Sécurité

La meilleure technologie pour protéger vos données

L’objectif principal de nCore, en matière de sécurité des informations traitées, est d’atteindre un niveau d’excellence dans sa capacité à garantir la confidentialité, l’intégrité et la disponibilité.

Certifications

nCore est certifié ISO/IEC 27001, ISO/IEC 27017 et ISO/IEC 27018.

Télécharger le certificat.

La certification ISO/IEC 27001 est une accréditation de grande valeur attestant de la mise en œuvre et du maintien d’un système de gestion de la sécurité de l’information (SGSI) de qualité supérieure. Cette norme internationale fournit un cadre complet et méthodique pour gérer efficacement la sécurité de l’information, en aidant les organisations à identifier, gérer et atténuer les risques liés à la sécurité des données.

La norme ISO/IEC 27001 définit les exigences d’un ISMS, un système conçu pour préserver la confidentialité, l’intégrité et la disponibilité des informations professionnelles. Cette norme met l’accent sur l’analyse des risques, la mise en œuvre de mesures de sécurité appropriées et l’amélioration continue du système.

L’obtention de la certification ISO/IEC 27001 démontre l’engagement d’une organisation à garantir la sécurité de l’information à tous les niveaux. Cela comprend l’adoption de politiques et de procédures de sécurité, la gestion des risques informatiques, la formation du personnel et une révision constante afin de maintenir un niveau élevé de sécurité.

Cette certification est essentielle pour les organisations de toute taille et de tout secteur, car elle démontre leur engagement à protéger les informations sensibles et à gérer les risques de sécurité. ISO/IEC 27001 est un label de confiance pour les clients, les partenaires et les parties prenantes, qui démontre la mise en œuvre de mesures de sécurité de l’information robustes et l’engagement à protéger les données sensibles.

Télécharger le certificat.

La certification ISO/IEC 27017 est un guide fondamental pour la sécurité de l’information dans la performance et l’utilisation des services en nuage. Cette norme fournit des lignes directrices et des contrôles spécifiques pour garantir un environnement sûr et sécurisé pour les services offerts via le nuage. La norme ISO/IEC 27017 se concentre sur les questions de protection des données et de garantie de la confidentialité dans l’environnement de l’informatique en nuage.

Cette certification établit un ensemble de contrôles et de bonnes pratiques pour les fournisseurs de services en cloud et les utilisateurs de ces services. Elle fournit notamment des conseils sur les mesures de sécurité nécessaires pour protéger les informations sensibles et personnelles. Ces mesures comprennent la mise en œuvre de contrôles d’accès, le cryptage, la protection de l’identité, la confidentialité des données et les garanties de continuité des activités.

La norme ISO/IEC 27017 est essentielle pour garantir que les données traitées dans les services en cloud sont correctement gérées et protégées. Cette norme fournit un ensemble de lignes directrices visant à éviter les risques d’atteinte à la sécurité et à la vie privée en veillant à ce que les données soient traitées conformément aux réglementations internationales et aux meilleures pratiques. L’obtention de la certification ISO/IEC 27017 témoigne d’un engagement à veiller à ce que la sécurité des informations soit correctement gérée dans l’environnement de l’informatique en cloud.

Télécharger le certificat.

La certification ISO/IEC 27018 est une norme importante qui fournit des lignes directrices et des contrôles spécifiques pour la protection des données personnelles dans les services en nuage. Cette norme se concentre sur la confidentialité des données et vise à garantir que les fournisseurs de services en nuage traitent les informations personnelles d’une manière conforme aux réglementations des agences en matière de protection de la vie privée.

La norme ISO/IEC 27018 fournit des lignes directrices détaillées concernant le traitement des données personnelles dans le nuage, en garantissant la transparence et le contrôle des données gérées par des tiers. Elle exige la mise en œuvre de mesures de sécurité spécifiques pour protéger les données personnelles, telles que les contrôles d’accès, le cryptage, l’anonymisation et les procédures de gestion des violations de données.

Cette certification revêt une importance particulière pour les organisations qui traitent des informations sensibles, car elle offre une assurance supplémentaire quant au respect de la confidentialité des données. La norme ISO/IEC 27018 témoigne d’un engagement à protéger les informations personnelles dans l’environnement cloud, en garantissant que les données sont gérées et traitées conformément aux réglementations sur la protection de la vie privée et aux meilleures pratiques de l’industrie.

Obtenir la certification ISO/CEI 27018 signifie garantir aux clients et aux utilisateurs finaux que les données personnelles sont traitées avec le plus grand soin et dans le respect de politiques strictes en matière de sécurité et de protection de la vie privée. Cette norme souligne l’importance d’une approche responsable de la protection des données.

Sécurité de l’information

Les responsabilités en matière de sécurité de l’information sont entièrement définies et attribuées. Les tâches et les domaines de responsabilité conflictuels sont séparés afin de réduire les risques d’utilisation abusive, de modification non autorisée ou involontaire des actifs de l’organisme.

nCore prend toutes les mesures nécessaires pour s’assurer que le personnel et les collaborateurs sont conscients de leurs responsabilités en matière de sécurité de l’information et qu’ils les assument.

Les fonctions compétentes de l’entreprise s’assurent que les nouveaux employés, les contractuels ou les autres membres du personnel sont aptes au rôle qu’ils doivent jouer et qu’ils ont compris leurs responsabilités, afin de réduire le risque de dommages ou de fraude.

Les fonctions centrales compétentes effectuent des contrôles d’aptitude sur tous les candidats à l’emploi, conformément aux lois, aux réglementations pertinentes et à l’éthique.
Ces contrôles sont effectués en fonction des besoins de l’entreprise, de la classification des informations auxquelles il faut accéder et des risques perçus dans l’emploi envisagé.
Les accords contractuels conclus avec le personnel et les sous-traitants précisent leurs responsabilités et celles de l’organisation en matière de sécurité de l’information.

La direction de nCore exige de l’ensemble du personnel et des sous-traitants qu’ils appliquent la sécurité de l’information conformément aux politiques et procédures établies par l’organisation. L’ensemble du personnel de nCore et, le cas échéant, les collaborateurs externes, reçoivent une sensibilisation, une éducation, une formation et des mises à jour périodiques adéquates sur les politiques et procédures de l’organisation, d’une manière adaptée à leur travail.

Les autorisations d’accès sont supprimées en cas de résiliation de la relation d’emploi/de collaboration ou modifiées en cas de changement de structure organisationnelle ou d’affectation.

nCore a mis en place des systèmes de sécurité définis comme « périmétriques » au sein de son DataCentre, c’est-à-dire utilisés pour tous les systèmes situés à l’intérieur du DataCentre lui-même, avec une référence particulière à l’accès depuis et vers les réseaux Internet ; ces systèmes et leur gestion sont décrits ci-dessous.

nCore limite l’accès aux informations et aux services de traitement de l’information en fonction du critère du « besoin d’accès », c’est-à-dire des besoins opérationnels effectifs et légitimes de chaque individu. nCore publie des politiques spécifiques sur l’utilisation des postes de travail et des dispositifs de traitement, y compris les dispositifs mobiles individuels, les services de courrier et d’Internet.
En outre, nCore publie une politique de sécurité sur l’utilisation et la gestion des informations d’authentification dans les systèmes informatiques.

Tous les membres du personnel de nCore et les tiers intéressés sont informés de l’existence d’une politique spécifique de gestion et de contrôle des accès logiques aux ressources et sont tenus, en fonction de leurs responsabilités ou de leurs compétences, de se conformer à ses exigences.

Les équipements et les instructions de contrôle d’accès sont constamment adaptés aux besoins de l’entreprise et de la sécurité d’accès, ainsi qu’à l’évolution de l’organisation et de la technologie.

Afin de garantir l’utilisation correcte et efficace de la cryptographie pour protéger la confidentialité, l’authenticité et/ou l’intégrité des informations, nCore prévoit l’utilisation de contrôles cryptographiques appropriés.

Lorsque cela est jugé nécessaire, après une analyse appropriée des risques pour les actifs, des contrôles cryptographiques sont mis en œuvre pour protéger les informations contre les menaces d’atteinte à la confidentialité et à l’intégrité des données, y compris à des fins de « non-répudiation » de l’authenticité des données.

Les techniques de protection appropriées sont prévues par les fonctions responsables des biens protégés par des contrôles cryptographiques, et la durée de vie des clés cryptographiques est établie tout au long de leur cycle de vie.

nCore a l’intention de protéger les actifs pertinents pour l’entreprise et la sécurité de l’information contre tout risque de dommage, de vol, de perte de confidentialité, de catastrophe naturelle ou d’acte malveillant. nCore prépare des mesures appropriées de contrôle d’accès physique et des règles d’accès pour le personnel et assure la sécurité dans la gestion de l’équipement acquis pour sauvegarder la fourniture de services technologiques tels que les générateurs d’urgence, les systèmes de prévention des incendies et des inondations et les systèmes de prévention des intrusions, qui nécessitent un contrôle périodique de l’emplacement et de l’état d’efficacité des actifs en général, des systèmes, des machines et des équipements présents, ainsi que la planification des travaux d’entretien des systèmes, des machines, des équipements et des actifs en général et la mise au rebut des actifs inutilisables parce qu’ils sont obsolètes et/ou ne peuvent plus être réparés.

Sécurité des opérations

nCore vise à prévenir la perte, l’endommagement, le vol ou la compromission des actifs et l’interruption des opérations de l’organisation.

nCore vise à garantir que les activités opérationnelles dans les installations de traitement de l’information sont conformes aux « meilleures pratiques » en matière de sécurité de l’information.
Les procédures opérationnelles appropriées sont documentées et mises à la disposition de tous les utilisateurs qui en ont besoin. Les changements apportés à l’organisation, aux processus opérationnels, aux installations de traitement de l’information et aux systèmes susceptibles d’affecter la sécurité de l’information sont contrôlés.
L’utilisation des ressources est contrôlée et affinée. Des projections des besoins futurs en matière de capacité sont effectuées afin de garantir les performances requises du système.

Les informations propriétaires ou gérées par nCore et les installations de traitement sont protégées contre les logiciels malveillants. Des contrôles de détection, de prévention et de récupération des logiciels malveillants sont planifiés et mis en œuvre.

Des copies de sauvegarde des informations, des logiciels et des images système sont effectuées et testées périodiquement conformément à une politique de sauvegarde convenue.

Les événements pertinents sont enregistrés et des preuves sont produites.
L’enregistrement des événements, des activités des utilisateurs, des exceptions, des dysfonctionnements et des événements liés à la sécurité de l’information est effectué, tenu à jour et revu périodiquement.
Les installations de collecte des journaux et les informations qu’ils contiennent sont protégées contre la falsification et l’accès non autorisé.

Les activités des administrateurs et des opérateurs du système sont enregistrées dans des journaux, qui sont protégés et examinés périodiquement.

L’intégrité des systèmes de production est une exigence de sécurité essentielle pour nCore. Des procédures sont en place pour contrôler l’installation de logiciels sur les systèmes de production.

Sécurité des communications

nCore publie une politique spécifique de contrôle d’accès au réseau.

Les réseaux sont protégés et surveillés de manière adéquate et continue contre les tentatives d’intrusion, d’interception et d’attaque afin de protéger les informations contenues dans les systèmes et les applications.
Les mécanismes de sécurité, les niveaux de service et les exigences en matière de gestion des services de réseau sont identifiés et inclus dans les accords sur les niveaux de service du réseau, que ces services soient fournis en interne ou externalisés.
Dans les réseaux, les groupes de services, les utilisateurs et les systèmes d’information sont séparés en fonction du niveau de risque pour les actifs concernés. Les environnements de développement et de production sont séparés en définissant des sous-réseaux appropriés, soit isolés les uns des autres, soit avec une interconnexion contrôlée.

Un pare-feu de cluster est en place pour la protection du périmètre des serveurs. Il est possible de mettre en évidence deux niveaux de gestion différents, respectivement systémique et administratif :

  • gestion du système du pare-feu : le pare-feu, en tant que système logiciel, est soumis à une mise à jour de version. Les mises à jour sont effectuées conformément aux recommandations du fabricant, afin de le maintenir en permanence en parfait état de fonctionnement ;
  • gestion administrative du pare-feu : la gestion administrative consiste à mettre en œuvre des règles qui autorisent ou refusent l’accès aux systèmes situés en aval du pare-feu, ou l’accès au réseau Internet à partir des systèmes eux-mêmes. Les règles sont mises en œuvre en fonction des besoins de l’application, à la demande du client, après une évaluation conjointe du respect des politiques générales et des risques de sécurité que ces règles peuvent entraîner.

Un système de protection périmétrique supplémentaire pour les serveurs web fourni par nCore sur les systèmes consiste en un système de prévention des intrusions, ci-après dénommé IPS.
L’outil IPS montre deux niveaux de gestion différents, l’un systémique et l’autre administratif :

  • gestion du système IPS : l’IPS, en tant que système logiciel, est soumis à des mises à jour de version. La mise à jour est effectuée conformément aux recommandations du fabricant, afin de maintenir le système en parfait état de fonctionnement ;
  • gestion administrative de l’IPS : la gestion administrative fait référence à la mise en œuvre de règles d’analyse du trafic visant à identifier d’éventuelles tentatives d’intrusion dans les systèmes. Ces règles sont mises à jour lorsqu’un nouvel ensemble de règles est publié par le fournisseur (généralement plusieurs fois par mois). Les mises à jour des règles sont appliquées automatiquement selon les configurations recommandées par le fournisseur et, si nécessaire, manuellement si des faux positifs apparaissent et bloquent la fonctionnalité de l’application.

nCore a réalisé un système de défense contre les attaques DDoS (Distributed Denial of Service) capable de détecter et de bloquer le trafic anormal avant qu’il n’atteigne la connexion Internet du client.
Dans ce contexte, on entend par trafic anormal un flux massif de requêtes malveillantes provenant de sources distribuées et dirigées vers l’un des services fournis, capable de saturer la bande passante de transmission ou la capacité de traitement des dispositifs du réseau.
Une protection efficace contre les attaques DDoS nécessite des mécanismes d’interception du trafic malveillant distribué dans l’infrastructure du réseau du fournisseur de connectivité (opérateur TLC), afin de pouvoir intervenir le plus en amont possible dans les flux qui vont des sources des attaques à leurs cibles (qui, dans notre cas, sont situées dans les centres de données de nCore).
Dans le cas d’une telle alarme, signalée par les systèmes de contrôle de nCore ou ceux de l’opérateur TLC, le mécanisme DDoS susmentionné prévoit le détournement par l’opérateur lui-même du trafic anormal vers un système de « nettoyage » du trafic, capable de ne transmettre que du trafic « propre » à nCore. Pour éviter les fausses alertes, le processus de détournement ne sera pas activé automatiquement, mais seulement sur demande explicite de nCore.

Afin de maintenir la sécurité des informations transférées à la fois au sein de nCore et vers toute entité externe, les éléments suivants sont définis :

  • nCore fournit des contrôles pour protéger le transfert d’informations, pour tous les types de communication ;
  • les transferts sécurisés d’informations commerciales entre l’organisation et des parties externes sont formalisés dans des accords appropriés ;
  • les informations transmises par messagerie électronique sont protégées de manière appropriée en ce qui concerne les risques d’interception, d’altération et de violation de la confidentialité ;
  • des accords de confidentialité ou de non-divulgation (NDA) sont en place, en raison de la nécessité de protéger les informations relatives à la sécurité et aux activités de nCore dans le cadre de contrats et d’accords avec des tiers.

Gestion de la continuité des activités

La continuité de la sécurité de l’information est intégrée dans les systèmes de gestion de la continuité des activités de l’organisation.

L’organisme détermine ses exigences en matière de sécurité de l’information et de continuité de la gestion de la sécurité de l’information dans des situations défavorables, par exemple en cas de crise ou de catastrophe. Des instructions appropriées sont données au personnel afin d’assurer le niveau requis de continuité de la sécurité de l’information en cas de situation défavorable.
nCore vérifie, à intervalles réguliers, les contrôles de continuité de la sécurité de l’information établis et mis en œuvre afin de s’assurer qu’ils sont valables et efficaces dans les situations défavorables.

Tous les services du site principal sont fournis dans le cadre d’une architecture logique et physique à haute fiabilité et répondent à des exigences strictes en matière de politique de sauvegarde. Les facteurs de risque ont été analysés et des contre-mesures appropriées et possibles ont été mises en place. La zone se situe au niveau le plus bas de risque sismique et il n’y a aucune preuve de risques liés à des phénomènes naturels. Des résultats similaires ressortent de la consultation des cartes de protection civile, qui ne mettent pas en évidence de situations de risques éventuels de forte probabilité et/ou de grande ampleur.

nCore dispose également d’un centre de données de reprise après sinistre dans d’autres quartiers de Francfort.

nCore vise à assurer la plus grande disponibilité possible des installations de traitement de l’information conformément aux accords de niveau de service (SLA) établis avec les clients et aux réglementations applicables.
Les installations de traitement de l’information sont mises en œuvre avec une redondance suffisante pour répondre aux exigences de disponibilité.