Protection des données, vers de nouvelles certifications

001

Avec une croissance exponentielle, les données sont devenues une ressource au cœur des enjeux stratégiques, juridiques, et sécuritaires. Leur quantité est telle qu’une nouvelle unité a été introduite pour les mesurer : les zetta-octets, milliers de milliards de méga-octets. Selon une étude* publiée par IDC, elles seront multipliées par 10 entre 2013 et 2020 pour atteindre la somme astronomique de 44 zetta-octets.

« Les données sont le pétrole de demain »

« Les données sont le pétrole de demain, c’est l’enjeu de l’économie numérique du futur. » C’est par ces mots que s’est ouvert le forum international de la sécurité (FIC), mettant alors directement au centre des événements de ce salon ces données qui aujourd’hui valent des milliards d’euros et dont la valeur ne fait qu’augmenter, notamment du fait de l’Internet des Objets (IoT) et du Big Data.

L’édition 2016 du FIC s’est tenue les 25 et 26 janvier derniers à Lille. Le thème, « Data Security and Privacy », montre que ce salon est aujourd’hui centré sur les problématiques de la sécurité de l’information et des données. « Le FIC, qui à l’origine était un salon vraiment destiné aux services de gendarmerie et de police, s’ouvre de plus en plus au grand public », explique Romain Beeckman, responsable juridique d’OVH. « Les thématiques sont beaucoup plus larges, la notion de sécurité de l’information est au cœur des débats, avec notamment un accent mis sur la protection des données.

OVH

En effet, il suffit de circuler dans les allées du salon pour s’apercevoir que les sujets liés à la sécurité informatique commencent à prendre le dessus sur ceux de l’analyse policière. On retrouve toujours les ministères de l’Intérieur et de la Défense parmi les partenaires, mais aussi de plus de plus de sociétés spécialisées dans les systèmes de sécurité des entreprises, dans la protection et la gestion des données, ou encore dans les infrastructures réseau.

C’est à ce titre qu’OVH était présent au forum, et ce pour la quatrième année. « Nous y sommes en tant qu’acteur international des technologies du Numérique, et parce que ce sont des thématiques sur lesquelles nous avons un rôle majeur à jouer », ajoute Romain.
La sécurité est naturellement l’une des priorités d’OVH. Qu’il s’agisse des infrastructures, du réseau ou de la politique de sécurité du système d’information (PSSI), tout est fait pour satisfaire une exigence à son plus haut niveau.

Des certifications en constante évolution

OVH s’est engagé dans une stratégie globale de certifications et d’attestations afin de faire reconnaître la conformité de ses infrastructures et de ses services avec les bonnes pratiques et standards internationaux. Les installations sont protégées et surveillées, et bénéficient de la même protection quel que soit l’endroit où se trouve le centre de données. L’objectif est non seulement de garantir cette fiabilité, mais également de la prouver de manière objective. C’est la démarche qu’a engagé OVH au travers de l’obtention de certifications, qui prouvent la parfaite maitrise de son périmètre.

Depuis plusieurs années, le Dedicated Cloud est certifié ISO27001 et SOC 1 et 2 type II. « C’est un gage de sécurité important, un gage de confiance », explique Thibaud Saudrais, responsable qualité chez OVH. « Il faut évoluer tous les ans car ce n’est pas définitif, il faut maintenir le niveau et s’adapter sans cesse. C’est de l’amélioration continue. »

De nouvelles certifications viennent régulièrement récompenser les efforts de l’entreprise en matière de sécurité. « Par exemple, la dernière en date est le PCI DSS (standard de sécurité des données pour l’industrie des cartes de paiement), et permet à nos clients de pouvoir utiliser nos infrastructures pour stocker les numéros de cartes bancaires sur le Dedicated Cloud », ajoute Thibaud. « Cela permet à nos clients d’exploiter au maximum les installations pour qu’eux aussi puissent stocker ce genre de données. La confiance s’en trouve renforcée. C’est gagnant-gagnant. » D’autres projets sont en développement, notamment une solution d’hébergement des données de santé : « Nous avons déposé le dossier d’agrément cet été à l’ASIP (Agence des Systèmes d’Information Partagés de Santé), une offre va arriver très prochainement », annonce Thibaud Saudrais.

Chez OVH, la certification s’étend à d’autres services. C’est notamment le cas de l’Isolated Space, des baies de serveurs Dedicated Cloud dédiées à un client et isolées physiquement au sein du centre de données. « C’est un service centré sur la sécurité physique. Il est maintenant certifié ISO27001. Si un client nous demande 30 000 serveurs, nous pouvons aussi construire pour lui un centre de données privatif et le certifier ISO27001, c’est inclus dans notre champ de certification. »

OVH

En parallèle de ces mesures, une politique de sensibilisation : la PSSI, définit les processus de travail internes des collaborateurs chez OVH. Elle fournit le cadre de référence en matière de protection du système d’information. « La sécurité des informations d’OVH Group, de nos clients, mais aussi des clients de nos clients est essentielle pour accompagner la croissance du groupe et maintenir la confiance infinie accordée par nos clients en nous confiant leurs données », explique Laurent Allard, CEO d’OVH.

L’instauration d’une politique très stricte dans la gestion des mots de passe, une politique de hiérarchie des droits sur les infrastructures, une politique de cloisonnement ou encore l’instauration de serveurs proxy pour s’authentifier, tout est fait pour que le moindre risque soit écarté. Romain ajoute : « il faut être proactif et capable d’identifier toutes les failles. S’il y a le moindre risque de compromission des données, nous aurions besoin de savoir et de comprendre ce qu’il s’est passé. Serait-ce lié à nos process internes, serait-ce une défaillance, une négligence, voire une personne malveillante ? » Le système de certification en place permet aujourd’hui d’identifier l’éventuelle source du problème très rapidement. « Cela permet aussi à tout le monde d’avoir le même niveau d’alerte », complète le responsable juridique. « La démarche est d’élever le niveau d’alerte de toute l’entreprise. Et c’est notamment par le biais de ces certifications, par la PSSI, et aussi par l’accompagnement au quotidien des équipes que l’on arrivera à l’obtenir de manière plus concrète encore. »

Autre pièce maitresse de la sécurité d’OVH, le fait qu’aucune activité ne soit sous-traitée. « Aujourd’hui c’est très simple, renchérit Romain, les données de nos clients ne sont à aucun moment vendues ou échangées. Elles restent chez nous, en interne, et aucun sous-traitant n’y a accès. » Preuve en est, toutes les personnes qui interviennent sur un serveur sont des salariés du groupe : support, montage des serveurs et démontage. « Cela nous permet de garantir le même niveau de sécurité et de confidentialité pour toutes les filiales. »

La sécurité est aussi l’affaire des utilisateurs

« De notre côté, nous travaillons sans relâche à renforcer tous les niveaux de sécurité. Nous les garantissons par le biais de ces certifications » ajoute Romain. « Nous sécurisons l’infrastructure physiquement, ainsi que le réseau à travers la protection anti-DDoS. Ensuite, charge au client de protéger sa structure en mettant en place des procédés d’identification, de monitoring, en sécurisant l’accès à sa base de données avec un mot de passe fort, ou encore en traçant les logs pour voir si éventuellement il y aurait des tentatives d’intrusion. » En effet, OVH n’a pas accès au contenu des serveurs hébergés. C’est le client qui, en qualité d’administrateur, autorisera OVH à intervenir dans le cadre d’une procédure spécifique. Un technicien pourra alors effectuer la maintenance, et le client n’aura plus qu’à fermer l’accès une fois celle-ci effectuée, et ce en toute transparence puisqu’il peut voir tout ce qui est réalisé lors de cette opération.

OVH

Tous les acteurs de la chaîne sont donc concernés par la sécurité, et tous ont un rôle majeur à jouer. « Il appartient au client de mesurer le niveau de protection dont il a besoin » explique Thibaud. « Certaines données sont plus sensibles que d’autres et les exigences de ses clients finaux ne sont pas toutes les mêmes. » Il convient alors de réaliser une architecture adéquate, et de les protéger au maximum avec des outils supplémentaires : « Nous garantissons la sécurité de l’infrastructure, les clients ont eux aussi des éléments à sécuriser. » Et il faut mettre en place les Best Practices : gestion de l’accès administrateur, chiffrement des machines virtuelles, mot de passe fort… « Il y a un partage des responsabilités, chacune des parties ayant son rôle, mais avec le même objectif : sécuriser. » Les OVH Academy sont un excellent moyen pour les clients de bien intégrer les bonnes pratiques en matière de sécurité. Auparavant concentrées sur le Dedicated Cloud, ces dernières vont s’ouvrir cette année aux serveurs dédiés. Ce n’est en effet que dans de bonnes conditions de sécurité que les données se transformeront en « pétrole ».

* Étude IDC, Avril 2014

Par OVH