POLITIQUE SECURITE PSI - V3.2 VSI - 15/04/2014. L architecte de vos ambitions



Documents pareils
Solution de sauvegarde pour flotte nomade

INTEGRATEURS. Pour un Accompagnement Efficace vers le Cloud SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

10 juin Pharmagest - Villers-Lès-Nancy. Inauguration DataCenter

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Projet Sécurité des SI

Panorama général des normes et outils d audit. François VERGEZ AFAI

Bienvenue au Club Logistique! Jeudi 05 décembre 2013

SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

HEBERGEMENT DANS LE DATACENTER GDC2 DE VELIZY

Bienvenue. Présentation de la société. Mons, le 19 septembre Gilles Dedisse, Chef de Projets

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Prestations d audit et de conseil 2015

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

HEBERGEMENT DANS LE DATACENTER GDC2 DE VELIZY

Vers un nouveau modèle de sécurité

Extrait de Plan de Continuation d'activité Octopuce

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Bienvenue. Présentation de la société. Microsoft Innovation Center, le 20 mars Gilles Dedisse, Chef de Projets

Qu est ce qu une offre de Cloud?

Nos solutions d hébergement mutualisés

HEBERGEMENT DANS LE DATACENTER GDC3 DE VELIZY

L'AUDIT DES SYSTEMES D'INFORMATION

Le groupe et l actionnariat 10 M 30 M 2. Editique, GED, Archivage. Intégration, Infogérance, Développement

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

Politique de Sécurité des Systèmes d Information

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

Mise à niveau du système informatique communal

NOS SOLUTIONS ENTREPRISES

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation

AGARIK, GROUPE ATOS PRÉSENTATION DE LA SOCIÉTÉ. Agarik, hébergeur d un monde intelligent

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

HySIO : l infogérance hybride avec le cloud sécurisé

Cahier des charges Hébergement Infogérance

État Réalisé En cours Planifié

France Telecom Orange

EFIDEM easy messaging systems

GCS EMOSIST-fc. DataCenter. Journée du 30 Novembre Jérôme Gauthier

Marché Public. Serveurs et Sauvegarde 2015

Connect FH. La connectivité Très-Haut Débit par faisceaux hertziens

Livre blanc. SaaS : garantir le meilleur niveau de service. (2e partie)

Notre expertise au cœur de vos projets

Systèmes et réseaux d information et de communication

[WEB4ALL PRESENTATION ET TARIFS VPS INFOGERES]

CATALOGUE DES OFFRES

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

dans un contexte d infogérance J-François MAHE Gie GIPS

PLAN. Industrialisateur Open Source LANS DE SECOURS INFORMATIQUES PRINCIPES GENERAUX ETAT DE L ART SELON BV ASSOCIATES

Donnez de l'oxygène à votre entreprise

Priorités d investissement IT pour [Source: Gartner, 2013]

Le contrat SID-Services

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Les services de Cloud Computing s industrialisent, Cloud COmputing : Sommaire

Quadra Entreprise On Demand

CLOUD CP3S SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE. La virtualisation au service de l entreprise. Évolutivité. Puissance.

1. Notre société. Présentation de notre société. Nos activités Les solutions informatiques. - Audit et Conseil :

alarme incendie (feu non maîtrisable)

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

Solutions informatiques (SI) Semestre 1

Qu est ce qu une offre de Cloud?

Audit 360. Votre Data Center peut-il vraiment répondre à vos objectifs? À quelles conditions? Avec quelles priorités? Pour quels budgets?


Aciernet. IT, Sécurité, Datacenter, Cloud

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Nos solutions Cloud Kain, le 27 mars 2013 Laurent Guelton, Administrateur Délégué. Copyright 2013 Orditech. Tous droits réservés. Version 2.

La sécurité IT - Une précaution vitale pour votre entreprise

HÉBERGEMENT CLOUD & SERVICES MANAGÉS

MOBILITE. Datasheet version 3.0

CAHIER DES CLAUSES TECHNIQUES

EVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité

La sécurité des systèmes d information

Administration Réseau

SOMMAIRE. 1. Architecture proposée. 2. Constituants de la solution. 3. Supervision DATA CENTER OPTION SERVICE

Supervision & Maintenance des centrales photovoltaïques en toiture GARANTIR LA PERFORMANCE DE VOS INVESTISSEMENTS DANS LE TEMPS

Nouvelles stratégies et technologies de sauvegarde

Plan de reprise d activité PRA - PCA Informatique

L'infonuagique, les opportunités et les risques v.1

Mise en œuvre de la certification ISO 27001

GAGNEZ EN AGILITÉ AVEC NOS SOLUTIONS CLOUD

CONTEXTE DRSI Paris V Site de Necker. CCTP portant sur l acquisition d une solution de stockage de type SAN sur le site de Necker SUJET

- Biométrique par badge code - Visualisation en directe - Positionnement sur des alarmes - Image haute résolution de jour comme de nuit

Présentation Datacenter Lausanne

CIMAIL SOLUTION: EASYFOLDER SAE

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

RESPONSABLE DU DEPARTEMENT ADMINISTRATIF ET FINANCIER

Informations sur la NFS

AdBackup Entreprise. Solution de sauvegarde pour Moyennes et Grandes Entreprises. Société Oodrive

Catalogue «Intégration de solutions»

Unitt Zero Data Loss Service (ZDLS) La meilleure arme contre la perte de données

Les modules SI5 et PPE2

Prolival Cloud Services

Système de Stockage Sécurisé et Distribué

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4

PRESENTATION 2009 L'ingénierie Documentaire

Solution de stockage et archivage de grands volumes de données fichiers.

CONSULTATION : (MAPA) MAT_INFO_2013_03 Marché à procédure adaptée (MAPA) MAT_INFO_2013_03

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Transcription:

L architecte de vos ambitions

POLITIQUE GENERALE ET ENGAGEMENTS Acteur du développement de solutions informatiques depuis 20 ans, principalement en région lyonnaise, NC2 est une SSII résolument orientée vers l hébergement, le SaaS, en un mot le Cloud. Conscient des enjeux de nos métiers, de nos activités, mais aussi des exigences et référentiels de nos métiers (lois informatiques et liberté, normes ISO 27001 et 20001, bonnes pratiques ITIL et autres), des attentes ainsi que des interrogations de nos clients et prospects, nous avons le souci constant de nous adapter et de garder une offre personnalisée et transparente, maîtrisée techniquement et à valeur ajoutée. Dans ce but et fort de nos acquis, nous avons structuré NC2 autour d un Système de Management Général (SMG), qui se veut encore plus systémique qu'un "classique SMSI" (Système de Management de la Sécurité de l'information) et qui est basé sur deux axes essentiels à nos yeux : La qualité de service La sécurité des données Concernant la qualité de service, notre ambition est avant tout de satisfaire nos clients ; d être capable de répondre dans les délais annoncés à leurs demandes, en apportant un suivi de qualité et des réponses pertinentes. Tout cela bien sûr en assurant la continuité des activités et donc le MCO (Maintien en Condition Opérationnelle) de nos infrastructures et services. La sécurité des données est mise en œuvre en intégrant notre SI dans notre «SMG» : D une part avec une gestion des risques ayant une portée concrète dans la définition de nos besoins et donc de nos plans de développements, de notre organisation. D autre part, en sensibilisant progressivement tous nos acteurs à la «sécurité de notre SI», parce que notre SI est mutualisé et que sa sécurité est l affaire de tous. Enfin et surtout avec le maintien de notre certification ISO 27001* et l enrichissement de nos mesures de sécurité, afin de maîtriser la disponibilité de notre SI mais aussi la confidentialité et l'intégrité. Notre «SMG» s'articule autour de processus pensés et pilotés pour nous permettre de tenir nos engagements, à savoir : Un taux annuel de disponibilité de notre DataCenter Principal de 99,850%. Un délai moyen de prise en charge des demandes inférieur à 1h. Une politique d investissements et de renouvellement homogène dans le DataCenter (environs 10% du CA annuel "hébergement"). La garantie de réversibilité des données à 100%, avec un accompagnement personnalisé. Le maintient et l amélioration de nos compétences (formations, agréments constructeurs et éditeurs). * Depuis Août 2013 / Certification ISO/IEC 27001 : 2005 SECURITE 2 / 11

CARTOGRAPHIE DES MESURES DE SECURITE Ubiscus Gestion des dossiers techniques PRA Support tiers MANAGEMENT Sécurisation des liens de communication PRODUCTION DE SERVICES Sauvegarde Supervision Pro-Active Astreinte DU SI Gestion des périphériques MANAGEMENT QUALITE ET SECURITE GESTION DU CLIENT Ressources informatiques Contrôle d'accès logique * Depuis Août 2013 / Certification ISO/IEC 27001 : 2005 SMSI ISO27001 * Gestion des supports Revues contractuelles Datacenter principal sécurisé Assurance Système incendie Maintenance tiers MANAGEMENT DE NC2 Veille Contrôle d'accès physique Sécurisation électrique Implantation du SI Gestion budgétaire de NC2 Management des RH 3 / 11

DATACENTER ET CONTRÔLE D'ACCES Redondance de matériel actifs (Routing switchs / FW / Ensemble et sous-systèmes de calcul de production informatique) DataCenter conçu confiné pour être noninondable (déluge d eau) et résistant au feu (2h) Système de refroidissement avec redondance totale (2 groupes dédiés au DataCenter LTDS) pour réguler la température et l hygrométrie avec surveillance automatique (alerte GSM ) Implémentation de deux Firewall en Haute dispo avec bascule automatique (NetAsq) situé dans deux localisations géographiques distinctes Rondes quotidiennes de surveillance Datacenter principal sécurisé Active Directory Gestion des droits informatiques et des ports ouverts Gateway (CITRIX) Authentification forte pour accéder à nos réseaux (certificat + login/mot de passe) avec configuration pour le changement de mot de passe tous les 3 mois Architecture avec cloisonnement, séparation physique des données, permettant de sécuriser les accès à chaque compte, isoler et gérer les flux Firewall redondés (haute disponibilité) en coupure Surveillance permanente des tentatives d intrusion par le personnel technique de NC2 grâce à la détection d attaques «ASQ» Serveur WSUS et Serveur antivirus TREND avec mise à jour automatisée Anti-spam avec mise à jour automatisée Mise à jour continue par les administrateurs des équipements et des serveur Tunnels VPN-IPSEC et Protocole HTTPS selon les besoins/exigences clients Contrôle d'accès logique Gestion discriminante des accès physique par le biais de badges pour tous les locaux utilisés par NC2 Gestion des badges, nominativement, informatiquement et administrativement, en fonction des horaires et zones autorisées (bureaux, DataCenter, etc.) Contrôle des entrée via les badges et le registre des visiteurs Accompagnement des visiteurs et des intervenants extérieurs Détection choc, périmétrique, intrusion & Alarme Remontée automatique des alarmes des intrusions Vidéo surveillance, permanente dans le DataCenter principal et de nuit pour les accès principaux de NC2 Verrouillage électromagnétique des issues Vitrages et portes renforcés Zone d'activité sécurisée (grillage / portail) Rondes de gendarmerie la nuit et les week-end Contrôle d'accès physique 4 / 11

LIENS, OUTILS ET SURVEILLANCE Applicatif pour l'enregistrement et la traçabilité des demandes (administration, exploitation, supervision, dysfonctionnement et autres) Echange d'information suivants les accords prévus avec les clients Aucune donnée personnelle n'est enregistrée, seulement des contacts dans le cadre de la mise en œuvre des contrats Outil de surveillance et de supervision permanente, limité aux aspects techniques et fonctionnels participant à la gestion des DataCenter de NC2 Hébergement de l'applicatif utilisé par NC2 (contrat, donc bénéficie de toutes les mesures de sécurité) Environnement de test et tests pour les modification d'ubiscus réalisés par Addixi Surveillance à intervalles réguliers avec alertes automatiques (mails voir GSM) suivant l évènement et sa gravité, principalement sur : Serveurs, sauvegardes et capacité des DataCenter Firewall et liens de communications (NC2 + Tiers) Périmètre de la surveillance défini avec les clients Applicatifs sur demandes client Journalisation des logs de connexion utilisateurs dans les environnements Système Supervision Pro-active Liaison Internet en fibre optique avec Burst Liaison Multi-VPN en fibre optique Liaisons configurées en mode HSRP et raccordées dans 2 salles distinctes Redondance complète : 2 liens, 2 routeurs, 2 Dslam, 2 PE, 2 liens ATM pour chaque Dslam, Surveillance de NC2 de la capacité et son usage, avec notamment des équipements de surveillance Contrat opérateur, GTR 4 avec le provider (couvre 100% des liaisons) + surveillance Examen et réévaluation régulière des solutions disponibles Revue et suivi des contrats opérateurs Sécurisation des liens de communication Ubiscus 5 / 11

MATERIELS ET DOSSIERS TECHNIQUES Répartition des données stockées sur 2 baies SAN de technologies différentes (tx de dispo 99,999%) Serveurs avec contrat d extension de garantie (DGR 6h) et redondance des blocs d'alimentation Mutualisation des ressources (virtualisation) Hôtes physiques de secours, Matériels de secours en attente (VmWare) et Matériel de spare Mise à jour automatisée des patchs de sécurité des systèmes d'exploitation Politique d'achat stricte : matériel haut de gamme sécurisé et réputé résistant, aux normes (NF, CE) Synchronisation avec une horloge NTP européenne Ressources informatiques Transfert des connaissances Tenue à jour des dossiers, données et informations techniques des clients Aligner et anticiper les ressources selon les besoin clients (en phase avec la revue contractuelle) Assurer la qualité de service et le suivi auprès des clients Organisation des dossiers techniques (Fiche de suivi matériel, Dossier de mise en production, Ordre de mission, Rapport d'intervention, Fiche des tests et validations) Gestion des dossiers techniques Utilisations de matériels standardisés facilement remplaçables Gestion centralisées des données dans les DataCenter, seules les informations d accès sont stockées dans les périphériques Gestion physique des périphériques avec le support des attestations de mise à disposition et de restitution de matériel Intégration des machines dans les domaines et gestion par les services techniques Gestion des périphériques 6 / 11

SAUVEGARDE ET PRA DataCenter distant du Datacenter principal et sécurisé (Onduleur, Refroidissement autonome, détection incendie & extinction automatique, double enceinte, serrure magnétique & badges) pour : Servir à la reconstruction du SI (Système d'information) si besoin Accueillir des hôtes configurés et répliqués des données et systèmes (option pour certains clients), avec déclenchement du PRA sur demande client Cellule de crise en cas d incident extrême : Prioriser les tâches Piloter la reprise d activité à partir des sauvegardes Assurer la communication auprès des clients PRA Technologie Evault, chiffrement de bout en bout (jusqu à AES 256), déduplication incrémentale bloc, restauration via https 2 Vault redondés : duplication des données de sauvegarde sur 2 stockages distincts dans deux sites différents Système sécurisé conçu pour résister à la panne d'un Vault avec réplication asynchrone des données, voir NF 004 «Sauvegarde et restauration» Backup réguliers (personnalisés/clients), des données, des configurations matériels, des systèmes d exploitation (en particulier avant modifications) Rétention usuelle sur Vault: 1 sauvegarde journalière (uniquement les jours ouvrés) sur 8 jours glissants 1 sauvegarde mensuelle sur 12 mois glissants 1 sauvegarde annuelle (année précédente) Restauration en ligne via la console WebCentralControl accessible à partir d'une page web sécurisée (https) Supervision des sauvegardes via la console CentralControl Sauvegarde 7 / 11

MOYENS GENERAUX Sécurisation des biens et des personnes avec : mise à la terre de tous les bâtiments, double circuit électrique, parafoudres en tête de circuit électrique et autres protections électriques/mises aux normes Production autonome d électricité Onduleurs redondés (3 en parallèle) pouvant supporter la panne de l un, avec surveillance automatique et alerte GSM, matériel professionnel conçu pour une durée de vie > 10 ans Groupe électrogène pour alimenter directement le DataCenter en cas de coupure EDF, avec réserve de carburant de 10h Salle onduleurs avec double circuit électrique autonome pour les alimentations secondaires des serveurs et double climatisation (2 groupes distincts et distincts des groupes du Datacenter principal) Seules 2 personnes sont autorisées à manœuvrer les installations groupe électrogène Revue et suivi du contrat EDF Sécurisation électrique Contrats de travail, avenants de confidentialité et clauses de non concurrence Livret d accueil : Règlement intérieur, Charte de mise à disposition des moyens informatiques Gestion administrative et veille pour les RH réalisées par Eolane Gestion des RH : Définition des rôles, missions et binômes (organigrammes, processus), Calendrier des absences, Plan de formation, EAI Transfert de compétence sur les produits au sein du service technique (notion de référents) Information et sensibilisation auprès des collaborateurs (risques, sécurité) Politique de sourcing permanent Management des RH Politique numérique : Les documents doivent être numérisés et/ou électroniques, Les données sont enregistrées et sauvegardées sous les serveurs de NC2 Les informations techniques sont en priorité enregistrées sous Ubiscus Les données ne sont ni enregistrées, ni dupliquées en local sans autorisation Les exemplaires papiers sont limités au strict nécessaire Les supports contenant des données sensibles ou critiques sont détruits après usage Les supports ayant nécessité ou utilité à être conservés sont archivés dans le local stock, voir dans un coffre. Rédaction centralisée des contrats, envoi par courrier ou mail en pdf Gestion des supports 8 / 11

SECURITE DES BIENS ET DES PERSONNES La localisation des DataCenters et autres locaux de NC2 n'est pas dans une zone à risque Les sites n'affichent pas de façon directe et objective le métier de NC2 Conception des locaux en adéquation avec les activités (vitres réfléchissantes, confinement, etc.) Implantation du SI Système de détection incendie avec extincteurs, alarmes et servitudes pour les locaux de NC2 et son DataCenter principal Remontée automatique des alarmes incendie par GSM Inspection des pompiers Contrat d entretien des extincteurs Surveillance des zones à risque feu (ex. Pas de papier à proximité des points chauds) Système Incendie Assurance générale du groupe (RC, aide juridique et autres) intégrant notamment les sites de NC2 et de son PRA Assurances spécifiques à NC2 pour la perte d'exploitation, le groupe électrogène Locaux de NC2 sous la responsabilité de son DG PRA de NC2 géographiquement sur un site sous la responsabilité d un autre directeur de site du groupe BackUp de NC2 géographiquement sur un site sous la responsabilité d un autre directeur de site du groupe Assurance Budgets annuels d'investissements Budgets annuels de maintenance et d'entretien Surveillance de la rentabilité de l'activité Gestion budgétaire de NC2 9 / 11

MAINTENANCE ET DEPANNAGE Mise en conformité, mises à jour, entretien et travaux, continus et réguliers réalisés par des tiers (contrats d entretien et/ou de maintenance ): Bâtiment général, Alarmes pour l'intrusion Circuits et tableaux électriques, Salles informatiques et leurs contenus (stockage de données, serveurs, réseaux, firewall, onduleurs) Groupe électrogène (avec vérification mensuelle de son bon fonctionnement) Groupes de refroidissement Onduleurs Ubiscus Visites périodiques de conformité : APAVE Système incendie Revue contractuelle pour les moyens généraux Mise en garde des intervenants extérieur en fonction de la nature de l intervention réalisée et adaptée à leur métier Maintenance tiers Déclenchement de l astreinte sur incident grave pour la sécurité des données, dont les éléments mis en place pour aligner le DataCenter principal sur le standard Tier III Astreinte sur alertes GSM Intrusion & Incendie Surveillance et supervision (serveurs, sauvegarde, liens de communication, etc.) Température et l hygrométrie Onduleurs Alimentation électrique Astreinte Assistance et support réalisé(s) par des tiers (contrats de support): Onduleurs, support 24/24 Firewalls Ubiscus Baies SAN, remontée des alertes vers le constructeur Les interventions à distance ne sont possibles que sur demande et ouverture de l'accès par une personne habilitée par NC2 Support tiers 10 / 11

STRATEGIE ET ORGANISATION Légale, réglementaire et normative concernant les activités spécifiques de NC2 (lois informatiques et libertés, ISO 27001, ITIL, etc.), avec le soutien du groupe (aide juridique notamment) Technologique (évolutions techniques, patchs, failles, vulnérabilités) Contractuelle (revue contractuelle, concurrence, étude de marché, santé financière des clients, des fournisseurs et autres tiers) Veilles Circuit de validation : GO NO-GO et Fiche de suivi administratif Révision annuelle de tous les contrats clients Alignement des contrats clients Révision annuelle des périmètres techniques et financiers Ecoute client : besoins, attentes et exigences aussi bien techniques que qualité de service et sécurité des données Déclinaison de l écoute client par anticipation dans l offre commerciale de NC2 Revues contractuelles SMSI intégré dans le Système de Management Général (SMG) et certifié ISO27001:2005 depuis Août 2013, comprenant entre autres : * Politique et engagements * Approche Processus ( Manuel Qualité et Sécurité, indicateurs et objectifs, tableaux de bord et reporting) * Revues et réexamen (COPIL, CODIR, comité sécurité, plan de progrès) * Gestion des risques (procédure, responsables des biens, méthodologie, étude des risques, plan de traitement, actions préventives) * Gestion des demandes (procédure, enregistrement et traitement des incidents et autres demandes) * Gestion des problèmes (procédure, analyse traitement et vérification, actions correctives ) * Surveillance et Audits (procédures audits systèmes et sécurité, plan de contrôle et de surveillance) * Gestion du système documentaire (procédure, GED) * Sensibilisation et communication Qualité et sécurité SMSI ISO27001 * 11 / 11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back