l'infonuagique et les organismes publics
Post on 23-Jan-2017
1.494 Views
Preview:
TRANSCRIPT
L’infonuagique et les organismes publics Enjeux et retour d’expérience v1.1
CQSI, 20 octobre 2015
Tactika inc.
clement.gagnon@tactika.com
www.tactika.com
@tactika
http://ca.linkedin.com/in/tactika
Qui suis-je ?
Spécialiste en sécurité de l’information
34 ans d’expérience dans les TI
Certifications : CISSP, CISA, CCSK, ISO2700x …
Gestion des risques
Architecture de sécurité et réseautique
Infonuagique Formateur pour la certification CCSK* au Service aux entreprises
du Cegep de Limoilou
Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux
Accompagnement pour l’architecture et la sécurité pour un service DBaaS dans un nuage privé à la RAMQ
2 * CCSK : Certificate of Cloud Security Knowledge, certification émise par le Cloud Security Alliance
Objet de la conférence
Les opinions exprimées dans ce document n’engagent que moi. La mention d’un produit, d’un fournisseur ou d’un fabricant ne doit pas être interprétée comme étant une recommandation ou une promotion.
L’infonuagique est un modèle incontournable de consommation de services TI Des organisations publiques à travers le globe en profitent pour améliorer leurs services et réduire leurs coûts
Quels sont les impacts ? Quels sont les risques ? Quels sont les facteurs de succès ?
3
Qu’est qu’un organisme public ?
Une définition : Appuyer le gouvernement dans la conduite des affaires d’État et la
mise en oeuvre des politiques
Fournir des services à la population
Pour les besoins de cette présentation, le terme « organisme public » ou OP désigne les ministères et les organismes gouvernementaux
Les activités d’affaires des organismes publics couvrent un large spectre d’activités De la protection du territoire , la délivrance de permis de conduire , la
prestation de services de santé, maintenir un système d’éducation, etc ...
4
Caractéristiques d’un OP
Les organismes publics se caractérisent par La bureaucratie
Forte hiérarchie
Spécialisation des tâches
De multiples règles et processus administratifs
Aversion ou une absence d’appétit pour le risque
L’organisme public est surveillé et doit (habituellement) faire une reddition de compte
L’organisme public n’est pas réputé pour son agilité
mais selon sa nature et sa taille, il peut faire preuve de réaction « tactique » rapide
5
Période de contraintes, de ruptures et de changements pour les OP
6 Adaptation libre de : Gartner Highlights Top 10 Strategic Technology Trends for Government 2015
clem
ent.
gagn
on@
tact
ika.
com
Qu’est-ce qui peut provoquer un changement chez un OP ?
Besoin
Leadership Une orientation politique ou d’affaires ou technologique
Une vision, un plan, des objectifs, des outils
Événement extraordinaire Choc budgétaire
Besoin soudain et urgent en réaction à un événement
ex. incident majeur de sécurité, désastre naturel
Opportunité « incontournable »
Fin de cycle de vie d’infrastructure ou d’une solution
7
L’infonuagique pour les OP
La mission d’un OP * n’est pas de maintenir, ni d’opérer un parc informatique, ni de développer et maintenir des systèmes TI ou des applications informatiques
L’infonuagique permet de fournir des services TI pour supporter les OP dans leur mission
... évidemment, il faut que ces services existent et qu’ils soient disponibles et sécuritaires !
8 * À moins que ceci soit explicitement sa mission et raison d’être de l’OP
Efficience Allouer les ressources
financières de l’OP sur sa mission
Quels sont les bénéfices de l’infonuagique pour un OP?
9
Économie Faible
immobilisation Facturation à
l’usage
Agilité Rapidité et
souplesse pour répondre aux
besoins
$
Les autres gouvernements ? Quelques cas …
États-Unis Stratégie Federal Cloud Computing Strategy (2011)
Conformité et approbation de solution cloud Federal Risk and Authorization Management Program FedRAMP (2012)
Meilleures pratiques d’acquisition Creating Effective Cloud Computing Contracts for the Federal Government (2012)
Royaume-Uni UK Government G-Cloud (2012)
Canada / Fédéral Lettre d'intérêt (LI)/Demande de renseignements (DR) décembre 2014
Informatique en nuage DDR (EN578-151297/B)
10
Pendant ce temps au Québec
Guides sur l’infonuagique AEG publiée le Secréatriat du Conseil du Trésor
Des orientations émises par le Conseil du Trésor * pour encourager le recours à l’infonuagique et la mise en place d’un courtier en infonuagique
Des initiatives prises par certaines OP pour expérimenter l’infonuagique à petite échelle
Ex. Environnement de développement
Des projets particuliers
Ministère des affaires municipales et de l’occupation du territoire a utilisé Amazon AWS pour le traitement des résultats des élections
Implantation d’un nuage privé DBaaS opéré par Oracle à la RAMQ
Etc …
Et sûrement des déploiement du type “shadow IT”
11 * Stratégie gouvernementale en TI, Conseil du Trésor 2015
Définition de l’infonuagique
12
Accès réseau
Élasticité rapide
Mesuré Sur demande Libre-service
Ressources partagées (virtualisation)
SaaS
Software as a Service
PaaS
Platform as a Service
IaaS
Infrastructure as a Service
Privé Public Hybride
Caractéristiques
Service
Déploiement
clement.gagnon@tactika.com
Communautaire
Les modèles de déploiement
13
Cloud privé
Organisation
Cloud de
communauté
Organisation
clem
ent.
gagn
on@
tact
ika.
com
Cloud public
Cloud
privé
Cloud privé
Cloud public
« X » as a Service
Catégories de service Infrastructure Plateforme Application Software
Software as a Service X
Platform as a Service X
Infrastructure as a Service X
Network as a Service X X X
Data Storage as a Service X X X
Compute as a Service X
Communication as a Service X X
Database as a Service X X
Desktop as a Service X
Security as a Service X X X
14
Extrait de ISO/IEC 17788
Qu’est-ce qui est différent avec le cloud ? d’un point de vue technique
15
TI traditionelle
• Statique
• Manuel
• Approvisionnement par le département/service des TI
• Infrastructures dédiées
Cloud Ops
• Dynamique
• Automatisé
• Approvisionnement en mode libre-service
• Services rendus par des fournisseurs (internes ou externes)
Mais les changements vont au delà de l’aspect technique
Petite note ...
Les impacts et les bénéfices de l’infonuagique sont proportionnels à son degré d’implantation dans l’organisation
Criticité des services de l’infonuagique
La criticité est la détermination et le hiérarchisation du degré d'importance et de la disponibilité d'un système d'information
16
https://fr.wikipedia.org/wiki/Criticité
Les impacts ne sont pas que de nature technique !
17
Gouvernance Identifier les actifs concernés et les aspects de PRP et du cadre législatif qui doit s’appliquer Gestion du risque Dégager les ressources pour l’adaptation de l’organisation Déterminer les niveaux de service acceptables (SLA)
Organisationnel
• Mettre à niveau les processus • Réorganiser les tâches et responsabilités • Gestion contractuelle • Continuité de service
Architecture • Décrire, orchestrer, planifier, documenter
Développement et production
• Mise à niveau du SDLC (Software Dev Life Cycle) • DevOPS
Sécurité de l’information
• Adapter et arrimer le Système de Management de la Sécurité de l’Information / SMSI • Chiffrement • Gestion des identités et habilitations • Gestion des incidents
Niveau de responsabilité d’un OP
18
Privé
Déploiement
Infrastructure cloud
Système d’exploitation
Contrôle réseau
Application
Infrastructure de gestion des identités
Gestion des identités et habilitations
Gestion des données et des droits
OP est son propre
fournisseur OP
OP OP
clem
ent.
gagn
on@
tact
ika.
com
Fournisseur
Fournisseur Fournisseur
*
* Cas génériques
SaaSSoftware
PaaSPlatform
IaaSInfrastructure
Public
Vues budgétaires et RH
19
Privé
Déploiement
CAPEX / Immobilisation
OPEX / frais de fonctionnement
RH / architectures
RH / gestion réseautique
RH / gestion application
RH / gestion parcs des serveurs
RH / processus
RH / gestion contractuelle
RH / sécurité
clem
ent.
gagn
on@
tact
ika.
com
*
* Cas générique
SaaSSoftware
PaaSPlatform
IaaSInfrastructure
Public
Ressources humaines, processus et la technologie People, Processes & Technology
20
Ressources humaines
Gestion de la connaissance
Développer la compétence
Processus
Gestion des opérations : arrimage avec les fournisseurs
SMSI
Administratif : gestion contractuelle (SLA), planification,
suivi budgétaire, règles d’acquisition
Technologie
Surveillance du SLA (comment)
Architecture /Intégration
Continuité de service
Retour d’expérience: constats
Gouvernance
La maturité de l’organisation détermine la mainmise sur la gouvernance du cloud
Législation étrangère peut avoir un impact direct sur les services infonuagiques
Différence culturelle entre le monde du cloud et celui des OP
Vitesse d’évolution du marché est plus rapide que celle des OP
Vocabulaire différent, ex : CAPEX et OPEX vs immobilisation et frais de fonctionnement
Gestion du risque et sécurité
La communication du risque doit être compréhensible entre la gestion et le SMSI
Différence de compréhension des exigences de sécurité entre le client et le fournisseur
Dépendance accru envers le réseau Internet
Possibilité de verrouillage (lock-in) envers un fournisseur
21
Retour d’expérience: constats
Gestion des RH
Formation du personnel est un facteur de succès
S’assurer que le personnel concerné a une compréhension du fonctionnement du “mode service” “ ( X as a Service)
Un personnel non formé va résister au changement
Gestion TI
Certaines infrastructures ou solutions TI ne sont plus nécessaires suite à l’implantation du service infonuagique
Agilité ...
Résistance aux changements
– Certains éléments internes (si non relocalisés et formés)
– Certains fournisseurs de main-d'œuvre technique se sentent menacés
La maturité des processus TI est un facteur de succès
22
Enjeux majeurs de gouvernance
Les lois s’appliquent-elles sur la base de la localisation du service ?
Les lois s’appliquent-elles sur la nationalité du fournisseur peut importe la localisation de ses activités ?
Y a-t-il des traités transnationaux qui mettent en péril la souveraineté des données ?
23
Microsoft vs US
Des courriels stockés dans un centre de données Microsoft à Dublin sont exigés par le gouvernement américain Titre II de la loi ECPA (« Electronic Communications Privacy Act » de 1986) qui
traite des conditions de divulgation des communications électroniques hébergées par les fournisseurs de service américains sur Internet
Microsoft refuse de les remettre en prétextant la localisation des données
10 septembre 2015, la Cour d’Appel du 2ème Circuit a entendu les plaidoiries de Microsoft
Microsoft est disposé a aller jusqu’à la Cour Suprême pour défendre son point de vue
La cause est surveillée étroitement par les acteurs de l’industrie
24
Partenariat transpacifique (PTP)
Extrait du site des Affaires étrangères, Commerce et Développement Canada
Résumé technique des résultats de la négociation: Chapitre portant sur le commerce électronique
« De plus, il empêche les gouvernements des pays du PTP d’exiger l’utilisation de serveurs locaux pour le stockage de données. »
25
top related