POLITIQUE SECURITE PSI - V3.2 VSI - 15/04/2014. L architecte de vos ambitions

Transcription

1 L architecte de vos ambitions

2 POLITIQUE GENERALE ET ENGAGEMENTS Acteur du développement de solutions informatiques depuis 20 ans, principalement en région lyonnaise, NC2 est une SSII résolument orientée vers l hébergement, le SaaS, en un mot le Cloud. Conscient des enjeux de nos métiers, de nos activités, mais aussi des exigences et référentiels de nos métiers (lois informatiques et liberté, normes ISO et 20001, bonnes pratiques ITIL et autres), des attentes ainsi que des interrogations de nos clients et prospects, nous avons le souci constant de nous adapter et de garder une offre personnalisée et transparente, maîtrisée techniquement et à valeur ajoutée. Dans ce but et fort de nos acquis, nous avons structuré NC2 autour d un Système de Management Général (SMG), qui se veut encore plus systémique qu'un "classique SMSI" (Système de Management de la Sécurité de l'information) et qui est basé sur deux axes essentiels à nos yeux : La qualité de service La sécurité des données Concernant la qualité de service, notre ambition est avant tout de satisfaire nos clients ; d être capable de répondre dans les délais annoncés à leurs demandes, en apportant un suivi de qualité et des réponses pertinentes. Tout cela bien sûr en assurant la continuité des activités et donc le MCO (Maintien en Condition Opérationnelle) de nos infrastructures et services. La sécurité des données est mise en œuvre en intégrant notre SI dans notre «SMG» : D une part avec une gestion des risques ayant une portée concrète dans la définition de nos besoins et donc de nos plans de développements, de notre organisation. D autre part, en sensibilisant progressivement tous nos acteurs à la «sécurité de notre SI», parce que notre SI est mutualisé et que sa sécurité est l affaire de tous. Enfin et surtout avec le maintien de notre certification ISO 27001* et l enrichissement de nos mesures de sécurité, afin de maîtriser la disponibilité de notre SI mais aussi la confidentialité et l'intégrité. Notre «SMG» s'articule autour de processus pensés et pilotés pour nous permettre de tenir nos engagements, à savoir : Un taux annuel de disponibilité de notre DataCenter Principal de 99,850%. Un délai moyen de prise en charge des demandes inférieur à 1h. Une politique d investissements et de renouvellement homogène dans le DataCenter (environs 10% du CA annuel "hébergement"). La garantie de réversibilité des données à 100%, avec un accompagnement personnalisé. Le maintient et l amélioration de nos compétences (formations, agréments constructeurs et éditeurs). * Depuis Août 2013 / Certification ISO/IEC : 2005 SECURITE 2 / 11

3 CARTOGRAPHIE DES MESURES DE SECURITE Ubiscus Gestion des dossiers techniques PRA Support tiers MANAGEMENT Sécurisation des liens de communication PRODUCTION DE SERVICES Sauvegarde Supervision Pro-Active Astreinte DU SI Gestion des périphériques MANAGEMENT QUALITE ET SECURITE GESTION DU CLIENT Ressources informatiques Contrôle d'accès logique * Depuis Août 2013 / Certification ISO/IEC : 2005 SMSI ISO27001 * Gestion des supports Revues contractuelles Datacenter principal sécurisé Assurance Système incendie Maintenance tiers MANAGEMENT DE NC2 Veille Contrôle d'accès physique Sécurisation électrique Implantation du SI Gestion budgétaire de NC2 Management des RH 3 / 11

4 DATACENTER ET CONTRÔLE D'ACCES Redondance de matériel actifs (Routing switchs / FW / Ensemble et sous-systèmes de calcul de production informatique) DataCenter conçu confiné pour être noninondable (déluge d eau) et résistant au feu (2h) Système de refroidissement avec redondance totale (2 groupes dédiés au DataCenter LTDS) pour réguler la température et l hygrométrie avec surveillance automatique (alerte GSM ) Implémentation de deux Firewall en Haute dispo avec bascule automatique (NetAsq) situé dans deux localisations géographiques distinctes Rondes quotidiennes de surveillance Datacenter principal sécurisé Active Directory Gestion des droits informatiques et des ports ouverts Gateway (CITRIX) Authentification forte pour accéder à nos réseaux (certificat + login/mot de passe) avec configuration pour le changement de mot de passe tous les 3 mois Architecture avec cloisonnement, séparation physique des données, permettant de sécuriser les accès à chaque compte, isoler et gérer les flux Firewall redondés (haute disponibilité) en coupure Surveillance permanente des tentatives d intrusion par le personnel technique de NC2 grâce à la détection d attaques «ASQ» Serveur WSUS et Serveur antivirus TREND avec mise à jour automatisée Anti-spam avec mise à jour automatisée Mise à jour continue par les administrateurs des équipements et des serveur Tunnels VPN-IPSEC et Protocole HTTPS selon les besoins/exigences clients Contrôle d'accès logique Gestion discriminante des accès physique par le biais de badges pour tous les locaux utilisés par NC2 Gestion des badges, nominativement, informatiquement et administrativement, en fonction des horaires et zones autorisées (bureaux, DataCenter, etc.) Contrôle des entrée via les badges et le registre des visiteurs Accompagnement des visiteurs et des intervenants extérieurs Détection choc, périmétrique, intrusion & Alarme Remontée automatique des alarmes des intrusions Vidéo surveillance, permanente dans le DataCenter principal et de nuit pour les accès principaux de NC2 Verrouillage électromagnétique des issues Vitrages et portes renforcés Zone d'activité sécurisée (grillage / portail) Rondes de gendarmerie la nuit et les week-end Contrôle d'accès physique 4 / 11

5 LIENS, OUTILS ET SURVEILLANCE Applicatif pour l'enregistrement et la traçabilité des demandes (administration, exploitation, supervision, dysfonctionnement et autres) Echange d'information suivants les accords prévus avec les clients Aucune donnée personnelle n'est enregistrée, seulement des contacts dans le cadre de la mise en œuvre des contrats Outil de surveillance et de supervision permanente, limité aux aspects techniques et fonctionnels participant à la gestion des DataCenter de NC2 Hébergement de l'applicatif utilisé par NC2 (contrat, donc bénéficie de toutes les mesures de sécurité) Environnement de test et tests pour les modification d'ubiscus réalisés par Addixi Surveillance à intervalles réguliers avec alertes automatiques (mails voir GSM) suivant l évènement et sa gravité, principalement sur : Serveurs, sauvegardes et capacité des DataCenter Firewall et liens de communications (NC2 + Tiers) Périmètre de la surveillance défini avec les clients Applicatifs sur demandes client Journalisation des logs de connexion utilisateurs dans les environnements Système Supervision Pro-active Liaison Internet en fibre optique avec Burst Liaison Multi-VPN en fibre optique Liaisons configurées en mode HSRP et raccordées dans 2 salles distinctes Redondance complète : 2 liens, 2 routeurs, 2 Dslam, 2 PE, 2 liens ATM pour chaque Dslam, Surveillance de NC2 de la capacité et son usage, avec notamment des équipements de surveillance Contrat opérateur, GTR 4 avec le provider (couvre 100% des liaisons) + surveillance Examen et réévaluation régulière des solutions disponibles Revue et suivi des contrats opérateurs Sécurisation des liens de communication Ubiscus 5 / 11

6 MATERIELS ET DOSSIERS TECHNIQUES Répartition des données stockées sur 2 baies SAN de technologies différentes (tx de dispo 99,999%) Serveurs avec contrat d extension de garantie (DGR 6h) et redondance des blocs d'alimentation Mutualisation des ressources (virtualisation) Hôtes physiques de secours, Matériels de secours en attente (VmWare) et Matériel de spare Mise à jour automatisée des patchs de sécurité des systèmes d'exploitation Politique d'achat stricte : matériel haut de gamme sécurisé et réputé résistant, aux normes (NF, CE) Synchronisation avec une horloge NTP européenne Ressources informatiques Transfert des connaissances Tenue à jour des dossiers, données et informations techniques des clients Aligner et anticiper les ressources selon les besoin clients (en phase avec la revue contractuelle) Assurer la qualité de service et le suivi auprès des clients Organisation des dossiers techniques (Fiche de suivi matériel, Dossier de mise en production, Ordre de mission, Rapport d'intervention, Fiche des tests et validations) Gestion des dossiers techniques Utilisations de matériels standardisés facilement remplaçables Gestion centralisées des données dans les DataCenter, seules les informations d accès sont stockées dans les périphériques Gestion physique des périphériques avec le support des attestations de mise à disposition et de restitution de matériel Intégration des machines dans les domaines et gestion par les services techniques Gestion des périphériques 6 / 11

7 SAUVEGARDE ET PRA DataCenter distant du Datacenter principal et sécurisé (Onduleur, Refroidissement autonome, détection incendie & extinction automatique, double enceinte, serrure magnétique & badges) pour : Servir à la reconstruction du SI (Système d'information) si besoin Accueillir des hôtes configurés et répliqués des données et systèmes (option pour certains clients), avec déclenchement du PRA sur demande client Cellule de crise en cas d incident extrême : Prioriser les tâches Piloter la reprise d activité à partir des sauvegardes Assurer la communication auprès des clients PRA Technologie Evault, chiffrement de bout en bout (jusqu à AES 256), déduplication incrémentale bloc, restauration via https 2 Vault redondés : duplication des données de sauvegarde sur 2 stockages distincts dans deux sites différents Système sécurisé conçu pour résister à la panne d'un Vault avec réplication asynchrone des données, voir NF 004 «Sauvegarde et restauration» Backup réguliers (personnalisés/clients), des données, des configurations matériels, des systèmes d exploitation (en particulier avant modifications) Rétention usuelle sur Vault: 1 sauvegarde journalière (uniquement les jours ouvrés) sur 8 jours glissants 1 sauvegarde mensuelle sur 12 mois glissants 1 sauvegarde annuelle (année précédente) Restauration en ligne via la console WebCentralControl accessible à partir d'une page web sécurisée (https) Supervision des sauvegardes via la console CentralControl Sauvegarde 7 / 11

8 MOYENS GENERAUX Sécurisation des biens et des personnes avec : mise à la terre de tous les bâtiments, double circuit électrique, parafoudres en tête de circuit électrique et autres protections électriques/mises aux normes Production autonome d électricité Onduleurs redondés (3 en parallèle) pouvant supporter la panne de l un, avec surveillance automatique et alerte GSM, matériel professionnel conçu pour une durée de vie > 10 ans Groupe électrogène pour alimenter directement le DataCenter en cas de coupure EDF, avec réserve de carburant de 10h Salle onduleurs avec double circuit électrique autonome pour les alimentations secondaires des serveurs et double climatisation (2 groupes distincts et distincts des groupes du Datacenter principal) Seules 2 personnes sont autorisées à manœuvrer les installations groupe électrogène Revue et suivi du contrat EDF Sécurisation électrique Contrats de travail, avenants de confidentialité et clauses de non concurrence Livret d accueil : Règlement intérieur, Charte de mise à disposition des moyens informatiques Gestion administrative et veille pour les RH réalisées par Eolane Gestion des RH : Définition des rôles, missions et binômes (organigrammes, processus), Calendrier des absences, Plan de formation, EAI Transfert de compétence sur les produits au sein du service technique (notion de référents) Information et sensibilisation auprès des collaborateurs (risques, sécurité) Politique de sourcing permanent Management des RH Politique numérique : Les documents doivent être numérisés et/ou électroniques, Les données sont enregistrées et sauvegardées sous les serveurs de NC2 Les informations techniques sont en priorité enregistrées sous Ubiscus Les données ne sont ni enregistrées, ni dupliquées en local sans autorisation Les exemplaires papiers sont limités au strict nécessaire Les supports contenant des données sensibles ou critiques sont détruits après usage Les supports ayant nécessité ou utilité à être conservés sont archivés dans le local stock, voir dans un coffre. Rédaction centralisée des contrats, envoi par courrier ou mail en pdf Gestion des supports 8 / 11

9 SECURITE DES BIENS ET DES PERSONNES La localisation des DataCenters et autres locaux de NC2 n'est pas dans une zone à risque Les sites n'affichent pas de façon directe et objective le métier de NC2 Conception des locaux en adéquation avec les activités (vitres réfléchissantes, confinement, etc.) Implantation du SI Système de détection incendie avec extincteurs, alarmes et servitudes pour les locaux de NC2 et son DataCenter principal Remontée automatique des alarmes incendie par GSM Inspection des pompiers Contrat d entretien des extincteurs Surveillance des zones à risque feu (ex. Pas de papier à proximité des points chauds) Système Incendie Assurance générale du groupe (RC, aide juridique et autres) intégrant notamment les sites de NC2 et de son PRA Assurances spécifiques à NC2 pour la perte d'exploitation, le groupe électrogène Locaux de NC2 sous la responsabilité de son DG PRA de NC2 géographiquement sur un site sous la responsabilité d un autre directeur de site du groupe BackUp de NC2 géographiquement sur un site sous la responsabilité d un autre directeur de site du groupe Assurance Budgets annuels d'investissements Budgets annuels de maintenance et d'entretien Surveillance de la rentabilité de l'activité Gestion budgétaire de NC2 9 / 11

10 MAINTENANCE ET DEPANNAGE Mise en conformité, mises à jour, entretien et travaux, continus et réguliers réalisés par des tiers (contrats d entretien et/ou de maintenance ): Bâtiment général, Alarmes pour l'intrusion Circuits et tableaux électriques, Salles informatiques et leurs contenus (stockage de données, serveurs, réseaux, firewall, onduleurs) Groupe électrogène (avec vérification mensuelle de son bon fonctionnement) Groupes de refroidissement Onduleurs Ubiscus Visites périodiques de conformité : APAVE Système incendie Revue contractuelle pour les moyens généraux Mise en garde des intervenants extérieur en fonction de la nature de l intervention réalisée et adaptée à leur métier Maintenance tiers Déclenchement de l astreinte sur incident grave pour la sécurité des données, dont les éléments mis en place pour aligner le DataCenter principal sur le standard Tier III Astreinte sur alertes GSM Intrusion & Incendie Surveillance et supervision (serveurs, sauvegarde, liens de communication, etc.) Température et l hygrométrie Onduleurs Alimentation électrique Astreinte Assistance et support réalisé(s) par des tiers (contrats de support): Onduleurs, support 24/24 Firewalls Ubiscus Baies SAN, remontée des alertes vers le constructeur Les interventions à distance ne sont possibles que sur demande et ouverture de l'accès par une personne habilitée par NC2 Support tiers 10 / 11

11 STRATEGIE ET ORGANISATION Légale, réglementaire et normative concernant les activités spécifiques de NC2 (lois informatiques et libertés, ISO 27001, ITIL, etc.), avec le soutien du groupe (aide juridique notamment) Technologique (évolutions techniques, patchs, failles, vulnérabilités) Contractuelle (revue contractuelle, concurrence, étude de marché, santé financière des clients, des fournisseurs et autres tiers) Veilles Circuit de validation : GO NO-GO et Fiche de suivi administratif Révision annuelle de tous les contrats clients Alignement des contrats clients Révision annuelle des périmètres techniques et financiers Ecoute client : besoins, attentes et exigences aussi bien techniques que qualité de service et sécurité des données Déclinaison de l écoute client par anticipation dans l offre commerciale de NC2 Revues contractuelles SMSI intégré dans le Système de Management Général (SMG) et certifié ISO27001:2005 depuis Août 2013, comprenant entre autres : * Politique et engagements * Approche Processus ( Manuel Qualité et Sécurité, indicateurs et objectifs, tableaux de bord et reporting) * Revues et réexamen (COPIL, CODIR, comité sécurité, plan de progrès) * Gestion des risques (procédure, responsables des biens, méthodologie, étude des risques, plan de traitement, actions préventives) * Gestion des demandes (procédure, enregistrement et traitement des incidents et autres demandes) * Gestion des problèmes (procédure, analyse traitement et vérification, actions correctives ) * Surveillance et Audits (procédures audits systèmes et sécurité, plan de contrôle et de surveillance) * Gestion du système documentaire (procédure, GED) * Sensibilisation et communication Qualité et sécurité SMSI ISO27001 * 11 / 11