Sécurité

Sécurité des centres de données

Nos centres de données partenaires vous garantissent plusieurs niveaux et pratiques de sécurité.

• Conception sécurisée

  
• SÉLECTION DU SITE
  Avant de choisir un site, notre partenaire effectue des évaluations environnementales et géographiques initiales. Les emplacements des centres de données sont soigneusement sélectionnés pour éviter les risques environnementaux tels que les inondations, les conditions météorologiques extrêmes et l’activité sismique. Nos centres sont construits de manière à être indépendants et physiquement séparés les uns des autres.
  
  REDONDANCE
  Les centres de données sont conçus pour anticiper et tolérer les pannes tout en maintenant les mêmes niveaux de service. En cas de panne, des processus automatisés éloignent le trafic de la zone touchée. Les applications centrales sont déployées selon un standard N+1, de sorte qu’en cas de panne d’un centre de données, la capacité est suffisante pour permettre l’équilibrage de charge du trafic vers les sites restants.
  
  DISPONIBILITÉ
  Notre partenaire a identifié les composants critiques du système nécessaires au maintien de la disponibilité de notre système et au rétablissement du service en cas de panne. Les composants critiques du système sont sauvegardés sur plusieurs sites dinctincts. Chaque site est conçu pour fonctionner indépendamment avec une grande fiabilité. Les sites sont connectés pour vous permettre de concevoir facilement des applications qui basculent automatiquement entre les sites sans interruption. Les systèmes hautement résilients, et donc la disponibilité du service, sont une fonction de la conception du système. Grâce à l’utilisation de plusieurs sites et à la réplication des données, notre partenaire de centres de données peut atteindre des objectifs de temps de récupération et de points de récupération extrêmement courts, ainsi que les plus hauts niveaux de disponibilité des services.
  
  PLANIFICATION DE LA CAPACITÉ
  Notre partenaire surveille en permanence l’utilisation des services afin de déployer l’infrastructure pour soutenir nos engagements et nos exigences de disponibilité. Notre partenaire de centres de données maintient un modèle de planification des capacités qui évalue l’utilisation et les demandes de notre infrastructure au moins une fois par mois. Ce modèle permet de planifier les demandes futures et inclut des considérations telles que le traitement de l’information, les télécommunications et le stockage des journaux d’audit.

• Continuité des activités et reprise après sinistre

  
• PLAN DE CONTINUITÉ DES ACTIVITÉS
  Le plan de continuité des activités décrit les mesures à prendre pour éviter et atténuer les perturbations environnementales. Il comprend des détails opérationnels sur les mesures à prendre avant, pendant et après un événement. Le plan de continuité des activités s’appuie sur des tests qui comprennent des simulations de différents scénarios.
  
  MESURES EN CAS DE PANDÉMIE
  Notre partenaire de centres de données intègre des politiques et des procédures de réponse en cas de pandémie dans son plan de reprise après sinistre afin de se préparer à répondre rapidement aux menaces d’épidémies de maladies infectieuses. Les stratégies d’atténuation comprennent des modèles alternatifs de dotation en personnel pour transférer les processus critiques à des ressources extérieures à la région, et l’activation d’un plan de gestion de crise pour soutenir les opérations commerciales critiques. Les plans de pandémie font référence aux agences et réglementations sanitaires internationales, notamment les points de contact pour les agences internationales.

• Accès physique

  
• ACCÈS DES EMPLOYÉS AU CENTRE DE DONNÉES
  Les centres de données ne sont accessibles physiquement qu’aux employés approuvés par notre partenaire. Tous les employés qui ont besoin d’accéder à un centre de données doivent d’abord remplir une demande l’accès et fournir une justification opérationnelle valable. Ces demandes sont accordées sur la base du principe du moindre privilège, c’est-à-dire que les demandes doivent préciser à quel niveau du centre de données l’individu doit accéder, et elles sont limitées dans le temps. Les demandes sont examinées et approuvées par le personnel autorisé, et l’accès est révoqué après l’expiration du délai demandé. Une fois qu’ils ont obtenu l’autorisation d’entrer, les individus sont limités aux zones spécifiées dans leur autorisation.

• Surveillance et journalisation

  
• EXAMEN DE L’ACCÈS AUX CENTRES DE DONNÉES
  L’accès aux centres de données est régulièrement examiné. L’accès est automatiquement révoqué lorsqu’un employé est indiqué comme ne faisant plus partie de l’entreprise dans le système RH de notre partenaire. En outre, lorsque l’accès d’un employé ou d’un sous-traitant expire conformément à la durée de la demande approuvée, son accès est révoqué, même s’il continue d’être employé par notre partenaire de centres de données.
  
  SURVEILLANCE DE L’ACCÈS AUX CENTRES DE DONNÉES
  Notre partenaire de centres de données surveille nos centres de données par le biais de nos centres internationaux d’opérations de sécurité, qui sont responsables de la surveillance, du triage et de l’exécution des programmes de sécurité. Ils fournissent une assistance mondiale 24 h/24 et 7 j/7 en gérant et en surveillant les activités d’accès aux centres de données, en équipant les équipes locales et les autres équipes d’assistance pour répondre aux incidents de sécurité par le triage, la consultation, l’analyse et la répartition des réponses.

• Surveillance et détection

  
• Vidéosurveillance
  Les points d’accès physiques aux salles de serveurs sont filmés et enregistrés par une caméra de vidéosurveillance (CCTV). Les images sont conservées conformément aux exigences légales et de conformité.
  
  POINTS D’ENTRÉE AU CENTRE DE DONNÉES
  L’accès physique est contrôlé aux points d’entrée du bâtiment par du personnel de sécurité professionnel utilisant des systèmes de surveillance, de détection et d’autres moyens électroniques. Le personnel autorisé utilise des mécanismes d’authentification multifactorielle pour accéder aux centres de données. Les entrées des salles de serveurs sont sécurisées par des alarmes qui déclenchent une intervention si la porte est forcée ou maintenue ouverte.
  
  DÉTECTION D’INTRUSION
  Des systèmes électroniques de détection d’intrusion sont installés dans la couche de données pour surveiller, détecter et alerter automatiquement le personnel compétent en cas d’incidents de sécurité. Les points d’entrée et de sortie des salles de serveurs sont sécurisés par des dispositifs qui exigent que chaque personne fournisse une authentification multifactorielle avant d’autoriser l’entrée ou la sortie. Ces dispositifs déclenchent des alarmes si la porte est ouverte de force sans authentification ou si elle est maintenue ouverte. Les dispositifs d’alarme de porte sont également configurés pour détecter les cas où un individu sort ou entre dans une couche de données sans fournir d’authentification multifactorielle.

• Gestion des systèmes

  
• GESTION DES ACTIFS
  Les actifs sont gérés de manière centralisée par le biais d’un système de gestion de l’inventaire informatique qui stocke et suit le propriétaire, l’emplacement, l’état, la maintenance et les informations descriptives des actifs possédés. Après obtention, les actifs sont scannés et suivis, et les actifs faisant l’objet d’une maintenance sont vérifiés et contrôlés quant à leur propriété, leur statut et leur résolution.

• Systèmes de soutien opérationnel (OSS)

  
• ALIMENTATION
  Les systèmes d’alimentation électrique de nos centres de données sont conçus pour être entièrement redondants et maintenus sans impact sur les activités, 24 h/24. Les centres de données sont équipés d’une alimentation de secours afin de garantir la disponibilité de l’énergie nécessaire au maintien des activités en cas de panne électrique pour les charges critiques et essentielles de l’infrastructure.
  
  CONTRÔLE DE LA TEMPÉRATURE
  Les centres de données utilisent des mécanismes pour contrôler et maintenir une température de fonctionnement appropriée pour les serveurs et autres matériels afin d’éviter la surchauffe et de réduire la possibilité de pannes de service. Le personnel et les systèmes surveillent et contrôlent la température et l’humidité des lieux pour les maintenir à des niveaux adaptés.
  
  DÉTECTION ET EXTINCTION DES INCENDIES
  Les centres de données sont équipés d’un matériel de détection et d’extinction automatique des incendies. Les systèmes de détection d’incendie utilisent des capteurs de détection de fumée dans les espaces de réseau, les espaces mécaniques et les infrastructures. Ces zones sont également protégées par des systèmes d’extinction.
  
  DÉTECTION DE FUITES
  Afin de détecter la présence de fuites d’eau, notre partenaire équipe les centres de données d’un dispositif de détection d’eau. Si de l’eau est détectée, des mécanismes sont mis en place pour l’évacuer afin d’éviter tout nouveau dégât des eaux.

• Maintenance des infrastructures

  
• MAINTENANCE DES ÉQUIPEMENTS
  Notre partenaire surveille et effectue la maintenance préventive des équipements électriques et mécaniques pour garantir le bon fonctionnement des systèmes dans les centres de données. Les procédures de maintenance des équipements sont effectuées par des personnes qualifiées et réalisées selon un calendrier de maintenance documenté.
  
  GESTION DE L’ENVIRONNEMENT
  Le partenaire de notre centre de données surveille les systèmes et équipements électriques et mécaniques afin de permettre l’identification immédiate des problèmes. Pour ce faire, nous utilisons des outils d’audit continu et les informations fournies par nos systèmes de gestion des bâtiments et de surveillance électrique. L’entretien préventif est effectué pour maintenir la continuité du fonctionnement des équipements.

• Gouvernance et risque

  
• GESTION DES RISQUES DES CENTRES DE DONNÉES EN COURS
  Notre partenaire de centres de données réalise régulièrement des examens pour identifier les menaces et les vulnérabilités des centres de données. L’évaluation et l’atténuation continues des vulnérabilités potentielles sont effectuées par le biais d’activités d’évaluation des risques des centres de données. Cette évaluation est réalisée en plus du processus d’évaluation des risques au niveau de l’entreprise utilisé pour identifier et gérer les risques présentés par l’entreprise dans son ensemble. Ce processus prend également en compte les risques réglementaires et environnementaux régionaux.
  
  ATTESTATION DE SÉCURITÉ PAR UNE TIERCE PARTIE
  Les tests effectués par une tierce partie sur les centres de données, tels que documentés dans nos rapports de tierce partie, garantissent que notre partenaire de centres de données a implémenté des mesures de sécurité conformément aux règles établies nécessaires pour obtenir des certifications de sécurité. En fonction du programme de conformité et de ses exigences, les auditeurs externes peuvent effectuer des tests d’élimination des supports, examiner les images des caméras de sécurité, observer les entrées et les couloirs d’un centre de données, tester les dispositifs de contrôle d’accès électronique et examiner les équipements des centres de données.