Protégé B (Canada)

Conformité Protégé B de Google Cloud

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) a développé un cadre pour évaluer la sécurité des services infonuagiques appelé le Programme d'évaluation de la sécurité des technologies de l'information (STI) s'appliquant aux fournisseurs de services infonuagiques (FSI) du gouvernement du Canada. L'objectif principal du Programme d'évaluation de la sécurité des technologies de l'information (STI) est de fournir l'assurance aux ministères et organismes du gouvernement du Canada (GC) que les services infonuagiques répondent aux exigences de sécurité du cloud public du gouvernement du Canada pour l'information et les services jusqu'au niveau Protégé B. Le Programme d'évaluation de la sécurité des technologies de l'information (STI) évalue la posture de sécurité, les contrôles et les pratiques opérationnelles des services infonuagiques spécifiques offerts par les fournisseurs de services infonuagiques (FSI). Il ne certifie pas l'ensemble de l'entreprise, mais évalue plutôt des services particuliers par rapport à des profils de contrôles de sécurité définis du gouvernement du Canada.

Il y a trois composantes à l'évaluation des technologies de l'information (TI) des fournisseurs de services infonuagiques (FSI), qui sont menées par différents groupes au sein du gouvernement du Canada : 1) l'équipe d'intégrité de la chaîne d'approvisionnement (ICA) du Centre pour la cybersécurité évalue les risques liés à la propriété, à la géolocalisation et au produit/service d'une entreprise ; 2) l'évaluation de la sécurité physique et du personnel par Services publics et Approvisionnement Canada - Programme de sécurité des contrats (SPAC PSC) ; et 3) le Centre pour la cybersécurité évalue les services infonuagiques par rapport aux profils de contrôle cloud du gouvernement du Canada : Protégé B Moyen (anciennement appelé PBMM) et la couche supplémentaire pour les actifs de haute valeur Protégé B (PBHVA).

Google Cloud a terminé les trois composantes de l'évaluation FSI, y compris les processus d'évaluation de l'intégrité de la chaîne d'approvisionnement et de la sécurité informatique du Centre pour la cybersécurité, ainsi que les évaluations de sécurité physique et du personnel requises. Les clients du gouvernement fédéral canadien qui acquièrent des services cloud conformément au programme de sécurité des contrats doivent utiliser le package de fonctionnalités Data Boundary pour le Canada (Protégé B).

Introduction

Le gouvernement du Canada (GC) classe les données en fonction de différents niveaux de catégorisation de la sécurité (par exemple, Protégé A, Protégé B, Confidentiel, Secret et Très secret) en fonction du degré de sensibilité des informations et des dommages potentiels qui pourraient survenir si la confidentialité, l'intégrité et/ou la disponibilité des informations étaient compromises. Les services cloud peuvent être utilisés par les ministères et organismes du gouvernement du Canada, mais ceux-ci doivent d'abord identifier et catégoriser les informations pour comprendre les contrôles de sécurité à appliquer.

Qu'est-ce que Protégé B ?

Les informations "Protégées" peuvent être classées comme Protégé A, Protégé B ou Protégé C. Elles s'appliquent aux informations personnelles, aux informations confidentielles commerciales ou à toute autre information ou tout autre élément qui, s'ils étaient compromis, pourraient raisonnablement être considérés comme nuisibles à un intérêt non national. Plus précisément, les informations Protégé B peuvent inclure des informations personnelles sensibles telles que des dossiers médicaux, des rapports d'évaluation des performances, des informations financières détaillées, etc. La divulgation non autorisée de ce type d'informations peut causer des préjudices graves à une personne ou à une organisation, comme de la détresse, des pertes financières ou des dommages à leur réputation.

Le gouvernement du Canada a publié des instruments de politique tels que la Politique sur la sécurité du gouvernement, la Politique, la Directive, et la Ligne directrice sur les services et le numérique, le Manuel de sécurité des contrats, et la Directive sur l'utilisation sécurisée des services infonuagiques commerciaux : Avis de mise en œuvre de la politique de sécurité (AMIPS) qui décrivent les exigences et les contrôles de sécurité physique, du personnel et des TI que les ministères, les organismes et les organisations du secteur privé devraient considérer pour protéger les informations gouvernementales sensibles.

Quelles sont les exigences de contrôle de sécurité liées au cloud pour Protégé B ?

Pour le cloud, les exigences de contrôle de sécurité sont décrites dans l'annexe 3 du Guide de sécurité des technologies de l'information (ITSG-33) – La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie. Le profil de contrôle de sécurité cloud Moyen du Centre pour la cybersécurité est utilisé comme référence pour les exigences de sécurité informatique. De plus, le gouvernement du Canada a développé un profil de contrôle de sécurité cloud pour les actifs de haute valeur Protégé B (PBHVA). Ce profil définit des contrôles d'intégrité et de disponibilité supplémentaires qui peuvent être appliqués en tant qu'amélioration pour prendre en charge les charges de travail Protégé B qui ont été identifiées comme étant des systèmes d'actifs de haute valeur.

Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC)

Le Programme de sécurité des contrats de SPAC vérifie la sécurité des personnes et des installations physiques pour les contrats de services cloud. Cela implique de s'assurer que Google Cloud est enregistré auprès du Programme de sécurité des contrats de SPAC et dispose de l'habilitation de sécurité organisationnelle requise, et de faciliter les habilitations de sécurité des employés qui ont besoin d'accéder à des informations protégées ou à des zones d'opération pour des raisons professionnelles. Le SPAC procède également à des inspections de sécurité physique dans les centres de données canadiens de Google Cloud pour vérifier que les zones d'exploitation sécurisées, la protection adéquate des données, les accès contrôlés et les exigences de sécurité contractuelles sont respectés.

Intégrité de la chaîne d'approvisionnement (ICA) du Centre canadien pour la cybersécurité (CCCS)

L'équipe ICA du Centre pour la cybersécurité évalue les facteurs de risque liés à l'entreprise, tels que la propriété, l'emplacement et les pratiques commerciales, ainsi que les risques techniques du produit ou du service lui-même. L'équipe ICA utilise différentes sources pour générer une cote de risque, qui contribue à la détermination finale de l'évaluation de la sécurité dans le cloud. Pour en savoir plus sur le processus ICA, consultez le document La cybersécurité et la chaîne d’approvisionnement : évaluation des risques - ITSAP.10.070.

Processus d'évaluation de la sécurité des technologies de l'information s'appliquant aux fournisseurs de services infonuagiques  du Centre canadien pour la cybersécurité (CCCS)

Le processus d'évaluation de la sécurité des technologies de l'information (STI) s'appliquant aux fournisseurs de services infonuagiques (FSI) (ITSM.50.100) consiste en une évaluation détaillée de la solution cloud par rapport aux contrôles de sécurité, tels que le Profil de sécurité pour le cloud de niveau moyen et/ou le Profil de sécurité pour les actifs de haute valeur Protégé B. Google Cloud est responsable de fournir des preuves attestant le respect de chacun des contrôles de sécurité du profil de contrôle correspondant. Le CCCS établit ensuite un rapport d'évaluation de la sécurité récapitulant ses conclusions.

Conformité Protégé B de Google Cloud

Google Cloud a été évalué par le PSC de SPAC en ce qui concerne les exigences de sécurité organisationnelle, physique et du personnel. Google Cloud a également terminé les processus d'évaluation de la sécurité des technologies de l'information (STI) et d'intégrité de la chaîne d'approvisionnement (ICA) s'appliquant aux fournisseurs de services infonuagiques (FSI) du Centre canadien pour la cybersécurité (CCCS), et a été approuvé pour supporter à la fois les charges de travail Protégé B Moyen et Actifs de haute valeur Protégé B. Vous pouvez accéder au rapport récapitulatif du CCCS à la demande, sans frais supplémentaires, via le Gestionnaire des rapports de conformité.

Héberger des charges de travail Protégées B sur Google Cloud

L'investissement de Google Cloud dans la sécurité par défaut pour notre infrastructure garantit l'intégration et la préconfiguration de contrôles de sécurité pour permettre aux administrations publiques d'atteindre différents niveaux de conformité sans avoir recours à une infrastructure cloud traditionnelle isolée.

Assured Workloads est une offre de conformité Google Cloud conçue pour aider les clients à respecter divers frameworks réglementaires tels que CJIS, FedRAMP (niveaux Modéré et Élevé), DoD IL2 / IL4 / IL5, Protégé B et bien d'autres.

Les clients du gouvernement fédéral canadien qui souhaitent utiliser les services Google Cloud pour traiter des charges de travail Protégées conformément aux exigences du Programme de sécurité des contrats doivent utiliser le package de fonctionnalités Data Boundary for Canada Protected B. Les services autorisés Protégés B, disponibles via Assured Workloads for Canada Protected B, simplifient la sécurité et la conformité pour les ministères et organismes du gouvernement du Canada en mettant en œuvre des contrôles tels que : des garde-fous pour restreindre l'emplacement des données clients Protégé B au Canada, et un support technique fourni uniquement par du personnel ayant subi une enquête de sécurité et ayant obtenu une cote de fiabilité (ou supérieure). Pour consulter la liste des produits et services compatibles avec Assured Workloads for Canada Protected B, cliquez ici.

Services couverts

Les services Google Cloud suivants ont fait l'objet d'une évaluation de sécurité informatique Protégé B par le Centre canadien pour la cybersécurité :

Protégé B Moyen

Access Approval

Access Context Manager

Access Transparency

Console d'administration (y compris SDK Admin, Directory Sync)

Étiquetage de données AI Platform

AI Platform Neural Architecture Search

AI Platform Training et AI Platform Prediction

Anthos Config Management (ACM)

Anthos Identity Service (AIS)

Anthos Service Mesh

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise (à noter : séparé de Cloud Console)

BigQuery

Service de transfert de données BigQuery

Autorisation binaire

Care Studio (anciennement Cloud Healthcare Search)

Certificate Authority Service

Chronicle (produit de sécurité)

Chronicle SOAR

Inventaire des éléments cloud

Cloud Bigtable

Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud Console (sans BeyondCorp Enterprise)

Application Cloud Console

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Cloud External Key Manager (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare

API Cloud Healthcare

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences (anciennement Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (traduction d'adresse réseau)

API Cloud Natural Language

Cloud Profiler

Cloud Router

Cloud Run (entièrement géré)

Cloud Run for Anthos

Cloud Scheduler

SDK Cloud

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

Database Migration Service

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase Authentication

Firestore

GCP Marketplace (anciennement Cloud Launcher)

IA générative pour Vertex AI

GKE Hub

Google Cloud Armor

Google Kubernetes Engine

Identity & Access Management

Identity Platform

Insights

Key Access Justification (Access Sovereignty)

Looker Studio (y compris Pro, anciennement Google Data Studio)

Memorystore

Network Connectivity Center

Network Intelligence Center

Niveaux de service réseau

Notebooks (anciennement Vertex AI Workbench/AI Platform Notebooks)

Persistent Disk

Pub/Sub

reCAPTCHA Enterprise

API Resource Manager

Secret Manager

Security Command Center - y compris Web Security Scanner (anciennement Cloud Security Scanner)

Annuaire des services

Service Infrastructure (anciennement Service Control ; inclut les API Service Management et Service Consumer Management)

Speech-to-Text

Service de transfert de stockage

Talent Solutions

Text-to-Speech

Traffic Director

Vertex AI Forecast

Vertex AI Model Registry

Vertex AI Search (inclut Agentspace)

Vertex ML Metadata

Vertex Model Monitoring

Vertex Online et la prédiction par lots

Vertex Pipelines

Vertex Training

API Video Intelligence

Cloud privé virtuel (VPC)

VM Manager

VPC Service Controls

API Web Risk

Workflows

Fédération des identités des employés (BYOID)


Actif de haute valeur Protégé B (PBHVA)

Access Approval

Access Context Manager

Access Transparency

Console d'administration (y compris SDK Admin, Directory Sync)

Étiquetage de données AI Platform

AI Platform Neural Architecture Search

AI Platform Training et AI Platform Prediction

Anthos Config Management (ACM)

Anthos Identity Service (AIS)

Anthos Service Mesh

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise (à noter : séparé de Cloud Console)

BigQuery

Service de transfert de données BigQuery

Autorisation binaire

Care Studio (anciennement Cloud Healthcare Search)

Certificate Authority Service

Chronicle (produit de sécurité)

Chronicle SOAR

Inventaire des éléments cloud

Cloud Bigtable

Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud Console (sans BeyondCorp Enterprise)

Application Cloud Console

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Cloud External Key Manager (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare

API Cloud Healthcare

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences (anciennement Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (traduction d'adresse réseau)

API Cloud Natural Language

Cloud Profiler

Cloud Router

Cloud Run (entièrement géré)

Cloud Run for Anthos

Cloud Scheduler

SDK Cloud

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

Database Migration Service

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase Authentication

Firestore

GCP Marketplace (anciennement Cloud Launcher)

GKE Hub

Google Cloud Armor

Google Kubernetes Engine

Identity & Access Management

Identity Platform

Insights

Key Access Justification (Access Sovereignty)

Looker Studio (y compris Pro, anciennement Google Data Studio)

Memorystore

Network Connectivity Center

Network Intelligence Center

Niveaux de service réseau

Notebooks (anciennement Vertex AI Workbench/AI Platform Notebooks)

Persistent Disk

Pub/Sub

reCAPTCHA Enterprise

API Resource Manager

Secret Manager

Security Command Center - y compris Web Security Scanner (anciennement Cloud Security Scanner)

Annuaire des services

Service Infrastructure (anciennement Service Control ; inclut les API Service Management et Service Consumer Management)

Speech-to-Text

Service de transfert de stockage

Talent Solutions

Text-to-Speech

Traffic Director

Vertex AI Forecast

Vertex AI Model Registry

Vertex ML Metadata

Vertex Model Monitoring

Vertex Online et la prédiction par lots

Vertex Pipelines

Vertex Training

API Video Intelligence

Cloud privé virtuel (VPC)

VM Manager

VPC Service Controls

API Web Risk

Workflows

Fédération des identités des employés (BYOID)

Passez à l'étape suivante

Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.

  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud