Politique de cybersécurité

Date d'entrée en vigueur : 1 juillet 2025
Dernière révision : 1 juillet 2025
Responsable: Hugues Joyal
Version : 1.0

1. Objectifs et portée

Chez webO3, nous nous engageons à protéger les données de nos clients et à maintenir l'intégrité de nos services d'hébergement. Cette politique définit les mesures de sécurité informatique que nous appliquons pour :

  • Protéger nos infrastructures d'hébergement
  • Sécuriser les données clients et garantir leur confidentialité
  • Assurer la continuité et la disponibilité de nos services
  • Respecter les réglementations en vigueur (RGPD, LPRPDE, etc.)

Cette politique s'applique à tous les employés, sous-traitants et partenaires ayant accès à nos systèmes et infrastructures.

2. Gestion des accès et authentification

2.1 Contrôle d'accès aux serveurs

  • Authentification SSH sécurisée : Accès exclusivement par clés cryptographiques (clés SSH)
  • Désactivation complète de l'authentification par mot de passe SSH
  • Principe du moindre privilège : Attribution des droits d'accès minimaux nécessaires
  • Révision trimestrielle des permissions et clés SSH autorisées
  • Révocation immédiate des accès lors du départ d'un employé ou changement de fonction

2.2 Gestion des clés SSH

  • Standards cryptographiques : Clés SSH d'au minimum 2048 bits (RSA) ou Ed25519 (recommandé)
  • Unicité : Clés SSH uniques par utilisateur
  • Protection : Clés privées protégées par phrase de passe robuste
  • Stockage sécurisé : Clés privées chiffrées sur les postes de travail
  • Rotation : Renouvellement annuel des clés ou en cas de compromission

2.3 Authentification multifacteur (2FA)

  • Authentification à deux facteurs obligatoire pour tous les accès administratifs
  • Méthodes supportées : Applications TOTP, clés de sécurité matérielles
  • Codes de récupération : Génération et stockage sécurisé des codes de sauvegarde

3. Sécurité des infrastructures

3.1 Protection des serveurs

  • Mises à jour automatiques : Correctifs de sécurité appliqués automatiquement
  • Configuration pare-feu : Politique de refus par défaut avec règles spécifiques
  • Durcissement système : Désactivation des services non essentiels
  • Chiffrement au repos : Chiffrement des disques au repo (disponible sur demande)

3.2 Surveillance et monitoring

  • Surveillance continue : Monitoring 24/7 des infrastructures critiques
  • Détection d'intrusion : Systèmes IDS/IPS déployés (disponible sur demande)
  • Journalisation centralisée : Collecte et analyse des événements de sécurité
  • Alertes automatiques : Notifications en temps réel des activités suspectes
  • Analyse comportementale : Détection des anomalies de trafic et d'usage

4. Sauvegarde et continuité d'activité

4.1 Politique de sauvegarde

  • Sauvegardes automatiques : Exécution quotidienne des sauvegardes
  • Stockage externe : Sauvegardes sur systèmes séparés de l'infrastructure principale
  • Tests de restauration : Vérification mensuelle de l'intégrité des sauvegardes
  • Chiffrement en transit : Protection des données lors des transferts
  • Rétention : Conservation des sauvegardes selon les besoins

4.2 Plan de continuité d'activité

  • Procédures documentées : Guide de reprise après incident
  • Serveurs de secours : Infrastructure de basculement chez OVHCloud
  • Objectifs définis :
    • RTO (Recovery Time Objective) : 8 heures maximum
    • RPO (Recovery Point Objective) : 24 heures maximum
  • Déploiement automatisé : Scripts de reprise pour accélérer la restauration
  • Tests réguliers : Simulation semestrielle des procédures de reprise

5. Sécurité réseau

5.1 Architecture réseau

  • Segmentation réseau : Séparation des environnements (production, test, administration)
  • VLAN dédiés : Isolation des services critiques
  • Zone démilitarisée (DMZ) : Services exposés à Internet isolés
  • Micro-segmentation : Contrôle granulaire des flux réseau

5.2 Protection réseau

  • Protection DDoS : Mitigation fournie par OVHCloud
  • Pare-feu applicatif : Configuration et maintenance par webO3
  • Web Application Firewall (WAF) : Protection contre les attaques web
  • Scans de vulnérabilités : Évaluation mensuel automatisée
  • Monitoring réseau : Détection d'anomalies en temps réel

6. Gestion des incidents de sécurité

6.1 Procédures de réponse

  • Équipe d'intervention : Disponibilité 24/7 pour les incidents critiques
  • Classification : Niveaux de criticité définis (Critique, Haute, Moyenne, Faible)
  • Temps de réponse :
    • Incidents critiques (P1) : 15 minutes maximum
    • Incidents haute (P2) : 1 heure maximum
    • Incidents moyenne (P3) : 24 heures maximum
    • Incidents faible (P4) : 24 heures maximum
  • Communication : Notification proactive des clients affectés

6.2 Analyse post-incident

  • Documentation complète : Rapport détaillé de chaque incident
  • Analyse des causes : Identification des causes racines
  • Mesures correctives : Plan d'amélioration mis en œuvre
  • Partage : Rapport transmis aux clients concernés
  • Retour d'expérience : Amélioration continue des procédures

7. Conformité et répartition des responsabilités

7.1 Responsabilités de webO3

  • Sécurisation système : OS, mises à jour, configurations
  • Gestion des sauvegardes : Sauvegarde, restauration, intégrité
  • Surveillance : Surveillance des services et infrastructures
  • Contrôle d'accès : Gestion des permissions et authentification
  • Chiffrement : Protection des données en transit

7.2 Responsabilités d'OVHCloud

  • Sécurité physique : Contrôle d'accès aux datacenters, surveillance 24/7
  • Infrastructure matérielle : Maintenance et sécurisation du matériel
  • Connectivité : Réseau backbone et redondance
  • Protection DDoS : Mitigation au niveau infrastructure
  • Certifications : Conformité ISO 27001, SOC 2

7.3 Responsabilités du client

  • Applications : Sécurisation et mise à jour des applications web
  • Authentification : Gestion des mots de passe et accès utilisateurs
  • Données applicatives : Sauvegarde complémentaire si nécessaire
  • Bonnes pratiques : Développement sécurisé et configurations appropriées
  • Mise à jour : Mise à jour des applications web (WordPress, Drupal, Joomla, phpBB, ainsi que leurs extensions, modules, etc.)
  • Signalement : Notification immédiate des incidents suspectés

8. Formation et sensibilisation

8.1 Programme de formation

  • Formation initiale : Cybersécurité obligatoire pour tous les nouveaux employés
  • Mises à jour : Sessions semestrielles de sensibilisation
  • Procédures : Formation aux protocoles de signalement d'incidents
  • Tests de phishing : Campagnes annuelles de sensibilisation
  • Certifications : Encouragement aux certifications de sécurité

8.2 Sensibilisation continue

  • Veille sécurité : Partage des alertes et menaces émergentes
  • Bonnes pratiques : Rappels réguliers des procédures de sécurité
  • Retours d'expérience : Partage des leçons apprises

9. Gestion des fournisseurs et partenaires

9.1 Évaluation des risques

  • Audit de sécurité : Évaluation des fournisseurs critiques
  • Clauses contractuelles : Exigences de sécurité dans tous les contrats
  • Certifications : Vérification des certifications de sécurité
  • Révision annuelle : Évaluation des SLA et des performances

9.2 Chaîne d'approvisionnement

  • Due diligence : Vérification de la sécurité des fournisseurs
  • Surveillance : Surveillance continue des services tiers
  • Plans de contingence : Alternatives en cas de défaillance fournisseur

10. Contrôles techniques avancés

10.1 Chiffrement et cryptographie

  • Standards : TLS 1.3 pour toutes les communications (minimum TLS 1.2)
  • Certificats SSL : Renouvellement automatique et gestion centralisée

10.2 Cycle de vie des équipements

  • Inventaire : Suivi détaillé de tous les équipements
  • Chiffrement : Disques chiffrés au repo (disponibles sur demande)
  • Effacement sécurisé : Effacement sécurisé des données selon les standards NIST (multiple passes d'écriture)

10.3 Gestion des vulnérabilités

  • Scans automatisés : Évaluation continue des vulnérabilités
  • Temps de correction :
    • Vulnérabilités critiques : 24 heures maximum
    • Vulnérabilités élevées : 7 jours maximum
    • Vulnérabilités moyennes : 30 jours maximum
  • Veille sécurité : Surveillance continue des menaces émergentes
  • Tests d'intrusion : Évaluations trimestrielles par des tiers

11. Indicateurs de performance et métriques

11.1 Indicateurs de sécurité (KPI)

  • Temps de détection : Délai moyen de détection des incidents
  • Temps de résolution : Délai moyen de correction des vulnérabilités
  • Disponibilité : Taux d'uptime des services (objectif : 99,9%)
  • Incidents : Nombre et classification des incidents de sécurité
  • Conformité : Taux de respect des procédures de sécurité

11.2 Rapports et tableaux de bord

  • Rapports mensuels : Synthèse des indicateurs de sécurité
  • Tableaux de bord : Visualisation en temps réel des métriques
  • Analyses trimestrielles : Tendances et recommandations d'amélioration

12. Protection des données personnelles

12.1 Conformité RGPD/LPRPDE

  • Minimisation : Collecte et traitement des données strictement nécessaires
  • Consentement : Bases légales appropriées pour le traitement
  • Droits des personnes : Procédures pour l'exercice des droits
  • Notification : Procédures de notification des violations de données
  • Analyse d'impact : AIPD pour les traitements à risque élevé

12.2 Sécurité des données

  • Classification : Catégorisation des données selon leur sensibilité
  • Contrôles d'accès : Restrictions basées sur la classification
  • Anonymisation : Techniques de pseudonymisation appropriées
  • Rétention : Durées de conservation définies et appliquées

13. Plan de réponse aux cyberattaques

13.1 Préparation

  • Équipe de réponse : Équipe dédiée avec rôles et responsabilités définis
  • Outils : Solutions de détection et de réponse aux incidents
  • Communications : Canaux de communication sécurisés
  • Documentation : Procédures détaillées de réponse aux incidents

13.2 Types d'incidents couverts

  • Malwares : Procédures de détection et d'éradication
  • Attaques DDoS : Mitigation et communication
  • Compromission de comptes : Isolation et restauration
  • Exfiltration de données : Confinement et évaluation
  • Ransomware : Procédures de récupération sans paiement

14. Amélioration continue

14.1 Révision de la politique

  • Révision annuelle : Évaluation complète de la politique
  • Mises à jour : Modifications suite aux incidents majeurs ou évolutions réglementaires
  • Communication : Notification de toute modification aux parties prenantes
  • Formation : Sensibilisation aux changements de politique

14.2 Évolution des menaces

  • Veille technologique : Surveillance des nouvelles menaces et vulnérabilités
  • Adaptation : Ajustement des mesures de sécurité selon l'évolution du paysage des menaces
  • Investissements : Budget dédié à l'amélioration continue de la sécurité

15. Contacts et support

15.1 Équipe sécurité

  • Responsable sécurité : Hugues Joyal
  • Équipe d'intervention : Disponible 24/7
  • Contact d'urgence : Courriel d'urgence webO3

15.2 Signalement d'incidents

  • Email sécurité : Courriel de support webO3
  • Procédure : Signalement immédiat de tout incident suspecté
  • Confidentialité : Traitement confidentiel de tous les signalements

Parler avec un de nos spécialistes aujourd'hui.

Par téléphone
Par courriel