Notre vision de la sécurité

 

 

 

La sécurité des systèmes d'information est au cœur de nos préoccupations car il existe de nombreux risques qui évoluent d'année en année.

Identifier et vérifier l’exhaustivité de ces risques permet de mettre en place des procédures pour les minimiser et ainsi pouvoir garantir à nos clients une gestion sereine et sécurisée de leurs données.


Pour connaître en détails notre vision de la sécurité, il vous suffit de cliquer sur les thèmes ci dessous:

 


 

 

 

La Gestion des risques

Risques humains

Les risques humains sont importants, même s'ils sont le plus souvent ignorés ou minimisés. Ils peuvent être classés et triés:

  • La maladresse

  • L'inconscience et l'ignorance 

  • La malveillance 

  • L'ingénierie sociale qui consiste souvent à se faire passer pour un administrateur qui demande des informations personnelles (nom de connexion, mot de passe.....) Elle peut se faire soit au moyen d’une simple communication téléphonique, soit par courriel, soit en se déplaçant directement sur place.

  • L'espionnage

  • Le détournement de mot de passe 

Clouddy a choisi pour minimiser ces risques au maximum de mettre en place une charte utilisateur précise et contraignante. Destinée aussi bien aux utilisateurs finaux des services, qu'aux internes et aux équipes de déploiement.

L'ensemble des process d'authentifications sont réalisés sur des protocoles éprouvés et sécurisés. (SSL-Https).

Nos équipes seront sensibilisées aux fraudes et informées de l'évolution de nouvelles méthodes d'attaques.

Cette politique sera également appliquée avec l'ensemble de nos partenaires.


Risques techniques

Les risques techniques sont ceux liés aux incidents : (défauts et pannes) que connaissent tous les systèmes matériels et logiciels. Chez Clouddy, la majorité des incidents sont évités par la phase de validation et la réalisation de tests avant même que les ordinateurs et les programmes ne soient mis en service.

Toutefois des incidents peuvent survenir. Ceux-ci peuvent être de différentes natures :

  • Incidents liés au matériel

  • Incidents liés aux données

  • Incidents liés aux systèmes

  • Incidents liés aux transactions

  • Incidents liés aux interfaces

  • Incidents liés à l'environnement 



La gestion de ces incidents est liée à l'application de notre politique de sécurité. La majorité des items ci-dessous sont traités dans les différents paragraphes de la seconde partie.

Pour les autres et afin de s'y prémunir, Clouddy a investi dans la redondance des matériels . En doublant un équipement, on divise le risque total par la probabilité de pannes simultanées.

Le résultat est donc un nombre d'incident beaucoup plus faible et donc un système beaucoup plus fiable.

Cette redondance est mise en place sur les technologies de stockage et sur les serveurs applicatifs.

La mise en place d'outils et de procédure de supervision et d'exploitation doivent également permettre à Clouddy de déceler les anomalies avant qu'elles ne se produisent, évitant ainsi de potentiels effets dévastateurs.



Risques juridiques

Clouddy a identifié 3 aspects juridiques, spécifiques à son secteur d'activité sur lesquels une grande vigilance s'impose :

  • La protection du patrimoine informationnel,

  • La législation relative à la vie privée,

  • Le respect des lois relatives aux droits d'auteurs

Les mesures pour assurer la protection du patrimoine informationnel sont liés à la gestion des données. Celles-ci sont décrites en détail dans les chapitres associés à cette notion.

 

Focus sur la sécurité de notre système d'information

La sécurité physique des serveurs

 

La sécurité physique des serveurs repose sur celle de notre data-center. C'est sur ce site que sont regroupés les équipements constituants le système d’information de Clouddy (mainframes, serveurs, baies de stockage, équipements réseaux et de télécommunications, etc.).

Le choix ayant été fait d’être héberger chez un partenaire de confiance , il est nécessaire de lister les acteurs capables de répondre à nos exigences. Au moins 3 fournisseurs ont été identifiés comme pouvant répondre à nos besoins aussi bien terme de qualité que de situation géographique : Online.net, OVH et Synergie

Clouddy a sélectionné le datacenter Iliad DC2 qui est un site exploité depuis 1989 par ISDNet, Cable & Wireless, Tiscali Entreprise puis Telecom Italia Entreprises, ce datacenter est aujourd'hui l'une des références avec plus de 500 clients hébergés sur 1600 baies en production. Sa rénovation, qui s'est déroulée en 4 phases, n'a pas impacté son exploitation. Cette infrastructure ultra- moderne a ainsi prouvé sa maîtrise dans son évolution.

Situé à Vitry sur Seine au 29 rue Edith Cavell, à 5 Kms de Paris, dans un environnement à faible risque, notre data center bénéficie d'une localisation exceptionnelle à l'opposé de la grande majorité des centres informatiques existants et au cœur de la principale zone de production électrique de la région parisienne. L'ensemble du site est équipé de baies urbanisées en système couloir froid confiné offrant des capacités de refroidissement jusqu'à 16 kW par baie et avec une qualité de service optimale. Le niveau de sécurité est conforme aux normes les plus sévères, ce qui représente un préalable indispensable pour héberger les infrastructures les plus critiques. Des procédures optimisent la sécurité sans complexifier les aspects pratiques de gestion des infrastructures. Le datacenter, entièrement vidéo surveillé, est gardienné 24h/24 7/7, les accès clients sont contrôlés, au travers de sas uni personnels, authentifiés par badge sans contact et reconnaissance biométrique.

Notre datacenter ayant une position de neutralité vis à vis des opérateurs, nous permettons aux opérateurs télécom d'accéder et bénéficier de nos infrastructures au travers d'une salle opérateur dédiée, trois adductions fibre optique et une meet-me-room interconnectée à tous les autres datacenters Iliad.

Ce site accueille les cœurs de réseau d'une vingtaine d'opérateurs internationaux, et dispose ainsi d'un large choix d'opérateurs de télécommunication.


La gestion du stockage des données

L'ensemble des données des utilisateurs (fichiers, musique, photos, notes, calendrier et contacts,...) est stocké et crypté sur nos serveurs. Les données ne peuvent alors être lues et éditées que par l’utilisateur. Clouddy utilise le procédé de cryptage (AES-256) grâce auquel la compréhension d'un document est rendue impossible à toute personne qui n'a pas la clé de (dé)chiffrement.

De plus, pour éviter les risques de défaillance des disques , Clouddy stocke ces données sur des baies de stockage organisées avec le modèle RAID5. Afin de préserver les données, les disques sont toujours agencés en RAID. Le RAID5 reste la solution la plus courante.

Le RAID5 peut être construit avec un minimum de 3 disques. Cependant, rien n’interdit de construire un RAID5 avec 8, 14 ou 20 disques. Il n’y a pas de limite vers le haut.

Ceci permet d’obtenir de grands espaces de stockage servis par beaucoup de disques. Un nombre élevé de disques signifie une plus grande capacité du système à faire face à de nombreuses requêtes.

Le RAID5 éclate la donnée entre les disques disponibles moins un. Par exemple, si on a un RAID5 construit sur la base de 3 disques, une donnée qui arrive est divisée en deux et chaque morceau est écrit sur un disque. Puis, le contrôleur RAID réalise une opération mathématique (parité) sur les deux morceaux et le résultat est écrit sur le troisième disque. La prochaine donnée sera divisée de la même manière, mais une autre paire de disques reçoit les fragments de data et le troisième le résultat de l’opération mathématique (parité).

Dans l’exemple ci-dessus, chaque disque va contenir 2/3 de données et 1/3 de résultats de parité. C’est pour cette raison que la capacité totale de ce RAID est amputée de 33%. C’est l’espace que vient prendre les résultats de parité.

En cas d'incident , les données du disque endommagé peuvent alors être reconstruite avec les autres disques restés intacts.

La sécurité des transferts de données

L'ensemble des transferts Clouddy, aussi bien l'échange des données, la visite de la boutique en ligne ou la synchronisation des essentiels repose sur le protocole HTTPS.

L’Hyper Text Transfer Protocol Secure ( HTTPS ) est la combinaison du HTTP avec une couche de chiffrement SLL.

Le http est le protocole de communication client-serveur, développé pour le World Wide Web (www). le plus utilisé.

Le protocole SSH (Secure Shell) est un protocole permettant à un client (un utilisateur ou bien même une machine) d'ouvrir une session interactive sur une machine distante (serveur) afin d'envoyer des commandes ou des fichiers de manière sécurisée:

  • Les données circulants entre le client et le serveur sont chiffrées, ce qui garantit leur confidentialité (personne d'autre que le serveur ou le client ne peut lire les informations transitant sur le réseau). Il n'est donc pas possible d'écouter le réseau à l'aide d'un analyseur de trames.

  • Le client et le serveur s'authentifient mutuellement afin d'assurer que les deux machines qui communiquent sont bien celles que chacune des parties croit être. Il n'est donc plus possible pour un pirate d'usurper l'identité du client ou du serveur (spoofing).



SSH est un protocole, c'est-à-dire une méthode standard permettant à des machines d'établir une communication sécurisée. A ce titre, il existe de nombreuses implémentations de clients et de serveurs SSH. Certaines sont payantes, d'autres sont gratuites ou open sources . Nous avons fait le choix d'utiliser des solution open-sources facilement implémentables sur nos environnements.

 

La sécurité des transactions financières


   Les transactions financières reposent sur un module PayPal intégré nativement dans notre boutique en ligne. Cette transaction est réalisée grâce au protocole 3-D Secure qui est un protocole sécurisé dédié au paiement sur Internet.

Déployé sous les appellations commerciales Verified By Visa et MasterCard SecureCode, 3-D Secure a été développé par Visa et Mastercard. Afin de permettre à Clouddy de limiter les risques de fraude sur Internet, liés aux tentatives d’usurpation d’identité l'utilisation de 3-D Secure consiste à s’assurer, lors de chaque paiement en ligne, que la carte est utilisée par son véritable titulaire.

Ce protocole est un standard du WEB.

Antivirus

Chaque nouvel utilisateur se verra fortement conseillé d'utiliser un antivirus. Clouddy pourra conseiller un antivirus , mais ne peut en aucun cas prendre la responsabilité que le terminal de l'utilisateur ne contient pas de codes malveillants. Il est également important de préciser qu'un antivirus ne constitue pas une protection intégrale contre tous les risques. La vigilance de l’utilisateur sur des comportements anormaux reste indispensable.

Un antivirus est un logiciel de protection dont le but est de détecter les virus ou logiciels malveillants (comme par exemple les chevaux de Troie). Pour cela, il inspecte la mémoire, les disques durs de l’ordinateur et les volumes amovibles (CD, DVD, clé USB, disque dur externe...) pour vérifier que les fichiers qui y sont présents ne contiennent pas de codes malveillants connus. Il permet aussi d’effectuer régulièrement des analyses planifiées.

Un antivirus protège contre les codes malveillants qu’il connaît ou qu’il reconnaît. Le temps que l’éditeur écrive l’empreinte (on parle aussi parfois de signature du virus) d’un nouveau virus et que l’antivirus la télécharge, l’internaute n’est pas protégé.

Il est indispensable d’utiliser un antivirus à jour. C’est un outil qui est proposé séparément ou inséré dans des suites logicielles de sécurité.

Un antivirus peut fonctionner de deux manières différentes : tout d’abord à partir d’une base d’empreintes de virus puis, éventuellement en complément, d’un système d’intelligence artificielle pour détecter certains comportements suspects. A chaque fois qu’un nouveau logiciel malveillant est détecté, le fournisseur de votre antivirus alimente l’encyclopédie constituée de l’ensemble des empreintes, puis la diffuse par l’internet pour que son antivirus puisse le détecter.

On comprend alors aisément qu’il est indispensable de maintenir à jour la liste des empreintes virales. Ainsi, un antivirus qui n’aura pas été mis à jour depuis plusieurs jours vous donnera un faux sentiment de sécurité et sera incapable de détecter les nouvelles menaces. Les chercheurs établissent ensuite un antidote pour nettoyer les ordinateurs infectés, si cela est possible.

Comme toute application, un antivirus doit être mis à jour (non seulement sa base d’empreintes mais également l’application en elle-même).

 

La gestion des mots de passe

Clouddy communiquera lors de l'inscription de ses utilisateurs une politique des mots de passe , qui est une suite de règles destinée à améliorer la sécurité, en encourageant les utilisateurs à recourir à des mots de passe relativement robustes. Une communication sur les bonnes pratiques d’utilisation de ces mots de passes sera également réalisée suite à la première connexion. Ces conseils suivront les consignes gouvernementales sur ce point. (accessible sur securite-informatique.gouv.fr)

Dans un système d’information, un mot de passe est souvent l’élément dont l’efficacité repose le plus sur l’utilisateur. Il est donc très important de savoir choisir plusieurs mots de passe dits forts, c’est-à-dire difficile à retrouver à l’aide d’outils automatisés, et difficile à deviner par une tierce personne.

La force d’un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère le composant. Ainsi, un mot de passe composé de caractères minuscules, majuscules, chiffres et caractères spéciaux sera de meilleure qualité qu’un mot de passe composé uniquement de minuscules.

Un mot de passe long et ne comportant pas de mots du dictionnaire peut être difficile à retenir, et sera souvent inscrit sur un bout de papier à côté du poste, ce qui pourrait compromettre la sécurité de celui-ci dans un environnement partagé. Il faut donc trouver des moyens mémotechniques pour fabriquer et retenir facilement de tels mots de passe :

  • méthode phonétique : "J’ai acheté 3 CD pour cent euros cet après-midi" : ght3CD%E7am ;

  • méthode des premières lettres : "Un tiens vaut mieux que deux tu l’auras" : 1tvmQ2tl’A.

L’utilisation de caractères spéciaux, de chiffres et de majuscules peut être réalisée avec ces deux méthodes. De plus, il est possible de décliner plusieurs mots de passe à partir d’un mot de passe fort, en changeant, par exemple, l’un des caractères de celui-ci. Il est ainsi plus facile de retenir des mots de passe différents utilisés pour des accès divers. Cette méthode est toutefois à utiliser avec précaution, car si l’un des mots de passe est découvert, les autres peuvent être facilement devinés.

L’inscription de son mot de passe sur un bout de papier n’est pas toujours à proscrire, et cela dépend de l’environnement dans lequel on se trouve. Par exemple, cela est envisageable voire recommandé chez soi, où l’on est seul à avoir accès à l’ordinateur, mais pas dans un environnement partagé tel que le travail.



Nos engagement sur l'utilisation des données

Conformité avec la législation française

L'utilisateur reste propriétaire de ses informations personnelles. Cette propriété est soumise à la législation française en vigueur.

Clouddy coopère avec les autorités judiciaires françaises. Dans l'hypothèse de la réception d’un acte de procédure valable, Clouddy pourra le cas échéant fournir les informations demandées concernant l'utilisateur. Clouddy supprimera éventuellement le cryptage des fichiers avant de les transmettre aux autorités.

Notre utilisation des données personnelles

Pendant l’utilisation de Clouddy et à l'inverse de nos concurrents, nous ne collectons pas les données personnelles de nos utilisateurs. La législation impose toutefois de conserver les fichiers d'historiques de nos applications . Ceux-ci peuvent également servir à contrôler et analyser l’utilisation des services, à des fins d’administration purement techniques. Nous n'utiliserons donc pas ces données ni pour contrôler l’utilisation personnelle du service, ni pour mieux comprendre les besoins et intérêts de nos utilisateurs à des fin commerciales.

Avec la même politique , nous ne traçons ou n’accédons jamais aux informations des appareils mobiles .Qu'il s’agisse de donnéesde géolocalisation ou toutes autres formes de données.Aucune analyse sur les informations correctrices ne peut donc être réalisée.

La gestion du partage des données personnelles est de la responsabilité de l'utilisateur. Cette responsabilité est engagée lors de la validation de la charte utilisateur. Clouddy ne pourra donc en aucun cas être soupçonné d'action allant à l'encontre de la législation relative au droit d'auteur.

 

 

Synthèse


   Les points clés ci-dessous nous permettent d'affirmer que vos fichiers sont en sécurité chez nous !



  • Infrastructure sécurisée : Clouddy vous ouvre un espace de stockage au sein de l'un des meilleurs centres d'hébergement de France. Les serveurs et applications logicielles sont surveillés 24h/24, 365 jours/an, dans une enceinte protégée, régulée en température et en humidité, offrant une protection optimale contre les intrusions et les incendies.

     

  • Une sécurité garantie sur toute la chaîne du système d'information  : Du stockage, crypté et sécurisé par la mise en place du RAID5, à la sécurisation de l'ensemble des transactions aussi bien financière que liées à l'utilisation du service. Clouddy est sécurisé sur l'ensemble de la chaîne des processus informatique de son SI.

     

  • L'éthique dans la gestion des données personnelles :: Clouddy est un espace personnel. Les données contenues sur nos serveurs ne subissent que des manipulations automatisées, visant le maintient de la qualité du service et non pas à des fins d'analyse commerciale . En aucun cas le personnel de Clouddy n'a connaissance du contenu des fichiers déposés.

 

    Juin 2013                                                                                                         ABN & MBN