Conformité à SecNumCloud : où en est Private Cloud ?

Temps de lecture estimé : 22 minute(s)

La confiance de nos clients et des clients de nos clients est au cœur de nos préoccupations. L’expertise technique et le professionnalisme de nos équipes sont la base d’une sécurité pragmatique et efficace. C’est sur celle-ci que nous construisons, chaque jour, la confiance du marché dans nos produits, solutions et services.

Cependant, cette confiance ne suffit pas. Les mesures mises en œuvre doivent être transparentes et produire des résultats mesurables et démontrables. Elles doivent s’adapter à l’évolution des menaces et être comparables entre les fournisseurs. Dans cet objectif, nous avons lancé il y a sept ans des démarches de certification de nos produits et services selon les normes de sécurité les plus exigeantes. ISO 27001, ISO 27017, SOC 2, PCI DSS, HDS font désormais partie intégrante des feuilles de route de nos produits cloud et de nos datacenters. Au sein des équipes OVH, plus de 50 personnes sont dédiées à la gouvernance de la sécurité, à la mise en place et au maintien des dispositifs techniques logiques et physiques, à l’amélioration des systèmes et à la veille réglementaire en sécurité.

Aujourd’hui, dans un jeu économique à l’échelle mondiale, la souveraineté numérique est un enjeu politique critique. Les régulateurs et les administrations des différents pays multiplient les dispositifs incitatifs ou contraignants. Ceux-ci visent à conserver une maîtrise sur la protection des données des citoyens et des entreprises, dans leur migration vers les clouds mondiaux.

Dans ce contexte, l’ANSSI a publié en 2017 le référentiel SecNumCloud et une procédure de qualification pour les « prestataires de service d’informatique en nuage », sur le modèle de ceux existants pour les prestataires de service de confiance (certification électronique, détection d’incident, horodatage, audit de sécurité, etc.). Son objectif est d’orienter les autorités administratives, les organismes d’importance vitale (OIV) et tous les acteurs économiques vers des prestataires cloud de confiance.

Le référentiel SecNumCloud, issu du « Plan Cloud », l’un des 34 plans du programme « Nouvelle France industrielle » de 2014, et d’un dialogue avec les industriels, est aligné sur la norme ISO 27001. Il précise les mesures de sécurité à opérer pour livrer un service cloud hautement sécurisé pour les traitements critiques. Le service Private Cloud d’OVH visant également cet objectif, l’alignement de nos pratiques avec le référentiel a donc été pris en compte dès la parution des premières versions de travail. OVH continue de s’impliquer dans les efforts de normalisation, en participant avec l’ANSSI au groupe de travail de la Commission européenne. L’objectif ici est d’unifier les démarches de qualification nationales, comme SecNumCloud ou son équivalent Allemand C5, au sein d’un cadre européen unique.

La qualification SecNumCloud ne s’est pas encore imposée sur le marché. Cette situation n’est pas étonnante, puisqu’à ce jour aucun prestataire de service cloud n’est qualifié et que seuls quatre fournisseurs ont entrepris officiellement la démarche. Mais certains décideurs français et européens intègrent déjà le référentiel dans leurs grilles d’évaluation des services externalisés. Il nous semble donc important d’expliciter les mesures que nous avons mises en place, visant à assurer un niveau de sécurité cohérent avec les exigences du référentiel. C’est dans cet objectif que nous proposons ci-dessous notre évaluation de conformité au référentiel SecNumCloud sur le périmètre de l’offre Private Cloud. Cette auto-évaluation n’a pas vocation à se substituer à une qualification en bonne et due forme. Elle vise toutefois à apporter un premier niveau d’assurance sur l’utilisation de l’offre Private Cloud pour l’hébergement de projets dit « souverains ».

L’évaluation suit le plan du référentiel SecNumCloud disponible sur le site de l’ANSSI : https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.0_niveau_essentiel.pdf

ChapitreTitreConformité de Private Cloud
5Politiques de sécurité de l’information et gestion du risque
6Organisation de la sécurité de l’information
7Sécurité des ressources humaines
8Gestion des actifs
9Contrôle d’accès et gestion des identités
10Cryptologie/chiffrement
11Sécurité physique et environnementale
12Sécurité liée à l’exploitation
13Sécurité des communications
14Acquisition, développement et maintenance des systèmes d’information
15Relations avec les tiers
16Gestion des incidents liés à la sécurité de l’information
17Continuité d’activité
18Conformité
19Exigences supplémentaires

Légende :

Mesures en place conformes au référentiel
La conformité au référentiel nécessite une configuration particulière sous la responsabilité du client
Évolution mineure du service nécessaire pour être conforme au référentiel
Évolution majeure du service nécessaire pour être conforme au référentiel

 

Politiques de sécurité de l’information et gestion du risque 

OVH dispose depuis 2014 d’une politique de sécurité des systèmes d’information (PSSI), applicable à l’ensemble du groupe. Pour les offres disposant d’un niveau de sécurité renforcé, comme Private Cloud, nous complétons cette politique générale par une politique de sécurité produit. Celle-ci définit les règles et principes de sécurité mis en œuvre pour aligner le niveau de sécurité avec les engagements de sécurité spécifiques à l’offre et aux cas d’usage de nos clients.

Tous les thèmes liés à la sécurité sont précisés dans le contexte du produit. Ce document est la référence pour tous les personnels impliqués dans l’exploitation de l’offre Private Cloud, dans le cadre des opérations quotidiennes et dès qu’une décision pouvant avoir un impact sur la sécurité doit être prise.

Dans cette PSSI, OVH matérialise également son engagement à respecter les réglementations applicables et à déployer une approche par les risques, en s’appuyant sur des méthodologies éprouvées comme ISO 27005 et EBIOS. Le comité des risques est consulté pour tout changement important sur le produit et s’assure de la mise en place des plans d’actions.

La politique de sécurité et les appréciations des risques sont mises à jour régulièrement. Lors de tout changement important dans le cadre de processus formels, le suivi implique des membres de la direction d’OVH.

Organisation de la sécurité 

OVH a nommé un responsable de la sécurité des systèmes d’information (RSSI), garant du respect de la PSSI. Ce rôle global pour le groupe OVH est complété par un responsable dédié à l’offre Private Cloud et des personnels affectés aux processus de gestion de la sécurité (gestion des risques, gestion des mesures de sécurité, gestion des incidents, amélioration continue, etc.). Chaque ensemble de mesures de sécurité est sous la responsabilité d’un référent au sein de l’équipe Private Cloud, en charge de la mise en place des plans d’actions, de la documentation et des indicateurs de suivis. Ces référents assurent la prise en compte des principes de sécurité dans les projets et la gestion des changements, ainsi que dans toutes les activités quotidiennes de production de l’offre Private Cloud.

Au sein du périmètre Private Cloud, nous avons mis en œuvre une politique de séparation des tâches formelles. Elle permet de limiter les risques d’erreur ou de malveillance, en systématisant l’utilisation de workflows avec plusieurs validateurs pour toutes les actions risquées en matière de sécurité.

La sécurité est aussi prise en compte dans la gestion des projets d’évolution de l’offre et de tous les services d’OVH sous-jacents. Une approche par les risques intégrée au processus de gestion des risques du système de management de la sécurité de l’information (SMSI) est mise en place. Toute évolution du service ayant un impact potentiel sur le niveau de sécurité est mise en œuvre en suivant un processus d’information des clients systématique.

Sécurité des ressources humaines

La gestion des équipes est également réalisée en prenant en compte la sécurité de l’offre. Nous mettons en œuvre des processus de sélection poussés et de vérification des antécédents, permettant de limiter les risques de malveillance interne. Les salariés sont sensibilisés et responsabilisés dès l’embauche aux problématiques de sécurité. Une politique de formation et de sensibilisation renforcée pour les personnels en charges de Private Cloud complète ces dispositifs, par des actions de formation et de sensibilisation adaptées aux risques et aux métiers de chaque collaborateur. À titre d’exemple, tous les développeurs sont formés au développement sécurisé.

Les collaborateurs signent une charte de bonnes pratiques adaptée à leur poste et des sanctions formelles sont prévues pour tout manquement aux règles définies.

Gestion des actifs 

Nous avons mis en place un inventaire complet de tous les actifs permettant de produire Private Cloud : serveurs, applications, postes de travail, logiciels, équipements réseau, énergie, système de refroidissement, conteneur, espace isolé, personnels, documents. Tout le périmètre est inventorié et géré de manière fine. Des procédures d’entrée et de sortie permettent d’assurer un inventaire exhaustif, condition sine qua non d’une gestion précise de la sécurité. C’est aussi l’assurance que chaque actif est maîtrisé dans l’ensemble de son cycle de vie.

La sensibilité des actifs est définie formellement selon une classification priorisant la protection des données de nos clients.

Contrôle d’accès et gestion des identités 

La plupart des accès et interventions sur les systèmes de production sont réalisés par des scripts et des procédures applicatives, déclenchés depuis des applications internes gérant l’authentification ainsi que celle des personnels. Pour l’administration des systèmes de gestion du service ou des plateformes mises à disposition des clients, les accès sont systématiquement réalisés via des bastions gérant l’identification, l’authentification et la traçabilité de toutes les actions. Les bastions sont gérés par une équipe indépendante, afin de garantir la confidentialité et l’intégrité des traces. Les accès aux fonctions sensibles utilisent des authentifications à deux facteurs et ne peuvent être réalisés que depuis des postes de travail dédiés « durcis ».

Des processus formels de création, de modification et de suppression des comptes utilisateur sont mis en place, sur la base d’une base d’authentification centralisée. Les droits d’accès, basés sur la notion de rôles définis sur la base des fonctions des salariés, sont revus régulièrement pour s’assurer de leur adéquation aux besoins fonctionnels et techniques.

Concernant les accès des clients, ils sont gérés par des outils automatisés mis à leur disposition (espace client OVH, api.ovh.com, interface sécurisée). Le client peut activer des fonctions de sécurité complémentaires, comme l’authentification à plusieurs facteurs, des ACL réseau, la validation des actions sensibles par jeton SMS, etc. Il est responsable des droits d’accès attribués à ses utilisateurs, OVH garantissant la fiabilité des processus mis en place pour gérer les droits d’accès techniques des clients aux plateformes.

Si les environnements techniques mis à disposition des clients sont dédiés au niveau matériel (serveurs hôtes et datastores), de nombreuses briques mutualisées sont utilisées pour mettre en œuvre le service. Les robots, les équipements réseau, l’API, les serveurs de stockage des datastores et les serveurs de coordination sont des équipements mutualisés entre plusieurs clients. La segmentation entre les différents clients est gérée par une configuration logique de ces équipements, afin d’assurer l’étanchéité complète des environnements client les uns par rapport aux autres.

Les environnements bureautiques, les environnements techniques d’administration du service et les environnements d’exécution des infrastructures client sont fortement segmentés, physiquement ou logiquement. Les mécanismes de segmentation font l’objet de mesures de contrôle strictes.

Cryptologie/chiffrement 

Par défaut, le stockage des données est protégé via une segmentation logique entre les clients par des ACL et des droits d’accès sur les systèmes, ainsi que par l’utilisation de médias de stockage dédiés. Le chiffrement du stockage est une fonctionnalité proposée par OVH. Elle permet la mise en place d’un mécanisme de chiffrement/déchiffrement des machines virtuelles au niveau des hyperviseurs, qui assure la protection des données client. L’activation et la configuration de ces mécanismes et la gestion des clés de chiffrement est sous la responsabilité du client.

L’utilisation de protocoles de communication réseau chiffrés (SSH, HTTPS, SFTP, etc.) est systématique au sein des infrastructures. Toute exception à ce principe doit être justifiée par une contrainte technique forte et donner lieu à une analyse de risque formelle, ainsi qu’à la mise en place de mesures de sécurité compensatoires permettant d’assurer un niveau de sécurité équivalent.

Sécurité physique et environnementale

L’accès physique des sites OVH repose sur une sécurité périmétrique restrictive dès l’entrée. Tous les locaux sont classifiés : les zones de circulation privées, les bureaux internes accessibles à tous les employés et visiteurs enregistrés, les bureaux internes confidentiels qui ont une politique d’accès restreinte à  certains personnels, les zones d’équipement de datacenters,  les zones datacenters confidentielles et les zones datacenters critiques qui hébergent notamment les infrastructures de l’offre Private Cloud.

Les accès à ces zones critiques sont limités à une liste de personnels réduite, avec une traçabilité renforcée et une couverture de vidéosurveillance complète. Ils sont réalisés par des sas unipersonnels, incluant plusieurs contrôles (détecteur de présence, pesée, vidéosurveillance). Un contrôle d’accès à deux facteurs pour les salles d’hébergement critiques devra être mis en place pour assurer la conformité au référentiel.

Des mesures de sécurité sont aussi mises en œuvre afin de contrôler l’accès et éliminer toute menace, comme une politique des droits d’accès physiques, des murs ou dispositifs équivalents entre chaque zone, des caméras situées aux entrées/sorties des installations et dans les salles serveurs, des accès sécurisés contrôlés par badgeuses ou un système de détection de mouvement.

Les entrées/sorties des datacenters sont protégées par des dispositifs anti-effraction. Des mécanismes de détection d’intrusion en dehors des heures de présence du personnel et un gardiennage 24/7/365 sont aussi mis en place sur tous les sites d’hébergement. Les locaux sont surveillés en permanence par un réseau dense de caméras de vidéosurveillance.

Les ouvertures de portes d’entrée et de sortie sont contrôlées et signalées à un centre de surveillance continu.

Des règles spécifiques sont appliquées pour la gestion des accès des tiers.

En matière de gestion des risques naturels et environnementaux, les mesures suivantes sont mises en place :

  • situation géographique des locaux d’OVH dans des zones non inondables ;
  • situation géographique des locaux d’OVH dans des zones sans risques sismiques ;
  • alimentation sans interruption ;
  • transformateur de secours avec basculement automatique de la charge ;
  • basculement automatique sur des groupes électrogènes avec autonomie de 24 heures minimum ;
  • batteries permettant de gérer les périodes transitoires ;
  • unités HVAC de maintien de la température et du niveau d’humidité ;
  • système de détection d’incendie ; des exercices anti-incendie sont réalisés tous les six mois dans les datacenters.

Sécurité liée à l’exploitation

L’administration des plateformes Private Cloud est massivement automatisée. Les équipes d’exploitation n’interagissent directement avec les plateformes qu’en cas de gestion d’incident. Certaines procédures impliquent cependant des actions humaines et ne sont pas toujours automatisables. Elles sont formalisées et suivie de manière obligatoire par les personnels concernés.

Un processus de gestion des changements est mis en place. Il s’assure que toute évolution du système est cohérente, fait l’objet d’une analyse de risque et d’impact, est implémentée en respectant des règles prédéfinies et suit le processus de validation avant la mise en production.

Tous les systèmes exposés aux menaces virales sont protégés par des antivirus monitorés par les équipes d’exploitation. Différents types d’antivirus sont utilisés en fonction du rôle de l’équipement. Des dispositifs de contrôles d’intégrité ainsi que des systèmes de détection d’intrusion sont déployés sur les systèmes. Ces derniers sont monitorés en permanence par les équipes d’exploitation.

Tous les systèmes utilisés pour produire le service sont sauvegardés selon un planning adapté (type de sauvegarde et durée de rétention). La sauvegarde des environnements client est, elle, sous la responsabilité du client. OVH propose des solutions optionnelles lui permettant de déployer sa politique de sauvegarde. Le client est cependant libre d’utiliser les outils de sauvegarde de son choix.

Une politique de traçabilité extensive est mise en œuvre. Tous les équipements et systèmes génèrent des traces centralisées et gérées par les équipes d’exploitation. Les logs sont protégés par la mise en place d’une stricte séparation des tâches. Les logs des actions des clients et des interventions des équipes OVH sur leurs systèmes sont mis à la disposition des clients via l’interface d’administration de la plateforme.

La corrélation des événements et la détection des événements sont gérées par les plateformes d’administration développées en interne par OVH.

Un processus de gestion des vulnérabilités formel vise à s’assurer de l’application des correctifs de sécurité pour toutes les vulnérabilités critiques. Un planning d’application des correctifs est géré selon leur importance. En fonction des cas, ils sont appliqués durant des phases de maintenance planifiées ou en urgence pour les failles les plus critiques.

Les administrateurs des équipes d’exploitation utilisent des postes de travail dédiés, distincts des postes de travail bureautique. Ils sont contraints de se connecter à un réseau de gestion sécurisé via une passerelle VPN, permettant ensuite d’accéder aux bastions d’administration intégrant des mécanismes d’authentification à deux facteurs. Ces postes de productions sont durcis et protégés par des mécanismes de sécurité stricts (antivirus, chiffrement, filtrage réseau, etc.) et gérés par une équipe indépendante. Les administrateurs ne disposent pas de droits d’administration sur leurs postes de travail. Tous les flux d’administration sont chiffrés.

Sécurité des communications 

Une cartographie du système d’information de Private Cloud est maintenue. Elle regroupe l’inventaire des actifs, ainsi que des schémas d’architecture fonctionnelle, applicative et réseau de tous les systèmes mis en place.

L’ensemble des flux réseau et des mécanismes de segmentation sont cartographiés et maintenus à jour automatiquement par rapport à l’existant. Toutes les règles d’ouverture de flux réseau sont documentées, justifiées et revues régulièrement.

La segmentation des réseaux est gérée par la combinaison de réseaux dédiés physiques et virtuels. La configuration des équipements chargés d’assurer cette segmentation est revue régulièrement. Le client est responsable de la configuration du réseau de son infrastructure virtuelle et de la connectivité de ses machines virtuelles à Internet, en adressage public ou au sein du vRack (réseau virtuel privé alloué au client). OVH fournit les interfaces d’administration de ces réseaux.

Acquisition, développement et maintenance des systèmes d’information 

Une politique de développement sécurisée est mise en œuvre au sein d’une plateforme de développement maîtrisée. Le cycle de vie des développements intègre la sécurité à toutes les étapes. Des règles d’écriture des codes sources sont définies et des processus de revue, de validation et de mise en production sont appliqués, avec des principes de séparation des tâches forts.

L’utilisation de données de production client est strictement interdite dans les activités de développement et de test. Le déploiement des évolutions logicielles sur les infrastructures de production suit le principe « 1-10-100-1 000 », permettant d’assurer un déploiement maîtrisé et incluant des procédures de retour arrière à chaque étape.

Les développements de la plateforme sont exclusivement réalisés en interne. OVH ne recourt pas à l’externalisation pour le développement des produits.

Relations avec les tiers

OVH recourt à des sociétés tierces pour les activités de gardiennage des datacenters, ainsi que pour la maintenance des équipements assurant les services essentiels en datacenter comme l’électricité et le froid. Les sous-traitants sont soumis aux mêmes règles que les salariés OVH. Elles sont imposées contractuellement à ces sociétés, ainsi qu’à chaque intervenant individuellement. Leur respect est contrôlé de façon opérationnelle et lors d’audits annuels.

Gestion des incidents liés à la sécurité de l’information

Un processus de détection des incidents de sécurité est mis en place pour s’assurer de la remontée de l’ensemble des événements sur toutes les briques du système. Les personnels sont sensibilisés et formés à la détection des anomalies. Un processus de remontée et de traitement des alertes est également mis en œuvre.

Toute atteinte à la disponibilité du service, à l’intégrité et à la confidentialité des données client ou à la traçabilité des actions sur les systèmes entraîne obligatoirement la création d’un incident de sécurité. La communication des incidents de sécurité dans les meilleurs délais est assurée dans le cadre du processus de gestion des incidents.

Une cellule de crise est mise en place pour les incidents ayant des conséquences importantes en matière de disponibilité ou d’intégrité, ainsi que pour tous ceux affectant la confidentialité des données client.

Le processus de gestion des incidents est formel. Il donne lieu à des plans d’actions de correction des causes racines et alimente le processus de gestion des risques de sécurité.

Continuité d’activité

La continuité d’activité des infrastructures est assurée par différents dispositifs garantissant la disponibilité des équipements, des applications et des processus d’exploitation : la continuité du refroidissement, la continuité de l’approvisionnement en électricité et sa redondance, la gestion de la capacité pour les équipements sous la responsabilité d’OVH, le support technique du service réparti sur plusieurs sites géographiques, la redondance des équipements et serveurs utilisés pour l’administration des systèmes et la gestion du service.

En complément, des mécanismes visant à assurer la reprise en cas d’incident sont mis en place : la sauvegarde des configurations des équipements réseau, la sauvegarde des systèmes et des données des serveurs chargés du management du service.

La continuité du système d’information du client s’appuyant sur des ressources OVH est de sa responsabilité. Le client doit s’assurer que les dispositifs standards mis en place par OVH, les options souscrites et les dispositifs complémentaires qu’il met en œuvre lui-même permettent d’atteindre les objectifs de continuité de son système d’information.

OVH propose à ses clients de souscrire aux solutions Veeam Backup et Zerto PRA, qui offrent des dispositifs renforcés pour les sauvegardes et la reprise d’activité en cas d’incident.

Conformité 

Private Cloud fait l’objet d’un programme d’audit interne et externe à trois ans, visant à couvrir les besoins relatifs aux certifications ISO 27001, ISO 27017, SOC 2 Type II, PCI DSS et agrément HDS. Les activités de revues sont les suivantes :

  • audit interne du SMSI annuel ;
  • tests d’intrusions internes et externes annuels et ad hoc ;
  • scan de vulnérabilités internes et externes trimestriel ;
  • audit de certification et surveillance ISO 27001 et ISO 27017 annuel ;
  • audit SOC 2 annuel ;
  • audit PCI DSS annuel (PSP Level 1) ;
  • audit HDS tous les trois ans ;
  • Bug Bounty OVH.

À ce jour, OVH ne fait pas réaliser d’audit par une société qualifiée PASSI. Un audit annuel par une société qualifiée PASSI sera ainsi ajouté au programme d’audits pour assurer la conformité au référentiel SecNumCloud.

Exigences supplémentaires 

Une convention de service alignée sur les exigences du référentiel sera proposée à la fourniture du service qualifié, le cas échéant. Elle précisera en particulier le statut qualifié de la prestation et la possibilité pour les clients de mandater un auditeur qualifié pour auditer le service.

La localisation de l’hébergement des serveurs et des données est choisie par le client à l’initialisation du service. Dans l’optique d’assurer la conformité au référentiel, seules les infrastructures Private Cloud hébergées dans les datacenters OVH localisés dans l’Union européenne seront concernées. Le support technique au client est fourni en langue française.

OVH assure un support du service et des astreintes 24 heures/24, 7 jours/7. Dans ce cadre, une partie des activités d’exploitation de la plateforme Private Cloud est gérée depuis le Canada. Quand OVH proposera une offre Private Cloud qualifiée SecNumCloud, des mécanismes de protection seront mis en place pour garantir que les activités d’exploitation des plateformes qualifiées seront réalisées uniquement depuis l’Union européenne.

Responsable conformité OVH Group