Sécurité des services

Objectifs de Sécurité SGSI Gestion des risques Normes et certifications Sécurité physique et environmentale Continuité des services Gestion des accès logiques Gestion des actifs Gestion des vulnérabilités Ressources humaines

Dernière mise à jour : novembre 2024

Le présent document décrit les mesures techniques et organisationnelles mises en œuvre par JOTELULU dans le cadre de ses services, afin d’assurer la sécurité des données de ses clients, notamment des données hébergées sur les infrastructures mises à la disposition de ces derniers. Il décrit également les mesures techniques et organisationnelles dont le client a la charge dans le cadre de l’utilisation des services que lui fournit JOTELULU. Le présent document fait partie intégrante du contrat de services en vigueur entre JOTELULU et le client.

  1. Objectifs de sécurité

JOTELULU

Les mesures techniques et organisationnelles mises en œuvre par JOTELULU visent à assurer, dans le cadre de la fourniture de ses services, la sécurité des données traitées pour le compte de ses clients, notamment les données hébergées sur les infrastructures mises à leur disposition, et en particulier se prémunir contre la destruction, la perte, et l’altération desdites données, et éviter que des personnes non-autorisées y aient accès ou en reçoivent communication.

Résumé des objectifs de sécurité disponible ici : https://jotelulu.com/fr-fr/infrastructure-securite/.

Client

Le client définit ses propres objectifs de sécurité en particulier ceux liés à son utilisation des services de JOTELULU. Il s’assure notamment que lesdits services sont adaptés à ses objectifs de sécurité, et, le cas échéant, aux besoins et objectifs de sécurité des clients finaux.

  1. Système de gestion de la sécurité de l’information

JOTELULU

Afin d’atteindre ses objectifs de sécurité, JOTELULU a mis en place et maintient un système de gestion de la sécurité de l’information (« SMSI ») adapté, dans le cadre duquel sont notamment formalisées et mises en œuvre des politiques, des procédures et une organisation permettant de manière systématique et en continu de :
– Identifier les risques en matière de sécurité de l’information, et mettre en place un plan de traitement adapté ;
– Désigner les différentes parties prenantes, et s’assurer qu’elles ont connaissance des risques inhérents à leur mission, et disposent de l’expertise et des moyens nécessaires pour faire face à ces enjeux ;
– Mettre à disposition de ses clients les informations leur permettant de s’assurer que les services correspondent à leurs besoins, et d’utiliser les services de manière adaptée afin que la sécurité de leurs données et la continuité de leurs activités soient assurées.

Ce SMSI répond aux exigences du standard ISO27001 :2022 et couvre l’ensemble des activités opérées par JOTELULU et par ses sous-traitants, dans le cadre de la fourniture des services.

Les mesures techniques et organisationnelles mises en œuvre dans ce cadre sont revues périodiquement, et si besoin, adaptées à l’évolution du contexte (technologiques, réglementaire, organisationnels, environnemental, etc.) dans lequel les services sont fournis.

JOTELULU communique à ses clients sur demande dans les conditions prévues au Contrat de services, tout complément d’information utile concernant son SMSI, y compris les menaces prises en compte et les critères mis en œuvre dans le cadre de son système de gestion des risques.

Client

Le Client met en œuvre son propre système de gestion de la sécurité de l’information, afin de sécuriser son système d’information, et notamment l’utilisation qu’il fait des services de JOTELULU.

Dans ce cadre, le client s’assure notamment que les services qu’il utilise, y compris les mesures techniques et organisationnelles mises en place par JOTELULU, sont adaptés à ses besoins et, le cas échéant, aux besoins des clients finaux, et met en œuvre toutes les mesures complémentaires nécessaires.

  1. Gestion des risques

JOTELULU

JOTELULU réalise des analyses de risques formalisées selon une méthodologie basée sur le standard ISO27005. Ces analyses couvrent l’ensemble des activités liées à la fourniture des services fournis par JOTELULU à ses clients, y compris les services d’hébergement de données de santé.

L’analyse de risques donne lieu à la définition d’un plan de traitement mis en œuvre sous la responsabilité du RSSI et des responsables d’actifs.

L’analyse de risques est revue périodiquement, a minima annuellement et donne lieu à une mise à jour du plan de traitement, favorisant ainsi l’amélioration continue.

JOTELULU communique à ses clients sur demande dans les conditions prévues au Contrat de services, tout complément d’information utile concernant sa gestion des risques, en particulier les menaces prises en compte et les critères mis en œuvre dans le cadre de son système de gestion des risques.

Client

Le client est responsable de sa propre gestion des risques, en particulier celle liée à l’utilisation des services. Il s’assure notamment que les caractéristiques et conditions d’utilisation des services de JOTELULU, et notamment les mesures techniques et organisationnelles mises en place par JOTELULU, sont adaptées à ses activités et, le cas échéant, aux activités des clients finaux, en particulier eu égard aux risques inhérents auxdites activités.

Les services de JOTELULU peuvent être audités par le Client tel que prévu par le Contrat de services en vigueur.

  1. Standards et certifications

JOTELULU

Dans le cadre de ses activités, JOTELULU met en œuvre des standards reconnus par l’industrie, notamment les référentiels de certification suivants :

a) Certification ISO/IEC27001

JOTELULU a mis en place un Système de Management de la Sécurité de l’Information (SMSI) conforme au standard ISO/IEC27001 :2022.

La conformité du SMSI de JOTELULU au standard ISO27001 :2022, a été auditée et certifiée par un auditeur indépendant reconnu pour les services suivants :
– Serveurs
– Bureau à distance
– Stockage en ligne
– Stockage d’objets.

b) Code de conduite CISPE

JOTELULU est inscrit dans une démarche de mise en conformité de ses services au Code de Conduite des fournisseurs d’infrastructures Cloud publié par l’association CISPE (Cloud Infrastructure Services Providers in Europe) et approuvé par la CNIL le 3 juin 2021 (cf. Décision 2021-065 du 3 juin 2021), et qui définit les bonnes pratiques pouvant être mises en œuvre par les fournisseurs de services « d’infrastructures as a cloud » pour se conformer au Règlement Général de Protection des Données à caractère personnel (RGPD).

c) INCIBE – Catalogue de cybersécurité

JOTELULU est enregistré dans le catalogue des entreprises et services de cybersécurité de l’INCIBE (Institut National de Cybersécurité Espagnol).

d) Label PME Innovante

Label qui certifie que, ces dernières années, l’entreprise a mené des activités dans les domaines de la Recherche, du Développement Technologique ou de l’Innovation Technologique.

La conformité de JOTELULU aux référentiels de certification ci-dessus, est réévaluée et auditée chaque année aussi bien en interne que par des auditeurs externes indépendants.

En cas de non-conformité identifiée, des mesures correctives et de remédiation sont mises en place.

Client

Compte tenu du contexte dans lequel s’inscrit l’utilisation des services de JOTELULU, et notamment des engagements contractuels du client et de la réglementation applicable à ses activités, le client s’assure que les services de JOTELULU bénéficient des certifications requises.

Le client tient compte notamment du type de données hébergées sur les infrastructures mises à sa disposition par JOTELULU, des traitements opérés sur lesdites données, ainsi que, le cas échéant, de la nature des activités des clients finaux.

  1. Sécurité physique et environnementale

JOTELULU

Les services de JOTELULU sont hébergés dans des centres de données européens haut de gamme, sélectionnés en fonction de critères stricts de sécurité, de disponibilité et de connectivité.

a) Contrôle des accès

• Accès physique soumis à autorisation préalable et à contrôle d’identité systématique
• Contrôle des accès par badge individuel nominatif ou système de contrôle d’accès biométrique
• Mise en place d’un dispositif de protection de 5 couches de sécurité physique (accès périmétrique, bâtiment, locaux techniques, armoires rack, etc.)
• Présence 24/7 d’agents de sécurité habilités
• Système de vidéosurveillance continu 24/7 comprenant des caméras extérieures et intérieures (portes d’accès, SAS, couloirs) et un dispositif d’enregistrement pour investigation en cas d’incident
• Journalisation et revue périodique des accès.

b) Système anti-incendie

Tous les environnements serveurs disposent de systèmes anti-incendie conçus pour éteindre tout incendie en quelques secondes et sans résidus, comprenant :
• Détecteurs de fumée
• Systèmes d’extinction automatique des systèmes d’extinction
• Boutons manuels d’arrêt d’urgence dans tous les locaux
• Systèmes de détection de fumée et de gaz avec système VESDA.

c) Contrôles environnementaux

Les centres de données sont situés dans des zones ne présentant pas de risques d’inondation ou sismiques connus.

Les infrastructures utilisées dans le cadre de la fourniture des services sont installées dans des environnements contrôlés en permanence dans les conditions suivantes :
• Refroidissement continu (24/24)
• Équilibrage de climatisation redondant
• Température de 21 ºC
• Humidité relative de 50 %
• Système de surveillance et de détection automatique des incidents.

d) Certifications

Les centres de données dans lesquels sont hébergés les services de JOTELULU sont certifiés conformément aux référentiels suivants :
• ISO14001 – Systèmes de management environnemental
• ISO 22301 – Sécurité et résilience
• ISO27001 – Management de la sécurité de l’information
• ISO 9001 – Management de la qualité
• ISO 50001 – Systèmes de management de l’énergie
• SOC1/SOC2 – Contrôles de l’organisation des services
• PCI-DSS – Norme de sécurité des données de l’industrie des cartes de paiement
• HDS – Hébergement des données de santé (Datacenters à Paris)
• ENS – Schéma National de Sécurité (Datacenters à Madrid)

e) Contrôle

JOTELULU s’assure, via des contrôles périodiques, que les fournisseurs en charge de la mise à disposition et du maintien en conditions opérationnelles des centres de données utilisés dans le cadre de la fourniture des services, mettent en œuvre les mesures techniques et opérationnelles appropriées telles que décrites ci-dessus.

Client

Le client est seul responsable de la sécurité physique et environnementale de toutes les infrastructures qu’il utilise et qui ne sont pas fournies par JOTELULU.

  1. Continuité de services

JOTELULU

JOTELULU a mis en place un plan de continuité de services constitué notamment des différentes mesures décrites ci-après.

Ce plan est revu périodiquement et, si besoin, adapté à l’évolution du contexte dans lequel s’inscrit la fourniture des services.

Les mesures mises en œuvre afin d’assurer la continuité des actifs critiques sont testées périodiquement.

a) Redondance des infrastructures

JOTELULU a déployé une architecture redondante afin que la panne d’un composant n’impacte pas le fonctionnement normal des services, en particulier :
• Les centres de données sont équipés de connexions redondantes au réseau électrique et de générateurs diesel dimensionnés pour répondre aux besoins énergétiques de l’ensemble du bâtiment et des infrastructures qui s’y trouvent.
• Chaque serveur dispose de deux alimentations électriques, connectées chacune à un segment électrique différent du centre de données.
• Les centres de données dans lesquels sont hébergés les services sont neutres et présentent une large gamme de connectivité qui permet à JOTELULU de disposer de plusieurs circuits réseau auprès de différents fournisseurs afin de se prémunir d’une perte de connectivité due à la défaillance d’un fournisseur.
• Tous les équipements qui composent l’infrastructure disposent d’au moins deux connexions réseau en haute disponibilité (LAG), et chaque connexion réseau a son propre commutateur, si bien qu’une panne d’un commutateur n’entraîne aucune interruption de service ;
• JOTELULU a mis en place une agrégation de lien multichâssis dans laquelle chaque routeur et chaque commutateur (agrégation et accès) est redondé ; ce qui permet d’assurer la disponibilité et l’évolutivité du réseau ;
• Redondance N x 1,25 sur les hyperviseurs : Fournit une capacité suffisante pour supporter la défaillance de jusqu’à 25 % d’entre eux. En cas de défaillance d’un hyperviseur, les serveurs hébergés dessus sont automatiquement démarrés sur d’autres hyperviseurs.
• Haute disponibilité du stockage : Combine le clustering basé sur le stockage avec la réplication synchrone pour garantir une récupération transparente en cas de défaillances.
• Système de stockage d’objets : Réplique chaque objet sur 3 disques différents situés sur 3 serveurs distincts. Par défaut, la politique établie garantit qu’au moins une des copies est conservée dans un autre centre de données.

b) Système anti-DDoS

Les infrastructures sont équipées d’un système anti-DDoS qui prévient et filtre les attaques par déni de service afin de garantir la disponibilité permanente des serveurs.

Ce système est structuré en plusieurs lignes de filtrage et de détection qui permettent de passer au crible et de différencier les petites attaques (quelques centaines de Mb/s) des attaques plus importantes de milliers de Gb/s.

c) Plan de capacité

JOTELULU s’assure par du monitoring et des revues périodiques que la capacité et le dimensionnement des infrastructures utilisées pour fournir les services sont adaptés à ses engagements de niveaux de services.

Concernant les ressources mutualisées à plusieurs clients, JOTELULU fait ses meilleurs efforts pour répondre aux besoins de capacité de ses clients, mais sans pouvoir garantir de volume de ressources disponibles.

d) Gestion du changement

JOTELULU met en œuvre une politique de gestion du changement visant à assurer la continuité des services en cas d’évolutions ou de modifications.

Dans le cadre du développement, de la mise à jour et de l’évolution du système d’information, il est notamment fait application des principes suivants :
• Évaluation des exigences et des risques lors de la phase de planification
• Développement dans un environnement de développement
• Tests et acceptation de l’assurance qualité, y compris la sécurité
• Tests dans des environnements bêta
• Mise en production après approbation, suivant le processus de planification des changements.

Les clients sont systématiquement informés des changements pouvant avoir un impact sur les conditions d’utilisation des services (notamment les niveaux de performances, les conditions d’interopérabilité, le niveau de sécurité, la continuité des services, changement de fonctionnalités, etc.).

Client

Le client est responsable de la continuité de ses activités, notamment de la disponibilité du système d’information qu’il héberge sur les infrastructures mises à sa disposition par JOTELULU.

A ce titre le client :
• s’assure de la bonne gestion des éléments et processus relevant de son périmètre de responsabilité tel que prévu au contrat de service
• s’assure que les caractéristiques et conditions des services (notamment le dimensionnement et le niveau de performance des services) sont de nature à lui permettre d’atteindre ses objectifs de disponibilité et de continuité ;
• est responsable de l’activation et du paramétrage des fonctionnalités et options mises le cas échéant à sa disposition afin d’assurer la continuité de ses activités (notamment les fonctionnalités de back-up et de versioning) ;
• met en place toutes les mesures additionnelles (tels que back-up distants, redondances des ressources, etc.) de nature à garantir l’atteinte desdits objectifs ;
• tient compte des incidents ainsi que des modifications et évolutions des services qui lui sont communiqués par JOTELULU, et adapte, si besoin, son organisation et les conditions dans lesquelles il utilise les services.

  1. Gestion des accès logiques

a) Accès de JOTELULU au système d’information

JOTELULU met en œuvre les mesures suivantes afin de sécuriser les accès aux différents composants de son système d’information :
• Gestion documentée et centralisée des identités et des accès ;
• Processus formalisé d’attribution et de suppression des droits d’accès ;
• Mise en œuvre de la règle du moindre privilège et du principe de minimisation ;
• Attribution des droits d’accès sur la base de rôles prédéfinis ou de l’appartenance à des groupes opérationnels ;
• Revue périodique des droits d’accès ;
• Encadrement du processus d’entrée/sortie des collaborateurs afin notamment de s’assurer les droits d’accès sont attribués et révoqués de manière appropriée notamment en cas de départ d’un collaborateur ;
• Si possible, utilisation de comptes utilisateurs par principe individuels et nominatifs ;
• Mise en œuvre d’une politique de gestion des mots de passe conforme aux règles de l’art ;
• Mise en place d’un système d’authentification multi-facteurs obligatoires pour les rôles disposant de privilèges, notamment les administrateurs ;
• Journalisation des connexions et conservation des journaux de manière sécurisée.

b) Accès du client aux services

JOTELULU met à disposition du client une plateforme lui permettant de désigner les personnes autorisées, pour son compte, à utiliser les services de JOTELULU.

Cette plateforme permet notamment de créer et de supprimer des utilisateurs, et de créer différents profils utilisateurs auxquels sont associés des droits d’accès spécifiques.

La plateforme permet également au client d’utiliser une fonctionnalité d’authentification double facteur.

Les logs d’accès et d’utilisation des services sont journalisés et conservés pendant 12 (douze) mois. Le client peut y accéder depuis la plateforme de gestion des services.

Client

Le Client est seul responsable de la gestion des accès des membres de son personnel aux services et à la plateforme de gestion des services mise à sa disposition par JOTELULU. Le client est notamment en charge de :
• La création et la suppression des comptes utilisateurs des membres de son personnel, et de l’attribution les droits qui leur sont nécessaires à l’exécution de leur mission ;
• L’activation de la fonctionnalité d’authentification double facteurs (2FA) ;
• Le contrôle et la revue périodique des droits d’accès des membres de son personnel ;
• La mise en place de mesures techniques et opérationnelles permettant d’assurer la confidentialité des moyens d’authentification des utilisateurs membres de son personnel.

Par ailleurs, le Client est seul en charge de la gestion des habilitations et des accès logiques aux systèmes et applicatifs non-mis à disposition par JOTELULU (y compris ceux déployés dans le cadre des services).

  1. Gestion des actifs

JOTELULU

Tous les actifs nécessaires à la fourniture des services (notamment machines physiques et virtuelles, équipements réseau, systèmes, éléments logiciels, applicatifs, espaces de stockage, etc.) sont inventoriés.

L’inventaire des actifs est mis à jour périodiquement.

Chaque actif relève de la responsabilité d’une personne identifiée en charge d’assurer la bonne gestion de l’actif dans le respect des politiques mises en œuvre par JOTELULU (analyse et traitement des risques associés, gestion des accès, maintien en condition opérationnelle, etc.).

En fin de vie ou en cas de changement de destination d’un actif pouvant contenir des données, un processus d’effacement conforme aux standards de l’industrie est préalablement mis en œuvre.

De même, les équipements arrivant en fin de vie sont détruits conformément aux standards de l’industrie.

Client

Le client est responsable de la gestion et de la sécurisation des actifs qu’il utilise dans le cadre des services (instances, espaces de stockage, systèmes et applications installées sur les infrastructures mises à sa disposition, etc.).

Avant la date effective de résiliation ou d’expiration des services qu’il utilise, le client s’assure notamment de la suppression des données qui y sont hébergées.

  1. Gestion des vulnérabilités

JOTELULU

Le système d’information utilisé pour fournir les services, dispose de protections adaptées contre les risques d’intrusion (cloisonnement, pare-feu, filtrage IP et systèmes de détection d’intrusion, accès par bastion).

Les stations de travail des collaborateurs disposent d’un antivirus à jour et d’un système de détection de code malveillant.

Par ailleurs, JOTELULU assure une veille technologique lui permettant de détecter aux vulnérabilités des actifs utilisés dans le cadre de la fourniture des services, et d’y remédier.

Les vulnérabilités sont détectées via notamment :
• L’information des fabricants et éditeurs des composants utilisés ;
• Les communautés utilisateurs ;
• Les communautés open-source le cas échéant ;
• Les incidents détectés par JOTELULU et/ou par ses clients ;
• Le monitoring des services ;
• Les revues de code et de configuration notamment en cas de nouveaux développements ;
• Les audits internes et tests d’intrusion réalisés de manière périodique.

Lorsqu’une vulnérabilité est détectée, une étude d’impact est réalisée, des actions de mitigation et de remédiation sont mises en œuvre, et les clients exposés sont informés.

Client

Le client est responsable de la gestion des vulnérabilités des éléments qui sont en dehors du périmètre de responsabilité de JOTELULU, notamment des systèmes et applicatifs déployés sur les infrastructures mises à sa disposition par JOTELULU.

Le client met en œuvre toute mesure utile pour minimiser l’impact et remédier aux vulnérabilités dont il a connaissance, notamment celles qui lui sont signalées par JOTELULU.

  1. Gestion des ressources humaines

JOTELULU

JOTELULU met en place des mesures appropriées afin que le personnel qu’il emploie dispose des compétences et connaissances nécessaires afin de contribuer à la sécurité de l’information, notamment :
• L’arrivée et le départ des collaborateurs est encadré par des processus permettant de maîtriser l’affectation et la restitution des actifs et l’attribution des accès au système d’information ;
• Chaque collaborateur est sensibilisé à la sécurité de l’information et à la protection des données à caractère personnel dès son arrivée puis de manière périodique (au moins 1 fois par an) ;
• Tous les contrats (de travail ou de prestation de services) mettent à la charge du collaborateur un engagement de confidentialité ;
• Des politiques et procédures formalisées relatives à la gestion et à l’utilisation des différents composants du système d’information sont mises à disposition des collaborateurs qui ont l’obligation de les respecter ;
• Des communications et des campagnes de tests sont réalisées régulièrement auprès des collaborateurs.

Client

Le Client demeure responsable des membres de son personnel, en particulier de ceux qui sont chargés d’utiliser les services.

Le client s’assure qu’ils disposent des connaissances et des compétences nécessaires et leur communique les conditions d’utilisation des services (y compris en cas de modification), ainsi que plus généralement toutes instructions et informations utiles.