Dossier sécurité Memority



Documents pareils

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation

CAHIER DES CLAUSES TECHNIQUES

5 novembre Cloud, Big Data et sécurité Conseils et solutions

[WEB4ALL PRESENTATION ET TARIFS VPS INFOGERES]

Hypervision et pilotage temps réel des réseaux IP/MPLS

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Vers un nouveau modèle de sécurité

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

Contrôle d accès Centralisé Multi-sites

POLITIQUE SECURITE PSI - V3.2 VSI - 15/04/2014. L architecte de vos ambitions

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

dans un contexte d infogérance J-François MAHE Gie GIPS

HEBERGEMENT DANS LE DATACENTER GDC2 DE VELIZY

État Réalisé En cours Planifié

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Catalogue Audit «Test Intrusion»

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Projet Sécurité des SI

VMware Infrastructure The New Computing Platform. Stéphane CROIX Systems Engineer

LE CLOUD Made In France

Au sens Referens : Administrateur des systèmes informatiques, réseaux et télécommunications

300TB. 1,5milliard LE CLOUD ONBASE / L'EXPÉRIENCE COMPTE. Le Cloud OnBase, par Hyland DOCUMENTS. Plus de. Plus de. Plus de.

Virtualisation de la sécurité ou Sécurité de la virtualisation. Virtualisation de la sécurité Sécurité de la virtualisation Retour d expérience

Gestion active des bâtiments. Classification des niveaux d intégration de la sécurité

Catalogue «Intégration de solutions»

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Les clauses «sécurité» d'un contrat SaaS

10 juin Pharmagest - Villers-Lès-Nancy. Inauguration DataCenter

Extrait de Plan de Continuation d'activité Octopuce

Le CLOuD COmpuTING 100% made IN france

CLOUD CP3S SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE. La virtualisation au service de l entreprise. Évolutivité. Puissance.

Administration Réseau

De l IaaS au SaaS, La BI au cœur du cloud

Les solutions centre de données virtuel et Infrastructure-service de Bell

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

Retour d expérience sur Prelude

Evolution de messagerie en Cloud SaaS privé

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Vers un nouveau modèle de sécurisation

COTISATIONS VSNET 2015

Tableau Online Sécurité dans le cloud

HÉBERGEMENT CLOUD & SERVICES MANAGÉS

La plate forme VMware vsphere 4 utilise la puissance de la virtualisation pour transformer les infrastructures de Datacenters en Cloud Computing.

Evoluez au rythme de la technologie

AGARIK, GROUPE ATOS PRÉSENTATION DE LA SOCIÉTÉ. Agarik, hébergeur d un monde intelligent

HEBERGEMENT DANS LE DATACENTER GDC2 DE VELIZY

Sécurité du cloud computing

Cloud computing ET protection des données

Le Cloud Computing, levier de votre transformation digitale

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

INTEGRATEURS. Pour un Accompagnement Efficace vers le Cloud SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

1 LE L S S ERV R EURS Si 5

Marché Public en procédure adaptée : Infrastructure Informatique régionale hébergée CAHIER DES CHARGES ET DES CLAUSES TECHNIQUES

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

A Les différentes générations VMware

GUIDE TARIFAIRE AU 1er MARS 2013

Formations. «Produits & Applications»

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

L Expertise du Coffre-fort Bancaire au Service du Dossier Patient

Virtualisation et Sécurité

APPEL D OFFRE A PROCEDURE ADAPTEE MIGRATION SERVEURS WINDOWS. Cahier des Charges

votre partenaire informatique pour un développement durable Les réalités de la virtualisation des postes de travail

A propos de la sécurité des environnements virtuels

Projet d'infrastructure Cloud

Étendez les capacités de vos points de vente & sécurisez vos transactions.

RÉSUMÉ DESCRIPTIF DE LA CERTIFICATION (FICHE RÉPERTOIRE)

La sécurité IT - Une précaution vitale pour votre entreprise

Contexte : une infrastructure vieillissante qui n était plus en adéquation avec les besoins actuels et futurs de Swiss Life.

PASSI Un label d exigence et de confiance?

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Service Cloud Recherche

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

La Qualité, c est Nous!

TOPOLOGIES des RESEAUX D ADMINISTRATION

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

Auditer une infrastructure Microsoft

Aciernet. IT, Sécurité, Datacenter, Cloud

Intitulé du poste : Ingénieur Réseau et télécommunication, chef de projet

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

Nos solutions d hébergement mutualisés

Infrastructure Management

Hyper-V chez PSA. Stéphane CHOVET Spécialise Windows/Hyper-V

HEBERGEMENT DANS LE DATACENTER GDC3 DE VELIZY

Priorités d investissement IT pour [Source: Gartner, 2013]

LIVRE BLANC. La garantie de la meilleure performance réseau pour les applications Cloud

La renaissance de la PKI L état de l art en 2006

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Transcription:

Dossier sécurité Memority Version / date : Mai 2016 Contact Commercial : Alexandre Esculier +33 6 88 20 28 14 alexandre.esculier@arismore.fr Contact technique : Francis GREGOIRE +33 6 74 01 49 49 francis.gregoire@arismore.fr

Objectif du document Le présent document a pour objectif de détailler les mesures de sécurité prises par Memority pour répondre aux plus hautes exigences des clients. A noter que les documents cités dans le présent support peuvent être mise à disposition auprès des clients pour consultation (attestations, certifications, rapports de sécurité, etc.). Memority 2015 2/11

Memority dossier sécurité Memority, une solution «Security by design» Memority est conçue pour répondre aux plus hauts standards de sécurité, et ce à plusieurs niveaux : sécurité physique des datacenters, architecture de la solution, organisation de la sécurité Les paragraphes qui suivent décrivent l ensemble de ces éléments. Memority est le seul service de gestion des identités et des Accès complet en cloud vous assurant que vos données sont en France et sont exploitées depuis la France. Sécurité des datacenters Memority s appuie sur l offre Dedicated Cloud dans deux datacenters (Roubaix et Strasbourg) de l hébergeur OVH. Memority utilise l offre Dedicated Cloud d OVH. Au travers de cette offre, OVH fournit à Memority des serveurs, des disques dédiés et par hyperviseur VMWare, non partagés avec d autres clients d OVH. Memority est en charge de la solution à partir de la gestion des VMs (virtualisation, système, applicatif, réseau interne). Sécurité physique niveau datacenter La zone d hébergement Dedicated Cloud pour Memority dans les datacenters OVH est close et séparée du reste des infrastructures. Cette zone est occultée de toute visibilité depuis les fenêtres ou autres ouvertures sur l'extérieur. Des moyens de protection : clôture, barbelés, SAS et gardiens, assurent une absence directe d'accès au Dedicated Cloud depuis l'extérieur des bâtiments. Les accès piétons à la zone Dedicated Cloud sont contrôlés un par un par des badges d'accès individuels, des SAS unipersonnels et des contrôles par vidéosurveillance. Les entrées et sorties du périmètre Dedicated Cloud sont systématiquement contrôlées au moyen d'un lecteur de badge. Les accès au Dedicated sont contrôlés au moyen d'un double dispositif : la mesure du poids de l accédant et le port du badge. Les entrées et sorties des périmètres Dedicated Cloud sont tracés et enregistrés dans un journal de logs. Des mécanismes de protection d'accès des véhicules sur les sites de Strasbourg et Roubaix sont opérants. Les accès des véhicules visiteurs sur les sites de Strasbourg et Roubaix sont tracés. La gestion des accès piétons à la zone Dedicated Cloud est révisée tous les mois. Des procédures d'audit des autorisations et des moyens d'accès sur le périmètre Dedicated Cloud existent. Les entrées et sorties des visiteurs (prestataires inclus) sont vérifiées avec un contrôle d'identité obligatoire. Elles sont tracées dans un registre sécurisé. Memority 2015 3/11

Sécurité physique pour l'accès des exploitants Memority Sécurité incendie Sécurité électrique Les entrées et issues de sorties du périmètre Dedicated Cloud sont protégées par des mécanismes anti-effraction (Alarme) et par de la Video Surveillance. Les ouvertures de portes d'entrées et de sorties sont contrôlées et signalées au centre de surveillance permanent. Le gardiennage 24/7/365 et la vidéo surveillance détectent les intrusions en dehors des heures de présence du personnel. Les exploitants de l'équipe Memority sont localisés à Saint-Cloud (France). Ils ont en charge la gestion de l'infrastructure globale Memority (hors gestion des éléments physiques). Cette exploitation se fait depuis un site sûr dans lequel seule l'équipe Memority est autorisée à entrer. L'accès au site sûr se fait par contrôle biométrique (empreinte digitale). Les datacenters hébergeant Memority sont équipés d un système de détection et d'extinction d incendie ainsi que de portes coupe-feu. Notre hébergeur respecte la règle APSAD R4 pour l installation des extincteurs portatifs et mobiles, et possède le certificat de conformité N4 pour tous ses datacenters. Les datacenters de notre hébergeur sont alimentés par deux arrivées électriques indépendantes l une de l autre et sont également équipés d onduleurs. Des groupes électrogènes d une autonomie de 48 heures permettent de pallier une éventuelle panne du réseau de fourniture d électricité. Certification sécurité Preuve de son engagement en matière de sécurité, notre hébergeur a obtenu la certification ISO/IEC 27001:2013 pour la fourniture et l exploitation d infrastructures dédiées de Cloud Computing. Le périmètre de la certification ISO 27001 englobe l ensemble des salles d hébergement où sont localisés les serveurs dédiés au Cloud Computing dans trois centres de données (P19, RBX2 et SBG). L ensemble du personnel situé dans le périmètre ISO 27001 reçoit régulièrement des formations spécifiques à la sécurité du système d information. Notre hébergeur a également obtenu les attestations internationales SOC 1 type II (SSAE 16 et ISAE 3402) et SOC 2 type II pour quatre centres de données en France et au Canada. Les bureaux et les services de Roubaix et Montréal, ainsi que les datacenters de Roubaix (RBX2), Strasbourg (SBG1), Paris (P19) et Beauharnois (BHS), où est localisé le Cloud Dédié, qui ont été audités par la société KPMG. SOC 1 type I atteste que notre hébergeur a bien défini et mis en place des contrôles pour la protection des données de ses clients, tandis que SOC 2 type I évalue ses contrôles par rapport à la norme internationale établie par l'aicpa (American Institute of Certified Public Accountants) dans ses principes sur les services de confiance («Trust Services Principles»). Le Dedicated Cloud d'ovh est certifié PCI-DSS Niveau 1. Cette certification permet aux clients d'ovh de bénéficier d'une infrastructure conforme aux exigences du PCI SSC (PCI Standard Security Council) pour le stockage et le traitement des données de carte bancaire. Memority 2015 4/11

Par ailleurs, notre hébergeur a adhéré au Cloud Security Alliance et y a publié son propre Self-Assessment (CAIQ), disponible sur Internet. Redondance matérielle Chaque élément de l infrastructure est redondé. Les alimentations des serveurs, les arrivées électriques, les espaces de stockage, les routeurs, les switchs ont tous un jumeau, relié à des alimentations différentes. Gestion des attaques DDoS Le contrôle d'accès est une fonction sensible de Memority. La perte de ce service suite à une attaque de type DDoS (Distributed Deny Of Service ou attaque par déni de service) ne permettrait plus à nos clients d'accéder à leurs services. C'est pourquoi nous avons choisi un hébergeur proposant l'une des meilleures réponses à ce type d'attaque. Ainsi la gestion par auto-mitigation est basée sur du matériel Cisco, Tilera, Arbor (4 niveaux) : En permanence, 1/2000ième du trafic est analysé pour détecter une attaque de type DDOS. Lors d une attaque, le processus suivant est déclenché : Lors du démarrage d'une attaque, l'auto-mitigation démarre dans un laps de temps allant de 15 à 120 secondes. Dès lors, le trafic entrant vers le serveur est aspiré sur 3 VACs, d'une capacité totale de 480Gbps (3x160Gbps) de mitigation, hébergés dans 3 datacenters répartis sur deux continents (Europe et Amérique du Nord). L'attaque est bloquée sans limite de durée, sans limite de taille et quel que soit son type. Le trafic légitime passe à travers le VAC pour arriver enfin sur le serveur. Le serveur répond directement sans repasser par le VAC. Durant 26 heures à compter de la fin de l'attaque, l'auto-mitigation est maintenue. Cela permet ainsi de bloquer une nouvelle attaque qui pourrait arriver potentiellement à nouveau au bout de quelques minutes, quelques heures ou de 24 heures. Après 26 heures seulement, l'auto-mitigation se désactive tout en restant prête à se réactiver en cas de détection d'une nouvelle attaque. Memority 2015 5/11

Si nécessaire, la mitigation peut être déclenchée manuellement. Architecture de la solution Les paragraphes ci-dessous décrivent les éléments d architecture de Memority relatifs à sa sécurité. Un ensemble de service redondé Un service réparti sur deux datacenters L'ensemble des services sont intégralement redondés en s'appuyant sur les technologies de virtualisation et de répartition de charge. Les services de gestion d'identité et de gestion des accès sont actuellement hébergés sur deux datacenters en France (Roubaix et Strasbourg). Le fonctionnement de la répartition des services est le suivant : actif / passif sur le service de gestion d'identité, actif / passif sur le service de reporting, actif / Actif sur le service de contrôle d'accès. Le service d authentification multi-facteur est réparti sur deux autres datacenters en France en mode actif / actif. Ainsi les engagements de disponibilité sont les suivants : 99,95 % annuels pour le contrôle d accès (soit moins de 22 minutes de coupures par mois), 99,90 % annuels (soit moins de 44 minutes de coupures par mois) pour la gestion d identité, le reporting et l authentification multi-facteur. Accès logique L'accès d exploitation à l'infrastructure Memority se fait uniquement via des comptes nominatifs après une authentification forte (mot de passe + clé SSH). Cet accès se fait depuis des postes spécifiques (chiffré, sans droits administrateurs sur le poste, sans accès Internet depuis ce poste). En termes d exploitation, l'accès aux serveurs de l'infrastructure Memority n'est possible que via une zone de rebond sur laquelle résident les serveurs. L'ensemble des accès exploitants (commande en ligne, mouvement de la souris) est tracé au travers de la solution AdminBastion de Wallix. Une architecture de sécurité à l'état de l'art L'architecture est basée sur un cloisonnement réseau (zone publique / zone rivée / zone d administration) ne laissant passer que les flux nécessaires (principe du moindre privilège). Memority 2015 6/11

La zone d administration n est accessible que par VPN. La zone privée n est pas accessible d Internet. Les serveurs ne sont installés qu'avec les services strictement nécessaires au bon fonctionnement de Memority. Les flux sont chiffrés en SSL. Les serveurs bénéficient d'une défense anti-virale. Chiffrement des mots de passe Les mots de passe primaires utilisateurs sont hashés (non réversible) en SHA2. Si le client utilise l'un des modes d'authentification multi-facteurs, le stockage du login et de la clé de chiffrement associé à l utilsateur se fait sur des serveurs situés dans des datacenters différents. Dans le cadre de l authentification multi-facteurs, les clés sont stockées dans un HSM Utimaco. Son utilisation implique l utilisation de passer par des mots de passe à usage unique. Ainsi le mot de passe ou code PIN de l utilisateur ne transite jamais sur le réseau. Politique de mot de passe Le client peut définir une ou plusieurs politiques de mot de passe pour ses utilisateurs (par population). La politique de mot de passe permet de : renseigner la complexité (composition attendue, longueur minimale, mots interdits depuis un dictionnaire, reprise totale ou partielle d un attribut d utilisateur, interdiction de pattern ), renseigner la durée de vie du mot de passe avec délai de grâce pour en changer, gérer l historique du mot de passe (interdiction de réutiliser les N derniers mots de passe, interdiction d utiliser un ancien mot de passe avant une période pré-définie), bloquer le compte (temporaire ou définitif) au bout de N échecs d authentification. Réinitialisation du mot de passe Il est possible de configurer Memority pour permettre la réinitialisation par l utilisateur final. La réinitialisation peut être effectuée par challenges, mail ou par SMS. Authentification multifacteur Il est possible de renforcer l authentification simple login / mot de passe par une authentification multi-facteur. Dès lors, l authentification s appuiera sur ce que sait l utilisateur (un mot de passe ou un code PIN) et sur ce que possède l utilisateur (en l occurrence l appareil enrôlé au préalable). Memority peut également s appuyer sur vos propres systèmes d authentification (x.509, Kerberos AD ). Différentes possibilité d authentification : réserver certains modes d authentifications à certaines populations, réserver certains modes d authentifications à certaines applications, ou encore mixer les deux précédentes modes d authentification. Authentification adaptative Memority peut, à la demande, détecter des tentatives de connexions à risque (fonction de l historique d adresse IP, d une géolocalisation (via adresse IP), d un changement d attributs utilisateurs ). Dès lors, il est possible de simplement bloquer l accès ou de demander une preuve supplémentaire d authentification (réponse à un challenge, demande d authentification forte ). Memority 2015 7/11

Cloisonnement des données clientes Au travers de l offre standard, Memority garantit que les données de différents clients sont gérées de manière autonome à différents niveaux : par virtualisation des éléments applicatifs, par exécution d'instances logicielles spécifiques à chaque client, par contrôle d accès au niveau applicatif (incluant la gestion des données), par utilisation d une clé de chiffrement différente par client. Alimentation des données Raccordement entre datancenter client et datacenter Memority Au travers de l offre Dedicated Memority, les serveurs et les disques sont dédiés au client. Ainsi le cloisonnement des données est directement effectué au niveau physique. Très souvent, l alimentation des données vers Memority s effectue par fichiers plats. Memority n accepte que des fichiers chiffrés (confidentialité) et signés (intégrité). Par ailleurs, il est possible de mettre en place des règles de vérification fonctionnelle sur la qualité du contenu du fichier de données afin d en vérifier la cohérence. Les accès utilisateurs s effectuent en https sur Internet uniquement. Les échanges de données (alimentation amont, provisioning aval) entre datacenters client et datacenters Memority s effectuent au travers d un lien IPSec. Si souhaité, un lien MPLS peut être mis en place. Sauvegardes L intégralité des données est sauvegardée une fois par jour sur une rétention de 30 jours calendaires. Développement sécurisé Une gestion des vulnérabilités actives Dans le cadre de l offre Dedicated Memority, la fréquence de sauvegarde peut être plus élevée. Les développements liés à Memority sont basés sur les meilleures pratiques en termes de développement sécurisé de logiciel. Memority étant basé sur une architecture maitrisée, une veille des vulnérabilités des différents composants est faite de manière permanente. Quand une faille est découverte, Memority réalise le plan d'action suivant : évaluation du risque sur les services Memority, évaluation du patch proposé, de sa mise en œuvre sur Memority, validation du patch sur une plateforme dédiée, déploiement du patch sur Memority. Audit L'infrastructure Memority est auditée une fois par an par du personnel qualifié Arismore (audit en boite noire, boîte de cristal et en boite blanche). En parallèle, un audit hebdomadaire est automatiquement par la société Qualys. Deux audits externes de tests d intrusion ont lieu chaque année. Ces audits de tests d intrusion sont réalisés par deux cabinets externes différents, certifiés par l ANSSI (Agence Nationale de la Sécurité des Systèmes d Informations). A ce jour, les audits ont été réalisés par HSC-Deloitte et Solucom. Les clients de Memority peuvent réaliser des audits de sécurité de leur instance après accord préalable de Memority. Supervision 24/7 L'infrastructure Memority est supervisée en permanence afin d'avoir : une vue sur les composants techniques, une vue sur les services par clients, une vue en terme de capacity planning, une vue sur les performances de Memority. Memority 2015 8/11

En cas d'incidents, les équipes Memority corrigent le problème dans les meilleurs délais. Certification ANSSI La librairie utilisée dans le cadre du module d'authentification multi-facteur est certifié par l'anssi au niveau CSPN (Certificat de Sécurité de Premier Niveau) : http://www.ssi.gouv.fr/fr/produits-et-prestataires/produitscertifies-cspn/certificat_cspn_2012_03.html Organisation de la sécurité L organisation de la sécurité, sous responsabilité du RSSI Memority, est décrite au travers de deux documents : la Politique de Sécurité du Système d Information, le plan de fonctionnement qui décrit aussi d autres processus tels que l exploitation, les processus projets, le support. Nous listons ci-dessous les processus mis en œuvre pour les domaines exploitation et sécurité, domaines décrits dans le plan de fonctionnement Memority. Equipe d exploitation Seule l équipe d exploitation peut accéder aux tenants de préproduction et production. L accès d exploitation Memority se fait depuis des postes de travail n ayant pas d accès Internet et sur lesquels les exploitants Memority ne sont pas administrateurs (afin d éviter l installation de logiciels tiers non autorisés). Les accès des exploitants (ligne de commande / accès graphique) sont intégralement enregistré en mode vidéo via un bastion Wallix. L extrait de casier judiciaire B3 est vérifié à l embauche. Processus exploitation Les processus et éléments existants sont les suivants : stockage et procédures des modes opératoires, outillage d exploitation, gestion du plan de production, gestion des incidents, gestion des problèmes, gestion des changements, gestion des configurations, gestion de la capacité, gestion de la continuité de service, gestion de la disponibilité, gestion de crise, gestion de la réversibilité, Processus sécurité Les processus et éléments existants sont les suivants : pilotage de la sécurité, mesures de contrôle, indicateurs et tableaux de bord, analyse de risque, classification des biens, ségrégation des droits et gestion des accès, gestion des vulnérabilités, Memority 2015 9/11

sécurité physique, gestion des traces, mesures spécifiques de sécurité mises en œuvre, mesures liées au personnel, gestion de la continuité d activité, gestion de la sécurité des développements, gestion des audits, conformité légale. Memority 2015 10/11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back