Fin 2016, OVH a obtenu l’agrément pour l’hébergement de données de santé sur l’offre Private Cloud. Cet agrément est valable jusqu’au 24 octobre 2019. Durant toute la durée de cet agrément, les clients de l’offre OVH Healthcare s’appuyaient sur OVH pour respecter la loi. Après avoir accepté les conditions particulières de l’offre, ils n’avaient pas d’autre démarche à réaliser. Or, tous nos clients doivent respecter la PGSSI-S. Ils réalisent donc l’infogérance de tout ce qu’ils installent sur leurs Private Clouds.

Le changement réglementaire amené par le décret 2018-137 (article 2, sous-section 2) introduit 2 changements majeurs :

• Un schéma d’assurance qui repose sur des organismes de certification privés accrédités au lieu d’un agrément délivré par le ministère de la santé. La certification implique un audit sur site, par des auditeurs qualifiés et compétents. De plus, le référentiel de certification est fondé sur ISO27001, le référentiel mondialement reconnu pour le management de la sécurité de l’information.
• Les entités concernées par la certification sont beaucoup plus nombreuses car l’obligation de certification est partagée par toute la chaine de sous-traitance de l’informatique de santé. Toute entité de cette chaine qui contribue à au moins l’une des activités suivantes est concernée :

Nous avons régulièrement communiqué à nos clients et prospects ce changement depuis juillet 2018. Toute entité qui opère un système d’information de santé pour le compte d’un tiers doit être certifiée. C’est le cas de la majorité de nos clients. Pour eux, deux options sont possibles : 

• Certifier leurs activités. Dans ce cas, le client peut continuer à opérer en toute autonomie son système d’information de santé hébergé chez OVH.
• Faire appel à un prestataire infogéreur certifié. Le client transfère ses activités à certifier à un tiers certifié. 

Évolution de l’ASIP Santé sur l’activité 5 

L’ASIP Santé a annoncé en avril 2019 Santé retirer l’activité 5, « administration et l’exploitation du système d’information contenant les données de santé », de la certification. Cette évolution semble limiter le nombre d’acteurs concernés par la certification. Cependant, la prudence s’impose :   

• Jusqu’à la date de publication de ce post, la loi n’a pas changé (CSP article R1111-9), 
• De plus, les activités de nos clients dépassent le cadre de l’activité 5. Dans le cas d’utilisation de IaaS, la gestion des machines virtuelles, des briques middleware et la mise en place de la politique de sauvegarde sont sous la responsabilité du client. Ces activités sont à priori concernées par l’obligation de certification. Elles ne sont pas obligatoirement opérées par votre opérateur IaaS.
• Enfin, respecter les obligations de la PGSSI-S et du RGPD est essentiel pour les responsables de traitement. Le référentiel de certification HDS est cohérent avec ces 2 règlementations. 

Maîtriser le périmètre de la certification HDS

OVH a obtenu en mai 2019 la certification de l’offre Private Cloud OVH Healthcare. Toutes les activités sont certifiées à l’exception de l’activité 5. Par ailleurs, toutes les options du service Private Cloud sont aussi certifiées HDS. Le périmètre finalement certifié est plus large que celui annoncé l’an dernier. Toutefois, nos clients doivent quand même vérifier si leur certification est nécessaire.

En effet, le périmètre de notre certification ne concerne que les activités d’OVH, pas les activités de nos clients. Par conséquent, si le client :

• N’est pas le responsable des traitements qu’il nous confie et
• Ne bénéficie pas d’une exemption prévue par la loi (CSP L1111-8) ou précisée par l’ASIP Santé,

il doit se faire certifier. Ci-dessous, vous trouverez une liste non exhaustive d’activités opérationnelles qui nécessitent d’être certifié :

Le modèle d’assurance de la certification HDS repose sur la certification de chaque entité de la chaîne de sous-traitance. Chacun d’entre eux s’assure que leurs sous-traitants sont certifiés. Nos équipes sont à votre écoute pour vous aider à appréhender ce nouveau contexte.

Retour d’expérience sur ce qu’apporte la certification HDS 

Le passage à la certification amène de nombreux bénéfices pour chaque partie intéressée. Chez OVH, cette amélioration s’est traduite par : 

• Des conditions particulières pour l’hébergement de données de santé simplifiées. Bénéfice : un contrat plus lisible, et un partage de responsabilités mieux compris par chaque acteur.  
• La mise à disposition de documents supplémentaires à nos clients : déclaration d’applicabilité, rapport d’audit. Bénéfice : une approche et un langage commun en matière de sécurité de l’information de santé. 
• Un conseil clair auprès de nos clients et prospects : sauf cas particulier, tous nos clients devront à terme être certifiés ou avoir un infogéreur certifié.  Bénéfice : une amélioration continue de la sécurité, auditée et certifiée. 

Pour tout intermédiaire sous-traitant informatique : 

• La loi définit 6 activités certifiables. Bénéfices : un partage de responsabilités clarifié entre les acteurs du système d’information de santé. Ainsi que la possibilité de se spécialiser sur son cœur de métier (qu’il soit orienté informatique – par exemple infogérance d’applications critiques, ou la fourniture de IaaS – ou orienté métier – par exemple infogérance d’applicatifs métiers relatifs à l’épidémiologie, à la santé au travail…). 
• La certification démontre une approche sérieuse et auditable de la sécurité de l’information, sur la base de ISO 27001. Bénéfice : une différenciation par rapport aux prestataires non certifiés. 

Pour le responsable de traitement : 

• La certitude d’audits de sécurité réguliers et focalisés sur l’hébergement de données de santé. Bénéfices : une meilleure sécurité des traitements, une délégation des vérifications à des tiers compétents. Il est aussi possible d’auditer soi-même les fournisseurs sur le référentiel HDS.
• L’assurance qu’aucune des données confiée à un hébergeur certifié HDS sera exploité en-dehors des traitements qu’il met en œuvre. Bénéfice : Les sous-traitants certifiés garantissent leur respect du RGPD. 

Une démarche de conformité intégrée à l’environnement OVH 

La gestion de la conformité HDS est intégrée au sein des démarches de gestion de la sécurité du produit Private Cloud.  

« La Certification HDS est alignée sur la norme ISO 27001. Elle intègre des exigences visant à assurer la sécurité des données à caractère personnel et le respect des droits des patients. Ce dispositif complète de manière naturelle les démarches de sécurité déjà en place, de la même manière que nous intégrons les exigences du secteur bancaire (PCI DSS, DSP2) ou du secteur public (SecNumCloud) pour proposer un vrai cloud de confiance européen » Julien Levrard, Responsable conformité/sécurité.

Nous souhaitons permettre à nos clients de répondre aux cas d’usage les plus exigeants. C’est pourquoi l’offre Healthcare, aujourd’hui limitée à Private Cloud, va s’enrichir dans les prochains mois de services additionnels. A terme, nous saurons proposer toutes les briques d’infrastructure nécessaires à la mise en œuvre d’un système d’information complet dédié à la santé. 

OVH est officiellement en cours de qualification pour son offre Private Cloud. Cette première étape formelle dans le projet de qualification est l’occasion de faire un point sur le dispositif mis en place pour aligner son offre avec les exigences élevées du référentiel SecNumCloud dans l’objectif de fournir un cloud de confiance reconnu comme tel par l’ANSSI.

La confiance de nos clients et des clients de nos clients est au cœur de nos préoccupations. L’expertise technique et le professionnalisme de nos équipes sont la base d’une sécurité pragmatique et efficace. C’est sur celle-ci que nous construisons, chaque jour, la confiance du marché dans nos produits, solutions et services.

Cependant, cette confiance ne suffit pas. Les mesures mises en œuvre doivent être transparentes et produire des résultats mesurables et démontrables. Elles doivent s’adapter à l’évolution des menaces et être comparables entre les fournisseurs. Dans cet objectif, nous avons lancé il y a sept ans des démarches de certification de nos produits et services selon les normes de sécurité les plus exigeantes. ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, PCI DSS, HDS font désormais partie intégrante des feuilles de route de nos produits cloud et de nos datacenters. Au sein des équipes OVH, plus de 50 personnes sont dédiées à la gouvernance de la sécurité, à la mise en place et au maintien des dispositifs techniques logiques et physiques, à l’amélioration des systèmes et à la veille réglementaire en sécurité.

Aujourd’hui, dans un jeu économique à l’échelle mondiale, la souveraineté numérique est un enjeu politique critique comme le souligne le rapport Gauvain remis le 26 juin au Premier Ministre. Les régulateurs et les administrations des différents pays multiplient les dispositifs incitatifs ou contraignants. Ceux-ci visent à conserver une maîtrise sur la protection des données des citoyens et des entreprises, dans leur migration vers les clouds mondiaux.

Dans ce contexte, l’ANSSI a publié en 2017 le référentiel SecNumCloud et une procédure de qualification pour les « prestataires de service d’informatique en nuage », sur le modèle de ceux existants pour les prestataires de service de confiance (certification électronique, détection d’incident, horodatage, audit de sécurité, etc.). Son objectif est d’orienter les autorités administratives, les organismes d’importance vitale (OIV) et tous les acteurs économiques français et européens vers des prestataires cloud de confiance.

Le référentiel SecNumCloud, issu du « Plan Cloud », l’un des 34 plans du programme « Nouvelle France industrielle » de 2014, et d’un dialogue avec les industriels, est aligné sur la norme ISO 27001. Il précise les mesures de sécurité à opérer pour livrer un service cloud hautement sécurisé pour les traitements critiques. Le service Private Cloud d’OVH visant également cet objectif, l’alignement de nos pratiques avec le référentiel a donc été pris en compte dès la parution des premières versions de travail.

Le référentiel d’exigence a été mis à jour en juin 2018. Dans la nouvelle version, les niveaux « Essentiel » et « Avancé » ont été supprimés pour ne laisser qu’un seul niveau de qualification. Par ailleurs, des exigences relatives à la protection de la vie privée ont été ajoutées afin de prendre en compte le Règlement General de Protection des Données (RGPD) applicable depuis le 25 mai 2018.
Le référentiel SecNumCloud définit un ensemble complet de pratiques exigeantes visant à assurer un hébergement cloud sécurisé, résilient, protecteur de la confidentialité des données et protégé contre les dispositifs légaux extraterritoriaux pesant sur les services de cloud américains.

La qualification s’impose progressivement sur le marché. A ce jour, seul un fournisseur de solution SaaS a été au bout de la démarche et décroché la qualification. Mais certains décideurs français et européens intègrent déjà le référentiel dans leurs grilles d’évaluation des services externalisés et notamment pour les services d’Infrastructure as a Service. OVH étant officiellement en cours de qualification, il nous semble important d’expliciter les mesures que nous avons mises en place sur notre offre Private Cloud ainsi que celles en cours de mise en place sur la plateforme dédiée SecNumCloud visant à assurer un niveau de sécurité cohérent avec les exigences du référentiel. Cette auto-évaluation issue des démarche de cadrage du projet de qualification n’a pas vocation à se substituer aux conclusions de l’audit de l’organisme d’évaluation ni à l’évaluation de l’ANSSI. Elle vise toutefois à apporter un premier niveau d’assurance et de transparence à destination de nos clients sur l’utilisation de l’offre Private Cloud pour l’hébergement de projets dans un cloud de confiance.

L’évaluation suit le plan du référentiel SecNumCloud disponible sur le site de l’ANSSI : https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.1_anssi.pdf

Politiques de sécurité de l’information et gestion du risque

OVH dispose depuis 2014 d’une politique de sécurité des systèmes d’information (PSSI), applicable à l’ensemble du groupe. Pour les offres disposant d’un niveau de sécurité renforcé, comme Private Cloud, nous complétons cette politique générale par une politique de sécurité produit. Celle-ci définit les règles et principes de sécurité mis en œuvre pour aligner le niveau de sécurité avec les engagements de sécurité spécifiques à l’offre et aux cas d’usage de nos clients.

Tous les thèmes liés à la sécurité sont précisés dans le contexte du produit. Ce document est la référence pour tous les personnels impliqués dans l’exploitation de l’offre Private Cloud, dans le cadre des opérations quotidiennes et dès qu’une décision pouvant avoir un impact sur la sécurité doit être prise.

Dans cette PSSI, OVH matérialise également son engagement à respecter les réglementations applicables et à déployer une approche par les risques, en s’appuyant sur des méthodologies éprouvées comme ISO 27005 et EBIOS. Le comité des risques est consulté pour tout changement important sur le produit et s’assure de la mise en place des plans d’actions.

La politique de sécurité et les appréciations des risques sont mises à jour régulièrement. Lors de tout changement important dans le cadre de processus formels, le suivi implique des membres de la direction d’OVH.

Organisation de la sécurité

OVH a nommé un responsable de la sécurité des systèmes d’information (RSSI), garant du respect de la PSSI. Ce rôle global pour le groupe OVH est complété par un responsable dédié à l’offre Private Cloud et des personnels affectés aux processus de gestion de la sécurité (gestion des risques, gestion des mesures de sécurité, gestion des incidents, amélioration continue, etc.). Chaque ensemble de mesures de sécurité est sous la responsabilité d’un référent au sein de l’équipe Private Cloud, en charge de la mise en place des plans d’actions, de la documentation et des indicateurs de suivis. Ces référents assurent la prise en compte des principes de sécurité dans les projets et la gestion des changements, ainsi que dans toutes les activités quotidiennes de production de l’offre Private Cloud.

Au sein du périmètre Private Cloud, nous avons mis en œuvre une politique de séparation des tâches formelles. Elle permet de limiter les risques d’erreur ou de malveillance, en systématisant l’utilisation de workflows avec plusieurs validateurs pour toutes les actions risquées en matière de sécurité.

La sécurité est aussi prise en compte dans la gestion des projets d’évolution de l’offre et de tous les services d’OVH sous-jacents. Une approche par les risques intégrée au processus de gestion des risques du système de management de la sécurité de l’information (SMSI) est mise en place. Toute évolution du service ayant un impact potentiel sur le niveau de sécurité est mise en œuvre en suivant un processus d’information des clients systématique.

Sécurité des ressources humaines

La gestion des équipes est également réalisée en prenant en compte la sécurité de l’offre. Nous mettons en œuvre des processus de sélection poussés et de vérification des antécédents pour les personnels ayant des accès aux systèmes en charge de gérer les infrastructures ou disposant d’accès physiques aux équipements, permettant de limiter les risques de malveillance interne. Les salariés sont sensibilisés et responsabilisés dès l’embauche aux problématiques de sécurité. Une politique de formation et de sensibilisation renforcée pour les personnels en charges de Private Cloud complète ces dispositifs, par des actions de formation et de sensibilisation adaptées aux risques et aux métiers de chaque collaborateur. À titre d’exemple, tous les développeurs sont formés au développement sécurisé.

Les collaborateurs signent une charte de bonnes pratiques adaptée à leur poste et des sanctions formelles sont prévues pour tout manquement aux règles définies.

Gestion des actifs

Nous avons mis en place un inventaire complet de tous les actifs permettant de produire Private Cloud : serveurs, applications, postes de travail, logiciels, équipements réseau, énergie, système de refroidissement, conteneur, espace isolé, personnels, documents. Tout le périmètre est inventorié et géré de manière fine. Des procédures d’entrée et de sortie permettent d’assurer un inventaire exhaustif, condition sine qua non d’une gestion précise de la sécurité. C’est aussi l’assurance que chaque actif est maîtrisé dans l’ensemble de son cycle de vie.

La sensibilité des actifs est définie formellement selon une classification priorisant la protection des données de nos clients.

Contrôle d’accès et gestion des identités

La plupart des accès et interventions sur les systèmes de production sont réalisés par des scripts et des procédures applicatives, déclenchés depuis des applications internes gérant l’authentification ainsi que celle des personnels. Pour l’administration des systèmes de gestion du service ou des plateformes mises à disposition des clients, les accès sont systématiquement réalisés via des bastions gérant l’identification, l’authentification et la traçabilité de toutes les actions. Les bastions sont gérés par une équipe indépendante, afin de garantir la confidentialité et l’intégrité des traces. Les accès aux fonctions sensibles utilisent des authentifications à deux facteurs et ne peuvent être réalisés que depuis des postes de travail dédiés « durcis ».

Des processus formels de création, de modification et de suppression des comptes utilisateur sont mis en place, sur la base d’une base d’authentification centralisée. Les droits d’accès, basés sur la notion de rôles définis sur la base des fonctions des salariés, sont revus régulièrement pour s’assurer de leur adéquation aux besoins fonctionnels et techniques.

Concernant les accès des clients, ils sont gérés par des outils automatisés mis à leur disposition (espace client OVH, api.ovh.com, interface sécurisée). Le client peut activer des fonctions de sécurité complémentaires, comme l’authentification à plusieurs facteurs, des ACL réseau, la validation des actions sensibles par jeton SMS, etc. Il est responsable des droits d’accès attribués à ses utilisateurs, OVH garantissant la fiabilité des processus mis en place pour gérer les droits d’accès techniques des clients aux plateformes.

Si les environnements techniques mis à disposition des clients sont dédiés au niveau matériel (serveurs hôtes et datastores), de nombreuses briques mutualisées sont utilisées pour mettre en œuvre le service. Les robots, les équipements réseau, l’API, les serveurs de stockage des datastores et les serveurs de coordination sont des équipements mutualisés entre plusieurs clients. La segmentation entre les différents clients est gérée par la combinaison de l’utilisation de matériels dédiés et de configuration logique des équipements mutualisés, afin d’assurer l’étanchéité complète des environnements client les uns par rapport aux autres.

Les environnements bureautiques, les environnements techniques d’administration du service et les environnements d’exécution des infrastructures client sont fortement segmentés, physiquement ou logiquement. Les mécanismes de segmentation font l’objet de mesures de contrôle strictes.

Cryptologie/chiffrement

Par défaut, le stockage des données est protégé via une segmentation logique entre les clients par des ACL et des droits d’accès sur les systèmes, ainsi que par l’utilisation de médias de stockage dédiés. Le chiffrement du stockage est une fonctionnalité proposée par OVH. Elle permet la mise en place d’un mécanisme de chiffrement/déchiffrement des machines virtuelles au niveau des hyperviseurs, qui assure la protection des données client. L’activation et la configuration de ces mécanismes et la gestion des clés de chiffrement est sous la responsabilité du client mais la configuration des infrastructures pour utiliser ces fonctionnalités est réalisée par OVH.

L’utilisation de protocoles de communication réseau chiffrés (SSH, HTTPS, SFTP, etc.) est systématique au sein des infrastructures. Toute exception à ce principe doit être justifiée par une contrainte technique forte et donner lieu à une analyse de risque formelle, ainsi qu’à la mise en place de mesures de sécurité compensatoires permettant d’assurer un niveau de sécurité équivalent.

Sécurité physique et environnementale

L’accès physique des sites OVH repose sur une sécurité périmétrique restrictive dès l’entrée. Tous les locaux sont classifiés : les zones de circulation privées, les bureaux internes accessibles à tous les employés et visiteurs enregistrés, les bureaux internes confidentiels qui ont une politique d’accès restreinte à certains personnels, les zones d’équipement de datacenters, les zones datacenters confidentielles et les zones datacenters critiques qui hébergent notamment les infrastructures de l’offre Private Cloud.

Les accès à ces zones critiques sont limités à une liste de personnels réduite, avec une traçabilité renforcée et une couverture de vidéosurveillance complète. Ils sont réalisés par des sas unipersonnels, incluant plusieurs contrôles (détecteur de présence, pesée, vidéosurveillance). Un contrôle d’accès à deux facteurs pour les salles d’hébergement critiques est en cours de mise en place pour assurer la conformité au référentiel sur les zones d’hébergement destiné aux environnements SecNumCloud. Ces mécanismes seront étendus progressivement à tous les datacentres OVH.

Des mesures de sécurité sont aussi mises en œuvre afin de contrôler l’accès et éliminer toute menace, comme une politique des droits d’accès physiques, des murs ou dispositifs équivalents entre chaque zone, des caméras situées aux entrées/sorties des installations et dans les salles serveurs, des accès sécurisés contrôlés par badgeuses ou un système de détection de mouvement.

Les entrées/sorties des datacenters sont protégées par des dispositifs anti-effraction. Des mécanismes de détection d’intrusion en dehors des heures de présence du personnel et un gardiennage 24/7/365 sont aussi mis en place sur tous les sites d’hébergement. Les locaux sont surveillés en permanence par un réseau dense de caméras de vidéosurveillance.

Les ouvertures de portes d’entrée et de sortie sont contrôlées et signalées à un centre de surveillance continu.

Des règles spécifiques sont appliquées pour la gestion des accès des tiers.

En matière de gestion des risques naturels et environnementaux, les mesures suivantes sont mises en place :

• situation géographique des locaux d’OVH dans des zones non inondables ;
• situation géographique des locaux d’OVH dans des zones sans risques sismiques ;
• alimentation sans interruption ;
• transformateur de secours avec basculement automatique de la charge ;
• basculement automatique sur des groupes électrogènes avec autonomie de 24 heures minimum ;
• batteries permettant de gérer les périodes transitoires ;
• unités HVAC de maintien de la température et du niveau d’humidité ;
• système de détection d’incendie ; des exercices anti-incendie sont réalisés tous les six mois dans les datacenters.

Sécurité liée à l’exploitation

L’administration des plateformes Private Cloud est massivement automatisée. Les équipes d’exploitation n’interagissent directement avec les plateformes qu’en cas de gestion d’incident. Certaines procédures impliquent cependant des actions humaines et ne sont pas toujours automatisables. Elles sont formalisées et suivie de manière obligatoire par les personnels concernés.

Un processus de gestion des changements est mis en place. Il s’assure que toute évolution du système est cohérente, fait l’objet d’une analyse de risque et d’impact, est implémentée en respectant des règles prédéfinies et suit le processus de validation avant la mise en production.

Tous les systèmes exposés aux menaces virales sont protégés par des antivirus monitorés par les équipes d’exploitation. Différents types d’antivirus sont utilisés en fonction du rôle de l’équipement. Des dispositifs de contrôles d’intégrité ainsi que des systèmes de détection d’intrusion sont déployés sur les systèmes. Ces derniers sont monitorés en permanence par les équipes d’exploitation.

Tous les systèmes utilisés pour produire le service sont sauvegardés selon un planning adapté (type de sauvegarde et durée de rétention). La sauvegarde des environnements client est, elle, sous la responsabilité du client. OVH propose des solutions optionnelles lui permettant de déployer sa politique de sauvegarde. Le client est cependant libre d’utiliser les outils de sauvegarde de son choix.

Une politique de traçabilité extensive est mise en œuvre. Tous les équipements et systèmes génèrent des traces centralisées et gérées par les équipes d’exploitation. Les logs sont protégés par la mise en place d’une stricte séparation des tâches. Les logs des actions des clients et des interventions des équipes OVH sur leurs systèmes sont mis à la disposition des clients via l’interface d’administration de la plateforme.

La corrélation des événements et la détection des événements sont gérées par les plateformes d’administration développées en interne par OVH.

Un processus de gestion des vulnérabilités formel vise à s’assurer de l’application des correctifs de sécurité pour toutes les vulnérabilités critiques. Un planning d’application des correctifs est géré selon leur importance. En fonction des cas, ils sont appliqués durant des phases de maintenance planifiées ou en urgence pour les failles les plus critiques.

Les administrateurs des équipes d’exploitation utilisent des postes de travail dédiés, distincts des postes de travail bureautique. Ils sont contraints de se connecter à un réseau de gestion sécurisé via une passerelle VPN, permettant ensuite d’accéder aux bastions d’administration intégrant des mécanismes d’authentification à deux facteurs. Ces postes de productions sont durcis et protégés par des mécanismes de sécurité stricts (antivirus, chiffrement, filtrage réseau, etc.) et gérés par une équipe indépendante. Les administrateurs ne disposent pas de droits d’administration sur leurs postes de travail. Tous les flux d’administration sont chiffrés.

Sécurité des communications

Une cartographie du système d’information de Private Cloud est maintenue. Elle regroupe l’inventaire des actifs, ainsi que des schémas d’architecture fonctionnelle, applicative et réseau de tous les systèmes mis en place.

L’ensemble des flux réseau et des mécanismes de segmentation sont cartographiés et maintenus à jour automatiquement par rapport à l’existant. Toutes les règles d’ouverture de flux réseau sont documentées, justifiées et revues régulièrement.

La segmentation des réseaux est gérée par la combinaison de réseaux dédiés physiques et virtuels. La configuration des équipements chargés d’assurer cette segmentation est revue régulièrement. Le client est responsable de la configuration du réseau de son infrastructure virtuelle et de la connectivité de ses machines virtuelles à Internet, en adressage public ou au sein du vRack (réseau virtuel privé alloué au client). OVH fournit les interfaces d’administration de ces réseaux.

Acquisition, développement et maintenance des systèmes d’information 

Une politique de développement sécurisée est mise en œuvre au sein d’une plateforme de développement maîtrisée. Le cycle de vie des développements intègre la sécurité à toutes les étapes. Des règles d’écriture des codes sources sont définies et des processus de revue, de validation et de mise en production sont appliqués, avec des principes de séparation des tâches forts.

L’utilisation de données de production client est strictement interdite dans les activités de développement et de test. Le déploiement des évolutions logicielles sur les infrastructures de production suit le principe « 1-10-100-1 000 », permettant d’assurer un déploiement maîtrisé et incluant des procédures de retour arrière à chaque étape.

Les développements de la plateforme sont exclusivement réalisés en interne. OVH ne recourt pas à l’externalisation pour le développement des produits.

Relations avec les tiers

OVH recourt à des sociétés tierces pour les activités de gardiennage des datacenters, ainsi que pour la maintenance des équipements assurant les services essentiels en datacenter comme l’électricité et le froid. Les sous-traitants sont soumis aux mêmes règles que les salariés OVH. Elles sont imposées contractuellement à ces sociétés, ainsi qu’à chaque intervenant individuellement. Leur respect est contrôlé de façon opérationnelle et lors d’audits annuels.

Gestion des incidents liés à la sécurité de l’information

Un processus de détection des incidents de sécurité est mis en place pour s’assurer de la remontée de l’ensemble des événements sur toutes les briques du système. Les personnels sont sensibilisés et formés à la détection des anomalies. Un processus de remontée et de traitement des alertes est également mis en œuvre.

Toute atteinte à la disponibilité du service, à l’intégrité et à la confidentialité des données client ou à la traçabilité des actions sur les systèmes entraîne obligatoirement la création d’un incident de sécurité. La communication des incidents de sécurité dans les meilleurs délais est assurée dans le cadre du processus de gestion des incidents.

Une cellule de crise est mise en place pour les incidents ayant des conséquences importantes en matière de disponibilité ou d’intégrité, ainsi que pour tous ceux affectant la confidentialité des données client.

Le processus de gestion des incidents est formel. Il donne lieu à des plans d’actions de correction des causes racines et alimente le processus de gestion des risques de sécurité.

Continuité d’activité

La continuité d’activité des infrastructures est assurée par différents dispositifs garantissant la disponibilité des équipements, des applications et des processus d’exploitation : la continuité du refroidissement, la continuité de l’approvisionnement en électricité et sa redondance, la gestion de la capacité pour les équipements sous la responsabilité d’OVH, le support technique du service réparti sur plusieurs sites géographiques, la redondance des équipements et serveurs utilisés pour l’administration des systèmes et la gestion du service.

En complément, des mécanismes visant à assurer la reprise en cas d’incident sont mis en place : la sauvegarde des configurations des équipements réseau, la sauvegarde des systèmes et des données des serveurs chargés du management du service.

La continuité du système d’information du client s’appuyant sur des ressources OVH est de sa responsabilité et s’appuie sur les mécanismes proposés par OVH dans le cadre du service. Le client doit s’assurer que les dispositifs standards mis en place par OVH, les options souscrites et les dispositifs complémentaires qu’il met en œuvre lui-même permettent d’atteindre les objectifs de continuité de son système d’information.

OVH propose à ses clients de souscrire aux solutions Veeam Backup et Zerto PRA, qui offrent des dispositifs renforcés pour les sauvegardes et la reprise d’activité en cas d’incident.

Conformité

Private Cloud fait l’objet d’un programme d’audit interne et externe à trois ans, visant à couvrir les besoins relatifs aux certifications ISO 27001, ISO 27017, SOC 2 Type II, PCI DSS et certification HDS. Les activités de revues sont les suivantes :

• audit interne du SMSI annuel ;
• tests d’intrusions internes et externes annuels et ad hoc ;
• scan de vulnérabilités internes et externes trimestriel ;
• audit de certification et surveillance ISO 27001 et ISO 27017 annuel ;
• audit SOC 1 & 2 type II annuel ;
• audit PCI DSS annuel (PSP Level 1) ;
• audit de certification et surveillance HDS ;
• audit PASSI ;
• Bug Bounty OVH.

Un audit annuel par une société qualifiée PASSI a été ajouté au programme d’audits pour assurer la conformité au référentiel SecNumCloud et assurer une revue en profondeur des configurations, du codes sources et de l’architecture du service dans le cadre de notre audit interne.

Exigences supplémentaires

Une convention de service alignée sur les exigences du référentiel sera proposée à la fourniture du service qualifié, le cas échéant. Elle précisera en particulier le statut qualifié de la prestation et la possibilité pour les clients de mandater un auditeur qualifié PASSI pour auditer le service.

La localisation de l’hébergement des serveurs et des données est choisie par le client à l’initialisation du service. Dans l’optique d’assurer la conformité au référentiel, seules les infrastructures Private Cloud hébergées dans les datacenters OVH localisés dans l’Union européenne seront concernées. Le support technique au client est fourni en langue française ainsi que les interfaces d’administration du service.

OVH assurera un support du service et des astreintes 24 heures/24, 7 jours/7 par des équipes localisées en Union Européenne.

Enfin, OVH s’engage à respecter les plus hauts standards en termes de protection des données à caractère personnel, aussi bien pour les données utilisées par OVH pour la fourniture du service qu’en tant que sous-traitant en accompagnant les clients dans l’utilisation du service pour assurer un niveau de protection des données hébergées aligné avec leur sensibilité.

This certification obtained after an independent audit by LNE company, provides strong reassurance to customers and users of the services hosted on these servers.

What is the ISO 27001 standard and certification?

ISO/IEC 27001 is an international standard that describes the “requirements for establishing, implementing, maintaining and continuously improving an information security management system” (ISMS). It describes the organisational method which ensures the confidentiality, integrity, availability and traceability of an information system.

Daily security

Since the beginning of OVH, security has been one of the main objectives of the teams that design, operate and develop the services. The ISMS aims to ensure the systematic, comparable and demonstrable functioning of the means implemented to ensure security.

The ISMS is an approach to establishing, maintaining, monitoring, and ensuring continuous improvement of the tools and processes to:

• Identify and consolidate OVH’s obligations and commitments in terms of information security.
• Set appropriate, understandable and consistent information security objectives.
• Implement a risk-based approach to define and prioritise security enhancements.
• Establish, industrialise and use security measures.
• Communicate and coordinate with all internal and external stakeholders involved.

On a day-to-day basis, ISMS consists of managing all risky activities for the service, such as access rights, system and equipment configurations, software updates, infrastructure upgrades, data deletion, partitioning between environments, monitoring and incidents. Ensuring absolute security is not a realistic goal, but the ISMS helps identify vulnerabilities, errors, and malfunctions faster and more reliably. The ISMS ensures the rapid implementation of corrective actions and these actions are followed over time.

A team effort

A team of security experts work with the teams in charge of the design and operation of the service, customer support, sales teams and OVH management to prioritise these improvements. Coordinating these different perspectives within a product-lifecycle, risk-based approach ensures rapid, pragmatic and industrial adaptation of systems and processes to a quickly evolving threat environment.

The certificat audit

The certification audits are carried out by accredited companies, in this case by LNE, accredited by COFRAC. The audit itself follows a strict format and is based on formal requirements. The audit is a challenge for the teams but also for the auditor. On the basis of office and datacentre visits, team interviews, in-depth documentation reviews and systems observation over a period of a few weeks, the auditor must formulate his/her opinion on the relevance of the implemented activities, their effectiveness and of course their compliance with all the requirements of the ISO 27001 standard. The auditor also identifies opportunities for improvement to be considered at the end of the audit.

What is the scope?

The scope of the Information Security Management System covers the provision, connectivity, operational support and decommissioning of Dedicated Servers allocated to customers, the resources provided to customers for the configuration, use and monitoring of allocated infrastructure and service management by OVH teams. The ISMS is therefore firmly designed to focus on the service supplied to the customer.

Security as code

The ISMS covers all the physical servers managed by OVH, i.e. several hundred thousand servers across the group’s datacentres. Apprehending and managing security in an efficient and sustainable way over such a wide scope means aligning each decision with the principles of standardisation and automation of OVH’s industrial model. In the OVH value chain, all repetitive tasks undertaken by staff are to be phased out over the long term . As a result, the ISMS and security is improved via the automation of daily activities and the development of tools to manage the service in a secure way. Human intervention should be limited to cases requiring in-depth analysis or complex coordination. This model allows an exponential scale up of the management system while limiting the resources needed for its operation.

A modular Information Security Management System (ISMS)

To some extent all OVH products use the information systems in support of the service and they are themselves hosted on Dedicated Servers, just like all other OVH products. Defining the graph of dependencies and internal responsibilities is somewhat of a mise en abyme. It was, however, a prerequisite for defining a clear and understandable security organisation that enabled ISMS to function effectively. A modular approach has been put in place to segment and structure the responsibilities of each team involved. These relationships are driven by a set of internal service agreements defined and monitored in the ISMS.

Datacentres, for example, have a separate ISMS to ensure the physical security of hosting sites and the security of datacentre operations. This ISMS is independently certified and provides a solid foundation for service compliance.

The Dedicated Server ISMS certification is based on datacentre certification and covers the servers hosted in these certified datacentres. To date, the datacentres concerned are those in Roubaix (RBX 2,3,5,6,7), all datacentres in Strasbourg, Beauharnois, Singapore and Sydney. The Paris datacentre (P19) hosting part of the information system in support of the service is also concerned, although it does not host any Dedicated Servers allocated to clients. Although all of the company’s servers are covered by the ISMS, certification only concerns these datacentres.

What next?

ISO 27001 is a general standard that addresses the concerns of most of our customers and sets a framework and organisation for ensuring service security. However, it does not consider compliance with requirements linked to a specific business sector. The ISO 27001 standard provides for the possibility of adding additional requirements and the Dedicated Servers ISMS is also designed for this purpose. The ISMS will therefore gradually integrate new specific measures to cover, for example, the needs for hosting personal health data, the requirements of the banking sector or the regulatory specificities of the public sector in the different countries where OVH provides services.

In parallel, the teams are working on the extension of the certification perimeter to include all of the group’s datacentres and in particular those in Erith (UK), Limburg (DE), Ozarow (PL) and Gravelines (FR). The goal is to provide all OVH customers with a uniform level of security assurance regardless of the datacentre region chosen.

Finally, the teams will continue to work with the other product teams to complete the catalogue of certified products and gradually extend it to all OVH’s Infrastructure-as-a-Service offerings.