Découvrez l'interview de Mourad Grine (Head of Infrastructure) et Nicolas Eyraud (Chief Information Security Officer) de 3DS OUTSCALE (fournisseur de services d’infrastructures Cloud robustes) suite à leur collaboration avec Interdata dans la mise en place d'une connexion entre deux zones de disponibilité (datacenters) au plus haut niveau de sécurité dans le respect du référentiel SecNumCloud.
Une collaboration en trois parties :
L’entreprise, créée en 2010 sous l’impulsion de Dassault Systèmes, agit en tant que fournisseur de services d’infrastructures Cloud d’hyper-confiance dites "robustes"* pour les entreprises et des institutions publiques, de la start-up à la multinationale. Aujourd’hui, nous comptons plus de 190 collaborateurs.
“L’objectif est de fournir un cloud d’hyper-confiance.”
In fine, notre volonté est de permettre au client le déploiement d’applications sur ce que l’on appelle le cloud de confiance, en France ou à l’étranger. Nous sommes présents en Europe, en Asie et également sur le continent américain.
Une infrastructure est dite robuste selon plusieurs critères :
Une infrastructure robuste est une infrastructure sécurisée, validée par des audits de tiers de confiance, et qui suit des normes métiers ou organisationnelles nationales ou internationales qui sont des standards de référence.
3DS OUTSCALE dispose de sites distants de plusieurs kilomètres les uns par rapport aux autres, afin de réduire les risques de dommages liés à un sinistre et donc ainsi proposer à ses clients un mécanisme de résilience.
L’équipe Infrastructure s’occupe de tout le cycle de vie du matériel servant à délivrer un service Cloud d’Excellence à nos clients.
En effet, une fois la sélection et l’évaluation des partenaires fournisseurs de datacenter effectuée, l’équipe gère également la configuration, le déploiement, l’administration et donc le maintien en condition opérationnelle du matériel.
Le pilotage de la sécurité est présent dans toutes les phases de la vie de l’entreprise : du recrutement des collaborateurs aux détails techniques d’implémentation.
Le rôle du directeur sécurité n’est pas d’aller directement sur le matériel pour y configurer la sécurité. Il est plutôt d’accompagner et donner l’expertise aux équipes pour qu'elles comprennent et puissent se saisir des problématiques.
Un autre volet d’action du pôle sécurité est d’évaluer et suivre la menace cyber. En effet, nous devons être au fait de toutes les tentatives d’attaque afin de réagir le plus rapidement possible aux évolutions de la menace, ou réagir en cas d'attaque nous ciblant.
En 2019, 3DS OUTSCALE a annoncé sa première région qualifiée SecNumCloud (SNC), dotée d’une première zone de disponibilité composée de plusieurs datacenters. L’obtention de ce Visa de sécurité délivré par l’ANSSI, témoigne du plus haut niveau d’engagement et du respect des règles en matière de sécurité.
Parce que garantir un Cloud de confiance est dans notre ADN, nous avons décidé en 2020 de renforcer cette région, en nous dotant d’une deuxième zone de disponibilité (AZ), garantissant aux clients une haute disponibilité et de la résilience assurant ainsi la continuité des activités.
Les deux zones de disponibilités seraient interconnectées de manière sécurisée et respecteraient l’ensemble des mesures de sécurité dictées par le référentiel SecNumCloud.
Le client pourrait ainsi choisir de déployer ses ressources dans différentes zones de disponibilité afin de les isoler les unes des autres dans l’infrastructure physique, et ainsi réduire les risques en cas de sinistre.
Les contraintes étaient multiples.
D’un point de vue géographique par exemple, on ne pouvait pas mettre les deux datacenters à 150 mètres l’un de l’autre, car un incident sur le premier pourrait impacter le second. On parle donc de plusieurs dizaines de kilomètres entre les datacenters.
Deuxièmement, le domaine public, la rue, n’est pas un domaine de confiance. On peut partir du principe que tout ce qui est dans le domaine public est constamment attaqué. Donc, il fallait trouver une solution qui permettait de relier deux datacenters dans un environnement hostile.
Les contraintes opérationnelles et financières du projet ont rendu impossible le lancement du projet en interne. Nous nous sommes donc tournés vers l’option du choix d’un partenaire.
En 2020, nous avons fait un RFI (Request for Information) sur lequel se sont positionnés les constructeurs. Nous avons ensuite fait un RFP (Request for Price), sur lequel Interdata s’est impliqué en tant que revendeur et distributeur.
Au fur et à mesure, nous nous sommes rendus compte de la complexité de la solution et d’un manque de compétences en interne. Aussi, pour régler cette problématique nous avons également demandé à Interdata d’intervenir sur le pilotage du projet.
Notre choix s’est porté sur Interdata pour plusieurs raisons :
Finalement, Interdata était le seul à pouvoir apporter tous ces éléments dans la même solution et à maîtriser la technologie de bout en bout.
L’enjeu, pour une implémentation inédite de ce référentiel, a été quadruple pour Interdata :
La solution technique retenue par 3DS OUTSCALE et Interdata est la technologie proposée par ADVA Optical Networking.
ADVA Optical Networking est un leader du marché des solutions optiques. Nous travaillions déjà avec ce constructeur pour interconnecter en très haut débit nos datacenters, mais n'étions pas clients de leurs solutions de sécurité, jusqu'à commencer ce projet.
Nous n’avions pas de doute dans la capacité d’ADVA Optical Networking à répondre techniquement aux besoins, mais nous n’étions pas sûr de pouvoir les engager dans l’audit face à l’organisme de contrôle étatique. Étant déjà certifié BSI en Allemagne (l’équivalent allemand de l’ANSSI), nous savions que le framework légal étant similaire, la solution mise en place s’appliquerait également en France.
Notre volonté était de mettre en place un chiffrement le plus proche possible du physique.
En effet, si l’on ouvre une fibre sur laquelle un chiffrement protocolaire est appliqué (c’est-à-dire un chiffrement à haut niveau), on peut déterminer le type de données qui y transite (emails, etc.). Mais un chiffrement au plus proche du physique l’en empêche : en ouvrant une fibre avec ce type de chiffrement, tout ce que l’on verrait, ce serait des photons.
La technologie d’ADVA Optical Networking nous a donc permis de mettre en place un tel type de chiffrement qui permet de :
Interdata est intervenu dès l’étape de la conception. Après présentation de nos contraintes techniques, de nos contraintes de sécurité et des contraintes au référentiel SecNumCloud, Interdata a fait :
Si la partie avant-vente a duré 6 mois, avec beaucoup d’aller-retour entre les équipes projets, le déploiement s’est passé en deux temps sur une durée de moins de deux semaines.
La solution est parfaitement fonctionnelle et surtout robuste techniquement. Nous avons rencontré des petits incidents (normaux pour ce genre de déploiement) où Interdata est intervenu très rapidement pour rétablir le service.
L’audit de conformité au référentiel SecNumCloud s’est passé de manière très transparente, la solution a su convaincre les auditeurs.
Interdata avait pour engagement de participer à l’audit mais grâce à son travail réalisé en amont nous avons été autonomes pour expliquer l’architecture, la sécurité et la pérennité de la solution déployée.
L’audit nous a permis de conserver la qualification et nous avons le potentiel de l’étendre à d’autres régions grâce à notre système.
En plus de maîtriser parfaitement leur sujet, les ingénieurs d’Interdata ont fait la différence sur le plan humain. Ils ont compris nos contraintes et nos craintes, pour nous apporter l’accompagnement le plus adéquat.
Sans Interdata, nous aurions peut-être mis 4 fois plus de temps à développer une solution moins clé en main. Le refaire sans Interdata n’aurait pas été réaliste, ou du moins pas dans les mêmes contraintes de temps. Interdata a été un pilier sur lequel 3DS OUTSCALE s’est complètement reposé. Ils avaient l’expérience d’une technologie que nous ne maîtrisions pas.