Conformité Protégé B de Google Cloud
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) a développé un cadre pour évaluer la sécurité des services infonuagiques appelé le Programme d'évaluation de la sécurité des technologies de l'information (STI) s'appliquant aux fournisseurs de services infonuagiques (FSI) du gouvernement du Canada. L'objectif principal du Programme d'évaluation de la sécurité des technologies de l'information (STI) est de fournir l'assurance aux ministères et organismes du gouvernement du Canada (GC) que les services infonuagiques répondent aux exigences de sécurité du cloud public du gouvernement du Canada pour l'information et les services jusqu'au niveau Protégé B. Le Programme d'évaluation de la sécurité des technologies de l'information (STI) évalue la posture de sécurité, les contrôles et les pratiques opérationnelles des services infonuagiques spécifiques offerts par les fournisseurs de services infonuagiques (FSI). Il ne certifie pas l'ensemble de l'entreprise, mais évalue plutôt des services particuliers par rapport à des profils de contrôles de sécurité définis du gouvernement du Canada.
Il y a trois composantes à l'évaluation des technologies de l'information (TI) des fournisseurs de services infonuagiques (FSI), qui sont menées par différents groupes au sein du gouvernement du Canada : 1) l'équipe d'intégrité de la chaîne d'approvisionnement (ICA) du Centre pour la cybersécurité évalue les risques liés à la propriété, à la géolocalisation et au produit/service d'une entreprise ; 2) l'évaluation de la sécurité physique et du personnel par Services publics et Approvisionnement Canada - Programme de sécurité des contrats (SPAC PSC) ; et 3) le Centre pour la cybersécurité évalue les services infonuagiques par rapport aux profils de contrôle cloud du gouvernement du Canada : Protégé B Moyen (anciennement appelé PBMM) et la couche supplémentaire pour les actifs de haute valeur Protégé B (PBHVA).
Google Cloud a terminé les trois composantes de l'évaluation FSI, y compris les processus d'évaluation de l'intégrité de la chaîne d'approvisionnement et de la sécurité informatique du Centre pour la cybersécurité, ainsi que les évaluations de sécurité physique et du personnel requises. Les clients du gouvernement fédéral canadien qui acquièrent des services cloud conformément au programme de sécurité des contrats doivent utiliser le package de fonctionnalités Data Boundary pour le Canada (Protégé B).
Introduction
Le gouvernement du Canada (GC) classe les données en fonction de différents niveaux de catégorisation de la sécurité (par exemple, Protégé A, Protégé B, Confidentiel, Secret et Très secret) en fonction du degré de sensibilité des informations et des dommages potentiels qui pourraient survenir si la confidentialité, l'intégrité et/ou la disponibilité des informations étaient compromises. Les services cloud peuvent être utilisés par les ministères et organismes du gouvernement du Canada, mais ceux-ci doivent d'abord identifier et catégoriser les informations pour comprendre les contrôles de sécurité à appliquer.
Qu'est-ce que Protégé B ?
Les informations "Protégées" peuvent être classées comme Protégé A, Protégé B ou Protégé C. Elles s'appliquent aux informations personnelles, aux informations confidentielles commerciales ou à toute autre information ou tout autre élément qui, s'ils étaient compromis, pourraient raisonnablement être considérés comme nuisibles à un intérêt non national. Plus précisément, les informations Protégé B peuvent inclure des informations personnelles sensibles telles que des dossiers médicaux, des rapports d'évaluation des performances, des informations financières détaillées, etc. La divulgation non autorisée de ce type d'informations peut causer des préjudices graves à une personne ou à une organisation, comme de la détresse, des pertes financières ou des dommages à leur réputation.
Le gouvernement du Canada a publié des instruments de politique tels que la Politique sur la sécurité du gouvernement, la Politique, la Directive, et la Ligne directrice sur les services et le numérique, le Manuel de sécurité des contrats, et la Directive sur l'utilisation sécurisée des services infonuagiques commerciaux : Avis de mise en œuvre de la politique de sécurité (AMIPS) qui décrivent les exigences et les contrôles de sécurité physique, du personnel et des TI que les ministères, les organismes et les organisations du secteur privé devraient considérer pour protéger les informations gouvernementales sensibles.
Quelles sont les exigences de contrôle de sécurité liées au cloud pour Protégé B ?
Pour le cloud, les exigences de contrôle de sécurité sont décrites dans l'annexe 3 du Guide de sécurité des technologies de l'information (ITSG-33) – La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie. Le profil de contrôle de sécurité cloud Moyen du Centre pour la cybersécurité est utilisé comme référence pour les exigences de sécurité informatique. De plus, le gouvernement du Canada a développé un profil de contrôle de sécurité cloud pour les actifs de haute valeur Protégé B (PBHVA). Ce profil définit des contrôles d'intégrité et de disponibilité supplémentaires qui peuvent être appliqués en tant qu'amélioration pour prendre en charge les charges de travail Protégé B qui ont été identifiées comme étant des systèmes d'actifs de haute valeur.
Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC)
Le Programme de sécurité des contrats de SPAC vérifie la sécurité des personnes et des installations physiques pour les contrats de services cloud. Cela implique de s'assurer que Google Cloud est enregistré auprès du Programme de sécurité des contrats de SPAC et dispose de l'habilitation de sécurité organisationnelle requise, et de faciliter les habilitations de sécurité des employés qui ont besoin d'accéder à des informations protégées ou à des zones d'opération pour des raisons professionnelles. Le SPAC procède également à des inspections de sécurité physique dans les centres de données canadiens de Google Cloud pour vérifier que les zones d'exploitation sécurisées, la protection adéquate des données, les accès contrôlés et les exigences de sécurité contractuelles sont respectés.
Intégrité de la chaîne d'approvisionnement (ICA) du Centre canadien pour la cybersécurité (CCCS)
L'équipe ICA du Centre pour la cybersécurité évalue les facteurs de risque liés à l'entreprise, tels que la propriété, l'emplacement et les pratiques commerciales, ainsi que les risques techniques du produit ou du service lui-même. L'équipe ICA utilise différentes sources pour générer une cote de risque, qui contribue à la détermination finale de l'évaluation de la sécurité dans le cloud. Pour en savoir plus sur le processus ICA, consultez le document La cybersécurité et la chaîne d’approvisionnement : évaluation des risques - ITSAP.10.070.
Processus d'évaluation de la sécurité des technologies de l'information s'appliquant aux fournisseurs de services infonuagiques du Centre canadien pour la cybersécurité (CCCS)
Le processus d'évaluation de la sécurité des technologies de l'information (STI) s'appliquant aux fournisseurs de services infonuagiques (FSI) (ITSM.50.100) consiste en une évaluation détaillée de la solution cloud par rapport aux contrôles de sécurité, tels que le Profil de sécurité pour le cloud de niveau moyen et/ou le Profil de sécurité pour les actifs de haute valeur Protégé B. Google Cloud est responsable de fournir des preuves attestant le respect de chacun des contrôles de sécurité du profil de contrôle correspondant. Le CCCS établit ensuite un rapport d'évaluation de la sécurité récapitulant ses conclusions.
Google Cloud a été évalué par le PSC de SPAC en ce qui concerne les exigences de sécurité organisationnelle, physique et du personnel. Google Cloud a également terminé les processus d'évaluation de la sécurité des technologies de l'information (STI) et d'intégrité de la chaîne d'approvisionnement (ICA) s'appliquant aux fournisseurs de services infonuagiques (FSI) du Centre canadien pour la cybersécurité (CCCS), et a été approuvé pour supporter à la fois les charges de travail Protégé B Moyen et Actifs de haute valeur Protégé B. Vous pouvez accéder au rapport récapitulatif du CCCS à la demande, sans frais supplémentaires, via le Gestionnaire des rapports de conformité.
L'investissement de Google Cloud dans la sécurité par défaut pour notre infrastructure garantit l'intégration et la préconfiguration de contrôles de sécurité pour permettre aux administrations publiques d'atteindre différents niveaux de conformité sans avoir recours à une infrastructure cloud traditionnelle isolée.
Assured Workloads est une offre de conformité Google Cloud conçue pour aider les clients à respecter divers frameworks réglementaires tels que CJIS, FedRAMP (niveaux Modéré et Élevé), DoD IL2 / IL4 / IL5, Protégé B et bien d'autres.
Les clients du gouvernement fédéral canadien qui souhaitent utiliser les services Google Cloud pour traiter des charges de travail Protégées conformément aux exigences du Programme de sécurité des contrats doivent utiliser le package de fonctionnalités Data Boundary for Canada Protected B. Les services autorisés Protégés B, disponibles via Assured Workloads for Canada Protected B, simplifient la sécurité et la conformité pour les ministères et organismes du gouvernement du Canada en mettant en œuvre des contrôles tels que : des garde-fous pour restreindre l'emplacement des données clients Protégé B au Canada, et un support technique fourni uniquement par du personnel ayant subi une enquête de sécurité et ayant obtenu une cote de fiabilité (ou supérieure). Pour consulter la liste des produits et services compatibles avec Assured Workloads for Canada Protected B, cliquez ici.
Les services Google Cloud suivants ont fait l'objet d'une évaluation de sécurité informatique Protégé B par le Centre canadien pour la cybersécurité :
Protégé B Moyen
Console d'administration (y compris SDK Admin, Directory Sync)
Étiquetage de données AI Platform
AI Platform Neural Architecture Search
AI Platform Training et AI Platform Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise (à noter : séparé de Cloud Console)
Service de transfert de données BigQuery
Care Studio (anciennement Cloud Healthcare Search)
Chronicle (produit de sécurité)
Cloud Console (sans BeyondCorp Enterprise)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (anciennement Google Genomics)
Cloud NAT (traduction d'adresse réseau)
GCP Marketplace (anciennement Cloud Launcher)
Key Access Justification (Access Sovereignty)
Looker Studio (y compris Pro, anciennement Google Data Studio)
Notebooks (anciennement Vertex AI Workbench/AI Platform Notebooks)
Security Command Center - y compris Web Security Scanner (anciennement Cloud Security Scanner)
Service de transfert de stockage
Vertex AI Search (inclut Agentspace)
Vertex Online et la prédiction par lots
Fédération des identités des employés (BYOID)
Actif de haute valeur Protégé B (PBHVA)
Console d'administration (y compris SDK Admin, Directory Sync)
Étiquetage de données AI Platform
AI Platform Neural Architecture Search
AI Platform Training et AI Platform Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise (à noter : séparé de Cloud Console)
Service de transfert de données BigQuery
Care Studio (anciennement Cloud Healthcare Search)
Chronicle (produit de sécurité)
Cloud Console (sans BeyondCorp Enterprise)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (anciennement Google Genomics)
Cloud NAT (traduction d'adresse réseau)
GCP Marketplace (anciennement Cloud Launcher)
Key Access Justification (Access Sovereignty)
Looker Studio (y compris Pro, anciennement Google Data Studio)
Notebooks (anciennement Vertex AI Workbench/AI Platform Notebooks)
Security Command Center - y compris Web Security Scanner (anciennement Cloud Security Scanner)
Service de transfert de stockage
Protégé B Moyen
Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.