Préambule
Cet article a pour objectif de présenter les caractéristiques techniques de l’infrastructure d’hébergement ainsi que les services proposés par Holy-Dis dans le cadre de l’offre Timesquare On Demand.
Les principales spécificités de l’offre sont les suivantes :
- L’utilisateur accède à la solution Timesquare par Internet.
- La plateforme est hébergée par notre partenaire KDDI (Telehouse) au sein de leur datacenter en région parisienne.
- L’environnement de production est mutualisé et virtualisé.
- Holy-Dis est responsable de la maintenance et de la disponibilité de la solution.
- Notre hébergeur KDDI (Telehouse) est responsable de la sécurité et de la connectivité de la plateforme. Cependant, toute question ou requête concernant cette partie de l’architecture passe nécessairement par le biais de Holy-Dis.
Sécurité physique de la plateforme au sein du datacenter
KDDI (Telehouse), notre partenaire hébergeur certifié
Le partenaire technique retenu par Holy-Dis pour mettre en place l’offre Timesquare On Demand est KDDI (Telehouse), par le biais de la filiale KDDI France, dont le siège social est à Paris. La société est spécialisée dans l'hébergement et l'infogérance de serveurs depuis plus de 20 ans. Les données de ses clients sont uniquement hébergées en France.
KDDI France est une filiale sœur du groupe KDDI qui possède un réseau de 46 sites dans 24 emplacements stratégiques dans le monde entier. La société KDDI n'est pas soumise au Patriot Act.
Les serveurs d’exploitation et les solutions de sauvegarde sont exclusivement hébergés en France. Pour des raisons de sécurité, ces deux serveurs ne sont pas hébergés dans le même datacenter. Le datacenter utilisé pour l’hébergement des serveurs d’exploitation de la solution Timesquare est TH3, situé 1 rue Pablo Picasso 78114 Magny-Les-Hameaux, en région parisienne. La sauvegarde des données est localisée en partie sur le site de TH3 et en partie sur le site de TH2, situé 137 boulevard Voltaire 75011 Paris.
Tous deux ont été construits selon la norme industrielle Tier 3 de classification des datacenters, garantissant la meilleure disponibilité d’électricité et de régulation thermique. La certification permet de passer au crible les centres de données afin d’en vérifier notamment le niveau de résilience, l’efficience énergétique ou encore la sécurité du bâtiment. La certification Tier 3 est aujourd’hui un élément important pour beaucoup d’opérateurs de datacenters, qui valident ainsi la qualité de leur infrastructure (plus d’informations sur : https://uptimeinstitute.com/tier-certification).
Cette société a été auditée par le bureau Veritas et a obtenu en mai 2024 pour une durée de validité de 3 ans, la certification ISO 27001 pour la mise en place et l’amélioration continue du Système de Management de la Sécurité de l’Information (SMSI). Par ailleurs, KDDI France (Telehouse) n’a aucune exclusion dans son "Statement of Applicability" et la référence de celui-ci apparaît sur son certificat ISO 27001. Pour des raisons de confidentialité imposées par la Politique Sécurité du Groupe KDDI France (Telehouse) et celle de Holy-Dis, ce document n'est pas communiqué.
Elle a également obtenu en mai 2024 pour une durée de validité de un an, la certification PCI-DSS (Payment Card Industry Data Security Standard) pour l’amélioration de la sécurité physique et logique des systèmes d’information. Et en mai 2021 pour une durée de validité de 3 ans, la certification ISO 9001 pour son engagement sur la qualité. Cette dernière porte sur la gestion de projets de conseil, la fourniture d’équipements, l’ingénierie et la maintenance, y compris l’administration de systèmes et de réseaux des solutions informatiques des clients critiques (conformément à la traduction du certificat).
En novembre 2022 et pour une durée de validité de 3 ans, KDDI (Telehouse) a été certifié ISO 50001 pour ses activités d’hébergement d’équipements informatiques et de cloud de type IaaS par BSI. La norme ISO 50001, qui récompense les infrastructures participant à une meilleure efficacité énergétique, certifie les processus d’amélioration continue mis en place par KDDI (Telehouse).
Enfin, en 2022 et pour une durée de validité de 3 ans, la société est certifiée HDS, pour le respect des exigences et contrôles liés à l'hébergement des données de santé.
En 2022 et pour une durée de validité de 3 ans, la société est également certifiée ISO 14001, en harmonie avec les dispositifs qui respectent l’environnement.
KDDI (Telehouse) a une démarche innovante qui se caractérise par l’intégration des critères environnementaux dès la phase de conception d’un produit ou service. L’enjeu est d’en réduire les impacts environnementaux tout au long du cycle de vie (de l’extraction des matières premières jusqu’à sa fin de vie). Par ailleurs, KDDI (Telehouse) dispose d’une attestation AlpEnergie pour l’utilisation de sources d’électricité d’origine renouvelable.
Sécurité physique des sites : accès, feu et eau
Une équipe se relaie pour assurer une surveillance 24h/24 et 7j/7 sur le site du datacenter. L’immeuble est protégé de l’extérieur par des caméras, grilles et alarmes et la totalité du site est sous vidéo surveillance. Les prestataires et intervenants doivent respecter des procédures et règles d’accès strictes. Une attention toute particulière est apportée à la sensibilisation du personnel à travers des formations spécialisées et l’adoption d’une culture de la sécurité.
De nombreuses procédures en place permettent d’assurer une surveillance permanente. Pour parer aux risques d’incendie, un Système de Sécurité Incendie (SSI) de catégorie A, le niveau le plus élevé, a été mis en place avec une détection en faux plafond, faux plancher et atmosphère ambiante ainsi qu’un déclenchement automatique. Si besoin est, l’extinction se fait sans coupure de courant.
Dans l’hypothèse d’une crue centennale de la Seine du type de celle de 1910, le site parisien de KDDI (Telehouse) est situé en dehors des zones inondables telles que formulées dans le plan de prévention du risque d’inondation (PPRI) de la Ville de Paris.
Installations électriques
Au niveau électrique, les datacenters sont équipés comme suit :
- Alimentation EDF : alimentation EDF de 10 MW pour TH2 et 15 MW pour TH3
- Générateurs : 6 générateurs MTU 2MVA
- Chaque type d’équipement est renforcé par un élément supplémentaire pour suppléer tout élément défaillant, on parle de redondance et d’architecture N+1
- Protection électrique : dispositif de protection par des paratonnerres et parafoudres (au niveau des postes de livraison des alimentations haute tension et des transformateurs) afin d’éviter des accidents indirects de la foudre sur des câbles d’énergie
De nombreuses procédures en place permettent d’assurer une surveillance permanente et une vérification régulière de chacun des constituants. Une équipe est prête à intervenir si nécessaire.
Installation de refroidissement
Une température constante est maintenue dans les salles grâce à 6 groupes froids aménagés selon une architecture redondante.
Connectivité
Les salles d’hébergement sont connectées au cœur du réseau des plus grands opérateurs de télécommunication (protocole BGP4), grâce à des connexions de très haut débit qui utilisent un maillage interne et de multiples routes sécurisées. L’accès à la boucle locale parisienne se fait en pied d’immeuble par le système de réseau principal. Le site dispose d’une terrasse dédiée aux antennes. La charge permanente supportée est de 250 Kg/m². C’est le noyau central pour 80% du trafic internet direct en France.
Caractéristiques techniques de la plateforme
La plateforme Timesquare mise à disposition dans le cadre de l’offre Timesquare On Demand est de type virtualisée et mutualisée. La sécurité et la connectivité de celle-ci est assurée par notre partenaire hébergeur KDDI (Telehouse).
Infrastructure technique de la plateforme Holy-Dis
Le schéma suivant présente l’infrastructure technique liée à l’environnement d’un client. Elle présente la scalabilité de l’infrastructure, c’est-à-dire sa capacité à s’adapter à la montée en charge afin de maintenir ses fonctionnalités et ses performances en cas de forte demande. Elle présente également le cloisonnement des données par rapport aux environnements des autres clients compte tenu de la mutualisation proposée par Holy-Dis.
Infrastructure technique, scalabilité et cloisonnement de l’environnement client
Type de mutualisation
La mutualisation appliquée dans le cadre de l’offre Timesquare On Demand est uniquement technique à travers le partage de la ressource technique mais en aucun cas applicative.
Chaque client de l’offre travaille sur son propre environnement. Chaque environnement est connecté avec sa propre instance de base de données.
Les données sont cloisonnées grâce à des comptes spécifiques par services (client) ainsi que par droits d’accès au niveau des répertoires de stockage (droit NTFS).
Enfin, un espace FTP sécurisé (protocole de cryptage SFTP) est alloué à chaque environnement afin de pouvoir réaliser des transferts de fichiers par internet.
Il est impératif de disposer d'une adresse IP publique fixe (demande auprès du fournisseur d'accès internet client) pour l'établissement afin d'assurer la communication avec le serveur FTP.
Redondance de la plateforme
La plateforme de la solution Timesquare dispose de mécanismes de redondance pour :
- Alimentation électrique :
- Arrivée électrique en provenance de 2 stations distinctes.
- Secours des arrivées électriques par des générateurs en architecture N+1 permettant de délivrer la même puissance électrique que celle fournie par les fournisseurs d’énergie de KDDI (Telehouse) pour alimenter leurs sites à pleine charge.
- Présence de batteries UPS.
- Distributions en double alimentation électriques des baies.
- Refroidissement : Redondance des groupes froids en architecture N+1.
- Réseau :
- Multiples adductions réseaux permettant la diversification des liens d’arrivées opérateurs.
- Accès internet multi-opérateur (4 opérateurs distincts en BGP).
- Architecture physique : Hosts physiques / Hyperviseurs. Cœur de la virtualisation, des fermes de clusters sont constituées afin de permettre d’avoir le meilleur compromis en termes de performance et de redondance. Chaque hyperviseur constituant les clusters de KDDI (Telehouse) possède des caractéristiques équivalentes afin de garantir une homogénéité de performance au travers de l’infrastructure et ce, quelle que soit la position de la machine virtuelle hébergée au sein du cluster. Les clusters d’hyperviseurs bénéficient des fonctionnalités suivantes :
- Déplacement à chaud des machines virtuelles sans interruption.
- Haute disponibilité : en cas de défaillance d’un hyperviseur, redémarrage automatique des machines virtuelles impactées sur des hyperviseurs existants et opérationnels.
- Répartition de charge automatique : déplacement dynamique et à chaud des machines virtuelles en fonction des charges.
- Stockage : Les baies de stockage SAN connectées aux hyperviseurs (par cluster) bénéficient des mécanismes de redondance suivants :
- Double contrôleur.
- Double attachement aux tiroirs disques.
- Double cache NVRAM (mémoire non volatile).
- Double parité des blocs/segments des données stockées.
Accessibilité de la plateforme
La plateforme est accessible 7 jours sur 7, 24h sur 24, avec un taux de disponibilité des services applicatifs à 99%.
La solution n’intègre pas de mécanisme de paramétrage de restrictions d’accès pour les collaborateurs d’un client, sur une plage horaire définie.
Pour plus d’informations sur le calcul du taux de disponibilité, voir la section Disponibilité des services.
Intégration avec la DSI du client
L’instance mise à disposition pour un client peut nécessiter d’être intégrée avec la DSI du client, notamment en cas d’authentification LDAP ou Web SSO, ou bien en cas d’implémentation du module Datamart. Dans ce cas, il est nécessaire de se rapprocher de Holy-Dis pour dimensionner la plateforme aux besoins identifiés au moment de la proposition de l’offre commerciale.
Type d’accès à la plateforme
Par défaut, l’accès à la plateforme se fait par le biais du réseau Internet. Le client doit donc disposer sur tous les sites concernés d’un accès à internet. Holy-Dis préconise une connexion 1Mb/s de type ADSL minimum pour la connexion des postes clients.
Le choix final du fournisseur d’infrastructure réseau appartient au client mais doit tenir compte des préconisations de Holy-Dis. Il est particulièrement important de vérifier l’option de secours offerte par le fournisseur par la mise en place d’une ligne parallèle en cas d’interruption du réseau.
Pré-requis techniques du poste client
Timesquare
Timesquare répond aux standards du flexible web design. La solution s’adapte à la diversité des environnements d’affichage. Les éléments changent de forme et de position sans compromettre l’intégrité de la conception globale de la page.
Timesquare est donc multi-devices : il peut être indifféremment affichée sur un PC ou une tablette (en mode paysage).
Voici la liste des composants exigés par Timesquare :
- Navigateur Web : Un navigateur moderne avec support HTML 5 et Javascript ES2015 au minimum est nécessaire. Holy-Dis supporte l'accès à ses logiciels à travers les navigateurs Edge, Firefox, Chrome et Safari aussi longtemps que la maintenance régulière (hors maintenance étendue) est assurée par leurs éditeurs. Dans la mesure où les mises à jour de ces navigateurs se font généralement de manière automatique, Holy-Dis préconise l'utilisation des versions majeures de ces solutions.
- Tableur et lecteur PDF : Pour les tableaux de reporting au format XLSX et les éditions au format PDF. Timesquare est compatible avec Microsoft Excel et Adobe Acrobat pour l'affichage / la lecture de documents produits par la solution aussi longtemps que la maintenance régulière (hors maintenance étendue) est assurée par leurs éditeurs respectifs.
- Serveur SMTP interne à votre entreprise : Afin de paramétrer les notifications par email, il est nécessaire d’utiliser un serveur SMTP interne à votre propre infrastructure. Le paramétrage peut être effectué par votre équipe IT ou par nos soins (option payante). Le tableau ci-dessous détaille les propriétés à configurer :
Clé | Valeur |
---|---|
tsq.mail.collab.active | Notification par mail pour Collab (exemple : true) |
spring.mail.host | Host de serveur mail (exemple : smtp.holydis.com) |
spring.mail.username | Compte de mail d’envoi (exemple : tsq@holydis.com) |
spring.mail.password | Mot de passe de compte d’envoi (exemple : ****) |
spring.mail.properties.mail.transport.protocol | Protocole (exemple: smtp) |
spring.mail.properties.mail.smtp.port | Port de serveur mail (exemple : 25) |
spring.mail.properties.mail.smtp.auth | Authentification OUI/NON (exemple : true) |
spring.mail.properties.mail.smtp.starttls.enable | Activer StartTLS protocole OUI/NON (exemple : true) |
spring.mail.properties.mail.smtp.starttls.required | StartTLS protocole obligatoire OUI/NON (exemple : true) |
La configuration minimale requise est indiquée dans le tableau ci-dessous.
Systèmes d’exploitation | Microsoft / Linux / Apple OSX |
---|---|
Processeur | 4 CPU |
Mémoire | 8 Go |
Résolution d’affichage | 1280 x 768 et au-delà |
Note : Concernant la résolution des écrans, il est important de noter que la technologie "Retina" dont disposent certains modèles d’appareils de la marque Apple, multiplie le nombre de pixels pour une résolution similaire sur un écran standard. Ainsi, pour un nombre pixels plus élevés, on dispose d’une résolution moindre. C’est pourquoi il est possible que l’affichage de Timesquare sur ces supports ne soit pas optimisé.
Les options "Javascript" et "Téléchargement de fichiers" doivent être activées.
En outre, pour accéder au centre d’aide, il est nécessaire d’avoir une connexion internet, celui-ci étant hébergé par Zendesk, une solution SaaS externe aux serveurs Timesquare.
Une URL personnalisée du type https://nomduclient.saas2.timesquare.fr/tsq/login est comprise dans l’offre.
Concernant le processeur et la mémoire requises, ces informations sont fournies à titre indicatif. Dans tous les cas, les performances d'affichage dépendent également de la charge du navigateur, ainsi que de l’utilisation globale de l’environnement de travail.
My Timesquare
My Timesquare est la solution dédiée aux collaborateurs. Elle répond aux standards du responsive design. Elle ajuste automatiquement l’affichage de la page web à la taille de l’écran du terminal utilisé.
My Timesquare est donc multi-devices : il peut être indifféremment affichée sur un PC, une tablette (en mode portrait ou paysage), un smartphone.
Voici la liste des composants exigés par My Timesquare :
- Navigateur Web : Un navigateur moderne avec support HTML 5 et Javascript ES2015 au minimum est nécessaire. Holy-Dis supporte l'accès à ses logiciels à travers les navigateurs Edge, Firefox, Chrome et Safari aussi longtemps que la maintenance régulière (hors maintenance étendue) est assurée par leurs éditeurs. Dans la mesure où les mises à jour de ces navigateurs se font généralement de manière automatique, Holy-Dis préconise l'utilisation des versions majeures de ces solutions.
- Tableur et lecteur PDF : Pour les tableaux de reporting au format XLSX et les éditions au format PDF. Timesquare est compatible avec Microsoft Excel et Adobe Acrobat pour l'affichage / la lecture de documents produits par la solution aussi longtemps que la maintenance régulière (hors maintenance étendue) est assurée par leurs éditeurs respectifs.
Le mode Mobile s’active automatiquement pour des résolutions en deçà de 992px à l’horizontale, donc pour un smartphone ou une tablette en mode portrait par exemple.
Les pré-requis techniques du mode Desktop sont identiques à ceux de la solution Timesquare.
Le mode Mobile est adapté aux smartphones du marché fonctionnant sous IOS ou Android ayant une résolution minimum de 375 x 600px. Les versions iOS12 et antérieures ne sont pas supportées.
Une URL personnalisée du type https://nomduclient.saas2.timesquare.fr/tsq/login (identique à l’URL de la solution Timesquare) est comprise dans l’offre pour accéder à My Timesquare.
Note : Concernant la résolution des écrans, il est important de noter que la technologie "Retina" dont disposent certains modèles d’appareils de la marque Apple, multiplie le nombre de pixels pour une résolution similaire sur un écran standard. Ainsi, pour un nombre pixels plus élevés, on dispose d’une résolution moindre. C’est pourquoi il est possible que l’affichage de Timesquare sur ces supports ne soit pas optimisé.
Intégration du module de Gestion des Temps avec les terminaux de pointage
En gris, les badgeuses de chaque client sont reliées au Ternet par un flux HTTPS qui transite par le port 443. C’est le seul flux à autoriser par le client.
Le Ternet centralise ainsi les flux provenant des différents clients. Il contient des fichiers techniques permettant notamment la personnalisation de l’utilisation des badgeuses.
En bleu, le Ternet est supervisé grâce à un outil Tnview.exe et Config.exe relié par un port UDP fermé, privé. Un VPN est requis pour y accéder.
En orange, le Ternet est connecté en temps réel au serveur SaaS par une interface Web Services et passe par un proxy GTA, afin de remonter les pointages en direct avec le format MALT dans la base client Timesquare.
Il est impératif de disposer d'une adresse IP publique fixe (demande auprès du fournisseur d'accès internet client) pour l'établissement afin d'assurer la remontée des données depuis les badgeuses.
Sécurité logique et protection des données personnelles
En tant qu’éditeur de logiciel, Holy-Dis garantit la conformité de son offre Timesquare On Demand vis-à-vis du Règlement Général sur la Protection des Données (RGPD). Dans ce contexte, l’offre répond aux enjeux de protection des données personnelles et de sécurisation des processus grâce à la mise en œuvre d’une politique stricte de gestion des données sous la forme de mesures techniques et organisationnelles adaptées. Ces mesures peuvent concerner les aspects techniques ou l’organisation mise en place par le partenaire hébergeur de la solution.
Holy-Dis dispose d’une adresse email pour réceptionner vos requêtes relatives à la protection des données et au droit d’accès, modification, restriction ou suppression des données : rgpd@holydis.com.
Sécurité de la plateforme
- Réseau :
- Accès internet bénéficiant d’une protection contre les attaques DDoS (Distributed Denial of Service) distribuée par les fournisseurs d'accès, s'appuyant sur une solution ARBOR (TMS : Threat Management System) destinée aux en-têtes de paquets de niveau 4 (TCP/UDP). Cette protection active 24/7 se fait au niveau des opérateurs, sans impacter les infrastructures KDDI (Telehouse), permettant une analyse continue des paquets réseaux. Elle peut générer des alertes auprès du Support KDDI (Telehouse). La mitigation est automatique en fonction de seuils définis conjointement avec les opérateurs. Le trafic correspondant à des comportements anormaux est dévié pour ne laisser passer que les flux légitimes. L’ensemble des éléments de l’infrastructure est supervisé par l’hébergeur 24/7.
- Architecture cœur de réseaux basée sur des stacks de commutateurs, permettant le double attachement réseaux des équipements compatibles.
- Firewall :
- Protection Firewall matériel, en amont de la plateforme IAAS, en mode actif/passif.
- Port de supervision HA et synchronisation de configuration au travers de 2 ports et chemin distinct.
- Cluster des firewalls permettant, entre autres, le maintien des sessions TCP en cas de bascule.
Note : KDDI (Telehouse) est abonné à différentes listes de diffusion pour tout ce qui concerne la veille sécuritaire.
Supervision de la sécurité de la plateforme
L’infrastructure Telecloud est supervisée de manière continue par une solution s’appuyant sur le stack ELK. Celui-ci permet l’agrégation, l’analyse et la visualisation des données de journaux d’événements des différents équipements constituant l’infrastructure.
Exemple de visualisation : IP sources et destinations représentées sur une carte du monde
Le système de supervision assure les remontées d’alertes par notifications emails en fonction des seuils définis.
A l’heure actuelle, pas d’EDR (Endpoint Detection and Response) à proprement parler, les mesures appliquées sont les suivantes :
- Réseaux d’administration isolé des réseaux externes
- Accès aux réseaux d’administration par un bastion d’authentification
- Suivi quotidien des mises à jour (antivirales, applicatives, sécurité) des postes et serveurs
- Filtrages par proxy des accès internet pour la protection des contenus malicieux
En complément :
- Réalisation régulière de scans / pen tests de vulnérabilité réseaux des outils KDDI (Telehouse) publiquement accessibles depuis un réseau externe à notre infrastructure
- Accès internet multi-homé (BGP multi-opérateur), avec protection DDoS au niveau opérateur (combinaison de modèle de statistique, seuil, signatures)
- Audit régulier de notre système d’information en conformément à notre certification ISO 27001
Décommissionnement d’une VM
Dès que la durée de conservation des données est dépassée, les serveurs non utilisés sont tous détruits, en suivant une procédure conforme à la certification ISO 27001. La suppression des données couvre tous les équipements concernés, à savoir la production (baies de stockage) et les back-ups.
Lorsque Holy-Dis décommissionne une VM, KKDI France (Telehouse) est en mesure de fournir à Holy-Dis un certificat d’effacement et de destruction des données (méthode de type "write 0" permettant d’écraser les données avant de les effacer).
Etapes de décommissionnement d’une VM :
- Arrêt de la VM par Holy-Dis
- Ordre de décommissionnement de la VM par Holy-Dis à l’hébergeur KKDI France (Telehouse)
- Suppression de la VM par KKDI France (Telehouse)
- Suppression des sauvegardes images par KKDI France (Telehouse) *
- Suppression des sauvegardes granulaires par KKDI France (Telehouse) *
- Remise d’un certificat de suppression par l’hébergeur KKDI France (Telehouse) à Holy-Dis
(* si aucune précision n’est mentionnée, la suppression des sauvegarde images ou granulaires se font par défaut de manière automatique une fois durée de rétention expirés.)
Sécurité des données échangées avec la solution
Protocole TLS pour l’échange de données
Holy-Dis utilise le protocole TLS 1.2 pour l’échange de données entre le poste client et la solution. Pour les clients qui utilisent les Web Services, il est recommandé d’avoir des solutions compatibles avec TLS 1.2.
Management des sessions utilisateurs
Timesquare est en mode "Stateless", y compris, la sécurité. Les accès des utilisateurs sont gérés par le protocole OAUTH2 avec token de type JWT. Pas de session classique et tout est géré par un système de API Restful et Stateless.
Modes d’authentification disponibles
La solution Timesquare supporte plusieurs modes d’authentification permettant aux utilisateurs d’accéder aux modules de la solution.
Authentification par une base de compte interne à la solution
C’est le mode d’authentification par défaut proposé par Holy-Dis. Dans ce cas, les logins d’accès des utilisateurs sont stockés dans la base de données de la solution avec les mots de passe préalablement cryptés.
Authentification SAML2
Cette authentification qui permet la connexion unique (SSO) sur plusieurs domaines est proposée en option. Elle est utilisable avec un IdP ("Identity Provider" ou fournisseur d’identité) compatible au protocole SAML2. Timesquare délègue la responsabilité de l’authentification au IdP du client en passant par le protocole SAML2.
Si ce mode de fonctionnement est retenu, cette prestation payante est conduite par Holy-Dis et nécessite la mise en place d’un canal d’interaction entre Timesquare RP (Resource Provider) et le IdP du client.
Concernant la connexion simultanée à Timesquare et My Timesquare par un seul utilisateur ayant potentiellement des rôles de salarié, manager et/ou responsable, il existe des types de connexion sécurisés différents au moment de l’authentification auprès du IdP du client :
- Pour l’utilisateur sur Timesquare
- Pour le salarié sur My Timesquare
- Pour le gestionnaire sur My Timesquare
- Pour le responsable sur My Timesquare
Authentification par lecture d’une base de données de type LDAP
Cette authentification est proposée en option. Elle est utilisable avec un annuaire (par exemple Active Directory) supportant les requêtes au format protocolaire LDAP. Timesquare vérifie si les contrôles d’identification saisis sur le portail sont corrects avant de donner accès à la solution.
Si ce mode de fonctionnement est retenu, le serveur LDAP du client doit être publié sur internet. Il est souhaitable qu’il soit exposé en mode LDAP.
Une prestation est proposée par Holy-Dis pour réaliser le paramétrage de l’échange de données entre le serveur Timesquare On Demand et l’annuaire LDAP.
Principe général de l’authentification LDAP dans l’offre Timesquare On Demand
Protocole SFTP pour l’échange de fichiers
Holy-Dis sécurise l’échange de fichiers grâce au propre SFTP (Secure File Transfer Protocol) de Timesquare par l’intermédiaire d’une connexion sécurisée et cryptée, utilisant le protocole SSH. En standard, un identifiant utilisateur et un mot de passe sont utilisés.
Il est possible de mettre en place une authentification cryptée utilisant une clé SSH en lieu et place d’un login et mot de passe (prestation optionnelle). Cela reste seulement possible sur le SFTP de Timesquare et ne peut se faire avec un SFTP tiers.
Ainsi, côté poste client, en utilisant un client compatible SFTP (exemple WinSCP), il est possible en toute sécurité de :
- Supprimer et créer des fichiers
- Envoyer et recevoir des fichiers
- Déplacer et renommer des fichiers
Pour l’authentification, un identifiant utilisateur et un mot de passe permet de vous connecter au serveur SFTP.
SFTP a besoin d’un seul port (2200 pour la plateforme SaaS), ce qui implique une configuration simple pour un pare-feu. Ce port SFTP unique est utilisé pour toutes les communications, c’est-à-dire l’authentification initiale, toutes les commandes émises et toutes les données transférées.
Il est impératif de disposer d'une adresse IP publique fixe (demande auprès du fournisseur d'accès internet client) pour l'établissement afin d'assurer la communication avec le serveur SFTP.
Sécurité du stockage des données
Sécurité du stockage des données par KDDI (Telehouse)
La solution Timesquare collecte des données qui sont ensuite stockées par KDDI (Telehouse).
Les serveurs d’exploitation sont localisés dans le site TH3 à Magny-Les-Hameaux, en région parisienne. Le stockage des données est réalisé sur des VM elles-mêmes contenues dans des baies SAN. Les machines hébergeant les instances Timesquare sont équipées d’une solution anti-virus performante.
Les VM sont sauvegardées quotidiennement sous forme d’instantanée dans le site TH3. En parallèle, une copie cryptée/hâchée est transférée dans une autre solution de sauvegarde granulaire dans le site TH2, en s’appuyant sur des réseaux distincts, non exploitables en cas de vol.
Plus précisément, sur TH3, les VMs sont sauvegardées de manière quotidienne par une technologie s’appuyant sur la prise d’instantanée (snapshot) de la VM en entier. Une copie est alors réalisée vers une autre baie de stockage distincte. Une fois la copie effectuée, l’instantanée est supprimée de la VM. Chaque copie possède une durée de rétention de 7 jours. Les données sont stockées dans des formats propriétaires.
En parallèle, les VM disposent d’un agent pour la sauvegarde des données (fichiers) vers un autre site, TH2. Les données sauvegardées par ce biais ne sont pas une simple copie de fichier, mais s’appuient sur un système complexe multiniveau de "hash" propriétaire.
La distribution et le mode de répartition des données (VM ou sauvegarde) sont stockées sur des architectures informatiques distinctes ayant leur propre système de stockage.
L’ensembles des données sont fractionnées et réparties sur de multiples disques physiques rendant l’identification des informations difficiles en cas éventuel d’un vol d’un disque dur (pour peu que la personne mal intentionnée ait pu franchir les sécurités d’accès au site). Ces "hashes" sont envoyés après compression vers la solution de sauvegarde granulaire localisée dans son datacenter TH2 situé à Paris (chiffrement à la volée pour le transport) et stockés dans des "data stripe" et des "index stripes" uniquement si l’information n’est pas déjà existante. Ces "stripes" sont donc formés par plusieurs morceaux de données "hashées" à plusieurs niveaux et provenant des différents serveurs sauvegardés.
Pour plus d’informations sur la sauvegarde des données, voir la section Modalités de sauvegarde et de restauration des données.
Sécurité du stockage des données par Holy-Dis
Sauf stipulation contractuelle expresse, les données de la solution Timesquare peuvent être rapatriées dans les locaux Holy-Dis à des fins d’analyse, dans le cadre du support technique apporté aux clients.
Une fois les travaux d’analyse terminés, les données collectées au sein d’une sauvegarde de la solution Timesquare sont supprimées des disques réseau du SI, à l’échéance du délai habituel de conservation des données précisé dans notre politique de sauvegarde. De plus, les données collectées et éditées sur format papier sont détruites.
Pour plus d’informations sur la politique de sauvegarde des données, voir la section Modalités de sauvegarde et de restauration des données.
La politique de sécurité applicable pour les postes/utilisateurs Holy-Dis est celle définie par la DSI du groupe Holy-Dis :
- Verrouillage paramétrable des sessions utilisateurs
- Règles autour des mots de passe :
- Longueur de 8 caractères au minimum avec incitation à utiliser une longueur plus importante
- Présence d’au moins 3 types de caractères (majuscules, minuscules, chiffres, caractères spéciaux)
- Incitation forte à changer son mot de passe en cas de soupçons
La DSI du groupe Holy-Dis a également mis en place :
- Une protection anti-virus professionnelle sur tous les postes de travail amenés à manipuler des données personnelles des clients Holy-Dis. Une revue annuelle des outils et solutions dédiés pour renforcer et sécuriser le réseau individuel (postes et terminaux) et collectif chez Holy-Dis.
- Une politique de mise à jour des correctifs Microsoft pour pallier les failles de sécurité (Windows Update)
- Une solution antispam permettant de filtrer en amont du réseau Holy-Dis les mails potentiellement dangereux, publicités, etc.
Enfin, la DSI du groupe Holy-Dis a mis en place des actions de sensibilisation à la sécurité sous la forme d’actions de formation et de notes de service à destination de l’ensemble de ses collaborateurs, et ce avec une fréquence bimestrielle.
Pour plus d’informations sur l’accès aux infrastructures par les équipes Holy-Dis, voir la section Sécurité de la plateforme.
Sécurité d’accès aux bâtiments
Sécurité d’accès aux bâtiments de KDDI (Telehouse)
Les datacenters de KDDI (Telehouse) sont équipés d’une solution de contrôle d’accès permettant aux seules personnes autorisées d’y avoir accès (associée à des badges HID).
Les sites disposent d’un personnel de surveillance 24h/24 affecté à la sécurité et aux accès.
Par ailleurs, la périphérie des immeubles et les locaux sont sous vidéosurveillance permanente.
Sécurité d’accès au bâtiment de Holy-Dis
Les locaux du siège social Holy-Dis d’où les équipes administrent les machines qui hébergent les instances Timesquare, sont équipés d’une solution de contrôle d’accès associée à des badges permettant aux seules personnes autorisées d’y pénétrer.
- Le site est entièrement clos (portails de clôtures électriques) avant 6h et après 20h30, les week-ends et les jours fériés.
- Le site est équipé d’un PC de sécurité fonctionnant 24h/24.
- Les ordinateurs portables entrants et équipements connexes sont soumis à un processus de responsabilisation technique sous la forme d’une charte informatique.
- L’accès aux salles serveurs est restreint au personnel de l’équipe DSI Holy-Dis ainsi qu’à la direction.
Mesures organisationnelles
Certifications
KDDI (Telehouse) a été audité par le bureau Veritas et a obtenu en mai 2024 la certification ISO 27001 sur le périmètre correspondant à la mise à disposition d’une infrastructure sécurisée pour l’hébergement de données sensibles (IS HDS).
Audits et scans de vulnérabilité
Dans un souci de protection informatique des données qui transitent sur les serveurs, Holy-Dis, en collaboration avec le RSSI du partenaire technique hébergeur, s’attache à faire régulièrement un état des lieux de la sécurité de son système. L’objectif est de vérifier la vulnérabilité de son infrastructure à des attaques internes ou externes et mettre en lumière les éventuelles failles de sécurité.
En cas de détection d’éventuelles vulnérabilités impliquant une action sur les serveurs ou une correction applicative, Holy-Dis s’attache à planifier les correctifs nécessaires dans des patchs ou dans des versions ultérieures de la solution en fonction de leur criticité.
Le dernier audit de sécurité (qui comprend un audit et un contre-audit) a été réalisé sur la solution Timesquare V2 en mars 2024 par la société XMCO, qualifié Prestataire de l’Audit de la Sécurité des Systèmes d’Information (PASSI) par l’ANSSI. L’audit se compose de tests d’intrusion applicative en boîte noire (sans information sur un compte) et en boîte grise (avec un compte utilisateur). Cet audit a donné lieu à une attestation d’audit ainsi qu'une indication du niveau de sécurité de Timesquare (10/10).
Les attestations d'audits d'avril 2023, février 2023, juin 2022, mars 2022 et mars 2021 sont également disponibles.
L’audit consiste en un test d’intrusion applicatif dont la méthodologie est la suivante :
- Cartographie Système et réseau : Cette première étape d’analyse permet d’obtenir un premier niveau d’information sur l’exposition du serveur. Le niveau de sécurité des couches système et réseau est évalué de manière manuelle (tel que réalisé dans les tests d’intrusion externes et internes) ou automatisée (mise en évidence des principales failles liées à des défauts de configuration et manques de mises à jour).
- Cartographie applicative : L’analyse est complétée par une cartographie applicative permettant d’obtenir des informations sur le service de publication actuellement en place.
- Test de la session authentifiée : Le niveau de sécurité de la partie authentifiée est validé afin par exemple de confirmer la robustesse du formulaire d’authentification ou encore de valider la bonne gestion des sessions utilisateurs.
- Analyse des fonctionnalités du site : Un contrôle de l’ensemble de fonctionnalités accessibles sur le site est réalisé afin de vérifier la présence de vulnérabilités applicatives sur les différents paramètres.
Les tests couvrent le TOP 10 de l’OWASP.
IMPORTANT : Pour des raisons de confidentialité, Holy-Dis ne communique pas le résultat de ses audits, car la diffusion de ces éléments constituerait une faille en tant que tel.
Sous réserve de stipulation expresse du contrat, Holy-Dis s’engage à permettre la réalisation d’audits, y compris des inspections, aux propres frais du client, par un auditeur indépendant, non concurrent direct ou indirect de Holy-Dis, que le client aura mandaté.
Le contrat précisera le nombre d’audits par an, le type d’audit, l’auditeur, la communication du rapport et les éventuelles actions à mener post-audit.
Dans tous les cas, la réalisation de l’audit devra être précédée d’un délai de prévenance de quinze jours ouvrés et de la communication dans le même délai des modalités précises et des conséquences éventuelles de la procédure d’audit. En tout état de cause, les opérations ne devront pas perturber le fonctionnement de l’activité de Holy-Dis au-delà des contraintes inhérentes à un audit.
Holy-Dis s’engage par la suite à contribuer à ces audits.
Les indisponibilités potentiellement générées par les audits (tests d’intrusions, etc.) ne seront pas prises en compte dans le calcul de disponibilité mensuelle de la plateforme.
Avant tout audit de sécurité, le client remplira un formulaire de demande de test de vulnérabilités qui devra être complété et signé par chaque partie (client/auditeur/Holy-Dis/partenaire hébergeur).
Le client ainsi que l’auditeur s’engagent à respecter la confidentialité des informations, des moyens et des outils d’activité dont il aurait eu connaissance lors de la procédure d’audit chez Holy-Dis.
Important : Le prospect ou client ne peut s’introduire dans le SI de l’autre partie sans son accord. Si tel était le cas, il s’agirait d’une intrusion qui pourrait être source de contentieux et de poursuites y compris au pénal.
Administration de la plateforme
Le personnel Holy-Dis autorisé à se connecter sur les machines de la plateforme Timesquare On Demand est composé d’une équipe restreinte habilitée à effectuer cette tâche. Holy-Dis sélectionne avec soin le personnel amené à administrer la plateforme avant de lui confier la moindre activité.
Les membres de cette équipe s’appuient sur une ligne réseau de type VPN jusqu’au centre d’hébergement pour se connecter sur les machines de la plateforme.
Les droits d’accès aux infrastructures sont vérifiés et mis à jour en cas de changement d’affectation, de mobilité interne ou de départ.
De plus, Holy-Dis vérifie régulièrement ses process en matière de maintenance, disponibilité, sécurité de l’infrastructure technique de manière à apporter, le cas échéant, les modifications nécessaires pour la correction de celles-ci.
Traçabilité
La solution Timesquare et son architecture technique associée centralisent - pour un usage interne - la traçabilité de tout type d'événements et conservent les logs d’accès des clients sur la plateforme technique (adresse IP publique source, adresse IP publique destination, URL accédée) sur les 30 derniers jours. Ces logs concernent les activités systèmes ainsi que les activités applicatives de la solution. Ces logs s'appuient sur des fournisseurs d'événements dédiés pour les systèmes, firewalls, services Timesquare, etc. Holy-Dis utilise un analyseur de log pour surveiller les logs dans le puit. Pour ce faire, Holy-Dis s'appuie sur les solutions suivantes :
- OSSEC (Open Source HIDS SECurity) : système de détection d'intrusion basé sur un hôte qui effectue une analyse des journaux, une vérification de l'intégrité des fichiers, une surveillance des politiques, une détection des rootkits, des alertes en temps réel et une réponse active.
- Prometheus : logiciel qui enregistre des métriques en temps réel dans une base de données. Ces métriques peuvent ensuite être interrogées à l'aide d'un langage de requête simple (PromQL) et peuvent également servir à générer des alertes.
- Loki : système d’agrégation de logs multi-tenant qui exploite les données collectées par Fluentd, etc.
- Grafana : Dashboard central de gestion et intégration avec des systèmes d'alerte tiers tels que le mail, Teams, etc.
- Teams : Application de messagerie instantanée utilisée pour alerter en temps réel les équipes Devops en cas de dépassement de seuil sur les indicateurs observés sur les dispositifs précédemment cités.
Tous les logs applicatifs, OS, réseaux, etc. sont archivés dans le dépôt des logs central. Les logs BBD ne sont pas activés pour des raisons de performance.
Droit à la réversibilité
Afin de répondre au droit à la réversibilité, Holy-Dis laisse la possibilité à un client équipé de la solution Timesquare de récupérer ses données de planification. Pour ce faire, Holy-Dis fait un dump (export brut SQL) des données issues de la base.
Processus de gestion des incidents
Holy-Dis dispose d’une procédure de gestion des incidents dédiée permettant d’assurer une disponibilité optimale de la solution.
Notre partenaire KDDI (Telehouse) dispose également d’une procédure de gestion des incidents de sécurité liés à la plateforme. Cette procédure décrit les modalités spécifiques de gestion des incidents de sécurité afin que les actions appropriées soient déclenchées et que les bonnes personnes soient contactées au sein de Holy-Dis.
Dans tous les cas, en cas de dysfonctionnement structurel, Holy-Dis sera nécessairement le seul interlocuteur pour le client.
Pour plus d’informations sur la gestion des incidents, voir la section Gestion des incidents, temps de rétablissement et PRA.
Pilotage technique et applicatif de la solution
Surveillance technique de la plateforme
Le SOC (Security Operations Center) pour la partie IaaS est assuré par notre partenaire hébergeur KDDI (Telehouse). KDDI (Telehouse) est responsable de la surveillance technique de la plateforme. Ce pilotage consiste à veiller au bon fonctionnement des équipements et logiciels informatiques (hors applicatifs) ainsi qu’à exécuter les procédures de rétablissement en cas de dysfonctionnement dans le but de fournir un taux de disponibilité du service maximal.
A noter : en cas de dysfonctionnement structurel, Holy-Dis sera nécessairement le seul interlocuteur pour le client.
Le pilotage de la plateforme est assuré 7 jours sur 7, 24h sur 24.
Pilotage applicatif de la solution
Le SOC (Security Operations Center) pour la partie applicative de l’offre Timesquare On Demand est assurée par Holy-Dis. Ce pilotage consiste à contrôler régulièrement que la solution Timesquare est disponible pour chacun des clients de l’offre, et ce, grâce notamment à un ensemble d'outils et de technologies que sont : OSSEC, Fluentd, Prometheus, Loki, Grafana, Teams, mail, etc.
Ce pilotage est assuré 5 jours sur 7, en heures ouvrées, jours ouvrés français de métropole.
Modalités de sauvegarde et de restauration des données
Les données sont sauvegardées par KDDI (Telehouse) et copiées sur une baie de stockage indépendante dans les conditions définies ci-dessous :
- Sauvegarde quotidienne avec 7 jours de rétention
- Sauvegarde hebdomadaire avec 4 semaines de rétention
- Sauvegarde mensuelle avec 3 mois de rétention
En cas de besoin, les données peuvent donc être restaurées sur la base d’une sauvegarde journalière. La restauration est réalisée sur le site TH3.
Opérations de maintenance et mises à jour
Concernant le déploiement des mises à jour de la solution, Holy-Dis pratique le modèle de déploiement "Canary". La plateforme SaaS v2 est composée 3 zones techniques distinctes :
- GA (General Availability) - Zone de production : pour tous les clients avec les solutions techniques / fonctionnelles confirmées.
- Canary - Zone "Canary Deployment" : pour les nouveautés nécessitant une phase d'observations avec un nombre limités des clients impactés.
- Staging Zone : pour confirmer le comportement dans les conditions réelles de production avant le déploiement en zone Canary ou GA.
Pour chaque nouvelle version, Holy-Dis choisit donc un échantillon de clients "candidats" au déploiement "Canary" puis procède par la suite au déploiement en masse sur la zone GA si aucune régression majeure n’est constatée.
Les opérations de mise à jour de la plateforme nécessitant un arrêt du service sont réalisées pendant une plage de maintenance mensuelle dédiée. Cette maintenance n’est pas systématique et a lieu autant que possible en dehors des heures ouvrées.
La date et l’horaire sont communiqués par Holy-Dis vers un contact défini chez le client en respectant un délai préalable raisonnable.
Les opérations de mise à jour de la solution sont réalisées uniquement en heures ouvrées après communication et accord avec le client concerné. Elles entrainent un arrêt des services de la solution Timesquare.
Disponibilité des services
La disponibilité des services (SLA) de la solution Timesquare sur un an glissant est de 99%.
Le calcul du SLA est annuel :
60 minutes par heure x 24 heures par jour x 30 jours par mois x 12 mois = 518 400 minutes par an
Exemple : 99% = 1% d’indisponibilité = 1%*518 400 minutes = 5184 minutes d’indisponibilité par an.
Gestion des incidents, PRA et temps de rétablissement
Conformément à l’architecture propre à l’offre Timesquare On Demand :
- KDDI (Telehouse) est responsable de la sécurité et de la connectivité de la plateforme.
- Holy-Dis est responsable de la maintenance, de la disponibilité de la solution et de la protection des données à caractère personnel.
Incident concernant l’infrastructure
En cas de dysfonctionnement de type structurel (raccordement internet, infrastructures réseau et électrique, machines, etc.), KDDI (Telehouse) dispose d’une procédure de gestion des incidents de sécurité.
Toute demande de support de la part de Holy-Dis donne lieu à l’ouverture d’un ticket d’incident par KDDI (Telehouse) assurant un suivi rigoureux de l’intervention jusqu’à la résolution de l’incident. Ce ticket permet de répertorier toutes les actions menées pour traiter l’incident (heure d’ouverture, nature de la demande, escalade éventuelle, minutes des interventions effectuées, heure de fermeture). Ce ticket est fermé en accord avec Holy-Dis lorsque l’intervention est terminée ou l’incident clos.
KDDI (Telehouse) s’engage sur un délai d’intervention de 4h. La durée maximale d’interruption admissible (ou RTO) de la plateforme est de 24h.
Dans tous les cas, en cas de dysfonctionnement structurel, Holy-Dis sera nécessairement le seul interlocuteur pour le client. La solution de correctifs de sécurité est assurée par Holy-Dis.
Incident concernant la solution
La solution Timesquare ne dispose pas par défaut d’un plan de reprise d’activité (PRA) à proprement parler. En cas de dysfonctionnement de la solution, la reprise d’activité est assurée avec la meilleure qualité de service possible. Le RTO de la solution Timesquare est de moins d’une journée. La perte de données maximale admissible ou RPO de la solution Timesquare est d’une journée.
En cas d’incident, Holy-Dis dispose d’une procédure de gestion de la communication fondée sur des envois d’emails par l’équipe Support Holy-Dis.
Cette communication par email concerne uniquement les clients subissant un arrêt de service ou des perturbations.
La communication email est dans ce cas envoyée au moment de la détection de l’incident et à la fin de l’incident.
Incident de sécurité, confidentialité, destruction, violation des données
Holy-Dis s’engage à prendre toutes les précautions utiles afin de préserver la confidentialité et la sécurité des données à caractère personnel et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. Toutefois, si malgré ces mesures techniques et d’organisation, une violation de données à caractère personnel venait à arriver, Holy-Dis s’engage à la notifier au client dans les meilleurs délais, et si possible, 72h au plus tard après en avoir pris connaissance.
Foire aux questions
Quelles spécificités sont inclues dans l’offre ou sont des options payantes ?
La politique de Holy-Dis est de faire bénéficier à tous nos utilisateurs des dernières nouveautés disponibles. Les opérations de mise à jour sont effectuées a minima deux fois par an, après un délai de prévenance de cinq jours ouvrés.
Le tableau suivant précise pour chaque cas de figure si la spécificité est incluse dans l’offre ou s’il s’agit d’une option payante.
Incluse dans l’offre | Option payante | |
---|---|---|
Base de recette | X | |
Versioning base de production différent standard | X | |
Datamart (peut nécessiter un tunnel sécurisé) | X | |
Tunnel sécurisé (tunnel SSH) | X | |
Interfaces standards d’imports/exports depuis l’application avec accès à un serveur SFTP (pour déposer / collecter des fichiers d’interface) | X | |
API / Web Services proposés au catalogue (hors prestations éventuelles d’accompagnement) | X | |
Interfaces spécifiques / partenaires Holy-Dis | X | |
Interface avec Module Gestion des Temps de la Suite Planexa | X | |
Authentification LDAP | X | |
Authentification SAML2 | X | |
Utilisation d’un serveur SFTP autre que celui de Timesquare | X | |
Authentification par une clé SSH sur le SFTP | X | |
Centre d’aide standard | X | |
Centre d’aide personnalisé | X | |
Nouvelle terminologie / dictionnaire | X | |
Prestations métier (en cours d’exploitation) : Modification de la granularité | X | |
Prestations métier (en cours d’exploitation) : Modification du premier jour de la semaine | X | |
Prestations métier (en cours d’exploitation) : Modification du workflow de planning | X | |
Prestations métier (en cours d’exploitation) : Création d’éditions spécifiques | X |
Annexes
Les certifications de notre partenaire KDDI (Telehouse), par le biais de la filiale KDDI France, dont le siège social est à Paris, sont parfois communes au groupe KDDI dont le siège européen est à Londres. Il est important de rappeler que le partenaire de Holy-Dis est bien localisé en France et non au Royaume-Uni.
Certification 9001 - KDDI (Telehouse)
Certification 50001 - KDDI (Telehouse)
Certification 14001 – KDDI (Telehouse)
Certification 27001 – KDDI (Telehouse)
Certification HDS – KDDI (Telehouse)
Certification PCI – KDDI (Telehouse)
Attestation AlpEnergie 2021 - KDDI (Telehouse)
Attestation AlpEnergie 2020 - KDDI (Telehouse) Site Magny-les-Hameaux
Attestation AlpEnergie 2020 - KDDI (Telehouse) Site Paris Voltaire
Attestation d'audit de XMCO sur Timesquare - 03/2024
Attestation de contre-audit de XMCO sur Timesquare - 03/2024
Attestation d'audit de XMCO sur Timesquare - 04/2023
Attestation d’audit de XMCO sur Timesquare - 02/2023
Attestation d’audit de XMCO sur Timesquare - 06/2022
Attestation d’audit de XMCO sur Timesquare - 03/2022
Attestation d’audit de Advens sur Timesquare 03/2021
Glossaire
Baie SAN
Réseau spécifiquement dédié à l’interconnexion de ressources de stockage en mode bloc avec des serveurs.
Certification Tier 3
Norme industrielle permettant de classifier les datacenters, garantissant la meilleure disponibilité d’électricité et de régulation thermique.
CLOUD Act (Clarifying Lawful Overseas Use of Data Act - Clarification de la loi sur l'utilisation légale des données à l'étranger)
Loi adoptée par les États-Unis en 2018 sur l'accès aux données de communication (données personnelles), notamment opérées dans le Cloud. Elle permet aux instances de justice de contraindre les fournisseurs de services établis sur le territoire des États-Unis à fournir les données relatives aux communications électroniques, stockées sur des serveurs, qu'ils soient situés aux États-Unis ou dans des pays étrangers.
Datacenter
Site physique regroupant des installations informatiques (serveurs, routeurs, commutateurs, disques durs) chargées de stocker et de distribuer des données à travers un réseau interne ou à travers un accès internet.
Décommissionnement informatique
Retrait physique et logique d'un système / service / serveur de l'environnement de production, en désinstallant ses droits, ses applications, ses fonctionnalités, ses données, dans le but de le remplacer et/ou de ne plus l'utiliser.
Déploiement Canary
Pattern qui permet de faire tester les dernières modifications réalisées à une tranche de population restreinte avant de réaliser un déploiement général de cette version.
IdP ("Identity Provider" ou Fournisseur d’identité)
Autorité qui propose l’authentification unique centralisée (SSO) de l’utilisateur pour accéder à d’autres sites web. Voir SAML2.
Infrastructure
Environnement de travail qui englobe les ordinateurs, le stockage, le réseau, les composants associés et les sites nécessaires au Cloud computing et à l’informatique en tant que service.
Installation mutualisée
Service d'hébergement en colocation permettant de partager les ressources tout en gardant le contrôle physique des serveurs.
PRA (Plan de Reprise d’Activité)
Formalisation des processus pour assurer la reprise des activités que ce soit d'un point de vue logistique, humain ou encore informatique. Un plan d’action précisément défini et documenté à suivre au moment d’un incident, contenant particulièrement le personnel clef, les ressources, les services et les tâches qu’il convient d’activer pour dérouler le processus de gestion d’incident.
Redondance matérielle
Dispositif permettant d’associer plusieurs exemplaires d’un même équipement ou d’un même processus afin de bénéficier d’un accès au service en très haute disponibilité avec des performances optimales et en réduisant le risque de panne.
Réversibilité
Faculté pour le client de récupérer ses données lors de la cessation du contrat, ou plus généralement la faculté de reprendre, au terme du contrat, l'exploitation des données ou d'un logiciel, dans le cadre d'une migration chez un autre éditeur de progiciel, un autre infogérant, une autre infrastructure informatique (datacenter).
RGPD (Règlement Général sur la Protection des Données)
Directive européenne et texte de référence concernant la protection des données personnelles.
RPO (Recovery Point Objective)
Durée maximum d'enregistrement des données qu'il est acceptable de perdre lors d'une panne.
RTO (Recovery Time Objective)
Durée maximale d'interruption admissible. Il s'agit du temps maximal acceptable pendant lequel une ressource informatique (serveur, réseau, ordinateur, application) peut ne pas être fonctionnelle suite à une interruption majeure de service.
SaaS ("Software as a Service")
Fourniture d’application hébergée. Ce terme caractérise un logiciel installé sur des serveurs distants plutôt que sur la machine de l’utilisateur. Les clients paient le service en ligne, généralement sous forme d’abonnement. Ce type de solution permet de ne pas installer et entretenir des solutions souvent lourdes et coûteuses en temps et en argent sur leurs infrastructures internes.
SAML2 (Security Assertion Markup Language 2.0)
Protocole XML permettant l’échange sécurisé d’informations d’identité (authentification et autorisation) entre domaines de sécurité. Il utilise des jetons de sécurité contenant des assertions pour transmettre des informations vers un utilisateur final entre une autorité SAML, appelé fournisseur d’identité (IdP), et un consommateur SAML, appelé fournisseur de services. SAML 2.0 permet la connexion unique (SSO) sur plusieurs domaines, basée sur le Web, ce qui permet de réduire la charge administrative liée à la distribution de plusieurs jetons d'authentification à l'utilisateur.
Sauvegarde et restauration
Processus qui consiste à créer des copies de données (sauvegardes), afin de permettre la récupération des données à leur état initial en cas de perte ou de corruption.
Scan de vulnérabilité
Identification des faiblesses de sécurité dans une solution, un système d’exploitation ou un réseau.
SLA
Voir Taux de disponibilité.
SOC (Security Operations Center)
Plateforme permettant la supervision et l'administration de la sécurité du système d'information au travers d'outils de collecte, de corrélation d'événements et d'intervention à distance.
SSO ("Single Sign On" ou authentification unique)
Méthode permettant à un utilisateur d'accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu'à une seule authentification.
Taux de disponibilité
Rapport entre le temps minimum pendant lequel le service est disponible et 100% de la plage de service garanti.
TLS (Transport Layer Security)
Protocole de sécurisation des échanges de données sur Internet suivant un mode client/serveur.
USA Patriot Act (Loi pour unir et renforcer l'Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme)
Loi adoptée par les Etats-Unis en 2001. Dans la pratique, cette Loi du Congrès autorise les services de sécurité américains à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs.
Virtualisation
Processus qui consiste à créer une version logicielle (ou virtuelle) d'une entité physique. La virtualisation peut s'appliquer à la machine virtuelle, aux applications, aux serveurs, au stockage et aux réseaux.
VPN
Réseau privé virtuel, système permettant de créer un lien direct entre des ordinateurs distants, en isolant ce trafic du reste d’internet.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.