l’infonuagique  La criticité est la détermination et le hiérarchisation du degré d'importance et de la disponibilité d'un système d'information 16 https://fr.wikipedia.org/wiki/Criticité
  17. 17. Les impacts ne sont pas que de nature technique ! 17 Gouvernance  Identifier les actifs concernés et les aspects de PRP et du cadre législatif qui doit s’appliquer  Gestion du risque  Dégager les ressources pour l’adaptation de l’organisation  Déterminer les niveaux de service acceptables (SLA) Organisationnel • Mettre à niveau les processus • Réorganiser les tâches et responsabilités • Gestion contractuelle • Continuité de service Architecture • Décrire, orchestrer, planifier, documenter Développement et production • Mise à niveau du SDLC (Software Dev Life Cycle) • DevOPS Sécurité de l’information • Adapter et arrimer le Système de Management de la Sécurité de l’Information / SMSI • Chiffrement • Gestion des identités et habilitations • Gestion des incidents
  18. 18. Niveau de responsabilité d’un OP 18 Privé Déploiement Infrastructure cloud Système d’exploitation Contrôle réseau Application Infrastructure de gestion des identités Gestion des identités et habilitations Gestion des données et des droits OP est son propre fournisseur OP OP OP clement.gagnon@tactika.com Fournisseur Fournisseur Fournisseur * * Cas génériques SaaS Software PaaS Platform IaaS Infrastructure Public
  19. 19. Vues budgétaires et RH 19 Privé Déploiement CAPEX / Immobilisation OPEX / frais de fonctionnement RH / architectures RH / gestion réseautique RH / gestion application RH / gestion parcs des serveurs RH / processus RH / gestion contractuelle RH / sécurité clement.gagnon@tactika.com * * Cas générique SaaS Software PaaS Platform IaaS Infrastructure Public
  20. 20. Ressources humaines, processus et la technologie People, Processes & Technology 20 Ressources humaines Gestion de la connaissance Développer la compétence Processus Gestion des opérations : arrimage avec les fournisseurs SMSI Administratif : gestion contractuelle (SLA), planification, suivi budgétaire, règles d’acquisition Technologie Surveillance du SLA (comment) Architecture /Intégration Continuité de service
  21. 21. Retour d’expérience: constats  Gouvernance  La maturité de l’organisation détermine la mainmise sur la gouvernance du cloud  Législation étrangère peut avoir un impact direct sur les services infonuagiques  Différence culturelle entre le monde du cloud et celui des OP  Vitesse d’évolution du marché est plus rapide que celle des OP  Vocabulaire différent, ex : CAPEX et OPEX vs immobilisation et frais de fonctionnement  Gestion du risque et sécurité  La communication du risque doit être compréhensible entre la gestion et le SMSI  Différence de compréhension des exigences de sécurité entre le client et le fournisseur  Dépendance accru envers le réseau Internet  Possibilité de verrouillage (lock-in) envers un fournisseur 21
  22. 22. Retour d’expérience: constats  Gestion des RH  Formation du personnel est un facteur de succès  S’assurer que le personnel concerné a une compréhension du fonctionnement du “mode service” “ ( X as a Service)  Un personnel non formé va résister au changement  Gestion TI  Certaines infrastructures ou solutions TI ne sont plus nécessaires suite à l’implantation du service infonuagique  Agilité ...  Résistance aux changements – Certains éléments internes (si non relocalisés et formés) – Certains fournisseurs de main-d'œuvre technique se sentent menacés  La maturité des processus TI est un facteur de succès 22
  23. 23. Enjeux majeurs de gouvernance  Les lois s’appliquent-elles sur la base de la localisation du service ?  Les lois s’appliquent-elles sur la nationalité du fournisseur peut importe la localisation de ses activités ?  Y a-t-il des traités transnationaux qui mettent en péril la souveraineté des données ? 23
  24. 24. Microsoft vs US  Des courriels stockés dans un centre de données Microsoft à Dublin sont exigés par le gouvernement américain  Titre II de la loi ECPA (« Electronic Communications Privacy Act » de 1986) qui traite des conditions de divulgation des communications électroniques hébergées par les fournisseurs de service américains sur Internet  Microsoft refuse de les remettre en prétextant la localisation des données  10 septembre 2015, la Cour d’Appel du 2ème Circuit a entendu les plaidoiries de Microsoft  Microsoft est disposé a aller jusqu’à la Cour Suprême pour défendre son point de vue  La cause est surveillée étroitement par les acteurs de l’industrie 24
  25. 25. Partenariat transpacifique (PTP)  Extrait du site des Affaires étrangères, Commerce et Développement Canada  Résumé technique des résultats de la négociation: Chapitre portant sur le commerce électronique « De plus, il empêche les gouvernements des pays du PTP d’exiger l’utilisation de serveurs locaux pour le stockage de données. » 25
  26. 26. Questions ? Merci de votre attention ! 26 Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactika

×