OVH NEWS | ACTUALITÉ, INNOVATION ET TENDANCES IT


Découvrir, comprendre et anticiper














Le 29 / 03 / 2013
Partagez

Dossier rédigé par Lorine Schieber


Dedicated Cloud certifié ISO27001


OVH.com vient d’obtenir pour sa solution Dedicated Cloud la certification ISO/IEC 27001:2005, l’une des normes les plus reconnues dans le monde en matière de sécurité de l’information. Thibaud Saudrais, responsable qualité chez l’hébergeur, revient sur plus d’un an de travail.



Qu’est-ce-que l’ISO27001 et quel était votre objectif en visant cette norme ?

L’ISO27001 définit des exigences relatives à la mise en place d’un système de management de la sécurité de l’information (SMSI). La norme garantit la mise en place d’une organisation de la sécurité, et non un niveau de sécurité. Ainsi, en obtenant cette certification, OVH.com assure à ses clients qu’elle a bien mis en place, pour sa solution Dedicated Cloud, un certain nombre de mesures de sécurité, une appréciation des risques, un plan de traitement des risques, ou encore un pilotage par le biais d’indicateurs, etc. Le périmètre de la norme englobe les bureaux de Dedicated Cloud à Roubaix, ainsi que les salles hébergeant les serveurs Dedicated Cloud à RBX2, P19 et SBG.

Notre partenaire VMware, nos clients Dedicated Cloud ou encore nos prospects nous ont sollicités à plusieurs reprises au sujet de la certification. L’ensemble de nos produits était bien sûr déjà sécurisé, et le plus long a été de formaliser, de documenter nos actions, puisque lors de l’audit nous devons être en mesure de fournir les preuves que nous avons mis en œuvre ce système de management ainsi que l’ensemble des mesures de sécurité. Même si rassurer nos utilisateurs a de l’importance, nous avions un autre objectif en tête : chercher l’obtention de la certification ISO27001 a été pour nous l’opportunité de valoriser nos process, de mieux nous structurer, bref, d’améliorer notre efficacité.







Avez-vous rencontré des difficultés au cours du processus de certification ?

Dedicated Cloud est un produit jeune, puisque nous l’avons lancé il y a un peu plus de deux ans. Adapter notre manière de travailler au SMSI et à l’ISO27001 a donc été relativement aisé, et nous avons tout mis en œuvre afin de faire correspondre nos pratiques aux standards requis par la norme. Au final, beaucoup de choses étaient déjà en place ici, et quasiment conformes à la norme. Le plus complexe a somme toute été de conserver les spécificités d’OVH auxquelles nous tenons, puisqu’elles sont notre force.


Quelles sont ces spécificités et comment avez-vous procédé pour les conserver ?

Premièrement l’entreprise est organisée de manière horizontale : il n’y a au maximum que deux ou trois niveaux hiérarchiques et une même personne peut cumuler plusieurs attributions. D’ordinaire, la norme ISO27001 requiert une hiérarchie plus formalisée, où chacun ne tient qu’un rôle. Chez OVH le directeur du périmètre est également le pilote du processus de gestion des incidents : cette structure matricielle au sein de l’ISO est organisée de manière à ce que personne ne soit jamais juge et partie, c’est-à-dire que deux rôles tenus par une même personne ne seront jamais en liaison directe. Afnor Certification, qui a mené l’audit, a reconnu la conformité de notre système et validé des règles de bon fonctionnement.

Ensuite, OVH est une société dynamique dans laquelle il est impensable d’introduire de l’inertie. Nous avons dû trouver des moyens de ne pas ralentir notre cadence, tout en mettant en place une sécurité formelle. Par exemple, la norme nous impose un système de gestion documentaire. Chez OVH, nous proscrivons le papier au profit des communications électroniques, qui permettent des échanges plus rapides. Ces moyens de communications sont profondément ancrés dans la culture de l’entreprise. Nous avons ainsi adapté nos outils habituels à un système conforme à l’ISO27001, et mis en place un wiki entièrement dédié aux procédures Dedicated Cloud, un système de gestion de version SVN, ainsi qu’une mailing-list.

Ces outils de formalisation de document sont par ailleurs ouverts à tous dans le périmètre certifié, ce qui nous amène à la troisième caractéristique intrinsèque d’OVH : son aspect participatif. Chacun peut en effet intervenir lorsqu’il le désire et apporter sa valeur ajoutée au SMSI. Nous sommes ouverts à toutes les pistes d’amélioration, chacun peut proposer une meilleure façon de travailler via le wiki. Nous responsabilisons nos collaborateurs, chacun est acteur du SMSI, y compris un employé en dehors du périmètre. L’obtention de cette certification est le fruit du travail d’une équipe, et rien n’aurait été possible sans l’implication de la direction et de l’ensemble des personnes du périmètre.







Avez-vous d’autres projets de ce type en perspective ?

Afin de répondre à la demande de nos clients d’Amérique du Nord, nous allons bientôt entamer les démarches en vue des attestations SOC 1, 2 et 3, qui engloberont le périmètre ISO27001 ainsi que nos implantations au Canada. En parallèle, nous achevons notre processus de certification PCI DSS, que nous obtiendrons d’ici quelques mois.

Lire le communiqué de presse