Qu'est-ce qu'un logiciel-service?
Le logiciel-service, ou modèle SaaS (Software as a Service), est un modèle de distribution de logiciels selon lequel des applications sont achetées ou hébergées par un fournisseur de services infonuagiques, puis mises à la disposition des clients et des clientes, qui peuvent les utiliser sur InternetNote1. Les services de messagerie comme Gmail et les applications collaboratives telles que Miro ou Airtable en sont quelques exemples. Microsoft 365 est également un exemple de logiciel-service, mis en œuvre dans l'ensemble du gouvernement du Canada. Si un logiciel se trouve sur le Web, permet de stocker des données et nécessite la création d'un compte, même gratuit, il s'agit probablement d'un logiciel-service.
Pourquoi parler de logiciel-service?
Les fonctionnaires veulent faire preuve d'agilité dans le contexte technologique, qui évolue rapidement, mais il faut également éviter de faire des erreurs. Il est important de connaître les limites et le protocole d'un logiciel-service avant d'en faire son acquisition. Or, comme le logiciel-service représente un abonnement à une solution souvent prête à l'emploi dès l'obtention d'un identifiant et d'un mot de passe, on oublie parfois que son utilisation nécessite une autorisation et des approbations. Toutes les politiques gouvernementales en matière d'informatique s'appliquent au logiciel-service.
Quels risques court-on à ne pas suivre le protocole?
Avant d'adopter un logiciel-service, vous devriez en informer des collègues clés dans le domaine des technologies de l'information et solliciter leur participation, sans quoi vous risquez de vous buter à certains problèmes, dont :
- une évaluation et une mise en œuvre inefficaces;
- des coûts supplémentaires;
- d'éventuels problèmes de continuité des activités et de sécurité des données.
Prévisions financières : le paiement des coûts d'abonnement au nuage nécessite un financement opérationnel provenant des services votés d'un ministère
Les ministères ne doivent recourir aux fonds discrétionnaires limités dans le temps que pour la mise en œuvre et l'amélioration du nuage, et non pour payer les coûts d'abonnement. Les coûts d'abonnement au nuage se poursuivent jusqu'à ce qu'un programme ou un service soit prêt à migrer vers une nouvelle technologie. Le recours aux fonds discrétionnaires pour payer un abonnement au nuage peut entraîner un risque de perturbation de la continuité des activités.
Prévision des contrats : les contrats avec les fournisseurs de services en nuage doivent refléter l'ensemble du cycle de vie des services requis
La création de contrats d'une durée et d'une valeur insuffisantes pour soutenir une relation à long terme avec le fournisseur de services en nuage peut entraîner un risque de perturbation de la continuité des activités
Sécurité : les données ou le compte stockés par le logiciel-service pourraient être compromis
Qu'advient-il s'il se produit une atteinte à la protection des données dont l'organisation pourrait ne jamais prendre connaissance? Ou si quelqu'un utilise des données tirées d'un logiciel-service qui ne font pas l'objet d'un suivi à des fins autres que celles prévues? Vous devez régler les questions suivantes avant de faire l'acquisition d'un logiciel-service.
- Quel niveau de protection vos données nécessitent-elles? Le logiciel-service servira-t-il à traiter des renseignements personnels? Si oui, il vous faudra un énoncé de sensibilité.
- Qui accède aux données, qui les communique et qu'est-ce qui se passe en cas d'atteinte à leur protection?
- Des intervenants ou des membres du personnel malveillants pourraient-ils voler les données du gouvernement? Le gouvernement sera-t-il en mesure de consulter les registres de vérification en cas de menace interne?
- Comment veillerez-vous à ce que les fichiers infectés ne soient pas réintroduits dans votre organisation?
Les dirigeants principaux et les dirigeantes principales de l'information des ministères appliquent le modèle d'assurance hiérarchisée des services infonuagiques du gouvernement du Canada (en anglais seulement) dans le processus d'approbation afin d'assurer la conformité en matière de sécurité.
Données : il incombe à l'ensemble des fonctionnaires d'administrer les données de façon adéquate
Confidentialité. Un processus d'approbation et d'évaluation s'impose chaque fois que des données du gouvernement se retrouvent dans un service en ligne, particulièrement lorsqu'il s'agit de données protégées. Votre ministère peut avoir des critères d'approbation propres aux différents types de logiciels-services. Par exemple, l'approbation peut être plus rapide pour les abonnements en lecture seule que pour les demandes de services de stockage de données du gouvernement. Découvrez ce qui peut se produire lorsque survient une atteinte à la protection des données : L'utilisation par la GRC de la technologie de reconnaissance faciale de Clearview AI contrevenait à la Loi sur la protection des renseignements personnels, selon une enquête.
Accessibilité des données. Les données organisationnelles doivent être accessibles pour appuyer la recherche, l'analyse et les demandes relatives à l'accès à l'information et à la protection des renseignements personnels (AIPRP). Voici quelques questions précises à régler.
- Comment allez-vous prévenir « l'étalement des données », et ainsi vous assurer que vos données sont intégrées à d'autres systèmes et accessibles à l'échelle du gouvernement du Canada?
- Étant donné que chaque logiciel-service s'accompagne de comptes et d'informations d'identification distincts, comment allez-vous gérer l'accès aux données? Que se passe-t-il lorsque le ou la titulaire du compte lié au logiciel-service quitte l'organisation, privant celle-ci de l'accès aux données?
- Les politiques de conservation, de suppression, d'archivage, de sauvegarde et d'AIPRP en matière de données sont-elles respectées?
- Quelle est votre stratégie pour annuler votre abonnement au logiciel-service? Qu'arrive-t-il aux données si vous arrêtez de payer l'abonnement ou si l'entreprise qui fournit le service cesse d'exister?
Aspects juridiques : les mises à jour du logiciel-service peuvent contrevenir de manière inattendue aux politiques du gouvernement
Les modifications apportées au logiciel-service sont parfois effectuées à l'insu des utilisateurs et utilisatrices. Par exemple, un fournisseur de logiciel-service peut passer d'un fournisseur de services infonuagiques à un autre ou d'un emplacement géographique à un autre sans consulter les utilisateurs et utilisatrices. Une telle stratégie peut s'avérer pratique, mais aussi problématique. Chaque personne doit faire preuve de vigilance pour veiller à ce que les mises à jour du logiciel-service ne contreviennent pas aux politiques du gouvernement en ce qui concerne la vie privée et les questions juridiques, la facilité d'utilisation et l'accessibilité, et l'emplacement des données, entre autres.
Pertinence : le logiciel-service doit être favorable sur le plan opérationnel
Voici quelques scénarios possibles qui diminueraient l'intérêt qu'il y a à investir dans un logiciel-service.
Un service similaire existe déjà, créant un dédoublement. Le gouvernement offre-t-il déjà ce dont votre équipe a besoin? Comment pouvez-vous coordonner le logiciel-service approuvé pour réaliser des économies d'échelle?
Vous avez constaté, après avoir payé votre abonnement à un logiciel-service, qu'il s'accompagnait d'exigences techniques précises. L'abonnement au logiciel-service peut être plus complexe que vous ne le pensez. Par exemple, le logiciel-service doit peut-être être intégré aux services d'entreprise du gouvernement pour permettre l'accès aux données d'identification, la surveillance de la sécurité et la sauvegarde des données, notamment. Si vous aviez informé l'équipe d'architecture intégrée de votre ministère de vos projets, elle aurait peut-être pu repérer ces problèmes pour vous.
La dernière version du logiciel-service ne répond plus à vos attentes en matière de capacités, d'efficacité ou de coûts. Ne plus avoir la maîtrise des coûts liés au logiciel-service constitue un risque considérable.
Comment obtenir une approbation en vue d'acquérir un logiciel-service
Discutez avec le dirigeant principal ou la dirigeante principale de l'information (DPI) du processus établi par votre organisation à cet égard pour être en mesure, en tant que gestionnaire, de répondre aux demandes de votre équipe au sujet du logiciel-service. L'obtention des approbations nécessaires peut prendre un certain temps, probablement des semaines. De nombreux processus d'approbation nécessiteront l'intervention de l'équipe de cybersécurité de votre DPI, de Services partagés Canada, de Services publics et Approvisionnement Canada et du Centre de la sécurité des télécommunications. Cette liste vous semblera sans doute longue, peut-être même intimidante, mais ne vous en inquiétez pas, car votre équipe de technologie de l'information se chargera de ce processus pour vous.
Bien qu'elles soient utiles, les caractéristiques suivantes ne suffisent pas à éliminer tous les risques :
- le logiciel-service est hébergé dans le nuage d'un fournisseur approuvé par le gouvernement;
- les données sont hébergées au Canada;
- le logiciel-service jouit d'une certification de sécurité d'un tiers;
- une autre organisation du gouvernement s'en sert.
Un processus d'approbation complet et souple permet de veiller à ce que le fournisseur satisfasse à toutes les exigences en matière de TI du gouvernement en ce qui concerne les aspects techniques, la sécurité, l'acquisition et l'information.
Conseil : si vous cherchez à faire l'acquisition d'un logiciel-service, le site Services infonuagiques GC constitue un bon point de départ.
Une dernière chose
Selon la section B.1.1.4 de l'annexe B de la Directive sur la gestion de l'approvisionnement du Secrétariat du Conseil du Trésor du Canada, Services publics et Approvisionnement Canada, Services partagés Canada et les équipes d'approvisionnement ministérielles peuvent accepter les modalités commerciales standards lorsqu'il s'agit d'acquérir des biens et services à faible risque et de faible valeur, dont les abonnements, les logiciels, les applications mobiles, les services infonuagiques et les logiciels libres. Cela devrait faciliter l'acquisition de logiciels-services. Collaborez avec le ou la DPI et l'équipe d'approvisionnement de votre organisation pour veiller à ce que tous et toutes respectent les plus récentes politiques et directives lors de l'acquisition d'un logiciel-service. Vous avez besoin d'un coup de pouce? Lisez l'article de blogue Comment une nouvelle directive simplifie l'obtention de logiciels pour le gouvernement du Canada pour vous inspirer.
Produits connexes