Centre canadien pour la cybersécurité (CCCS) Moyen

  • Article

Vue d’ensemble de CCCS Medium

Le niveau de sécurité B protégé du gouvernement du Canada (GC) pour les renseignements et les biens gouvernementaux sensibles s’applique à l’information ou aux biens qui, s’ils sont compromis, pourraient causer un préjudice grave à un individu, à un organization ou à un gouvernement. En se fondant sur le Guide de sécurité de la technologie de l’information (ITSG) 33 sur la gestion des risques liés à la sécurité des TI publié par le Centre canadien pour la cybersécurité (CCCS), GC a élaboré le Guide sur la catégorisation de la sécurité des services de Cloud-Based (ITSP.50.103) et le Profil de contrôle de sécurité du gouvernement du Canada pour les services cloud du GC (Profil de contrôle de la sécurité du GC), qui identifie les contrôles de sécurité de base applicables au traitement de l’information ayant une catégorie de sécurité de B protégé, d’intégrité moyenne et de disponibilité moyenne (PBMM). Le profil de contrôle de sécurité PBMM d’origine est devenu ce qui est maintenant les recommandations de profil cloud moyen CCCS.

Le profil de contrôle de sécurité du GC a été développé à l’aide de l’ITSG-33 et du Federal Risk and Authorization Management Program (FedRAMP) des États-Unis, qui ont tous deux une base dans les contrôles de sécurité et de confidentialité du National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53. GC a aligné le profil de contrôle de sécurité gc avec FedRAMP pour optimiser l’interopérabilité des services cloud et la réutilisation des preuves d’autorisation produites par les fournisseurs de services cloud (CSP).

Le Secrétariat du Conseil du Trésor du Canada (SCT) est responsable de la gouvernance, de la stratégie et de la politique d’entreprise du GC pour les services cloud, y compris le maintien de la surveillance et la surveillance de la conformité du ministère aux garde-fous du GC, comme le mandat de la Directive sur les services et le numérique. GC a fait évoluer sa stratégie d’adoption du cloud, prônant désormais un principe intelligent dans le cloud dans lequel le cloud est l’option préférée pour les nouvelles applications et rationalisera les portefeuilles d’applications existants pour s’aligner sur le modèle d’hébergement le plus approprié.

Le Centre canadien pour la cybersécurité (CCCS) a établi un processus d’évaluation de la sécurité des fournisseurs de services cloud qui passe en revue la capacité d’un FOURNISSEUR de services cloud à mettre en œuvre les contrôles de sécurité moyenne du CCCS (Remarque : le profil de contrôle moyen du CCCS a remplacé le profil de contrôle de sécurité du gouvernement du Canada d’origine pour les services de gc basés sur le cloud). Le rapport d’évaluation des risques techniques qui en résulte contient les résultats du processus d’examen. Les conseils départementaux sur l’évaluation et l’autorisation de la sécurité dans le cloud (ITSP.50.105) sont également disponibles auprès de CCCS.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Le Centre canadien de cybersécurité effectue des évaluations où les contrôles et les processus de sécurité des fournisseurs de services cloud sont évalués par rapport aux exigences de sécurité du gouvernement du Canada pour l’information et les services jusqu’à B protégé, intégrité moyenne, disponibilité moyenne (PBMM) selon le profil de contrôle de sécurité moyen du CCCS. À ce jour, CCCS a officiellement évalué les services en ligne Microsoft suivantes :

  • Azure
  • Dynamics 365
  • Plateforme Power
  • Microsoft 365

Azure, Dynamics 365, Power Platform et CCCS Medium

Microsoft a été l’un des premiers fournisseurs de services cloud mondiaux à être qualifié pour les services cloud sécurisés du gouvernement du Canada lorsqu’il a conclu un accord-cadre avec le gouvernement fédéral en 2019. L’accord-cadre appuie les ambitions du gouvernement canadien de rationaliser les processus gouvernementaux et constitue une étape clé sur la voie d’un véritable gouvernement numérique. Les services Azure CCCS Medium évalués de Microsoft offrent de nouvelles opportunités d’innovation, de transformation et d’agilité de service dans le secteur public, à mesure que les fonctionnaires accèdent à une gamme de fonctionnalités sophistiquées qui prennent en charge le stockage et le traitement des données B protégées. En outre, les agences gouvernementales bénéficient de l’écosystème florissant de partenaires et de développeurs de Microsoft qui créent des solutions innovantes et sécurisées sur Azure.

Microsoft a établi deux régions cloud Azure canadiennes : Canada Centre à Toronto et Canada Est à Québec comprenant chacune plusieurs sites de centres de données cloud hyperscale. Ces régions ajoutent la résidence des données canadiennes dans le pays pour le stockage des données client au repos, le basculement et la récupération d’urgence pour les applications et les données client pour de nombreux services en ligne principaux. Des investissements supplémentaires dans l’infrastructure des centres de données dans la région Centre du Canada ont également permis d’établir une zone de disponibilité Azure dans la région Centre du Canada afin d’aider les clients à créer des applications encore plus résilientes et hautement disponibles pour les charges de travail stratégiques.

Pour obtenir une liste complète des services cloud évalués par CCCS dans l’étendue dans Azure, Dynamics 365 et Power Platform, consultez les rapports d’évaluation résumés dans la section régionale canada du portail d’approbation de services.

Office 365 et CCCS Medium

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos Office 365 services et abonnements :

l’applicabilité Les Services dans l’étendue
Commerciale Advanced eDiscovery, Customer Lockbox, Defender Endpoint, Defender for Cloud Apps, Defender pour M365, Defender of Identity, Exchange Online (EXO), Loki, Microsoft Information Protection, Microsoft Intune, Planificateur Microsoft, Microsoft Stream, Microsoft Teams, Office Forms, Office pour le web (Word, Excel, OneNote, PowerPoint), Office PODS (PowerPoint Online Document Service), Office Project, Infrastructure des services Office, Office Sway, Service OneNote, Système téléphonique & Appel, Service de contenu de recherche, Sharepoint Online, SharePoint Syntex, Expérience utilisateur de suite, ToDo, Viva Insights, Viva Learning, Viva Topics, Windows 365

Rapports d’évaluation

Les rapports d’évaluation sommaires du CCCS pour les services Microsoft sont disponibles pour les clients dans la section canada régionale du portail d’approbation de services. Les rapports détaillés d’évaluation de la sécurité des services Microsoft sont disponibles pour les clients du gouvernement canadien en contactant le CCCS à l’adresse contact@cyber.gc.ca.

Forum aux questions

Quels services cloud Microsoft sont disponibles pour le gouvernement du Canada par le biais du contrat cloud Services partagés Canada ?

L’un des premiers fournisseurs de cloud mondiaux à se voir attribuer un contrat-cadre sur le cloud par le gouvernement du Canada, Microsoft offre une gamme de services cloud commerciaux, notamment Azure, Dynamics 365, Power Platform et Microsoft 365. Le catalogue cloud broker de Services partagés Canada fournit des détails sur les services cloud Microsoft qui sont actuellement disponibles pour les services du GC : Catalogue de fa fa cloud (canada.ca) .

À quel niveau de conformité FedRAMP les services cloud de Microsoft sont-ils conformes et comment cela s’applique-t-il aux régions cloud canadiennes ?

Microsoft Azure commercial (y compris Dynamics 365) gère une haute autorité provisoire FedRAMP (P-ATO). Microsoft 365 commercial maintient une équivalence FedRAMP High. Les régions Azure en dehors du États-Unis ne sont pas officiellement autorisées par le Conseil d’autorisation conjoint (JAB) FedRAMP et ne sont pas dans l’étendue P-ATO FedRAMP High. Toutefois, les contrôles de sécurité et les processus opérationnels Azure sont cohérents partout où Azure s’exécute. FedRAMP est basé sur les bases de référence de contrôle NIST SP 800-53. Tous les contrôles NIST SP 800-53 qui prennent en charge azure FedRAMP High P-ATO dans le États-Unis sont également opérationnels dans d’autres régions Azure en dehors du États-Unis. Par conséquent, les clients Azure en dehors du États-Unis peuvent compter sur les mêmes détails d’implémentation de contrôle que ceux relatifs à la base de référence de contrôle NIST SP 800-53 High. Pour plus d’informations, consultez Federal Risk and Authorization Management Program (FedRAMP). Les preuves d’audit FedRAMP sont disponibles dans le portail d’approbation de service.

Existe-t-il des restrictions géographiques sur l’emplacement où les données B protégées doivent être stockées ?

Le gouvernement du Canada a élaboré une politique souple de résidence des données (stockage des données au repos) pour le stockage des données B protégées conformément à la section 4.4.3.14 de la Directive sur les services et le numérique. Ce point est précisé à la section 4.4 de la Directive sur les services et le numérique. La résidence des données canadiennes doit être identifiée et évaluée en tant que principale option de livraison pour le stockage des données protégées B dans le cloud, mais le cio du ministère (ou, dans certains cas, le CIO du Canada), dispose de la souplesse nécessaire et est chargé d’approuver les décisions de stocker des données à l’extérieur du Canada en fonction des critères métier suivants définis à la section 4.4.3 Considérations relatives à la mise en œuvre de l’exigence :

  • Réputation
  • Considérations juridiques et contractuelles
  • Accords commerciaux
  • Disponibilité sur le marché
  • Valeur métier
  • Fonctionnalités techniques

Les contrôles et processus de sécurité Microsoft sont implémentés de manière cohérente dans toutes les régions cloud à l’échelle mondiale. Bien que les contrôles au sein du profil CCCS Medium puissent faire référence à la stratégie de résidence des données du GC, l’évaluation de l’emplacement des données au repos n’est pas intégrée à la classification des risques d’un rapport d’évaluation cloud CCCS.

Section 4.4.2 (Pourquoi est-ce important ?) précise également que les données chiffrées en transit ne sont pas limitées par l’exigence de résidence des données.

Les ressources suivantes fournissent des informations sur la résidence des données pour de nombreux produits et services courants :

Que sont les services cloud non régionaux ?

Les services Azure non régionaux sont des services qui n’ont aucune dépendance sur une région Azure spécifique et qui ne permettent actuellement pas aux clients de spécifier une région de déploiement. Ces services ont été conçus et optimisés pour être toujours disponibles dans le cadre du cloud global d’Azure. Azure Active Directory est un exemple de service non régional. Vous trouverez une liste complète dans Produits Azure par région.

Où le traitement des données dans le cloud a-t-il lieu ?

De nombreux services Azure vous permettent de spécifier la région où vos données client seront stockées et traitées. Pour plus d’informations, consultez Data Residency dans Azure. Les services en ligne SaaS telles que Microsoft 365 traitent généralement les données les plus proches de l’endroit où les données sont stockées, mais le traitement des données client peut se produire dans des régions cloud à l’extérieur du Canada. La prestation de services de support peut également impliquer le traitement de données à l’extérieur du Canada.

Ressources

Microsoft a développé plusieurs ressources pour aider les clients à déployer des services cloud adaptés à l’exécution de charges de travail B protégées, notamment :

  • Zone d’atterrissage Azure pour le secteur public du Canada : implémentation de référence spécialement conçue pour guider les ministères dans leurs efforts pour se conformer aux exigences moyennes cccs qui incombent au client.
  • Canada Federal PBMM Azure Blueprint : ensemble de ressources et de modèles Azure reproductibles qui permettent aux organisations de créer de nouveaux environnements cloud conformes à des contrôles CCCS moyens et à des garde-fous cloud GC spécifiques.
  • Évaluations fondamentales de l’impact sur la confidentialité (PIA) : les PIA de base sont destinées à mieux informer les responsables de la protection de la vie privée, les praticiens et les gestionnaires des risques, qui pourraient envisager d’utiliser cette analyse comme le cœur de leur propre travail PIA lors de l’adoption des offres de service basées sur le cloud de Microsoft.
  • Modèle d’évaluation B protégé du Gestionnaire de conformité Microsoft Purview : le Gestionnaire de conformité est une fonctionnalité du portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de conformité fournit un mécanisme intégré permettant d’évaluer et de suivre en permanence l’implémentation de nombreux contrôles clients CCCS Medium dans l’environnement Microsoft 365. Recherchez le modèle B protégé dans la page modèles d’évaluation du Gestionnaire de conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.