Architecture et pratiques de sécurité de Gandi

Les informations présentées dans cette page décrivent l'architecture et les pratiques de sécurité de Gandi.

La sécurité de l'information, primordiale pour nos clients et partenaires est une priorité pour Gandi. Afin de maintenir cette sécurité, nous devons dans certains cas limiter les informations que nous fournissons sur les mesures que nous avons mises en place.

Si vous souhaitez davantage d'informations, veuillez contacter notre équipe support qui pourra, si nécessaire partager des informations supplémentaires sous réserve de la signature d'un accord de non-divulgation.

1. Gestion de la Sécurité de l'Information

Gandi a mis en place un système de Management de la Sécurité de l'Information (SMSI) certifié par BSI selon la norme ISO27001:2022.

La dernière copie de notre certificat peut être téléchargée ici.

Une version des conditions d'application peut être téléchargée ici.

Le SMSI est directement supervisé par l'équipe dirigeante de Gandi qui effectue une revue mensuelle des performances et de l'adéquation du SMSI à l'organisation de Gandi.

Le SMSI est conçu pour répondre systématiquement aux attentes des parties prenantes internes et externes identifiées, tout en minimisant les risques et en réagissant aux non-conformités et aux incidents constatés.

Le SMSI fait l'objet de communications en interne par la publication de Politiques et Procédures et ces documents sont révisés au moins une fois par an.

Gandi s'efforce d'être aussi transparent que possible avec ses interlocuteurs, tant que la transparence ne nuit pas à la capacité de l'entreprise à maintenir efficacement la sécurité de l'information.

Des audits de certification internes et externes du SMSI sont réalisés chaque année pour s'assurer du bon fonctionnement de tous les aspects des procédures de sécurité de l'information et de l'adhésion aux politiques de sécurité de Gandi.

Risques et non-conformités

La direction générale de Gandi contrôle et oriente les performances du SMSI par des sessions régulières de reporting incluant une revue des risques et des non-conformités aux politiques de sécurité de l'information.

Politiques

Gandi évalue les risques pour le système d'information et priorise les traitements en fonction de l'impact potentiel d'un risque identifié dans les domaines suivants :

  • La confidentialité
  • L'intégrité
  • La disponibilité

Les tâches à traiter sont classées par ordre de priorité en fonction de la gravité des risques et les améliorations du protocole de traitement des risques sont régulièrement communiqués à la direction générale.

Lorsque des non-conformités sont identifiées, elles sont analysées afin d'en comprendre l'impact, la cause profonde et la possibilité d'occurrences similaires non identifiées. Ces informations sont utilisées pour mettre en oeuvre des actions correctives afin de s'attaquer à la cause de ces non-conformités.

Classification de la sécurité de l'information

Inventaire des Informations de Sécurité

Un inventaire est tenu à jour pour tous les actifs informationnels traités par Gandi et chaque actif est assigné à un "propriétaire". Le propriétaire est ensuite chargé d'identifier dans quelle mesure l'information peut être jugée critique selon une échelle standardisée :

Normale - L'information peut être partagée avec l'extérieur

Privée - L'information ne peut être partagée qu'avec les employés de Gandi

Restreinte - L'information ne peut être partagée qu'avec les personnes qui ont besoin de la connaître.

A chaque classification correspondent des mesures de sécurité qui doivent être respectées pour toutes les informations de cette classification. Un cycle de révision annuel permet de s'assurer que ces informations sont à jour.

Conformité juridique

Une équipe juridique interne dédiée est responsable de la conformité réglementaire de toutes les activités de Gandi :

  • Le RGPD
  • Le cadre juridique territorial applicable
  • Les exigences des registres pour les différentes extensions

Les traitements des actifs informationnels sont catalogués et font l'objet d'un examen systématique à intervalles réguliers.

Toutes les informations pertinentes sur les questions de confidentialité sont spécifiées dans la politique de confidentialité de Gandi :

https://www.gandi.net/fr/contracts/privacy-policy

2. Les infrastructures

Centres de données

Gandi n'utilise pas de services d'hébergement ou de cloud pour l'infrastructure de ses produits publics, mais loue des espaces dans des salles dédiées au sein de ses data centers. Ces salles ne sont accessibles qu'aux employés de Gandi ou, en cas de circonstances exceptionnelles, aux employés des data centers sous instruction des employés de Gandi.

Les centres de données dans lesquels nous louons de l'espace sont soumis à des contrôles de sécurité rigoureux :

France : Saint-Denis Equinix PA3

Luxembourg : Bissen LuxConnect DC2

3. Mesures de Sécurité

Sécurité du réseau

Gandi emploie une équipe dédiée aux opérations de sécurité qui travaille à l'amélioration continue des mesures techniques de sécurité, ainsi qu'à la surveillance active quotidienne avec une suite d'outils de contrôle de sécurité, de journalisation et d'alerte.

L'équipe des opérations de sécurité fournit un support réactif en enquêtant, isolant et remédiant aux incidents de sécurité, ainsi qu'une analyse à posteriori détaillée si nécessaire.

Surveillance et logging

Des plans de surveillance détaillés sont nécessaires pour tous les systèmes de production de Gandi et doivent comprendre des mesures telles que :

  • L'utilisation du processeur
  • L'utilisation de la mémoire
  • La capacité de stockage
  • Le statut de connexion au réseau
  • Les filles d'attente des messages
  • L'état de santé des composants

Des alertes automatisées sont configurées en fonction des schémas d'utilisation prévus et des fluctuations du trafic, mais les tableaux de bord sont également surveillés activement dans le cadre d'une routine de gestion opérationnelle quotidienne.

La centralisation obligatoire des journaux sur une infrastructure dédiée permet d'enquêter sur les problèmes fonctionnels affectant les systèmes de production ainsi que sur les irrégularités délibérées ou accidentelles.

Protection contre les malwares

Gandi a mis en place une solution de détection et de réponse sur les postes utilisateurs critiques et les serveurs administratifs, dans le cadre d'un déploiement continu des capacités d'identification et d'isolation des logiciels malveillants, ainsi que de la surveillance des mises à jour et de la distribution des correctifs de sécurité.

Pour des raisons de performance, la détection des malwares n'est pas effectuée sur les serveurs de production, et les systèmes sont protégés par des stratégies de défense en profondeur telles que le pare-feu, la ségrégation de réseaux, la surveillance automatisée et les alertes.

Sécurité des équipements

Les mesures de sécurité physique des data centers sont mises en œuvre par nos fournisseurs de data centers (cf. supra). Cependant, Gandi loue des salles privées au sein de ces data centers, où seuls les membres de l'équipe technique sont autorisés à pénétrer.

Des périmètres de sécurité physique sont également mis en place pour l'ensemble des bureaux de Gandi et l'accès à ces locaux est contrôlé par l'utilisation de badges électroniques attribués aux employés et aux visiteurs.

Contrôle d'accès

Gandi applique le principe du moindre privilège en matière de contrôle d'accès.

Les profils d'accès sont déterminés en fonction de la fonction de l'employé et de l'évaluation des risques associés. Toute demande d'accès supplémentaire doit suivre une procédure standardisée qui inclut l'évaluation et l'approbation du propriétaire de l'actif concerné.

Cryptage

Gandi applique le cryptage SSL en standard sur tous les portails web et les API. Les mêmes standards sont appliqués pour toutes les connexions internes aux environnements de staging ou de production.

Le chiffrement des données est appliqué en fonction de la criticité des données afin de garantir que les informations sensibles telles que les mots de passe sont toujours chiffrées de manière sécurisée.

Remarque : le chiffrement des informations des clients, telles que les courriels ou les données stockées sur nos services d'hébergement, relève de la responsabilité du client. Les conditions générales sont disponibles ici :

https://www.gandi.net/contracts

Disponibilité et continuité du service

Toutes les activités de maintenance planifiées qui risquent de perturber nos services sont communiquées sur https://status.gandi.net/ au moins 48 heures à l'avance (mais généralement bien plus tôt).

Ces activités doivent faire l'objet d'une évaluation complète des risques et les procédures étape par étape, y compris les options de roll-back, doivent être documentées et approuvées par le responsable des opérations.

Dans la mesure du possible, les activités de maintenance sont planifiées en dehors des heures de pointe afin de minimiser le risque de perturbations préjudicables pour les clients.

Gandi a mis en place un plan de reprise d'activité qui repose sur un site de secours géographiquement séparé des systèmes de production et soutenu par une organisation distincte. Cette redondance permet de se prémunir contre les incidents de grande ampleur qui pourraient affecter plusieurs centres de données.

Des procédures de continuité des activités sont également en place pour les systèmes critiques afin de garantir un niveau minimum de disponibilité des services jusqu'à ce que les perturbations puissent être atténuées.

Des sauvegardes automatisées sont effectuées quotidiennement et des copies sont stockées en trois endroits :

  • localement, dans le même centre de données
  • à distance, sur le site de reprise après sinistre
  • hors ligne, dans une salle sécurisée

Les sauvegardes sont soumises à des contrôles d'intégrité automatisés quotidiens, ainsi qu'à une validation manuelle.

Note : Les mesures de sauvegarde et de reprise après sinistre ne sont en place que pour les services DNS et l'infrastructure propre de Gandi. Les clients sont donc responsables de la sauvegarde et de la récupération de leurs propres données pour des services tels que la messagerie ou l'hébergement.

pour les services tels que la messagerie ou l'hébergement. Les conditions générales de vente sont disponibles ici :

https://www.gandi.net/contracts

Tiers

Gandi limite activement les échanges de données clients avec des tiers. Tous les traitements d'informations des clients par des tiers est listé ci-dessous :

Communication :

  • Brevo : Adresses e-mail pour la communication avec les clients
  • Vadesecure : Adresses e-mail pour le filtrage anti-spam
  • Zendesk : Détails du compte pour le traitement des demandes d'assistance à la clientèle.

Chaîne d'approvisionnement :

  • Registres (correspondant aux TLD achetés) : Informations sur l'enregistrement des domaines pour la gestion des noms de domaine
  • Equinix : Fournisseur de centres de données (voir ci-dessus)
  • LuxConnect : Fournisseur de centres de données (voir ci-dessus)

La revue des mesures de sécurité mises en place avec les tiers de Gandi est effectuée dans le cadre de la phase contractuelle initiale, puis à intervalles réguliers en fonction de la sensibilité des informations traitées.

Sensibilisation aux questions de sécurité

Tous les employés sont informés de leurs responsabilités en matière de sécurité dans le cadre du processus d'intégration standard. Toute formation complémentaire à la sécurité est dispensée en fonction de la pertinence du rôle spécifique de l'employé.

Gandi promeut également la sensibilisation à la sécurité de façon continue par le biais d'activités telles que des avis de sécurité pour les vulnérabilités identifiées et les menaces imminentes, ainsi que des bulletins d'information et des présentations sur la sécurité.

En outre, une enquête de sensibilisation à la sécurité est menée chaque année pour évaluer le niveau de connaissance des employés sur les sujets et les procédures de sécurité et pour permettre des interventions et des communications ciblées.

Gestion des incidents

Les incidents affectant l'environnement de production de Gandi sont gérés par notre équipe d'exploitation interne.

Une astreinte 24h/24 et 7j/7 est mise en place avec des possibilités d'évolution clairement définies et des alertes automatisées afin d'assurer une réponse rapide aux incidents significatifs. Une fois identifiés, des mises à jour sur l'évolution de l'intervention en cas d'incident sont publiées sur le site https://status.gandi.net/

Tous les incidents sont gérés par un processus interne standard qui comprend l'enregistrement chronologique des évènements et des preuves afin de permettre des analyses post-mortem détaillées.

Identification des vulnérabilités

Les membres de l'équipe de sécurité surveillent activement les flux automatisés d'identification de vulnérabilités dans le cadre d'une routine quotidienne.

Les avis de divulgation sont triés en fonction de leur pertinence pour l'infrastructure de Gandi et pour les vulnérabilités applicables, des activités de réduction sont planifiées et priorisées en fonction d'une évaluation des risques.

De plus, Gandi planifie chaque année des tests d'intrusion réalisés par des prestataires indépendants afin d'identifier les vulnérabilités exploitables dans les défenses du réseau de Gandi.

Abonnez-vous à la newsletter des Services Corporate Gandi

Introduction

­Chaque trimestre, nous vous proposons un condensé de nos conseils et bonnes pratiques ainsi que les dernières actualités du marché afin de vous accompagner dans la protection de vos marques en ligne.

Inscription invalide

Email de confirmation envoyé

Discutez avec nous

L'outil de discussion nécessite d'accepter des cookies.

L'outil de discussion nécessite des cookies pour fonctionner correctement. Vous pouvez visualiser le détail des cookies utilisés dans notre politique de confidentialité et d'utilisation des cookies.

Merci de les accepter pour continuer ou utilisez le formulaire de contact si vous préférez les refuser.