SOC 1 et 2 type 1 renforcent la chaîne de confiance entre OVH et les utilisateurs de Dedicated Cloud

La reconnaissance du niveau de sécurité du Cloud dédié d’OVH.com franchit une nouvelle étape avec les attestions SOC* 1 type I (SSAE 16 et ISAE 3402)** et SOC 2 type I pour 3 datacentres en France et 1 au Canada. Explications avec Thibaud Saudrais, responsable qualité.

« SOC 1 type I (SSAE 16 et ISAE 3402) et SOC 2 type I », de quoi s’agit-il ?

Il s’agit d’attestations internationales qui garantissent que nous avons bien mis en place des procédures et contrôles permettant d’assurer un service de Cloud dédié sécurisé et haute disponibilité.

Vous pouvez préciser ?

SOC 1 type I (SSAE 16 ISAE 3402) garantit que nos objectifs de contrôle sont définis de manière appropriée et que les contrôles que nous avons établis pour protéger les données des clients sont mis en place. De son côté, SOC 2 type I évalue nos contrôles par rapport à la norme internationale établie par l'AICPA (American Institute of Certified Public Accountants) dans ses principes sur les services de confiance (« Trust Services Principles »).

Quels sont les datacentres concernés ?

Nous avons été audités par KPMG à Roubaix, sur les bureaux, le service, les datacentres RBX2, à Strasbourg et à Paris, pour les datacentres (SBG1 et P19), et enfin, au Canada, pour le datacentre de Beauharnois (BHS) et les bureaux de Montréal.

Pourquoi OVH se devait-elle d’obtenir ces normes ?

Ces attestions sont les plus demandées par nos clients. Elles sont devenues indispensables pour une entreprise qui cherche un prestataire. Cela est vrai en Europe et plus encore sur le marché américain. Une société cotée au NYSE est dans l’obligation de travailler avec des sous-traitants qui publient leur rapport SOC 1 (ancien SAS 70). De plus en plus d‘entreprises européennes demandent également des attestations SOC pour être rassurées sur le niveau de sécurité de leurs prestataires.

Ces attestations créent une chaîne de confiance entre OVH et ses clients. De nombreux professionnels nous demandent de venir auditer nos sites, souvent à la demande de leur client final. Chose que nous ne proposons pas, nos installations n'ayant pas vocation à être visitées quotidiennement pour des raisons de sécurité. Ils peuvent désormais demander à OVH de leur fournir les attestations SOC qui leur serviront de garanties sur nos pratiques.

C’est donc essentiellement une question de réassurance vis-à-vis de vos clients ?

Oui. La valeur de SOC 1 et 2 est très largement reconnue parce que les audits portent non seulement sur la description du système d’organisation de la sécurité, mais comprennent aussi des tests détaillés des contrôles et de l’organisation du service. Tous les processus sont étudiés à la loupe. La valeur de ce type de rapport tient aussi au fait que les auditeurs sont indépendants, extérieurs et n’ont aucun intérêt dans l’entreprise. Au final, lors de l’audit, c’est un regard client, utilisateur qui est porté sur le service.

Concrètement, qu’est-ce que les auditeurs sont venus vérifier ?

Les politiques de sécurité, les accès logiques et physiques, la disponibilité du service, la confidentialité des données, les sauvegardes, les ressources humaines, la formation…

Les auditeurs avaient notamment des exigences sur la partie enregistrement, ce qu’ils appellent des « preuves » dans leur jargon, afin de vérifier que ce que nous faisons est bien conforme à ce que nous disons que nous faisons. Ils ont vu les enregistrements, les screenshots, un peu plus de 200 preuves au total en plus de l’audit sur sites.

Ils ont passé au crible notre gestion des droits d’accès physiques par exemple. Qui peut donner des droits d’accès ? Comment sont gérées nos portes, nos différents niveaux de sécurité en fonction des différentes zones ? Qui a le droit de donner les droits à celui qui a le droit de donner les droits ? Toute la pyramide de la gestion des droits a été vérifiée pour s’assurer que nous contrôlions bien les procédures et qu’il n’y avait pas moyen de les contourner. Évidemment, ils ont aussi testé et éprouvé eux-mêmes la sécurité comme les badges.

Côté RH, les auditeurs ont vérifié que les collaborateurs ont les compétences nécessaires pour leur poste et qu’ils sont bien formés, que le processus de recrutement est correctement défini, que la formation sur la sécurité est faite, que nous sommes dans une démarche itérative sur la formation…

C’est un examen très approfondi, au périmètre large et à la méthodologie rigoureuse.

Il ne suffit pas d’avoir des extincteurs dans ses datacentres, par exemple, il faut aussi qu’ils fonctionnent, soient contrôlés régulièrement et avoir des contrats de maintenance pour eux. Idem pour la détection.

Des contraintes de sécurité de plus en plus fortes ne sont-elles pas un frein à la performance technologique, à l’innovation ?

Non. Chez OVH, l’innovation qui est la priorité numéro 1 a toujours intégré la sécurité comme un paramètre majeur. Nous ne faisons pas que nous adapter et suivre les évolutions ; l'objectif est de nous assurer que chacun des clients d'OVH puisse goûter à cette performance, en toute sécurité et de manière pérenne. De notre côté au service qualité, nous mettons tout en place pour ne pas ajouter d’inertie ni de contraintes inutiles à ceux qui sont dans l’innovation.

Dans quelle stratégie globale s’inscrivent ces nouvelles attestations ?

Elles sont la suite logique de nos démarches de certifications et d’attestations. La première brique était l’obtention d’ISO 27001 qui certifie l’organisation de la sécurité et nous a servi pour SOC 1 et 2 type I. Nos procédures étaient déjà écrites et nos pratiques mises en place.

Aujourd’hui nous franchissons une deuxième étape, mais ce n’est pas terminé. Nous visons les type II, et enfin SOC 3, son équivalent marketing. SOC 1 et 2 type II reposent sur des vérifications de nos procédures pendant 6 à 12 mois et confirment l’efficacité de la sécurité, ce qui représente un degré supplémentaire par rapport au type I. Ce sera la troisième brique de notre stratégie. Notre démarche est également récurrente. Il n’y a pas de durée de validité pour SOC, ni d’obligation à renouveler les audits, mais il va de soi que les clients ont besoin de rapports récents.

* Service Organization Controls

** Cet audit remplace le rapport Statement on Auditing Standards N° 70 (SAS 70) de type II