Il y a deux mois le vidéaste Micode sortait une première vidéo où il voulait montrer que même après avoir formaté un disque dur il persiste encore des données à l'intérieur et que celles-ci peuvent être plus ou moins cachées.
Dans cette vidéo il a acheté sur Le Bon Coin divers disques durs et notamment un SSD sur lequel il a fait une découverte assez originale.
Dans les deux vidéos suivantes (partie 2, partie 3) qui suivent on y apprend que ce SSD viendrait sans doute d'un cloud provider car il est partitionné d'une certaine manière et surtout il contient des fichiers correspondant à des machines virtuelles. Micode a certes caché le nom de ce cloud provider mais Internet n'est pas idiot et très vite sa communauté à trouver le nom. Il s'agit de Scaleway.
Si vous me suivez, vous savez que je suis chez eux pour héberger mes différents sites. Il est donc normal que je me sois interrogé quant à la protection de mes données pour être sûr que mes sites Internet (même si certains sont open-source) ne soient pas dans la nature.
Cet article n'a pas pour but de les blâmer, bien au contraire, il est là pour montrer leur réactivité face à cette "affaire" et surtout comment grâce à cela ils ont augmenté leurs protections pour que des incidents comme celui-ci ne se reproduisent plus.
Il y a maintenant plus d'un an, lors d'un transfert sécurisé entre deux de leurs datacenters, un vol est survenu pendant le transport entrainant la fuite d'un SSD.
Quand vous stockez vos données vous avez la plupart du temps ce que l'on appelle de la propriété intellectuelle. C'est en d'autres termes, le droit d'auteur. Pour une entreprise d'informatique cela peut être son code source. Et une entreprise qui hébergerait un serveur Gitlab où elle y stockerait son code source, elle n'a pas envie que celui-ci soit exposé à tous si un pirate met la main sur ces disques durs.
Cet incident est d'autant plus important et dangereux car depuis 2019 Scaleway est agréé HDS (Hébergeur de Données de Santé). Ce qui veut dire que si une entreprise souhaite héberger des serveurs contenant des données santé, ils peuvent l'heberger chez Scaleway. Et si un de ces supports de stockage vient à être dans la nature, cela peut avoir des répercussions.
Suite à cela Scaleway a refait un audit de leurs infrastructures. Même si ceux-ci sont (et doivent) fait régulièrement car imposé par les normes ISO 27001 et HDS.
Ils ont aussi revu leur système de transport de données lors d'un transfert comme celui-ci. Les SSD sont maintenant transférés dans des mallettes durcies et équipées de traceurs GPS. Un contrôle renforcé à lui aussi été mis en place lors de ces transferts.
J'ai pu aussi m'entretenir avec Aymeric Maignan de chez Scaleway qui m'a fourni leur Plan d'Assurance Sécurité (PAS) datant de mars 2021. Je ne peux malheureusement pas vous le communiquer mais voici ce que je peux vous en dire.
En cas d'incident, la gestion de la sécurité est faite entièrement en interne grâce à un processus "formalisé et opérationnel de gestion de crise". Ce processus indique l'organisation des personnes devant assurer les missions ainsi que la communication à apporter aux différentes personnes.
Tout support (papiers, clé USB, CD, disques durs ...) devant être détruit ne sont pas simplement jeté à la poubelle ou envoyé dans une décharge. La destruction doit respecter les normes DIN 66399 et ISO/IEC 21964 si l'effacement des données ne peut pas être garanti. Autrement dit, ils envoient ces médias dans une presse hydraulique qui garantit la destruction du support.
A la fin de ces opérations, un rapport est créé pour indiquer le succès ou non de l'opération ainsi que la méthode utilisée pour la destruction. Toutes ces actions sont effectuées et contrôlées en interne par Scaleway.
Dans le cadre où Scaleway vous fournit un espace de stockage, ils assurent une protection contre les programmes malveillants et Scaleway s'engage, dans le cadre de la prestation, à fournir un hébergement vierge de tout programme malveillant connu au jour de la souscription.
Ils s'engagent aussi à tenir à jour leurs infrastructures et à maintenir à jour les logiciels pour réduire les risques de failles de sécurité. Attention, ils ne font pas les mises à jour de sécurité sur les applications que vous installez sur votre serveur, cela reste à votre charge. Là on ne parle que de ce qui leur incombe.
Toutes les connexions et actions sur vos services sont loggés et sauvegardés en cas de problèmes ou incident. Ainsi en cas d'attaque par brute-force après un certain nombre d'essais les comptes sont bloqués.
Ils disposent aussi d'une protection contre les attaques de type Déni de Service (DDoS) qui est activée par défaut sans surcoût. Toutefois, il est possible de voir avec les équipes de Scaleway pour personnaliser ces règles.
Les employés ainsi que leurs habilitations sont là aussi contrôlés afin d'éviter qu'une personne ne puisse accéder à des zones sans l'habilitation adéquate. Ces zones sont séparées par des périmètres très distincts et assurés par des niveaux d'accès. L'accès à ces zones se fait via un badge nominatif et biométrique pour chaque personne intervenant sur site, y compris les visiteurs.
Si toutefois vous n'êtes pas convaincu par les règles mises en place par Scaleway, vous avez la possibilité d'organiser avec l’accord de Scaleway, un audit de l'hébergement et du centre d'hébergement, accompagné des experts de votre choix.
Scaleway est tout à fait apte à gérer des données et d'autant plus maintenant que cette histoire de SSD à surgit. Ils mettent vraiment tout en oeuvre pour protéger vos données et surtout ils sont disponibles en cas de doute ou de question.
Pour ma part, je ne suis qu'un tout petit client qui ne pèse pas bien lourd dans leurs revenus et pourtant, avec un simple ticket au support et j'ai pu avoir toutes les réponses à mes questions. Cela très rapidement (<1 jour) et surtout très simplement.
Plan d'Assurance Sécurité Prestation "as a Service" (P"asS") de Scaleway