La Sécurité chez SKALE-5

En tant qu’infogéreur (Opérateur de RUN) la sécurité des traitements et des données de nos clients sont notre plus haute préoccupation.

WAF avancé et Anti DDOS


Les attaques de déni de service (DoS) sont en hausse et sont devenues des défis complexes et importants pour nos clients. Bien que ce type d’attaque ne soit pas nouvelle, les méthodes et ressources disponibles pour les mener et les dissimuler ont évolué radicalement, jusqu’à l’apparition des attaques par déni de service distribuées (DDoS) et plus récemment les attaques par déni de service par réflexion (DRDoS). Ces attaques ne peuvent pas être traitées par des solutions traditionnelles.

Pour protéger nos clients SKALE-5 utilise plusieurs solutions WAF en périphérie du réseau. Les solutions de WAF que nous utilisons (ex: CLOUDFLARE, F5) sont adaptées à la sophistication et à l’ampleur de la menace.

De plus ces solutions nous permettent d'atténuer les attaques DDoS de toutes formes, dont celles qui visent les protocoles UDP et ICMP, ainsi que les attaques SYN/ACK, par amplification DNS et celles de la couche applicative.

L'un de nos partenaires, Cloudflare, dispose d'un des plus grands réseaux de protection DDoS au monde. Il nous offre une protection DDoS à un tarif fixe, basé sur la technologie Anycast.

Les ingénieurs sécurité de Cloudflare surveillent continuellement Internet à la recherche de nouveaux risques. Lorsqu’ils découvrent un danger menaçant la plupart de nos utilisateurs, ils appliquent automatiquement les règles de sécurité WAF pour protéger nos services Internet.


Cloudflare se charge d’être à jour sur les dernières avancées en la matière afin que nou puissiez vous concentrer sur votre coeur métier au lieu de vous préoccuper des attaquants potentiels.

waf-diagram-automatic-waf-updates-fr.png


Les pare-feux standards deviennent rapidement obsolètes et nécessitent des heures d’intervention par des professionnels pour les maintenir à jour contre de nouvelles menaces. Le pare-feu de Cloudflare nous aide à rester immunisé vis-à-vis des nouveaux risques grâce à des mises à jour automatiques.


Cloudflare reçoit environ 2,9 millions requêtes chaque seconde, et leurs pare-feux sont continuellement en train d’identifier et de bloquer de potentielles nouvelles menaces. Lorsque vous utilisez un pare-feu qui ne tire pas profit de l’intelligence collective des autres services sur Internet, vous devez créer vos propres règles WAF à partir de zéro, ce qui vous oblige à effectuer votre propre veille de sécurité.

waf-diagram-collective-intelligence-fr.png



Le pare-feu Cloudflare protège les applications de nos clients du top 10 des vulnérabilités répertoriées par l’OWASP. Ces règles OWASP sont complétées par des règles prêtes à l’emploi auxquelles nous pouvons nous inscrire d’un simple clic.

  • Injections
  • Violation de gestion d'authentification
  • Cross-site scripting (XSS)
  • Référence directe non sécurisée à un objet
  • Configuration sécurité inadéquate
  • Exposition de données sensibles
  • Défaut du niveau de fonction du contrôle d’accès
  • Falsification de requête inter-site (CSRF)
  • Utilisation de composants ayant des vulnérabilités connues
  • Failles liées aux redirections et forward génériques des applications



Pourquoi utiliser CLOUDFLARE en complément des services GCP ou AWS ?

CLOUDFLARE est un service qui permet à SKALE-5 de garantir un haut niveau de protection face aux principales menaces Web et DDOS, ainsi  qu'une réponse rapide et simple en cas d'attaque DDOS (Mitigation).

Bien que les plateformes GCP et AWS fournissent des mécanismes en matière d'anti-DDOS et de WAF, nous leur préférons à ce jour (fin 2018) la solution CLOUDFLARE.

Les principales raisons de ce choix sont :

  • SKALE-5 opère des plateformes sur AWS et GCP. Nous souhaitons donc pouvoir disposer du couplage le plus faible possible avec le Cloud Provider en matière de sécurité
  • Les mécanismes de 'Mitigation' en cas d'attaque DDOS sont nombreuses, simples, flexibles et hautement paramétrable
  • Le CDN Cloudflare est d'excellente qualité
  • La veille dynamique et permanente de CLOUDFLARE sur les requêtes malicieuses et attaques en cours, nous permet d'augmenter sensiblement le niveau de protection des applications de nos clients et plus précisément le délai entre la détection d’une nouvelle attaque (ou vecteur d’attaque) et la protection de nos clients SKALE-5
  • CLOUDFLARE nous permet de créer simplement des règles avancées sur les pays autorisés à accéder aux services d'un client (White and Black List)
  • CLOUDFLARE nous permet  de créer simplement des règles sur les versions d'OS et Navigateurs et protocoles autorisés à accéder aux services de nos clients

Sécurité des accès aux plateformes

Afin de garantir la sécurité des accès aux plates-formes de nos Clients, notre modèle de sécurité opérationnelle repose sur les principes de base suivants :

  • 100% des SKALERs sont formellement sensibilisés à la sécurité
  • Chaque collaborateur a signé le Code de bonne conduite interne sur la Sécurité
  • Chaque SKALER possède une clé SSH nominative de 2048 bit avec Passphrase complexe
  • Chaque SKALER possède un bastion sécurisé + un Portable d’astreinte renforcé (ex: cryptage des données, non stockage des secrets en local, ...)
  • MFA (Double authentification) généralisée et obligatoire sur nos outils
  • Gestion fine des IAM par Client / Projet / Environnements
  • Traçabilité de tous les accès dont certains sont géolocalisés lors de l'accès à la donnée (ex: Nos coffres fort électronique / Vault)

Les bastions d’accès SKALE-5

Nos SKALERs n’accèdent jamais directement aux environnements de nos clients à partir de leur poste de travail : chacun d’entre d’eux se voit attribuer un ou plusieurs bastion(s) sécurisé(s).

Ces bastions sécurisés et nominatifs sont hébergés en dehors de tout environnement client.

Ces bastions constituent un véritable sas sécurisé vers l’extérieur. Ainsi ils permettent :

  • De se prémunir de toute compromission physique (Vol ou perte d’un ordinateur portable SKALE-5)
  • D’harmoniser et d’industrialiser les environnements de travail de l’ensemble de nos SQUAD de SKALERs
  • D’éviter tout phénomène de NAT sur nos IP Sources (Chaque SKALER officie avec une IP Fixe identifiable)
  • D’être flexible sur les technologies VPN utilisées avec nos clients

Gestion des secrets chez SKALE-5

En parallèle des modalités d’accès, SKALE-5 met en oeuvre une gestion très rigoureuse des Secrets (Mots de passe, Credential, Clés d’API, Informations sensibles, …).


Data Protection Officer SKALE-5

Je suis le Data Protection Officer (DPO) de SKALE-5. Je reste à votre écoute pour toute question concernant la Protection des données des personnelles et le RGPD. - dpo@skale-5.com -