L’infonuagique, le cloud, est un modèle incontournable de consommation de services TI
Des organisations publiques à travers le globe en profitent pour améliorer leurs services et réduire leurs coûts
Quels sont les impacts ?
Quels sont les risques ?
Quels sont les facteurs de succès ?
Les risques des médias sociaux pour les organisations
L'infonuagique et les organismes publics
1. L’infonuagique et les organismes publics
Enjeux et retour d’expérience
v1.1
CQSI, 20 octobre 2015
Tactika inc.
clement.gagnon@tactika.com
www.tactika.com
@tactika
http://ca.linkedin.com/in/tactika
2. Qui suis-je ?
Spécialiste en sécurité de l’information
34 ans d’expérience dans les TI
Certifications : CISSP, CISA, CCSK, ISO2700x …
Gestion des risques
Architecture de sécurité et réseautique
Infonuagique
Formateur pour la certification CCSK* au Service aux entreprises
du Cegep de Limoilou
Rédaction de stratégies et de cadres de référence pour des
organismes gouvernementaux
Accompagnement pour l’architecture et la sécurité pour un service
DBaaS dans un nuage privé à la RAMQ
2* CCSK : Certificate of Cloud Security Knowledge, certification émise par le Cloud Security Alliance
3. Objet de la conférence
Les opinions exprimées dans ce document n’engagent que moi.
La mention d’un produit, d’un fournisseur ou d’un fabricant ne doit pas être
interprétée comme étant une recommandation ou une promotion.
L’infonuagique est un modèle incontournable de
consommation de services TI
Des organisations publiques à travers le globe
en profitent pour améliorer leurs services et
réduire leurs coûts
Quels sont les impacts ?
Quels sont les risques ?
Quels sont les facteurs de succès ?
3
4. Qu’est qu’un organisme public ?
Une définition :
Appuyer le gouvernement dans la conduite des affaires d’État et la
mise en oeuvre des politiques
Fournir des services à la population
Pour les besoins de cette présentation, le terme « organisme
public » ou OP désigne les ministères et les organismes
gouvernementaux
Les activités d’affaires des organismes publics couvrent un
large spectre d’activités
De la protection du territoire , la délivrance de permis de conduire , la
prestation de services de santé, maintenir un système d’éducation,
etc ...
4
5. Caractéristiques d’un OP
Les organismes publics se caractérisent par
La bureaucratie
Forte hiérarchie
Spécialisation des tâches
De multiples règles et processus administratifs
Aversion ou une absence d’appétit pour le risque
L’organisme public est surveillé et doit (habituellement) faire
une reddition de compte
L’organisme public n’est pas réputé pour son agilité
mais selon sa nature et sa taille, il peut faire preuve de
réaction « tactique » rapide
5
6. Période de contraintes, de ruptures
et de changements pour les OP
6
Adaptation libre de : Gartner Highlights Top 10 Strategic Technology Trends for Government 2015
clement.gagnon@tactika.com
7. Qu’est-ce qui peut provoquer un
changement chez un OP ?
Besoin
Leadership
Une orientation politique ou d’affaires ou technologique
Une vision, un plan, des objectifs, des outils
Événement extraordinaire
Choc budgétaire
Besoin soudain et urgent en réaction à un événement
ex. incident majeur de sécurité, désastre naturel
Opportunité « incontournable »
Fin de cycle de vie d’infrastructure ou d’une
solution
7
8. L’infonuagique pour les OP
La mission d’un OP * n’est pas de maintenir, ni
d’opérer un parc informatique, ni de
développer et maintenir des systèmes TI ou
des applications informatiques
L’infonuagique permet de fournir des services
TI pour supporter les OP dans leur mission
... évidemment, il faut que ces services existent
et qu’ils soient disponibles et sécuritaires !
8
* À moins que ceci soit explicitement sa mission et raison d’être de l’OP
9. Efficience
Allouer les
ressources
financières de l’OP
sur sa mission
Quels sont les bénéfices de
l’infonuagique pour un OP?
9
Économie
Faible
immobilisation
Facturation à
l’usage
Agilité
Rapidité et
souplesse pour
répondre aux
besoins
$
10. Les autres gouvernements ?
Quelques cas …
États-Unis
Stratégie Federal Cloud Computing Strategy (2011)
Conformité et approbation de solution cloud Federal Risk and
Authorization Management Program FedRAMP (2012)
Meilleures pratiques d’acquisition Creating Effective Cloud Computing
Contracts for the Federal Government (2012)
Royaume-Uni
UK Government G-Cloud (2012)
Canada / Fédéral
Lettre d'intérêt (LI)/Demande de renseignements (DR) décembre 2014
Informatique en nuage DDR (EN578-151297/B)
10
11. Pendant ce temps au Québec
Guides sur l’infonuagique AEG publiée le Secréatriat du Conseil du Trésor
Des orientations émises par le Conseil du Trésor * pour encourager le
recours à l’infonuagique et la mise en place d’un courtier en infonuagique
Des initiatives prises par certaines OP pour expérimenter l’infonuagique à
petite échelle
Ex. Environnement de développement
Des projets particuliers
Ministère des affaires municipales et de l’occupation du territoire a utilisé
Amazon AWS pour le traitement des résultats des élections
Implantation d’un nuage privé DBaaS opéré par Oracle à la RAMQ
Etc …
Et sûrement des déploiement du type “shadow IT”
11
* Stratégie gouvernementale en TI, Conseil du Trésor 2015
12. Définition de l’infonuagique
12
Accès
réseau
Élasticité
rapide
Mesuré
Sur demande
Libre-service
Ressources partagées
(virtualisation)
SaaS
Software as a Service
PaaS
Platform as a Service
IaaS
Infrastructure as a Service
Privé Public Hybride
Caractéristiques
Service
Déploiement
clement.gagnon@tactika.com
Communautaire
13. Les modèles de déploiement
13
Cloud privé
Organisation
Cloud de
communauté
Organisation
clement.gagnon@tactika.com
Cloud public
Cloud
privé
Cloud privé
Cloud public
14. « X » as a Service
Catégories de service Infrastructure Plateforme Application
Software
Software as a Service X
Platform as a Service X
Infrastructure as a Service X
Network as a Service X X X
Data Storage as a Service X X X
Compute as a Service X
Communication as a Service X X
Database as a Service X X
Desktop as a Service X
Security as a Service X X X
14
Extrait de ISO/IEC 17788
15. Qu’est-ce qui est différent avec
le cloud ? d’un point de vue technique
15
TI traditionelle
• Statique
• Manuel
• Approvisionnement par le
département/service des TI
• Infrastructures dédiées
Cloud Ops
• Dynamique
• Automatisé
• Approvisionnement en
mode libre-service
• Services rendus par des
fournisseurs (internes ou
externes)
Mais les changements vont au delà de l’aspect technique
16. Petite note ...
Les impacts et les bénéfices de l’infonuagique sont
proportionnels à son degré d’implantation dans
l’organisation
Criticité des services de l’infonuagique
La criticité est la détermination et le
hiérarchisation du degré d'importance et de la
disponibilité d'un système d'information
16
https://fr.wikipedia.org/wiki/Criticité
17. Les impacts ne sont pas que de
nature technique !
17
Gouvernance Identifier les actifs concernés et les aspects de PRP et du
cadre législatif qui doit s’appliquer
Gestion du risque
Dégager les ressources pour l’adaptation de l’organisation
Déterminer les niveaux de service acceptables (SLA)
Organisationnel • Mettre à niveau les processus
• Réorganiser les tâches et responsabilités
• Gestion contractuelle
• Continuité de service
Architecture • Décrire, orchestrer, planifier, documenter
Développement et
production
• Mise à niveau du SDLC (Software Dev Life Cycle)
• DevOPS
Sécurité de l’information • Adapter et arrimer le Système de Management de la Sécurité
de l’Information / SMSI
• Chiffrement
• Gestion des identités et habilitations
• Gestion des incidents
18. Niveau de responsabilité
d’un OP
18
Privé
Déploiement
Infrastructure cloud
Système d’exploitation
Contrôle réseau
Application
Infrastructure de gestion des
identités
Gestion des identités et
habilitations
Gestion des données et des
droits
OP est son
propre
fournisseur OP
OP OP
clement.gagnon@tactika.com
Fournisseur
Fournisseur
Fournisseur
*
* Cas génériques
SaaS
Software
PaaS
Platform
IaaS
Infrastructure
Public
20. Ressources humaines, processus et
la technologie
People, Processes & Technology
20
Ressources humaines
Gestion de la connaissance
Développer la compétence
Processus
Gestion des opérations : arrimage avec les fournisseurs
SMSI
Administratif : gestion contractuelle (SLA), planification,
suivi budgétaire, règles d’acquisition
Technologie
Surveillance du SLA (comment)
Architecture /Intégration
Continuité de service
21. Retour d’expérience: constats
Gouvernance
La maturité de l’organisation détermine la mainmise sur la gouvernance du
cloud
Législation étrangère peut avoir un impact direct sur les services infonuagiques
Différence culturelle entre le monde du cloud et celui des OP
Vitesse d’évolution du marché est plus rapide que celle des OP
Vocabulaire différent, ex : CAPEX et OPEX vs immobilisation et frais de
fonctionnement
Gestion du risque et sécurité
La communication du risque doit être compréhensible entre la gestion et le SMSI
Différence de compréhension des exigences de sécurité entre le client et le
fournisseur
Dépendance accru envers le réseau Internet
Possibilité de verrouillage (lock-in) envers un fournisseur
21
22. Retour d’expérience: constats
Gestion des RH
Formation du personnel est un facteur de succès
S’assurer que le personnel concerné a une compréhension du fonctionnement du
“mode service” “ ( X as a Service)
Un personnel non formé va résister au changement
Gestion TI
Certaines infrastructures ou solutions TI ne sont plus nécessaires suite à
l’implantation du service infonuagique
Agilité ...
Résistance aux changements
– Certains éléments internes (si non relocalisés et formés)
– Certains fournisseurs de main-d'œuvre technique se sentent menacés
La maturité des processus TI est un facteur de succès
22
23. Enjeux majeurs de gouvernance
Les lois s’appliquent-elles sur la base de la localisation du
service ?
Les lois s’appliquent-elles sur la nationalité du fournisseur
peut importe la localisation de ses activités ?
Y a-t-il des traités transnationaux qui mettent en péril la
souveraineté des données ?
23
24. Microsoft vs US
Des courriels stockés dans un centre de données Microsoft à
Dublin sont exigés par le gouvernement américain
Titre II de la loi ECPA (« Electronic Communications Privacy Act » de 1986) qui
traite des conditions de divulgation des communications électroniques
hébergées par les fournisseurs de service américains sur Internet
Microsoft refuse de les remettre en prétextant la localisation
des données
10 septembre 2015, la Cour d’Appel du 2ème Circuit a
entendu les plaidoiries de Microsoft
Microsoft est disposé a aller jusqu’à la Cour Suprême pour
défendre son point de vue
La cause est surveillée étroitement par les acteurs de
l’industrie
24
25. Partenariat transpacifique (PTP)
Extrait du site des Affaires étrangères, Commerce et
Développement Canada
Résumé technique des résultats de la négociation: Chapitre
portant sur le commerce électronique
« De plus, il empêche les gouvernements des pays du PTP
d’exiger l’utilisation de serveurs locaux pour le stockage de
données. »
25
26. Questions ?
Merci de votre attention !
26
Tactika inc.
• clement.gagnon@tactika.com
• www.tactika.com
• @tactika
• http://ca.linkedin.com/in/tactika