Répondu

Incident dans un data-center français - quid la sauvegarde ?

Stefan ENGLER
Niveau d'utilisateur 7
Badge +9

Bonjour,

ce matin tous le monde parle de l’incident qui touche beaucoup de cabinet comptables :

https://www.lemagit.fr/actualites/366562894/Coaxis-une-ESN-certifiee-HDS-victime-dun-incident-de-securite

Le hébergeur Coaxis est à l’arrêt depuis vendredi (plus connus sous l’appellation “Village connecté”) 

Du coup je pose la question :

🔎 Comment Pennylane est sécurisé ?

🛟 Est-ce que vous arrivez à remonter des sauvegardes dans un cas similaire ?

⌛ Et en combien de temps ?

Voilà un passage de la communication officielle de Copaxis :

 

Il est question de 23 jours ??

icon

Meilleure réponse par Anthony Callegari 12 December 2023, 18:45

Afficher l'original
A très bientôt Stefan

5 commentaires

Y.Derue
Niveau d'utilisateur 7
Badge +9

@Stefan ENGLER oui très intéressant !

En attente de lire PL 

Yannick #Pennylane is in my ears and in my eyes...
Anthony Callegari
Rang
Niveau d'utilisateur 4
Badge +4

Bonjour Messieurs, 

Voici quelques éléments de réponses concernant vos interrogations @Stefan ENGLER 

● Sauvegarde continue des données (chiffrée, auditée, testée) (déploiement en 1 heure, reprise entre 15 minutes et 30 jours dans le passé)
● Infrastructure as a Code (IaaC), permettant de redéployer l’infrastructure complète de l’application
● Redondance de l’hébergement dans 2 data center secondaires, séparés géographiquement du serveur principal, avec failover automatique en quelques secondes vers un serveur secondaire en cas d’incident
● Log et alerte de tout incident lié au contrôle d’accès applicatif
● Capacités de blocage de comptes, d’IPs
● Chiffrement au repos des bases de données et des données en transit (TLS 1.2/1.3 avec HSTS et Perfect Forward Secrecy entièrement activé)
● Mise à jour automatisée des dépendances
● Procédure de correction des vulnérabilités, avec SLAs internes
● Pentest annuel en boîte grise
● Plan de réponse à incidents et de continuité des opérations conforme à ISO 27001 et audité régulièrement

 

Nous restons à votre disposition pour toute information complémentaire 😇

 

 

Responsable Formation
Stefan ENGLER
Niveau d'utilisateur 7
Badge +9

Bonjour @Anthony Callegari ,

merci pour ces précisions !

Je prends sur votre fourchette la limite basse de 15 minutes. Vous allez remonter mon dossier (et ceux des super-utilisateurs comme Yannick et les autres ...) en premier et pas ceux de big n’est-ce pas - mdr 🤣🤣🤣

Les 30 jours c’est une faute de frappe ? Vous voulez dire 30 heures peut-être ? Sinon avec 30 jours vous êtes plus mauvais que Coaxis. Eux annoncent 23 jours.

 

Après il y a probablement un certain gap entre votre plan et la réalité.

Pensez-vous que chez Coaxis ils n’ont pas fait des sauvegardes ? Et lisez bien ils sont certifiés HDS !!

C’est du sérieux :

(Vous pouvez candidater ici : https://certification.afnor.org/numerique/hebergement-des-donnees-de-sante-hds)

 

Non je pense c’est une attaque ciblée avec la volonté de nuire. On n’est pas dans le cas historique du mail malveillant sur lequel un utilisateur a cliqué ! Avec du phishing on fait pas planté un data-center de haut niveau qui a une expérience de 20 ans de métier.

A très bientôt Stefan
Y.Derue
Niveau d'utilisateur 7
Badge +9

Bonjour Messieurs, 

Voici quelques éléments de réponses concernant vos interrogations @Stefan ENGLER 

● Sauvegarde continue des données (chiffrée, auditée, testée) (déploiement en 1 heure, reprise entre 15 minutes et 30 jours dans le passé)
● Infrastructure as a Code (IaaC), permettant de redéployer l’infrastructure complète de l’application
● Redondance de l’hébergement dans 2 data center secondaires, séparés géographiquement du serveur principal, avec failover automatique en quelques secondes vers un serveur secondaire en cas d’incident
● Log et alerte de tout incident lié au contrôle d’accès applicatif
● Capacités de blocage de comptes, d’IPs
● Chiffrement au repos des bases de données et des données en transit (TLS 1.2/1.3 avec HSTS et Perfect Forward Secrecy entièrement activé)
● Mise à jour automatisée des dépendances
● Procédure de correction des vulnérabilités, avec SLAs internes
● Pentest annuel en boîte grise
● Plan de réponse à incidents et de continuité des opérations conforme à ISO 27001 et audité régulièrement

 

Nous restons à votre disposition pour toute information complémentaire 😇

 

 

Du lourd à priori ! 

Mais comme dit @Stefan ENGLER quand on veut on peut ! Qu’on soit PFS, iso27001 ou qqch d’autre !

A priori les 30 jours c’est qu’on peut restaurer un dossier d’y a 30 jours : c’est ça ?

Imaginez CEGID qui engage des Hackers quand vous aurez piqué tous leur clients !!! 😉

 

Yannick #Pennylane is in my ears and in my eyes...
Olivia Bleiberg
Rang
Niveau d'utilisateur 6
Badge +7

N'hésitez pas à consulter notre article écrit par Guillaume, responsable de l’équipe sécurité chez Pennylane.😊

 

Réponse


Code de ConduiteParamétrer les cookies