Pourquoi la sécurité est importante ?
Vos données sont l’essence même de la valeur de votre cabinet. Il est important pour la continuité de votre activité que vos clients soient sûrs que les informations sur leurs affaires présentes chez vous sont stockés de façon sûre et pérenne.
LexisNexis fournit une plateforme sécurisée et fiable pour héberger vos solutions logicielles juridiques. Depuis le départ, Lexis Poly a été conçu en suivant les règles de l’art dans le domaine de l’architecture SaaS concernant le matériel, les logiciels, la sécurité et le réseau.
LexisNexis met en oeuvre différentes méthodes pour assurer la meilleure sécurité concernant les données de ses clients. Cela inclut des procédures assurant la confidentialité des données, l’exploitation d’infrastructure conçu pour empêcher les intrusions et son monitoring, ainsi que les meilleures pratiques de code informatique.
LexisNexis forme aussi régulièrement ses collaborateurs à la sécurité et dispose d’un spécialiste sécurité en France, s’appuyant sur les compétences de groupe RELX, dont LexisNexis est une filiale.
Ce document présente une vue d’ensemble des mesures physiques, techniques et administratives mises en place pour assurer le plus haut degré de protection pour nos clients. 4
Centre de données
Les données confiées à LexisNexis sont hébergées par la société Integra dans un centre de données situés en région parisienne. LexisNexis y exploite un environnement virtualisé dédié qui est opéré directement par ses équipes Exploitation.
Intégra dispose de centres d’hébergement les plus modernes. Avec plus de 20 ans d’ancienneté, Integra est une société pionnière dans l’hébergement de solution Cloud.
Integra est certifié ISO 27001, ISO 9001, SAS70 Type II et SSAE16 SOC 1, ainsi que différentes autres normes de qualité.
Sécurité physique du centre de données
Une équipe de sécurité est présente en 24 x 7 x 365
Les accès sont contrôlés par biométrie et badge personnel, après une procédure d’accréditation
L’accès à un serveur nécessite un contrôle d’accès à 4 niveaux : parking, PC sécurité, Zone techique, baie)
Les murs sont renforcés. Les portes et issues de secours sont sous alarme
La vidéo surveillance permet de surveiller toutes les zones du bâtiment
Electricité, environnement climatique et protection contre les feux
Le centre de données est conçu pour protéger les serveurs, les équipements réseaux et les baies de stockage de toute interférence. Un suivi constant est effectué pour détecter les anomalies et des tests réguliers sont effectués.
L’électricité et le système de climatisation sont redondants. En cas de panne électrique, un système de batterie permet d’assurer la continuité électrique. Des onduleurs protègent l’installation contre les surtensions.
La température est maintenue sur dans une plage de fluctuation de +2°/-2° C. L’hydrométrie est aussi maintenue stable.
Un système de détection des départs de feu est installé dans le bâtiment et testé régulièrement. Un système permet d’éteindre automatiquement un départ de feu sans abîmer les équipements électriques.
Liens Internet
Integra dispose de liens Internet redondant et d’accords de peering avec différents fournisseurs
Sécurité de l’infrastructure
L’objectif de LexisNexis est de maintenir une infrastructure sécurisée et résiliente.
Pour cela, nous nous appuyons sur les meilleurs pratiques du marché.
La performance des différentes parties de l’infrastructure sont en permanence monitorée et des mises à jour sont faites en fonction des besoins pour conserver une avance sur la charge pesant sur l’infrastructure.
Les politiques essentielles sont :
- Patch management
- Antivirus
- Sauvegardes
- Gestion des traces
- Sécurité des serveurs
- Firewall
- Contrôles accès aux données
Patch management
Les mises à jour de sécurité sont effectuées quotidiennement sur l’infrastructure de manière automatiques. Les redémarrages parfois nécessaires sont effectués de nuit, en dehors des heures usuelles de travail. Les systèmes disposent ainsi de l’ensemble des correctifs relatifs aux applications.
Antivirus
Les serveurs doivent disposer d'un antivirus mis à jour à minima quotidiennement. Un scan global est réalisé une fois par semaine la nuit. Le bon fonctionnement de la mise à jour des signatures est surveillé en temps réel par l’outil de monitoring.
Concernant les anti-virus en temps réel, afin que l’impact sur les performances soit limité, les mesures suivantes sont prises:
- La protection active ne concerne que les créations ou modifications de fichiers
- Les partitions systèmes sont exclues de la surveillance active en dehors du /tmp sous Linux
- Une liste de répertoires standards est exclue (logs / Fichiers BDD par exemple)
En cas de détection d'un fichier malveillant, les actions suivantes sont réalisées de façon automatique, dans l'ordre :
- Tentative de réparation du fichier
- Tentative de mise en quarantaine du fichier
- Tentative de suppression du fichier
En cas d'échec des différentes actions automatiques, l'équipe sécurité prend en charge le nettoyage du poste.
Sauvegardes
Pilotés depuis un réseau d’administration dédié, les back-ups sont répliqués sur le data center distant (celui n’hébergeant pas les serveurs en question) via notre réseau MAN 10Gb/s redondé en fibre noire. La réplication utilise un transfert disque à disque.
Les systèmes de stockage sur disques (SATA en Raid6) composant cette architecture sont basés sur deux équipements EMC Data Domain DD670 fortement évolutives, une sur chaque site d’hébergement principal- PAR5 (ITC5) et PAR7 (ITC7).
Les DD670 permettent nativement la déduplication; c’est-à-dire la factorisation des données sauvegardées en stockant une information une seule fois au lieu de recopier toutes les données à chaque nouvelle sauvegarde complète.
Le pilotage des tâches de sauvegarde est réalisé grâce à la solution Evault.
Un test de restauration est réalisé systématiquement à la fin de chaque intégration, avant la mise en production de la plateforme et aléatoirement toutes les semaines sur l’architecture globale.
Lors de l'installation des systèmes, des tests de sauvegarde et de restauration sont réalisés automatiquement afin de valider le processus complet. Des tests de restaurations réguliers sont ensuite mis en place durant le cycle de vie du système.
Fréquence des sauvegardes
Gestion des traces
L'ensemble des équipements transfèrent leurs traces techniques en temps réel sur des serveurs dédiés à cette tâche :
- Bases de données
- Certains composants logiciels standards (serveurs web, java, middleware, EAI, ETL…)
- Outil de gestion des sauvegardes
- Outils d’administration (notamment bastion d’administration et stockage)
- Réseaux (tout dispositif de filtrage et notamment pare-feu de cloisonnement)
- Systèmes (physiques et virtuels)
Sont également tracés toutes intrusions physiques par le biais de caméras et de cahier de visites permettant la journalisation des passages.
Les traces de sécurité générées sont centralisées de façon à garantir qu’elles ne peuvent être supprimées ou modifiées. Si des traces ne peuvent être centralisées, l’exception est validée par le RSSI.
Les traces de sécurité sont centralisées de façon synchrone (temps réel) afin qu’une analyse puisse être réalisée.
Les traces sont horodatées et la source de temps de tous les équipements générant des traces est unique. Le service de temps retenu est le service NTP fourni par Integra.
Les traces sont conservées pour une durée de 1 an et uniquement 1 an sauf en cas de nécessité (procédure judiciaire). Au-delà de cette durée définie, les traces sont supprimées définitivement.
L’accès en écriture aux serveurs de centralisation des traces est restreint à la direction sécurité afin d’empêcher :
- La modification des types de messages
- La modification ou la suppression des fichiers de traces
De plus, une surveillance active est positionnée dans l’outil de supervision afin d'éviter une saturation de la partition qui bloquerait l'écriture des traces et donc la récolte de celles-ci.
Toutes les traces collectées sont sauvegardées de façon à garantir que les traces sont disponibles, même en cas de destruction du support physique.
Les traces sont intégrées au processus de sauvegarde propre à l’infrastructure d’hébergement de données de santé. Les sauvegardes qui garantissent la complétude, l’intégrité et la confidentialité des traces sont réalisées et sont externalisées.
Les traces récoltées font l’objet d’une analyse afin de détecter toutes défaillances ou tentatives d’intrusions.
Sécurité des serveurs
La sécurité des serveurs Windows s'applique en deux temps :
- Application d'un script de post installation lors de l'installation du serveur
- Application des stratégies de groupe lors de l'intégration au sein d'un domaine AD.
Les points suivants sont mis en œuvre dans le cadre de la sécurisation des serveurs Windows :
- Arrêt des services inutiles
- Suppression des packages système inutiles
- Création de comptes locaux de secours et renommage du compte Administrateur
- Intégration de la machine dans l’authentification Active Directory
- Configuration de l’externalisation des logs
- Configuration des sauvegardes
- Configuration du monitoring
- Configuration de l’inventaire automatique
- Configuration de la synchronisation temporelle
- Configuration de la politique de mise à jour
- Configuration de la stratégie de mot de passe
- Configuration des accès distants
- Mise en place de droits spécifique sur l’arborescence.
Par la suite, des scripts de sécurisation standards sont mises en oeuvre en fonction du rôle du serveur (serveur Web, serveur BDD, serveur applicatif).
Firewall
Par défaut, l’ensemble des flux réseau est bloqué au niveau des différents firewalls. La possibilité de modifier les règles du firewall fait l’objet d’une approbation multiple pour éviter qu’une seule personne puisse faire la modification.
Contrôles accès aux données
L’accès aux serveurs de production et aux données est limité à certaines personnes. Une authentification dédiée est mise en place avec l’utilisation d’un contrôleur Active Directory spécifique.
Durant les phases de migration et de reprise, les données sont stockées uniquement sur un serveur sécurisé et les équipes y accèdent à distance via un VPN pour effectuer les opérations de reprises et de migration. Aucune donnée n’est conservée sur des postes clients.
Architecture et Sécurité de l’application
Architecture
Lexis Poly repose sur une architecture essentiellement Microsoft.
Les serveurs web (frontaux) utilisent IIS sur Windows Server. Les bases de données sont Microsoft SQL Server.
Le load balancing est assuré par des serveurs Nginx.
Sécurité
La sécurité de l’application est essentiellement contrôlée par vous, le client. Il est important de sensibiliser vos équipes à la sécurité notamment l’usurpation d’identité. Nos solutions permettent de régler la complexité des mots de passe pour assurer une sécurité adéquate.
L’accès à la solution est crypté en utilisant un certificat SSL (« https »).
Monitoring
Le monitoring des applications est réalisé à la fois par des sondes Nagios et d’autre part par la solution Dynatrace. Ces outils permettent de s’assurer du suivi des performances et de la disponibilité de la solution et d’identifier, le cas échéant, les domaines qui posent problèmes.
Cycle de vie logiciel
Les applications Lexis Poly sont codées en utilisant les dernières pratiques puis testées par des équipes indépendantes du développement. Les bonnes pratiques de développement sont mis en place pour assurer la meilleure fiabilité et sécurité de la solution.
LexisNexis est certifié Microsoft Gold Partner, ce qui permet un accès privilégié à des ressources Microsoft.
Plan de continuité d’activité (DRP)
Il y a de nombreuses raisons qui peuvent affecter les opérations au jour le jour sur notre infrastructure. LexisNexis approche cette problématique en ayant le souci de fournir le meilleur service possible en restant dans des coûts qui restent raisonnables pour les clients.
Pour les problèmes classiques comme un problème avec un serveur ou un équipement réseau, LexisNexis et Integra mettent en place la redondance nécessaire et un stock de composant de secours permettant de résoudre très rapidement le problème. Comme vu précédemment, de nombreux systèmes sont dupliqués pour éviter toute interruption de service.
Dans le cas d’un problème extrêmement rare comme un attentat sur notre centre de données ou le crash d’un avion, un site de secours est utilisé par LexisNexis avec une copie de la production à J – 1. Ce type est immédiatement disponible en cas de besoin. Il ne bénéficie pas de la totalité des redondances et performance du site principal mais permet de continuer les opérations.
RPO/RTO
La perte de données maximale admissible, en anglais recovery point objective (RPO) quantifie les données qu'un système d'information peut être amené à perdre par suite d’un incident. Elle exprime une durée entre l’incident provoquant la perte de données et la date la plus récente des données qui seront utilisées en remplacement des données perdues.
Le RTO est considéré en conjonction avec le recovery point objective (RPO) qui quantifie la capacité de reprise sur sauvegarde de la ressource. L'ensemble permet de déterminer le temps total d'interruption d'une ressource après un incident majeur.
Pour l’application Lexis Poly, le RTO est de 1h et le RPO est de 4h.
RGPD
Le règlement RGPD est entrée en vigueur le 25 mai 2018.
Les engagements RGPD de LexisNexis en matière de Logiciels sont présents à l’adresse suivante : https://www.lexisnexis.fr/traitement-des-donnees-logiciels
Commentaires
0 commentaire
Cet article n'accepte pas de commentaires.