{"id":43658,"date":"2025-01-13T13:52:36","date_gmt":"2025-01-13T12:52:36","guid":{"rendered":"https:\/\/jotelulu.com\/seguridad-de-los-servicios\/"},"modified":"2025-02-26T13:15:53","modified_gmt":"2025-02-26T12:15:53","slug":"securite-des-services","status":"publish","type":"page","link":"https:\/\/jotelulu.com\/fr-fr\/securite-des-services\/","title":{"rendered":"S\u00e9curit\u00e9 des services"},"content":{"rendered":"

Derni\u00e8re mise \u00e0 jour : novembre 2024<\/em><\/p>\n

Le pr\u00e9sent document d\u00e9crit les mesures techniques et organisationnelles mises en \u0153uvre par JOTELULU dans le cadre de ses services, afin d\u2019assurer la s\u00e9curit\u00e9 des donn\u00e9es de ses clients, notamment des donn\u00e9es h\u00e9berg\u00e9es sur les infrastructures mises \u00e0 la disposition de ces derniers. Il d\u00e9crit \u00e9galement les mesures techniques et organisationnelles dont le client a la charge dans le cadre de l\u2019utilisation des services que lui fournit JOTELULU. Le pr\u00e9sent document fait partie int\u00e9grante du contrat de services en vigueur entre JOTELULU et le client.<\/p>\n

    \n
  1. Objectifs de s\u00e9curit\u00e9<\/span><\/li>\n<\/ol>\n

    JOTELULU<\/strong><\/p>\n

    Les mesures techniques et organisationnelles mises en \u0153uvre par JOTELULU visent \u00e0 assurer, dans le cadre de la fourniture de ses services, la s\u00e9curit\u00e9 des donn\u00e9es trait\u00e9es pour le compte de ses clients, notamment les donn\u00e9es h\u00e9berg\u00e9es sur les infrastructures mises \u00e0 leur disposition, et en particulier se pr\u00e9munir contre la destruction, la perte, et l\u2019alt\u00e9ration desdites donn\u00e9es, et \u00e9viter que des personnes non-autoris\u00e9es y aient acc\u00e8s ou en re\u00e7oivent communication.<\/p>\n

    R\u00e9sum\u00e9 des objectifs de s\u00e9curit\u00e9 disponible ici : https:\/\/jotelulu.com\/fr-fr\/infrastructure-securite\/<\/a>.<\/p>\n

    Client<\/strong><\/p>\n

    Le client d\u00e9finit ses propres objectifs de s\u00e9curit\u00e9 en particulier ceux li\u00e9s \u00e0 son utilisation des services de JOTELULU. Il s\u2019assure notamment que lesdits services sont adapt\u00e9s \u00e0 ses objectifs de s\u00e9curit\u00e9, et, le cas \u00e9ch\u00e9ant, aux besoins et objectifs de s\u00e9curit\u00e9 des clients finaux.<\/p>\n

      \n
    1. Syst\u00e8me de gestion de la s\u00e9curit\u00e9 de l\u2019information<\/span><\/li>\n<\/ol>\n

      JOTELULU<\/strong><\/p>\n

      Afin d\u2019atteindre ses objectifs de s\u00e9curit\u00e9, JOTELULU a mis en place et maintient un syst\u00e8me de gestion de la s\u00e9curit\u00e9 de l\u2019information (\u00ab SMSI \u00bb) adapt\u00e9, dans le cadre duquel sont notamment formalis\u00e9es et mises en \u0153uvre des politiques, des proc\u00e9dures et une organisation permettant de mani\u00e8re syst\u00e9matique et en continu de :
      \n– Identifier les risques en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information, et mettre en place un plan de traitement adapt\u00e9 ;
      \n– D\u00e9signer les diff\u00e9rentes parties prenantes, et s\u2019assurer qu\u2019elles ont connaissance des risques inh\u00e9rents \u00e0 leur mission, et disposent de l\u2019expertise et des moyens n\u00e9cessaires pour faire face \u00e0 ces enjeux ;
      \n– Mettre \u00e0 disposition de ses clients les informations leur permettant de s\u2019assurer que les services correspondent \u00e0 leurs besoins, et d\u2019utiliser les services de mani\u00e8re adapt\u00e9e afin que la s\u00e9curit\u00e9 de leurs donn\u00e9es et la continuit\u00e9 de leurs activit\u00e9s soient assur\u00e9es.<\/p>\n

      Ce SMSI r\u00e9pond aux exigences du standard ISO27001 :2022 et couvre l\u2019ensemble des activit\u00e9s op\u00e9r\u00e9es par JOTELULU et par ses sous-traitants, dans le cadre de la fourniture des services.<\/p>\n

      Les mesures techniques et organisationnelles mises en \u0153uvre dans ce cadre sont revues p\u00e9riodiquement, et si besoin, adapt\u00e9es \u00e0 l\u2019\u00e9volution du contexte (technologiques, r\u00e9glementaire, organisationnels, environnemental, etc.) dans lequel les services sont fournis.<\/p>\n

      JOTELULU communique \u00e0 ses clients sur demande dans les conditions pr\u00e9vues au Contrat de services, tout compl\u00e9ment d\u2019information utile concernant son SMSI, y compris les menaces prises en compte et les crit\u00e8res mis en \u0153uvre dans le cadre de son syst\u00e8me de gestion des risques.<\/p>\n

      Client<\/strong><\/p>\n

      Le Client met en \u0153uvre son propre syst\u00e8me de gestion de la s\u00e9curit\u00e9 de l\u2019information, afin de s\u00e9curiser son syst\u00e8me d\u2019information, et notamment l\u2019utilisation qu\u2019il fait des services de JOTELULU.<\/p>\n

      Dans ce cadre, le client s\u2019assure notamment que les services qu\u2019il utilise, y compris les mesures techniques et organisationnelles mises en place par JOTELULU, sont adapt\u00e9s \u00e0 ses besoins et, le cas \u00e9ch\u00e9ant, aux besoins des clients finaux, et met en \u0153uvre toutes les mesures compl\u00e9mentaires n\u00e9cessaires.<\/p>\n

        \n
      1. Gestion des risques<\/span><\/li>\n<\/ol>\n

        JOTELULU<\/strong><\/p>\n

        JOTELULU r\u00e9alise des analyses de risques formalis\u00e9es selon une m\u00e9thodologie bas\u00e9e sur le standard ISO27005. Ces analyses couvrent l\u2019ensemble des activit\u00e9s li\u00e9es \u00e0 la fourniture des services fournis par JOTELULU \u00e0 ses clients, y compris les services d\u2019h\u00e9bergement de donn\u00e9es de sant\u00e9.<\/p>\n

        L\u2019analyse de risques donne lieu \u00e0 la d\u00e9finition d\u2019un plan de traitement mis en \u0153uvre sous la responsabilit\u00e9 du RSSI et des responsables d\u2019actifs.<\/p>\n

        L\u2019analyse de risques est revue p\u00e9riodiquement, a minima annuellement et donne lieu \u00e0 une mise \u00e0 jour du plan de traitement, favorisant ainsi l\u2019am\u00e9lioration continue.<\/p>\n

        JOTELULU communique \u00e0 ses clients sur demande dans les conditions pr\u00e9vues au Contrat de services, tout compl\u00e9ment d\u2019information utile concernant sa gestion des risques, en particulier les menaces prises en compte et les crit\u00e8res mis en \u0153uvre dans le cadre de son syst\u00e8me de gestion des risques.<\/p>\n

        Client<\/strong><\/p>\n

        Le client est responsable de sa propre gestion des risques, en particulier celle li\u00e9e \u00e0 l\u2019utilisation des services. Il s\u2019assure notamment que les caract\u00e9ristiques et conditions d\u2019utilisation des services de JOTELULU, et notamment les mesures techniques et organisationnelles mises en place par JOTELULU, sont adapt\u00e9es \u00e0 ses activit\u00e9s et, le cas \u00e9ch\u00e9ant, aux activit\u00e9s des clients finaux, en particulier eu \u00e9gard aux risques inh\u00e9rents auxdites activit\u00e9s.<\/p>\n

        Les services de JOTELULU peuvent \u00eatre audit\u00e9s par le Client tel que pr\u00e9vu par le Contrat de services en vigueur.<\/p>\n

          \n
        1. Standards et certifications<\/span><\/li>\n<\/ol>\n

          JOTELULU<\/strong><\/p>\n

          Dans le cadre de ses activit\u00e9s, JOTELULU met en \u0153uvre des standards reconnus par l\u2019industrie, notamment les r\u00e9f\u00e9rentiels de certification suivants :<\/p>\n

          a) Certification ISO\/IEC27001<\/strong><\/p>\n

          JOTELULU a mis en place un Syst\u00e8me de Management de la S\u00e9curit\u00e9 de l\u2019Information (SMSI) conforme au standard ISO\/IEC27001 :2022.<\/p>\n

          La conformit\u00e9 du SMSI de JOTELULU au standard ISO27001 :2022, a \u00e9t\u00e9 audit\u00e9e et certifi\u00e9e par un auditeur ind\u00e9pendant reconnu pour les services suivants :
          \n– Serveurs
          \n– Bureau \u00e0 distance
          \n– Stockage en ligne
          \n– Stockage d\u2019objets.<\/p>\n

          b) Code de conduite CISPE<\/strong><\/p>\n

          JOTELULU est inscrit dans une d\u00e9marche de mise en conformit\u00e9 de ses services au Code de Conduite des fournisseurs d\u2019infrastructures Cloud publi\u00e9 par l\u2019association CISPE (Cloud Infrastructure Services Providers in Europe) et approuv\u00e9 par la CNIL le 3 juin 2021 (cf. D\u00e9cision 2021-065 du 3 juin 2021), et qui d\u00e9finit les bonnes pratiques pouvant \u00eatre mises en \u0153uvre par les fournisseurs de services \u00ab d\u2019infrastructures as a cloud \u00bb pour se conformer au R\u00e8glement G\u00e9n\u00e9ral de Protection des Donn\u00e9es \u00e0 caract\u00e8re personnel (RGPD).<\/p>\n

          c) INCIBE \u2013 Catalogue de cybers\u00e9curit\u00e9<\/strong><\/p>\n

          JOTELULU est enregistr\u00e9 dans le catalogue des entreprises et services de cybers\u00e9curit\u00e9 de l’INCIBE (Institut National de Cybers\u00e9curit\u00e9 Espagnol).<\/p>\n

          d) Label PME Innovante<\/strong><\/p>\n

          Label qui certifie que, ces derni\u00e8res ann\u00e9es, l’entreprise a men\u00e9 des activit\u00e9s dans les domaines de la Recherche, du D\u00e9veloppement Technologique ou de l’Innovation Technologique.<\/p>\n

          La conformit\u00e9 de JOTELULU aux r\u00e9f\u00e9rentiels de certification ci-dessus, est r\u00e9\u00e9valu\u00e9e et audit\u00e9e chaque ann\u00e9e aussi bien en interne que par des auditeurs externes ind\u00e9pendants.<\/p>\n

          En cas de non-conformit\u00e9 identifi\u00e9e, des mesures correctives et de rem\u00e9diation sont mises en place.<\/p>\n

          Client<\/strong><\/p>\n

          Compte tenu du contexte dans lequel s\u2019inscrit l\u2019utilisation des services de JOTELULU, et notamment des engagements contractuels du client et de la r\u00e9glementation applicable \u00e0 ses activit\u00e9s, le client s\u2019assure que les services de JOTELULU b\u00e9n\u00e9ficient des certifications requises.<\/p>\n

          Le client tient compte notamment du type de donn\u00e9es h\u00e9berg\u00e9es sur les infrastructures mises \u00e0 sa disposition par JOTELULU, des traitements op\u00e9r\u00e9s sur lesdites donn\u00e9es, ainsi que, le cas \u00e9ch\u00e9ant, de la nature des activit\u00e9s des clients finaux.<\/p>\n

            \n
          1. S\u00e9curit\u00e9 physique et environnementale<\/span><\/li>\n<\/ol>\n

            JOTELULU<\/strong><\/p>\n

            Les services de JOTELULU sont h\u00e9berg\u00e9s dans des centres de donn\u00e9es europ\u00e9ens haut de gamme, s\u00e9lectionn\u00e9s en fonction de crit\u00e8res stricts de s\u00e9curit\u00e9, de disponibilit\u00e9 et de connectivit\u00e9.<\/p>\n

            a) Contr\u00f4le des acc\u00e8s<\/strong><\/p>\n

            \u2022 Acc\u00e8s physique soumis \u00e0 autorisation pr\u00e9alable et \u00e0 contr\u00f4le d\u2019identit\u00e9 syst\u00e9matique
            \n\u2022 Contr\u00f4le des acc\u00e8s par badge individuel nominatif ou syst\u00e8me de contr\u00f4le d\u2019acc\u00e8s biom\u00e9trique
            \n\u2022 Mise en place d\u2019un dispositif de protection de 5 couches de s\u00e9curit\u00e9 physique (acc\u00e8s p\u00e9rim\u00e9trique, b\u00e2timent, locaux techniques, armoires rack, etc.)
            \n\u2022 Pr\u00e9sence 24\/7 d\u2019agents de s\u00e9curit\u00e9 habilit\u00e9s
            \n\u2022 Syst\u00e8me de vid\u00e9osurveillance continu 24\/7 comprenant des cam\u00e9ras ext\u00e9rieures et int\u00e9rieures (portes d\u2019acc\u00e8s, SAS, couloirs) et un dispositif d\u2019enregistrement pour investigation en cas d\u2019incident
            \n\u2022 Journalisation et revue p\u00e9riodique des acc\u00e8s.<\/p>\n

            b) Syst\u00e8me anti-incendie<\/strong><\/p>\n

            Tous les environnements serveurs disposent de syst\u00e8mes anti-incendie con\u00e7us pour \u00e9teindre tout incendie en quelques secondes et sans r\u00e9sidus, comprenant :
            \n\u2022 D\u00e9tecteurs de fum\u00e9e
            \n\u2022 Syst\u00e8mes d\u2019extinction automatique des syst\u00e8mes d\u2019extinction
            \n\u2022 Boutons manuels d\u2019arr\u00eat d\u2019urgence dans tous les locaux
            \n\u2022 Syst\u00e8mes de d\u00e9tection de fum\u00e9e et de gaz avec syst\u00e8me VESDA.<\/p>\n

            c) Contr\u00f4les environnementaux<\/strong><\/p>\n

            Les centres de donn\u00e9es sont situ\u00e9s dans des zones ne pr\u00e9sentant pas de risques d’inondation ou sismiques connus.<\/p>\n

            Les infrastructures utilis\u00e9es dans le cadre de la fourniture des services sont install\u00e9es dans des environnements contr\u00f4l\u00e9s en permanence dans les conditions suivantes :
            \n\u2022 Refroidissement continu (24\/24)
            \n\u2022 \u00c9quilibrage de climatisation redondant
            \n\u2022 Temp\u00e9rature de 21 \u00baC
            \n\u2022 Humidit\u00e9 relative de 50 %
            \n\u2022 Syst\u00e8me de surveillance et de d\u00e9tection automatique des incidents.<\/p>\n

            d) Certifications<\/strong><\/p>\n

            Les centres de donn\u00e9es dans lesquels sont h\u00e9berg\u00e9s les services de JOTELULU sont certifi\u00e9s conform\u00e9ment aux r\u00e9f\u00e9rentiels suivants :
            \n\u2022 ISO14001 \u2013 Syst\u00e8mes de management environnemental
            \n\u2022 ISO 22301 \u2013 S\u00e9curit\u00e9 et r\u00e9silience
            \n\u2022 ISO27001 \u2013 Management de la s\u00e9curit\u00e9 de l\u2019information
            \n\u2022 ISO 9001 \u2013 Management de la qualit\u00e9
            \n\u2022 ISO 50001 \u2013 Syst\u00e8mes de management de l\u2019\u00e9nergie
            \n\u2022 SOC1\/SOC2 \u2013 Contr\u00f4les de l’organisation des services
            \n\u2022 PCI-DSS \u2013 Norme de s\u00e9curit\u00e9 des donn\u00e9es de l’industrie des cartes de paiement
            \n\u2022 HDS \u2013 H\u00e9bergement des donn\u00e9es de sant\u00e9 (Datacenters \u00e0 Paris)
            \n\u2022 ENS \u2013 Sch\u00e9ma National de S\u00e9curit\u00e9 (Datacenters \u00e0 Madrid)<\/p>\n

            e) Contr\u00f4le<\/strong><\/p>\n

            JOTELULU s\u2019assure, via des contr\u00f4les p\u00e9riodiques, que les fournisseurs en charge de la mise \u00e0 disposition et du maintien en conditions op\u00e9rationnelles des centres de donn\u00e9es utilis\u00e9s dans le cadre de la fourniture des services, mettent en \u0153uvre les mesures techniques et op\u00e9rationnelles appropri\u00e9es telles que d\u00e9crites ci-dessus.<\/p>\n

            Client<\/strong><\/p>\n

            Le client est seul responsable de la s\u00e9curit\u00e9 physique et environnementale de toutes les infrastructures qu\u2019il utilise et qui ne sont pas fournies par JOTELULU.<\/p>\n

              \n
            1. Continuit\u00e9 de services<\/span><\/li>\n<\/ol>\n

              JOTELULU<\/strong><\/p>\n

              JOTELULU a mis en place un plan de continuit\u00e9 de services constitu\u00e9 notamment des diff\u00e9rentes mesures d\u00e9crites ci-apr\u00e8s.<\/p>\n

              Ce plan est revu p\u00e9riodiquement et, si besoin, adapt\u00e9 \u00e0 l\u2019\u00e9volution du contexte dans lequel s\u2019inscrit la fourniture des services.<\/p>\n

              Les mesures mises en \u0153uvre afin d\u2019assurer la continuit\u00e9 des actifs critiques sont test\u00e9es p\u00e9riodiquement.<\/p>\n

              a) Redondance des infrastructures<\/strong><\/p>\n

              JOTELULU a d\u00e9ploy\u00e9 une architecture redondante afin que la panne d\u2019un composant n\u2019impacte pas le fonctionnement normal des services, en particulier :
              \n\u2022 Les centres de donn\u00e9es sont \u00e9quip\u00e9s de connexions redondantes au r\u00e9seau \u00e9lectrique et de g\u00e9n\u00e9rateurs diesel dimensionn\u00e9s pour r\u00e9pondre aux besoins \u00e9nerg\u00e9tiques de l\u2019ensemble du b\u00e2timent et des infrastructures qui s\u2019y trouvent.
              \n\u2022 Chaque serveur dispose de deux alimentations \u00e9lectriques, connect\u00e9es chacune \u00e0 un segment \u00e9lectrique diff\u00e9rent du centre de donn\u00e9es.
              \n\u2022 Les centres de donn\u00e9es dans lesquels sont h\u00e9berg\u00e9s les services sont neutres et pr\u00e9sentent une large gamme de connectivit\u00e9 qui permet \u00e0 JOTELULU de disposer de plusieurs circuits r\u00e9seau aupr\u00e8s de diff\u00e9rents fournisseurs afin de se pr\u00e9munir d\u2019une perte de connectivit\u00e9 due \u00e0 la d\u00e9faillance d\u2019un fournisseur.
              \n\u2022 Tous les \u00e9quipements qui composent l\u2019infrastructure disposent d\u2019au moins deux connexions r\u00e9seau en haute disponibilit\u00e9 (LAG), et chaque connexion r\u00e9seau a son propre commutateur, si bien qu\u2019une panne d\u2019un commutateur n\u2019entra\u00eene aucune interruption de service ;
              \n\u2022 JOTELULU a mis en place une agr\u00e9gation de lien multich\u00e2ssis dans laquelle chaque routeur et chaque commutateur (agr\u00e9gation et acc\u00e8s) est redond\u00e9 ; ce qui permet d\u2019assurer la disponibilit\u00e9 et l\u2019\u00e9volutivit\u00e9 du r\u00e9seau ;
              \n\u2022 Redondance N x 1,25 sur les hyperviseurs : Fournit une capacit\u00e9 suffisante pour supporter la d\u00e9faillance de jusqu’\u00e0 25 % d’entre eux. En cas de d\u00e9faillance d’un hyperviseur, les serveurs h\u00e9berg\u00e9s dessus sont automatiquement d\u00e9marr\u00e9s sur d’autres hyperviseurs.
              \n\u2022 Haute disponibilit\u00e9 du stockage : Combine le clustering bas\u00e9 sur le stockage avec la r\u00e9plication synchrone pour garantir une r\u00e9cup\u00e9ration transparente en cas de d\u00e9faillances.
              \n\u2022 Syst\u00e8me de stockage d’objets : R\u00e9plique chaque objet sur 3 disques diff\u00e9rents situ\u00e9s sur 3 serveurs distincts. Par d\u00e9faut, la politique \u00e9tablie garantit qu’au moins une des copies est conserv\u00e9e dans un autre centre de donn\u00e9es.<\/p>\n

              b) Syst\u00e8me anti-DDoS<\/strong><\/p>\n

              Les infrastructures sont \u00e9quip\u00e9es d\u2019un syst\u00e8me anti-DDoS qui pr\u00e9vient et filtre les attaques par d\u00e9ni de service afin de garantir la disponibilit\u00e9 permanente des serveurs.<\/p>\n

              Ce syst\u00e8me est structur\u00e9 en plusieurs lignes de filtrage et de d\u00e9tection qui permettent de passer au crible et de diff\u00e9rencier les petites attaques (quelques centaines de Mb\/s) des attaques plus importantes de milliers de Gb\/s.<\/p>\n

              c) Plan de capacit\u00e9<\/strong><\/p>\n

              JOTELULU s’assure par du monitoring et des revues p\u00e9riodiques que la capacit\u00e9 et le dimensionnement des infrastructures utilis\u00e9es pour fournir les services sont adapt\u00e9s \u00e0 ses engagements de niveaux de services.<\/p>\n

              Concernant les ressources mutualis\u00e9es \u00e0 plusieurs clients, JOTELULU fait ses meilleurs efforts pour r\u00e9pondre aux besoins de capacit\u00e9 de ses clients, mais sans pouvoir garantir de volume de ressources disponibles.<\/p>\n

              d) Gestion du changement<\/strong><\/p>\n

              JOTELULU met en \u0153uvre une politique de gestion du changement visant \u00e0 assurer la continuit\u00e9 des services en cas d\u2019\u00e9volutions ou de modifications.<\/p>\n

              Dans le cadre du d\u00e9veloppement, de la mise \u00e0 jour et de l\u2019\u00e9volution du syst\u00e8me d\u2019information, il est notamment fait application des principes suivants :
              \n\u2022 \u00c9valuation des exigences et des risques lors de la phase de planification
              \n\u2022 D\u00e9veloppement dans un environnement de d\u00e9veloppement
              \n\u2022 Tests et acceptation de l’assurance qualit\u00e9, y compris la s\u00e9curit\u00e9
              \n\u2022 Tests dans des environnements b\u00eata
              \n\u2022 Mise en production apr\u00e8s approbation, suivant le processus de planification des changements.<\/p>\n

              Les clients sont syst\u00e9matiquement inform\u00e9s des changements pouvant avoir un impact sur les conditions d\u2019utilisation des services (notamment les niveaux de performances, les conditions d\u2019interop\u00e9rabilit\u00e9, le niveau de s\u00e9curit\u00e9, la continuit\u00e9 des services, changement de fonctionnalit\u00e9s, etc.).<\/p>\n

              Client<\/strong><\/p>\n

              Le client est responsable de la continuit\u00e9 de ses activit\u00e9s, notamment de la disponibilit\u00e9 du syst\u00e8me d\u2019information qu\u2019il h\u00e9berge sur les infrastructures mises \u00e0 sa disposition par JOTELULU.<\/p>\n

              A ce titre le client :
              \n\u2022 s\u2019assure de la bonne gestion des \u00e9l\u00e9ments et processus relevant de son p\u00e9rim\u00e8tre de responsabilit\u00e9 tel que pr\u00e9vu au contrat de service
              \n\u2022 s\u2019assure que les caract\u00e9ristiques et conditions des services (notamment le dimensionnement et le niveau de performance des services) sont de nature \u00e0 lui permettre d\u2019atteindre ses objectifs de disponibilit\u00e9 et de continuit\u00e9 ;
              \n\u2022 est responsable de l\u2019activation et du param\u00e9trage des fonctionnalit\u00e9s et options mises le cas \u00e9ch\u00e9ant \u00e0 sa disposition afin d\u2019assurer la continuit\u00e9 de ses activit\u00e9s (notamment les fonctionnalit\u00e9s de back-up et de versioning) ;
              \n\u2022 met en place toutes les mesures additionnelles (tels que back-up distants, redondances des ressources, etc.) de nature \u00e0 garantir l\u2019atteinte desdits objectifs ;
              \n\u2022 tient compte des incidents ainsi que des modifications et \u00e9volutions des services qui lui sont communiqu\u00e9s par JOTELULU, et adapte, si besoin, son organisation et les conditions dans lesquelles il utilise les services.<\/p>\n

                \n
              1. Gestion des acc\u00e8s logiques<\/span><\/li>\n<\/ol>\n

                a) Acc\u00e8s de JOTELULU au syst\u00e8me d\u2019information<\/strong><\/p>\n

                JOTELULU met en \u0153uvre les mesures suivantes afin de s\u00e9curiser les acc\u00e8s aux diff\u00e9rents composants de son syst\u00e8me d\u2019information :
                \n\u2022 Gestion document\u00e9e et centralis\u00e9e des identit\u00e9s et des acc\u00e8s ;
                \n\u2022 Processus formalis\u00e9 d\u2019attribution et de suppression des droits d\u2019acc\u00e8s ;
                \n\u2022 Mise en \u0153uvre de la r\u00e8gle du moindre privil\u00e8ge et du principe de minimisation ;
                \n\u2022 Attribution des droits d\u2019acc\u00e8s sur la base de r\u00f4les pr\u00e9d\u00e9finis ou de l\u2019appartenance \u00e0 des groupes op\u00e9rationnels ;
                \n\u2022 Revue p\u00e9riodique des droits d\u2019acc\u00e8s ;
                \n\u2022 Encadrement du processus d\u2019entr\u00e9e\/sortie des collaborateurs afin notamment de s\u2019assurer les droits d\u2019acc\u00e8s sont attribu\u00e9s et r\u00e9voqu\u00e9s de mani\u00e8re appropri\u00e9e notamment en cas de d\u00e9part d\u2019un collaborateur ;
                \n\u2022 Si possible, utilisation de comptes utilisateurs par principe individuels et nominatifs ;
                \n\u2022 Mise en \u0153uvre d\u2019une politique de gestion des mots de passe conforme aux r\u00e8gles de l\u2019art ;
                \n\u2022 Mise en place d\u2019un syst\u00e8me d\u2019authentification multi-facteurs obligatoires pour les r\u00f4les disposant de privil\u00e8ges, notamment les administrateurs ;
                \n\u2022 Journalisation des connexions et conservation des journaux de mani\u00e8re s\u00e9curis\u00e9e.<\/p>\n

                b) Acc\u00e8s du client aux services<\/strong><\/p>\n

                JOTELULU met \u00e0 disposition du client une plateforme lui permettant de d\u00e9signer les personnes autoris\u00e9es, pour son compte, \u00e0 utiliser les services de JOTELULU.<\/p>\n

                Cette plateforme permet notamment de cr\u00e9er et de supprimer des utilisateurs, et de cr\u00e9er diff\u00e9rents profils utilisateurs auxquels sont associ\u00e9s des droits d\u2019acc\u00e8s sp\u00e9cifiques.<\/p>\n

                La plateforme permet \u00e9galement au client d\u2019utiliser une fonctionnalit\u00e9 d\u2019authentification double facteur.<\/p>\n

                Les logs d\u2019acc\u00e8s et d\u2019utilisation des services sont journalis\u00e9s et conserv\u00e9s pendant 12 (douze) mois. Le client peut y acc\u00e9der depuis la plateforme de gestion des services.<\/p>\n

                Client<\/strong><\/p>\n

                Le Client est seul responsable de la gestion des acc\u00e8s des membres de son personnel aux services et \u00e0 la plateforme de gestion des services mise \u00e0 sa disposition par JOTELULU. Le client est notamment en charge de :
                \n\u2022 La cr\u00e9ation et la suppression des comptes utilisateurs des membres de son personnel, et de l\u2019attribution les droits qui leur sont n\u00e9cessaires \u00e0 l\u2019ex\u00e9cution de leur mission ;
                \n\u2022 L\u2019activation de la fonctionnalit\u00e9 d’authentification double facteurs (2FA) ;
                \n\u2022 Le contr\u00f4le et la revue p\u00e9riodique des droits d\u2019acc\u00e8s des membres de son personnel ;
                \n\u2022 La mise en place de mesures techniques et op\u00e9rationnelles permettant d\u2019assurer la confidentialit\u00e9 des moyens d’authentification des utilisateurs membres de son personnel.<\/p>\n

                Par ailleurs, le Client est seul en charge de la gestion des habilitations et des acc\u00e8s logiques aux syst\u00e8mes et applicatifs non-mis \u00e0 disposition par JOTELULU (y compris ceux d\u00e9ploy\u00e9s dans le cadre des services).<\/p>\n

                  \n
                1. Gestion des actifs<\/span><\/li>\n<\/ol>\n

                  JOTELULU<\/strong><\/p>\n

                  Tous les actifs n\u00e9cessaires \u00e0 la fourniture des services (notamment machines physiques et virtuelles, \u00e9quipements r\u00e9seau, syst\u00e8mes, \u00e9l\u00e9ments logiciels, applicatifs, espaces de stockage, etc.) sont inventori\u00e9s.<\/p>\n

                  L\u2019inventaire des actifs est mis \u00e0 jour p\u00e9riodiquement.<\/p>\n

                  Chaque actif rel\u00e8ve de la responsabilit\u00e9 d\u2019une personne identifi\u00e9e en charge d\u2019assurer la bonne gestion de l\u2019actif dans le respect des politiques mises en \u0153uvre par JOTELULU (analyse et traitement des risques associ\u00e9s, gestion des acc\u00e8s, maintien en condition op\u00e9rationnelle, etc.).<\/p>\n

                  En fin de vie ou en cas de changement de destination d\u2019un actif pouvant contenir des donn\u00e9es, un processus d\u2019effacement conforme aux standards de l\u2019industrie est pr\u00e9alablement mis en \u0153uvre.<\/p>\n

                  De m\u00eame, les \u00e9quipements arrivant en fin de vie sont d\u00e9truits conform\u00e9ment aux standards de l\u2019industrie.<\/p>\n

                  Client<\/strong><\/p>\n

                  Le client est responsable de la gestion et de la s\u00e9curisation des actifs qu\u2019il utilise dans le cadre des services (instances, espaces de stockage, syst\u00e8mes et applications install\u00e9es sur les infrastructures mises \u00e0 sa disposition, etc.).<\/p>\n

                  Avant la date effective de r\u00e9siliation ou d\u2019expiration des services qu\u2019il utilise, le client s\u2019assure notamment de la suppression des donn\u00e9es qui y sont h\u00e9berg\u00e9es.<\/p>\n

                    \n
                  1. Gestion des vuln\u00e9rabilit\u00e9s<\/span><\/li>\n<\/ol>\n

                    JOTELULU<\/strong><\/p>\n

                    Le syst\u00e8me d\u2019information utilis\u00e9 pour fournir les services, dispose de protections adapt\u00e9es contre les risques d\u2019intrusion (cloisonnement, pare-feu, filtrage IP et syst\u00e8mes de d\u00e9tection d\u2019intrusion, acc\u00e8s par bastion).<\/p>\n

                    Les stations de travail des collaborateurs disposent d\u2019un antivirus \u00e0 jour et d\u2019un syst\u00e8me de d\u00e9tection de code malveillant.<\/p>\n

                    Par ailleurs, JOTELULU assure une veille technologique lui permettant de d\u00e9tecter aux vuln\u00e9rabilit\u00e9s des actifs utilis\u00e9s dans le cadre de la fourniture des services, et d\u2019y rem\u00e9dier.<\/p>\n

                    Les vuln\u00e9rabilit\u00e9s sont d\u00e9tect\u00e9es via notamment :
                    \n\u2022 L\u2019information des fabricants et \u00e9diteurs des composants utilis\u00e9s ;
                    \n\u2022 Les communaut\u00e9s utilisateurs ;
                    \n\u2022 Les communaut\u00e9s open-source le cas \u00e9ch\u00e9ant ;
                    \n\u2022 Les incidents d\u00e9tect\u00e9s par JOTELULU et\/ou par ses clients ;
                    \n\u2022 Le monitoring des services ;
                    \n\u2022 Les revues de code et de configuration notamment en cas de nouveaux d\u00e9veloppements ;
                    \n\u2022 Les audits internes et tests d\u2019intrusion r\u00e9alis\u00e9s de mani\u00e8re p\u00e9riodique.<\/p>\n

                    Lorsqu\u2019une vuln\u00e9rabilit\u00e9 est d\u00e9tect\u00e9e, une \u00e9tude d\u2019impact est r\u00e9alis\u00e9e, des actions de mitigation et de rem\u00e9diation sont mises en \u0153uvre, et les clients expos\u00e9s sont inform\u00e9s.<\/p>\n

                    Client<\/strong><\/p>\n

                    Le client est responsable de la gestion des vuln\u00e9rabilit\u00e9s des \u00e9l\u00e9ments qui sont en dehors du p\u00e9rim\u00e8tre de responsabilit\u00e9 de JOTELULU, notamment des syst\u00e8mes et applicatifs d\u00e9ploy\u00e9s sur les infrastructures mises \u00e0 sa disposition par JOTELULU.<\/p>\n

                    Le client met en \u0153uvre toute mesure utile pour minimiser l\u2019impact et rem\u00e9dier aux vuln\u00e9rabilit\u00e9s dont il a connaissance, notamment celles qui lui sont signal\u00e9es par JOTELULU.<\/p>\n

                      \n
                    1. Gestion des ressources humaines<\/span><\/li>\n<\/ol>\n

                      JOTELULU<\/strong><\/p>\n

                      JOTELULU met en place des mesures appropri\u00e9es afin que le personnel qu\u2019il emploie dispose des comp\u00e9tences et connaissances n\u00e9cessaires afin de contribuer \u00e0 la s\u00e9curit\u00e9 de l\u2019information, notamment :
                      \n\u2022 L\u2019arriv\u00e9e et le d\u00e9part des collaborateurs est encadr\u00e9 par des processus permettant de ma\u00eetriser l\u2019affectation et la restitution des actifs et l\u2019attribution des acc\u00e8s au syst\u00e8me d\u2019information ;
                      \n\u2022 Chaque collaborateur est sensibilis\u00e9 \u00e0 la s\u00e9curit\u00e9 de l\u2019information et \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel d\u00e8s son arriv\u00e9e puis de mani\u00e8re p\u00e9riodique (au moins 1 fois par an) ;
                      \n\u2022 Tous les contrats (de travail ou de prestation de services) mettent \u00e0 la charge du collaborateur un engagement de confidentialit\u00e9 ;
                      \n\u2022 Des politiques et proc\u00e9dures formalis\u00e9es relatives \u00e0 la gestion et \u00e0 l\u2019utilisation des diff\u00e9rents composants du syst\u00e8me d\u2019information sont mises \u00e0 disposition des collaborateurs qui ont l\u2019obligation de les respecter ;
                      \n\u2022 Des communications et des campagnes de tests sont r\u00e9alis\u00e9es r\u00e9guli\u00e8rement aupr\u00e8s des collaborateurs.<\/p>\n

                      Client<\/strong><\/p>\n

                      Le Client demeure responsable des membres de son personnel, en particulier de ceux qui sont charg\u00e9s d\u2019utiliser les services.<\/p>\n

                      Le client s\u2019assure qu\u2019ils disposent des connaissances et des comp\u00e9tences n\u00e9cessaires et leur communique les conditions d\u2019utilisation des services (y compris en cas de modification), ainsi que plus g\u00e9n\u00e9ralement toutes instructions et informations utiles.<\/p>\n","protected":false},"excerpt":{"rendered":"

                      Derni\u00e8re mise \u00e0 jour : novembre 2024 Le pr\u00e9sent document d\u00e9crit les mesures techniques et organisationnelles mises en \u0153uvre par JOTELULU dans le cadre de ses services, afin d\u2019assurer la s\u00e9curit\u00e9 des donn\u00e9es de ses clients, notamment des donn\u00e9es h\u00e9berg\u00e9es sur les infrastructures mises \u00e0 la disposition de ces derniers. Il d\u00e9crit \u00e9galement les mesures […]<\/p>\n","protected":false},"author":3,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-43658","page","type-page","status-publish","hentry"],"acf":[],"yoast_head":"\nS\u00e9curit\u00e9 des services - Jotelulu<\/title>\n<meta name=\"robots\" content=\"noindex, nofollow\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"S\u00e9curit\u00e9 des services - Jotelulu\" \/>\n<meta property=\"og:description\" content=\"Derni\u00e8re mise \u00e0 jour : novembre 2024 Le pr\u00e9sent document d\u00e9crit les mesures techniques et organisationnelles mises en \u0153uvre par JOTELULU dans le cadre de ses services, afin d\u2019assurer la s\u00e9curit\u00e9 des donn\u00e9es de ses clients, notamment des donn\u00e9es h\u00e9berg\u00e9es sur les infrastructures mises \u00e0 la disposition de ces derniers. Il d\u00e9crit \u00e9galement les mesures […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/jotelulu.com\/fr-fr\/securite-des-services\/\" \/>\n<meta property=\"og:site_name\" content=\"Jotelulu\" \/>\n<meta property=\"article:modified_time\" content=\"2025-02-26T12:15:53+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"14 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/jotelulu.com\\\/fr-fr\\\/securite-des-services\\\/\",\"url\":\"https:\\\/\\\/jotelulu.com\\\/fr-fr\\\/securite-des-services\\\/\",\"name\":\"S\u00e9curit\u00e9 des services - Jotelulu\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/jotelulu.com\\\/fr-fr\\\/#website\"},\"datePublished\":\"2025-01-13T12:52:36+00:00\",\"dateModified\":\"2025-02-26T12:15:53+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/jotelulu.com\\\/fr-fr\\\/securite-des-services\\\/#breadcrumb\"},\"inLanguage\":\"fr\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/jotelulu.com\\\/fr-fr\\\/securite-des-services\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/jotelulu.com\\\/fr-fr\\\/securite-des-services\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Portada\",\"item\":\"https:\\\/\\\/jotelulu.com\\\/fr-fr\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"S\u00e9curit\u00e9 des services\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/jotelulu.com\\\/fr-fr\\\/#website\",\"url\":\"https:\\\/\\\/jotelulu.com\\\/fr-fr\\\/\",\"name\":\"Jotelulu\",\"description\":\"Cloud Paradise for Tech Companies\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/jotelulu.com\\\/fr-fr\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"S\u00e9curit\u00e9 des services - Jotelulu","robots":{"index":"noindex","follow":"nofollow"},"og_locale":"fr_FR","og_type":"article","og_title":"S\u00e9curit\u00e9 des services - Jotelulu","og_description":"Derni\u00e8re mise \u00e0 jour : novembre 2024 Le pr\u00e9sent document d\u00e9crit les mesures techniques et organisationnelles mises en \u0153uvre par JOTELULU dans le cadre de ses services, afin d\u2019assurer la s\u00e9curit\u00e9 des donn\u00e9es de ses clients, notamment des donn\u00e9es h\u00e9berg\u00e9es sur les infrastructures mises \u00e0 la disposition de ces derniers. Il d\u00e9crit \u00e9galement les mesures […]","og_url":"https:\/\/jotelulu.com\/fr-fr\/securite-des-services\/","og_site_name":"Jotelulu","article_modified_time":"2025-02-26T12:15:53+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"14 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/jotelulu.com\/fr-fr\/securite-des-services\/","url":"https:\/\/jotelulu.com\/fr-fr\/securite-des-services\/","name":"S\u00e9curit\u00e9 des services - Jotelulu","isPartOf":{"@id":"https:\/\/jotelulu.com\/fr-fr\/#website"},"datePublished":"2025-01-13T12:52:36+00:00","dateModified":"2025-02-26T12:15:53+00:00","breadcrumb":{"@id":"https:\/\/jotelulu.com\/fr-fr\/securite-des-services\/#breadcrumb"},"inLanguage":"fr","potentialAction":[{"@type":"ReadAction","target":["https:\/\/jotelulu.com\/fr-fr\/securite-des-services\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/jotelulu.com\/fr-fr\/securite-des-services\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/jotelulu.com\/fr-fr\/"},{"@type":"ListItem","position":2,"name":"S\u00e9curit\u00e9 des services"}]},{"@type":"WebSite","@id":"https:\/\/jotelulu.com\/fr-fr\/#website","url":"https:\/\/jotelulu.com\/fr-fr\/","name":"Jotelulu","description":"Cloud Paradise for Tech Companies","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/jotelulu.com\/fr-fr\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr"}]}},"_links":{"self":[{"href":"https:\/\/jotelulu.com\/fr-fr\/wp-json\/wp\/v2\/pages\/43658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jotelulu.com\/fr-fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/jotelulu.com\/fr-fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/jotelulu.com\/fr-fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/jotelulu.com\/fr-fr\/wp-json\/wp\/v2\/comments?post=43658"}],"version-history":[{"count":5,"href":"https:\/\/jotelulu.com\/fr-fr\/wp-json\/wp\/v2\/pages\/43658\/revisions"}],"predecessor-version":[{"id":47459,"href":"https:\/\/jotelulu.com\/fr-fr\/wp-json\/wp\/v2\/pages\/43658\/revisions\/47459"}],"wp:attachment":[{"href":"https:\/\/jotelulu.com\/fr-fr\/wp-json\/wp\/v2\/media?parent=43658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}