wiki:cloud:securite

Sécurité/Confidentialité

La sécurité de la solution Gestan Cloud repose sur un ensemble d'éléments complémentaires :

  • la sûreté des infrastructures
  • la maintenance des serveurs
  • la protection des serveurs contre les actions malveillantes de pirates informatiques
  • la sûreté des modes de connexion et des transmissions
  • la fiabilité des personnels techniques ayant à en connaître.

Les serveurs Gestan Cloud sont infogérés par Scaleway, précédemment Online SAS, hébergeur Internet français (le second acteur en France, derrière OVH Cloud), fondé en 1999 et filiale à 94,8 % du groupe Iliad.

Cette entreprise garantit la sûreté de ses installations :

  • protection anti-intrusion,
  • protection anti-incendie,
  • contrôles d'accès des personnels
  • habilitation des personnels au traitement des données confidentielles.

Les serveurs de production de Gestan Cloud sont situés sur le datacenter de Vitry sur Seine, tandis que le serveur de backup est sur le datacenter de St Ouen l'aumône.

Plus d'information sur les datacenters hebergeant Gestan Cloud :

C'est également Scaleway qui garantit la maintenance technique des serveurs physiques, et procède au renouvellement du matériel dès que nécessaire.

Dès que des machines présentent un rapport coût / efficacité intéressant, ICS peut entreprendre la migration d'une machine vers une autre.

Actuellement, le profil standard des serveurs Cloud Gestan est :

Core-4-S-SSD 2 x Intel® Xeon E5 2620v4 128 Go 3 x 500 Go SSD 1Gbit/sec 500 Mbit/sec RPNv2

Chaque serveur héberge environ une centaine de clients.

Le monitoring sécurité des serveurs est assurée la société Netsyst, prestataire spécialisé, basé à Lyon, depuis 2016.

Le savoir-faire de cette société permet d'assurer un niveau élevé de protection vis à vis des attaques malveillantes. Dans cette optique, elle réalise :

  • virtualisation des machines
  • snapshots système à chaque mise à jour logicielle
  • sauvegarde supplémentaire des données
  • monitoring technique (CPU, espace disque, etc)
  • application de la stratégie de sécurité (réglages firewall, réglages proxy, etc)

Tous les serveurs Gestan Cloud sont équipés d'un logiciel de protection brute force.

La protection DDOS est assurée par NetSyst.

Nous avons déjà essuyé plusieurs attaques DDOS, perturbant le trafic pendant une durée limitée, attaques jugulées dans un délai de quelques heures.

Les communications entre votre ordinateur et les serveurs Gestan cloud utilisent le protocole HTTPS, le même que celui utilisé par votre banque, par exemple.

Ce protocole de communication, devenu une norme mondiale, assure le plus haut degré de confidentialité de la communication.

A l'intérieur d'ICS-Informatique, seules les personnels de support technique Cloud peuvent connaître vos identifiants de connexion. Tous ont signé un engagement de confidentialité.

Les identifiants que nous vous communiquons sont générés aléatoirement, afin d'offrir un niveau correct de résistance aux attaques.

Tous les accès aux serveurs sont enregistrés et peuvent être vérifiés.

Nos serveurs intègrent une protection contre les attaques brute force.

L'incendie survenu dans les datacenters d'OVH (mars 2021) démontre que si la fréquence des incidents majeurs est rare, elle n'est cependant pas nulle.

L'ensemble des serveurs Gestan Cloud sont virtualisées sous VMWare, ce qui permet d'envisager une remise en route rapide.

Dans le cas d'un incident de type OVH sur le datacenter de production, hors cas de destruction des autres sites Scaleway, et hors cas d'autre incident majeur concomitant impactant la disponibilité de Netsyst, la reprise d'activité suivra ces étapes :

  • ouverture d'un nouveau serveur dans un autre site Scaleway : environ 15 minutes, 
  • remontage de la machine virtuelle : environ 15 minutes
  • remontage des données : environ 10 minutes par client, soit 17 heures pour 100 clients, norme habituel de charge par serveur.

A noter que les données sont en permanence à disposition des clients, pour tout backup local éventuel, via un programme de compression intégré à Gestan, qui génère une archive ZIP, d'usage immédiat en local.

La solution Gestan Cloud est 100% française : le programme est développé par ICS-Informatique, SARL de droit français, et les serveurs sont infogérés par Scaleway, SAS de droit français également, dans des datacenters situés sur le territoire métropolitain.

Les entreprises Françaises sont soumises à des obligations légales souvent méconnues, dont les suivantes :

  • le dépôt des documents comptables à l'extérieur de l'union européenne est interdit
  • le stockage de vos factures électroniques à l'extérieur du territoire national fait l'objet d'une déclaration obligatoire à l’administration fiscale
  • le traitement des données personnelles doit être conforme avec la législation française, spécialement la loi "Informatique et Libertés" n°78-17 du 6 janvier 1978 ainsi qu'au RGPD.

France : Les "boites noires" de la loi renseignement

Une disposition de la loi renseignement de 2015, au prétexte de lutter contre le terrorisme, permet à l'Etat d'installer des “boites noires” sur les structures des hébergeurs, exploitées par la DGSI et par la DGSE.

Le fonctionnement de ces “boites noires” n'est pas connu actuellement :si l'Etat espionne légalement les transmissions par Internet, on ne sait pas quelles sont les données transmises à la DGSI et la DGSE, et encore moins la manière dont elles sont exploitées.

USA : Le Patriot Act

Il faut signaler que les fournisseurs de service situés sur les territoire des États-Unis ne peuvent garantir de confidentialité à vos données.

En effet, depuis l’instauration en 2001 du Patriot Act, la législation américaine permet à ses services de sécurité d’accéder à toutes les données à caractère personnel.

Cela concerne les données :

  • des sociétés américaines, même si les données sont stockées physiquement sur le territoire européen
  • de leurs filiales, même si elles sont implantées dans un autre pays du monde
  • des serveurs qui sont hébergés aux Etats-Unis, y compris si la société qui possède les serveurs est d’une autre nationalité

Cette intrusion dans vos données n’a pas besoin d’être effectuée sous le contrôle d’un juge, ni même d’être rendue publique : vos informations peuvent être lues, dupliquées, conservées et divulguées à des tiers sans que vous en soyez informé.


Autres articles “Cloud”

  • wiki/cloud/securite.txt
  • Dernière modification : 2023/05/12 14:50
  • de mbouchier