Sélection de la langue

Gouvernement du Canada / Government of Canada

Rechercher EFPC

Qu'est-ce que le nuage? (DDN1-A02)

Description

Cet article porte sur les principes fondamentaux de l'infonuagique, les différences entre les serveurs infonuagiques et les serveurs de centre de données, et les mesures incitatives à la migration vers le nuage, et fournit des conseils sur le choix d'un fournisseur de services.

Publié : 30 juin 2020 (mise à jour : 25 juin 2026)
Type : Article
Contributeur : Académie du numérique

Qu'est-ce que le nuage?

Dans un contexte technologique, lorsque les gens entendent l'expression « dans le nuage », la plupart pensent aux photos qui se synchronisent entre téléphones ou aux documents sauvegardés sur un lecteur en ligne. Mais pour le gouvernement du Canada (GC), l'infonuagique représente quelque chose de beaucoup plus important : un virage fondamental dans la façon dont les services publics sont conçus, sécurisés, fournis et financés. L'infonuagique représente un volet important d'un gouvernement numérique moderne, mais elle n'est pas toujours la solution par défaut. Elle représente également une transition au plan financier et opérationnel. Au lieu d'acheter et de posséder des systèmes de technologie de l'information (dépenses en immobilisations), les ministères optent de plus en plus pour la location de services informatiques (dépenses de fonctionnement). Par conséquent :

  • les coûts ne sont plus établis à l'avance et fixes, mais continuels et variables;
  • les dépenses doivent faire l'objet d'un suivi continu et non seulement annuel;
  • les ministères réduisent leur dette technique (matériel et logiciels désuets), puisque l'infrastructure est régulièrement mise à jour par les fournisseurs.

L'utilisation de l'infonuagique est très répandue dans de nombreux secteurs. Selon l'Étude sur la sécurité infonuagique au Canada de Telus, plus de la moitié des données organisationnelles au Canada sont déjà stockées dans le nuage.

Pourtant, l'infonuagique comporte aussi des risques. Au cours de la dernière année, 89 % des entreprises canadiennes ont été victimes d'au moins un incident de sécurité infonuagique, l'erreur humaine, les vulnérabilités connues et les erreurs de configuration figurant en tête de liste des causes.

Il nous faut comprendre le fonctionnement de l'infonuagique et connaître nos responsabilités pour être en mesure de protéger les renseignements sensibles. L'article qui suit décrit les répercussions de la sécurité infonuagique pour la fonction publique, fournit les connaissances nécessaires pour gérer en toute confiance les bases de l'infonuagique et d'en comprendre les avantages et les responsabilités.

Qu'est-ce que l'infonuagique?

L'infonuagique est la prestation de services de technologie de l'information (TI) (logiciels, stockage, bases de données, applications) sur Internet. Pour comprendre le concept de l'infonuagique, imaginez que vous êtes locataire au lieu d'être propriétaire.

TI traditionnelles sur place

Traditionnellement, le GC hébergeait ses systèmes sur des serveurs dont il était propriétaire et qu'il exploitait dans ses installations. Il achetait le matériel, entretenait la salle des serveurs et gérait chaque correctif, et son personnel interne se chargeait des mises à niveau. C'est un peu comme si vous étiez propriétaire d'un immeuble, et que vous deviez entretenir le toit, réparer la plomberie, pelleter l'entrée et remplacer les câbles.

Infonuagique

Avec l'infonuagique, le GC n'est pas propriétaire de l'immeuble ou de l'équipement. Il loue plutôt de la puissance informatique, de l'espace de stockage et des logiciels à des fournisseurs de services infonuagiques (FSI) commerciaux comme Amazon Web Services, Microsoft Azure et Google Cloud.
Le fournisseur gère l'infrastructure, mais le GC demeure responsable de la configuration des services, de la façon dont les données sont traitées et des personnes qui y ont accès.

Pourquoi est-il important de connaître l'infonuagique?

L'infonuagique est l'un des nombreux outils que le GC peut utiliser pour offrir des services numériques modernes. La population canadienne s'attend de plus en plus à ce que les services gouvernementaux soient pratiques, fiables, rapides et sécuritaires. Ils s'attendent également à ce que les fonds publics soient gérés de façon responsable.

Pour répondre à ces attentes, il faut choisir les outils et les approches d'hébergement qui conviennent à chaque situation. Dans certains cas, il peut s'agir de l'infonuagique. Dans d'autres cas, il peut être préférable d'utiliser des systèmes sur place, des environnements hybrides ou de faire d'autres choix technologiques.

Même si vous ne configurez jamais de systèmes ou ne travaillez pas directement avec la technologie infonuagique, il est de plus en plus important d'en comprendre le fonctionnement. Nous utilisons déjà des services infonuagiques chaque jour pour nos besoins personnels, que ce soit pour regarder un film, faire des achats en ligne, parcourir les médias sociaux ou effectuer des opérations bancaires. Dans notre vie professionnelle, nous utilisons également des services infonuagiques pour collaborer avec nos collègues, accéder à des outils, stocker et mettre en commun des documents, assister à des réunions virtuelles, gérer des processus de travail et offrir des services numériques.

En ayant une connaissance de base de l'infonuagique, le personnel peut mieux comprendre comment les systèmes modernes sont conçus, mis en place et entretenus. Des services comme le traitement des demandes de passeport, l'assurance-emploi, les déclarations de revenus et l'approbation des prestations de santé reposent sur une combinaison de technologies et de choix d'infrastructure, qui peuvent inclure l'infonuagique, les systèmes sur place ou les environnements hybrides.

Quel que soit le rôle du personnel au sein d'une organisation, les connaissances en infonuagique les aident :

  • à comprendre comment les services numériques sont pris en charge;
  • à reconnaître les responsabilités en matière de sécurité et de protection des renseignements personnels;
  • à prendre des décisions éclairées sur la façon dont les outils sont utilisés;
  • à comprendre quand l'infonuagique peut ou non être une option;
  • à appuyer de meilleures décisions fondées sur les risques.

Comme les services infonuagiques entraînent souvent des coûts permanents liés à leur utilisation, ces connaissances favorisent également une utilisation plus responsable et efficace des ressources publiques.

Figure 1
Figure 1 – Version textuelle

Série de quatre encadrés qui résument les principaux éléments de la sécurité infonuagique. Le premier encadré montre l'icône d'un bouclier et d'un cadenas représentant la sécurité et la confidentialité des données, pour souligner que les ministères demeurent responsables de la protection de l'information dans le nuage. Le deuxième montre une personne et un ordinateur portable qui affiche l'icône d'avertissement; il illustre l'erreur humaine, comme la divulgation excessive, les faibles contrôles d'accès et les outils non approuvés. Le troisième montre une feuille d'érable et l'icône d'une base de données représentant la résidence et la souveraineté des données, qui signifie que certaines tâches doivent demeurer au Canada ou relever de la compétence juridique canadienne. Le quatrième montre des trois personnes derrière l'icône d'un bouclier illustrant la protection de la confiance des citoyennes et des citoyens au moyen de pratiques sécurisées.

Pourquoi et quand utiliser le nuage?

L'infonuagique offre de grands avantages, mais elle n'est pas toujours la meilleure solution. L'objectif n'est pas de tout déplacer dans le nuage, mais de choisir l'environnement qui convient à chaque situation.

Le cas échéant, le nuage permet au GC :

  • d'accéder à une technologie et à des services prêts à l'emploi au lieu de les bâtir à partir de zéro;
  • d'augmenter la rapidité de la mise en œuvre;
  • d'adapter rapidement les services en période de forte demande;
  • d'utiliser des pratiques modernes comme DevOps pour améliorer la rapidité et la qualité;
  • de tirer parti de plateformes normalisées et continuellement mises à jour;
  • de permettre l'optimisation des coûts grâce à une utilisation plus efficace des services de plateforme.

En termes simples, cela signifie que les ministères peuvent se concentrer davantage sur la prestation des services et moins sur la gestion de l'infrastructure.

Cas où; l'infonuagique n'est pas la meilleure solution

Dans certains cas, d'autres options d'hébergement peuvent être plus appropriées pour les raisons suivantes :

  • systèmes comportant des exigences de sécurité ou des contrôles stricts;
  • systèmes anciens difficiles à migrer;
  • situations où; les coûts sont plus prévisibles avec l'infrastructure existante;
  • besoins opérationnels nécessitant un contrôle total des environnements.

Comment le nuage fonctionne-t-il vraiment?

Grands entrepôts utilisés pour les centres de données à côté d'un grand plan d'eau.

Sous la surface, les services infonuagiques sont alimentés par d'immenses centres de données, des installations de la taille d'un entrepôt qui sont remplies de milliers de serveurs. Ces centres de données sont situés partout dans le monde, notamment au Canada.

Lorsque le GC utilise le nuage :

  • les applications sont exécutées sur des serveurs hébergés par des fournisseurs de services infonuagiques tiers;
  • les données sont stockées dans leurs bases de données infonuagiques;
  • les composantes physiques du réseau, des pare-feu et de l'infrastructure sont gérées par le FSI, tandis que le GC se concentre sur les composantes logicielles et virtuelles;
  • les utilisatrices et utilisateurs peuvent accéder aux services à partir de leur navigateur, comme c'est le cas pour la plupart des applications Web.
Example : Le nuage comme entrepôt

Imaginez-vous que l'infonuagique est un entrepôt géré par des spécialistes. Le GC loue des unités de stockage verrouillées (l'équivalent physique des machines virtuelles, des contenants de stockage et des bases de données), mais le personnel doit quand même étiqueter correctement les boîtes, les verrouiller et décider qui peut accéder à quoi. Le fournisseur de l'entrepôt s'assure que l'immeuble est sécuritaire, qu'il est muni d'un système d'alarme, d'un système d'extinction d'incendie, d'un système de climatisation et de gardes. Mais le GC demeure responsable de ce qu'il met à l'intérieur de l'unité. Il s'agit de la base du modèle de responsabilité partagée, que nous examinerons sous peu.

Modèles de déploiement infonuagique : Où; se trouve le nuage?

Les environnements infonuagiques prennent différentes formes en fonction des besoins en matière de sécurité, des coûts et des exigences opérationnelles. Selon les directives de sécurité du GC, les ministères doivent choisir le bon modèle en fonction de la nature délicate de l'information.

  • Le nuage public est un service infonuagique que toute entreprise peut utiliser une fois que sa sécurité a été examinée et approuvée. L'infrastructure physique est entièrement gérée à l'extérieur de l'organisation, et les ressources physiques sont mises en commun en toute sécurité par des entreprises privées, des organismes sans but lucratif et des particuliers.
  • Le nuage privé est conçu pour une seule organisation. Dans ce modèle, le gouvernement du Canada est le seul utilisateur du nuage. Les nuages privés peuvent être hébergés dans les locaux du gouvernement ou hors site, et ils peuvent être gérés par le gouvernement ou un tiers de confiance. Ce modèle donne au gouvernement plus de contrôle sur son infrastructure et ses ressources informatiques.
  • Le nuage communautaire est un environnement infonuagique partagé entre plusieurs organisations ayant des besoins communs en matière de confidentialité, de sécurité ou de réglementation. Il peut être géré par l'une des organisations ou par un tiers et peut être hébergé sur place ou à l'extérieur. Ce type de nuage permet aux entreprises ayant des besoins similaires de partager l'infrastructure et les coûts, bien qu'il soit moins souvent utilisé au gouvernement.
  • Le nuage hybride combine différents types de nuages offrant différents niveaux de sécurité. Ce modèle permet aux organisations de recourir à plusieurs fournisseurs de services et de choisir l'option la plus efficace et la plus sûre selon le besoin opérationnel.

Modèles de services infonuagiques

Le National Institute of Standards and Technology définit trois types de modèles de services infonuagiques : Infrastructure-service (IaaS), plateforme-service (PaaS) et logiciel-service (SaaS).

Il convient de souligner qu'il s'agit de modèles conceptuels utiles; ils ne reflètent pas toujours la façon dont les services sont offerts dans la pratique. De nombreux services infonuagiques combinent des éléments de plusieurs modèles.

Figure 2
Figure 2 – Version textuelle

Tableau des responsabilités partagées indiquant les couches infonuagiques qui sont gérées par un ministère et celles qui sont gérées par le fournisseur de services infonuagiques.

Sur place :
Le ministère gère : l'accès et les autorisations, les paramètres de sécurité, les données, les applications, le système d'exploitation, les serveurs et le matériel, le stockage, la mise en réseau et l'infrastructure physique
Le FSI gère : Aucun élément

IaaS :
Le ministère gère : l'accès et les autorisations, les paramètres de sécurité, les données, les applications, le système d'exploitation
Le FSI gère : les serveurs et le matériel, le stockage, la mise en réseau et l'infrastructure physique

PaaS :
Le ministère gère : l'accès et les autorisations, les paramètres de sécurité, les données, les applications
Le FSI gère : le système d'exploitation, les serveurs et le matériel, le stockage, la mise en réseau et l'infrastructure physique

SaaS :
Le ministère gère : l'accès et les autorisations, les paramètres de sécurité, les données
Le FSI gère : les applications, le système d'exploitation, les serveurs et le matériel, le stockage, la mise en réseau et l'infrastructure physique

Infrastructure-service (IaaS)

L'infrastructure-service fournit des ressources informatiques de base comme la puissance de traitement, le stockage et la mise en réseau. Le FSI gère l'infrastructure physique sous-jacente, comme le centre de données, les serveurs physiques et le matériel. Le ministère gère ce qui s'ajoute à cette infrastructure.

Dans ce modèle :

  • Le FSI gère l'infrastructure physique.
  • Le ministère configure et gère le système d'exploitation, les applications et de nombreux contrôles de sécurité.
  • Le ministère a une plus grande marge de manœuvre, mais aussi plus de responsabilités en ce qui a trait à l'entretien, aux mises à jour et à la configuration.

Exemple : machines virtuelles, équilibreurs de charge, réseaux, adresses de protocole Internet publiques.

C'est un peu comme la location d'un terrain sur lequel se trouve un bâtiment vide. La structure est là, mais le ministère est responsable de la configuration de l'intérieur, de l'installation des systèmes, de l'aménagement des salles, de la sécurisation des accès et de l'entretien de l'utilisation de l'espace.

Plateforme-service (PaaS)

La plateforme-service offre un environnement géré où; les ministères peuvent créer, déployer ou exécuter des applications sans gérer les serveurs, les systèmes d'exploitation, l'infrastructure de stockage ou de mise en réseau sous-jacents. Avec la PaaS, le fournisseur de services infonuagiques gère la base technique. Le ministère s'occupe de l'application, des données, de la configuration, de l'accès, des paramètres de sécurité et de la façon dont le service est utilisé.

  • Le FSI gère l'infrastructure et la plateforme.
  • Le ministère gère l'application, les données, l'accès et la configuration.
  • Le ministère s'occupe moins de l'entretien de l'infrastructure, mais il demeure responsable de la sécurité, de la protection des renseignements personnels, de l'identité, de la gestion des données et de la conception des applications.

Exemple : bases de données gérées, plateformes d'hébergement d'applications, comptes de stockage gérés.

C'est un peu comme la location d'un bâtiment qui a déjà des pièces utilisables, l'électricité, la plomberie et les systèmes de base en place. Le ministère n'a pas besoin de créer ou de maintenir ces caractéristiques, mais il décide quand même de la façon dont l'espace est utilisé, des personnes qui y ont accès, de ce qui y est stocké et de sa configuration.

Logiciel-service

Le logiciel-service fournit des applications prêtes à l'emploi qui sont hébergées et gérées par le fournisseur de services infonuagiques. Avec le logiciel-service, le ministère accède habituellement au service au moyen d'un navigateur Web ou d'une application. Le fournisseur de services infonuagiques gère l'infrastructure, la plateforme et l'application. Le ministère demeure responsable de la configuration et de l'utilisation du service, y compris l'accès des utilisatrices et utilisateurs, la gestion de l'information, la protection des renseignements personnels, les paramètres de sécurité et le traitement des données.

  • Le FSI gère l'infrastructure, la plateforme et l'application.
  • Le ministère gère les utilisatrices et utilisateurs, les autorisations, la configuration et la façon dont l'information est utilisée.
  • Le ministère a moins de maintenance technique, mais il est tout de même responsable de la gouvernance, de la sécurité et de l'utilisation adéquate.

Exemple : Outils pangouvernementaux comme Microsoft 365, Slack, DocuSign, Dropbox et Salesforce.

C'est un peu comme la location d'un bureau meublé ou d'un appartement clef en main. L'espace, le mobilier et les services de base sont déjà fournis, mais le ministère décide quand même qui peut entrer, comment l'espace est utilisé et quelles informations y sont conservées.

Plutôt que de se concentrer uniquement sur le modèle de service, les ministères devraient surtout déterminer qui est responsable de quoi. Chaque modèle modifie la répartition des responsabilités entre le fournisseur de services infonuagiques et le ministère.

Comment le GC choisit-il un fournisseur de services infonuagiques?

Le GC ne choisit pas simplement le fournisseur le plus populaire ou le moins cher. Il commence plutôt par déterminer la solution d'hébergement qui convient le mieux, selon les besoins opérationnels, les exigences de sécurité et la valeur. Compte tenu des exigences strictes en matière de sécurité, de protection des renseignements personnels et de conformité, ce processus n'est pas exécuté uniquement par les programmes de façon individuelle. Les ministères travaillent en étroite collaboration avec leur dirigeant principal de l'information et suivent les stratégies et les cadres pangouvernementaux.

La stratégie : choisir le bon environnement
La Stratégie d'hébergement d'applications 2024 met l'accent sur l'approche du bon environnement adapté à la bonne charge de travail, en s'éloignant d'une approche axée sur l'infonuagique.

À l'aide du Portail des services d'hébergement du GC, les ministères évaluent les applications en fonction des critères suivants :

  • nuage public
  • nuage privé
  • environnements hybrides
  • infrastructure traditionnelle sur place

L'objectif est de s'assurer que chaque solution offre la meilleure valeur générale et le meilleur profil de risque, et non seulement d'opter pour l'infonuagique par défaut.

La sécurité : sécuriser la solution choisie
Une fois que la solution d'hébergement est choisie, l'approche de gestion des risques liés à la sécurité de l'informatique en nuage du GC, gérée par le Centre canadien pour la cybersécurité, permet de s'assurer que la plateforme répond à des exigences strictes avant son utilisation.

L'environnement infonuagique fonctionne selon un modèle de responsabilité partagée : Les fournisseurs de services infonuagiques sont responsables de la sécurité du nuage (par exemple, l'infrastructure physique, la sécurité physique et la sécurité du réseau). Les ministères fédéraux sont responsables de la sécurité dans le nuage (par exemple, les contrôles d'accès, la configuration sécurisée, la vérification et la journalisation, les règles d'accès au réseau, la surveillance, les interventions en cas d'incident, les correctifs et la gestion des vulnérabilités). Même lorsqu'ils utilisent des services infonuagiques, les ministères demeurent responsables de la protection de leurs données et de leur configuration adéquate.

Comment le GC protège-t-il son autonomie?

Même s'il n'est pas réaliste de s'attendre à une autonomie numérique entière dans un environnement connecté à l'échelle mondiale, le gouvernement du Canada applique une gamme de mesures pour atténuer les risques qui affectent sa souveraineté. Ces mesures de contrôle font en sorte que les données et les systèmes canadiens demeurent sous l'autorité du gouvernement fédéral et peuvent fonctionner de façon fiable malgré les dépendances à l'échelle mondiale.

Contrôle de l'approvisionnement : le GC a recours aux lois et aux politiques pour établir les règles sur la façon dont les fournisseurs traitent nos données. Il se sert de contrats uniformisés qui obligent les fournisseurs de services à respecter les lois canadiennes sur la protection des renseignements personnels et la sécurité. Ainsi, l'État (c'est-à-dire le gouvernement fédéral) est toujours celui qui est légalement responsable des données, et non l'entreprise qui fournit le matériel. Le gouvernement travaille à l'élaboration d'un contrat dont le texte est encore plus rigoureux pour se protéger contre l'exclusion de plateformes (lorsqu'un fournisseur met soudainement fin au service) et pour s'assurer que les données demeurent privées, même si la technologie d'intelligence artificielle évolue.

Contrôle de l'offre : l'objectif ici est d'éviter de mettre tous les œufs dans le même panier. Pour éviter de trop dépendre d'un seul fournisseur et assurer la continuité des services, le GC gère sa chaîne d'approvisionnement en diversifiant sa base de fournisseurs et en appliquant des normes uniformes de sécurité et d'intégrité. Le GC approuve chaque fournisseur au moyen d'évaluations de sécurité et favorise l'utilisation de normes ouvertes pour soutenir l'interopérabilité. Le GC s'efforce d'améliorer ses plans de sauvegarde pour qu'en cas de défaillance d'un fournisseur mondial il dispose d'autres solutions pour maintenir ses activités.

Contrôles techniques : il s'agit des serrures numériques qui assurent la sécurité de l'information et le fonctionnement des systèmes. Le GC utilise des systèmes sécurisés, le chiffrement pour protéger les données, qu'elles soient stockées ou envoyées par Internet, et une surveillance continue pour détecter les incidents et y réagir. Afin de réduire davantage le recours à des technologies exclusives, le GC explore les formats neutres indépendants du fournisseur et les environnements contrôlés, et se prépare aux défis à venir, comme l'informatique quantique, en faisant évoluer ses normes de chiffrement pour assurer la sécurité à long terme des données.

Protéger l'autonomie du Canada dans le nuage

Dans un monde où; les systèmes numériques sont interconnectés à l'échelle mondiale, le GC doit s'assurer qu'il peut fonctionner de façon indépendante et sécuritaire. Ce concept plus large est connu sous le nom de souveraineté numérique, la capacité d'exercer une autonomie sur les actifs numériques, peu importe l'endroit où; la technologie est élaborée ou hébergée. Pour un aperçu détaillé, consultez le document Souveraineté numérique : Un cadre pour améliorer l'état de préparation numérique du gouvernement du Canada. Il permet au GC de maintenir la résilience opérationnelle, l'intégrité des systèmes et le contrôle institutionnel sur l'ensemble de son paysage numérique.

Ces considérations s'appliquent à tous les modèles d'hébergement.

Principaux risques et défis associés à la souveraineté

  • L'interdépendance des chaînes de fournisseurs technologiques peut être exploitée par les gouvernements étrangers pour faire pression sur le Canada.
  • Les services technologiques sont souvent fournis par un petit nombre d'entreprises internationales, ce qui crée un risque de concentration; un changement dans le service d'un fournisseur ou un événement géopolitique pourrait interrompre les activités du gouvernement.
  • En raison du recours accru à des fournisseurs externes, il peut être difficile pour le GC de maintenir l'expertise interne nécessaire pour concevoir, gérer et sécuriser ses propres systèmes.

Conclusion

L'évolution de l'hébergement au GC ne consiste pas à tout déplacer vers le nuage, mais plutôt à prendre des décisions éclairées et fondées sur les risques quant à l'endroit et à la façon dont les systèmes devraient fonctionner. L'infonuagique offre de nouvelles possibilités en ce qui concerne la rapidité, l'extensibilité et l'innovation, tout en modifiant la façon dont la technologie est financée, gérée et sécurisée. Elle permet d'accéder à des solutions prêtes à l'emploi et à des pratiques modernes, mais elle doit être utilisée là où; elle offre une valeur évidente.

Dans bien des cas, l'utilisation du nuage pourrait être le meilleur choix. Dans d'autres cas, les solutions sur place ou hybrides pourraient convenir mieux. L'objectif est de choisir l'option qui répond le mieux aux besoins opérationnels, aux exigences de sécurité et à la durabilité à long terme. La compréhension de la façon dont les décisions d'hébergement sont prises, notamment dans quels cas l'hébergement infonuagique est la solution ou ne l'est pas, contribue à garantir que les services numériques demeurent fiables, sécurisés et conformes aux attentes du public.

L'infonuagique est un outil puissant, mais ce sont la prise de décisions éclairées, une gouvernance solide et les pratiques quotidiennes qui, en fin de compte, protègent l'intégrité des systèmes du gouvernement du Canada et préservent la confiance des Canadiennes et des Canadiens.

Ressources

En savoir plus

Restez branchés

Date de modification :