OVH est officiellement en cours de qualification pour son offre Private Cloud. Cette première étape formelle dans le projet de qualification est l’occasion de faire un point sur le dispositif mis en place pour aligner son offre avec les exigences élevées du référentiel SecNumCloud dans l’objectif de fournir un cloud de confiance reconnu comme tel par l’ANSSI.
La confiance de nos clients et des clients de nos clients est au cœur de nos préoccupations. L’expertise technique et le professionnalisme de nos équipes sont la base d’une sécurité pragmatique et efficace. C’est sur celle-ci que nous construisons, chaque jour, la confiance du marché dans nos produits, solutions et services.
Cependant, cette confiance ne suffit pas. Les mesures mises en œuvre doivent être transparentes et produire des résultats mesurables et démontrables. Elles doivent s’adapter à l’évolution des menaces et être comparables entre les fournisseurs. Dans cet objectif, nous avons lancé il y a sept ans des démarches de certification de nos produits et services selon les normes de sécurité les plus exigeantes. ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, PCI DSS, HDS font désormais partie intégrante des feuilles de route de nos produits cloud et de nos datacenters. Au sein des équipes OVH, plus de 50 personnes sont dédiées à la gouvernance de la sécurité, à la mise en place et au maintien des dispositifs techniques logiques et physiques, à l’amélioration des systèmes et à la veille réglementaire en sécurité.
Aujourd’hui, dans un jeu économique à l’échelle mondiale, la souveraineté numérique est un enjeu politique critique comme le souligne le rapport Gauvain remis le 26 juin au Premier Ministre. Les régulateurs et les administrations des différents pays multiplient les dispositifs incitatifs ou contraignants. Ceux-ci visent à conserver une maîtrise sur la protection des données des citoyens et des entreprises, dans leur migration vers les clouds mondiaux.
Dans ce contexte, l’ANSSI a publié en 2017 le référentiel SecNumCloud et une procédure de qualification pour les « prestataires de service d’informatique en nuage », sur le modèle de ceux existants pour les prestataires de service de confiance (certification électronique, détection d’incident, horodatage, audit de sécurité, etc.). Son objectif est d’orienter les autorités administratives, les organismes d’importance vitale (OIV) et tous les acteurs économiques français et européens vers des prestataires cloud de confiance.
Le référentiel SecNumCloud, issu du « Plan Cloud », l’un des 34 plans du programme « Nouvelle France industrielle » de 2014, et d’un dialogue avec les industriels, est aligné sur la norme ISO 27001. Il précise les mesures de sécurité à opérer pour livrer un service cloud hautement sécurisé pour les traitements critiques. Le service Private Cloud d’OVH visant également cet objectif, l’alignement de nos pratiques avec le référentiel a donc été pris en compte dès la parution des premières versions de travail.
Le référentiel d’exigence a été mis à jour en juin 2018. Dans la nouvelle version, les niveaux « Essentiel » et « Avancé » ont été supprimés pour ne laisser qu’un seul niveau de qualification. Par ailleurs, des exigences relatives à la protection de la vie privée ont été ajoutées afin de prendre en compte le Règlement General de Protection des Données (RGPD) applicable depuis le 25 mai 2018.
Le référentiel SecNumCloud définit un ensemble complet de pratiques exigeantes visant à assurer un hébergement cloud sécurisé, résilient, protecteur de la confidentialité des données et protégé contre les dispositifs légaux extraterritoriaux pesant sur les services de cloud américains.
La qualification s’impose progressivement sur le marché. A ce jour, seul un fournisseur de solution SaaS a été au bout de la démarche et décroché la qualification. Mais certains décideurs français et européens intègrent déjà le référentiel dans leurs grilles d’évaluation des services externalisés et notamment pour les services d’Infrastructure as a Service. OVH étant officiellement en cours de qualification, il nous semble important d’expliciter les mesures que nous avons mises en place sur notre offre Private Cloud ainsi que celles en cours de mise en place sur la plateforme dédiée SecNumCloud visant à assurer un niveau de sécurité cohérent avec les exigences du référentiel. Cette auto-évaluation issue des démarche de cadrage du projet de qualification n’a pas vocation à se substituer aux conclusions de l’audit de l’organisme d’évaluation ni à l’évaluation de l’ANSSI. Elle vise toutefois à apporter un premier niveau d’assurance et de transparence à destination de nos clients sur l’utilisation de l’offre Private Cloud pour l’hébergement de projets dans un cloud de confiance.
L’évaluation suit le plan du référentiel SecNumCloud disponible sur le site de l’ANSSI : https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.1_anssi.pdf
Politiques de sécurité de l’information et gestion du risque
OVH dispose depuis 2014 d’une politique de sécurité des systèmes d’information (PSSI), applicable à l’ensemble du groupe. Pour les offres disposant d’un niveau de sécurité renforcé, comme Private Cloud, nous complétons cette politique générale par une politique de sécurité produit. Celle-ci définit les règles et principes de sécurité mis en œuvre pour aligner le niveau de sécurité avec les engagements de sécurité spécifiques à l’offre et aux cas d’usage de nos clients.
Tous les thèmes liés à la sécurité sont précisés dans le contexte du produit. Ce document est la référence pour tous les personnels impliqués dans l’exploitation de l’offre Private Cloud, dans le cadre des opérations quotidiennes et dès qu’une décision pouvant avoir un impact sur la sécurité doit être prise.
Dans cette PSSI, OVH matérialise également son engagement à respecter les réglementations applicables et à déployer une approche par les risques, en s’appuyant sur des méthodologies éprouvées comme ISO 27005 et EBIOS. Le comité des risques est consulté pour tout changement important sur le produit et s’assure de la mise en place des plans d’actions.
La politique de sécurité et les appréciations des risques sont mises à jour régulièrement. Lors de tout changement important dans le cadre de processus formels, le suivi implique des membres de la direction d’OVH.
Organisation de la sécurité
OVH a nommé un responsable de la sécurité des systèmes d’information (RSSI), garant du respect de la PSSI. Ce rôle global pour le groupe OVH est complété par un responsable dédié à l’offre Private Cloud et des personnels affectés aux processus de gestion de la sécurité (gestion des risques, gestion des mesures de sécurité, gestion des incidents, amélioration continue, etc.). Chaque ensemble de mesures de sécurité est sous la responsabilité d’un référent au sein de l’équipe Private Cloud, en charge de la mise en place des plans d’actions, de la documentation et des indicateurs de suivis. Ces référents assurent la prise en compte des principes de sécurité dans les projets et la gestion des changements, ainsi que dans toutes les activités quotidiennes de production de l’offre Private Cloud.
Au sein du périmètre Private Cloud, nous avons mis en œuvre une politique de séparation des tâches formelles. Elle permet de limiter les risques d’erreur ou de malveillance, en systématisant l’utilisation de workflows avec plusieurs validateurs pour toutes les actions risquées en matière de sécurité.
La sécurité est aussi prise en compte dans la gestion des projets d’évolution de l’offre et de tous les services d’OVH sous-jacents. Une approche par les risques intégrée au processus de gestion des risques du système de management de la sécurité de l’information (SMSI) est mise en place. Toute évolution du service ayant un impact potentiel sur le niveau de sécurité est mise en œuvre en suivant un processus d’information des clients systématique.
Sécurité des ressources humaines
La gestion des équipes est également réalisée en prenant en compte la sécurité de l’offre. Nous mettons en œuvre des processus de sélection poussés et de vérification des antécédents pour les personnels ayant des accès aux systèmes en charge de gérer les infrastructures ou disposant d’accès physiques aux équipements, permettant de limiter les risques de malveillance interne. Les salariés sont sensibilisés et responsabilisés dès l’embauche aux problématiques de sécurité. Une politique de formation et de sensibilisation renforcée pour les personnels en charges de Private Cloud complète ces dispositifs, par des actions de formation et de sensibilisation adaptées aux risques et aux métiers de chaque collaborateur. À titre d’exemple, tous les développeurs sont formés au développement sécurisé.
Les collaborateurs signent une charte de bonnes pratiques adaptée à leur poste et des sanctions formelles sont prévues pour tout manquement aux règles définies.
Gestion des actifs
Nous avons mis en place un inventaire complet de tous les actifs permettant de produire Private Cloud : serveurs, applications, postes de travail, logiciels, équipements réseau, énergie, système de refroidissement, conteneur, espace isolé, personnels, documents. Tout le périmètre est inventorié et géré de manière fine. Des procédures d’entrée et de sortie permettent d’assurer un inventaire exhaustif, condition sine qua non d’une gestion précise de la sécurité. C’est aussi l’assurance que chaque actif est maîtrisé dans l’ensemble de son cycle de vie.
La sensibilité des actifs est définie formellement selon une classification priorisant la protection des données de nos clients.
Contrôle d’accès et gestion des identités
La plupart des accès et interventions sur les systèmes de production sont réalisés par des scripts et des procédures applicatives, déclenchés depuis des applications internes gérant l’authentification ainsi que celle des personnels. Pour l’administration des systèmes de gestion du service ou des plateformes mises à disposition des clients, les accès sont systématiquement réalisés via des bastions gérant l’identification, l’authentification et la traçabilité de toutes les actions. Les bastions sont gérés par une équipe indépendante, afin de garantir la confidentialité et l’intégrité des traces. Les accès aux fonctions sensibles utilisent des authentifications à deux facteurs et ne peuvent être réalisés que depuis des postes de travail dédiés « durcis ».
Des processus formels de création, de modification et de suppression des comptes utilisateur sont mis en place, sur la base d’une base d’authentification centralisée. Les droits d’accès, basés sur la notion de rôles définis sur la base des fonctions des salariés, sont revus régulièrement pour s’assurer de leur adéquation aux besoins fonctionnels et techniques.
Concernant les accès des clients, ils sont gérés par des outils automatisés mis à leur disposition (espace client OVH, api.ovh.com, interface sécurisée). Le client peut activer des fonctions de sécurité complémentaires, comme l’authentification à plusieurs facteurs, des ACL réseau, la validation des actions sensibles par jeton SMS, etc. Il est responsable des droits d’accès attribués à ses utilisateurs, OVH garantissant la fiabilité des processus mis en place pour gérer les droits d’accès techniques des clients aux plateformes.
Si les environnements techniques mis à disposition des clients sont dédiés au niveau matériel (serveurs hôtes et datastores), de nombreuses briques mutualisées sont utilisées pour mettre en œuvre le service. Les robots, les équipements réseau, l’API, les serveurs de stockage des datastores et les serveurs de coordination sont des équipements mutualisés entre plusieurs clients. La segmentation entre les différents clients est gérée par la combinaison de l’utilisation de matériels dédiés et de configuration logique des équipements mutualisés, afin d’assurer l’étanchéité complète des environnements client les uns par rapport aux autres.
Les environnements bureautiques, les environnements techniques d’administration du service et les environnements d’exécution des infrastructures client sont fortement segmentés, physiquement ou logiquement. Les mécanismes de segmentation font l’objet de mesures de contrôle strictes.
Cryptologie/chiffrement
Par défaut, le stockage des données est protégé via une segmentation logique entre les clients par des ACL et des droits d’accès sur les systèmes, ainsi que par l’utilisation de médias de stockage dédiés. Le chiffrement du stockage est une fonctionnalité proposée par OVH. Elle permet la mise en place d’un mécanisme de chiffrement/déchiffrement des machines virtuelles au niveau des hyperviseurs, qui assure la protection des données client. L’activation et la configuration de ces mécanismes et la gestion des clés de chiffrement est sous la responsabilité du client mais la configuration des infrastructures pour utiliser ces fonctionnalités est réalisée par OVH.
L’utilisation de protocoles de communication réseau chiffrés (SSH, HTTPS, SFTP, etc.) est systématique au sein des infrastructures. Toute exception à ce principe doit être justifiée par une contrainte technique forte et donner lieu à une analyse de risque formelle, ainsi qu’à la mise en place de mesures de sécurité compensatoires permettant d’assurer un niveau de sécurité équivalent.
Sécurité physique et environnementale
L’accès physique des sites OVH repose sur une sécurité périmétrique restrictive dès l’entrée. Tous les locaux sont classifiés : les zones de circulation privées, les bureaux internes accessibles à tous les employés et visiteurs enregistrés, les bureaux internes confidentiels qui ont une politique d’accès restreinte à certains personnels, les zones d’équipement de datacenters, les zones datacenters confidentielles et les zones datacenters critiques qui hébergent notamment les infrastructures de l’offre Private Cloud.
Les accès à ces zones critiques sont limités à une liste de personnels réduite, avec une traçabilité renforcée et une couverture de vidéosurveillance complète. Ils sont réalisés par des sas unipersonnels, incluant plusieurs contrôles (détecteur de présence, pesée, vidéosurveillance). Un contrôle d’accès à deux facteurs pour les salles d’hébergement critiques est en cours de mise en place pour assurer la conformité au référentiel sur les zones d’hébergement destiné aux environnements SecNumCloud. Ces mécanismes seront étendus progressivement à tous les datacentres OVH.
Des mesures de sécurité sont aussi mises en œuvre afin de contrôler l’accès et éliminer toute menace, comme une politique des droits d’accès physiques, des murs ou dispositifs équivalents entre chaque zone, des caméras situées aux entrées/sorties des installations et dans les salles serveurs, des accès sécurisés contrôlés par badgeuses ou un système de détection de mouvement.
Les entrées/sorties des datacenters sont protégées par des dispositifs anti-effraction. Des mécanismes de détection d’intrusion en dehors des heures de présence du personnel et un gardiennage 24/7/365 sont aussi mis en place sur tous les sites d’hébergement. Les locaux sont surveillés en permanence par un réseau dense de caméras de vidéosurveillance.
Les ouvertures de portes d’entrée et de sortie sont contrôlées et signalées à un centre de surveillance continu.
Des règles spécifiques sont appliquées pour la gestion des accès des tiers.
En matière de gestion des risques naturels et environnementaux, les mesures suivantes sont mises en place :
- situation géographique des locaux d’OVH dans des zones non inondables ;
- situation géographique des locaux d’OVH dans des zones sans risques sismiques ;
- alimentation sans interruption ;
- transformateur de secours avec basculement automatique de la charge ;
- basculement automatique sur des groupes électrogènes avec autonomie de 24 heures minimum ;
- batteries permettant de gérer les périodes transitoires ;
- unités HVAC de maintien de la température et du niveau d’humidité ;
- système de détection d’incendie ; des exercices anti-incendie sont réalisés tous les six mois dans les datacenters.
Sécurité liée à l’exploitation
L’administration des plateformes Private Cloud est massivement automatisée. Les équipes d’exploitation n’interagissent directement avec les plateformes qu’en cas de gestion d’incident. Certaines procédures impliquent cependant des actions humaines et ne sont pas toujours automatisables. Elles sont formalisées et suivie de manière obligatoire par les personnels concernés.
Un processus de gestion des changements est mis en place. Il s’assure que toute évolution du système est cohérente, fait l’objet d’une analyse de risque et d’impact, est implémentée en respectant des règles prédéfinies et suit le processus de validation avant la mise en production.
Tous les systèmes exposés aux menaces virales sont protégés par des antivirus monitorés par les équipes d’exploitation. Différents types d’antivirus sont utilisés en fonction du rôle de l’équipement. Des dispositifs de contrôles d’intégrité ainsi que des systèmes de détection d’intrusion sont déployés sur les systèmes. Ces derniers sont monitorés en permanence par les équipes d’exploitation.
Tous les systèmes utilisés pour produire le service sont sauvegardés selon un planning adapté (type de sauvegarde et durée de rétention). La sauvegarde des environnements client est, elle, sous la responsabilité du client. OVH propose des solutions optionnelles lui permettant de déployer sa politique de sauvegarde. Le client est cependant libre d’utiliser les outils de sauvegarde de son choix.
Une politique de traçabilité extensive est mise en œuvre. Tous les équipements et systèmes génèrent des traces centralisées et gérées par les équipes d’exploitation. Les logs sont protégés par la mise en place d’une stricte séparation des tâches. Les logs des actions des clients et des interventions des équipes OVH sur leurs systèmes sont mis à la disposition des clients via l’interface d’administration de la plateforme.
La corrélation des événements et la détection des événements sont gérées par les plateformes d’administration développées en interne par OVH.
Un processus de gestion des vulnérabilités formel vise à s’assurer de l’application des correctifs de sécurité pour toutes les vulnérabilités critiques. Un planning d’application des correctifs est géré selon leur importance. En fonction des cas, ils sont appliqués durant des phases de maintenance planifiées ou en urgence pour les failles les plus critiques.
Les administrateurs des équipes d’exploitation utilisent des postes de travail dédiés, distincts des postes de travail bureautique. Ils sont contraints de se connecter à un réseau de gestion sécurisé via une passerelle VPN, permettant ensuite d’accéder aux bastions d’administration intégrant des mécanismes d’authentification à deux facteurs. Ces postes de productions sont durcis et protégés par des mécanismes de sécurité stricts (antivirus, chiffrement, filtrage réseau, etc.) et gérés par une équipe indépendante. Les administrateurs ne disposent pas de droits d’administration sur leurs postes de travail. Tous les flux d’administration sont chiffrés.
Sécurité des communications
Une cartographie du système d’information de Private Cloud est maintenue. Elle regroupe l’inventaire des actifs, ainsi que des schémas d’architecture fonctionnelle, applicative et réseau de tous les systèmes mis en place.
L’ensemble des flux réseau et des mécanismes de segmentation sont cartographiés et maintenus à jour automatiquement par rapport à l’existant. Toutes les règles d’ouverture de flux réseau sont documentées, justifiées et revues régulièrement.
La segmentation des réseaux est gérée par la combinaison de réseaux dédiés physiques et virtuels. La configuration des équipements chargés d’assurer cette segmentation est revue régulièrement. Le client est responsable de la configuration du réseau de son infrastructure virtuelle et de la connectivité de ses machines virtuelles à Internet, en adressage public ou au sein du vRack (réseau virtuel privé alloué au client). OVH fournit les interfaces d’administration de ces réseaux.
Acquisition, développement et maintenance des systèmes d’information
Une politique de développement sécurisée est mise en œuvre au sein d’une plateforme de développement maîtrisée. Le cycle de vie des développements intègre la sécurité à toutes les étapes. Des règles d’écriture des codes sources sont définies et des processus de revue, de validation et de mise en production sont appliqués, avec des principes de séparation des tâches forts.
L’utilisation de données de production client est strictement interdite dans les activités de développement et de test. Le déploiement des évolutions logicielles sur les infrastructures de production suit le principe « 1-10-100-1 000 », permettant d’assurer un déploiement maîtrisé et incluant des procédures de retour arrière à chaque étape.
Les développements de la plateforme sont exclusivement réalisés en interne. OVH ne recourt pas à l’externalisation pour le développement des produits.
Relations avec les tiers
OVH recourt à des sociétés tierces pour les activités de gardiennage des datacenters, ainsi que pour la maintenance des équipements assurant les services essentiels en datacenter comme l’électricité et le froid. Les sous-traitants sont soumis aux mêmes règles que les salariés OVH. Elles sont imposées contractuellement à ces sociétés, ainsi qu’à chaque intervenant individuellement. Leur respect est contrôlé de façon opérationnelle et lors d’audits annuels.
Gestion des incidents liés à la sécurité de l’information
Un processus de détection des incidents de sécurité est mis en place pour s’assurer de la remontée de l’ensemble des événements sur toutes les briques du système. Les personnels sont sensibilisés et formés à la détection des anomalies. Un processus de remontée et de traitement des alertes est également mis en œuvre.
Toute atteinte à la disponibilité du service, à l’intégrité et à la confidentialité des données client ou à la traçabilité des actions sur les systèmes entraîne obligatoirement la création d’un incident de sécurité. La communication des incidents de sécurité dans les meilleurs délais est assurée dans le cadre du processus de gestion des incidents.
Une cellule de crise est mise en place pour les incidents ayant des conséquences importantes en matière de disponibilité ou d’intégrité, ainsi que pour tous ceux affectant la confidentialité des données client.
Le processus de gestion des incidents est formel. Il donne lieu à des plans d’actions de correction des causes racines et alimente le processus de gestion des risques de sécurité.
Continuité d’activité
La continuité d’activité des infrastructures est assurée par différents dispositifs garantissant la disponibilité des équipements, des applications et des processus d’exploitation : la continuité du refroidissement, la continuité de l’approvisionnement en électricité et sa redondance, la gestion de la capacité pour les équipements sous la responsabilité d’OVH, le support technique du service réparti sur plusieurs sites géographiques, la redondance des équipements et serveurs utilisés pour l’administration des systèmes et la gestion du service.
En complément, des mécanismes visant à assurer la reprise en cas d’incident sont mis en place : la sauvegarde des configurations des équipements réseau, la sauvegarde des systèmes et des données des serveurs chargés du management du service.
La continuité du système d’information du client s’appuyant sur des ressources OVH est de sa responsabilité et s’appuie sur les mécanismes proposés par OVH dans le cadre du service. Le client doit s’assurer que les dispositifs standards mis en place par OVH, les options souscrites et les dispositifs complémentaires qu’il met en œuvre lui-même permettent d’atteindre les objectifs de continuité de son système d’information.
OVH propose à ses clients de souscrire aux solutions Veeam Backup et Zerto PRA, qui offrent des dispositifs renforcés pour les sauvegardes et la reprise d’activité en cas d’incident.
Conformité
Private Cloud fait l’objet d’un programme d’audit interne et externe à trois ans, visant à couvrir les besoins relatifs aux certifications ISO 27001, ISO 27017, SOC 2 Type II, PCI DSS et certification HDS. Les activités de revues sont les suivantes :
- audit interne du SMSI annuel ;
- tests d’intrusions internes et externes annuels et ad hoc ;
- scan de vulnérabilités internes et externes trimestriel ;
- audit de certification et surveillance ISO 27001 et ISO 27017 annuel ;
- audit SOC 1 & 2 type II annuel ;
- audit PCI DSS annuel (PSP Level 1) ;
- audit de certification et surveillance HDS ;
- audit PASSI ;
- Bug Bounty OVH.
Un audit annuel par une société qualifiée PASSI a été ajouté au programme d’audits pour assurer la conformité au référentiel SecNumCloud et assurer une revue en profondeur des configurations, du codes sources et de l’architecture du service dans le cadre de notre audit interne.
Exigences supplémentaires
Une convention de service alignée sur les exigences du référentiel sera proposée à la fourniture du service qualifié, le cas échéant. Elle précisera en particulier le statut qualifié de la prestation et la possibilité pour les clients de mandater un auditeur qualifié PASSI pour auditer le service.
La localisation de l’hébergement des serveurs et des données est choisie par le client à l’initialisation du service. Dans l’optique d’assurer la conformité au référentiel, seules les infrastructures Private Cloud hébergées dans les datacenters OVH localisés dans l’Union européenne seront concernées. Le support technique au client est fourni en langue française ainsi que les interfaces d’administration du service.
OVH assurera un support du service et des astreintes 24 heures/24, 7 jours/7 par des équipes localisées en Union Européenne.
Enfin, OVH s’engage à respecter les plus hauts standards en termes de protection des données à caractère personnel, aussi bien pour les données utilisées par OVH pour la fourniture du service qu’en tant que sous-traitant en accompagnant les clients dans l’utilisation du service pour assurer un niveau de protection des données hébergées aligné avec leur sensibilité.