Qu’est-ce qu’un GovCloud ? Questions/Réponses avec Glenn Brunette, architecte principal
Lorsque, chez Salesforce, nous avons déployé notre solution CRM dans le Cloud, nous avons révolutionné la manière dont nos clients entraient en contact avec leurs propres clients, en les dotant de la technologie nécessaire pour proposer leurs services à grande échelle et en toute simplicité. Toutefois, les agences publiques fédérales, étatiques et locales ont souvent éprouvé des difficultés à tirer pleinement parti de ces avancées. En effet, elles devaient faire face aux défis posés par le fait de devoir les implémenter de manière transversale, tout en devant protéger les données des citoyens et de notre nation.
Nous avons tous déjà fait les frais d’une administration qui avait recours à des technologies dépassées, qui ne lui donnaient ni les moyens de répondre aux besoins des citoyens modernes, ni de proposer les expériences attendues d’une institution publique au 21ème siècle. Souvent, de telles infrastructures désuètes alourdissent la charge de travail des agents, frustrent les administrés et viennent entraver les efforts visant à adapter les administrations à notre paysage social, politique et technologique en constante évolution. C’est pourquoi Salesforce propose une solution sécurisée qui répond à ces difficultés tout en respectant les exigences de nombreux cadres de conformité du secteur public : Government Cloud Plus.
Que vous connaissiez ou non Government Cloud Plus, vous vous demandez peut-être en quoi consiste précisément un GovCloud. Je me suis donc entretenue avec Glenn Brunette, vice-président et architecte principal de Government Cloud chez Salesforce, pour qu’il nous explique ce qui rend Salesforce Government Cloud Plus si unique (et si sûr). Découvrons ce qu’il a à dire à ce sujet.
Glenn, commençons donc par la question que nous nous posons tous : Qu’est-ce qu’un GovCloud ?
Sous sa forme la plus basique, un GovCloud est un environnement en ligne dédié à un ou plusieurs clients ou sous-traitants du secteur public. C’est précisément ce que sont les instances Government Cloud Plus de Salesforce, même si, en réalité, le processus pour les implémenter ne se limite pas à procéder à l’intégration des clients GovCloud dans un « espace » dédié. En particulier, nous devons nous conformer à un large éventail d’exigences spécifiques concernant le traitement des données et des charges de travail des administrations publiques. Par conséquent, Salesforce crée des environnements GovCloud dédiés à ses clients du secteur public, optimisés par des fonctionnalités conformes à ces normes.
Puisque Salesforce s’engage déjà à assurer un respect strict des exigences en matière de conformité pour chacun de ses clients, qu’est-ce qui rend un GovCloud unique ?
Il est vrai que notre valeur première est la confiance, et que nous respectons toutes les réglementations en vigueur. Bien que les solutions Government Cloud Plus de Salesforce ne soient pas toutes identiques, elles se distinguent du reste de la suite de produits Customer 360 de par de nombreux aspects qu’elles ont en commun. Elles se différencient en proposant notamment des contrôles de conformité renforcés, des limites d’autorisation restreintes, des fournisseurs de services tiers autorisés, une connectivité client directe, des dispositifs de chiffrement approuvés par les pouvoirs publics et des accès restrictifs aux interfaces d’administration.
Pourriez-vous nous réexpliquer tout cela en termes plus simples ?
Bien sûr ! Pour fournir davantage de sécurité, les environnements GovCloud intègrent un ou plusieurs contrôles de conformité renforcés (généralement connus sous le nom de « référentiels de conformité du secteur public »). Aux États-Unis, les différentes agences gouvernementales s’appuient sur le cadre de gestion des risques du National Institute of Standards and Technology (NIST), qui leur permet d’identifier des exigences de conformité spécifiques regroupées au sein de référentiels.
Il peut notamment s’agir de l’High Impact Baseline du FedRAMP, ou encore de l’Impact Level 4 Baseline du département de la Défense. Pour établir une stratégie de conformité unifiée, Salesforce a créé son propre référentiel de conformité comprenant de nombreux cadres réglementaires.
La limite d’autorisation restreinte s’apparente à une barrière (imaginez-la comme une clôture de sécurité autour de votre maison) entourant tous les composants et services inclus dans l’environnement GovCloud. La clôture délimite ce qui se trouve dans le GovCloud (votre maison, dans ce scénario) et définit comment il interagit avec d’autres systèmes et services situés en dehors de la limite. Dans les faits, les GovClouds ont pour obligation de restreindre les communications entrantes et sortantes, et les modifications qui leur sont apportées doivent faire l’objet d’une évaluation préliminaire et d’une approbation par des fonctionnaires désignés. Cela s’apparente au principe des contrôles de sécurité à la porte d’embarquement d’un aéroport.
Du fait de l’existence de cette limite d’autorisation restreinte, des considérations particulières s’appliquent lorsqu’un GovCloud souhaite avoir recours à un fournisseur de services Cloud tiers ou interagir avec lui, quelles que soient les données partagées dans le cadre de la connexion établie. Ces fournisseurs de services sont tenus de respecter le même ensemble d’autorisations de conformité que le GovCloud (et, dans chaque cas, à des niveaux identiques). Par exemple, nos GovClouds ne sont pas en mesure de mettre en place des intégrations avec d’autres fournisseurs de services Cloud qui ne respectent pas les exigences du référentiel High du FedRAMP.
Ce n’est pas tout : les accès client directs depuis Internet ne sont souvent pas autorisés. Par conséquent, les produits intégrés à un environnement GovCloud doivent être capables d’interagir avec les clients via des connexions réseau dédiées, directement établies entre Salesforce et les entités publiques.
En outre, étant donné que les techniques de cryptographie sont largement employées pour authentifier et protéger les données en transit et au repos, les exigences des pouvoirs publics imposent que seuls des algorithmes, des longueurs de clés, des modes de chiffrement et d’autres éléments similaires approuvés puissent être utilisés par les GovClouds et leurs clients. Plus important encore, l’administration procède également de manière indépendante à la certification de certains dispositifs ou bibliothèques cryptographiques à utiliser.
Chacune de ces couches de sécurité est par ailleurs protégée par un procédé s’apparentant à ce que beaucoup connaissent sous le nom de principe du moindre privilège. Étant donné que les environnements GovCloud stockent, traitent et transmettent des données gouvernementales, Government Cloud Plus impose des restrictions d’accès aux individus capables d’accéder de manière physique ou logique aux systèmes situés à l’intérieur de la limite d’autorisation. La nature des restrictions dépend de l’environnement GovCloud, et l’octroi d’accès aux environnements de données plus sensibles implique la réalisation de contrôles plus poussés au niveau du personnel.
Compte tenu de tous les contrôles y étant appliqués, les GovClouds seront-ils toujours des produits différents des autres ?
Dans l’état actuel des choses, la réponse est « oui ». Certaines des exigences imposées à nos offres Salesforce Government Cloud ne sont tout simplement pas nécessaires ou pertinentes pour le reste de nos solutions, et il n’est parfois pas possible de les y implémenter. Toutefois, nous nous efforçons, dans la mesure du possible, d’intégrer des capacités et des contrôles plus robustes à tous nos référentiels de production.
Cet entretien était certes très riche en informations, mais vous conviendrez avec moi que les GovClouds sont décidément fascinants. Grâce à nos contrôles de sécurité et de conformité, les clients du secteur public peuvent avoir l’assurance que leurs données sont protégées. En parallèle, les technologies Salesforce leur fournissent des outils leur permettant de se concentrer sur leur mission, ainsi que d’optimiser les expériences des administrés dans les agences fédérales, étatiques et locales à travers tout le pays.
Avec Salesforce Government Cloud Plus, nos clients ont accès à des solutions sectorielles de pointe, notamment en matière de CRM, de services, d’applications dédiées au secteur public, de plates-formes et d’analyse. Ainsi, les clients et les sous-traitants du secteur public peuvent mener à bien leur mission et mettre en œuvre une transformation numérique globale. Pour en savoir plus sur les offres Salesforce Government Cloud, contactez un expert en solutions dédiées au secteur public en appelant le 1-844-807-8829.
Glenn Brunette occupe les fonctions de vice-président et d’architecte principal de Government Cloud chez Salesforce. Il est responsable du développement de la stratégie d’architecture, de la mise en œuvre des programmes d’architecture et du renforcement de la cohérence entre les solutions commerciales de Salesforce et sa gamme Gouvernement Cloud. Fort de plus de 30 ans d’expérience dans ce domaine d’activité, Glenn a occupé les fonctions de responsable GRC pour le secteur public chez Salesforce, d’architecte émérite et de responsable de la cybersécurité chez Oracle, ainsi que d’ingénieur émérite et de directeur de la sécurité chez Sun Microsystems. Glenn a déposé avec succès deux brevets dans le domaine de la cybersécurité, a co-publié de nombreux ouvrages et articles, et a obtenu une licence et un master en informatique à l’université Saint-Joseph de Philadelphie.