Un cloud fiable, ouvert et doté des meilleures normes de sécurité
La sécurité du cloud – l’élément indispensable pour tous
Dès les premières années d’existence du cloud, une préoccupation a été exprimée avant toutes les autres : la sécurité. Beaucoup de professionnels – des startups aux grandes entreprises – craignaient un manque de sûreté des données dans les infrastructures virtualisées par rapport aux datacenters on-premises, en particulier lorsqu’il s’agissait d’informations sensibles. Jusqu'en 2018, 90 % des experts en cybersécurité étaient préoccupés par la sécurité du cloud.
C’est un élément pourtant indispensable. Les entreprises traitent plus de données sensibles que jamais, souvent dans un état très peu structuré. Celles-ci doivent être toujours stockées en toute sécurité, dans le respect d'une série de réglementations de plus en plus complexes en matière de protection des informations. Cependant, le maintien d’un environnement cloud sécurisé n'est pas un combat que les entreprises peuvent gagner seules. Elles ont besoin d'un partenaire de confiance remettant constamment en question leurs outils, processus et méthodes, pour répondre plus efficacement aux cybermenaces dynamiques.
Parlons de la sécurité du cloud
Pour faire simple, la sécurité du cloud est la protection des données, des applications et des infrastructures qui font partie de cet environnement. Afin de proposer un cloud sûr, un fournisseur doit s'assurer que toutes les parties de la chaîne de valeur sont sécurisées par les mesures nécessaires. De la clôture en fil barbelé du datacenter jusqu'aux systèmes de contrôle d'accès, en passant par les interfaces API et le correctif automatique des logiciels : OVHcloud offre une protection complète du cloud.
Une présence mondiale basée sur la transparence et la maîtrise
Notre approche en matière de sécurité repose sur notre chaîne d'approvisionnement. Nous en gardons le contrôle total, du choix du matériel informatique à l'emplacement de nos datacenters. Nous construisons nos centres de données de A à Z et fabriquons toute notre gamme de serveurs en interne. Il ne s'agit pas seulement d'internaliser notre production : cela nous permet également de localiser les données de nos clients aussi près que possible d'eux et de leurs utilisateurs finaux. De plus, nous veillons à ce que ces informations soient stockées dans le plein respect des réglementations applicables en matière de protection des données.
Une approche multilocale
Notre approche est multilocale, car nous sommes situés dans de multiples juridictions à travers la planète. Avec chaque nouveau datacenter, nous renforçons nos protocoles et pratiques de sécurité pour nous conformer à divers cadres, ainsi que satisfaire aux exigences légales et contractuelles de chaque pays. Cette approche est soutenue par notre propre backbone en fibre optique noire, qui relie nos différents centres de données dans le monde et accroît notre contrôle sur les données en transit.
Une approche industrielle
Notre approche ouverte et transparente est reflétée par les systèmes de sécurité que nous utilisons. Grâce à notre expertise interne, nous sommes en mesure de construire, d'assembler et d'exploiter nos propres systèmes de sécurité. Le contrôle accru du matériel nous permet d'optimiser les systèmes en fonction des besoins des clients et de mieux gérer les éventuels incidents.
Une culture axée sur la sécurité
OVHcloud est une entreprise européenne, qui est et restera fière de l’être. Toutefois, nous opérons à l'échelle mondiale, en fournissant des infrastructures à une clientèle internationale. Dans ce paysage numérique global, il ne suffit pas de considérer la sécurité comme une réflexion secondaire ou comme une option. La sûreté devrait être au centre de toute opération cloud.
Une équipe interne d’experts en sécurité
Comme pour notre engagement sur le long terme en faveur des standards ouverts, nos collaborateurs jouent un rôle actif dans notre culture de la sécurité. Ils la maintiennent et veillent à ce qu'elle évolue constamment, afin de répondre aux nouvelles menaces. Sans leur investissement, même les mesures de sécurité les plus avancées s'avéreraient inefficaces.
Équipe SOC (Security Operations Center)
Centralisant tous les outils et procédures, notre équipe SOC est chargée de surveiller et d'organiser la sécurité de l'entreprise au quotidien. Outre les tâches liées à l'infrastructure, l’équipe SOC se concentre également sur l'élément humain. Elle anime notamment des sessions de formation et des exercices de sécurité pour tous les employés d'OVHcloud.
CSIRT (Computer Security Incident Response Team)
Notre CSIRT est composée d'experts en sécurité qui travaillent en étroite collaboration avec les autres équipes d'OVHcloud. Ils se concentrent principalement sur la détection des menaces, la gestion des incidents et les enquêtes médicolégales.
La CSIRT est capable d'anticiper les menaces et les vulnérabilités émergentes en exécutant une série de stratégies de sécurité, comme la surveillance en temps réel, l'élaboration de mesures d'atténuation et de réaction, ainsi que la mise en place d'un système d'alerte rapide et la détection et l'identification des activités malveillantes.
Un conseiller en sécurité est affecté à chaque grand département ou Product Unit au sein d'OVHcloud. Ils sont chargés de garantir l'intégrité de la sécurité, de mettre en place et de suivre des plans d'action et de procéder à une analyse des risques.
Ces experts travaillent en étroite collaboration avec la CSIRT et l’équipe SOC, assurant des mesures de sécurité optimales et la conformité avec la Politique de sécurité des systèmes d'information (PSSI) d'OVHcloud.
Les employés : le lien le plus fort
OVHcloud dispose d'un programme de formation sur mesure, visant à transférer les bonnes pratiques de sécurité à ses nouveaux employés. Dans le cadre de leur intégration, ceux-ci reçoivent une formation approfondie sur la manière de détecter les attaques par hameçonnage et par ingénierie sociale, ainsi que sur les bons gestes et le protocole de protection des mots de passe. La formation est répétée régulièrement, tout comme les exercices de cybersécurité et les alertes de vulnérabilité.
Contrôle de la sécurité et transparence avec nos clients
Nous estimons que nos procédures de sécurité doivent être connues de nos clients. C'est pourquoi nous créons tous nos outils de sécurité de A à Z et en publions les évolutions. D’une part, cette philosophie favorise une amélioration continue et une exigence accrue en matière de sécurité. D’autre part, elle encourage la transparence et la compréhension, deux éléments essentiels pour un grand nombre de nos clients.
Nos outils de sécurité
Utiliser et partager nos propres outils, comme Cerberus, signifie que nous ne dépendons pas du même logiciel ou patch que les autres fournisseurs, mais aussi que nous sommes plus proches de notre propre architecture. Nous savons exactement ce qu’il se passe en permanence. Nous pouvons donc adapter nos outils aux besoins de nos clients et répondre rapidement et efficacement à tout dysfonctionnement pouvant survenir.
Enfin, nous avons mis en place un système de surveillance de haut niveau pour tous les services. Le programme détecte les incidents de production et de sécurité, surveille les fonctions essentielles et assure la continuité du service dans l'exécution des tâches automatisées.
Protéger nos clients contre les risques de sécurité
Nos équipes techniques disposent des meilleurs outils du secteur – par exemple, les web application firewalls (WAF) et notre serveur Bastion, qui gère les identifiants et l'activité des administrateurs de manière sécurisée. Par conséquent, nous veillons à ce que nos clients en fassent autant. Par exemple, pour administrer une solution Hosted Private Cloud, un client doit utiliser une passerelle SSL qui garantit un transfert de données sécurisé. Pour les applications qui nécessitent une sécurité renforcée, l'accès peut être limité à des adresses IP choisies. De plus, le gestionnaire OVHcloud comporte des fonctionnalités de sécurité permettant aux clients de modifier facilement les autorisations d'accès et les paramètres de sécurité.
Cerberus est un outil permettant de recevoir, d'analyser, de gérer et d'automatiser le traitement des rapports d'abus reçus par les fournisseurs d’accès à Internet ou les fournisseurs d'hébergement.
La mise en pratique
Une combinaison d'automatisation intelligente et d'expertise humaine nous aide à mettre en pratique nos principes de sûreté au quotidien. Les éléments de notre écosystème de sécurité incluent :
- Des datacenters à accès restreint. Ces sites sont également équipés de systèmes de vidéosurveillance et de détection de mouvement.
- Notre solution anti-DDoS de référence. Celle-ci a résisté avec succès à la plus grande attaque jamais enregistrée.
- Une surveillance automatisée. Tous les services sont surveillés 24 heures sur 24, 7 jours sur 7, et les alertes sont automatiquement traitées par nos équipes de sécurité.
- Le suivi des comptes utilisateur. L'enregistrement des comportements inhabituels permet de prévenir le détournement de comptes. Cette action est soutenue par des mesures de sécurité supplémentaires, comme l'authentification à deux facteurs.
La sécurité des données en cours d'utilisation, en déplacement et au repos
Nos clients utilisent des serveurs dédiés pour collecter, stocker et traiter des pétaoctets de données chaque jour. Grâce à un certain nombre de technologies et de services, nous les aidons à sécuriser ces informations pendant leur transfert, leur repos et, depuis peu, leur utilisation. Les technologies de confidentialité, telles que Intel SGX (Software Guard Extensions), AMD SME (Secure Memory Encryption) et SEV (Secure Encrypted Virtualisation), sont disponibles avec nos serveurs dédiés. Cela garantit que les données sont cryptées et sécurisées contre les risques, comme les intrusions malveillantes ou les vulnérabilités du réseau, sans compromettre la performance du CPU.
L'envoi d’informations sur Internet, d'un serveur à l'autre, a toujours été un risque considérable. Chez OVHcloud, nous avons développé une solution de réseau privé, appelée vRack, pour limiter les transferts sur le réseau public entre les serveurs de nos clients. Maintenant, ils peuvent lier leurs serveurs OVHcloud grâce à une connexion privée et sécurisée, même s'ils se trouvent d’un bout à l’autre de la planète.
La forteresse OVHcloud
Des mesures de sécurité rigoureuses, des zones renforcées isolées et des audits réalisés par des tiers confirment que les services OVHcloud représentent les normes de sécurité les plus strictes du secteur. Cela nous permet de répondre aux besoins les plus exigeants de nos clients professionnels. Pour les secteurs qui hébergent des données stratégiques ou réglementées, nous proposons une combinaison de serveurs dédiés haut de gamme personnalisés, d’Hosted Private Cloud et d'un niveau d’assistance spécifique, comme une solution d'hébergement sur mesure avec les plus hauts niveaux de sécurité, de disponibilité et de résilience.
Nous avons conçu Hosted Private Cloud comme une forteresse, en gardant à l'esprit les principes de la sécurité par conception. Nous adoptons des mesures de sécurité strictes pour atteindre nos trois principaux objectifs : disponibilité, intégrité et confidentialité.
L'importance des normes et certifications reconnues
Pour les fournisseurs de services cloud, les normes et certifications reconnues ne sont plus seulement « agréables à avoir ». Elles apportent des preuves concrètes sur l’atteinte – ou mieux, le dépassement – du niveau de sécurité attendu. Ces normes et certifications vont de l'universel au hautement spécialisé, dont :
- ISO 27001. Base de référence du secteur IT pour la sécurité des données, en vigueur dans tous les datacenters OVHcloud.
- SOC 1 Type II et SOC 2 Type II. Normes internationales de protection des données, établies par l'American Institute of Certified Public Accountants.
- CISPE. Code de conduite appliqué par OVHcloud pour promouvoir les règles de sécurité et de protection des données, ainsi que pour éviter l’enfermement propriétaire.
- PCI DSS. Norme du secteur pour les entreprises qui stockent et traitent les données critiques des cartes bancaires ; essentielle pour les professionnels du e-commerce.
- ABE. Respect de la réglementation applicable dans toute l'Union européenne pour les établissements financiers utilisant l'externalisation des services cloud.
- Hébergement de données de santé. Conformité pour l'hébergement des données de santé dans différents pays d'Europe (par exemple en France, avec la certification HDS) ou aux États-Unis (avec la conformité HIPAA).
La gamme de normes et certifications que nous proposons est un atout essentiel : elle aide nos clients à accélérer leur passage au cloud et à opérer en toute liberté.
Partenariat et collaboration pour la sécurité
Construire un environnement cloud fiable nécessite le travail collectif de nombreux acteurs de la chaîne de valeur, des fournisseurs de matériel aux plateformes logicielles, en passant par les intégrateurs et les partenaires qui aident nos clients à réussir.
Depuis 2014, année où nous avons rejoint la fondation OpenStack, nous partageons notre expérience et jouons un rôle actif dans le développement d'une plateforme logicielle OpenStack utilisée pour notre écosystème Public Cloud. Ce sont les efforts combinés de milliers de développeurs qui nous permettent de proposer un environnement de cloud public sécurisé et fiable ainsi que des solutions de stockage résilientes.
Faire équipe avec des organisations et des entreprises partageant nos valeurs d'ouverture et de coopération a toujours été l'un de nos objectifs. Nous sommes convaincus que nous pourrons ainsi diffuser plus largement nos solutions, celles-ci restant simples, multilocales, accessibles et transparentes. Chaque jour, de nouvelles entreprises qui, comme nous, pensent que la confiance et la fidélité ne peuvent se construire sur la base d’un monopole des fournisseurs, rejoignent notre Partner program.
Au vu de la récente crise sanitaire, la solidarité est plus importante que jamais. Nous encourageons donc les entreprises à nous rejoindre dans l'initiative Open Solidarity et à fournir gratuitement des solutions liées aux soins, au travail à distance et à la collaboration.
La sécurité a toujours été le principal sujet d'inquiétude concernant le cloud. Et pourtant, la flexibilité et l'évolutivité inhérentes à cette technologie signifient qu’elle a fait face à ces préoccupations. Concrètement, elle a établi une norme de sécurité l'ouvrant même aux secteurs les plus exigeants. Pour en tirer parti, notre secteur doit continuer à encourager un esprit d'ouverture, de transparence et de collaboration, en œuvrant à un cloud plus sécurisé afin de constituer une base sûre pour les innovations futures.
Global Data Sentinel
« La sécurité des données doit être au cœur des considérations de toutes les organisations. Elle est à la base de toute création d’entreprise réussie car sans elle, un piratage ou une fuite de données peut remettre en cause toutes vos opérations. Si ce n’est pas suffisant pour vous motiver à rechercher une sécurité optimale, de nouvelles législations, comme le RGPD européen, accentuent le besoin de sécurité des données dans toutes les organisations ».
BlueBearsIT
« Notre partenariat avec OVHcloud nous permet de créer rapidement des environnements fiables, sécurisés et complexes pour nos clients, disposant d’une grande flexibilité dès leur conception. L'offre SDDC d’OVHcloud bénéficie d’une base solide, car elle s'appuie sur les outils de VMware. Ses coûts maîtrisés nous apportent un avantage décisif lors de la construction d'une architecture sécurisée avec NSX Gateway, en comparaison avec les autres offres de cloud public. Le Partner Program d’OVHcloud est également essentiel pour nous, car il permet de faire monter en compétences notre équipe commerciale et technique. Cette approche gagnant/gagnant s'avère très fructueuse. »
