L'intégration de la sécurité dans le cycle de vie du développement de systèmes (« System Development Life Cycle » ou  « SDLC ») constitue un principe fondamental de sécurité, mais ce dernier n'est pas toujours respecté. Toutefois, lorsqu'il est appliqué, les résultats sont évidents : la sécurité du système est accrue. Chez CGI, l'application du principe « sécurité d'abord » nous a permis de devenir le premier fournisseur de services en nuage certifié à offrir des services en nuage sécuritaires, en vertu de l'accord d'achat général pour l'infrastructure service (IaaS) de la General Services Administration (« GSA ») des États-Unis. Notre approche nous permet également de nous conformer plus facilement aux nouvelles exigences du Federal Risk and Authorization Management Program (« FedRAMP »).

Au cours du processus d'obtention d'autorisation d'exploiter, nous avons tiré une importante leçon : la sécurité de l'information et la protection de la confidentialité doivent faire partie de chaque étape du SDLC, et ce, dès le début. Ce principe s'oppose aux autres approches qui consistent à rectifier les vulnérabilités et les lacunes après coup, au fur et à mesure qu'elles surviennent, entraînant ainsi des retards, des coûts plus élevés et un rendement tardif du capital investi.

Dès le départ, CGI s'est engagée à suivre les directives du National Institute Of Standards And Technology (« NIST ») ainsi que les politiques et les procédures de la GSA, précisément afin de répondre aux exigences fédérales pour notre offre IaaS en nuage fédéral*. La sécurité s'avère un élément fondamental, avec la technologie, les processus et les ressources. Elle fait partie intégrante de toutes nos activités et nous permet d'orienter le choix de la technologie, l'élaboration des processus de services ITIL® et la formation, afin que tous comprennent l'importance de leur rôle respectif.

La GSA et la dernière note de service sur la politique FedRAMP* (PDF) soulignent l'importance de la transparence dans la mise en œuvre de la sécurité d'un fournisseur de services en nuage certifié. Puisque tous les aspects de notre nuage appartiennent à CGI, il nous a été beaucoup plus facile d'intégrer la sécurité et la confidentialité au sein de nos activités, et de fournir le niveau de transparence en matière de sécurité qu'exigent nos clients gouvernementaux. Nous offrons également des tableaux de bord et une production de rapports exhaustifs afin d'assurer la transparence du rendement, de l'utilisation et de la facturation, de même qu'une gestion automatisée des services pour doter les organismes de mécanismes de contrôle essentiels.

Visant à donner rapidement l'exemple avant l'entrée en vigueur du FedRAMP, la GSA a appliqué avec CGI le même processus d'autorisation d'exploiter que celui imposé à ses propres systèmes. Le processus d'évaluation détermine la capacité d'un fournisseur de services en nuage certifié à intégrer les contrôles de sécurité NIST 800-53 et à assurer une surveillance continue. Le processus devait s'avérer suffisamment exhaustif pour que les organismes puissent conclure que le nuage fédéral de CGI ne comporte pas plus de risques que leurs propres centres de traitement des données. Les évaluateurs ont révisé nos documents, rencontré nos membres responsables du nuage et effectué des essais de pénétration et de vulnérabilité rigoureux, une partie beaucoup plus importante du processus d'agrément actuel.

Résultat : le premier octroi en vertu de l'accord d'achat général, et une base solide en matière de sécurité pour répondre aux nouvelles exigences du FedRAMP.

*en anglais

ITIL® est une marque déposée du Cabinet Office