Sécurité de l'information
La protection des données est au coeur de notre métier. Notre politique de sécurité se décline dans 4 dimensions principales :
La sécurité physique : outils et procédures qui protègent physiquement les équipements vis-à-vis des risques exogènes auxquels ils peuvent être exposés.
La sécurité logique : outils et procédures qui protègent les données qui circulent et sont stockées sur les équipements, et qui protègent les logiciels qui activent les fonctions pour les exploiter.
Les procédures d'exploitation : elles modélisent l’ensemble de nos activités de production et nos SLA.
Les procédures particulières de continuité de services et de reprise d’activité (dites « de résilience ») qui sont activées lorsqu’un risque survient et provoque des dégâts. Cette politique est contrôlée et mesurée en permanence.
Elle est attestée chaque année par quatre certifications :
Certificat Hébergeur Données de Santé x
Si l'erreur humaine reste une des principales causes de perte de données, les tentatives d'intrusion dans vos systèmes peuvent conduire à l'indisponibilité de vos données. Depuis 2020 le nombre de tentatives d’intrusion est devenu phénoménal.
Pour se protéger des piratages, des ransomwares, des actes malveillants ou autre, TAS France garanti la sécurité de vos données grâce à son partenaire FireEye Mandiant, un centre d'opérations de sécurité (SOC).
Le SOC est une installation externe qui héberge une équipe de sécurité de l'information chargée de surveiller et d'analyser en permanence la posture de sécurité d'une organisation. L'objectif et la mission du SOC sont de détecter, d'analyser et de répondre aux incidents de cybersécurité en utilisant une combinaison de solutions technologiques et de processus solides.
Le principal avantage est l'amélioration de la détection des incidents de sécurité grâce à une surveillance et une analyse continue de l'activité des données. En analysant cette activité sur les réseaux, les points d'extrémité, les serveurs et les bases de données de notre Datacenter 24 heures sur 24, les équipes de FireEye sont essentielles pour assurer la détection et la réponse rapides aux incidents de sécurité.
Ils répondent ainsi aux besoins de notre datacenter et de nos clients. Même si aujourd’hui certaines technologies, telles que les pare-feu ou les IPS (intrusion prevention system) peuvent prévenir les attaques de base, une analyse humaine est nécessaire et recommandée pour mettre un terme aux incidents majeurs.
Avec FireEye nous observons et traçons tout ce qui circule sur nos postes de travail. En particulier en contexte d'infogérance, il est indispensable d'éviter toute contamination des serveurs de nos clients.
Sauvegardes - PRA - PCA
Nous proposons systématiquement à nos clients des procédures de sauvegarde et de restauration des données que nous hébergeons.
Nos solutions permettent également d'inclure dans le périmètre de sauvegarde les données qui ne sont pas stockées chez TAS, par exemple sur des serveurs distants ou des équipements mobiles.
Nous utilisons les meilleures solutions du marché, telles qu'Asigra Cloud Backup par exemple dont nous sommes partenaire certifié, pour sauvegarder et reconstruire vos données en toutes circonstances, quels que soient la plateforme et le système d'exploitation avec lesquels vous exploitez vos données : serveur physique, virtuel, container, poste de travail, tablette, smartphone.
La solution Asigra contient notamment des fonctionnalités anti ransomware pour éviter qu'un code malveillant ne vienne aggraver une situation critique au moment de la restauration des données.
Nos solutions permettent également d'inclure dans le périmètre de sauvegarde les données qui ne sont pas stockées chez TAS, par exemple sur des serveurs distants ou des équipements mobiles.
Dans tous les cas, nous incitons nos clients à décider d'une politique de sauvegardes (criticité des données, fréquence des sauvegardes, localisation des sauvegardes, rétention des données, délais acceptables de restauration, etc...) et à s'interroger sur leur niveau d'exigence en matière de continuité d'activité en cas de sinistre.
Nos clients les plus sensibles et les plus exigeants nous demandent des services à très haut débit et très haute disponibilité en toutes circonstances, 24/24 h, 7/7j, 365 jours par an.
Dans ce cas nous construisons des architectures multi serveurs et multi sites avec un niveau de redondance permettant aux utilisateurs de poursuivre une activité normale sans coupure sensible de service alors qu'un incident majeur aura pu survenir sur leur réseau.
RGPD
La Réglementation Générale de Protection des Données est une règlementation de la Communauté Européenne qui s'applique en l'état dans toute l'Europe. Elle concerne la protection des données des citoyens Européens, que les opérateurs concernés soient en Europe ou ailleurs dans le monde.
Les opérateurs concernés sont toutes les organisations qui, à un moment quelconque de leur processus, qu'il soit resté sur papier ou numérisé, collectent, stockent, traitent et restituent des données personnelles. On comprend immédiatement que toutes les entreprises, petites et grandes, sont concernées.
En tant qu'hébergeur de données, la réglementation Européenne nous attribue un rôle de fournisseur "processeur" des données, sous-traitant du client qui reste propiétraire et "responsable du traitement" qu'il applique à ses données.
Concrètement, cela signifie que nos clients doivent établir une cartographie des données personnelles qu'ils collectent, stockent, traitent et restituent. Un registre doit être tenu à jour pour attester de la traçabilité des opérations. L'ensemble des processus de traitement des données personnelles doivent être conçus dès le départ selon un principe de "privacy by design" qui permet de respecter cette réglementation.
De notre côté, nous devons pouvoir attester à tout moment que notre politique de sécurité de l'information est également conforme à cette réglementation. Par exemple nous devons savoir exactement où sont stockées les données que nous hébergeons et nous devons savoir présenter à tout moment nos procédures de protection de l'information, de résilience et de réversibilité.
Le niveau de protection "Tier 4" de notre principal Datacenter de Sophia Antipolis et les procédures de sécurité mises en place chez TAS, notamment pour nos certifications, sont alignées sur les exigences de cette règlementation dans le rôle qui est le nôtre.
Cependant, le partage de responsabilités avec nos clients "responsables du traitement" des données reste un point de vigilance constant, notamment lorsque l'infogérance des serveurs nous est confiée. La protection de l'information est un travail permanent, qui ne peut être décrété une fois pour toutes, notamment compte tenu des erreurs humaines qui peuvent intervenir même dans des processus très automatisés.
Nous sommes en conformité avec la règlementation. Nos contrats d'hébergement ont été revisités pour préciser les modalités de prise en compte d'un certain nombre de points sur lesquels la RGPD a un impact.
ISO 9001
