Protection des données, vers de nouvelles certifications

Les données sont-elles le pétrole de demain ? Avec une croissance exponentielle, les données sont devenues une ressource au cœur des enjeux stratégiques, juridiques, et sécuritaires. Leur quantité est telle qu’une nouvelle unité a été introduite pour les mesurer : les zetta-octets, milliers de milliards de méga-octets. Selon une étude* publiée par IDC, elles seront multipliées par 10 entre 2013 et 2020 pour atteindre la somme astronomique de 44 zetta-octets. Passage en revue des exigences d’OVH pour sécuriser les données de ses clients.

.

Portée par l’explosion du Big Data et de l’Internet des Objets (IoT), la notion de sécurité de l’information est aujourd’hui plus que jamais au coeur des débats, avec un accent mis sur la protection des données. En tant que numéro 3 mondial de l’infonuagique et des infrastructures Internet qui héberge 250 000 serveurs dans 17 centres de données, OVH est en première ligne pour garantir un niveau d’exigence maximal en matière de sécurisation de ses infrastructures ou de politique de sécurité du système d’information (PSSI).

Romain Beeckman responsable juridique chez OVH

Romain Beeckman, responsable juridique d’OVH, ne dit pas autre chose : « La sécurité des données est une de nos priorités. Il est donc naturel pour un acteur international des technologies numériques comme OVH de jouer un rôle majeur sur cette thématique. »

Des certifications en constante évolution

OVH s’est engagé dans une stratégie globale de certifications et d’attestations afin de faire reconnaître la conformité de ses infrastructures et de ses services avec les bonnes pratiques et standards internationaux. Les installations sont protégées et surveillées, et bénéficient de la même protection quel que soit l’endroit où se trouve le centre de données. L’objectif est non seulement de garantir cette fiabilité, mais également de la prouver de manière objective. C’est la démarche qu’a engagé OVH au travers de l’obtention de certifications, qui prouvent la parfaite maitrise de son périmètre.

Le Cloud Dédié par exemple, un des produits phare d’OVH, est certifié ISO27001 et SOC 1 et 2 type II depuis plusieurs années. « C’est un gage de sécurité important, un gage de confiance », explique Thibaud Saudrais, responsable qualité chez OVH. « Il faut évoluer tous les ans car ce n’est pas définitif, il faut maintenir le niveau et s’adapter sans cesse. C’est de l’amélioration continue. »

De nouvelles certifications viennent régulièrement récompenser les efforts de l’entreprise en matière de sécurité. « La dernière en date est le PCI DSS (standard de sécurité des données pour l’industrie des cartes de paiement), qui permet à nos clients de pouvoir utiliser nos infrastructures pour stocker les numéros de cartes bancaires sur le Cloud Dédié », ajoute Thibaud. « Cela permet à nos clients d’exploiter au maximum les installations pour qu’eux aussi puissent stocker ce genre de données. La confiance s’en trouve renforcée. C’est gagnant-gagnant. » D’autres projets sont en développement, notamment une solution d’hébergement des données de santé, qui devrait arriver très prochainement.

Chez OVH, la certification s’étend à d’autres services. C’est notamment le cas de «l’Isolated Space », des baies de serveurs Cloud Dédié réservées à un client et isolées physiquement au sein du centre de données. « C’est un service centré sur la sécurité physique. Il est maintenant certifié ISO27001. Si un client nous demande 30 000 serveurs, nous pouvons aussi construire pour lui un centre de données privatif et le certifier ISO27001, c’est inclus dans notre champ de certification. »

Les Isolated Space sont des baies de serveurs Dedicated Cloud, certifiées ISO27001, dédiées à un client et isolées physiquement

En parallèle de ces mesures, une politique de sensibilisation (PSSI) a été mise en place pour définir les processus de travail internes des collaborateurs chez OVH et fournir le cadre de référence en matière de protection du système d’information. « La sécurité des informations du groupe OVH, de nos clients, mais aussi des clients de nos clients est essentielle pour accompagner la croissance du groupe et maintenir la confiance infinie accordée par nos clients en nous confiant leurs données », explique Laurent Allard, CEO d’OVH.

L’instauration d’une politique très stricte dans la gestion des mots de passe, une politique de hiérarchie des droits sur les infrastructures, une politique de cloisonnement ou encore l’instauration de serveurs proxy pour s’authentifier, tout est fait pour que le moindre risque soit écarté. Romain ajoute : « il faut être proactif et capable d’identifier toutes les failles. S’il y a le moindre risque de compromission des données, nous aurions besoin de savoir et de comprendre ce qu’il s’est passé. Serait-ce lié à nos processus internes, serait-ce une défaillance, une négligence, voire une personne malveillante ? » Le système de certification en place permet aujourd’hui d’identifier l’éventuelle source du problème très rapidement. « Cela permet aussi à tout le monde d’avoir le même niveau d’alerte », complète le responsable juridique. « La démarche est d’élever le niveau d’alerte de toute l’entreprise. Et c’est notamment par le biais de ces certifications, par la PSSI, et aussi par l’accompagnement au quotidien des équipes que l’on arrivera à l’obtenir de manière plus concrète encore. »

Autre pièce maitresse de la sécurité d’OVH, le fait qu’aucune activité ne soit sous-traitée. « Aujourd’hui c’est très simple, renchérit Romain, les données de nos clients ne sont à aucun moment vendues ou échangées. Elles restent chez nous, en interne, et aucun sous-traitant n’y a accès. » Preuve en est, toutes les personnes qui interviennent sur un serveur sont des salariés du groupe : support, montage des serveurs et démontage. « Cela nous permet de garantir le même niveau de sécurité et de confidentialité pour toutes les filiales. »

La sécurité est aussi l’affaire des utilisateurs

« De notre côté, nous travaillons sans relâche à renforcer tous les niveaux de sécurité. Nous les garantissons par le biais de ces certifications », ajoute Romain. « Nous sécurisons l’infrastructure physiquement, ainsi que le réseau à travers la protection anti-DDoS. Ensuite, charge au client de protéger sa structure en mettant en place des procédés d’identification, de monitoring, en sécurisant l’accès à sa base de données avec un mot de passe fort, ou encore en traçant les logs pour voir si éventuellement il y aurait des tentatives d’intrusion. » En effet, OVH n’a pas accès au contenu des serveurs hébergés. C’est le client qui, en qualité d’administrateur, autorisera OVH à intervenir dans le cadre d’une procédure spécifique. Un technicien pourra alors effectuer la maintenance, et le client n’aura plus qu’à fermer l’accès une fois celle-ci effectuée, et ce en toute transparence puisqu’il peut voir tout ce qui est réalisé lors de cette opération.

Tous les serveurs OVH bénéficient de la mitigation automatique des attaques DDoS en cas d’attaque

Tous les acteurs de la chaîne sont donc concernés par la sécurité, et tous ont un rôle majeur à jouer. « Il appartient au client de mesurer le niveau de protection dont il a besoin » explique Thibaud. « Certaines données sont plus sensibles que d’autres et les exigences de ses clients finaux ne sont pas toutes les mêmes. » Il convient alors de réaliser une architecture adéquate, et de les protéger au maximum avec des outils supplémentaires : « Nous garantissons la sécurité de l’infrastructure, les clients ont eux aussi des éléments à sécuriser. » Et il faut mettre en place les meilleurs pratiques (best practices) : gestion de l’accès administrateur, chiffrement des machines virtuelles, mot de passe fort… « Il y a un partage des responsabilités, chacune des parties ayant son rôle, mais avec le même objectif : sécuriser. » Les Académies OVH, qui forment gratuitement chaque mois des clients aux services Cloud du groupe, leur permet d’intégrer rapidement les bonnes pratiques en matière de sécurité. Auparavant concentrées sur le Cloud Dédié, ces dernières vont s’ouvrir cette année aux serveurs dédiés. Ce n’est en effet que dans de bonnes conditions de sécurité que les données se transformeront en « pétrole ».

* Étude IDC, Avril 2014